Руководство по планированию BitLocker
Стратегия развертывания BitLocker включает определение соответствующих политик и требований к конфигурации на основе требований безопасности вашей организации. Эта статья поможет собрать сведения для развертывания BitLocker.
Аудит среды
Чтобы спланировать развертывание BitLocker, изучите текущую среду. Выполните неофициальный аудит для определения текущих политик, процедур и аппаратной среды. Ознакомьтесь с существующим программным обеспечением для шифрования дисков и политиками безопасности организации. Если организация не использует программное обеспечение для шифрования дисков, эти политики могут не существовать. Если используется программное обеспечение для шифрования дисков, может потребоваться изменить политики, чтобы использовать определенные функции BitLocker.
Чтобы задокументировать текущие политики безопасности шифрования дисков в организации, ответьте на следующие вопросы:
| ☑️ | Вопрос |
|---|---|
| 🔲 | Существуют ли политики, определяющие, какие устройства должны использовать BitLocker, а какие нет? |
| 🔲 | Какие политики существуют для управления паролем восстановления и хранилищем ключей восстановления? |
| 🔲 | Какие политики используются для проверки удостоверений пользователей, которым необходимо выполнить восстановление BitLocker? |
| 🔲 | Какие политики существуют для управления доступом к данным восстановления в организации? |
| 🔲 | Какие политики существуют для управления выводом из эксплуатации или прекращением использования устройств? |
| 🔲 | Какова надежность алгоритма шифрования? |
Ключи шифрования и проверка подлинности
Доверенный платформенный модуль (TPM) — это аппаратный компонент, установленный на многих устройствах Windows производителями. Он работает с BitLocker, чтобы защитить данные пользователей и убедиться, что устройство не было изменено, когда система находилась в автономном режиме.
BitLocker может заблокировать обычный процесс запуска до тех пор, пока пользователь не вставляет личный идентификационный номер (ПИН-код) или не вставляет съемный USB-устройство, содержащее ключ запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности. Они также следят за тем, чтобы компьютер не запускал и не возобновлял работу из режима гибернации, пока не появится правильный ПИН-код или ключ запуска.
На устройствах без доверенного платформенного модуля BitLocker по-прежнему можно использовать для шифрования тома операционной системы Windows. Однако эта реализация не обеспечивает проверку целостности системы перед запуском, предлагаемую BitLocker при работе с TPM.
Эффективная реализация защиты информации, как и большинство средств управления безопасностью, учитывает удобство использования и безопасность. Как правило, пользователи предпочитают простые системы безопасности. По сути, чем более прозрачным является решение безопасности, тем охотнее пользователи будут его применять.
Очень важно, чтобы организации защищали информацию на своих устройствах независимо от состояния устройства или намерения пользователей. Эта защита не должна быть громоздкой для пользователей. Одна из нежелательных и ранее распространенных ситуаций заключается в том, что пользователю предлагается ввести данные во время предварительной загрузки, а затем снова во время входа в Windows. Следует избегать такой ситуации, когда пользователю приходится несколько раз вводить данные, чтобы войти в систему.
TPM может безопасно защитить ключ шифрования BitLocker, пока он неактивен, и может безопасно разблокировать диск операционной системы. При использовании ключа и, следовательно, в памяти сочетание аппаратных возможностей и возможностей Windows может защитить ключ и предотвратить несанкционированный доступ с помощью атак холодной загрузки. Хотя доступны и другие контрмеры, такие как разблокировка на основе ПИН-кода, они не являются удобными для пользователя; В зависимости от конфигурации устройств они не могут обеспечить большую безопасность, когда дело доходит до защиты ключей. Дополнительные сведения см. в разделе Контрмеры BitLocker.
