Часто задаваемые вопросы о BitLocker

Работа BitLocker с дисками операционной системы

BitLocker можно использовать для устранения несанкционированного доступа к данным на потерянных или украденных компьютерах путем шифрования всех пользовательских и системных файлов на диске операционной системы, включая файлы подкачки и файлы гибернации, а также проверки целостности компонентов ранней загрузки и данных конфигурации загрузки.

Работа BitLocker с встроенными дисками и съемными носителями

BitLocker можно использовать для шифрования всего содержимого диска данных. групповая политика можно использовать для включения BitLocker на диске, прежде чем компьютер сможет записывать данные на диск. BitLocker можно настроить с помощью различных методов разблокировки для дисков данных, а диск с данными поддерживает несколько методов разблокировки.

Да, BitLocker поддерживает многофакторную проверку подлинности для дисков операционной системы. Если bitLocker включен на компьютере с TPM версии 1.2 или более поздней, с защитой доверенного платформенного модуля можно использовать дополнительные формы проверки подлинности.

Подробные требования см. в разделе Системные требования.

Наличие двух разделов обязательно для работы BitLocker, так как проверка подлинности перед запуском и проверка целостности системы должны выполняться на разделе, не связанном с зашифрованным диском операционной системы. Такая конфигурация способствует защите операционной системы и данных на зашифрованном диске.

BitLocker поддерживает платформенный модуль версии 1.2 или более поздней. Для поддержки BitLocker для TPM 2.0 требуется единый расширяемый интерфейс встроенного ПО (UEFI) для устройства.

Начиная с Windows 10 версии 1803 состояние доверенного платформенного модуля можно проверить вразделе Сведения о обработчикебезопасности устройствв Центре > безопасности >Защитника Windows. В предыдущих версиях Windows откройте консоль MMC доверенного платформенного модуля (tpm.msc) и просмотрите заголовок Состояние . Get-TPM** также можно запустить в PowerShell, чтобы получить дополнительные сведения о доверенном модулем на текущем компьютере.

Да, BitLocker можно включить на диске операционной системы без доверенного платформенного модуля версии 1.2 или более поздней, если встроенное ПО BIOS или UEFI имеет возможность чтения с USB-устройства флэш-памяти в загрузочной среде. BitLocker не разблокирует защищенный диск, пока собственный том BitLocker master ключ сначала не будет освобожден доверенным платформенный платформенный модуль компьютера или USB-устройство флэш-памяти, содержащее ключ запуска BitLocker для этого компьютера. Однако компьютеры без TTPM не смогут использовать проверку целостности системы, которую также может предоставить BitLocker. Чтобы определить, может ли компьютер считывать данные с USB-устройства при загрузке, воспользуйтесь возможностью проверить систему с помощью BitLocker во время настройки BitLocker. В ходе этой проверки выполняются тесты, подтверждающие возможность считывания данных с USB-устройств в нужное время, а также соответствие компьютера другим требованиям BitLocker.

Запросите у изготовителя компьютера встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG и следующим требованиям:

• Он соответствует стандартам TCG для клиентского компьютера.
• наличие механизма защищенного обновления, предотвращающего установку вредоносного встроенного ПО для BIOS или загрузочного ПО на компьютер.

Чтобы включать и выключать использование BitLocker или изменять его настройки на дисках операционной системы и несъемных дисках с данными, необходимо состоять в локальной группе Администраторы. Обычные пользователи могут включать или выключать компонент BitLocker или изменять его конфигурацию на съемных дисках с данными.

Параметры запуска компьютера должны быть настроены таким образом, чтобы жесткий диск был сначала в порядке загрузки, а не перед любыми другими дисками, такими как cd/DVD-диски или USB-накопители. Если жесткий диск не является первым и компьютер обычно загружается с жесткого диска, то при обнаружении съемных носителей во время загрузки может быть обнаружено или предполагается изменение порядка загрузки. Порядок загрузки обычно влияет на системные показатели, проверенные BitLocker, и изменение порядка загрузки вызовет запрос на ключ восстановления BitLocker. По той же причине, если ноутбук используется с док-станцией, убедитесь, что жесткий диск будет первым в порядке загрузки и при закреплении и отстыковке ноутбука.

Да.

Команда Расшифровать полностью отменяет защиту при помощи BitLocker и расшифровывает весь диск.

