Руководство по операциям BitLocker

• Применяется к:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Существуют различные средства и параметры для управления BitLocker.

• Модуль PowerShell BitLocker
• средства шифрования дисков BitLocker
• Панель управления

Средства шифрования дисков BitLocker и модуль BitLocker PowerShell можно использовать для выполнения любых задач, которые можно выполнить с помощью панель управления BitLocker. Они подходят для автоматического развертывания и других сценариев сценариев.
Апплет BitLocker панель управления позволяет пользователям выполнять основные задачи, такие как включение BitLocker на диске и указание методов разблокировки и методов проверки подлинности. Панель управления апплет BitLocker подходит для базовых задач BitLocker.

В этой статье описаны средства управления BitLocker и способы их использования, а также приведены практические примеры.

Модуль PowerShell BitLocker

Модуль BitLocker PowerShell позволяет администраторам легко интегрировать параметры BitLocker в существующие скрипты. Список командлетов, включенных в модуль, их описание и синтаксис, проверка в справочной статье BitLocker PowerShell.

Средства шифрования дисков BitLocker

Средства шифрования дисков BitLocker включают два средства командной строки:

• Средство настройки (manage-bde.exe) можно использовать для сценариев операций BitLocker, предлагая параметры, которые отсутствуют в панель управления апплете BitLocker. Полный список параметров см. в справочнике manage-bde.exeпо Manage-bde.
• Средство восстановления (repair-bde.exe) полезно для сценариев аварийного восстановления, в которых диск, защищенный BitLocker, не может быть разблокирован обычным образом или с помощью консоли восстановления.

BitLocker панель управления апплет

Шифрование томов с помощью панель управления BitLocker (выберите Пуск, введите BitLocker, выберите Управление BitLocker) — это количество пользователей, которые будут использовать BitLocker. Имя панель управления апплета BitLocker — Шифрование диска BitLocker. Апплет поддерживает шифрование операционной системы, фиксированных данных и съемных томов данных. BitLocker панель управления упорядочивает доступные диски в соответствующей категории в зависимости от того, как устройство сообщает о себе в Windows. В апплете BitLocker панель управления правильно отображаются только отформатированные тома с назначенными буквами диска.

Использование BitLocker в Windows Обозреватель

Windows Обозреватель позволяет пользователям запускать мастер шифрования дисков BitLocker, щелкнув правой кнопкой мыши том и выбрав Включить BitLocker. Этот параметр доступен на клиентских компьютерах по умолчанию. На серверах необходимо сначала установить компонент BitLocker и компонент Desktop-Experience, чтобы этот параметр был доступен. После выбора параметра Включить BitLocker мастер работает точно так же, как и при запуске с помощью панель управления BitLocker.

Проверка состояния BitLocker

Чтобы проверка состояние BitLocker определенного тома, администраторы могут просматривать состояние диска в апплете BitLocker панель управления, Обозреватель Windows, manage-bde.exe средстве командной строки или командлетах Windows PowerShell. Каждый вариант предлагает различные уровни детализации и простоты использования.

Следуйте приведенным ниже инструкциям, чтобы проверить состояние BitLocker, выбрав выбранное средство.

PowerShell

Чтобы определить текущее состояние тома, можно использовать Get-BitLockerVolume командлет, который предоставляет сведения о типе тома, предохранителях, состоянии защиты и других сведениях. Пример:

PS C:\> Get-BitLockerVolume C: | fl

ComputerName         : DESKTOP
MountPoint           : C:
EncryptionMethod     : XtsAes128
AutoUnlockEnabled    :
AutoUnlockKeyStored  : False
MetadataVersion      : 2
VolumeStatus         : FullyEncrypted
ProtectionStatus     : On
LockStatus           : Unlocked
EncryptionPercentage : 100
WipePercentage       : 0
VolumeType           : OperatingSystem
CapacityGB           : 1000
KeyProtector         : {Tpm, RecoveryPassword}

Командная строка

С помощью manage-bde.exe можно определить состояние тома в целевой системе, например:

manage-bde.exe -status

Эта команда возвращает тома в целевом объекте, текущее состояние шифрования, метод шифрования и тип тома (операционная система или данные) для каждого тома.