Защита ключей BitLocker
Чтобы защитить ключ шифрования BitLocker, BitLocker может использовать различные типы средств защиты. При включении BitLocker каждый предохранитель получает копию главного ключа тома, который затем шифруется с помощью собственного механизма.
| Предохранитель ключа | Описание |
|---|---|
| Автоматическая разблокировка | Используется для автоматической разблокировки томов, на которых не размещена операционная система. BitLocker использует зашифрованные сведения, хранящиеся в реестре, и метаданные тома для разблокировки всех томов данных, использующих автоматическую разблокировку. |
| Пароль и пароль для диска ОС | Чтобы разблокировать диск, пользователь должен указать пароль. При использовании для дисков ОС пользователю будет предложено ввести пароль на экране предварительной подготовки. Этот метод не предлагает логику блокировки, поэтому он не защищает от атак методом подбора. |
| Ключ запуска | Ключ шифрования, который может храниться на съемных носителях с форматом <protector_id>.bekимени файла . Пользователю будет предложено ввести USB-устройство флэш-памяти с ключом восстановления и (или) ключом запуска, а затем перезагрузить устройство. |
| Сертификат смарт-карта | Используется для разблокировки томов, на которых не размещена операционная система. Чтобы разблокировать диск, пользователь должен использовать смарт-карта. |
| Доверенный платформенный модуль | Аппаратное устройство, используемое для создания защищенного корневого каталога доверия, проверяющего компоненты ранней загрузки. Предохранитель доверенного платформенного модуля можно использовать только с диском ОС. |
| TPM + PIN-код | Введенный пользователем числовый или буквенно-цифровой предохранитель ключа, который можно использовать только с томами ОС и в дополнение к TPM. TPM проверяет компоненты ранней загрузки. Пользователь должен ввести правильный ПИН-код перед продолжением процесса запуска и перед тем, как диск будет разблокирован. Доверенный платформенный модуль вводит блокировку, если неправильный ПИН-код вводится повторно, чтобы защитить ПИН-код от атак методом подбора. Количество повторных попыток, запускающих блокировку, является переменным. |
| TPM + ключ запуска | TPM успешно проверяет компоненты ранней загрузки. Перед загрузкой ОС пользователь должен вставить USB-накопитель, содержащий ключ запуска. |
| TPM + ключ запуска + ПИН-код | TPM успешно проверяет компоненты ранней загрузки. Перед загрузкой ОС пользователь должен ввести правильный ПИН-код и вставить USB-накопитель, содержащий ключ запуска. |
| Пароль восстановления | 48-значный номер, используемый для разблокировки тома, когда он находится в режиме восстановления. Числа часто можно вводить на обычной клавиатуре. Если числа на обычной клавиатуре не отвечают, для ввода чисел можно использовать функциональные клавиши (F1–F10). |
| TPM + сетевой ключ | TPM успешно проверяет компоненты ранней загрузки, и с сервера WDS предоставлен действительный зашифрованный сетевой ключ. Этот метод проверки подлинности обеспечивает автоматическую разблокировку томов ОС при сохранении многофакторной проверки подлинности. Этот предохранитель ключа можно использовать только с томами ОС. |
| Ключ восстановления | Ключ шифрования, хранящийся на съемных носителях, который можно использовать для восстановления данных, зашифрованных на томе BitLocker. Имя файла имеет формат <protector_id>.bek. |
| Агент восстановления данных | Агенты восстановления данных — это учетные записи, которые могут расшифровывать диски, защищенные BitLocker, с помощью сертификатов. Восстановление диска, защищенного BitLocker, может выполняться агентом восстановления данных, настроенным с помощью соответствующего сертификата. |
| Пользователь или группа Active Directory | Предохранитель, основанный на определяемом пользователем Active Directory или группой безопасности (SID). Диски данных автоматически разблокируются, когда такие пользователи пытаются получить к ним доступ. |
Поддержка устройств без доверенного платформенного модуля
Определите, будут ли поддерживаться компьютеры, не имеющие TPM 1.2 или более поздних версий в среде. Если вы решили поддерживать устройства без доверенного платформенного модуля, пользователь должен использовать usb-ключ запуска или пароль для загрузки системы. Для ключа запуска требуются дополнительные процессы поддержки, аналогичные многофакторной проверке подлинности.