Команда Приостановить оставляет данные зашифрованными, но при этом шифрует основной ключ тома BitLocker с использованием незащищенного ключа. Незащищенным называется криптографический ключ, который хранится на диске без шифрования и защиты. Хранение этого ключа без шифрования позволяет команде Приостановить вносить изменения и выполнять обновления на компьютере, не затрачивая время и ресурсы на расшифровку и повторное шифрование всего диска. После повторного включения BitLocker и внесения изменений эта программа запечатает ключ шифрования с использованием новых показателей компонентов, которые изменились в ходе обновления, основной ключ тома изменится, предохранители обновятся, а незащищенный ключ удалится.

Никаких действий пользователя не требуется для BitLocker, чтобы применить обновления от корпорации Майкрософт, включая исправления и обновления компонентов Windows. Пользователям необходимо приостановить защиту BitLocker для обновления программного обеспечения сторонних разработчиков, например:

• Некоторые обновления встроенного ПО доверенного платформенного модуля, если эти обновления очищают TPM за пределами API Windows. Не каждое обновление встроенного ПО доверенного платформенного модуля очищает TPM. Пользователям не нужно приостанавливать BitLocker, если обновление встроенного ПО доверенного платформенного модуля использует API Windows для очистки доверенного платформенного модуля, так как в этом случае BitLocker будет автоматически приостановлен. Пользователям рекомендуется тестировать обновления встроенного ПО доверенного платформенного модуля, если они не хотят приостанавливать защиту BitLocker.
• Обновления приложений сторонних корпораций, которые изменяют конфигурацию UEFI\BIOS.
• Обновления для защищенных загрузочных баз данных вручную или сторонних производителей (только если BitLocker использует безопасную загрузку для проверки целостности).
• Обновления встроенному ПО UEFI\BIOS, установке дополнительных драйверов UEFI или приложениям UEFI без использования механизма обновления Windows (только если BitLocker не использует безопасную загрузку для проверки целостности во время обновлений).
• BitLocker можно проверить, используется ли безопасная загрузка для проверки целостности с помощью командной строки manage-bde.exe -protectors -get C:. Если используется безопасная загрузка для проверки целостности, появится отчет Использование безопасной загрузки для проверки целостности.

Да, развертывание и настройка BitLocker и доверенного платформенного модуля можно автоматизировать с помощью сценариев WMI или Windows PowerShell. Выбор метода для реализации автоматизации зависит от среды. Manage-bde.exe также можно использовать для локальной или удаленной настройки BitLocker. Дополнительные сведения о написании сценариев, использующих поставщики WMI BitLocker, см. в статье Поставщик шифрования диска BitLocker. Узнать больше об использовании командлетов Windows PowerShell с шифрованием дисков BitLocker можно в статье Командлеты для BitLocker в Windows PowerShell.

Да.

Как правило, существует небольшая накладная производительность, часто в процентах от одной цифры, что связано с пропускной способностью операций хранилища, в которых она должна работать.

Хотя шифрование BitLocker выполняется в фоновом режиме, пока пользователь продолжает работать с системой, которая остается пригодной для использования, время шифрования зависит от типа шифруемого диска, размера диска и скорости диска. При шифровании больших дисков шифрование может потребоваться запланировать во время, когда диск не используется.

Если BitLocker включен, bitLocker также можно настроить для шифрования всего диска или только используемого пространства на диске. На новом жестком диске шифрование лишь используемого пространства выполняется гораздо быстрее, чем шифрование всего диска. После выбора этого варианта шифрования BitLocker автоматически шифрует данные в момент сохранения. Такой способ гарантирует, что никакие данные не будут храниться без шифрования.

Если компьютер выключается или переходит в режим гибернации, то при следующем запуске Windows процесс шифрования и расшифровки при помощи BitLocker возобновляется с места остановки. BitLocker возобновляет шифрование или расшифровку, даже если питание внезапно недоступно.

Нет, BitLocker не шифрует и не расшифровывает весь диск при чтении и записи данных. Зашифрованные секторы на диске, защищенном BitLocker, расшифровываются только при запросе из системных операций чтения. Блоки, которые записываются на диск, шифруются до того, как система записывает их на физический диск. На диске с защитой BitLocker данные никогда не остаются незашифрованными.

групповая политика параметры можно настроить так, чтобы диски данных были защищены BitLocker, прежде чем компьютер, защищенный BitLocker, сможет записывать в них данные. Дополнительные сведения см. в статье Параметры групповой политики BitLocker. Если эти параметры политики включены, операционная система, защищенная BitLocker, будет подключать все диски с данными, которые не защищены BitLocker как доступные только для чтения.

