Часто задаваемые вопросы о BitLocker

Дополнительные сведения о BitLocker см. в разделе часто задаваемых вопросов.

Общие сведения и требования

Как работает BitLocker?

Работа BitLocker с дисками операционной системы

BitLocker можно использовать для устранения несанкционированного доступа к данным на потерянных или украденных компьютерах путем шифрования всех пользовательских и системных файлов на диске операционной системы, включая файлы подкачки и файлы гибернации, а также проверки целостности компонентов ранней загрузки и данных конфигурации загрузки.

Работа BitLocker с встроенными дисками и съемными носителями

BitLocker можно использовать для шифрования всего содержимого диска данных. групповая политика можно использовать для включения BitLocker на диске, прежде чем компьютер сможет записывать данные на диск. BitLocker можно настроить с помощью различных методов разблокировки для дисков данных, а диск с данными поддерживает несколько методов разблокировки.

Поддерживает ли BitLocker многофакторную проверку подлинности?

Да, BitLocker поддерживает многофакторную проверку подлинности для дисков операционной системы. Если bitLocker включен на компьютере с TPM версии 1.2 или более поздней, с защитой доверенного платформенного модуля можно использовать дополнительные формы проверки подлинности.

Каковы требования BitLocker к оборудованию и программному обеспечению?

Подробные требования см. в разделе Системные требования.

Примечание.

BitLocker не поддерживает динамические диски. Тома динамических данных не будут отображаться в панель управления. Хотя том операционной системы всегда будет отображаться в панель управления, независимо от того, является ли он динамическим диском, если это динамический диск, он не может быть защищен BitLocker.

Почему нужны два раздела? Почему системный диск должен быть настолько большим?

Наличие двух разделов обязательно для работы BitLocker, так как проверка подлинности перед запуском и проверка целостности системы должны выполняться на разделе, не связанном с зашифрованным диском операционной системы. Такая конфигурация способствует защите операционной системы и данных на зашифрованном диске.

Какие доверенные платформенные модули (TPM) поддерживает BitLocker?

BitLocker поддерживает платформенный модуль версии 1.2 или более поздней. Для поддержки BitLocker для TPM 2.0 требуется единый расширяемый интерфейс встроенного ПО (UEFI) для устройства.

Примечание.

TPM 2.0 не поддерживается в режимах прежних версий и CSM BIOS. Устройства с TPM 2.0 должны иметь режим BIOS, настроенный только как "Встроенный UEFI". Параметры модуля поддержки устаревших версий и совместимости (CSM) должны быть отключены. Чтобы обеспечить дополнительную безопасность, включите функцию безопасной загрузки.

Установленная операционная система на оборудовании в устаревшем режиме остановит загрузку ОС при смене режима BIOS на UEFI. Используйте средство MBR2GPT перед изменением режима BIOS, который подготовит ОС и диск к поддержке UEFI.

Как определить, есть ли на компьютере доверенный платформенный модуль?

Начиная с Windows 10 версии 1803 состояние доверенного платформенного модуля можно проверить вразделе Сведения о обработчикебезопасности устройствв Центре > безопасности >Защитника Windows. В предыдущих версиях Windows откройте консоль MMC доверенного платформенного модуля (tpm.msc) и просмотрите заголовок Состояние . Get-TPM** также можно запустить в PowerShell, чтобы получить дополнительные сведения о доверенном модулем на текущем компьютере.

Можно ли использовать BitLocker на диске операционной системы без доверенного платформенного модуля?

Да, BitLocker можно включить на диске операционной системы без доверенного платформенного модуля версии 1.2 или более поздней, если встроенное ПО BIOS или UEFI имеет возможность чтения с USB-устройства флэш-памяти в загрузочной среде. BitLocker не разблокирует защищенный диск, пока собственный том BitLocker master ключ сначала не будет освобожден доверенным платформенный платформенный модуль компьютера или USB-устройство флэш-памяти, содержащее ключ запуска BitLocker для этого компьютера. Однако компьютеры без TTPM не смогут использовать проверку целостности системы, которую также может предоставить BitLocker. Чтобы определить, может ли компьютер считывать данные с USB-устройства при загрузке, воспользуйтесь возможностью проверить систему с помощью BitLocker во время настройки BitLocker. В ходе этой проверки выполняются тесты, подтверждающие возможность считывания данных с USB-устройств в нужное время, а также соответствие компьютера другим требованиям BitLocker.

Как обеспечить поддержку доверенного платформенного модуля в BIOS на компьютере?

Запросите у изготовителя компьютера встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG и следующим требованиям:

  • Он соответствует стандартам TCG для клиентского компьютера.
  • наличие механизма защищенного обновления, предотвращающего установку вредоносного встроенного ПО для BIOS или загрузочного ПО на компьютер.

Какие учетные данные необходимы для использования BitLocker?

Чтобы включать и выключать использование BitLocker или изменять его настройки на дисках операционной системы и несъемных дисках с данными, необходимо состоять в локальной группе Администраторы. Обычные пользователи могут включать или выключать компонент BitLocker или изменять его конфигурацию на съемных дисках с данными.

Какой порядок загрузки рекомендуется для компьютеров, которые должны быть защищены BitLocker?

Параметры запуска компьютера должны быть настроены таким образом, чтобы жесткий диск был сначала в порядке загрузки, а не перед любыми другими дисками, такими как cd/DVD-диски или USB-накопители. Если жесткий диск не является первым и компьютер обычно загружается с жесткого диска, то при обнаружении съемных носителей во время загрузки может быть обнаружено или предполагается изменение порядка загрузки. Порядок загрузки обычно влияет на системные показатели, проверенные BitLocker, и изменение порядка загрузки вызовет запрос на ключ восстановления BitLocker. По той же причине, если ноутбук используется с док-станцией, убедитесь, что жесткий диск будет первым в порядке загрузки и при закреплении и отстыковке ноутбука.

