Параметры групповой политики BitLocker
Относится к:
- Windows 10
- Windows 11
- Windows Server 2016 и более поздние версии
В этой статье для ИТ-специалистов описывается функция, расположение и действие каждого групповая политика параметра, используемого для управления шифрованием диска BitLocker.
групповая политика административные шаблоны или параметры политики локального компьютера можно использовать для управления задачами и конфигурациями шифрования дисков BitLocker, которые могут выполняться пользователями, например с помощью панели управления Шифрование диска BitLocker. Какая из этих политик настроена и как они настроены, зависит от того, как реализуется BitLocker и какой уровень взаимодействия требуется для конечных пользователей.
Примечание.
Отдельный набор параметров групповая политика поддерживает использование доверенного платформенного модуля (TPM). Дополнительные сведения об этих параметрах см. в разделе Доверенный платформенный модуль групповая политика параметры.
Доступ к параметрам BitLocker групповая политика можно получить с помощью редактора локальных групповая политика и консоли управления групповая политика (GPMC) в разделе Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование диска BitLocker.
Большинство параметров BitLocker групповая политика применяются, когда BitLocker изначально включен для диска. Если компьютер не соответствует существующим параметрам групповая политика, bitLocker может быть не включен или конфигурация BitLocker может быть изменена до тех пор, пока компьютер не перейдет в соответствующее состояние. Когда диск перестает соответствовать групповая политика параметрам, допускаются только изменения в конфигурации BitLocker, которые приведут его к соответствию. Такой сценарий может произойти, например, если ранее зашифрованный диск был выведен из-за изменения параметров групповая политика.
Если для обеспечения соответствия диска требуется несколько изменений, может потребоваться приостановить защиту BitLocker, внести необходимые изменения, а затем возобновить защиту. Такая ситуация может возникнуть, например, если съемный диск изначально настроен для разблокировки с помощью пароля, но затем параметры групповая политика изменяются, чтобы запретить пароли и требовать смарт-карты. В этой ситуации защиту BitLocker необходимо приостановить с помощью средства командной строки Manage-bde, удалить метод разблокировки пароля и добавить метод смарт-карта. После завершения этого процесса BitLocker будет соответствовать параметру групповая политика, и защита BitLocker на диске может быть возобновлена.
В других сценариях, чтобы привести диск в соответствие с изменением параметров групповая политика, bitLocker может потребоваться отключить и расшифровать диск, а затем повторно зашифровать BitLocker, а затем повторно зашифровать диск. Примером этого сценария является изменение метода шифрования BitLocker или надежности шифра. Командная строка Manage-bde также может использоваться в этом сценарии для обеспечения соответствия устройству.
Сведения о параметрах групповой политики BitLocker
Примечание.
Дополнительные сведения о конфигурации Active Directory, связанной с включением BitLocker, см. в статье Настройка MDT для BitLocker.
В следующих разделах представлен полный список параметров групповой политики BitLocker, упорядоченных по использованию. Параметры групповой политики BitLocker включают параметры для определенных типов дисков (диски операционной системы, фиксированные диски с данными и съемные диски с данными) и параметры, применяемые ко всем дискам.
Следующие параметры политики можно использовать для определения способа разблокировки диска, защищенного BitLocker.
- Разрешить устройствам с безопасной загрузкой и защищенными портами DMA отказаться от предварительно загрузочного ПИН-кода
- Разрешить разблокировку сети при запуске
- Требовать дополнительную проверку подлинности при запуске
- Разрешение расширенных ПИН-кодов для запуска
- Настройка минимальной длины ПИН-кода для запуска
- Отключение новых устройств DMA при блокировке этого компьютера
- Запретить стандартным пользователям изменять ПИН-код или пароль
- Настройка использования паролей для дисков операционной системы
- Требовать дополнительную проверку подлинности при запуске (Windows Server 2008 и Windows Vista)
- Настройка использования смарт-карт на фиксированных дисках с данными
- Настройка использования паролей на фиксированных дисках с данными
- Настройка использования смарт-карт на съемных дисках с данными
- Настройка использования паролей на съемных дисках с данными
- Проверка соответствия правилу использования сертификатов интеллектуального карта
- Включение использования проверки подлинности BitLocker, требующей предварительной загрузки ввода с клавиатуры на слоях
Следующие параметры политики используются для управления доступом пользователей к дискам и способом использования BitLocker на своих компьютерах.
- Запретить запись на фиксированные диски, не защищенные BitLocker
- Запретить запись на съемные диски, не защищенные BitLocker
- Управление использованием BitLocker на съемных дисках
Следующие параметры политики определяют методы и типы шифрования, используемые с BitLocker.
- Выбор метода шифрования диска и надежности шифра
- Настройка использования аппаратного шифрования для фиксированных дисков данных
- Настройка использования аппаратного шифрования для дисков операционной системы
- Настройка использования аппаратного шифрования для съемных дисков с данными
- Применение типа шифрования диска на фиксированных дисках с данными
- Принудительное применение типа шифрования диска на дисках операционной системы
- Применение типа шифрования диска на съемных дисках с данными
Следующие параметры политики определяют способы восстановления, которые можно использовать для восстановления доступа к диску с защитой BitLocker, если не удается использовать метод проверки подлинности.
- Выберите способы восстановления дисков операционной системы с защитой BitLocker
- Выбор способа восстановления дисков, защищенных BitLocker (Windows Server 2008 и Windows Vista)
- Хранение сведений о восстановлении BitLocker в доменные службы Active Directory (Windows Server 2008 и Windows Vista)
- Выбор папки по умолчанию для пароля восстановления
- Выберите способы восстановления фиксированных дисков с защитой BitLocker
- Выберите, как можно восстановить съемные диски с защитой BitLocker
- Настройка сообщения о восстановлении перед загрузкой и URL-адреса
Следующие политики используются для поддержки настраиваемых сценариев развертывания в организации.
- Разрешить безопасную загрузку для проверки целостности
- Укажите уникальные идентификаторы для вашей организации
- Предотвращение перезаписи памяти при перезапуске
- Настройка профиля проверки платформы доверенного платформы для конфигураций встроенного ПО на основе BIOS
- Настройка профиля проверки платформы доверенного платформенного модуля (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)
- Настройка профиля проверки платформы доверенного платформенного модуля для собственных конфигураций встроенного ПО UEFI
- Сброс данных проверки платформы после восстановления BitLocker
- Использование расширенного профиля проверки данных конфигурации загрузки
- Разрешить доступ к фиксированным дискам с данными, защищенным BitLocker, из более ранних версий Windows
- Разрешить доступ к съемным дискам с данными, защищенным BitLocker, из более ранних версий Windows
Разрешить устройствам с безопасной загрузкой и защищенными портами DMA отказаться от предварительной загрузки ПИН-кода
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно разрешить защиту только TPM для более новых и более безопасных устройств, таких как устройства, поддерживающие современный режим ожидания или HSTI, при этом требуется ПИН-код на старых устройствах. |
| Введены | Windows 10 версии 1703 |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Этот параметр переопределяет параметр Требовать ПИН-код запуска с TPM политики Требовать дополнительную проверку подлинности при запуске на совместимом оборудовании. |
| Если включено | Пользователи на современных устройствах ожидания и устройствах, совместимых с HSTI, смогут включить BitLocker без предварительной проверки подлинности. |
| Если параметр отключен или не настроен | Применяются параметры политики Требовать дополнительную проверку подлинности при запуске . |
Справка. Разрешить устройствам с безопасной загрузкой и защищенными портами DMA отказаться от предварительно загрузочного ПИН-кода
Параметр проверки подлинности перед загрузкой Требовать ПИН-код запуска с TPM политики Требовать дополнительную проверку подлинности при запуске часто включается для обеспечения безопасности старых устройств, которые не поддерживают современный режим ожидания. Но пользователи с нарушениями зрения не имеют звукового способа узнать, когда вводить ПИН-код. Этот параметр включает исключение из политики, необходимой для ПИН-кода, на безопасном оборудовании.
Разрешить разблокировку сети при запуске
Эта политика управляет частью поведения функции сетевой разблокировки в BitLocker. Эта политика необходима для включения сетевой разблокировки BitLocker в сети, так как она позволяет клиентам, работающим с BitLocker, создавать необходимый предохранитель сетевого ключа во время шифрования.
Эта политика используется с политикой безопасности сертификата разблокировки сети шифрования дисков BitLocker (находится в папке Политики открытых ключей политики локального компьютера), чтобы разрешить системам, подключенным к доверенной сети, правильно использовать функцию сетевой разблокировки.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно контролировать, может ли защищенный BitLocker компьютер, подключенный к доверенной локальной сети и присоединенный к домену, создавать и использовать средства защиты ключей сети на компьютерах с поддержкой доверенного платформенного модуля для автоматической разблокировки диска операционной системы при запуске компьютера. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Нет |
| Если включено | Клиенты, настроенные с помощью сертификата BitLocker Network Unlock, могут создавать и использовать предохранители сетевых ключей. |
| Если параметр отключен или не настроен | Клиенты не могут создавать и использовать предохранители ключей сети. |
Справка. Разрешить разблокировку сети при запуске
Чтобы использовать средство защиты сетевого ключа для разблокировки компьютера, компьютер и сервер, на котором размещена сетевая разблокировка bitLocker Drive Encryption, должны быть подготовлены с сертификатом сетевой разблокировки. Сертификат сетевой разблокировки используется для создания предохранителя сетевого ключа и защиты обмена информацией с сервером для разблокировки компьютера. Групповая политика параметр Конфигурация> компьютераПараметры>Windows Параметры безопасности Политики открытых>ключей>BitLocker Drive Encryption Network Unlock Certificate можно использовать на контроллере домена для распространения этого сертификата на компьютеры в организации. Этот метод разблокировки использует доверенный платформенный модуль на компьютере, поэтому компьютеры без доверенного платформенного модуля не могут создавать средства защиты сетевых ключей для автоматической разблокировки с помощью сетевой разблокировки.
Примечание.
Для обеспечения надежности и безопасности компьютеры также должны иметь ПИН-код запуска доверенного платформенного модуля, который можно использовать, если компьютер отключен от проводной сети или не может подключиться к контроллеру домена при запуске.
Дополнительные сведения о функции сетевой разблокировки см. в статье BitLocker: включение сетевой разблокировки.
Требовать дополнительную проверку подлинности при запуске
Этот параметр политики используется для управления параметрами разблокировки, доступными для дисков операционной системы.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить, требуется ли BitLocker дополнительная проверка подлинности при каждом запуске компьютера и будет ли BitLocker использоваться с доверенным платформенным модулем (TPM). Этот параметр политики применяется при включении BitLocker. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Если требуется один метод проверки подлинности, другие методы не могут быть разрешены. Использование BitLocker с ключом запуска доверенного платформенного модуля или ключом запуска доверенного платформенного модуля и ПИН-кодом должно быть запрещено, если включен параметр политики Запретить доступ на запись на съемные диски, не защищенные BitLocker . |
| Если включено | Пользователи могут настроить дополнительные параметры запуска в мастере установки BitLocker. |
| Если параметр отключен или не настроен | Пользователи могут настраивать только базовые параметры на компьютерах с TPM. При запуске может потребоваться только один из дополнительных параметров проверки подлинности. В противном случае возникает ошибка политики. |
Справка. Требовать дополнительную проверку подлинности при запуске
Если BitLocker необходимо использовать на компьютере без доверенного платформенного модуля, выберите Разрешить BitLocker без совместимого доверенного платформенного модуля. В этом режиме для запуска требуется пароль или USB-накопитель. USB-накопитель хранит ключ запуска, используемый для шифрования диска. При вставке USB-накопителя ключ запуска проходит проверку подлинности и диск операционной системы становится доступным. Если USB-диск потерян или недоступен, для доступа к диску требуется восстановление BitLocker.
На компьютере с совместимым TPM при запуске можно использовать дополнительные методы проверки подлинности для повышения защиты зашифрованных данных. При запуске компьютера можно использовать:
- Только TPM
- Вставка USB-устройства флэш-памяти, содержащего ключ запуска
- Запись от 4 до 20-значного личного идентификационного номера (ПИН-код)
- Сочетание ПИН-кода и USB-устройства флэш-памяти
Существует четыре варианта для компьютеров или устройств с поддержкой доверенного платформенного модуля:
Настройка запуска доверенного платформенного модуля
- Разрешить TPM
- Требовать TPM
- Не разрешать доверенный платформенный модуль
Настройка ПИН-кода запуска доверенного платформенного модуля
- Разрешить ПИН-код запуска с доверенным платформенный модуль
- Требовать ПИН-код запуска с TPM
- Запретить запуск ПИН-кода с доверенным платформенный модуль
Настройка ключа запуска доверенного платформенного модуля
- Разрешение ключа запуска с TPM
- Требовать ключ запуска с TPM
- Не разрешайте ключ запуска с TPM
Настройка ключа запуска доверенного платформенного модуля и ПИН-кода
- Разрешить ключ запуска доверенного платформенного модуля с ПИН-кодом
- Требовать ключ запуска и ПИН-код с TPM
- Не разрешайте ключ запуска доверенного платформенного модуля с ПИН-кодом
Разрешение расширенных ПИН-кодов для запуска
Этот параметр политики позволяет использовать расширенные ПИН-коды при использовании метода разблокировки, включающего ПИН-код.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить использование расширенных ПИН-кодов запуска с BitLocker. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Нет |
| Если включено | Все новые ПИН-коды запуска BitLocker, которые заданы, будут расширены. Существующие диски, защищенные с помощью стандартных ПИН-кодов запуска, не затрагиваются. |
| Если параметр отключен или не настроен | Расширенные ПИН-коды не будут использоваться. |
Справка. Разрешить расширенные ПИН-коды для запуска
Расширенные ПИН-коды запуска позволяют использовать символы (включая прописные и строчные буквы, символы, цифры и пробелы). Этот параметр политики применяется при включении BitLocker.