В каких областях организации требуется базовый уровень защиты данных?
Метод проверки подлинности только доверенного платформенного модуля обеспечивает наиболее прозрачный пользовательский интерфейс для организаций, которым требуется базовый уровень защиты данных для соблюдения политик безопасности. Он имеет самую низкую общую стоимость владения. Только TPM также может быть более подходящим для устройств, которые являются автоматическими или которые должны перезагружаться автоматически.
Однако метод проверки подлинности только TPM не обеспечивает высокий уровень защиты данных. Этот метод проверки подлинности защищает от атак, которые изменяют компоненты ранней загрузки. Но на уровень защиты могут повлиять потенциальные недостатки оборудования или компонентов ранней загрузки. Методы многофакторной проверки подлинности BitLocker значительно повышают общий уровень защиты данных.
Совет
Преимущество проверки подлинности только TPM заключается в том, что устройство может загружать Windows без какого-либо взаимодействия с пользователем. В случае потери или кражи устройства может быть преимущество такой конфигурации: если устройство подключено к Интернету, его можно удаленно очистить с помощью решения для управления устройствами, такого как Microsoft Intune.
В каких областях организации требуется более безопасный уровень защиты данных?
Если есть устройства с высоко конфиденциальными данными, разверните BitLocker с многофакторной проверкой подлинности в этих системах. Требование ввода ПИН-кода пользователем значительно повышает уровень защиты системы. BitLocker Network Unlock также можно использовать для автоматической разблокировки этих устройств при подключении к доверенной проводной сети, которая может предоставить ключ сетевой разблокировки.
Какой метод многофакторной проверки подлинности предпочитает организация?
Различия в защите, предоставляемые методами многофакторной проверки подлинности, невозможно легко определить. Рассмотрите влияние каждого метода проверки подлинности на поддержку службы поддержки, обучение пользователей, производительность пользователей и любые автоматизированные процессы управления системами.
Управление паролями и ПИН-кодами
Если BitLocker включен на системном диске и на устройстве есть TPM, пользователям может потребоваться ввести ПИН-код, прежде чем BitLocker разблокирует диск. Такое требование пин-кода может помешать злоумышленнику, который имеет физический доступ к устройству, даже получить доступ к входу в Windows, что делает практически невозможным доступ к данным пользователя и системным файлам или их изменение.
Требование пин-кода при запуске является полезной функцией безопасности, так как она выступает в качестве второго фактора проверки подлинности. Однако эта конфигурация связана с некоторыми затратами, особенно если требуется регулярно менять ПИН-код.
Кроме того, современным резервным устройствам не требуется ПИН-код для запуска: они предназначены для запуска нечасто и имеют другие способы устранения рисков, которые еще больше сокращают область атак в системе.
Дополнительные сведения о работе системы безопасности при запуске и о контрмерах, которые предоставляет Windows, см. в разделе Предварительная проверка подлинности.
Конфигурации оборудования доверенного платформенного модуля
В плане развертывания определите, какие аппаратные платформы на основе TPM поддерживаются. Задокументируйте модели оборудования, используемые организацией, чтобы их конфигурации можно было протестировать и поддерживать. Оборудование доверенного платформенного модуля требует особого внимания во всех аспектах планирования и развертывания.
Состояния и инициализация TPM 1.2
Для TPM 1.2 существует несколько возможных состояний. Windows автоматически инициализирует TPM, что приводит его к включенной, активированной и принадлежащей ему состоянию. Это состояние, которое требуется BitLocker, прежде чем он сможет использовать TPM.
Ключи подтверждения
Чтобы доверенный платформенный модуль был доступен BitLocker, он должен содержать ключ подтверждения, который является парой ключей RSA. Закрытая половина пары ключей хранится внутри доверенного платформенного модуля и никогда не отображается и не доступна за пределами доверенного платформенного модуля. Если TPM не имеет ключа подтверждения, BitLocker заставляет TPM автоматически создать его в рамках настройки BitLocker.