BitLocker в Windows 10 позволяет пользователям шифровать только свои данные. Хотя это не самый безопасный способ шифрования диска, этот вариант может сократить время шифрования более чем на 99 процентов в зависимости от объема данных, которые необходимо зашифровать. Дополнительные сведения см. в разделе Шифрование только используемого дискового пространства.

Появление ошибки при проверке целостности могут вызывать указанные ниже типы изменений системы. В этом случае доверенный платформенный модуль не предоставляет ключ BitLocker для расшифровки защищенного диска операционной системы.

• Перемещение диска с защитой BitLocker в новый компьютер.
• Установка новой системной платы с новым доверенным платформенным модулем.
• Выключение, деактивация или очистка доверенного платформенного модуля.
• Изменение каких-либо параметров конфигурации загрузки.
• Изменение встроенного ПО BIOS или UEFI, основной загрузочной записи (MBR), загрузочного сектора, диспетчера загрузки, дополнительного ПЗУ, а также других компонентов ранней загрузки или данных конфигурации загрузки.

Так как BitLocker предназначен для защиты компьютеров от многочисленных атак, существует множество причин, по которым BitLocker может запускаться в режиме восстановления. Пример

• Изменение порядка загрузки BIOS — перед жестким диском идет другое устройство.
• Добавление или удаление оборудования, например вставка нового карта на компьютере.
• Удаление, вставка или полная разрядка батареи Smart Battery в портативном компьютере.

В BitLocker восстановление состоит в расшифровке копии основного ключа тома при помощи ключа восстановления, хранящегося на USB-накопителе, или при помощи криптографического ключа, полученного с использованием пароля восстановления. TPM не участвует ни в каких сценариях восстановления, поэтому восстановление по-прежнему возможно, если доверенный платформенный модуль не проходит проверку компонентов загрузки, не работает или удаляется.

BitLocker можно запретить привязку к PCR 7, если ос, не относясь к Windows, загруженной до Windows, или если безопасная загрузка недоступна для устройства, так как она отключена или оборудование не поддерживает ее.

Да, несколько жестких дисков можно переключить на одном компьютере, если bitLocker включен, но только если жесткие диски были защищены BitLocker на одном компьютере. Ключи BitLocker уникальны для доверенного платформенного модуля и диска операционной системы. Если в случае сбоя диска необходимо подготовить резервную копию операционной системы или диска данных, убедитесь, что они совпадают с правильным доверенным платформенный платформенный модуль. Различные жесткие диски также можно настроить для разных операционных систем, а затем включить BitLocker для каждой из них с разными методами проверки подлинности (например, с TPM только для доверенного платформенного модуля и одним с доверенным платформенный модуль + ПИН-код) без каких-либо конфликтов.

Да, если диск является диском данных, его можно разблокировать из элемента Шифрования диска BitLocker панель управления с помощью пароля или смарт-карта. Если диск с данными настроен только для автоматической разблокировки, его необходимо разблокировать с помощью ключа восстановления. Зашифрованный жесткий диск можно разблокировать с помощью агента восстановления данных (если он настроен) или с помощью ключа восстановления.

Некоторые диски не могут быть зашифрованы с помощью BitLocker. Причины, по которым диск не может быть зашифрован, включают недостаточный размер диска, несовместимую файловую систему, если диск является динамическим диском или диск назначен в качестве системного раздела. По умолчанию системный диск (или системный раздел) не отображается. Однако если он не создается как скрытый диск при установке операционной системы из-за пользовательского процесса установки, этот диск может отображаться, но не может быть зашифрован.

Защита BitLocker возможна для любого числа внутренних несъемных дисков. В некоторых версиях поддерживаются запоминающие устройства прямого подключения с интерфейсом ATA и SATA.

Съемные диски с данными можно разблокировать с помощью пароля или смарт-карта. Также можно настроить предохранитель sid для разблокировки диска с помощью учетных данных домена пользователя. После запуска шифрования диск также можно автоматически разблокировать на определенном компьютере для определенной учетной записи пользователя. Системные администраторы могут настроить доступные для пользователей параметры, включая сложность пароля и требования к минимальной длине. Чтобы разблокировать с помощью предохранителя sid, используйте manage-bde.exe:

Manage-bde.exe -protectors -add e: -sid <i>domain\username</i></code>

Таблицы с перечислением и описанием элементов, таких как пароль восстановления, ключ восстановления и PIN-код, см. в разделах Средства защиты ключа BitLocker и Методы проверки подлинности BitLocker.