Важно.
Не все компьютеры поддерживают расширенные символы ПИН-кода в предварительной среде. Настоятельно рекомендуется, чтобы пользователи выполняли системные проверка во время настройки BitLocker, чтобы убедиться, что можно использовать расширенные символы ПИН-кода.
Настройка минимальной длины ПИН-кода для запуска
Этот параметр политики используется для установки минимальной длины ПИН-кода при использовании метода разблокировки, включающего ПИН-код.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить минимальную длину ПИН-кода запуска доверенного платформенного модуля. Этот параметр политики применяется при включении BitLocker. ПИН-код запуска должен иметь не менее четырех цифр, а максимальная длина может составлять 20 цифр. По умолчанию минимальная длина ПИН-кода составляет 6. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Нет |
| Если включено | Требуемая минимальная длина ПИН-кодов запуска, заданная пользователями, может быть установлена в диапазоне от 4 до 20 цифр. |
| Если параметр отключен или не настроен | Пользователи могут настроить ПИН-код запуска любой длины от 6 до 20 цифр. |
Справка. Настройка минимальной длины ПИН-кода для запуска
Этот параметр политики применяется при включении BitLocker. ПИН-код запуска должен иметь не менее четырех цифр, а максимальная длина может составлять 20 цифр.
Первоначально BitLocker допускал длину от 4 до 20 символов для ПИН-кода. Windows Hello имеет собственный ПИН-код для входа, длина которого может составлять от 4 до 127 символов. BitLocker и Windows Hello использовать TPM для предотвращения атак методом подбора ПИН-кода.
TPM можно настроить на использование параметров защиты от атак в словаре (пороговое значение блокировки и длительность блокировки), чтобы контролировать количество неудачных попыток авторизации, прежде чем доверенный платформенный модуль будет заблокирован, и сколько времени должно пройти перед другой попыткой.
Параметры защиты от атак в словаре позволяют сбалансировать потребности безопасности с удобством использования. Например, если BitLocker используется с конфигурацией доверенного платформенного модуля + ПИН-код, количество предположений ПИН-кода со временем ограничено. TPM 2.0 в этом примере может быть настроен так, чтобы разрешить только 32 угадывание ПИН-кода сразу, а затем только еще одну догадку каждые два часа. Это число попыток составляет не более 4415 догадок в год. Если ПИН-код имеет четыре цифры, все возможные сочетания ПИН-кода 9999 можно попытаться выполнить через чуть более двух лет.
Для увеличения длины ПИН-кода требуется большее количество догадок для злоумышленника. В этом случае длительность блокировки между каждой догадкой может быть сокращена, чтобы позволить законным пользователям повторить неудачную попытку раньше, сохраняя при этом аналогичный уровень защиты.
Начиная с Windows 10 версии 1703 минимальная длина ПИН-кода BitLocker была увеличена до шести символов, чтобы лучше соответствовать другим функциям Windows, использующему TPM 2.0, включая Windows Hello. Чтобы помочь организациям в переходе, начиная с Windows 10 версии 1709 и Windows 10 версии 1703 с установленным накопительным обновлением за октябрь 2017 г., длина ПИН-кода BitLocker по умолчанию составляет шесть символов, но его можно уменьшить до четырех символов. Если минимальная длина ПИН-кода уменьшена с шести символов по умолчанию, период блокировки доверенного платформенного модуля 2.0 будет продлен.
Отключение новых устройств DMA при блокировке этого компьютера
Этот параметр политики позволяет блокировать прямой доступ к памяти (DMA) для всех портов PCI с горячей заменой до тех пор, пока пользователь не войдет в Windows.
| Элемент | Info |
|---|---|
| Описание политики | Этот параметр помогает предотвратить атаки, использующие внешние устройства на основе PCI для доступа к ключам BitLocker. |
| Введены | Windows 10 версии 1703 |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование диска BitLocker |
| Конфликтов | Нет |
| Если включено | Каждый раз, когда пользователь блокирует экран, DMA будет блокироваться на портах PCI с горячей заменой до тех пор, пока пользователь снова не войдет в систему. |
| Если параметр отключен или не настроен | DMA доступна на устройствах PCI с горячей заменой, если устройство включено, независимо от того, выполнил ли пользователь вход. |
Справка. Отключение новых устройств DMA при блокировке этого компьютера
Этот параметр политики применяется только в том случае, если включено шифрование BitLocker или устройства. Как описано в блоге Руководство по безопасности Майкрософт, в некоторых случаях, когда этот параметр включен, внутренние периферийные устройства на основе PCI могут завершиться сбоем, включая драйверы беспроводной сети и периферийные устройства ввода и аудио. Эта проблема устранена в обновлении качества за апрель 2018 г.
Запретить стандартным пользователям изменять ПИН-код или пароль
Этот параметр политики позволяет настроить, разрешено ли стандартным пользователям изменять ПИН-код или пароль, используемый для защиты диска операционной системы.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить, разрешено ли стандартным пользователям изменять ПИН-код или пароль, используемые для защиты диска операционной системы. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Нет |
| Если включено | Пользователям уровня "Стандартный" запрещено изменять ПИН-коды Или пароли BitLocker. |
| Если параметр отключен или не настроен | Обычные пользователи могут изменять ПИН-коды Или пароли BitLocker. |
Справка. Запретить стандартным пользователям изменять ПИН-код или пароль
Чтобы изменить ПИН-код или пароль, пользователь должен иметь возможность указать текущий ПИН-код или пароль. Этот параметр политики применяется при включении BitLocker.
Настройка использования паролей для дисков операционной системы
Эта политика определяет, как системы, не основанные на TPM, используют средство защиты паролем. Используется с политикой "Пароль должен соответствовать требованиям к сложности ". Эта политика позволяет администраторам требовать длину пароля и сложность для использования предохранителя паролей. По умолчанию пароли должны содержать восемь символов. Параметры конфигурации сложности определяют, насколько важно подключение к домену для клиента. Чтобы обеспечить надежную защиту паролей, администраторы должны выбрать параметр Требовать сложность пароля , так как для этого требуется подключение к домену, а пароль BitLocker должен соответствовать тем же требованиям к сложности пароля, что и пароли для входа в домен.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно указать ограничения для паролей, используемых для разблокировки дисков операционной системы, защищенных с помощью BitLocker. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Пароли нельзя использовать, если включено соответствие FIPS. ПРИМЕЧАНИЕ:Системная криптография: используйте совместимые с FIPS алгоритмы для шифрования, хэширования и подписывания, который находится в разделе Конфигурация> компьютераПараметры>windows Параметры> безопасностиЛокальные политики>Параметры безопасности определяет, включено ли соответствие FIPS. |
| Если включено | Пользователи могут настроить пароль, соответствующий определенным требованиям. Чтобы применить требования к сложности для пароля, выберите Требовать сложность. |
| Если параметр отключен или не настроен | Ограничение длины по умолчанию в восемь символов применяется к паролям диска операционной системы, и проверки сложности не будут выполняться. |
Справка. Настройка использования паролей для дисков операционной системы
Если на дисках операционной системы разрешены предохранители, отличные от доверенного платформенного модуля, можно подготовить пароль, принудительное применение требований к сложности пароля и конфигурацию минимальной длины пароля. Чтобы параметр требования к сложности был эффективным, параметр групповой политики Пароль должен соответствовать требованиям к сложности, который находится в разделе Конфигурация> компьютера ПараметрыWindows>Параметры безопасности Политики>учетныхзаписей> Политики паролей, также должны быть включены.
Примечание.
Эти параметры применяются при включении BitLocker, а не при разблокировке тома. BitLocker позволяет разблокировать диск с помощью любого из доступных на нем средств защиты.
Если задано значение Требовать сложность, подключение к контроллеру домена необходимо, если bitLocker включен для проверки сложности пароля. Если задано значение Разрешить сложность, подключение к контроллеру домена пытается убедиться, что сложность соответствует правилам, заданным политикой. Если контроллеры домена не найдены, пароль будет принят независимо от фактической сложности пароля, и диск будет зашифрован с помощью этого пароля в качестве предохранителя. Если задано значение Не разрешать сложность, проверка сложности пароля не выполняется.
Пароли должны содержать не менее восьми символов. Чтобы настроить большую минимальную длину пароля, введите нужное количество символов в поле Минимальная длина пароля .
Если этот параметр политики включен, для параметра Настройка сложности пароля для дисков операционной системы можно задать следующее:
- Разрешить сложность пароля
- Запретить сложность пароля
- Требовать сложность пароля
Требовать дополнительную проверку подлинности при запуске (Windows Server 2008 и Windows Vista)
Этот параметр политики используется для управления параметрами разблокировки, доступными для компьютеров под управлением Windows Server 2008 или Windows Vista.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно контролировать, может ли мастер установки BitLocker на компьютерах под управлением Windows Vista или Windows Server 2008 настроить дополнительный метод проверки подлинности, необходимый при каждом запуске компьютера. |
| Введены | Windows Server 2008 и Windows Vista |
| Тип диска | Диски операционной системы (Windows Server 2008 и Windows Vista) |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Если выбран дополнительный метод проверки подлинности, другие методы проверки подлинности не могут быть разрешены. |
| Если включено | Мастер установки BitLocker отображает страницу, которая позволяет пользователю настроить дополнительные параметры запуска для BitLocker. Параметры параметров можно дополнительно настроить для компьютеров с доверенным платформенный платформенный модуль или без нее. |
| Если параметр отключен или не настроен | В мастере установки BitLocker отображаются основные шаги, позволяющие пользователям включать BitLocker на компьютерах с доверенным платформенный платформенный модуль. В этом базовом мастере невозможно настроить дополнительный ключ запуска или ПИН-код запуска. |
Справка. Требовать дополнительную проверку подлинности при запуске (Windows Server 2008 и Windows Vista)
На компьютере с совместимым TPM при запуске можно использовать два метода проверки подлинности, чтобы обеспечить дополнительную защиту зашифрованных данных. Когда компьютер запускается, он может предложить пользователям вставить USB-накопитель, содержащий ключ запуска. Он также может предложить пользователям ввести ПИН-код запуска длиной от 6 до 20 цифр.
Usb-накопитель, содержащий ключ запуска, необходим на компьютерах без совместимого доверенного платформенного модуля. Без доверенного платформенного модуля данные, зашифрованные BitLocker, защищены исключительно материалом ключа, который находится на этом USB-накопителе.
Существует два варианта для компьютеров или устройств с поддержкой доверенного платформенного модуля:
Настройка ПИН-кода запуска доверенного платформенного модуля
- Разрешить ПИН-код запуска с доверенным платформенный модуль
- Требовать ПИН-код запуска с TPM
- Запретить запуск ПИН-кода с доверенным платформенный модуль
Настройка ключа запуска доверенного платформенного модуля
- Разрешение ключа запуска с TPM
- Требовать ключ запуска с TPM
- Не разрешайте ключ запуска с TPM
Эти варианты являются взаимоисключающими. Если требуется ключ запуска, пин-код запуска не допускается. Если требуется ПИН-код запуска, ключ запуска не разрешен. Если эти политики конфликтуют, возникнет ошибка политики.
Чтобы скрыть расширенную страницу на компьютере или устройстве с поддержкой доверенного платформенного модуля, задайте для этих параметров значение Не разрешать для ключа запуска и ПИН-кода запуска.