Ключ подтверждения можно создать в различных точках жизненного цикла доверенного платформенного модуля, но его необходимо создать только один раз на протяжении всего времени существования доверенного платформенного модуля. Если ключ подтверждения не существует для доверенного платформенного модуля, его необходимо создать, прежде чем вы сможете стать владельцем доверенного платформенного модуля.
Дополнительные сведения о доверенном модуле и TCG см. в разделе Trusted Computing Group: Trusted Platform Module (TPM) Specification ( Доверенный платформенный модуль ( TPM).
Конфигурации оборудования, не относящиеся к TPM
Устройства без доверенного платформенного модуля по-прежнему можно защитить с помощью шифрования диска с помощью ключа запуска.
Используйте следующие вопросы, чтобы определить проблемы, которые могут повлиять на развертывание в конфигурации, отличной от доверенного платформенного платформенного модуля:
- Есть ли бюджет на USB-устройства флэш-памяти для каждого из этих устройств?
- Поддерживают ли существующие устройства без доверенного платформенного модуля USB-накопители во время загрузки?
Протестируйте отдельные аппаратные платформы с помощью параметра Проверка системы BitLocker при включении BitLocker. Системный проверка гарантирует, что BitLocker может правильно считывать сведения о восстановлении с USB-устройства и ключей шифрования, прежде чем зашифровать том.
Рекомендации по настройке диска
Для правильной работы BitLocker требуется определенная конфигурация диска. Для BitLocker требуются две секции, которые соответствуют следующим требованиям:
- Раздел операционной системы содержит операционную систему и ее файлы поддержки; он должен быть отформатирован с помощью файловой системы NTFS.
- Системный раздел (или загрузочный раздел) содержит файлы, необходимые для загрузки Windows после того, как встроенное ПО BIOS или UEFI подготовит системное оборудование. BitLocker не включен в этом разделе. Для работы BitLocker системный раздел не должен быть зашифрован и находиться в разделе, отличном от операционной системы. На платформах UEFI системный раздел должен быть отформатирован с помощью файловой системы FAT 32. На платформах BIOS системный раздел должен быть отформатирован с помощью файловой системы NTFS. Размер должен быть не менее 350 МБ.
Программа установки Windows автоматически настраивает диски компьютеров для поддержки шифрования BitLocker.
Среда восстановления Windows (Windows RE) — это расширяемая платформа восстановления, основанная на среде перед установкой Windows (Windows PE). Если компьютер не запускается, Windows автоматически переходит в эту среду, а средство восстановления при запуске в Windows RE автоматизирует диагностику и восстановление незагрузимой установки Windows. Windows RE также содержит драйверы и средства, необходимые для разблокировки тома, защищенного BitLocker, путем предоставления ключа восстановления или пароля восстановления. Чтобы использовать Windows RE с BitLocker, Windows RE загрузочный образ должен находиться на томе, который не защищен BitLocker.
Windows RE также можно использовать с загрузочного носителя, отличного от локального жесткого диска. Если Windows RE не установлен на локальном жестком диске компьютеров с поддержкой BitLocker, для загрузки Windows RE можно использовать различные методы. Например, для восстановления можно использовать службы развертывания Windows (WDS) или USB-устройство флэш-памяти.
Подготовка BitLocker
Администраторы могут включить BitLocker перед развертыванием операционной системы из среды предварительной установки Windows (WinPE). Этот шаг выполняется с помощью случайно созданного прозрачного предохранителя ключа, применяемого к форматированным томам. Он шифрует том перед запуском процесса установки Windows. Если для шифрования используется параметр "Только используемое место на диске ", этот шаг занимает всего несколько секунд и может быть включен в существующие процессы развертывания. Для предварительной подготовки требуется TPM.