C:\>manage-bde -status

Volume C: [Local Disk]
[OS Volume]

    Size:                 1000 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

Панель управления

Проверка состояния BitLocker с помощью панель управления является распространенным методом, используемым большинством пользователей. После открытия состояние каждого тома отображается рядом с описанием тома и буквой диска. Доступные значения возвращаемого состояния с помощью апплета:

Состояние	Описание
На	BitLocker включен для тома
Отключено	BitLocker не включен для тома
Suspended	BitLocker приостановлен и не защищает том активно
Ожидание активации	BitLocker включается с помощью четкого ключа защиты и требует дальнейших действий для полной защиты.

Если диск предварительно подготовлен с помощью BitLocker, отображается состояние Ожидание активации с желтым восклицательным значком на томе. Это состояние означает, что при шифровании тома использовался только явный предохранитель. В этом случае том не находится в защищенном состоянии и должен добавить в том защищенный ключ, прежде чем диск будет полностью защищен. Администраторы могут использовать панель управления, PowerShell или manage-bde.exe добавить соответствующий предохранитель ключа. После завершения панель управления обновится, чтобы отразить новое состояние.

Включение BitLocker

Диск ОС с защитой доверенного платформенного модуля

В следующем примере показано, как включить BitLocker на диске операционной системы с помощью только предохранителя доверенного платформенного модуля и без ключа восстановления.

PowerShell

Enable-BitLocker C: -TpmProtector

Командная строка

manage-bde.exe -on C:

Панель управления

Из апплета Шифрования диска BitLocker панель управления:

1. Разверните диск ОС и выберите параметр Включить BitLocker.

2. При появлении запроса выберите параметр Разрешить BitLocker автоматически разблокировать диск.

3. Создайте резервную копию ключа восстановления , используя один из следующих методов:

   • Сохранение в учетной записи Microsoft Entra ID или учетной записи Майкрософт (если применимо)
   • Сохранение на USB-устройстве флэш-памяти
   • Сохранить в файл — файл необходимо сохранить в расположении, которое не находится на самом устройстве, например в сетевой папке.
   • Печать ключа восстановления

4. Нажмите кнопку Далее

5. Выберите один из вариантов шифрования только используемого дискового пространства или всего диска и нажмите кнопку Далее.

   • Шифрование только используемого дискового пространства — шифрует только дисковое пространство, содержащее данные
   • Шифрует весь диск . Шифрует весь том, включая свободное место. Также называется полным шифрованием диска

   Каждый из методов рекомендуется использовать в следующих сценариях:

   • Шифруйте только используемое дисковое пространство:

     • На диске никогда не было данных
     • Отформатированные или удаленные диски, на которых в прошлом никогда не было конфиденциальных данных, которые никогда не были зашифрованы

   • Шифрование всего диска (полное шифрование диска):

     • Диски с данными
     • Диски с операционной системой
     • Отформатированные или удаленные диски, которые в прошлом имели конфиденциальные данные, которые никогда не были зашифрованы

   Важно.

   Удаленные файлы отображаются в файловой системе как свободное место, которое шифруется не только используемым местом на диске. До очистки или перезаписи удаленные файлы содержат сведения, которые можно восстановить с помощью общих средств судебной экспертизы данных.

6. Выберите режим шифрования и нажмите кнопку Далее.

   • Новый режим шифрования
   • Совместимый режим

   Примечание.

   Обычно следует выбрать новый режим шифрования, но если диск может быть перемещен на другое устройство с более старой операционной системой Windows, выберите Совместимый режим.

7. Нажмите Кнопку "Продолжить>перезапуск"

8. После перезагрузки ОС выполняет системный проверка BitLocker и запускает шифрование.

Пользователи могут проверка состояние шифрования с помощью апплета BitLocker панель управления.

Примечание.

После создания ключа восстановления можно использовать панель управления BitLocker для создания дополнительных копий ключа восстановления.

Диск ОС с предохранителем доверенного платформенного модуля и ключом запуска

В следующем примере показано, как включить BitLocker на диске операционной системы с помощью предохранителей TPM и ключей запуска .

