Обзор BitLocker
Bitlocker — это функция шифрования дисков Windows, предназначенная для защиты данных путем шифрования для всех томов.
BitLocker устраняет угрозы кражи или раскрытия данных с потерянных, украденных или неправильно списанных устройств.
BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM). TPM — это аппаратный компонент, установленный на многих устройствах, и он работает с BitLocker для защиты данных пользователей и обеспечения того, что компьютер не был изменен, пока система находится в автономном режиме.
На устройствах без доверенного платформенного модуля BitLocker по-прежнему можно использовать для шифрования диска операционной системы Windows. Однако эта реализация требует, чтобы пользователь вставлял usb-ключ запуска, чтобы запустить устройство или возобновить режим гибернации. Пароль тома операционной системы можно использовать для защиты тома операционной системы на компьютере без доверенного платформенного модуля. Тем не менее, ни в одном из этих случаев не обеспечивается проверка целостности системы перед запуском, которая доступна при использовании BitLocker с TPM.
Помимо использования TPM, решение BitLocker дает возможность заблокировать обычный процесс запуска до тех пор, пока пользователь не введет ПИН-код или не вставит съемное устройство (например, флэш-накопитель USB) с ключом запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и предотвращают запуск компьютера или возобновление работы компьютера после режима гибернации, пока не будет введен правильный ПИН-код или предоставлен ключ запуска.
Практическое применение
Данные на потерянном или украденном устройстве могут быть уязвимы для несанкционированного доступа либо путем запуска программного средства атаки на него, либо путем передачи жесткого диска компьютера на другой компьютер. BitLocker помогает предотвратить несанкционированный доступ к данным, усиливая защиту файлов и системы. BitLocker также помогает отображать данные недоступными, когда устройства, защищенные BitLocker, выводятся из эксплуатации или перезапускаются.
Системные требования
Требования BitLocker к аппаратному обеспечению
На компьютере должен быть установлен модуль TPM версии 1.2 или более поздней, чтобы компонент BitLocker мог использовать проверку целостности системы, доступную благодаря TPM. Если на компьютере нет доверенного платформенного модуля, сохранение ключа запуска на съемном диске, таком как USB-устройство флэш-памяти, становится обязательным при включении BitLocker.
Устройство с TPM также должно иметь встроенное ПО BIOS или UEFI, совместимое с группой доверенных вычислений (TCG). Встроенное ПО BIOS или UEFI устанавливает цепочку сертификатов перед запуском операционной системы и должно предусматривать поддержку метода SRTM (Static Root of Trust Measurement), описанного в спецификации TCG. Компьютеру без доверенного платформенного модуля не требуется встроенное ПО, совместимое с TCG
Bios системы или встроенное ПО UEFI (для TPM и компьютеров, отличных от TPM) должно поддерживать класс запоминающего устройства USB, включая чтение небольших файлов на USB-устройстве флэш-памяти в среде предварительной операционной системы.
Примечание.
TPM 2.0 не поддерживается в традиционном режиме ("Legacy") и в режиме "Модуль поддержки совместимости (CSM)" в BIOS. На устройствах с TPM 2.0 необходимо выбрать в BIOS режим "Только UEFI". Параметры "Legacy" и "CSM" необходимо отключить. Для дополнительной безопасности включите безопасную загрузку.
Если операционная система была установлена, когда в BIOS был выбран режим "Legacy", то после переключения BIOS в режим UEFI она перестанет загружаться. Перед переключением режима BIOS используйте инструмент MBR2GPT, чтобы подготовить операционную систему и диск к поддержке UEFI.
Жесткий диск должен быть разбит как минимум на два диска.
- Диск операционной системы (или загрузочный диск), который содержит операционную систему и ее вспомогательные файлы. Он должен быть отформатирован с помощью файловой системы NTFS.
- Системный диск, который содержит файлы, необходимые для загрузки Windows после того, как встроенное ПО подготовит системное оборудование. Решение BitLocker не включено на этом диске. Чтобы работал компонент BitLocker, системный диск не должен быть диском операционной системы. Кроме того, он должен быть отформатирован с использованием файловой системы FAT32 на компьютерах с UEFI (или с использованием файловой системы NTFS на компьютерах с BIOS). Рекомендуемый размер системного диска — около 350 МБ. После включения BitLocker у него должно быть примерно 250 МБ свободного места.
Важно.
При установке на новом устройстве Windows автоматически создает разделы, необходимые для BitLocker.
Зашифрованная секция не может быть помечена как активная.
Примечание.
При установке необязательного компонента BitLocker на сервере также необходимо установить компонент "Расширенное хранилище". Компонент "Расширенное хранилище" используется для поддержки дисков с аппаратным шифрованием.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, в которых поддерживается включение BitLocker:
| Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
|---|---|---|---|
| Да | Да | Да | Да |
Лицензионные права на включение BitLocker предоставляются следующими лицензиями:
| Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
|---|---|---|---|---|
| Да | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.