Чтобы проверка состояние BitLocker определенного тома, администраторы могут просмотреть состояние диска в апплете BitLocker панель управления или Windows Обозреватель. Состояние Ожидания активации означает, что диск был предварительно подготовлен для BitLocker, и для шифрования тома используется только четкий предохранитель. В этом случае том не защищен и должен добавить в том защищенный ключ, прежде чем диск будет считаться полностью защищенным. Администраторы могут использовать параметры панель управления, командлеты PowerShell, manage-bde.exe средство или API WMI, чтобы добавить соответствующий предохранитель ключа. Затем состояние тома обновляется.
При использовании параметров панель управления администраторы могут включить BitLocker и выполнить действия, описанные в мастере, чтобы добавить предохранитель, например ПИН-код для тома операционной системы (или пароль, если TPM не существует), пароль или интеллектуальный карта предохранитель для тома данных. Затем перед изменением состояния тома отображается окно безопасности диска.
Шифрование только используемого дискового пространства
Мастер установки BitLocker предоставляет администраторам возможность выбрать метод шифрования "Только используемое дисковое пространство" или "Полное " при включении BitLocker для тома. Администраторы могут использовать параметры политики BitLocker для принудительного применения шифрования только используемого места на диске или полного шифрования диска.
Запуск мастера установки BitLocker запрашивает используемый метод проверки подлинности (пароль и смарт-карта доступны для томов данных). После выбора метода и сохранения ключа восстановления мастер предложит выбрать тип шифрования диска. Выберите Только использованное место на диске или Полное шифрование диска.
Если используется только используемое дисковое пространство, шифруется только часть диска, содержащего данные. Неиспользуемое пространство остается незашифрованным. Это приводит к ускорению процесса шифрования, особенно для новых устройств и дисков данных. При включении BitLocker с помощью этого метода при добавлении данных на диск часть используемого диска шифруется. Таким образом, на диске никогда не хранятся незашифрованные данные.
При полном шифровании диска весь диск шифруется независимо от того, хранятся ли на нем данные. Этот параметр полезен для дисков, которые были переназначены и могут содержать остатки данных из предыдущего использования.
Предостережение
Соблюдайте осторожность при шифровании только используемого пространства на существующем томе, на котором конфиденциальные данные могли уже храниться в незашифрованном состоянии. При использовании используемого шифрования пространства сектора, в которых хранятся ранее незашифрованные данные, можно восстановить с помощью средств восстановления дисков, пока они не будут перезаписаны новыми зашифрованными данными. В отличие от этого, шифрование только используемого пространства на новом томе может значительно сократить время развертывания без риска безопасности, так как все новые данные будут зашифрованы при записи на диск.
Поддержка шифрования жесткого диска
Зашифрованные жесткие диски предоставляют встроенные возможности шифрования для шифрования данных на дисках. Эта функция повышает производительность диска и системы за счет разгрузки криптографических вычислений с процессора устройства на сам диск. Данные быстро шифруются диском с помощью выделенного специального оборудования. Если вы планируете использовать шифрование всего диска в Windows, корпорация Майкрософт рекомендует исследовать производителей и модели жестких дисков, чтобы определить, соответствуют ли какие-либо из их зашифрованных жестких дисков требованиям к безопасности и бюджету.
Дополнительные сведения о зашифрованных жестких дисках см. в разделе Зашифрованные жесткие диски.
рекомендации по Microsoft Entra ID и доменные службы Active Directory
BitLocker интегрируется с Microsoft Entra ID и доменные службы Active Directory (AD DS) для централизованного управления ключами. По умолчанию в Microsoft Entra ID или AD DS не создается резервная копия сведений о восстановлении. Администраторы могут настроить параметр политики для каждого типа диска, чтобы включить резервное копирование сведений о восстановлении BitLocker.