Пароль восстановления и ключ восстановления для диска операционной системы или диска с фиксированными данными можно сохранить в папку, сохранить на одном или нескольких USB-устройствах, сохранить в учетной записи Майкрософт или распечатать.

Для съемных дисков с данными пароль восстановления и ключ восстановления можно сохранить в папке, сохранить в учетной записи Майкрософт или распечатать. По умолчанию ключ восстановления для съемного диска не может храниться на съемном диске.

Администратор домена также может настроить групповая политика для автоматического создания паролей восстановления и их хранения в доменные службы Active Directory (AD DS) для любого диска, защищенного BitLocker.

Средство Manage-bde.exe командной строки можно использовать для замены режима проверки подлинности только TPM режимом многофакторной проверки подлинности. Например, если BitLocker включен только с проверкой подлинности доверенного платформенного модуля и необходимо добавить проверку подлинности с ИСПОЛЬЗОВАНИЕМ ПИН-кода, используйте следующие команды из командной строки с повышенными привилегиями, заменив 4–20 цифр числовой ПИН-код нужным числовым ПИН-кодом:

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Благодаря использованию нового оборудования, соответствующего требованиям программы совместимости оборудования с Windows, PIN-код перестает быть критически важным средством защиты, и наличия доверенного платформенного модуля, скорее всего, будет достаточно при условии использования таких политик, как блокировка устройства. Например, Surface Pro и Surface Book не имеют внешних портов DMA для атак. Для более старого оборудования, где может потребоваться ПИН-код, рекомендуется включить расширенные ПИН-коды , которые разрешают использование нечисловых символов, таких как буквы и знаки препинания, а также задать длину ПИН-кода на основе допустимости риска и возможностей аппаратной защиты от молотков, доступных для TPM на компьютерах.

Компонент BitLocker разработан так, что зашифрованный диск невозможно восстановить, минуя обязательную проверку подлинности. В режиме восстановления для разблокировки зашифрованного диска пользователю необходим пароль восстановления или ключ восстановления.

Хотя использование USB-устройства флэш-памяти в качестве ключа запуска и для хранения ключа восстановления технически возможно, не рекомендуется использовать одно USB-устройство флэш-памяти для хранения обоих ключей. Если USB-устройство флэш-памяти, содержащее ключ запуска, потеряно или украдено, ключ восстановления также будет потерян. Кроме того, вставка этого ключа приведет к автоматической загрузке компьютера с ключа восстановления, даже если файлы, измеряемые доверенным платформенным модульом, были изменены, что позволяет обойти проверка целостности системы доверенного платформенного модуля.

Да, ключ запуска компьютера можно сохранить на нескольких USB-устройствах флэш-памяти. Щелкнув правой кнопкой мыши диск с защитой BitLocker и выбрав Управление BitLocker , вы сможете сохранить ключи восстановления на дополнительных USB-устройствах флэш-памяти по мере необходимости.

Да, ключи запуска BitLocker для разных компьютеров можно сохранить на одном USB-устройстве флэш-памяти.

Создание разных ключей запуска для одного компьютера можно выполнить с помощью скриптов. Но для компьютеров с доверенным платформенным модулем создание разных ключей запуска не позволяет BitLocker использовать проверку целостности системы, которую выполняет этот модуль.

Создание нескольких сочетаний ПИН-кода невозможно.

Необработанные данные шифруются полным ключом шифрования тома, который затем шифруется основным ключом тома. Ключ тома master, в свою очередь, шифруется одним из нескольких возможных методов в зависимости от проверки подлинности (т. е. защиты ключей или доверенного платформенного модуля) и сценариев восстановления.

Полный ключ шифрования тома шифруется основным ключом тома и хранится на зашифрованном диске. Основной ключ тома шифруется подходящим предохранителем ключа и хранится на зашифрованном диске. Если защита BitLocker приостанавливается, то незащищенный ключ, которым шифруется основной ключ тома, также хранится на зашифрованном диске вместе с зашифрованным основным ключом тома.

Этот процесс хранения гарантирует, что том master ключ никогда не хранится в незашифрованном виде и защищен, если BitLocker не отключен. Ключи также сохраняются в двух дополнительных расположениях на диске для обеспечения избыточности. Диспетчером загрузки может считывать и обрабатывать ключи.

Клавиши F1–F10 имеют универсальные коды опроса, доступные в предзагрузочной среде на всех компьютерах для всех языков. Числовые клавиши от 0 до 9 можно использовать не в среде перед загрузкой на всех клавиатурах.

Если используется улучшенный ПИН-код, пользователям рекомендуется выполнить дополнительную проверку системы в ходе настройки BitLocker, чтобы убедиться, что в предзагрузочной среде можно ввести правильный ПИН-код.

Возможно, что личный идентификационный номер (ПИН-код) может быть обнаружен злоумышленником, выполняющим атаку методом подбора. Атака методом подбора выполняется с помощью автоматического средства, которое проверяет различные сочетания ПИН-кода, пока не будет найден правильный код. Для компьютеров, защищенных BitLocker, этот тип атаки, также известный как атака по словарю, требует, чтобы злоумышленник получил физический доступ к компьютеру.

Доверенный платформенный модуль обладает встроенными возможностями по выявлению таких атак и противодействию им. Так как TTP-машины разных производителей могут поддерживать различные способы устранения ПИН-кода и атак, обратитесь к производителю доверенного платформенного модуля, чтобы определить, как TPM компьютера устраняет атаки методом подбора ПИН-кода. После определения производителя доверенного платформенного модуля обратитесь к производителю, чтобы собрать сведения о поставщике доверенного платформенного модуля. Большинство изготовителей экспоненциально увеличивают время блокировки интерфейса для ввода ПИН-кода с увеличением количества ошибок при его вводе. При этом каждый изготовитель имеет собственные правила в отношении сброса счетчика ошибок или уменьшения его значений.

Изготовителя доверенного платформенного модуля можно определить в разделеСведения о процессоре безопасности устройств в Центре>безопасности> защитника Windows.

Следующие вопросы могут помочь при запросе у производителя доверенного платформенного модуля о разработке механизма защиты от атак словаря:

• Сколько неудачных попыток авторизации разрешается до блокировки?
• По какому алгоритму определяется продолжительность блокировки с учетом числа неудачных попыток авторизации и других значимых параметров?
• Какие действия могут привести к сбросу счетчика ошибок, уменьшению его значений или продолжительности блокировки?

И да, и нет. Минимальную длину ПИН-кода можно настроить с помощью параметра Настроить минимальную длину ПИН-кода для запуска групповая политика и разрешить использование буквенно-цифровых ПИН-кодов, включив параметр Разрешить расширенные ПИН-коды для запуска групповая политика. Однако сложность ПИН-кода не может требоваться через групповая политика.

Дополнительные сведения см. в статье Параметры групповой политики BitLocker.

BitLocker To Go позволяет выполнять шифрование диска BitLocker для съемных носителей с данными. Эта функция включает в себя шифрование:

• USB-устройства флэш-памяти
• SD-карты
• Внешние жесткие диски
• Другие диски, отформатированные с помощью файловой системы NTFS, FAT16, FAT32 или exFAT.

Секционирование дисков должно соответствовать требованиям шифрования диска BitLocker.

Как и в случае с BitLocker, диски, зашифрованные с помощью BitLocker To Go, можно открыть с помощью пароля или смарт-карта на другом компьютере. В панель управления используйте шифрование диска BitLocker.

Если bitLocker включен на диске до применения групповая политика для принудительного выполнения резервного копирования, то при присоединении компьютера к домену или при последующем применении групповая политика сведения о восстановлении не будут автоматически создаваться в AD DS. Однако параметры групповая политика Выберите, как можно восстановить диски операционной системы, защищенные BitLocker, Выберите, как можно восстановить фиксированные диски, защищенные BitLocker, и Выберите, как можно восстановить съемные диски, защищенные BitLocker, чтобы требовать подключения компьютера к домену до включения BitLocker, чтобы гарантировать, что сведения о восстановлении для дисков, защищенных BitLocker, в среде резервная копия организации выполняется в AD DS.

Дополнительные сведения см. в статье Параметры групповой политики BitLocker.

Интерфейс Инструментария управления Windows (WMI) BitLocker позволяет администраторам создавать скрипты для резервного копирования или синхронизации существующих сведений о восстановлении клиента в сети. Однако BitLocker не управляет этим процессом автоматически. Программу manage-bde.exe командной строки также можно использовать для резервного копирования данных восстановления в AD DS вручную. Например, чтобы создать резервную копию всех сведений о восстановлении для $env:SystemDrive ad DS, из командной строки с повышенными привилегиями можно использовать следующий сценарий команды:

$BitLocker = Get-BitLockerVolume -MountPoint $env:SystemDrive
$RecoveryProtector = $BitLocker.KeyProtector | Where-Object { $_.KeyProtectorType -eq 'RecoveryPassword' }

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $RecoveryProtector.KeyProtectorID
BackupToAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $RecoveryProtector.KeyProtectorID

Да, на клиентском компьютере в журнал событий заносится запись, показывающая успешный или не успешный результат резервного копирования Active Directory. Но даже в случае, если в журнале событий указано успешное завершение, данные о резервном копировании могут быть удалены из AD DS. Кроме того, конфигурация BitLocker может измениться так, что данные из Active Directory не позволят разблокировать диск (например, если удален предохранитель ключа для пароля восстановления). Кроме того, возможно, что запись журнала может быть спуфинирована.

Чтобы гарантированно определить наличие достоверной резервной копии в AD DS, необходимо отправить запрос в доменные службы Active Directory с учетными данными администратора домена с помощью средства просмотра паролей BitLocker.

Нет. По умолчанию записи паролей восстановления BitLocker не удаляются из AD DS. Таким образом, для каждого диска можно увидеть несколько паролей. Чтобы определить последний пароль, проверьте дату объекта.

Если резервное копирование изначально завершается сбоем, например когда контроллер домена недоступен во время запуска мастера настройки BitLocker, BitLocker не пытается снова создать резервную копию данных восстановления в AD DS.

Если администратор выбирает параметр требовать резервное копирование BitLocker в AD DS проверка параметра политики Сохранить сведения о восстановлении BitLocker в службе домен Active Directory (Windows 2008 и Windows Vista) или эквивалентное значение Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков (операционная система | фиксированные данные | съемные данные) проверка в любом из параметров политики Выберите, как можно восстановить диски операционной системы, защищенные BitLocker, выберите, как можно восстановить фиксированные диски с данными, защищенные BitLocker, и Выберите, как можно восстановить съемные диски с данными, защищенные BitLocker. Пользователи не смогут включить BitLocker, если компьютер не подключен к домену и резервное копирование сведений о восстановлении BitLocker в AD DS будет выполнено успешно. Если эти параметры настроены в случае сбоя резервного копирования, BitLocker нельзя включить, что гарантирует, что администраторы смогут восстановить диски, защищенные BitLocker в организации.

Дополнительные сведения см. в статье Параметры групповой политики BitLocker.

Когда администратор очищает эти поля проверка, администратор разрешает защиту диска BitLocker без успешного резервного копирования сведений о восстановлении в AD DS. Однако BitLocker не будет автоматически повторять резервное копирование в случае сбоя. Вместо этого администраторы могут создать скрипт резервного копирования, как описано ранее в разделе Что делать, если bitLocker включен на компьютере до присоединения компьютера к домену? для записи сведений после восстановления подключения.

BitLocker использует расширенный стандарт шифрования (AES) в качестве алгоритма шифрования с настраиваемой длиной ключа 128 или 256 бит. По умолчанию задано шифрование AES-128, но можно настроить параметры с помощью групповой политики.

Рекомендуемая практика для конфигурации BitLocker на диске операционной системы заключается в реализации BitLocker на компьютере с доверенным платформенный платформенный платформой версии 1.2 или более поздней, а также реализацию bios или UEFI, совместимую с группой доверенных вычислений (TCG), а также реализацию встроенного ПО BIOS или UEFI, а также ПИН-код. Требуя ПИН-код, который был задан пользователем в дополнение к проверке доверенного платформенного модуля, злоумышленник, имеющий физический доступ к компьютеру, не может запустить компьютер.

BitLocker на дисках операционной системы в базовой конфигурации (с TPM, но без другой проверки подлинности при запуске) обеспечивает дополнительную безопасность для режима гибернации. Однако BitLocker обеспечивает большую безопасность, если настроено использовать другой фактор проверки подлинности запуска (TPM+PIN, TPM+USB или TPM+PIN+USB) в режиме гибернации. Этот метод является более безопасным, так как для возврата из режима гибернации требуется проверка подлинности. В спящем режиме компьютер уязвим для атак прямого доступа к памяти, так как незащищенные данные остаются в ОЗУ. Поэтому для повышения безопасности рекомендуется отключить спящий режим и использовать TPM+ПИН-код для метода проверки подлинности. Проверку подлинности при запуске можно настроить с помощью групповая политика или мобильной Управление устройствами с поставщиком служб CSP BitLocker.

В большинстве операционных систем используется общее пространство памяти, а за управление физической памятью отвечает операционная система. Доверенный платформенный модуль — это аппаратный компонент, который использует собственное встроенное ПО и внутренние логические схемы для обработки инструкций, обеспечивая защиту от уязвимости внешнего ПО. Для взлома доверенного платформенного модуля необходим физический доступ к компьютеру. Кроме того, средства и навыки, необходимые для атаки на оборудование, часто стоят дороже и обычно не так доступны, как те, которые используются для атак на программное обеспечение. Так как доверенный платформенный модуль на каждом компьютере уникален, то для взлома нескольких компьютеров с доверенными платформенными модулями потребуется много времени и сил.

Сетевая разблокировка BitLocker упрощает управление компьютерами и серверами, защищенными BitLocker с применением доверенного платформенного модуля и ПИН-кода в среде домена. При перезагрузке компьютера, соединенного с проводной корпоративной сетью, сетевая разблокировка позволяет пропустить запрос на введение ПИН-кода. Блокировка томов операционной системы, защищенных BitLocker, автоматически снимается с помощью доверенного ключа, который предоставляется сервером служб развертывания Windows в качестве дополнительного способа проверки подлинности.

Чтобы использовать сетевую разблокировку, необходимо настроить ПИН-код для компьютера. Если компьютер не подключен к сети, необходимо указать ПИН-код, чтобы разблокировать его.

Сетевая разблокировка BitLocker имеет требования к программному и аппаратному обеспечению для клиентских компьютеров, служб развертывания Windows и контроллеров домена, которые должны быть выполнены, прежде чем ее можно будет использовать.

Сетевая разблокировка использует два предохранителя : предохранитель доверенного платформенного модуля и предохранитель, предоставляемый сетью или ПИН-кодом. Автоматическая разблокировка использует один предохранитель , который хранится в TPM. Если компьютер присоединен к сети без предохранителя ключа, будет предложено ввести ПИН-код. Если ПИН-код недоступен, ключ восстановления необходимо будет использовать для разблокировки компьютера, если он не может быть подключен к сети.

Дополнительные сведения см. в статье BitLocker: включение сетевой разблокировки.

Да, шифруемая файловая система (EFS) может использоваться для шифрования файлов на диске, защищенном BitLocker. BitLocker помогает защитить весь диск операционной системы от атак в автономном режиме, тогда как EFS может обеспечить дополнительное шифрование на уровне файлов пользователя для разделения безопасности между несколькими пользователями одного компьютера. EFS также можно использовать в Windows для шифрования файлов на других дисках, которые не шифруются с помощью BitLocker. Корневые секреты EFS по умолчанию хранятся на диске операционной системы. Таким образом, если bitLocker включен для диска операционной системы, данные, зашифрованные EFS на других дисках, также косвенно защищаются BitLocker.

Да. При этом отладчик нужно включать до включения BitLocker. Заблаговременное включение отладчика обеспечивает правильность вычисления показателей состояния при запечатывании в доверенном платформенном модуле, что позволяет компьютеру корректно запускаться. Если отладка должна быть включена или отключена при использовании BitLocker, не забудьте сначала приостановить BitLocker, чтобы избежать перевода компьютера в режим восстановления.

BitLocker содержит стек драйверов запоминающих устройств, который обеспечивает шифрование дампов памяти при включении BitLocker.

BitLocker не поддерживает смарт-карты для проверки подлинности перед загрузкой. Единого отраслевого стандарта для смарт-карта поддержки встроенного ПО не существует, и большинство компьютеров либо не реализуют поддержку встроенного ПО для смарт-карт, либо поддерживают только определенные смарт-карты и средства чтения. Отсутствие стандартизации затрудняет их поддержку.

Корпорация Майкрософт не поддерживает драйверы TPM, отличные от Майкрософт, и настоятельно не рекомендует использовать их с BitLocker. Попытка использовать драйвер доверенного платформенного модуля, отличного от Майкрософт, с BitLocker может привести к тому, что bitLocker сообщит о том, что доверенный платформенный модуль отсутствует на компьютере и не позволит использовать TPM с BitLocker.

Мы не рекомендуем изменять загрузочную запись master на компьютерах с дисками операционной системы, защищенными BitLocker, по нескольким причинам безопасности, надежности и поддержки продукта. Изменения в загрузочной записи master (MBR) могут изменить среду безопасности и предотвратить нормальное запуск компьютера и усложнить любые усилия по восстановлению после поврежденного MBR. Изменения MBR, внесенные не средствами Windows, могут перевести компьютер в режим восстановления или сделать загрузку абсолютно невозможной.

