Обзор BitLocker
BitLocker — это функция безопасности Windows, которая обеспечивает шифрование для целых томов, устраняя угрозы кражи или раскрытия данных с потерянных, украденных или неправильно списанных устройств.
Практическое применение
Данные на потерянном или украденном устройстве уязвимы для несанкционированного доступа либо путем запуска программного средства атаки на него, либо путем передачи жесткого диска устройства на другое устройство. BitLocker помогает снизить несанкционированный доступ к данным, повышая защиту файлов и систем, делая данные недоступными, когда устройства, защищенные BitLocker, выводятся из эксплуатации или перезапускаются.
BitLocker и TPM
BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM), который является общим аппаратным компонентом, установленным на устройствах Windows. TPM работает с BitLocker, чтобы убедиться, что устройство не было изменено, пока система находится в автономном режиме.
Помимо доверенного платформенного модуля BitLocker может блокировать обычный процесс запуска, пока пользователь не вставляет личный идентификационный номер (ПИН-код) или не вставляет съемные устройства, содержащие ключ запуска. Эти меры безопасности обеспечивают многофакторную проверку подлинности и гарантию того, что устройство не сможет запустить или возобновить режим гибернации до тех пор, пока не будет представлен правильный ПИН-код или ключ запуска.
На устройствах без доверенного платформенного модуля BitLocker по-прежнему можно использовать для шифрования диска операционной системы. Эта реализация требует, чтобы пользователь:
- используйте ключ запуска, который представляет собой файл, хранящийся на съемном диске, который используется для запуска устройства, или при возобновлении режима гибернации
- используйте пароль. Этот параметр не является безопасным, так как он подвержен атакам методом подбора, так как логика блокировки паролей отсутствует. Таким образом, параметр пароля не рекомендуется и отключен по умолчанию.
Оба варианта не обеспечивают предварительную проверку целостности системы, предлагаемую BitLocker с доверенным платформенный платформенный модуль.
Экран предварительной загрузки BitLocker с ключом запуска:
Экран предварительной загрузки BitLocker с ПИН-кодом:
Экран предварительной загрузки BitLocker с паролем:
Системные требования
BitLocker имеет следующие требования:
Чтобы BitLocker использовал проверка целостности системы, предоставляемые доверенным платформенный платформенный модуль, устройство должно иметь TPM 1.2 или более поздние версии. Если на устройстве нет доверенного платформенного модуля, сохранение ключа запуска на съемном диске является обязательным при включении BitLocker.
Устройство с TPM также должно иметь встроенное ПО BIOS или UEFI, совместимое с группой доверенных вычислений (TCG). Встроенное ПО BIOS или UEFI устанавливает цепочку доверия для запуска предварительной загрузки и должно включать поддержку указанного TCG статического корня измерения доверия. Компьютеру без доверенного платформенного модуля не требуется встроенное ПО, совместимое с TCG
Встроенное ПО системы BIOS или UEFI (для TPM и устройств, не относящихся к TPM) должно поддерживать класс запоминающего устройства USB и чтение файлов на USB-накопителе в среде предварительной загрузки.
Примечание.
TPM 2.0 не поддерживается в режимах модулей поддержки прежних версий и совместимости (CSM) BIOS. На устройствах с TPM 2.0 необходимо выбрать в BIOS режим "Только UEFI". Параметры "Legacy" и "CSM" необходимо отключить. Чтобы обеспечить дополнительную безопасность, включите функцию безопасной загрузки .
Установленная операционная система на оборудовании в устаревшем режиме останавливает загрузку ОС при изменении режима BIOS на UEFI. Используйте средство
mbr2gpt.exeперед изменением режима BIOS, который подготавливает ОС и диск к поддержке UEFI.Жесткий диск должен быть разбит как минимум на два диска.
Диск операционной системы (или загрузочный диск) содержит ос и файлы поддержки. Он должен быть отформатирован с помощью файловой системы NTFS.
Системный диск содержит файлы, необходимые для загрузки, расшифровки и загрузки операционной системы. Решение BitLocker не включено на этом диске. Для работы BitLocker системный диск:
- не должен быть зашифрован
- должен отличаться от диска операционной системы
- должна быть отформатирована с помощью файловой системы FAT32 на компьютерах, использующих встроенное ПО на основе UEFI, или файловой системы NTFS на компьютерах, использующих встроенное ПО BIOS.
- Рекомендуется иметь размер около 350 МБ. После включения BitLocker у него должно быть примерно 250 МБ свободного места.
Важно.
При установке на новом устройстве Windows автоматически создает разделы, необходимые для BitLocker.
Если диск был подготовлен в виде одного непрерывного пространства, BitLocker требует новый том для хранения загрузочных файлов.
BdeHdCfg.exeможет создать том. Дополнительные сведения об использовании средства см. в разделе Bdehdcfg в справочнике по Command-Line.
Примечание.
При установке дополнительного компонента BitLocker на сервере необходимо установить функцию расширенного хранилища . Эта функция используется для поддержки аппаратных зашифрованных дисков.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, в которых поддерживается включение BitLocker:
| Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
|---|---|---|---|
| Да | Да | Да | Да |
Лицензионные права на включение BitLocker предоставляются следующими лицензиями:
| Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
|---|---|---|---|---|
| Да | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Примечание.
Требования к лицензированию для включения BitLocker отличаются от требований к лицензированию для управления BitLocker. Дополнительные сведения см. в руководстве по настройке BitLocker.