Настройка использования смарт-карт на фиксированных дисках с данными
Этот параметр политики используется для того, чтобы требовать, разрешать или запрещать использование смарт-карт с фиксированными дисками данных.
| Элемент | Info |
|---|---|
| Описание политики | Этот параметр политики можно использовать, чтобы указать, можно ли использовать смарт-карты для проверки подлинности доступа пользователей к фиксированным дискам с данными, защищенным BitLocker, на компьютере. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Фиксированные диски с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerФиксированные диски с данными |
| Конфликтов | Чтобы использовать смарт-карты с BitLocker, может потребоваться изменить параметр идентификатора объекта в параметре политики Конфигурация компьютера\Административные шаблоны\Шифрование диска BitLocker\Проверка соответствия правилу использования сертификатов smart карта, чтобы он соответствовал идентификатору объекта смарт-карта сертификатов. |
| Если включено | Смарт-карты можно использовать для проверки подлинности доступа пользователей к диску. Проверка подлинности смарт-карта может потребоваться, установив флажок Требовать использование смарт-карт на фиксированных дисках с данными проверка. |
| При отключении | Пользователи не могут использовать смарт-карты для проверки подлинности доступа к фиксированным дискам с данными, защищенным BitLocker. |
| Если не настроено | Смарт-карты можно использовать для проверки подлинности доступа пользователей к диску, защищенному BitLocker. |
Справка. Настройка использования смарт-карт на фиксированных дисках с данными
Примечание.
Эти параметры применяются при включении BitLocker, а не при разблокировке диска. BitLocker позволяет разблокировать диск с помощью любого из доступных на нем средств защиты.
Настройка использования паролей на фиксированных дисках с данными
Этот параметр политики используется для того, чтобы требовать, разрешать или запрещать использование паролей с фиксированными дисками с данными.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно указать, требуется ли пароль для разблокировки фиксированных дисков с данными, защищенных BitLocker. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Фиксированные диски с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerФиксированные диски с данными |
| Конфликтов | Чтобы использовать сложность пароля, необходимо также включить параметр политики Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей\Пароль должен соответствовать требованиям к сложности . |
| Если включено | Пользователи могут настроить пароль, соответствующий определенным требованиям. Чтобы требовать использования пароля, выберите Требовать пароль для фиксированного диска данных. Чтобы применить требования к сложности к паролю, выберите Требовать сложность. |
| При отключении | Пользователю запрещено использовать пароль. |
| Если не настроено | Пароли поддерживаются с параметрами по умолчанию, которые не включают требования к сложности пароля и требуют только восьми символов. |
Справка. Настройка использования паролей на фиксированных дисках с данными
Если задано значение Требовать сложность, подключение к контроллеру домена необходимо для проверки сложности пароля при включении BitLocker.
Если задано значение Разрешить сложность, подключение к контроллеру домена пытается убедиться, что сложность соответствует правилам, заданным политикой. Однако если контроллеры домена не найдены, пароль принимается независимо от фактической сложности пароля, и диск шифруется с помощью этого пароля в качестве средства защиты.
Если задано значение Не разрешать сложность, проверка сложности пароля не выполняется.
Пароли должны содержать не менее восьми символов. Чтобы настроить большую минимальную длину пароля, введите нужное количество символов в поле Минимальная длина пароля .
Примечание.
Эти параметры применяются при включении BitLocker, а не при разблокировке диска. BitLocker позволяет разблокировать диск с помощью любого из доступных на нем средств защиты.
Чтобы параметр требования к сложности был эффективным, необходимо также включить параметр групповая политика настройка конфигурации> компьютераПараметры> безопасностиПолитики>учетных записей> Пароль политикипаролей>. Этот параметр политики настраивается для каждого компьютера. Параметр политики также применяется как к локальным учетным записям пользователей, так и к учетным записям пользователей домена. Так как фильтр паролей, используемый для проверки сложности пароля, находится на контроллерах домена, учетные записи локальных пользователей не могут получить доступ к фильтру паролей, так как они не прошли проверку подлинности для доступа к домену. Если этот параметр политики включен, при входе в учетную запись локального пользователя и попытке зашифровать диск или изменить пароль на существующем диске, защищенном BitLocker, отображается сообщение об ошибке "Отказано в доступе ". В этом случае предохранитель ключа пароля не может быть добавлен на диск.
Чтобы включить этот параметр политики, необходимо, чтобы устройство было подключено к домену, прежде чем добавлять предохранитель ключа пароля на диск, защищенный BitLocker. Пользователи, работающие удаленно и имеющие периоды времени, в течение которых они не могут подключиться к домену, должны быть осведомлены об этом требовании, чтобы они могли запланировать время, когда они будут подключены к домену, чтобы включить BitLocker или изменить пароль на диске с данными, защищенном BitLocker.
Важно.
Пароли нельзя использовать, если включено соответствие FIPS. Системная криптография: используйте совместимые с FIPS алгоритмы для шифрования, хэширования и подписывания в разделе Конфигурация> компьютераПараметры>безопасности Параметры безопасности Локальные>политики>Параметры безопасности определяет, включено ли соответствие FIPS.
Настройка использования смарт-карт на съемных дисках с данными
Этот параметр политики используется для того, чтобы требовать, разрешать или запрещать использование смарт-карт со съемными дисками с данными.
| Элемент | Info |
|---|---|
| Описание политики | Этот параметр политики можно использовать, чтобы указать, можно ли использовать смарт-карты для проверки подлинности доступа пользователей к съемным дискам с данными, защищенным BitLocker на компьютере. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Съемные диски с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerСъемные диски с данными |
| Конфликтов | Чтобы использовать смарт-карты с BitLocker, также может потребоваться изменить параметр идентификатора объекта в параметре политики "Конфигурация> компьютера" Административные шаблоны>Шифрования> диска BitLockerПроверка соответствия правилу использования сертификатов смарт-карта, чтобы он соответствовал идентификатору объекта смарт-карта сертификатов. |
| Если включено | Смарт-карты можно использовать для проверки подлинности доступа пользователей к диску. Проверка подлинности смарт-карта может потребоваться, установив флажок Требовать использование смарт-карт на съемных дисках с данными проверка. |
| Если параметр отключен или не настроен | Пользователям запрещено использовать смарт-карты для проверки подлинности доступа к съемным дискам с данными, защищенным BitLocker. |
| Если не настроено | Смарт-карты доступны для проверки подлинности доступа пользователей к съемому диску с данными, защищенному BitLocker. |
Справка. Настройка использования смарт-карт на съемных дисках с данными
Примечание.
Эти параметры применяются при включении BitLocker, а не при разблокировке диска. BitLocker позволяет разблокировать диск с помощью любого из доступных на нем средств защиты.
Настройка использования паролей на съемных дисках с данными
Этот параметр политики используется для того, чтобы требовать, разрешать или запрещать использование паролей со съемными дисками с данными.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно указать, требуется ли пароль для разблокировки съемных дисков с данными, защищенных BitLocker. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Съемные диски с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerСъемные диски с данными |
| Конфликтов | Чтобы использовать сложность пароля, необходимо также включить параметр политики Пароль должен соответствовать требованиям к сложности , который находится в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей . |
| Если включено | Пользователи могут настроить пароль, соответствующий определенным требованиям. Чтобы требовать использования пароля, выберите Требовать пароль для съемного диска с данными. Чтобы применить требования к сложности к паролю, выберите Требовать сложность. |
| При отключении | Пользователю запрещено использовать пароль. |
| Если не настроено | Пароли поддерживаются с параметрами по умолчанию, которые не включают требования к сложности пароля и требуют только восьми символов. |
Справка. Настройка использования паролей на съемных дисках с данными
Если использование паролей разрешено, можно настроить требование использования пароля, принудительное применение требований к сложности пароля и минимальную длину пароля. Чтобы параметр требований к сложности был эффективным, параметр групповой политики Пароль должен соответствовать требованиям к сложности, который находится в разделе Конфигурация> компьютера ПараметрыWindows>Параметры безопасности Политики учетных записей>> Политикипаролей также должны быть включены.
Примечание.
Эти параметры применяются при включении BitLocker, а не при разблокировке диска. BitLocker позволяет разблокировать диск с помощью любого из доступных на нем средств защиты.
Пароли должны содержать не менее восьми символов. Чтобы настроить большую минимальную длину пароля, введите нужное количество символов в поле Минимальная длина пароля .
Если задано значение Требовать сложность, подключение к контроллеру домена необходимо, если bitLocker включен для проверки сложности пароля.
Если задано значение Разрешить сложность, подключение к контроллеру домена пытается убедиться, что сложность соответствует правилам, заданным политикой. Однако если контроллеры домена не найдены, пароль по-прежнему принимается независимо от фактической сложности пароля, и диск шифруется с помощью этого пароля в качестве предохранителя.
Если задано значение Не разрешать сложность, проверка сложности пароля не выполняется.
Примечание.
Пароли нельзя использовать, если включено соответствие FIPS. Системная криптография: используйте совместимые с FIPS алгоритмы для шифрования, хэширования и подписывания в разделе Конфигурация> компьютераПараметры>безопасности Параметры безопасности Локальные>политики>Параметры безопасности определяет, включено ли соответствие FIPS.
Сведения об этом параметре см. в разделе Системное шифрование: использование fiPS-совместимых алгоритмов для шифрования, хэширования и подписывания.
Проверка соответствия правилу использования сертификатов интеллектуального карта
Этот параметр политики используется для определения того, какой сертификат следует использовать с BitLocker.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики идентификатор объекта из сертификата смарт-карта можно связать с диском, защищенным BitLocker. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Фиксированные и съемные диски с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование диска BitLocker |
| Конфликтов | Нет |
| Если включено | Идентификатор объекта, указанный в параметре Идентификатор объекта, должен соответствовать идентификатору объекта в сертификате смарт-карта. |
| Если параметр отключен или не настроен | Используется идентификатор объекта по умолчанию. |
Справка. Проверка соответствия правила использования сертификатов интеллектуальной карта
Этот параметр политики применяется при включении BitLocker.
Идентификатор объекта указывается в расширенном коде использования ключа (EKU) сертификата. BitLocker может определить, какие сертификаты можно использовать для проверки подлинности сертификата пользователя на диске, защищенном BitLocker, сопоставляя идентификатор объекта в сертификате с идентификатором объекта, определенным этим параметром политики.
Идентификатор объекта по умолчанию — 1.3.6.1.4.1.311.67.1.1.
Примечание.
Для BitLocker не требуется, чтобы у сертификата был атрибут EKU; Однако если сертификат настроен для сертификата, ему необходимо задать идентификатор объекта, соответствующий идентификатору объекта, настроенного для BitLocker.
Включение использования проверки подлинности BitLocker, требующей предварительной загрузки ввода с клавиатуры на слоях
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики пользователям можно разрешить включить параметры проверки подлинности, требующие ввода пользователем из предварительной среды, даже если платформа указывает на отсутствие возможности предварительного ввода. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Диск операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Нет |
| Если включено | Устройства должны иметь альтернативные средства предварительного ввода (например, подключенную USB-клавиатуру). |
| Если параметр отключен или не настроен | Среда восстановления Windows должна быть включена на планшетах для поддержки ввода пароля восстановления BitLocker. |
Справка. Включение проверки подлинности BitLocker, требующей предварительного ввода с клавиатуры на слоях
Сенсорная клавиатура Windows (например, используется планшетами) недоступна в среде предварительной загрузки, где BitLocker требует дополнительных сведений, таких как ПИН-код или пароль.
Рекомендуется, чтобы администраторы включили эту политику только для устройств, которые проверены на наличие альтернативных средств предварительного ввода, таких как подключение USB-клавиатуры.
Если среда восстановления Windows (WinRE) не включена и эта политика не включена, BitLocker нельзя включить на устройстве, использующее сенсорную клавиатуру Windows.
Если этот параметр политики не включен, следующие параметры в политике Требовать дополнительную проверку подлинности при запуске могут быть недоступны:
- Настройка ПИН-кода запуска доверенного платформенного модуля: обязательный и разрешенный
- Настройка ключа запуска доверенного платформенного модуля и ПИН-кода: обязательный и разрешенный
- Настройка использования паролей для дисков операционной системы
Запретить запись на фиксированные диски, не защищенные BitLocker
Этот параметр политики используется для требования шифрования фиксированных дисков перед предоставлением доступа на запись.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно задать, требуется ли защита BitLocker для записи фиксированных дисков с данными на компьютере. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Фиксированные диски с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerФиксированные диски с данными |
| Конфликтов | Описание конфликтов см. в разделе Справочник. |
| Если включено | Все фиксированные диски с данными, которые не защищены BitLocker, подключены как доступные только для чтения. Если диск защищен с помощью BitLocker, он подключается с доступом на чтение и запись. |
| Если параметр отключен или не настроен | Все фиксированные диски с данными на компьютере подключены с доступом на чтение и запись. |
Справка. Запрет доступа на запись к фиксированным дискам, не защищенным BitLocker
Этот параметр политики применяется при включении BitLocker.
К конфликтам относятся следующие аспекты:
Если этот параметр политики включен, пользователи получают сообщения об ошибке "Отказано в доступе" при попытке сохранить данные на незашифрованных фиксированных дисках с данными. Дополнительные конфликты см. в разделе Справочник.