Для каждого объекта компьютера сохраняются следующие данные восстановления:
- Пароль восстановления: 48-значный пароль восстановления, используемый для восстановления тома, защищенного BitLocker. Пользователи должны ввести этот пароль, чтобы разблокировать том, когда BitLocker переходит в режим восстановления
- Пакет ключей: с помощью пакета ключей и пароля восстановления части тома, защищенного BitLocker, можно расшифровать, если диск серьезно поврежден. Каждый пакет ключей работает только с томом, на котором он был создан, который определяется соответствующим идентификатором тома.
Поддержка FIPS для предохранителя паролем восстановления
Устройства, настроенные для работы в режиме FIPS, могут создавать совместимые с FIPS средства защиты паролем восстановления, которые используют алгоритм FIPS-140 NIST SP800-132 .
Примечание.
Федеральный стандарт обработки информации (FIPS) США определяет требования к безопасности и взаимодействию для компьютерных систем, используемых федеральным правительством США. Стандарт FIPS-140 определяет утвержденные алгоритмы шифрования. Стандарт FIPS-140 также устанавливает требования к генерации ключей и управлению ключами. Национальный институт стандартов и технологий (NIST) использует программу проверки криптографических модулей (CMVP), чтобы определить, соответствует ли конкретная реализация криптографического алгоритма стандарту FIPS-140. Реализация криптографического алгоритма считается совместимой с FIPS-140 только в том случае, если он был отправлен и прошел проверку NIST. Не отправленный алгоритм не может считаться FIPS-совместимым, даже если реализация создает идентичные данные, как проверенная реализация того же алгоритма.
- Совместимые с FIPS предохранители паролем восстановления можно экспортировать и сохранить в AD DS
- Параметры политики BitLocker для паролей восстановления работают одинаково для всех версий Windows, поддерживающих BitLocker, независимо от того, в режиме FIPS или нет.
Сетевая разблокировка
Некоторые организации предъявляют требования к безопасности данных для конкретного расположения, особенно в средах с высокоценными данными. Сетевая среда может обеспечить важную защиту данных и обеспечить обязательную проверку подлинности. Таким образом, в политике указано, что эти устройства не должны покидать здание или быть отключены от корпоративной сети. Такие меры безопасности, как физические блокировки безопасности и геозона, могут помочь применить эту политику в качестве реактивных элементов управления. Помимо этих мер безопасности, требуется упреждающее управление безопасностью, которое предоставляет доступ к данным только в том случае, если устройство подключено к корпоративной сети.
Сетевая разблокировка позволяет устройствам, защищенным BitLocker, автоматически запускаться при подключении к проводной корпоративной сети, в которой запущены службы развертывания Windows. Когда устройство не подключено к корпоративной сети, пользователь должен ввести ПИН-код для разблокировки диска (если включена разблокировка на основе ПИН-кода). Для использования сетевой разблокировки требуется следующая инфраструктура.
- Клиентские устройства, имеющие встроенное ПО UEFI версии 2.3.1 или более поздней, поддерживающие протокол DHCP.
- Windows Server с ролью служб развертывания Windows (WDS)
- DHCP-сервер
Дополнительные сведения о настройке функции разблокировки сети см. в разделе Сетевая разблокировка.
Восстановление BitLocker
Организациям следует тщательно спланировать стратегию восстановления BitLocker в рамках общего плана реализации BitLocker. При реализации модели восстановления BitLocker существуют различные варианты, описанные в разделе Общие сведения о восстановлении BitLocker.
Мониторинг BitLocker
Организации могут использовать Microsoft Intune или Configuration Manager для мониторинга шифрования устройств на нескольких устройствах. Дополнительные сведения см. в разделах Мониторинг шифрования устройств с помощью Intune и Просмотр отчетов BitLocker в Configuration Manager.
Дальнейшие действия
Узнайте, как спланировать стратегию восстановления BitLocker для организации:
Узнайте о доступных параметрах для настройки BitLocker и о том, как их настроить с помощью поставщиков служб конфигурации (CSP) или групповой политики (GPO).
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по