Обновление BitLocker и Windows

Можно ли обновить ОС до Windows 10 с включенным шифрованием BitLocker?

Да.

В чем разница между приостановкой BitLocker и расшифровкой дисков, защищенных BitLocker?

Команда Расшифровать полностью отменяет защиту при помощи BitLocker и расшифровывает весь диск.

Команда Приостановить оставляет данные зашифрованными, но при этом шифрует основной ключ тома BitLocker с использованием незащищенного ключа. Незащищенным называется криптографический ключ, который хранится на диске без шифрования и защиты. Хранение этого ключа без шифрования позволяет команде Приостановить вносить изменения и выполнять обновления на компьютере, не затрачивая время и ресурсы на расшифровку и повторное шифрование всего диска. После повторного включения BitLocker и внесения изменений эта программа запечатает ключ шифрования с использованием новых показателей компонентов, которые изменились в ходе обновления, основной ключ тома изменится, предохранители обновятся, а незащищенный ключ удалится.

Нужно ли приостановить защиту BitLocker, чтобы скачать и установить обновления и обновления системы?

Никаких действий пользователя не требуется для BitLocker, чтобы применить обновления от корпорации Майкрософт, включая исправления и обновления компонентов Windows. Пользователям необходимо приостановить защиту BitLocker для обновления программного обеспечения сторонних разработчиков, например:

  • Некоторые обновления встроенного ПО доверенного платформенного модуля, если эти обновления очищают TPM за пределами API Windows. Не каждое обновление встроенного ПО доверенного платформенного модуля очищает TPM. Пользователям не нужно приостанавливать BitLocker, если обновление встроенного ПО доверенного платформенного модуля использует API Windows для очистки доверенного платформенного модуля, так как в этом случае BitLocker будет автоматически приостановлен. Пользователям рекомендуется тестировать обновления встроенного ПО доверенного платформенного модуля, если они не хотят приостанавливать защиту BitLocker.
  • Обновления приложений сторонних корпораций, которые изменяют конфигурацию UEFI\BIOS.
  • Обновления для защищенных загрузочных баз данных вручную или сторонних производителей (только если BitLocker использует безопасную загрузку для проверки целостности).
  • Обновления встроенному ПО UEFI\BIOS, установке дополнительных драйверов UEFI или приложениям UEFI без использования механизма обновления Windows (только если BitLocker не использует безопасную загрузку для проверки целостности во время обновлений).
  • BitLocker можно проверить, используется ли безопасная загрузка для проверки целостности с помощью командной строки manage-bde.exe -protectors -get C:. Если используется безопасная загрузка для проверки целостности, появится отчет Использование безопасной загрузки для проверки целостности.

Примечание.

Если bitLocker приостановлен, защита BitLocker может быть возобновлена после установки обновления или обновления. Когда защита возобновится, BitLocker запечатает ключ шифрования с использованием новых показателей компонентов, которые изменились в ходе обновления. Если эти типы обновлений или обновлений применяются без приостановки BitLocker, компьютер перейдет в режим восстановления при перезагрузке и потребует ключа восстановления или пароля для доступа к компьютеру.

Развертывание и администрирование

Можно ли автоматизировать развертывание BitLocker в корпоративной среде?

Да, развертывание и настройка BitLocker и доверенного платформенного модуля можно автоматизировать с помощью сценариев WMI или Windows PowerShell. Выбор метода для реализации автоматизации зависит от среды. Manage-bde.exe также можно использовать для локальной или удаленной настройки BitLocker. Дополнительные сведения о написании сценариев, использующих поставщики WMI BitLocker, см. в статье Поставщик шифрования диска BitLocker. Узнать больше об использовании командлетов Windows PowerShell с шифрованием дисков BitLocker можно в статье Командлеты для BitLocker в Windows PowerShell.

Может ли BitLocker шифровать другие диски, кроме диска операционной системы?

Да.

Насколько снижается производительность при включении BitLocker на компьютере?

Как правило, существует небольшая накладная производительность, часто в процентах от одной цифры, что связано с пропускной способностью операций хранилища, в которых она должна работать.

Сколько времени занимает первоначальное шифрование после включения BitLocker?

Хотя шифрование BitLocker выполняется в фоновом режиме, пока пользователь продолжает работать с системой, которая остается пригодной для использования, время шифрования зависит от типа шифруемого диска, размера диска и скорости диска. При шифровании больших дисков шифрование может потребоваться запланировать во время, когда диск не используется.

Если BitLocker включен, bitLocker также можно настроить для шифрования всего диска или только используемого пространства на диске. На новом жестком диске шифрование лишь используемого пространства выполняется гораздо быстрее, чем шифрование всего диска. После выбора этого варианта шифрования BitLocker автоматически шифрует данные в момент сохранения. Такой способ гарантирует, что никакие данные не будут храниться без шифрования.

Что будет, если выключить компьютер во время шифрования или расшифровки?

Если компьютер выключается или переходит в режим гибернации, то при следующем запуске Windows процесс шифрования и расшифровки при помощи BitLocker возобновляется с места остановки. BitLocker возобновляет шифрование или расшифровку, даже если питание внезапно недоступно.

Выполняет ли BitLocker шифрование и расшифровку всего диска при считывании и записи данных?