Если
BdeHdCfg.exeэтот параметр политики запущен на компьютере, могут возникнуть следующие проблемы:Если была предпринята попытка сжать диск для создания системного диска, размер диска успешно уменьшается и создается необработанный раздел. Однако необработанный раздел не отформатирован. Отображается следующее сообщение об ошибке: Новый активный диск не может быть отформатирован. Возможно, потребуется вручную подготовить диск для BitLocker.
Если была предпринята попытка использовать нераспределированное пространство для создания системного диска, будет создана необработанный раздел. Однако необработанный раздел не будет отформатирован. Отображается следующее сообщение об ошибке: Новый активный диск не может быть отформатирован. Возможно, потребуется вручную подготовить диск для BitLocker.
Если была предпринята попытка объединить существующий диск с системным диском, средству не удастся скопировать необходимый загрузочный файл на целевой диск, чтобы создать системный диск. Отображается следующее сообщение об ошибке: Программа установки BitLocker не смогла скопировать загрузочные файлы. Возможно, потребуется вручную подготовить диск для BitLocker.
Если этот параметр политики применяется, жесткий диск не может быть повторно разделен, так как диск защищен. Если в организации выполняется обновление компьютеров с предыдущей версии Windows и на этих компьютерах была настроена одна секция, перед применением этого параметра политики к компьютерам необходимо создать необходимый системный раздел BitLocker.
Запретить запись на съемные диски, не защищенные BitLocker
Этот параметр политики используется для того, чтобы требовать, чтобы съемные диски были зашифрованы перед предоставлением доступа на запись, а также для управления возможностью открытия съемных дисков, защищенных BitLocker, которые были настроены в другой организации, с доступом на запись.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить, требуется ли защита BitLocker для записи данных на съемный диск компьютера. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Съемные диски с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerСъемные диски с данными |
| Конфликтов | Описание конфликтов см. в разделе Справочник. |
| Если включено | Все съемные диски с данными, которые не защищены BitLocker, подключены как доступные только для чтения. Если диск защищен с помощью BitLocker, он подключается с доступом на чтение и запись. |
| Если параметр отключен или не настроен | Все съемные диски с данными на компьютере подключены с доступом на чтение и запись. |
Справка. Запрет доступа на запись к съемным дискам, не защищенным BitLocker
Если выбран параметр Запретить доступ на запись устройствам, настроенным в другой организации , доступ на запись предоставляется только дискам с полями идентификации, соответствующими полям идентификации компьютера. При обращении к съемным диску с данными проверяется допустимое поле идентификации и допустимые поля идентификации. Эти поля определяются параметром политики Укажите уникальные идентификаторы для вашей организации .
Примечание.
Этот параметр политики можно переопределить с помощью параметров политики в разделе Конфигурация> пользователяАдминистративные шаблоны>Доступ к системе>съемных носителей. Если параметр политики Съемные диски: запретить доступ на запись включен, этот параметр политики будет игнорироваться.
К конфликтам относятся следующие аспекты:
Если параметр политики Запретить доступ на запись к съемным дискам, не защищенным с помощью BitLocker , необходимо запретить использование BitLocker с доверенным платформенный модуль плюс ПИН-код и ключ запуска.
Использование ключей восстановления должно быть запрещено, если включен параметр политики Запретить доступ на запись на съемные диски, не защищенные BitLocker .
Если требуется запретить доступ на запись к дискам, настроенным в другой организации, необходимо включить параметр укажите уникальные идентификаторы для вашей организации .
Управление использованием BitLocker на съемных дисках
Этот параметр политики используется, чтобы запретить пользователям включать или отключать BitLocker на съемных дисках с данными.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно управлять использованием BitLocker на съемных дисках с данными. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Съемные диски с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerСъемные диски с данными |
| Конфликтов | Нет |
| Если включено | Можно выбрать параметры свойств, которые определяют, как пользователи могут настраивать BitLocker. |
| При отключении | Пользователи не могут использовать BitLocker на съемных дисках с данными. |
| Если не настроено | Пользователи могут использовать BitLocker на съемных дисках с данными. |
Справка. Управление использованием BitLocker на съемных дисках
Этот параметр политики применяется при включении BitLocker.
Сведения о приостановке защиты BitLocker см. в статье Базовое развертывание BitLocker.
Параметры выбора параметров свойств, которые определяют способ настройки BitLocker пользователями:
Разрешить пользователям применять защиту BitLocker на съемных дисках с данными Позволяет пользователю запускать мастер установки BitLocker на съемном диске с данными.
Разрешить пользователям приостанавливать и расшифровывать BitLocker на съемных дисках с данными Позволяет пользователю удалить BitLocker с диска или приостановить шифрование во время обслуживания.
Выбор метода шифрования диска и надежности шифра
Этот параметр политики используется для управления методом шифрования и надежностью шифра.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно управлять методом шифрования и надежностью для дисков. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Все диски |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование диска BitLocker |
| Конфликтов | Нет |
| Если включено | Для шифрования дисков можно выбрать алгоритм шифрования и надежность шифра ключа для BitLocker. |
| Если параметр отключен или не настроен | Начиная с Windows 10 версии 1511, BitLocker использует метод шифрования по умолчанию XTS-AES 128-bit или метод шифрования, указанный в сценарии установки. |
Справка. Выбор метода шифрования диска и надежности шифра
Значения этой политики определяют надежность шифра, используемого BitLocker для шифрования. Предприятиям может потребоваться контролировать уровень шифрования для повышения безопасности (AES-256 сильнее, чем AES-128).
Если этот параметр включен, его можно настроить алгоритм шифрования и надежность шифра ключа для фиксированных дисков с данными, дисков операционной системы и съемных дисков данных по отдельности.
Для фиксированных дисков и дисков операционной системы рекомендуется использовать алгоритм XTS-AES.
Для съемных дисков следует использовать AES-CBC 128-разрядной или 256-разрядной версии AES-CBC, если диск будет использоваться на других устройствах, не работающих Windows 10 версии 1511 или более поздней.
Изменение метода шифрования не действует, если диск уже зашифрован или выполняется шифрование. В таких случаях этот параметр политики игнорируется.
Warning
Эта политика не применяется к зашифрованным дискам. Зашифрованные диски используют собственный алгоритм, который задается диском во время секционирования.
Если этот параметр политики отключен или не настроен, BitLocker будет использовать метод шифрования по умолчанию XTS-AES 128-bit или метод шифрования, указанный в скрипте установки.
Настройка использования аппаратного шифрования для фиксированных дисков данных
Эта политика определяет, как BitLocker реагирует на системы, оснащенные зашифрованными дисками, когда они используются в качестве фиксированных томов данных. Использование аппаратного шифрования может повысить производительность операций с диском, которые включают частое чтение или запись данных на диск.
| Элемент | Info |
|---|---|
| Описание политики | Этот параметр политики позволяет управлять использованием аппаратного шифрования BitLocker на фиксированных дисках с данными и указывать, какие алгоритмы шифрования BitLocker может использовать с аппаратным шифрованием. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Фиксированные диски с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerФиксированные диски с данными |
| Конфликтов | Нет |
| Если включено | Можно указать дополнительные параметры, которые определяют, используется ли программное шифрование BitLocker вместо аппаратного шифрования на компьютерах, которые не поддерживают аппаратное шифрование. Его также можно указать для ограничения алгоритмов шифрования и наборов шифров, используемых с аппаратным шифрованием. |
| При отключении | BitLocker не может использовать аппаратное шифрование с фиксированными дисками с данными, а программное шифрование BitLocker используется по умолчанию, когда диск находится в зашифрованном режиме. |
| Если не настроено | Программное шифрование BitLocker используется независимо от возможности аппаратного шифрования. |
Справка. Настройка аппаратного шифрования для фиксированных дисков данных
Примечание.
Параметр политики Выбор метода шифрования диска и надежности шифра не применяется к аппаратному шифрованию.
Алгоритм шифрования, используемый аппаратным шифрованием, устанавливается при секционировании диска. По умолчанию BitLocker использует алгоритм, настроенный на диске для шифрования диска. Параметр Ограничить алгоритмы шифрования и наборы шифров, разрешенные для аппаратного шифрования этого параметра, позволяет ограничить алгоритмы шифрования, которые BitLocker может использовать с аппаратным шифрованием. Если алгоритм, заданный для диска, недоступен, BitLocker отключает использование аппаратного шифрования. Алгоритмы шифрования задаются идентификаторами объектов (OID), например:
- Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2
- AES 256 в режиме CBC OID: 2.16.840.1.101.3.4.1.42
Настройка использования аппаратного шифрования для дисков операционной системы
Эта политика определяет реакцию BitLocker при использовании зашифрованных дисков в качестве дисков операционной системы. Использование аппаратного шифрования может повысить производительность операций с диском, которые включают частое чтение или запись данных на диск.
| Элемент | Info |
|---|---|
| Описание политики | Этот параметр политики позволяет управлять использованием шифрования BitLocker на основе оборудования на дисках операционной системы и указывает, какие алгоритмы шифрования можно использовать с аппаратным шифрованием. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Нет |
| Если включено | Можно указать дополнительные параметры, которые определяют, используется ли программное шифрование BitLocker вместо аппаратного шифрования на компьютерах, которые не поддерживают аппаратное шифрование. Его также можно указать для ограничения алгоритмов шифрования и наборов шифров, используемых с аппаратным шифрованием. |
| При отключении | BitLocker не может использовать аппаратное шифрование с дисками операционной системы, а программное шифрование BitLocker используется по умолчанию, когда диск находится в зашифрованном режиме. |
| Если не настроено | Программное шифрование BitLocker используется независимо от возможности аппаратного шифрования. |
Справка. Настройка аппаратного шифрования для дисков операционной системы
Если аппаратное шифрование недоступно, вместо этого используется программное шифрование BitLocker.
Примечание.
Параметр политики Выбор метода шифрования диска и надежности шифра не применяется к аппаратному шифрованию.
Алгоритм шифрования, используемый аппаратным шифрованием, устанавливается при секционировании диска. По умолчанию BitLocker использует алгоритм, настроенный на диске для шифрования диска. Параметр Ограничить алгоритмы шифрования и наборы шифров, разрешенные для аппаратного шифрования этого параметра, позволяет ограничить алгоритмы шифрования, которые BitLocker может использовать с аппаратным шифрованием. Если алгоритм, заданный для диска, недоступен, BitLocker отключает использование аппаратного шифрования. Алгоритмы шифрования задаются идентификаторами объектов (OID), например:
- Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2
- AES 256 в режиме CBC OID: 2.16.840.1.101.3.4.1.42
Настройка использования аппаратного шифрования для съемных дисков с данными
Эта политика определяет, как BitLocker реагирует на зашифрованные диски, когда они используются в качестве съемных дисков с данными. Использование аппаратного шифрования может повысить производительность операций с диском, которые включают частое чтение или запись данных на диск.
| Элемент | Info |
|---|---|
| Описание политики | Этот параметр политики позволяет управлять использованием аппаратного шифрования BitLocker на съемных дисках с данными и указывает, какие алгоритмы шифрования можно использовать с аппаратным шифрованием. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Съемный диск с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerСъемные диски с данными |
| Конфликтов | Нет |
| Если включено | Можно указать дополнительные параметры, которые определяют, используется ли программное шифрование BitLocker вместо аппаратного шифрования на компьютерах, которые не поддерживают аппаратное шифрование. Его также можно указать для ограничения алгоритмов шифрования и наборов шифров, используемых с аппаратным шифрованием. |
| При отключении | BitLocker не может использовать аппаратное шифрование со съемными дисками с данными, а программное шифрование BitLocker используется по умолчанию, когда диск находится в зашифрованном режиме. |
| Если не настроено | Программное шифрование BitLocker используется независимо от возможности аппаратного шифрования. |
Справка. Настройка аппаратного шифрования для съемных дисков с данными
Если аппаратное шифрование недоступно, вместо этого используется программное шифрование BitLocker.
Примечание.
Параметр политики Выбор метода шифрования диска и надежности шифра не применяется к аппаратному шифрованию.
Алгоритм шифрования, используемый аппаратным шифрованием, устанавливается при секционировании диска. По умолчанию BitLocker использует алгоритм, настроенный на диске для шифрования диска. Параметр Ограничить алгоритмы шифрования и наборы шифров, разрешенные для аппаратного шифрования этого параметра, позволяет ограничить алгоритмы шифрования, которые BitLocker может использовать с аппаратным шифрованием. Если алгоритм, заданный для диска, недоступен, BitLocker отключает использование аппаратного шифрования. Алгоритмы шифрования задаются идентификаторами объектов (OID), например:
- Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2
- AES 256 в режиме CBC OID: 2.16.840.1.101.3.4.1.42
Применение типа шифрования диска на фиксированных дисках с данными
Эта политика определяет, используется ли шифрование только используемого пространства для фиксированных дисков данных или полное шифрование. Установка этой политики также приводит к тому, что мастер установки BitLocker пропустит страницу параметров шифрования, чтобы пользователь не отображал выбранный параметр шифрования.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить тип шифрования, используемый BitLocker. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Фиксированный диск с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerФиксированные диски с данными |
| Конфликтов | Нет |
| Если включено | Эта политика определяет тип шифрования, который BitLocker использует для шифрования дисков, и параметр типа шифрования не отображается в мастере установки BitLocker. |
| Если параметр отключен или не настроен | Мастер установки BitLocker просит пользователя выбрать тип шифрования перед включением BitLocker. |
Справка. Применение типа шифрования диска на фиксированных дисках с данными
Этот параметр политики применяется при включении BitLocker. Изменение типа шифрования не действует, если диск уже зашифрован или выполняется шифрование. Выберите Полное шифрование, чтобы сделать его обязательным для шифрования всего диска при включении BitLocker. Выберите шифрование только используемого пространства, чтобы сделать обязательным шифрование только той части диска, которая используется для хранения данных при включении BitLocker.
