Применимо к:
- Windows 10 и более поздние версии
- Windows Server 2016 и более поздние версии
Как проверить подлинность или разблокировать съемный диск с данными?
Съемные диски с данными можно разблокировать с помощью пароля или смарт-карты. Также можно настроить предохранитель sid для разблокировки диска с помощью учетных данных домена пользователя. После запуска шифрования диск также можно автоматически разблокировать на определенном компьютере для определенной учетной записи пользователя. Системные администраторы могут настроить доступные для пользователей параметры, включая сложность пароля и требования к минимальной длине. Чтобы разблокировать с помощью предохранителя sid, используйте manage-bde.exe:
Manage-bde.exe -protectors -add e: -sid <i>domain\username</i></code>
В чем разница между паролем восстановления, ключом восстановления, PIN-кодом, защищенным PIN-кодом и ключом запуска?
Таблицы с перечислением и описанием элементов, таких как пароль восстановления, ключ восстановления и PIN-код, см. в разделах Средства защиты ключа BitLocker и Методы проверки подлинности BitLocker.
Где хранить пароль восстановления и ключ восстановления?
Пароль восстановления и ключ восстановления для диска операционной системы или фиксированного диска данных можно сохранить в папку, сохранить на одном или нескольких USB-устройствах, сохранить в учетной записи Майкрософт или распечатать.
Для съемных дисков с данными пароль восстановления и ключ восстановления можно сохранить в папке, сохранить в учетной записи Майкрософт или распечатать. По умолчанию ключ восстановления для съемного диска не может храниться на съемном диске.
Администратор домена также может настроить групповая политика для автоматического создания паролей восстановления и их хранения в доменные службы Active Directory (AD DS) для любого диска, защищенного BitLocker.
Можно ли добавить дополнительный метод проверки подлинности без расшифровки диска, если включен только метод проверки подлинности на основе доверенного платформенного модуля?
Средство Manage-bde.exe командной строки можно использовать для замены режима проверки подлинности только TPM режимом многофакторной проверки подлинности. Например, если BitLocker включен только с проверкой подлинности доверенного платформенного платформенного модуля и необходимо добавить проверку подлинности с ИСПОЛЬЗОВАНИЕМ ПИН-кода, используйте следующие команды из командной строки с повышенными привилегиями, заменив 4–20 цифр числового ПИН-кода нужным числовым ПИН-кодом:
manage-bde.exe -protectors -delete %systemdrive% -type tpm
manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>
Когда следует рассматривать дополнительные метод проверки подлинности?
Благодаря использованию нового оборудования, соответствующего требованиям программы совместимости оборудования с Windows, PIN-код перестает быть критически важным средством защиты, и наличия доверенного платформенного модуля, скорее всего, будет достаточно при условии использования таких политик, как блокировка устройства. Например, Surface Pro и Surface Book не имеют внешних портов DMA для атак. Для более старого оборудования, где может потребоваться ПИН-код, рекомендуется включить расширенные ПИН-коды , которые разрешают использование нечисловых символов, таких как буквы и знаки препинания, а также задать длину ПИН-кода на основе допустимости риска и возможностей аппаратной защиты от молотков, доступных для TPMs на компьютерах.
Можно ли восстановить данные, защищенные BitLocker, если утрачены сведения, необходимые для восстановления?
Компонент BitLocker разработан так, что зашифрованный диск невозможно восстановить, минуя обязательную проверку подлинности. В режиме восстановления для разблокировки зашифрованного диска пользователю необходим пароль восстановления или ключ восстановления.
Важно.
Храните сведения о восстановлении в AD DS, а также в учетной записи Майкрософт или в другом безопасном расположении.
Можно ли хранить ключ восстановления на том же USB-устройстве флэш-памяти, на котором хранится ключ запуска?
Хотя использование USB-устройства флэш-памяти в качестве ключа запуска и для хранения ключа восстановления технически возможно, не рекомендуется использовать одно USB-устройство флэш-памяти для хранения обоих ключей. Если USB-устройство флэш-памяти, содержащее ключ запуска, потеряно или украдено, ключ восстановления также будет потерян. Кроме того, вставка этого ключа приведет к автоматической загрузке компьютера из ключа восстановления, даже если файлы, измеряемые доверенным платформенным модульом, были изменены, что позволяет обойти проверку целостности системы доверенного платформенного модуля.
Можно ли хранить ключ запуска на нескольких USB-устройствах флэш-памяти?
Да, ключ запуска компьютера можно сохранить на нескольких USB-устройствах флэш-памяти. Щелкнув правой кнопкой мыши диск с защитой BitLocker и выбрав Управление BitLocker , вы сможете сохранить ключи восстановления на дополнительных USB-устройствах флэш-памяти по мере необходимости.
Можно ли хранить несколько разных ключей запуска на одном USB-устройстве флэш-памяти?
Да, ключи запуска BitLocker для разных компьютеров можно сохранить на одном USB-устройстве флэш-памяти.
Можно ли создать несколько различных ключей запуска для одного компьютера?
Создание разных ключей запуска для одного компьютера можно выполнить с помощью скриптов. Но для компьютеров с доверенным платформенным модулем создание разных ключей запуска не позволяет BitLocker использовать проверку целостности системы, которую выполняет этот модуль.
Можно ли создавать несколько сочетаний ПИН-кода?
Создание нескольких сочетаний ПИН-кода невозможно.
Какие ключи шифрования применяются в BitLocker? Как происходит их совместная работа?
Необработанные данные шифруются полным ключом шифрования тома, который затем шифруется основным ключом тома. Главный ключ тома, в свою очередь, шифруется одним из нескольких возможных методов в зависимости от проверки подлинности (то есть, предохранителей ключей или доверенного платформенного модуля) и сценариев восстановления.
Где хранятся ключи шифрования?
Полный ключ шифрования тома шифруется основным ключом тома и хранится на зашифрованном диске. Основной ключ тома шифруется подходящим предохранителем ключа и хранится на зашифрованном диске. Если защита BitLocker приостанавливается, то незащищенный ключ, которым шифруется основной ключ тома, также хранится на зашифрованном диске вместе с зашифрованным основным ключом тома.
Этот процесс хранения гарантирует, что главный ключ тома никогда не хранится в незашифрованном виде и защищен, если BitLocker не отключен. Ключи также сохраняются в двух дополнительных расположениях на диске для обеспечения избыточности. Диспетчером загрузки может считывать и обрабатывать ключи.
Почему для ввода ПИН-кода или 48-значного пароля восстановления нужно использовать функциональные клавиши?
Клавиши F1–F10 имеют универсальные коды опроса, доступные в предзагрузочной среде на всех компьютерах для всех языков. Числовые клавиши от 0 до 9 можно использовать не в среде перед загрузкой на всех клавиатурах.
Если используется улучшенный ПИН-код, пользователям рекомендуется выполнить дополнительную проверку системы в ходе настройки BitLocker, чтобы убедиться, что в предзагрузочной среде можно ввести правильный ПИН-код.
Как BitLocker защищает ПИН-код, снимающий блокировку диска операционной системы, от злоумышленников?
Возможно, что личный идентификационный номер (ПИН-код) может быть обнаружен злоумышленником, выполняющим атаку методом подбора. Атака методом подбора выполняется с помощью автоматического средства, которое проверяет различные сочетания ПИН-кода, пока не будет найден правильный код. Для компьютеров, защищенных BitLocker, этот тип атаки, также известный как атака по словарю, требует, чтобы злоумышленник получил физический доступ к компьютеру.
Доверенный платформенный модуль обладает встроенными возможностями по выявлению таких атак и противодействию им. Так как TPM разных производителей могут поддерживать различные способы устранения ПИН-кода и атак, обратитесь к производителю доверенного платформенного модуля, чтобы определить, как TPM компьютера устраняет атаки методом подбора ПИН-кода. После определения изготовителя доверенного платформенного модуля обратитесь к производителю, чтобы собрать сведения о поставщике доверенного платформенного модуля. Большинство изготовителей экспоненциально увеличивают время блокировки интерфейса для ввода ПИН-кода с увеличением количества ошибок при его вводе. При этом каждый изготовитель имеет собственные правила в отношении сброса счетчика ошибок или уменьшения его значений.
Как определить производителя своего доверенного платформенного модуля?
Изготовителя доверенного платформенного модуля можно определить в Защитник Windowsсведениях о процессоре безопасности устройств в Центре>безопасности> устройств.
Как оценить механизм противодействия атакам перебором по словарю, применяемый в доверенном платформенном модуле?
Следующие вопросы могут помочь при запросе у производителя доверенного платформенного модуля о разработке механизма защиты от атак словаря:
- Сколько неудачных попыток авторизации разрешается до блокировки?
- По какому алгоритму определяется продолжительность блокировки с учетом числа неудачных попыток авторизации и других значимых параметров?
- Какие действия могут привести к сбросу счетчика ошибок, уменьшению его значений или продолжительности блокировки?
Можно ли изменять длину и сложность ПИН-кода с помощью групповой политики?
И да, и нет. Минимальную длину ПИН-кода можно настроить с помощью параметра Настроить минимальную длину ПИН-кода для запуска групповая политика и разрешить использование буквенно-цифровых ПИН-кодов, включив параметр Разрешить расширенные ПИН-коды для запуска групповая политика. Однако сложность ПИН-кода не может требоваться через групповая политика.
Дополнительные сведения см. в статье Параметры групповой политики BitLocker.