При условии, что буква диска ОС —, C: а USB-устройство флэш-памяти — буква E:диска, вот команда:

PowerShell

Если вы решили пропустить тест оборудования BitLocker, шифрование запускается немедленно без необходимости перезагрузки.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath E: -SkipHardwareTest

Командная строка

manage-bde.exe -protectors -add C: -TPMAndStartupKey E:
manage-bde.exe -on C:

При появлении запроса перезагрузите компьютер, чтобы завершить процесс шифрования.

Примечание.

После завершения шифрования перед запуском операционной системы необходимо вставить usb-ключ запуска.

Панель управления

Апплет панель управления не позволяет одновременно включить BitLocker и добавить предохранитель ключа запуска. Чтобы добавить предохранитель ключа запуска, выполните следующие действия.

• В апплете Шифрования диска BitLocker панель управления в разделе диск ОС выберите параметр Изменить способ разблокировки диска при запуске.
• При появлении запроса выберите параметр Вставка USB-устройства флэш-памяти.
• Выберите USB-накопитель, на котором нужно сохранить ключ запуска, и нажмите кнопку Сохранить.

После перезагрузки перед запуском операционной системы отобразится экран предварительной загрузки BitLocker и вставьте usb-ключ запуска:

Тома данных

Для шифрования томов данных используется аналогичный процесс, как для томов операционной системы, но для завершения операции не требуются средства защиты.

PowerShell

Добавьте необходимые предохранители перед шифрованием тома. В следующем примере в том добавляется средство защиты паролем E: , используя переменную $pw в качестве пароля. Переменная $pw хранится как значение SecureString для хранения определяемого пользователем пароля:

$pw = Read-Host -AsSecureString
<user inputs password>
Add-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Примечание.

Для выполнения командлета BitLocker требуется GUID предохранителя ключа, заключенный в кавычки. Убедитесь, что в команду включен весь GUID с фигурными скобками.

Пример. Использование PowerShell для включения BitLocker с защитой доверенного платформенного модуля

Enable-BitLocker D: -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector 

Пример. Используйте PowerShell для включения BitLocker с предохранителем TPM+PIN, в данном случае с ПИН-кодом, для 123456:

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force
Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

Командная строка

Шифрование томов данных можно выполнить с помощью базовой команды:

manage-bde.exe -on <drive letter>

или дополнительные предохранители можно сначала добавить в том. Рекомендуется добавить по крайней мере один основной предохранитель и предохранитель восстановления в том данных.

Панель управления

Шифрование томов данных с помощью панель управления BitLocker работает аналогично шифрованию томов операционной системы. Пользователи выбирают Включить BitLocker в панель управления BitLocker, чтобы начать работу мастера шифрования дисков BitLocker.

Управление предохранителями BitLocker

Управление защитами BitLocker заключается в добавлении, удалении и резервном копировании средств защиты.

Управляемые средства защиты BitLocker с помощью следующих инструкций, чтобы выбрать вариант, который лучше всего соответствует вашим потребностям.

Перечисление предохранителей

Список средств защиты, доступных для тома (C: в примере), можно получить, выполнив следующую команду:

PowerShell

(Get-BitLockerVolume -mountpoint C).KeyProtector

Командная строка

 manage-bde.exe -protectors -get C:

Панель управления

Эта информация недоступна в панель управления.

Добавление предохранителей

Добавление предохранителя паролем восстановления

PowerShell

Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector

Командная строка

manage-bde.exe -protectors -add -recoverypassword C:

Панель управления

В апплете Шифрования диска BitLocker панель управления выберите том, в который нужно добавить предохранитель, и выберите параметр Резервное копирование ключа восстановления.

Добавление предохранителя паролем

Общей защитой для тома данных является защита паролем. В следующем примере в том добавляется предохранитель паролем.

PowerShell

Add-BitLockerKeyProtector -MountPoint D -PasswordProtector

Командная строка

manage-bde.exe -protectors -add -pw D:

Панель управления

В апплете Шифрования диска BitLocker панель управления разверните диск, на который нужно добавить предохранитель паролем, и выберите параметр Добавить пароль. При появлении запроса введите и подтвердите пароль для разблокировки диска. Нажмите кнопку Готово , чтобы завершить процесс.

Добавление предохранителя Active Directory

Предохранитель Active Directory — это средство защиты на основе sid, которое можно добавить как в тома операционной системы, так и в тома данных, хотя он не разблокирует тома операционной системы в предварительной среде. Для защиты требуется идентификатор безопасности для учетной записи домена или группы, чтобы связаться с предохранителем. BitLocker может защитить диск с поддержкой кластера путем добавления предохранителя на основе sid для объекта имени кластера (CNO), который позволяет диску правильно отработки отказа и разблокировки на любом компьютере-члене кластера.

Важно.

Для защиты на основе sid требуется использовать дополнительный предохранитель, например TPM, ПИН-код, ключ восстановления и т. д., при использовании на томах операционной системы.

Примечание.

Этот параметр недоступен для Microsoft Entra присоединенных устройств.

В этом примере в ранее зашифрованный том добавляется защита на основе идентификатора безопасности домена. Пользователь знает идентификатор безопасности для учетной записи пользователя или группы, которую он хочет добавить, и использует следующую команду:

PowerShell

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

Чтобы добавить предохранитель в том, требуется идентификатор безопасности домена или имя группы, перед которыми стоит домен и обратная косая черта. В следующем примере учетная запись CONTOSO\Administrator добавляется в качестве предохранителя в том данных G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Чтобы использовать идентификатор безопасности для учетной записи или группы, сначала необходимо определить идентификатор безопасности, связанный с субъектом безопасности. Чтобы получить определенный идентификатор безопасности для учетной записи пользователя в Windows PowerShell, используйте следующую команду:

Get-ADUser -filter {samaccountname -eq "administrator"}

Примечание.

Для использования этой команды требуется функция RSAT-AD-PowerShell.

Совет

Сведения о локальном входе пользователя и членства в группах можно найти с помощью: whoami.exe /all.

Командная строка

manage-bde.exe -protectors -add -sid <user or group>

Панель управления

Этот параметр недоступен в панель управления.

Удаление предохранителей

PowerShell

Чтобы удалить существующие предохранители на томе, используйте Remove-BitLockerKeyProtector командлет . Необходимо указать ИДЕНТИФИКАТОР GUID, связанный с удаляемой защитой.

Следующие команды возвращают список основных средств защиты и GUID:

$vol = Get-BitLockerVolume C
$keyprotectors = $vol.KeyProtector
$keyprotectors

Используя эти сведения, можно удалить предохранитель ключа для определенного тома с помощью команды :

Remove-BitLockerKeyProtector <volume> -KeyProtectorID "{GUID}"

Примечание.

Для выполнения командлета BitLocker требуется GUID предохранителя ключа, заключенный в кавычки. Убедитесь, что в команду включен весь GUID с фигурными скобками.

Командная строка

Следующие команды возвращают список основных средств защиты:

manage-bde.exe -status C:

Следующая команда удаляет предохранитель ключей определенного типа:

manage-bde.exe -protectors -delete C: -type TPMandPIN

Панель управления

В апплете Шифрования диска BitLocker панель управления разверните диск, на котором нужно удалить предохранитель, и выберите параметр для удаления, если он доступен.

Примечание.

Для любых дисков с шифрованием BitLocker необходимо использовать по крайней мере один метод разблокировки.

Приостановка и возобновление

Для некоторых изменений конфигурации может потребоваться приостановить BitLocker, а затем возобновить его после применения изменения.

Приостановите и возобновите BitLocker, выполнив следующие инструкции, выбрав наиболее подходящий вариант.

Приостановка BitLocker

PowerShell

Suspend-BitLocker -MountPoint D

Командная строка

manage-bde.exe -protectors -disable d:

Панель управления

Вы можете приостановить защиту BitLocker для диска ОС только при использовании панель управления.

В апплете Шифрования диска BitLocker панель управления выберите диск ОС и выберите параметр Приостановить защиту.

Возобновление работы BitLocker

PowerShell

Resume-BitLocker -MountPoint D

Командная строка

manage-bde.exe -protectors -enable d:

Панель управления

В апплете Шифрования диска BitLocker панель управления выберите диск ОС и выберите параметр Возобновить защиту.

Сброс и резервное копирование пароля восстановления

Рекомендуется сделать недействительным пароль восстановления после его использования. В этом примере средство защиты паролем восстановления удаляется с диска ОС, добавляется новый предохранитель и создается резервная копия Microsoft Entra ID или Active Directory.

PowerShell

Удалите все пароли восстановления из тома ОС:

(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | `
  where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | `
  Remove-BitLockerKeyProtector -MountPoint $env:SystemDrive

Добавьте предохранитель пароля восстановления BitLocker для тома ОС:

Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector

Получите идентификатор нового пароля восстановления:

(Get-BitLockerVolume -mountpoint $env:SystemDrive).KeyProtector | where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ft KeyProtectorId,RecoveryPassword

Примечание.

Эти дальнейшие действия не требуются, если для параметра политики Выбрать, как можно восстановить диски операционной системы, защищенные BitLocker , настроено значение Требовать резервное копирование BitLocker в AD DS.

Скопируйте идентификатор пароля восстановления из выходных данных.

Используя GUID из предыдущего шага, замените {ID} в следующей команде и используйте следующую команду, чтобы создать резервную копию пароля восстановления для Microsoft Entra ID:

BackuptoAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

Или используйте следующую команду, чтобы создать резервную копию пароля восстановления в Active Directory:

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

Примечание.

Фигурные скобки {} должны быть включены в строку идентификатора.

Командная строка

Удалите все пароли восстановления из тома ОС:

manage-bde.exe -protectors -delete C: -type RecoveryPassword

Добавьте предохранитель пароля восстановления BitLocker для тома ОС:

manage-bde.exe -protectors -add C: -RecoveryPassword

Получите идентификатор нового пароля восстановления:

manage-bde.exe -protectors -get C: -Type RecoveryPassword

Примечание.

Следующие действия не требуются, если параметр политики Выберите, как можно восстановить диски операционной системы, защищенные BitLocker , настроен как Требовать резервное копирование BitLocker в AD DS.

Используя GUID из предыдущего шага, замените {ID} в следующей команде и используйте следующую команду, чтобы создать резервную копию пароля восстановления для Microsoft Entra ID:

manage-bde.exe -protectors -aadbackup C: -id {ID}

Или используйте следующую команду, чтобы создать резервную копию пароля восстановления в Active Directory:

manage-bde.exe -protectors -adbackup C: -id {ID}

Примечание.

Фигурные скобки {} должны быть включены в строку идентификатора.

Панель управления

Этот процесс не может быть выполнен с помощью панель управления. Вместо этого используйте один из других параметров.

Отключение BitLocker

Отключение BitLocker расшифровывает и удаляет все связанные с ними предохранители из томов. Расшифровка должна происходить, когда защита больше не требуется, а не в качестве шага по устранению неполадок.

Отключите BitLocker, выполнив следующие инструкции, выбрав вариант, который лучше всего соответствует вашим потребностям.

PowerShell

Windows PowerShell предлагает возможность расшифровки нескольких дисков за один проход. В следующем примере у пользователя есть три зашифрованных тома, которые он хочет расшифровать.

С помощью команды Disable-BitLocker можно одновременно удалить все средства защиты и шифрования без необходимости в дополнительных командах. Пример этой команды:

Disable-BitLocker

Чтобы не указывать каждую точку подключения по отдельности, используйте -MountPoint параметр в массиве для последовательности одной и той же команды в одну строку без необходимости ввода дополнительных данных пользователем. Пример.

Disable-BitLocker -MountPoint C,D

Командная строка

Расшифровка с manage-bde.exe помощью позволяет не требовать подтверждения пользователя для запуска процесса. Manage-bde использует команду -off для запуска процесса расшифровки. Пример команды для расшифровки:

manage-bde.exe -off C:

Эта команда отключает предохранители при расшифровке тома и удаляет все предохранители по завершении расшифровки.

Панель управления

Расшифровка BitLocker с помощью панель управления выполняется с помощью мастера. Открыв апплет BitLocker панель управления, выберите параметр Отключить BitLocker, чтобы начать процесс. Чтобы продолжить, выберите диалоговое окно подтверждения. После подтверждения отключения BitLocker начнется процесс расшифровки диска.

После завершения расшифровки диск обновляет свое состояние в панель управления и становится доступным для шифрования.