BitLocker

Относится к:

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

В этой статье представлен общий обзор BitLocker, включая список требований к системе, а также сведения об устаревших функциях и практическом применении.

Обзор BitLocker

Шифрование диска BitLocker — это функция защиты данных, которая интегрируется в операционную систему и предотвращает угрозы хищения данных или раскрытия информации на потерянных, украденных или неправильно выведенных из эксплуатации компьютерах.

BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или более поздней. Доверенный платформенный модуль — это аппаратный компонент, который производители устанавливают на многих новых компьютерах. Совместно с BitLocker он обеспечивает защиту данных пользователей и предотвращает несанкционированный доступ к компьютеру, пока система находится вне сети.

На компьютерах, на которых нет доверенного платформенного модуля версии 1.2 или более поздних версий, вы по-прежнему можете использовать BitLocker для шифрования диска операционной системы Windows. Однако эта реализация требует, чтобы пользователь вставлял usb-ключ запуска, чтобы запустить компьютер или возобновить режим гибернации. В Windows 8 и более поздних версий вы можете с помощью пароля защитить том операционной системы на компьютере без доверенного платформенного модуля. Ни один из этих вариантов не обеспечивает проверку целостности системы перед запуском, которая возможна при использовании BitLocker вместе с доверенным платформенным модулем.

В дополнение к возможностям доверенного платформенного модуля компонент BitLocker позволяет блокировать обычный процесс запуска до тех пор, пока пользователь не введет ПИН-код или не вставит съемное устройство (например, USB-накопитель) с ключом запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и предотвращают запуск компьютера или его выведение из режима гибернации, если не указан правильный ПИН-код или не предоставлен ключ запуска.

Практическое применение

Данные на потерянном или украденном компьютере уязвимы к несанкционированному доступу в результате программной атаки или передачи жесткого диска на другой компьютер. BitLocker помогает предотвратить несанкционированный доступ к данным, усиливая защиту файлов и системы. Кроме того, BitLocker помогает сделать данные недоступными при выводе из эксплуатации защищенных при помощи этого компонента компьютеров или передаче таких компьютеров другим пользователям.

В средствах удаленного администрирования сервера есть два дополнительных средства, которые можно использовать для управления BitLocker.

  • Средство просмотра паролей восстановления BitLocker. Средство просмотра паролей восстановления BitLocker позволяет находить и просматривать пароли восстановления для шифрования дисков BitLocker, резервные копии которых созданы в доменных службах Active Directory (AD DS). С помощью этого средства можно восстанавливать данные на диске, зашифрованном с помощью BitLocker. Средство просмотра паролей восстановления BitLocker — дополнение к оснастке "Пользователи и компьютеры Active Directory" для консоли управления (MMC). С помощью этого средства можно изучить диалоговое окно Свойства объекта-компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker. Кроме того, вы можете щелкнуть контейнер домена правой кнопкой мыши, а затем искать пароль восстановления BitLocker на всех доменах в лесу Active Directory. Просматривать пароли восстановления может администратор домена или пользователь, которому этот администратор делегировал соответствующие разрешения.

  • Средства шифрования диска BitLocker. В средства шифрования диска BitLocker входят программы командной строки manage-bde и repair-bde, а также командлеты Windows PowerShell для BitLocker. Командлеты manage-bde и BitLocker можно использовать для выполнения любой задачи, которую можно выполнить с помощью панели управления BitLocker, и они подходят для автоматического развертывания и других сценариев сценариев. Функция repair-bde предоставляется для сценариев аварийного восстановления, в которых диск, защищенный BitLocker, не может быть разблокирован обычным образом или с помощью консоли восстановления.

Новые и измененные функции

Сведения об изменениях в BitLocker для Windows, такие как поддержка алгоритма шифрования XTS-AES, см. в разделе BitLocker в теме "Новые возможности Windows 10".

Системные требования

Требования BitLocker к аппаратному обеспечению

Чтобы BitLocker использовал проверку целостности системы, предоставляемую доверенным платформенный платформенный модуль, на компьютере должны быть установлены TPM 1.2 или более поздние версии. Если на компьютере нет доверенного платформенного модуля, включение BitLocker делает обязательным сохранение ключа запуска на съемных устройствах, таких как USB-устройство флэш-памяти.

На компьютере с TPM также должно быть встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG. Встроенное ПО BIOS или UEFI устанавливает цепочку сертификатов перед запуском операционной системы и должно предусматривать поддержку метода SRTM (Static Root of Trust Measurement), описанного в спецификации TCG. Для компьютера без TPM не требуется встроенное ПО, отвечающее стандартам организации TCG.

Встроенное ПО BIOS или UEFI системы (для компьютеров с TPM и без него) должно поддерживать класс запоминающих устройств для USB, а также считывание небольших файлов с USB-устройства флэш-памяти в среде до запуска операционной системы.

Важно!

Начиная с Windows 7 можно шифровать диск ОС без TPM и USB-накопителя. Эта процедура описана в статье Совет дня: Bitlocker без TPM или USB.

Примечание

TPM 2.0 не поддерживается в режимах модулей поддержки прежних версий и совместимости (CSM) BIOS. На устройствах с TPM 2.0 должен быть настроен режим BIOS только как собственный UEFI. Параметры Устаревшая версия и CSM должны быть отключены. Чтобы обеспечить дополнительную безопасность, включите функцию безопасной загрузки.

Установленная операционная система на оборудовании в устаревшем режиме останавливает загрузку ОС при изменении режима BIOS на UEFI. Используйте средство MBR2GPT перед изменением режима BIOS, который подготавливает ОС и диск к поддержке UEFI.

Жесткий диск должен быть разбит как минимум на два диска.

  • Диск операционной системы (или загрузочный диск), который содержит операционную систему и ее вспомогательные файлы. Он должен быть отформатирован с использованием файловой системы NTFS.
  • Системный диск, который содержит файлы, необходимые для загрузки Windows после того, как встроенное ПО подготовит системное оборудование. На этом диске не включается BitLocker. Чтобы работал компонент BitLocker, системный диск не должен быть диском операционной системы. Кроме того, он должен быть отформатирован с использованием файловой системы FAT32 на компьютерах с UEFI (или с использованием файловой системы NTFS на компьютерах с BIOS). Рекомендуемый размер системного диска — около 350 МБ. После включения BitLocker у него должно быть около 250 МБ свободного места.

При установке на новом компьютере Windows автоматически создает разделы, необходимые для BitLocker.

Раздел, который подвергается шифрованию, не может быть помечен как активный раздел (это относится к операционной системе, фиксированным данным и съемным дискам с данными).

При установке дополнительного компонента BitLocker на сервере также потребуется установить функцию расширенного хранилища, которая используется для поддержки аппаратных зашифрованных дисков.

В этом разделе

Статья Описание
Общие сведения о функции шифровании устройств BitLocker в Windows 10 В этом разделе содержится обзор способов, с помощью которых шифрование устройств BitLocker может помочь защитить данные на устройствах под управлением Windows 10.
Вопросы и ответы по BitLocker В этом разделе приведены ответы на часто задаваемые вопросы о требованиях к использованию, обновлению, развертыванию и администрированию, а также политикам управления ключами для BitLocker.
Подготовка организации к использованию BitLocker: планирование и политики В этом разделе описывается процедура планирования развертывания BitLocker.
Базовое развертывание BitLocker В этом разделе объясняется, как можно использовать функции BitLocker для защиты данных с помощью шифрования диска.
BitLocker: развертывание в Windows Server В этом разделе объясняется, как развернуть BitLocker в Windows Server.
BitLocker: включение сетевой разблокировки В этом разделе описывается, как работает сетевая разблокировка BitLocker и как ее настроить.
BitLocker: использование средств шифрования диска BitLocker для управления BitLocker В этом разделе описывается использование средств для управления BitLocker.
BitLocker: использование средства просмотра пароля восстановления BitLocker В этом разделе описывается использование средства просмотра паролей восстановления BitLocker.
Параметры групповой политики BitLocker В этом разделе описывается функция, расположение и действие каждого параметра групповой политики, используемого для управления BitLocker.
Параметры данных конфигурации загрузки и BitLocker В этом разделе описываются параметры BCD, используемые BitLocker.
Руководство по восстановлению BitLocker В этом разделе описывается восстановление ключей BitLocker из AD DS.
Защита BitLocker от атак с использованием предзагрузочной среды Это подробное руководство поможет вам понять, при каких обстоятельствах рекомендуется использовать проверку подлинности перед загрузкой для устройств под управлением Windows 10, Windows 8.1, Windows 8 или Windows 7, а также о том, когда ее можно безопасно исключить из конфигурации устройства.
Устранение неполадок BitLocker В этом руководстве описываются ресурсы, которые могут помочь в устранении неполадок BitLocker, а также даны решения для нескольких распространенных проблем BitLocker.
Защита общих томов кластера и сетей хранения данных с помощью технологии BitLocker В этом разделе описывается, как защитить виртуальные серверы конфигурации и локальные сети с помощью BitLocker.
Включение безопасной загрузки и шифрования устройства BitLocker в Windows IoT Базовая В этом разделе описывается использование BitLocker с Windows IoT Core