Как работает BitLocker?
Работа BitLocker с дисками операционной системы
BitLocker можно использовать для устранения несанкционированного доступа к данным на потерянных или украденных компьютерах путем шифрования всех пользовательских и системных файлов на диске операционной системы, включая файлы подкачки и файлы гибернации, а также проверки целостности компонентов ранней загрузки и данных конфигурации загрузки.
Работа BitLocker с встроенными дисками и съемными носителями
BitLocker можно использовать для шифрования всего содержимого диска данных. групповая политика можно использовать для включения BitLocker на диске, прежде чем компьютер сможет записывать данные на диск. BitLocker можно настроить с помощью различных методов разблокировки для дисков данных, а диск с данными поддерживает несколько методов разблокировки.
Поддерживает ли BitLocker многофакторную проверку подлинности?
Да, BitLocker поддерживает многофакторную проверку подлинности для дисков операционной системы. Если bitLocker включен на компьютере с TPM версии 1.2 или более поздней, с защитой доверенного платформенного модуля можно использовать дополнительные формы проверки подлинности.
Каковы требования BitLocker к оборудованию и программному обеспечению?
Подробные требования см. в разделе Системные требования.
Примечание.
BitLocker не поддерживает динамические диски. Тома динамических данных не будут отображаться в панель управления. Хотя том операционной системы всегда будет отображаться в панель управления, независимо от того, является ли он динамическим диском, если это динамический диск, он не может быть защищен BitLocker.
Почему нужны два раздела? Почему системный диск должен быть настолько большим?
Наличие двух разделов обязательно для работы BitLocker, так как проверка подлинности перед запуском и проверка целостности системы должны выполняться на разделе, не связанном с зашифрованным диском операционной системы. Такая конфигурация способствует защите операционной системы и данных на зашифрованном диске.
Какие доверенные платформенные модули (TPM) поддерживает BitLocker?
BitLocker поддерживает платформенный модуль версии 1.2 или более поздней. Для поддержки BitLocker для TPM 2.0 требуется единый расширяемый интерфейс встроенного ПО (UEFI) для устройства.
Примечание.
TPM 2.0 не поддерживается в режимах прежних версий и CSM BIOS. Устройства с TPM 2.0 должны иметь режим BIOS, настроенный только как "Встроенный UEFI". Параметры модуля поддержки устаревших версий и совместимости (CSM) должны быть отключены. Чтобы обеспечить дополнительную безопасность, включите функцию безопасной загрузки.
Установленная операционная система на оборудовании в устаревшем режиме остановит загрузку ОС при смене режима BIOS на UEFI. Используйте средство MBR2GPT перед изменением режима BIOS, который подготовит ОС и диск к поддержке UEFI.
Как определить, есть ли на компьютере доверенный платформенный модуль?
Начиная с Windows 10 версии 1803 состояние доверенного платформенного модуля можно проверить в Защитник Windowsсведениях о обработчике безопасности устройств в Центре>безопасности> устройств. В предыдущих версиях Windows откройте консоль MMC доверенного платформенного модуля (tpm.msc) и просмотрите заголовок Состояние . Get-TPM** также можно запустить в PowerShell, чтобы получить дополнительные сведения о доверенном модулем на текущем компьютере.
Можно ли использовать BitLocker на диске операционной системы без доверенного платформенного модуля?
Да, BitLocker можно включить на диске операционной системы без доверенного платформенного модуля версии 1.2 или более поздней, если встроенное ПО BIOS или UEFI имеет возможность чтения с USB-устройства флэш-памяти в загрузочной среде. BitLocker не разблокирует защищенный диск, пока собственный том BitLocker master ключ сначала не будет освобожден доверенным платформенный платформенный модуль компьютера или USB-устройство флэш-памяти, содержащее ключ запуска BitLocker для этого компьютера. Однако компьютеры без TTPM не смогут использовать проверку целостности системы, которую также может предоставить BitLocker. Чтобы определить, может ли компьютер считывать данные с USB-устройства при загрузке, воспользуйтесь возможностью проверить систему с помощью BitLocker во время настройки BitLocker. В ходе этой проверки выполняются тесты, подтверждающие возможность считывания данных с USB-устройств в нужное время, а также соответствие компьютера другим требованиям BitLocker.
Как обеспечить поддержку доверенного платформенного модуля в BIOS на компьютере?
Запросите у изготовителя компьютера встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG и следующим требованиям:
- Он соответствует стандартам TCG для клиентского компьютера.
- наличие механизма защищенного обновления, предотвращающего установку вредоносного встроенного ПО для BIOS или загрузочного ПО на компьютер.
Какие учетные данные необходимы для использования BitLocker?
Чтобы включать и выключать использование BitLocker или изменять его настройки на дисках операционной системы и несъемных дисках с данными, необходимо состоять в локальной группе Администраторы. Обычные пользователи могут включать или выключать компонент BitLocker или изменять его конфигурацию на съемных дисках с данными.
Какой порядок загрузки рекомендуется для компьютеров, которые должны быть защищены BitLocker?
Параметры запуска компьютера должны быть настроены таким образом, чтобы жесткий диск был сначала в порядке загрузки, а не перед любыми другими дисками, такими как cd/DVD-диски или USB-накопители. Если жесткий диск не является первым и компьютер обычно загружается с жесткого диска, то при обнаружении съемных носителей во время загрузки может быть обнаружено или предполагается изменение порядка загрузки. Порядок загрузки обычно влияет на системные показатели, проверенные BitLocker, и изменение порядка загрузки вызовет запрос на ключ восстановления BitLocker. По той же причине, если ноутбук используется с док-станцией, убедитесь, что жесткий диск будет первым в порядке загрузки и при закреплении и отстыковке ноутбука.