Примечание.
Эта политика игнорируется, если том сжимается или расширяется, а диск BitLocker использует текущий метод шифрования. Например, когда диск, использующий шифрование только используемого пространства, расширяется, новое свободное пространство не очищается, как для диска с полным шифрованием. Пользователь может очистить свободное место на диске только для используемого пространства с помощью следующей команды: manage-bde.exe -w. Если том сжат, для нового свободного пространства не выполняется никаких действий.
Дополнительные сведения о средстве для управления BitLocker см. в разделе Manage-bde.
Принудительное применение типа шифрования диска на дисках операционной системы
Эта политика определяет, использует ли диски операционной системы полное шифрование или шифрование только используемого пространства. Установка этой политики также приводит к тому, что мастер установки BitLocker пропустит страницу параметров шифрования, поэтому выбор шифрования не отображается для пользователя.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить тип шифрования, используемый BitLocker. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Диск операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Нет |
| Если включено | Тип шифрования, который BitLocker использует для шифрования дисков, определяется этой политикой, и параметр типа шифрования не отображается в мастере установки BitLocker. |
| Если параметр отключен или не настроен | Мастер установки BitLocker просит пользователя выбрать тип шифрования перед включением BitLocker. |
Справка. Применение типа шифрования диска на дисках операционной системы
Этот параметр политики применяется при включении BitLocker. Изменение типа шифрования не действует, если диск уже зашифрован или выполняется шифрование. Выберите Полное шифрование, чтобы сделать его обязательным для шифрования всего диска при включении BitLocker. Выберите шифрование только используемого пространства, чтобы сделать обязательным шифрование только той части диска, которая используется для хранения данных при включении BitLocker.
Примечание.
Эта политика игнорируется при сжатии или расширении тома, а драйвер BitLocker использует текущий метод шифрования. Например, при расширении диска, использующего шифрование только используемого пространства, новое свободное пространство не очищается, как для диска, использующего полное шифрование. Пользователь может очистить свободное место на диске только для используемого пространства с помощью следующей команды: manage-bde.exe -w. Если том сжат, для нового свободного пространства не выполняется никаких действий.
Дополнительные сведения о средстве для управления BitLocker см. в разделе Manage-bde.
Применение типа шифрования диска на съемных дисках с данными
Эта политика определяет, используется ли для фиксированных дисков данных полное шифрование или шифрование только используемого пространства. Установка этой политики также приводит к тому, что мастер установки BitLocker пропустит страницу параметров шифрования, поэтому выбор шифрования не отображается для пользователя.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить тип шифрования, используемый BitLocker. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Съемный диск с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerСъемные диски с данными |
| Конфликтов | Нет |
| Если включено | Тип шифрования, который BitLocker использует для шифрования дисков, определяется этой политикой, и параметр типа шифрования не отображается в мастере установки BitLocker. |
| Если параметр отключен или не настроен | Мастер установки BitLocker просит пользователя выбрать тип шифрования перед включением BitLocker. |
Справка. Применение типа шифрования диска на съемных дисках с данными
Этот параметр политики применяется при включении BitLocker. Изменение типа шифрования не действует, если диск уже зашифрован или выполняется шифрование. Выберите Полное шифрование, чтобы сделать его обязательным для шифрования всего диска при включении BitLocker. Выберите шифрование только используемого пространства, чтобы сделать обязательным шифрование только той части диска, которая используется для хранения данных при включении BitLocker.
Примечание.
Эта политика игнорируется при сжатии или расширении тома, а драйвер BitLocker использует текущий метод шифрования. Например, когда диск, использующий шифрование только используемого пространства, расширяется, новое свободное пространство не очищается, как для диска, использующий полное шифрование. Пользователь может очистить свободное место на диске только для используемого пространства с помощью следующей команды: manage-bde.exe -w. Если том сжат, для нового свободного пространства не выполняется никаких действий.
Дополнительные сведения о средстве для управления BitLocker см. в разделе Manage-bde.
Выберите способы восстановления дисков операционной системы с защитой BitLocker
Этот параметр политики используется для настройки методов восстановления для дисков операционной системы.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно управлять восстановлением дисков операционной системы, защищенных BitLocker, при отсутствии необходимых сведений о ключе запуска. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Использование ключей восстановления должно быть запрещено, если включен параметр политики Запретить доступ на запись на съемные диски, не защищенные BitLocker . При использовании агентов восстановления данных необходимо включить параметр политики Укажите уникальные идентификаторы для организации . |
| Если включено | можно контролировать методы, доступные пользователям для восстановления данных с дисков операционной системы, защищенных BitLocker. |
| Если параметр отключен или не настроен | Параметры восстановления по умолчанию поддерживаются для восстановления BitLocker. По умолчанию агент восстановления данных разрешен, параметры восстановления могут быть указаны пользователем (включая пароль восстановления и ключ восстановления), а сведения о восстановлении не резервируются в AD DS. |
Справка. Выбор способа восстановления дисков операционной системы, защищенных BitLocker
Этот параметр политики применяется при включении BitLocker.
Поле Разрешить агент восстановления данных проверка используется для указания того, можно ли использовать агент восстановления данных с дисками операционной системы, защищенными BitLocker. Прежде чем можно будет использовать агент восстановления данных, его необходимо добавить из политики открытых ключей, которая находится в консоли управления групповая политика (GPMC) или в редакторе локальных групповая политика.
Дополнительные сведения о добавлении агентов восстановления данных см. в статье Базовое развертывание BitLocker.
В разделе Настройка пользовательского хранилища сведений о восстановлении BitLocker укажите, разрешено ли пользователям создавать 48-значный пароль восстановления.
Выберите Опустить параметры восстановления в мастере настройки BitLocker , чтобы запретить пользователям указывать параметры восстановления при включении BitLocker на диске. Этот параметр политики означает, что невозможно указать, какой параметр восстановления следует использовать при включении BitLocker. Вместо этого параметры восстановления BitLocker для диска определяются параметром политики.
В разделе Сохранение сведений о восстановлении BitLocker в доменные службы Active Directory выберите, какие сведения о восстановлении BitLocker следует хранить в доменные службы Active Directory (AD DS) для дисков операционной системы. Если выбран параметр Сохранить пароль восстановления и пакеты ключей , пароль восстановления BitLocker и пакет ключей хранятся в AD DS. Хранение пакета ключей поддерживает восстановление данных с физически поврежденного диска. Если выбран параметр Сохранить только пароль восстановления , в AD DS сохраняется только пароль восстановления.
Установите флажок Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы проверка, если пользователям необходимо запретить включение BitLocker, если компьютер не подключен к домену и резервное копирование сведений о восстановлении BitLocker в AD DS будет выполнено успешно.
Примечание.
Если установлен флажок Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы проверка, автоматически создается пароль восстановления.
Выбор способа восстановления дисков, защищенных BitLocker (Windows Server 2008 и Windows Vista)
Этот параметр политики используется для настройки методов восстановления для дисков, защищенных BitLocker, на компьютерах под управлением Windows Server 2008 или Windows Vista.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно контролировать, может ли мастер установки BitLocker отображать и указывать параметры восстановления BitLocker. |
| Введены | Windows Server 2008 и Windows Vista |
| Тип диска | Диски операционной системы и фиксированные диски данных на компьютерах под управлением Windows Server 2008 и Windows Vista |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование диска BitLocker |
| Конфликтов | Этот параметр политики предоставляет административный метод восстановления данных, зашифрованных с помощью BitLocker, чтобы предотвратить потерю данных из-за отсутствия ключевых сведений. Если параметр Не разрешать выбран для обоих вариантов восстановления пользователей, необходимо включить параметр политики Хранение сведений о восстановлении BitLocker в доменные службы Active Directory (Windows Server 2008 и Windows Vista), чтобы предотвратить ошибку политики. |
| Если включено | Можно настроить параметры, которые мастер установки BitLocker отображает пользователям для восстановления зашифрованных данных BitLocker. |
| Если параметр отключен или не настроен | Мастер установки BitLocker предоставляет пользователям способы хранения параметров восстановления. |
Справка. Выбор способа восстановления дисков, защищенных BitLocker (Windows Server 2008 и Windows Vista)
Эта политика применима только к компьютерам под управлением Windows Server 2008 или Windows Vista. Этот параметр политики применяется при включении BitLocker.
Два варианта восстановления можно использовать для разблокировки зашифрованных BitLocker данных при отсутствии необходимых сведений о ключе запуска. Пользователи могут ввести 48-значный цифровой пароль восстановления или вставить USB-накопитель, содержащий 256-разрядный ключ восстановления.
- При сохранении пароля восстановления на USB-диск 48-значный пароль восстановления сохраняется в виде текстового файла, а 256-разрядный ключ восстановления — как скрытый файл.
- При сохранении пароля восстановления в папке сохраняется 48-значный пароль восстановления в виде текстового файла.
- При печати пароля восстановления 48-значный пароль восстановления отправляется на принтер по умолчанию.
Например, если не разрешить 48-значный пароль восстановления, пользователи не могут печатать или сохранять сведения о восстановлении в папку.
Важно.
Если во время настройки BitLocker выполняется инициализация доверенного платформенного модуля, сведения о владельце доверенного платформенного модуля сохраняются или печатаются вместе со сведениями о восстановлении BitLocker. Пароль восстановления из 48 цифр недоступен в режиме соответствия FIPS.
Важно.
Чтобы предотвратить потерю данных, должен быть способ восстановления ключей шифрования BitLocker. Если оба варианта восстановления не разрешены, необходимо включить резервное копирование сведений о восстановлении BitLocker в AD DS. В противном случае возникает ошибка политики.
Хранение сведений о восстановлении BitLocker в доменные службы Active Directory (Windows Server 2008 и Windows Vista)
Этот параметр политики используется для настройки хранения сведений о восстановлении BitLocker в AD DS. Этот параметр политики предоставляет административный метод восстановления данных, зашифрованных с помощью BitLocker, чтобы предотвратить потерю данных из-за отсутствия ключевых сведений.
| Элемент | Info |
|---|---|
| Описание политики | Этот параметр политики позволяет управлять резервными копиями AD DS сведений о восстановлении шифрования диска BitLocker. |
| Введены | Windows Server 2008 и Windows Vista |
| Тип диска | Диски операционной системы и фиксированные диски данных на компьютерах под управлением Windows Server 2008 и Windows Vista. |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование диска BitLocker |
| Конфликтов | Нет |
| Если включено | Сведения о восстановлении BitLocker автоматически и автоматически резервируются в AD DS, когда BitLocker включен для компьютера. |
| Если параметр отключен или не настроен | Сведения о восстановлении BitLocker не резервируются в AD DS. |
Справка. Хранение сведений о восстановлении BitLocker в доменные службы Active Directory (Windows Server 2008 и Windows Vista)
Эта политика применима только к компьютерам под управлением Windows Server 2008 или Windows Vista.
Этот параметр политики применяется при включении BitLocker.
Сведения о восстановлении BitLocker включают пароль восстановления и данные уникального идентификатора. Также можно включить пакет, содержащий ключ шифрования для диска, защищенного BitLocker. Этот пакет ключей защищен одним или несколькими паролями восстановления, и он может помочь выполнить специализированное восстановление при повреждении или повреждении диска.
Если выбран параметр Требовать резервное копирование BitLocker в AD DS , BitLocker нельзя включить, если компьютер не подключен к домену и резервное копирование сведений о восстановлении BitLocker в AD DS будет выполнено успешно. Этот параметр выбран по умолчанию, чтобы обеспечить возможность восстановления BitLocker.
Пароль восстановления — это 48-значный номер, который разблокирует доступ к диску, защищенному BitLocker. Пакет ключей содержит ключ шифрования BitLocker диска, который защищен одним или несколькими паролями восстановления. Пакеты ключей могут помочь выполнить специализированное восстановление при повреждении или повреждении диска.