Нет, BitLocker не шифрует и не расшифровывает весь диск при чтении и записи данных. Зашифрованные секторы на диске, защищенном BitLocker, расшифровываются только при запросе из системных операций чтения. Блоки, которые записываются на диск, шифруются до того, как система записывает их на физический диск. На диске с защитой BitLocker данные никогда не остаются незашифрованными.

Как запретить пользователям в сети сохранять данные на незашифрованном диске?

групповая политика параметры можно настроить так, чтобы диски данных были защищены BitLocker, прежде чем компьютер, защищенный BitLocker, сможет записывать в них данные. Дополнительные сведения см. в статье Параметры групповой политики BitLocker. Если эти параметры политики включены, операционная система, защищенная BitLocker, будет подключать все диски с данными, которые не защищены BitLocker как доступные только для чтения.

Что такое шифрование только используемого дискового пространства?

BitLocker в Windows 10 позволяет пользователям шифровать только свои данные. Хотя это не самый безопасный способ шифрования диска, этот вариант может сократить время шифрования более чем на 99 процентов в зависимости от объема данных, которые необходимо зашифровать. Дополнительные сведения см. в разделе Шифрование только используемого дискового пространства.

Какие изменения системы приводят к появлению ошибки при проверке целостности диска с операционной системой?

Появление ошибки при проверке целостности могут вызывать указанные ниже типы изменений системы. В этом случае доверенный платформенный модуль не предоставляет ключ BitLocker для расшифровки защищенного диска операционной системы.

  • Перемещение диска с защитой BitLocker в новый компьютер.
  • Установка новой системной платы с новым доверенным платформенным модулем.
  • Выключение, деактивация или очистка доверенного платформенного модуля.
  • Изменение каких-либо параметров конфигурации загрузки.
  • Изменение встроенного ПО BIOS или UEFI, основной загрузочной записи (MBR), загрузочного сектора, диспетчера загрузки, дополнительного ПЗУ, а также других компонентов ранней загрузки или данных конфигурации загрузки.

В каком случае BitLocker запускается в режиме восстановления при попытке запустить диск операционной системы?

Так как BitLocker предназначен для защиты компьютеров от многочисленных атак, существует множество причин, по которым BitLocker может запускаться в режиме восстановления. Пример

  • Изменение порядка загрузки BIOS — перед жестким диском идет другое устройство.
  • Добавление или удаление оборудования, например вставка нового карта на компьютере.
  • Удаление, вставка или полная разрядка батареи Smart Battery в портативном компьютере.

В BitLocker восстановление состоит в расшифровке копии основного ключа тома при помощи ключа восстановления, хранящегося на USB-накопителе, или при помощи криптографического ключа, полученного с использованием пароля восстановления. TPM не участвует ни в каких сценариях восстановления, поэтому восстановление по-прежнему возможно, если доверенный платформенный модуль не проходит проверку компонентов загрузки, не работает или удаляется.

Что может предотвратить привязку BitLocker к PCR 7?

BitLocker можно запретить привязку к PCR 7, если ос, не относясь к Windows, загруженной до Windows, или если безопасная загрузка недоступна для устройства, так как она отключена или оборудование не поддерживает ее.

Можно ли менять жесткие диски на компьютере, если для его диска операционной системы включено шифрование BitLocker?

Да, несколько жестких дисков можно переключить на одном компьютере, если bitLocker включен, но только если жесткие диски были защищены BitLocker на одном компьютере. Ключи BitLocker уникальны для доверенного платформенного модуля и диска операционной системы. Если в случае сбоя диска необходимо подготовить резервную копию операционной системы или диска данных, убедитесь, что они совпадают с правильным доверенным платформенный платформенный модуль. Различные жесткие диски также можно настроить для разных операционных систем, а затем включить BitLocker для каждой из них с разными методами проверки подлинности (например, с TPM только для доверенного платформенного модуля и одним с доверенным платформенный модуль + ПИН-код) без каких-либо конфликтов.

Можно ли получить доступ к жесткому диску, защищенному BitLocker, если установить его на другой компьютер?

Да, если диск является диском данных, его можно разблокировать из элемента Шифрования диска BitLocker панель управления с помощью пароля или смарт-карта. Если диск с данными настроен только для автоматической разблокировки, его необходимо разблокировать с помощью ключа восстановления. Зашифрованный жесткий диск можно разблокировать с помощью агента восстановления данных (если он настроен) или с помощью ключа восстановления.

Почему параметр **Включить BitLocker** недоступен, если щелкнуть диск правой кнопкой мыши?

Некоторые диски не могут быть зашифрованы с помощью BitLocker. Причины, по которым диск не может быть зашифрован, включают недостаточный размер диска, несовместимую файловую систему, если диск является динамическим диском или диск назначен в качестве системного раздела. По умолчанию системный диск (или системный раздел) не отображается. Однако если он не создается как скрытый диск при установке операционной системы из-за пользовательского процесса установки, этот диск может отображаться, но не может быть зашифрован.

Какие типы конфигураций дисков поддерживаются BitLocker?

Защита BitLocker возможна для любого числа внутренних несъемных дисков. В некоторых версиях поддерживаются запоминающие устройства прямого подключения с интерфейсом ATA и SATA.

Управление ключами

Как проверить подлинность или разблокировать съемный диск с данными?

Съемные диски с данными можно разблокировать с помощью пароля или смарт-карта. Также можно настроить предохранитель sid для разблокировки диска с помощью учетных данных домена пользователя. После запуска шифрования диск также можно автоматически разблокировать на определенном компьютере для определенной учетной записи пользователя. Системные администраторы могут настроить доступные для пользователей параметры, включая сложность пароля и требования к минимальной длине. Чтобы разблокировать с помощью предохранителя sid, используйте manage-bde.exe:

Manage-bde.exe -protectors -add e: -sid <i>domain\username</i></code>

В чем разница между паролем восстановления, ключом восстановления, PIN-кодом, защищенным PIN-кодом и ключом запуска?

Таблицы с перечислением и описанием элементов, таких как пароль восстановления, ключ восстановления и PIN-код, см. в разделах Средства защиты ключа BitLocker и Методы проверки подлинности BitLocker.

Где хранить пароль восстановления и ключ восстановления?

Пароль восстановления и ключ восстановления для диска операционной системы или диска с фиксированными данными можно сохранить в папку, сохранить на одном или нескольких USB-устройствах, сохранить в учетной записи Майкрософт или распечатать.

Для съемных дисков с данными пароль восстановления и ключ восстановления можно сохранить в папке, сохранить в учетной записи Майкрософт или распечатать. По умолчанию ключ восстановления для съемного диска не может храниться на съемном диске.

Администратор домена также может настроить групповая политика для автоматического создания паролей восстановления и их хранения в доменные службы Active Directory (AD DS) для любого диска, защищенного BitLocker.

Можно ли добавить дополнительный метод проверки подлинности без расшифровки диска, если включен только метод проверки подлинности на основе доверенного платформенного модуля?

Средство Manage-bde.exe командной строки можно использовать для замены режима проверки подлинности только TPM режимом многофакторной проверки подлинности. Например, если BitLocker включен только с проверкой подлинности доверенного платформенного модуля и необходимо добавить проверку подлинности с ИСПОЛЬЗОВАНИЕМ ПИН-кода, используйте следующие команды из командной строки с повышенными привилегиями, заменив 4–20 цифр числовой ПИН-код нужным числовым ПИН-кодом:

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Когда следует рассматривать дополнительные метод проверки подлинности?

Благодаря использованию нового оборудования, соответствующего требованиям программы совместимости оборудования с Windows, PIN-код перестает быть критически важным средством защиты, и наличия доверенного платформенного модуля, скорее всего, будет достаточно при условии использования таких политик, как блокировка устройства. Например, Surface Pro и Surface Book не имеют внешних портов DMA для атак. Для более старого оборудования, где может потребоваться ПИН-код, рекомендуется включить расширенные ПИН-коды , которые разрешают использование нечисловых символов, таких как буквы и знаки препинания, а также задать длину ПИН-кода на основе допустимости риска и возможностей аппаратной защиты от молотков, доступных для TPM на компьютерах.

Можно ли восстановить данные, защищенные BitLocker, если утрачены сведения, необходимые для восстановления?

Компонент BitLocker разработан так, что зашифрованный диск невозможно восстановить, минуя обязательную проверку подлинности. В режиме восстановления для разблокировки зашифрованного диска пользователю необходим пароль восстановления или ключ восстановления.

Важно.

Храните сведения о восстановлении в AD DS, а также в учетной записи Майкрософт или в другом безопасном расположении.

Можно ли хранить ключ восстановления на том же USB-устройстве флэш-памяти, на котором хранится ключ запуска?

Хотя использование USB-устройства флэш-памяти в качестве ключа запуска и для хранения ключа восстановления технически возможно, не рекомендуется использовать одно USB-устройство флэш-памяти для хранения обоих ключей. Если USB-устройство флэш-памяти, содержащее ключ запуска, потеряно или украдено, ключ восстановления также будет потерян. Кроме того, вставка этого ключа приведет к автоматической загрузке компьютера с ключа восстановления, даже если файлы, измеряемые доверенным платформенным модульом, были изменены, что позволяет обойти проверка целостности системы доверенного платформенного модуля.

Можно ли хранить ключ запуска на нескольких USB-устройствах флэш-памяти?

Да, ключ запуска компьютера можно сохранить на нескольких USB-устройствах флэш-памяти. Щелкнув правой кнопкой мыши диск с защитой BitLocker и выбрав Управление BitLocker , вы сможете сохранить ключи восстановления на дополнительных USB-устройствах флэш-памяти по мере необходимости.

Можно ли хранить несколько разных ключей запуска на одном USB-устройстве флэш-памяти?

Да, ключи запуска BitLocker для разных компьютеров можно сохранить на одном USB-устройстве флэш-памяти.

Можно ли создать несколько различных ключей запуска для одного компьютера?

Создание разных ключей запуска для одного компьютера можно выполнить с помощью скриптов. Но для компьютеров с доверенным платформенным модулем создание разных ключей запуска не позволяет BitLocker использовать проверку целостности системы, которую выполняет этот модуль.

Можно ли создавать несколько сочетаний ПИН-кода?

Создание нескольких сочетаний ПИН-кода невозможно.

Какие ключи шифрования применяются в BitLocker? Как происходит их совместная работа?

Необработанные данные шифруются полным ключом шифрования тома, который затем шифруется основным ключом тома. Ключ тома master, в свою очередь, шифруется одним из нескольких возможных методов в зависимости от проверки подлинности (т. е. защиты ключей или доверенного платформенного модуля) и сценариев восстановления.

Где хранятся ключи шифрования?

Полный ключ шифрования тома шифруется основным ключом тома и хранится на зашифрованном диске. Основной ключ тома шифруется подходящим предохранителем ключа и хранится на зашифрованном диске. Если защита BitLocker приостанавливается, то незащищенный ключ, которым шифруется основной ключ тома, также хранится на зашифрованном диске вместе с зашифрованным основным ключом тома.

Этот процесс хранения гарантирует, что том master ключ никогда не хранится в незашифрованном виде и защищен, если BitLocker не отключен. Ключи также сохраняются в двух дополнительных расположениях на диске для обеспечения избыточности. Диспетчером загрузки может считывать и обрабатывать ключи.

Почему для ввода ПИН-кода или 48-значного пароля восстановления нужно использовать функциональные клавиши?

Клавиши F1–F10 имеют универсальные коды опроса, доступные в предзагрузочной среде на всех компьютерах для всех языков. Числовые клавиши от 0 до 9 можно использовать не в среде перед загрузкой на всех клавиатурах.

Если используется улучшенный ПИН-код, пользователям рекомендуется выполнить дополнительную проверку системы в ходе настройки BitLocker, чтобы убедиться, что в предзагрузочной среде можно ввести правильный ПИН-код.

Как BitLocker защищает ПИН-код, снимающий блокировку диска операционной системы, от злоумышленников?

Возможно, что личный идентификационный номер (ПИН-код) может быть обнаружен злоумышленником, выполняющим атаку методом подбора. Атака методом подбора выполняется с помощью автоматического средства, которое проверяет различные сочетания ПИН-кода, пока не будет найден правильный код. Для компьютеров, защищенных BitLocker, этот тип атаки, также известный как атака по словарю, требует, чтобы злоумышленник получил физический доступ к компьютеру.

Доверенный платформенный модуль обладает встроенными возможностями по выявлению таких атак и противодействию им. Так как TTP-машины разных производителей могут поддерживать различные способы устранения ПИН-кода и атак, обратитесь к производителю доверенного платформенного модуля, чтобы определить, как TPM компьютера устраняет атаки методом подбора ПИН-кода. После определения производителя доверенного платформенного модуля обратитесь к производителю, чтобы собрать сведения о поставщике доверенного платформенного модуля. Большинство изготовителей экспоненциально увеличивают время блокировки интерфейса для ввода ПИН-кода с увеличением количества ошибок при его вводе. При этом каждый изготовитель имеет собственные правила в отношении сброса счетчика ошибок или уменьшения его значений.

Как определить производителя своего доверенного платформенного модуля?

Изготовителя доверенного платформенного модуля можно определить в разделеСведения о процессоре безопасности устройств в Центре>безопасности> защитника Windows.

Как оценить механизм противодействия атакам перебором по словарю, применяемый в доверенном платформенном модуле?

Следующие вопросы могут помочь при запросе у производителя доверенного платформенного модуля о разработке механизма защиты от атак словаря:

  • Сколько неудачных попыток авторизации разрешается до блокировки?
  • По какому алгоритму определяется продолжительность блокировки с учетом числа неудачных попыток авторизации и других значимых параметров?
  • Какие действия могут привести к сбросу счетчика ошибок, уменьшению его значений или продолжительности блокировки?

Можно ли изменять длину и сложность ПИН-кода с помощью групповой политики?

И да, и нет. Минимальную длину ПИН-кода можно настроить с помощью параметра Настроить минимальную длину ПИН-кода для запуска групповая политика и разрешить использование буквенно-цифровых ПИН-кодов, включив параметр Разрешить расширенные ПИН-коды для запуска групповая политика. Однако сложность ПИН-кода не может требоваться через групповая политика.

Дополнительные сведения см. в статье Параметры групповой политики BitLocker.

BitLocker To Go

Что такое BitLocker To Go?

BitLocker To Go позволяет выполнять шифрование диска BitLocker для съемных носителей с данными. Эта функция включает в себя шифрование:

  • USB-устройства флэш-памяти
  • SD-карты
  • Внешние жесткие диски
  • Другие диски, отформатированные с помощью файловой системы NTFS, FAT16, FAT32 или exFAT.

Секционирование дисков должно соответствовать требованиям шифрования диска BitLocker.

Как и в случае с BitLocker, диски, зашифрованные с помощью BitLocker To Go, можно открыть с помощью пароля или смарт-карта на другом компьютере. В панель управления используйте шифрование диска BitLocker.

BitLocker и доменные службы Active Directory (AD DS)

Какой тип информации хранится в AD DS?

Хранимая информация Описание
Хэш пароля владельца доверенного платформенного модуля Начиная с Windows 10 хэш паролей по умолчанию не хранится в AD DS. Хэш паролей может храниться только в том случае, если доверенный платформенный модуль принадлежит и владение было взято с помощью компонентов Windows 8.1 или более ранних версий, таких как мастер установки BitLocker или оснастка доверенного платформенного модуля.
Пароль восстановления BitLocker Пароль восстановления позволяет разблокировать диск и получить доступ к диску после инцидента восстановления. Администраторы домена могут просматривать пароль восстановления BitLocker с помощью средства просмотра пароля восстановления BitLocker. Дополнительные сведения об этом средстве см. в статье BitLocker: Использование средства просмотра паролей восстановления BitLocker.
Пакет ключей BitLocker Пакет ключей помогает устранить повреждения жесткого диска, которые в противном случае препятствовали бы стандартному восстановлению. Для использования пакета ключей для восстановления требуется средство восстановления BitLocker, Repair-bde.

Что будет, если включить BitLocker на компьютере перед присоединением к домену?

Если bitLocker включен на диске до применения групповая политика для принудительного выполнения резервного копирования, то при присоединении компьютера к домену или при последующем применении групповая политика сведения о восстановлении не будут автоматически создаваться в AD DS. Однако параметры групповая политика Выберите, как можно восстановить диски операционной системы, защищенные BitLocker, Выберите, как можно восстановить фиксированные диски, защищенные BitLocker, и Выберите, как можно восстановить съемные диски, защищенные BitLocker, чтобы требовать подключения компьютера к домену до включения BitLocker, чтобы гарантировать, что сведения о восстановлении для дисков, защищенных BitLocker, в среде резервная копия организации выполняется в AD DS.

Дополнительные сведения см. в статье Параметры групповой политики BitLocker.

Интерфейс Инструментария управления Windows (WMI) BitLocker позволяет администраторам создавать скрипты для резервного копирования или синхронизации существующих сведений о восстановлении клиента в сети. Однако BitLocker не управляет этим процессом автоматически. Программу manage-bde.exe командной строки также можно использовать для резервного копирования данных восстановления в AD DS вручную. Например, чтобы создать резервную копию всех сведений о восстановлении для $env:SystemDrive ad DS, из командной строки с повышенными привилегиями можно использовать следующий сценарий команды:

$BitLocker = Get-BitLockerVolume -MountPoint $env:SystemDrive
$RecoveryProtector = $BitLocker.KeyProtector | Where-Object { $_.KeyProtectorType -eq 'RecoveryPassword' }

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $RecoveryProtector.KeyProtectorID
BackupToAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $RecoveryProtector.KeyProtectorID

Важно.

Присоединение компьютера к домену должно быть первым шагом для новых компьютеров в организации. После присоединения компьютеров к домену сохранение ключа восстановления BitLocker в AD DS выполняется автоматически (если это обеспечено групповой политикой).

Записывается ли в журнал событий на клиентском компьютере результат резервного копирования Active Directory?

Да, на клиентском компьютере в журнал событий заносится запись, показывающая успешный или не успешный результат резервного копирования Active Directory. Но даже в случае, если в журнале событий указано успешное завершение, данные о резервном копировании могут быть удалены из AD DS. Кроме того, конфигурация BitLocker может измениться так, что данные из Active Directory не позволят разблокировать диск (например, если удален предохранитель ключа для пароля восстановления). Кроме того, возможно, что запись журнала может быть спуфинирована.

Чтобы гарантированно определить наличие достоверной резервной копии в AD DS, необходимо отправить запрос в доменные службы Active Directory с учетными данными администратора домена с помощью средства просмотра паролей BitLocker.

Если изменить пароль восстановления BitLocker на локальном компьютере и сохранить новый пароль в доменных службах Active Directory, перезапишут ли доменные службы старый пароль?

Нет. По умолчанию записи паролей восстановления BitLocker не удаляются из AD DS. Таким образом, для каждого диска можно увидеть несколько паролей. Чтобы определить последний пароль, проверьте дату объекта.

Что будет, если первоначальное создание резервной копии завершится ошибкой? Будет ли BitLocker повторить его?

Если резервное копирование изначально завершается сбоем, например когда контроллер домена недоступен во время запуска мастера настройки BitLocker, BitLocker не пытается снова создать резервную копию данных восстановления в AD DS.

Если администратор выбирает параметр требовать резервное копирование BitLocker в AD DS проверка параметра политики Сохранить сведения о восстановлении BitLocker в службе домен Active Directory (Windows 2008 и Windows Vista) или эквивалентное значение Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков (операционная система | фиксированные данные | съемные данные) проверка в любом из параметров политики Выберите, как можно восстановить диски операционной системы, защищенные BitLocker, выберите, как можно восстановить фиксированные диски с данными, защищенные BitLocker, и Выберите, как можно восстановить съемные диски с данными, защищенные BitLocker. Пользователи не смогут включить BitLocker, если компьютер не подключен к домену и резервное копирование сведений о восстановлении BitLocker в AD DS будет выполнено успешно. Если эти параметры настроены в случае сбоя резервного копирования, BitLocker нельзя включить, что гарантирует, что администраторы смогут восстановить диски, защищенные BitLocker в организации.

Дополнительные сведения см. в статье Параметры групповой политики BitLocker.

Когда администратор очищает эти поля проверка, администратор разрешает защиту диска BitLocker без успешного резервного копирования сведений о восстановлении в AD DS. Однако BitLocker не будет автоматически повторять резервное копирование в случае сбоя. Вместо этого администраторы могут создать скрипт резервного копирования, как описано ранее в разделе Что делать, если bitLocker включен на компьютере до присоединения компьютера к домену? для записи сведений после восстановления подключения.

Безопасность

Какой формат шифрования применяется в BitLocker? Можно ли его настроить?

BitLocker использует расширенный стандарт шифрования (AES) в качестве алгоритма шифрования с настраиваемой длиной ключа 128 или 256 бит. По умолчанию задано шифрование AES-128, но можно настроить параметры с помощью групповой политики.

Как лучше всего использовать BitLocker на диске с операционной системой?

Рекомендуемая практика для конфигурации BitLocker на диске операционной системы заключается в реализации BitLocker на компьютере с доверенным платформенный платформенный платформой версии 1.2 или более поздней, а также реализацию bios или UEFI, совместимую с группой доверенных вычислений (TCG), а также реализацию встроенного ПО BIOS или UEFI, а также ПИН-код. Требуя ПИН-код, который был задан пользователем в дополнение к проверке доверенного платформенного модуля, злоумышленник, имеющий физический доступ к компьютеру, не может запустить компьютер.

Какие могут быть последствия при использовании параметров управления питанием (спящий режим и режим гибернации)?

BitLocker на дисках операционной системы в базовой конфигурации (с TPM, но без другой проверки подлинности при запуске) обеспечивает дополнительную безопасность для режима гибернации. Однако BitLocker обеспечивает большую безопасность, если настроено использовать другой фактор проверки подлинности запуска (TPM+PIN, TPM+USB или TPM+PIN+USB) в режиме гибернации. Этот метод является более безопасным, так как для возврата из режима гибернации требуется проверка подлинности. В спящем режиме компьютер уязвим для атак прямого доступа к памяти, так как незащищенные данные остаются в ОЗУ. Поэтому для повышения безопасности рекомендуется отключить спящий режим и использовать TPM+ПИН-код для метода проверки подлинности. Проверку подлинности при запуске можно настроить с помощью групповая политика или мобильной Управление устройствами с поставщиком служб CSP BitLocker.

Каковы преимущества доверенного платформенного модуля?

В большинстве операционных систем используется общее пространство памяти, а за управление физической памятью отвечает операционная система. Доверенный платформенный модуль — это аппаратный компонент, который использует собственное встроенное ПО и внутренние логические схемы для обработки инструкций, обеспечивая защиту от уязвимости внешнего ПО. Для взлома доверенного платформенного модуля необходим физический доступ к компьютеру. Кроме того, средства и навыки, необходимые для атаки на оборудование, часто стоят дороже и обычно не так доступны, как те, которые используются для атак на программное обеспечение. Так как доверенный платформенный модуль на каждом компьютере уникален, то для взлома нескольких компьютеров с доверенными платформенными модулями потребуется много времени и сил.

Примечание.

Настройка BitLocker с дополнительным фактором проверки подлинности обеспечивает еще большую защиту от аппаратных атак доверенного платформенного модуля.

Сетевая разблокировка

Часто задаваемые вопросы о разблокировке сети BitLocker

Сетевая разблокировка BitLocker упрощает управление компьютерами и серверами, защищенными BitLocker с применением доверенного платформенного модуля и ПИН-кода в среде домена. При перезагрузке компьютера, соединенного с проводной корпоративной сетью, сетевая разблокировка позволяет пропустить запрос на введение ПИН-кода. Блокировка томов операционной системы, защищенных BitLocker, автоматически снимается с помощью доверенного ключа, который предоставляется сервером служб развертывания Windows в качестве дополнительного способа проверки подлинности.

Чтобы использовать сетевую разблокировку, необходимо настроить ПИН-код для компьютера. Если компьютер не подключен к сети, необходимо указать ПИН-код, чтобы разблокировать его.

Сетевая разблокировка BitLocker имеет требования к программному и аппаратному обеспечению для клиентских компьютеров, служб развертывания Windows и контроллеров домена, которые должны быть выполнены, прежде чем ее можно будет использовать.

Сетевая разблокировка использует два предохранителя : предохранитель доверенного платформенного модуля и предохранитель, предоставляемый сетью или ПИН-кодом. Автоматическая разблокировка использует один предохранитель , который хранится в TPM. Если компьютер присоединен к сети без предохранителя ключа, будет предложено ввести ПИН-код. Если ПИН-код недоступен, ключ восстановления необходимо будет использовать для разблокировки компьютера, если он не может быть подключен к сети.

Дополнительные сведения см. в статье BitLocker: включение сетевой разблокировки.

Использование BitLocker с другими программами

Можно ли использовать EFS с BitLocker?

Да, шифруемая файловая система (EFS) может использоваться для шифрования файлов на диске, защищенном BitLocker. BitLocker помогает защитить весь диск операционной системы от атак в автономном режиме, тогда как EFS может обеспечить дополнительное шифрование на уровне файлов пользователя для разделения безопасности между несколькими пользователями одного компьютера. EFS также можно использовать в Windows для шифрования файлов на других дисках, которые не шифруются с помощью BitLocker. Корневые секреты EFS по умолчанию хранятся на диске операционной системы. Таким образом, если bitLocker включен для диска операционной системы, данные, зашифрованные EFS на других дисках, также косвенно защищаются BitLocker.

Может ли отладчик ядра работать с BitLocker?

Да. При этом отладчик нужно включать до включения BitLocker. Заблаговременное включение отладчика обеспечивает правильность вычисления показателей состояния при запечатывании в доверенном платформенном модуле, что позволяет компьютеру корректно запускаться. Если отладка должна быть включена или отключена при использовании BitLocker, не забудьте сначала приостановить BitLocker, чтобы избежать перевода компьютера в режим восстановления.

Как BitLocker работает с дампами памяти?

BitLocker содержит стек драйверов запоминающих устройств, который обеспечивает шифрование дампов памяти при включении BitLocker.

Поддерживает ли BitLocker смарт-карты для предзагрузочной проверки подлинности?

BitLocker не поддерживает смарт-карты для проверки подлинности перед загрузкой. Единого отраслевого стандарта для смарт-карта поддержки встроенного ПО не существует, и большинство компьютеров либо не реализуют поддержку встроенного ПО для смарт-карт, либо поддерживают только определенные смарт-карты и средства чтения. Отсутствие стандартизации затрудняет их поддержку.

Можно ли использовать драйвер доверенного платформенного модуля, разработанный не Майкрософт?

Корпорация Майкрософт не поддерживает драйверы TPM, отличные от Майкрософт, и настоятельно не рекомендует использовать их с BitLocker. Попытка использовать драйвер доверенного платформенного модуля, отличного от Майкрософт, с BitLocker может привести к тому, что bitLocker сообщит о том, что доверенный платформенный модуль отсутствует на компьютере и не позволит использовать TPM с BitLocker.

Могут ли другие средства, управляющие основной загрузочной записью (MBR) или изменяющие ее, работать совместно с BitLocker?

Мы не рекомендуем изменять загрузочную запись master на компьютерах с дисками операционной системы, защищенными BitLocker, по нескольким причинам безопасности, надежности и поддержки продукта. Изменения в загрузочной записи master (MBR) могут изменить среду безопасности и предотвратить нормальное запуск компьютера и усложнить любые усилия по восстановлению после поврежденного MBR. Изменения MBR, внесенные не средствами Windows, могут перевести компьютер в режим восстановления или сделать загрузку абсолютно невозможной.

Почему системный проверка завершается сбоем при шифровании диска операционной системы?

Системная проверка предназначена для обеспечения совместимости встроенного ПО BIOS или UEFI компьютера с BitLocker и правильности работы доверенного платформенного модуля. Проверка системы может завершаться ошибкой по следующим причинам:

  • Встроенное ПО BIOS или UEFI компьютера не может считывать USB-устройства флэш-памяти.
  • В BIOS, встроенном ПО uEFI или меню загрузки компьютера не включены usb-устройства флэш-памяти для чтения.
  • в компьютер вставлено несколько USB-устройств флэш-памяти;
  • ПИН-код введен неправильно.
  • Встроенное ПО BIOS или UEFI компьютера поддерживает только использование функциональных ключей (F1–F10) для ввода чисел в среде перед загрузкой.
  • ключ запуска удален до завершения перезагрузки компьютера;
  • из-за неисправности доверенного платформенного модуля не удалось предоставить ключи.

Что делать, если не удается прочитать ключ восстановления на USB-устройстве флэш-памяти?

Некоторые компьютеры не могут считывать USB-устройства флэш-памяти в среде перед загрузкой. Сначала проверка параметры встроенного ПО BIOS или UEFI и загрузки, чтобы убедиться, что использование USB-накопителей включено. Если он не включен, включите использование USB-накопителей в параметрах встроенного ПО BIOS или UEFI и загрузки, а затем повторите попытку считывания ключа восстановления с USB-устройства флэш-памяти. Если USB-устройство флэш-памяти по-прежнему не удается прочитать, жесткий диск необходимо будет подключить в качестве диска данных на другом компьютере, чтобы операционная система попыталась считывать ключ восстановления с USB-устройства флэш-памяти. Если USB-устройство флэш-памяти повреждено или повреждено, может потребоваться ввести пароль восстановления или использовать сведения о восстановлении, резервные копии в AD DS. Кроме того, если ключ восстановления используется в среде перед загрузкой, убедитесь, что диск отформатирован с помощью файловой системы NTFS, FAT16 или FAT32.

Почему не удается сохранить ключ восстановления на USB-устройстве флэш-памяти?

Параметр Сохранить в USB не отображается по умолчанию для съемных дисков. Если этот пункт недоступен, это значит, что системный администратор запретил использование ключей восстановления.

Почему не удается автоматически разблокировать диск?

Для автоматической разблокировки фиксированных дисков с данными требуется, чтобы диск операционной системы также был защищен BitLocker. Если используется компьютер без диска операционной системы, защищенного BitLocker, фиксированный диск не может быть разблокирован автоматически. Для съемных дисков с данными можно добавить автоматическую разблокировку, щелкнув правой кнопкой мыши диск в Windows Обозреватель и выбрав Управление BitLocker. Пароль или смарт-карта учетные данные, предоставленные при включении BitLocker, по-прежнему можно использовать для разблокировки съемного диска на других компьютерах.

Можно использовать BitLocker в безопасном режиме?

В безопасном режиме доступны ограниченные возможности BitLocker. Диски, защищенные BitLocker, можно разблокировать и расшифровывать, выбрав элемент Шифрование диска BitLocker на панели управления. Щелчок правой кнопкой мыши для доступа к параметрам BitLocker из Windows Обозреватель недоступен в безопасном режиме.

Как заблокировать диск с данными?

Фиксированный и съемный диск с данными можно заблокировать с помощью средства командной строки Manage-bde и команды -lock.

Примечание.

Перед блокировкой убедитесь, что все данные сохраняются на диске. После блокировки диск станет недоступным.

Синтаксис команды:

manage-bde.exe <driveletter> -lock

Помимо использования этой команды, диски с данными блокируются во время завершения работы или перезапуска операционной системы. Съемный носитель с данными, который отключается от компьютера, также автоматически блокируется.

Можно ли использовать BitLocker вместе со службой теневого копирования томов?

Да. Но теневые копии, созданные до включения BitLocker, автоматически удаляются, когда BitLocker включается для дисков с программным шифрованием. Если используется аппаратный зашифрованный диск, теневые копии сохраняются.

Поддерживает ли BitLocker виртуальные жесткие диски (VHD)?

BitLocker должен работать так же, как и любой конкретный физический компьютер в пределах своих аппаратных ограничений при условии, что среда (физическая или виртуальная) соответствует требованиям операционной системы Windows для запуска.

  • С TPM: да, он поддерживается.
  • Без доверенного платформенного платформенного модуля: да, он поддерживается (с защитой паролем).

BitLocker также поддерживается на виртуальных жестких дисках томов данных, таких как те, которые используются кластерами, если используется Windows 10, Windows 8.1, Windows 8, Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012.

Можно ли использовать BitLocker с виртуальными машинами (ВМ)?

Да. Предохранители паролей и виртуальные TPM можно использовать с BitLocker для защиты виртуальных машин. Виртуальные машины могут быть присоединены к домену, присоединены к Azure AD или присоединены к рабочему месту (с помощью параметров>Учетные> записиДоступ к рабочей или учебной>сети) для получения политики. Шифрование можно включить либо при создании виртуальной машины, либо с помощью других существующих средств управления, таких как поставщик CSP BitLocker, или даже с помощью скрипта запуска или сценария входа, предоставляемого групповая политика. Windows Server 2016 также поддерживает Экранированные виртуальные машины и защищенную структуру для защиты ВМ от злонамеренных администраторов.