Системная проверка предназначена для обеспечения совместимости встроенного ПО BIOS или UEFI компьютера с BitLocker и правильности работы доверенного платформенного модуля. Проверка системы может завершаться ошибкой по следующим причинам:

• Встроенное ПО BIOS или UEFI компьютера не может считывать USB-устройства флэш-памяти.
• В BIOS, встроенном ПО uEFI или меню загрузки компьютера не включены usb-устройства флэш-памяти для чтения.
• в компьютер вставлено несколько USB-устройств флэш-памяти;
• ПИН-код введен неправильно.
• Встроенное ПО BIOS или UEFI компьютера поддерживает только использование функциональных ключей (F1–F10) для ввода чисел в среде перед загрузкой.
• ключ запуска удален до завершения перезагрузки компьютера;
• из-за неисправности доверенного платформенного модуля не удалось предоставить ключи.

Некоторые компьютеры не могут считывать USB-устройства флэш-памяти в среде перед загрузкой. Сначала проверка параметры встроенного ПО BIOS или UEFI и загрузки, чтобы убедиться, что использование USB-накопителей включено. Если он не включен, включите использование USB-накопителей в параметрах встроенного ПО BIOS или UEFI и загрузки, а затем повторите попытку считывания ключа восстановления с USB-устройства флэш-памяти. Если USB-устройство флэш-памяти по-прежнему не удается прочитать, жесткий диск необходимо будет подключить в качестве диска данных на другом компьютере, чтобы операционная система попыталась считывать ключ восстановления с USB-устройства флэш-памяти. Если USB-устройство флэш-памяти повреждено или повреждено, может потребоваться ввести пароль восстановления или использовать сведения о восстановлении, резервные копии в AD DS. Кроме того, если ключ восстановления используется в среде перед загрузкой, убедитесь, что диск отформатирован с помощью файловой системы NTFS, FAT16 или FAT32.

Параметр Сохранить в USB не отображается по умолчанию для съемных дисков. Если этот пункт недоступен, это значит, что системный администратор запретил использование ключей восстановления.

Для автоматической разблокировки фиксированных дисков с данными требуется, чтобы диск операционной системы также был защищен BitLocker. Если используется компьютер без диска операционной системы, защищенного BitLocker, фиксированный диск не может быть разблокирован автоматически. Для съемных дисков с данными можно добавить автоматическую разблокировку, щелкнув правой кнопкой мыши диск в Windows Обозреватель и выбрав Управление BitLocker. Пароль или смарт-карта учетные данные, предоставленные при включении BitLocker, по-прежнему можно использовать для разблокировки съемного диска на других компьютерах.

В безопасном режиме доступны ограниченные возможности BitLocker. Диски, защищенные BitLocker, можно разблокировать и расшифровывать, выбрав элемент Шифрование диска BitLocker на панели управления. Щелчок правой кнопкой мыши для доступа к параметрам BitLocker из Windows Обозреватель недоступен в безопасном режиме.

Фиксированный и съемный диск с данными можно заблокировать с помощью средства командной строки Manage-bde и команды -lock.

Синтаксис команды:

manage-bde.exe <driveletter> -lock

Помимо использования этой команды, диски с данными блокируются во время завершения работы или перезапуска операционной системы. Съемный носитель с данными, который отключается от компьютера, также автоматически блокируется.

Да. Но теневые копии, созданные до включения BitLocker, автоматически удаляются, когда BitLocker включается для дисков с программным шифрованием. Если используется аппаратный зашифрованный диск, теневые копии сохраняются.

BitLocker должен работать так же, как и любой конкретный физический компьютер в пределах своих аппаратных ограничений при условии, что среда (физическая или виртуальная) соответствует требованиям операционной системы Windows для запуска.

• С TPM: да, он поддерживается.
• Без доверенного платформенного платформенного модуля: да, он поддерживается (с защитой паролем).

BitLocker также поддерживается на виртуальных жестких дисках томов данных, таких как те, которые используются кластерами, если используется Windows 10, Windows 8.1, Windows 8, Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012.

Да. Предохранители паролей и виртуальные TPM можно использовать с BitLocker для защиты виртуальных машин. Виртуальные машины могут быть присоединены к домену, присоединены к Azure AD или присоединены к рабочему месту (с помощью параметров>Учетные> записиДоступ к рабочей или учебной>сети) для получения политики. Шифрование можно включить либо при создании виртуальной машины, либо с помощью других существующих средств управления, таких как поставщик CSP BitLocker, или даже с помощью скрипта запуска или сценария входа, предоставляемого групповая политика. Windows Server 2016 также поддерживает Экранированные виртуальные машины и защищенную структуру для защиты ВМ от злонамеренных администраторов.