Если параметр Требовать резервное копирование BitLocker в AD DS не выбран, выполняется попытка резервного копирования AD DS, но сбои сети или другие резервные копии не препятствуют настройке BitLocker. Процесс резервного копирования не выполняется автоматически, и пароль восстановления может не храниться в AD DS во время настройки BitLocker. Во время настройки BitLocker может потребоваться инициализация доверенного платформенного модуля. Включите параметр политики Включить резервное копирование доверенного платформенного модуля для доменные службы Active Directory в разделе Конфигурация компьютера>Административные шаблоны>Службы>доверенных платформенных модулей, чтобы обеспечить резервное копирование данных доверенного платформенного модуля.
Дополнительные сведения об этом параметре см. в разделе Параметры групповая политика доверенного платформенного модуля.
Выбор папки по умолчанию для пароля восстановления
Этот параметр политики используется для настройки папки по умолчанию для паролей восстановления.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно указать путь по умолчанию, который отображается, когда мастер установки BitLocker предлагает пользователю ввести расположение папки, в которой нужно сохранить пароль восстановления. |
| Введены | Windows Vista |
| Тип диска | Все диски |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование диска BitLocker |
| Конфликтов | Нет |
| Если включено | Можно указать путь, который будет использоваться в качестве расположения папки по умолчанию, когда пользователь выбирает параметр для сохранения пароля восстановления в папке. Можно указать полный путь. Переменные среды целевого компьютера также можно включить в путь. Если путь недопустим, мастер установки BitLocker отображает представление папок верхнего уровня компьютера. |
| Если параметр отключен или не настроен | Мастер установки BitLocker отображает представление папок верхнего уровня компьютера, когда пользователь выбирает параметр сохранения пароля восстановления в папке. |
Справка. Выберите папку по умолчанию для пароля восстановления.
Этот параметр политики применяется при включении BitLocker.
Примечание.
Этот параметр политики не запрещает пользователю сохранять пароль восстановления в другой папке.
Выберите способы восстановления фиксированных дисков с защитой BitLocker
Этот параметр политики используется для настройки методов восстановления для фиксированных дисков с данными.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно управлять восстановлением фиксированных дисков с данными, защищенных BitLocker, при отсутствии необходимых учетных данных. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Фиксированные диски с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerФиксированные диски с данными |
| Конфликтов | Использование ключей восстановления должно быть запрещено, если включен параметр политики Запретить доступ на запись на съемные диски, не защищенные BitLocker . При использовании агентов восстановления данных необходимо включить параметр политики Укажите уникальные идентификаторы для организации . |
| Если включено | он может управлять методами, доступными пользователями для восстановления данных с фиксированных дисков с фиксированными данными, защищенными BitLocker. |
| Если параметр отключен или не настроен | Параметры восстановления по умолчанию поддерживаются для восстановления BitLocker. По умолчанию агент восстановления данных разрешен, параметры восстановления могут быть указаны пользователем (включая пароль восстановления и ключ восстановления), а сведения о восстановлении не резервируются в AD DS. |
Справка. Выбор способа восстановления фиксированных дисков, защищенных BitLocker
Этот параметр политики применяется при включении BitLocker.
Поле Разрешить агент восстановления данных проверка используется, чтобы указать, можно ли использовать агент восстановления данных с фиксированными дисками с фиксированными данными, защищенными BitLocker. Прежде чем можно будет использовать агент восстановления данных, его необходимо добавить из политики открытых ключей, которая находится в консоли управления групповая политика (GPMC) или в редакторе локальных групповая политика.
В разделе Настройка пользовательского хранилища сведений о восстановлении BitLocker выберите, можно ли пользователям разрешать, требовать или не разрешать создавать 48-значный пароль восстановления или 256-разрядный ключ восстановления.
Выберите Опустить параметры восстановления в мастере настройки BitLocker , чтобы запретить пользователям указывать параметры восстановления при включении BitLocker на диске. Этот параметр политики означает, что невозможно указать, какой параметр восстановления следует использовать при включении BitLocker. Вместо этого параметры восстановления BitLocker для диска определяются параметром политики.
В разделе Сохранение сведений о восстановлении BitLocker для доменные службы Active Directory выберите сведения о восстановлении BitLocker для хранения в AD DS для фиксированных дисков с данными. Если выбраны пароль восстановления резервного копирования и пакет ключей , пароль восстановления BitLocker и пакет ключей хранятся в AD DS. Хранение пакета ключей поддерживает восстановление данных с диска, который был физически поврежден. Для восстановления этих данных Repair-bde.exe можно использовать программу командной строки. Если выбран только пароль восстановления резервного копирования , в AD DS сохраняется только пароль восстановления.
Дополнительные сведения о средстве восстановления BitLocker см. в разделе Repair-bde.
Установите флажок Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными проверка, если пользователям следует запретить включение BitLocker, если компьютер не подключен к домену и резервное копирование сведений о восстановлении BitLocker в AD DS будет выполнено успешно.
Примечание.
Если установлен флажок Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными проверка, автоматически создается пароль восстановления.
Выберите, как можно восстановить съемные диски с защитой BitLocker
Этот параметр политики используется для настройки методов восстановления для съемных дисков с данными.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно управлять восстановлением съемных дисков с данными, защищенных BitLocker, при отсутствии необходимых учетных данных. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Съемные диски с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerСъемные диски с данными |
| Конфликтов | Использование ключей восстановления должно быть запрещено, если включен параметр политики Запретить доступ на запись на съемные диски, не защищенные BitLocker . При использовании агентов восстановления данных необходимо включить параметр политики Укажите уникальные идентификаторы для организации . |
| Если включено | он может управлять методами, доступными пользователям для восстановления данных с защищенных BitLocker съемных дисков с данными. |
| Если параметр отключен или не настроен | Параметры восстановления по умолчанию поддерживаются для восстановления BitLocker. По умолчанию агент восстановления данных разрешен, параметры восстановления могут быть указаны пользователем (включая пароль восстановления и ключ восстановления), а сведения о восстановлении не резервируются в AD DS. |
Справка. Выбор способа восстановления съемных дисков, защищенных BitLocker
Этот параметр политики применяется при включении BitLocker.
Поле Разрешить агент восстановления данных проверка используется, чтобы указать, можно ли использовать агент восстановления данных со съемными дисками, защищенными BitLocker. Прежде чем можно будет использовать агент восстановления данных, его необходимо добавить из политики открытых ключей , доступ к которой осуществляется с помощью GPMC или редактора локальных групповая политика.
В разделе Настройка пользовательского хранилища сведений о восстановлении BitLocker укажите, разрешено ли пользователям создавать 48-значный пароль восстановления.
Выберите Опустить параметры восстановления в мастере настройки BitLocker , чтобы запретить пользователям указывать параметры восстановления при включении BitLocker на диске. Этот параметр политики означает, что невозможно указать, какой параметр восстановления следует использовать при включении BitLocker. Вместо этого параметры восстановления BitLocker для диска определяются параметром политики.
В разделе Сохранение сведений о восстановлении BitLocker в доменные службы Active Directory выберите, какие сведения о восстановлении BitLocker будут храниться в AD DS для съемных дисков с данными. Если выбраны пароль восстановления резервного копирования и пакет ключей , пароль восстановления BitLocker и пакет ключей хранятся в AD DS. Если выбран только пароль восстановления резервного копирования , в AD DS сохраняется только пароль восстановления.
Установите флажок Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для съемных дисков с данными проверка если пользователям следует запретить включение BitLocker, если компьютер не подключен к домену и резервное копирование сведений о восстановлении BitLocker в AD DS будет выполнено успешно.
Примечание.
Если установлен флажок Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными проверка, автоматически создается пароль восстановления.
Настройка сообщения о восстановлении перед загрузкой и URL-адреса
Этот параметр политики используется для настройки всего сообщения о восстановлении и замены существующего URL-адреса, который отображается на экране восстановления перед загрузкой, когда диск операционной системы заблокирован.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить экран восстановления BitLocker для отображения настраиваемого сообщения и URL-адреса. |
| Введены | Windows |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLocker Диски >операционной системыНастройка сообщения и URL-адреса восстановления перед загрузкой |
| Конфликтов | Нет |
| Если включено | Настраиваемое сообщение и URL-адрес отображаются на экране восстановления перед загрузкой. Если ранее были включены пользовательское сообщение восстановления и URL-адрес, а сообщение и URL-адрес необходимо вернуть обратно к сообщению и URL-адресу по умолчанию, необходимо включить параметр политики и выбрать параметр Использовать сообщение восстановления и URL-адрес по умолчанию . |
| Если параметр отключен или не настроен | Если параметр ранее не был включен, отображается экран восстановления перед загрузкой по умолчанию для восстановления BitLocker. Если параметр ранее был включен, а затем отключен, отображается последнее сообщение в данных конфигурации загрузки (BCD) независимо от того, было ли это сообщение восстановления по умолчанию или настраиваемое сообщение. |
Справка. Настройка сообщения о восстановлении перед загрузкой и URL-адреса
Включение параметра политики Настройка сообщения о восстановлении перед загрузкой и URL-адреса позволяет настроить сообщение и URL-адрес экрана восстановления по умолчанию, чтобы помочь клиентам восстановить ключ.
После включения параметра доступны три параметра:
- Если выбран параметр Использовать сообщение восстановления по умолчанию и URL-адрес , на экране восстановления перед загрузкой будут отображаться сообщение и URL-адрес восстановления BitLocker по умолчанию.
- Если выбран параметр Использовать пользовательское сообщение о восстановлении , введите настраиваемое сообщение в текстовое поле Настраиваемые сообщения о восстановлении . Сообщение, введенное в текстовое поле Настраиваемое сообщение о восстановлении , отображается на экране восстановления перед загрузкой. Если URL-адрес восстановления доступен, добавьте его в сообщение.
- Если выбран параметр Использовать настраиваемый URL-адрес восстановления , введите URL-адрес настраиваемого сообщения в текстовое поле Параметр Настраиваемый URL-адрес восстановления . URL-адрес, указанный в текстовом поле Настраиваемый URL-адрес восстановления , заменяет URL-адрес по умолчанию в сообщении о восстановлении по умолчанию, которое отображается на экране восстановления перед загрузкой.
Важно.
Не все символы и языки поддерживаются в среде перед загрузкой. Настоятельно рекомендуется проверить правильный внешний вид символов, которые используются для настраиваемого сообщения и URL-адреса на экране восстановления перед загрузкой.
Важно.
Так как команды BCDEdit можно изменить вручную до установки групповая политика параметров, параметр политики нельзя вернуть к параметру по умолчанию, выбрав параметр Не настроен после настройки этого параметра политики. Чтобы вернуться к экрану восстановления перед загрузкой по умолчанию, оставьте параметр политики включенным и выберите параметр Использовать сообщение по умолчанию в раскрывающемся списке Выбор параметра для сообщения о восстановлении перед загрузкой .
Разрешить безопасную загрузку для проверки целостности
Эта политика определяет, как системные тома с поддержкой BitLocker обрабатываются с помощью функции безопасной загрузки. Включение этой функции принудительно выполняет проверку безопасной загрузки во время загрузки и проверяет параметры данных конфигурации загрузки (BCD) в соответствии с политикой безопасной загрузки.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить, разрешена ли безопасная загрузка в качестве поставщика целостности платформы для дисков операционной системы BitLocker. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Все диски |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Если включен параметр Разрешить безопасную загрузку для проверки целостности, убедитесь, что профиль проверки платформы TPM для собственных конфигураций встроенного ПО UEFI групповая политика не включен, или включите PCR 7, чтобы разрешить BitLocker использовать безопасную загрузку для проверки целостности платформы или BCD. Дополнительные сведения о PCR 7 см. в разделе Сведения о регистре конфигурации платформы (PCR) в этой статье. |
| Если включена или не настроена | BitLocker использует безопасную загрузку для целостности платформы, если платформа поддерживает проверку целостности на основе безопасной загрузки. |
| При отключении | BitLocker использует устаревшую проверку целостности платформы даже в системах, которые могут выполнять проверку целостности на основе безопасной загрузки. |
Справка. Разрешить безопасную загрузку для проверки целостности
Безопасная загрузка гарантирует, что среда перед загрузкой компьютера загружает только встроенное ПО, которое имеет цифровую подпись авторизованных издателей программного обеспечения. Безопасная загрузка также стала более гибкой для управления конфигурациями перед загрузкой, чем проверки целостности BitLocker до Windows Server 2012 и Windows 8.
Если эта политика включена и оборудование может использовать безопасную загрузку для сценариев BitLocker, параметр групповой политики Использовать профиль проверки данных расширенной конфигурации загрузки игнорируется, а безопасная загрузка проверяет параметры BCD в соответствии с параметром политики безопасной загрузки, настроенным отдельно от BitLocker.
Warning
Отключение этой политики может привести к восстановлению BitLocker при обновлении встроенного ПО конкретного производителя. Если эта политика отключена, приостановите BitLocker перед применением обновлений встроенного ПО.
Укажите уникальные идентификаторы для вашей организации
Этот параметр политики используется для установки идентификатора, который применяется ко всем дискам, зашифрованным в организации.
| Элемент | Info |
|---|---|
| Описание политики | Этот параметр политики позволяет связать уникальные идентификаторы организации с новым диском, включенным с помощью BitLocker. |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Все диски |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование диска BitLocker |
| Конфликтов | Поля идентификации необходимы для управления агентами восстановления данных на основе сертификатов на дисках, защищенных BitLocker. BitLocker управляет и обновляет агенты восстановления данных на основе сертификатов только в том случае, если поле идентификации присутствует на диске и совпадает со значением, настроенным на компьютере. |
| Если включено | Можно настроить поле идентификации на диске, защищенном BitLocker, и любое разрешенное поле идентификации, используемое организацией. |
| Если параметр отключен или не настроен | Поле идентификации не является обязательным. |
Справка. Укажите уникальные идентификаторы для вашей организации.
Эти идентификаторы хранятся в качестве поля идентификации и поля разрешенной идентификации. Поле идентификации позволяет сопоставлению уникального идентификатора организации с дисками, защищенными BitLocker. Этот идентификатор автоматически добавляется на новые диски, защищенные BitLocker, и его можно обновить на существующих дисках, защищенных BitLocker, с помощью средства командной строки Manage-bde .
Поле идентификации требуется для управления агентами восстановления данных на основе сертификатов на дисках, защищенных BitLocker, и для потенциальных обновлений средства чтения BitLocker To Go. BitLocker управляет и обновляет агенты восстановления данных, только если поле идентификации на диске соответствует значению, настроенное в поле идентификации. Аналогичным образом BitLocker обновляет средство чтения BitLocker To Go только в том случае, если значение поля идентификации на диске совпадает со значением, настроенным для поля идентификации.
Дополнительные сведения о средстве для управления BitLocker см. в разделе Manage-bde.
Поле разрешенной идентификации используется в сочетании с параметром политики Запретить доступ на запись на съемные диски, не защищенные BitLocker , чтобы контролировать использование съемных дисков в организации. Это разделенный запятыми список полей идентификации из внутренней организации или внешних организаций.
Поля идентификации на существующих дисках можно настроить с помощью средства командной строки Manage-bde .
Когда диск, защищенный BitLocker, подключен к другому компьютеру с поддержкой BitLocker, поле идентификации и поле разрешенной идентификации используются для определения того, является ли диск из внешней организации.
В полях идентификации и разрешенных идентификаторов можно ввести несколько значений, разделенных запятыми. Поле идентификации может содержать любое значение до 260 символов.
Предотвращение перезаписи памяти при перезапуске
Этот параметр политики используется для управления перезаписью памяти компьютера при следующем перезапуске компьютера.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно управлять производительностью перезагрузки компьютера с риском раскрытия секретов BitLocker. |
| Введены | Windows Vista |
| Тип диска | Все диски |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование диска BitLocker |
| Конфликтов | Нет |
| Если включено | При перезагрузке компьютер не перезаписывает память. Предотвращение перезаписи памяти может повысить производительность перезапуска, но это повышает риск раскрытия секретов BitLocker. |
| Если параметр отключен или не настроен | Секреты BitLocker удаляются из памяти при перезагрузке компьютера. |
Справка. Предотвращение перезаписи памяти при перезапуске
Этот параметр политики применяется при включении BitLocker. Секреты BitLocker включают в себя материал ключа, используемый для шифрования данных. Этот параметр политики применяется только в том случае, если включена защита BitLocker.
Настройка профиля проверки платформы доверенного платформы для конфигураций встроенного ПО на основе BIOS
Этот параметр политики определяет, какие значения измеряет доверенный платформенный модуль при проверке компонентов ранней загрузки перед разблокировкой диска операционной системы на компьютере с конфигурацией BIOS или встроенного ПО UEFI с включенным модулем поддержки совместимости (CSM).
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить, как оборудование безопасности доверенного платформенного модуля компьютера защищает ключ шифрования BitLocker. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Нет |
| Если включено | Компоненты загрузки, которые доверенный платформенный модуль проверяет перед разблокировками доступа к диску операционной системы с шифрованием BitLocker, можно настроить. Если какой-либо из этих компонентов изменяется во время действия защиты BitLocker, TPM не освобождает ключ шифрования для разблокировки диска. Вместо этого на компьютере отображается консоль восстановления BitLocker и требуется предоставить пароль восстановления или ключ восстановления для разблокировки диска. |
| Если параметр отключен или не настроен | TPM использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный в скрипте установки. |
Справка. Настройка профиля проверки платформы доверенного платформенного модуля для конфигураций встроенного ПО на основе BIOS
Этот параметр политики не применяется, если на компьютере нет совместимого доверенного платформенного модуля или если BitLocker уже включен с защитой доверенного платформенного модуля.
Важно.
Этот групповая политика параметр применяется только к компьютерам с конфигурациями BIOS или компьютерам с встроенным встроенным ПО UEFI с включенным CSM. Компьютеры, использующие собственную конфигурацию встроенного ПО UEFI, хранят различные значения в регистрах конфигурации платформы (PCR). Используйте профиль проверки платформы TPM для собственных конфигураций встроенного ПО UEFI групповая политика параметр, чтобы настроить профиль PCR доверенного платформенного модуля для компьютеров, использующих встроенное ПО UEFI.
Профиль проверки платформы состоит из набора индексов PCR в диапазоне от 0 до 23. Профиль проверки платформы по умолчанию защищает ключ шифрования от изменений в следующих PCR:
- Core Root of Trust of Measurement (CRTM), BIOS и Platform Extensions (PCR 0)
- Код ПЗУ параметра (PCR 2)
- Код главной загрузочной записи (MBR) (PCR 4)
- Загрузочный сектор NTFS (PCR 8)
- Загрузочный блок NTFS (PCR 9)
- Диспетчер загрузки (PCR 10)
- BitLocker контроль доступа (PCR 11)
Примечание.
Изменение профиля проверки платформы по умолчанию влияет на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным) увеличивается или уменьшается в зависимости от включения или исключения (соответственно) PCR.
В следующем списке указаны все доступные PCR:
- PCR 0: основной корень доверия для измерений, BIOS и расширений платформы
- PCR 1: конфигурация и данные платформы и системной платы.
- PCR 2: код ПЗУ параметра
- PCR 3: данные и конфигурация дополнительного ПЗУ
- PCR 4: код основной загрузочной записи (MBR)
- PCR 5: таблица разделов основной загрузочной записи (MBR)
- PCR 6: события перехода состояния и пробуждения
- PCR 7: конкретный производитель компьютера
- PCR 8: загрузочный сектор NTFS
- PCR 9: загрузочный блок NTFS
- PCR 10: диспетчер загрузки
- PCR 11: управление доступом BitLocker
- PCR 12-23: зарезервировано для использования в будущем
Настройка профиля проверки платформы доверенного платформенного модуля (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)
Этот параметр политики определяет, какие значения измеряет доверенный платформенный модуль при проверке компонентов ранней загрузки перед разблокировкой диска на компьютере под управлением Windows Vista, Windows Server 2008 или Windows 7.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить, как оборудование безопасности доверенного платформенного модуля компьютера защищает ключ шифрования BitLocker. |
| Введены | Windows Server 2008 и Windows Vista |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Нет |
| Если включено | Компоненты загрузки, которые доверенный платформенный модуль проверяет перед разблокировками доступа к диску операционной системы с шифрованием BitLocker, можно настроить. Если какой-либо из этих компонентов изменяется во время действия защиты BitLocker, TPM не освобождает ключ шифрования для разблокировки диска. Вместо этого на компьютере отображается консоль восстановления BitLocker и требуется предоставить пароль восстановления или ключ восстановления для разблокировки диска. |
| Если параметр отключен или не настроен | TPM использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный в скрипте установки. |
Справка. Настройка профиля проверки платформы доверенного платформенного модуля (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)
Этот параметр политики не применяется, если на компьютере нет совместимого доверенного платформенного модуля или если BitLocker уже включен с защитой доверенного платформенного модуля.
Профиль проверки платформы состоит из набора индексов PCR в диапазоне от 0 до 23. Профиль проверки платформы по умолчанию защищает ключ шифрования от изменений в следующих PCR:
- Core Root of Trust of Measurement (CRTM), BIOS и Platform Extensions (PCR 0)
- Код ПЗУ параметра (PCR 2)
- Код главной загрузочной записи (MBR) (PCR 4)
- Загрузочный сектор NTFS (PCR 8)
- Загрузочный блок NTFS (PCR 9)
- Диспетчер загрузки (PCR 10)
- BitLocker контроль доступа (PCR 11)
Примечание.
Параметры PCR профиля проверки доверенного платформенного модуля по умолчанию для компьютеров, использующих расширяемый интерфейс встроенного ПО (EFI), — это только PCR 0, 2, 4 и 11.
В следующем списке указаны все доступные PCR:
- PCR 0: основной корень доверия для измерения, службы загрузки EFI и времени выполнения, драйверы EFI, встроенные в ПЗУ системы, статические таблицы ACPI, внедренный код СММ и код BIOS
- PCR 1: конфигурация и данные платформы и системной платы. Таблицы передачи и переменные EFI, влияющие на конфигурацию системы
- PCR 2: код ПЗУ параметра
- PCR 3: данные и конфигурация дополнительного ПЗУ
- PCR 4: код основной загрузочной записи (MBR) или код с других загрузочных устройств
- PCR 5: таблица разделов основной загрузочной записи (MBR). Различные переменные EFI и таблица GPT
- PCR 6: события перехода состояния и пробуждения
- PCR 7: конкретный производитель компьютера
- PCR 8: загрузочный сектор NTFS
- PCR 9: загрузочный блок NTFS
- PCR 10: диспетчер загрузки
- PCR 11: управление доступом BitLocker
- PCR 12 - 23: зарезервировано для использования в будущем
Warning
Изменение профиля проверки платформы по умолчанию влияет на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным) увеличивается или уменьшается в зависимости от включения или исключения (соответственно) PCR.
Настройка профиля проверки платформы доверенного платформенного модуля для собственных конфигураций встроенного ПО UEFI
Этот параметр политики определяет, какие значения измеряет TPM при проверке компонентов ранней загрузки перед разблокировкой диска операционной системы на компьютере с собственными конфигурациями встроенного ПО UEFI.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить, как оборудование безопасности доверенного платформенного модуля (TPM) компьютера защищает ключ шифрования BitLocker. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Установка этой политики с pcr 7 опущена, переопределяет параметр Разрешить безопасную загрузку для проверки целостности групповая политика и не позволяет BitLocker использовать безопасную загрузку для проверки целостности платформы или данных конфигурации загрузки (BCD). Если среда использует TPM и безопасную загрузку для проверок целостности платформы, эта политика настраивается. Дополнительные сведения о PCR 7 см. в разделе Сведения о регистре конфигурации платформы (PCR) в этой статье. |
| Если включено | Перед включением BitLocker можно настроить компоненты загрузки, которые доверенный платформенный модуль проверяет перед тем, как разблокировать доступ к диску операционной системы с шифрованием BitLocker. Если какой-либо из этих компонентов изменяется во время действия защиты BitLocker, TPM не освобождает ключ шифрования для разблокировки диска. Вместо этого на компьютере отображается консоль восстановления BitLocker и требуется предоставить пароль восстановления или ключ восстановления для разблокировки диска. |
| Если параметр отключен или не настроен | BitLocker использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный в скрипте установки. |
Справка. Настройка профиля проверки платформы доверенного платформенного модуля для собственных конфигураций встроенного ПО UEFI
Этот параметр политики не применяется, если на компьютере нет совместимого доверенного платформенного модуля или если BitLocker уже включен с защитой доверенного платформенного модуля.
Важно.
Этот параметр групповой политики применяется только к компьютерам с собственной конфигурацией встроенного ПО UEFI. Компьютеры с BIOS или встроенного ПО UEFI с включенным модулем поддержки совместимости (CSM) хранят различные значения в регистрах конфигурации платформы (PCR). Используйте профиль проверки платформы TPM для конфигураций встроенного ПО на основе BIOS групповая политика параметр, чтобы настроить профиль PCR доверенного платформенного модуля для компьютеров с конфигурациями BIOS или для компьютеров с встроенного ПО UEFI с включенным CSM.
Профиль проверки платформы состоит из набора индексов PCR в диапазоне от 0 до 23. Профиль проверки платформы по умолчанию защищает ключ шифрования от изменений в исполняемом коде основного встроенного ПО (PCR 0), расширенном или подключаемом исполняемом коде (PCR 2), диспетчере загрузки (PCR 4) и управлении доступом BitLocker (PCR 11).
В следующем списке указаны все доступные PCR:
PCR 0: исполняемый код встроенного ПО основной системы
PCR 1: данные встроенного ПО основной системы
PCR 2: расширенный или подключаемый исполняемый код
PCR 3: расширенные или подключаемые данные встроенного ПО
PCR 4: диспетчер загрузки
PCR 5: GPT/Таблица секций
PCR 6: возобновление событий состояния питания S4 и S5
PCR 7: состояние безопасной загрузки
Дополнительные сведения об этом PCR см. в разделе Сведения о регистре конфигурации платформы (PCR) этой статьи.
PCR 8: инициализировано до 0 без расширений (зарезервировано для использования в будущем)
PCR 9: инициализировано до 0 без расширений (зарезервировано для использования в будущем)
PCR 10: инициализировано до 0 без расширений (зарезервировано для использования в будущем)
PCR 11: управление доступом BitLocker
PCR 12: события данных и события с высокой степенью нестабильности
PCR 13: сведения о загрузочном модуле
PCR 14: загрузочные центры
PCR 15 - 23: зарезервировано для использования в будущем
Warning
Изменение профиля проверки платформы по умолчанию влияет на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным) увеличивается или уменьшается в зависимости от включения или исключения (соответственно) PCR.
Сброс данных проверки платформы после восстановления BitLocker
Этот параметр политики определяет, следует ли обновлять данные проверки платформы при запуске Windows после восстановления BitLocker. Профиль данных проверки платформы состоит из значений в наборе индексов регистра конфигурации платформы (PCR), которые варьируются от 0 до 23.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно управлять обновлением данных проверки платформы при запуске Windows после восстановления BitLocker. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Нет |
| Если включено | Данные проверки платформы обновляются при запуске Windows после восстановления BitLocker. |
| При отключении | Данные проверки платформы не обновляются при запуске Windows после восстановления BitLocker. |
| Если не настроено | Данные проверки платформы обновляются при запуске Windows после восстановления BitLocker. |
Справка. Сброс данных проверки платформы после восстановления BitLocker
Дополнительные сведения о процессе восстановления см. в руководстве по восстановлению BitLocker.
Использование расширенного профиля проверки данных конфигурации загрузки
Этот параметр политики определяет конкретные параметры данных конфигурации загрузки (BCD), которые необходимо проверить во время проверки платформы. Проверка платформы использует данные в профиле проверки платформы, который состоит из набора индексов регистра конфигурации платформы (PCR) в диапазоне от 0 до 23.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно указать параметры данных конфигурации загрузки (BCD) для проверки во время проверки платформы. |
| Введены | Windows Server 2012 и Windows 8 |
| Тип диска | Диски операционной системы |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerДиски операционной системы |
| Конфликтов | Если BitLocker использует безопасную загрузку для проверки целостности данных конфигурации загрузки и платформы, параметр Использовать расширенный профиль проверки данных конфигурации загрузки групповая политика игнорируется (как определено параметром Разрешить безопасную загрузку для проверки целостности групповая политика). |
| Если включено | Можно добавить дополнительные параметры BCD и исключить указанные параметры BCD. Кроме того, можно создать настраиваемый профиль проверки BCD путем объединения списков включения и исключений. Настраиваемый профиль проверки BCD позволяет проверять параметры BCD. |
| При отключении | Компьютер возвращается к проверке профиля BCD, аналогичному профилю BCD по умолчанию, используемому Windows 7. |
| Если не настроено | Компьютер проверяет параметры BCD по умолчанию в Windows. |
Справка. Использование расширенного профиля проверки данных конфигурации загрузки
Примечание.
Параметр, управляющий отладкой загрузки (0x16000010), всегда проверяется и не действует, если он включен в список исключений или включения.
Разрешить доступ к фиксированным дискам с данными, защищенным BitLocker, из более ранних версий Windows
Этот параметр политики используется для управления тем, разрешен ли доступ к дискам с помощью средства чтения BitLocker To Go и можно ли установить средство чтения BitLocker To Go на диске.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить, можно ли разблокировать фиксированные диски с данными, отформатированные с помощью файловой системы FAT, и просматривать их на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Фиксированные диски с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerФиксированные диски с данными |
| Конфликтов | Нет |
| Если включено и когда не настроено | Фиксированные диски с данными, отформатированные с помощью файловой системы FAT, можно разблокировать на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2), а их содержимое можно просмотреть. Эти операционные системы имеют доступ только для чтения к дискам, защищенным BitLocker. |
| При отключении | Фиксированные диски с данными, отформатированные с помощью файловой системы FAT и защищенные BitLocker, не могут быть разблокированы на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). Средство чтения BitLocker To Go (bitlockertogo.exe) не установлено. |
Справка. Разрешить доступ к фиксированным дискам с данными, защищенным BitLocker, из более ранних версий Windows
Примечание.
Этот параметр политики не применяется к дискам, отформатированным в файловой системе NTFS.
Если этот параметр политики включен, установите флажок Не устанавливать средство чтения BitLocker To Go на фиксированных дисках в формате FAT проверка, чтобы предотвратить запуск средства чтения BitLocker To Go с фиксированных дисков. Если средство чтения BitLocker To Go (bitlockertogo.exe) присутствует на диске, где не указано поле идентификации, или если на диске указано то же поле идентификации, что и в параметре политики Предоставить уникальные идентификаторы для организации , пользователю будет предложено обновить BitLocker, а средство чтения BitLocker To Go удаляется с диска. В этом случае для разблокировки фиксированного диска на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2) на компьютере необходимо установить средство чтения BitLocker To Go. Если этот проверка не выбран, на фиксированном диске будет установлено средство чтения BitLocker To Go, чтобы пользователи могли разблокировать диск на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).
Разрешить доступ к съемным дискам с данными, защищенным BitLocker, из более ранних версий Windows
Этот параметр политики управляет доступом к съемным дискам с данными, на которых используется средство чтения BitLocker To Go, и позволяет ли на нем установить средство чтения BitLocker To Go.
| Элемент | Info |
|---|---|
| Описание политики | С помощью этого параметра политики можно настроить, можно ли разблокировать съемные диски с данными, отформатированные с помощью файловой системы FAT, и просматривать их на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). |
| Введены | Windows Server 2008 R2 и Windows 7 |
| Тип диска | Съемные диски с данными |
| Путь к политике | Конфигурация> компьютера Административные шаблоны>Компоненты> Windows Шифрование >диска BitLockerСъемные диски с данными |
| Конфликтов | Нет |
| Если включено и когда не настроено | Съемные диски с данными, отформатированные с помощью файловой системы FAT, можно разблокировать на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2), а их содержимое можно просмотреть. Эти операционные системы имеют доступ только для чтения к дискам, защищенным BitLocker. |
| При отключении | Съемные диски с данными, отформатированные с помощью файловой системы FAT, защищенные BitLocker, не могут быть разблокированы на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). Средство чтения BitLocker To Go (bitlockertogo.exe) не установлено. |
Справка. Разрешить доступ к съемным дискам с данными, защищенным BitLocker, из более ранних версий Windows
Примечание.
Этот параметр политики не применяется к дискам, отформатированным в файловой системе NTFS.
Если этот параметр политики включен, установите флажок Не устанавливать средство чтения BitLocker To Go на съемных дисках в формате FAT проверка, чтобы запретить пользователям запускать средство чтения BitLocker To Go на съемных дисках. Если средство чтения BitLocker To Go (bitlockertogo.exe) присутствует на диске без указанного поля идентификации или если на диске указано то же поле идентификации, что и в параметре политики Предоставление уникальных идентификаторов для организации , пользователю будет предложено обновить BitLocker, а средство чтения BitLocker To Go удаляется с диска. В этом случае для разблокировки съемных дисков на компьютерах под управлением Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2) на компьютере необходимо установить средство чтения BitLocker To Go. Если этот проверка не выбран, на съемном диске будет установлено средство чтения BitLocker To Go, чтобы пользователи могли разблокировать диск на компьютерах под управлением Windows Vista или Windows XP, на которых не установлено средство чтения BitLocker To Go.
Параметр FIPS
Можно настроить параметр FIPS для соответствия требованиям FIPS. В результате соответствия FIPS пользователи не могут создавать или сохранять пароль BitLocker для восстановления или в качестве предохранителя ключей. Использование ключа восстановления разрешено.
| Элемент | Info |
|---|---|
| Описание политики | Примечания |
| Введены | Windows Server 2003 с пакетом обновления 1 (SP1) |
| Тип диска | На уровне всей системы |
| Путь к политике | Локальные политики>Параметры> безопасности Системное шифрование: используйте алгоритмы, совместимые с FIPS, для шифрования, хэширования и подписывания. |
| Конфликтов | Некоторые приложения, такие как службы терминалов, не поддерживают FIPS-140 во всех операционных системах. |
| Если включено | Пользователи не смогут сохранить пароль восстановления в любом расположении. Этот параметр политики включает AD DS и сетевые папки. Кроме того, для создания пароля восстановления нельзя использовать WMI или мастер настройки шифрования дисков BitLocker. |
| Если параметр отключен или не настроен | Ключ шифрования BitLocker не создается |
Справка: параметр FIPS
Эту политику необходимо включить до создания ключа шифрования для BitLocker. Если эта политика включена, BitLocker запрещает создавать или использовать пароли восстановления, поэтому вместо этого следует использовать ключи восстановления.
Необязательный ключ восстановления можно сохранить на USB-накопителе. Так как пароли восстановления не могут быть сохранены в AD DS при включении FIPS, возникает ошибка, если для групповая политика требуется резервное копирование AD DS.
Параметр FIPS можно изменить с помощью редактора политики безопасности (Secpol.msc) или путем изменения реестра Windows. Эти процедуры могут выполнять только администраторы.
Дополнительные сведения о настройке этой политики см. в разделе Системное шифрование: использование алгоритмов, совместимых с FIPS, для шифрования, хэширования и подписывания.
Параметры групповой политики управления питанием: спящий режим и гибернации
Параметры питания компьютеров по умолчанию для компьютера приводят к тому, что компьютер часто переходит в спящий режим, чтобы экономить электроэнергию при простое и увеличить время автономной работы системы. При переходе компьютера в спящий режим открытые программы и документы сохраняются в памяти. Когда компьютер возобновляет работу из спящего режима, пользователям не требуется повторно пройти проверку подлинности с помощью ПИН-кода или ключа запуска USB для доступа к зашифрованным данным. Отсутствие необходимости повторной проверки подлинности при возобновлении из спящего режима может привести к возникновению условий, в которых безопасность данных скомпрометирована.
Однако при переходе компьютера в режим гибернации диск заблокирован, а когда он возобновляет переход из режима гибернации, диск разблокируется, что означает, что при использовании многофакторной проверки подлинности с помощью BitLocker пользователям потребуется предоставить ПИН-код или ключ запуска. Таким образом, организации, использующие BitLocker, могут захотеть использовать режим Гибернации вместо спящего режима для повышения безопасности. Этот параметр не влияет на режим только TPM, так как он обеспечивает прозрачный пользовательский интерфейс при запуске и при выходе из состояния гибернации.
Чтобы отключить все доступные состояния спящего режима, отключите параметры групповая политика, расположенные в разделе Конфигурация компьютера>Административные шаблоны>Управление питанием системы> :
- Разрешить резервные состояния (S1–S3) в спящем режиме (подключено)
- Разрешить режим ожидания (S1–S3) в спящем режиме (батарея)
Сведения о регистре конфигурации платформы (PCR)
Профиль проверки платформы состоит из набора индексов PCR в диапазоне от 0 до 23. Область значений может быть специфичным для версии операционной системы.
Изменение профиля проверки платформы по умолчанию влияет на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным) увеличивается или уменьшается в зависимости от включения или исключения (соответственно) PCR.
Сведения о PCR 7
PCR 7 измеряет состояние безопасной загрузки. В PCR 7 BitLocker может использовать безопасную загрузку для проверки целостности. Безопасная загрузка гарантирует, что среда предварительной загрузки компьютера загружает только встроенное ПО, которое имеет цифровую подпись авторизованных издателей программного обеспечения. Измерения PCR 7 указывают, включена ли безопасная загрузка и какие ключи являются доверенными на платформе. Если безопасная загрузка включена и встроенное ПО измеряет PCR 7 правильно в спецификации UEFI, BitLocker может привязаться к этой информации, а не к PCR 0, 2 и 4, для которых загружены точные показатели встроенного ПО и образов bootmgr. Этот процесс снижает вероятность запуска BitLocker в режиме восстановления в результате обновления встроенного ПО и образа, а также обеспечивает большую гибкость для управления конфигурацией предварительной загрузки.
Измерения PCR 7 должны соответствовать рекомендациям, описанным в приложении A Протокол EFI доверенной среды выполнения.
Измерения PCR 7 являются обязательным требованием к логотипу для систем, поддерживающих современный резервный режим (также известный как Always On, компьютеры Always Connected), такие как Microsoft Surface RT. В таких системах, если TPM с измерением PCR 7 и безопасной загрузкой настроены правильно, BitLocker по умолчанию привязывается к PCR 7 и PCR 11.