Шифрование устройства
Шифрование устройств — это функция Windows, которая обеспечивает простой способ автоматического включения шифрования BitLocker на некоторых устройствах. Шифрование устройств доступно во всех версиях Windows, и для этого требуется, чтобы устройство соответствовало требованиям безопасности современного режима ожидания или HSTI. Для шифрования устройства не могут быть доступны внешние порты, которые разрешают доступ к DMA.
Важно.
При шифровании устройства шифруются только диск ОС и фиксированные диски, а не внешние или USB-диски.
В отличие от стандартной реализации BitLocker шифрование устройства включается автоматически, поэтому устройство защищено всегда. После завершения чистой установки Windows и завершения работы с готовым интерфейсом устройство подготавливается к первому использованию. В рамках этой подготовки шифрование устройства инициализируется на диске ОС и фиксированных дисках с данными на компьютере с четким ключом, эквивалентным стандартному состоянию приостановки BitLocker. В этом состоянии диск отображается со значком предупреждения в Windows Обозреватель. Желтый значок предупреждения удаляется после создания предохранителя доверенного платформенного модуля и создания резервной копии ключа восстановления.
- Если устройство Microsoft Entra присоединено или присоединено к домену Active Directory, чистый ключ удаляется после успешного резервного копирования ключа восстановления до Microsoft Entra идентификатора или доменные службы Active Directory (AD DS). Для резервного копирования ключа восстановления необходимо включить следующие параметры политики. Выберите способ восстановления дисков операционной системы, защищенных BitLocker.
- Для устройств, присоединенных к Microsoft Entra: пароль восстановления создается автоматически, когда пользователь проходит проверку подлинности для Microsoft Entra идентификатора, затем создается резервная копия ключа восстановления до Microsoft Entra идентификатора, создается предохранитель доверенного платформенного модуля и удаляется чистый ключ.
- Для устройств, присоединенных к AD DS: пароль восстановления создается автоматически при присоединении компьютера к домену. Затем создается резервная копия ключа восстановления в AD DS, создается предохранитель доверенного платформенного модуля и удаляется чистый ключ.
- Если устройство не Microsoft Entra присоединено или не присоединено к домену Active Directory, требуется учетная запись Майкрософт с правами администратора на устройстве. Когда администратор использует учетную запись Майкрософт для входа, незащищенный ключ удаляется, а ключ восстановления отправляется в учетную запись Майкрософт в Интернете, создается механизм защиты TPM. Если устройству требуется ключ восстановления, пользователю рекомендуется использовать альтернативное устройство и перейти по URL-адресу доступа к ключу восстановления, чтобы получить ключ восстановления с использованием учетных данных учетной записи Майкрософт.
- Если устройство использует только локальные учетные записи, оно остается незащищенным, даже если данные зашифрованы
Важно.
По умолчанию XTS-AES 128-bit для шифрования устройства используется метод шифрования. Если вы настроите параметр политики для использования другого метода шифрования, можно использовать страницу состояние регистрации, чтобы устройство не начало шифрования с помощью метода по умолчанию. BitLocker имеет логику, которая не начинает шифроваться до окончания запуска OOBE после завершения этапа настройки устройства страницы состояния регистрации. Эта логика дает устройству достаточно времени для получения параметров политики BitLocker перед началом шифрования.
Если требуется другой метод шифрования и (или) надежность шифра, но устройство уже зашифровано, сначала его необходимо расшифровать, прежде чем можно будет применить новый метод шифрования и (или) надежность шифра. После расшифровки устройства можно применить различные параметры BitLocker.
Если устройство изначально не имеет права на шифрование устройства, но затем вносятся изменения, которые приводят к тому, что устройство будет соответствовать требованиям (например, если включить безопасную загрузку), шифрование устройства автоматически включает BitLocker, как только оно обнаруживает его.
Вы можете проверка, соответствует ли устройство требованиям к шифрованию устройства, в приложении "Сведения о системе" (msinfo32.exe). Если устройство соответствует требованиям, сведения о системе отображают строку со следующим текстом:
| Элемент | Значение |
|---|---|
| Поддержка шифрования устройств | Соответствует предварительным требованиям |
Разница между Шифрованием BitLocker и устройства
- Шифрование устройства автоматически включает BitLocker на устройствах, соответствующих шифрованию, с ключом восстановления автоматически создается резервная копия до Microsoft Entra идентификатора, AD DS или учетной записи Майкрософт пользователя.
- Шифрование устройства добавляет параметр шифрования устройства в приложение "Параметры", который можно использовать для включения или выключения шифрования устройства.
- В пользовательском интерфейсе параметров не отображается шифрование устройства, пока шифрование не будет завершено
Примечание.
Если шифрование устройства отключено, оно больше не будет автоматически включаться в будущем. Пользователь должен включить его вручную в разделе Параметры.
Отключение шифрования устройства
Рекомендуется сохранять шифрование устройств в любых системах, которые его поддерживают. Однако вы можете предотвратить автоматическое шифрование устройств, изменив следующий параметр реестра:
| Путь | Имя | Тип | Значение |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker |
PreventDeviceEncryption |
REG_DWORD | 0x1 |
Дополнительные сведения о шифровании устройств см. в разделе Требования к оборудованию для шифрования устройств BitLocker.
Дальнейшие действия
Узнайте о технологиях и функциях для защиты от атак на ключ шифрования BitLocker: