Как отключить битлокер в виндовс 7


Как отключить BitLocker в Windows 8

BitLocker является полезным инструментом в Windows 8, который можно использовать для шифрования данных на любом диске. Однако для того, чтобы зашифровать системный диск вы должны иметь криптопроцессор TPM установленный в компьютере. Если у вас он не установлен, то в Windows 8 можно все равно включить BitLocker.

Если вы пытаетесь включить BitLocker для шифрования диска без криптопроцессора TPM, то вы получите сообщение об ошибке: Это устройство не может использовать доверенный платформенный модуль (TPM). Администратор должен задать параметр «Разрешить использование BitLocker без совместимого TPM» в политике «Обязательная дополнительная проверка подлинности при запуске» для томов ОС.

Отключаем проверку TPM в BitLocker

  1. Нажмите сочетания клавиш Win+R, введите в строку «gpedit.msc» и нажмите на кнопку «Ок».
  2. В редакторе локальной групповой политики переходим: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Этот параметр политики позволяет выбрать шифрование диска BitLocker -> Диски операционной системы.
  3. В правой части «Редактора локальной групповой политики» найдите и два раза щелкните левой кнопкой мыши по надписи «Этот параметр политики позволяет настроить требования дополнительной проверки подлинности при запуске».
  4. Изменяем значение на «Включено» и проверьте, стоит ли галочка рядом с надписью «Этот параметр политики позволяет разрешить BitLocker без совместимого доверенного платформенного модуля..», затем нажмите на кнопку «Ок» и закройте «Редактор».

 

Включаем BitLocker в Windows 8

  1. Откройте «Мой компьютер», щелкаем правой кнопкой мыши на диск, который нужно зашифровать, и нажмите на надпись «Включить BitLocker».
  2. Выберете способ разблокировки диска при запуске. Мы советуем выбрать «Вставлять USB-устройство флэш-памяти».
  3. Выбираем USB-устройство и нажмите на кнопку «Сохранить».
  4. Теперь нужно выбрать, как вы хотите архивировать свой ключ восстановления. Выбираем нужный вам пункт и после сохранения нажмите кнопку «Далее».
  5. Выберете, какую часть диска нужно зашифровать и нажмите на кнопку «Далее».
  6. Нажимаем на кнопку «Продолжить», а затем перезагрузить сейчас для того, чтобы проверить ключ разблокировки диска.
  7. После перезагрузки компьютера начнется шифрование диска и после того, как оно завершится, нажмите на кнопку «Закрыть».

Вот и всё! Ваш диск зашифрован с помощью BitLocker в Windows 8.

Коментарии

info.xakes.net

Scenario 1: Turning On BitLocker Drive Encryption on an Operating System Drive (Windows 7)

  • 09/12/2012
  • 6 minutes to read

In this article

Applies To: Windows 7

This scenario provides the procedure for turning on BitLocker Drive Encryption protection on an operating system drive of a computer with a TPM. After the drive is encrypted, the user logs on to the computer normally.

Before you start

To complete the procedure in this scenario:

  • You must be able to provide administrative credentials.

  • You must be able to configure a printer if you want to print the recovery key.

  • Your computer must meet BitLocker requirements. For more information, see "Requirements for BitLocker Drive Encryption" in BitLocker Drive Encryption Step-by-Step Guide for Windows 7.

To turn on BitLocker Drive Encryption on an operating system drive
  1. Click Start, click Control Panel, click System and Security, and then click BitLocker Drive Encryption.

  2. Click Turn On BitLocker for the operating system drive. BitLocker will scan your computer to make sure that it meets the BitLocker system requirements. If your computer meets the requirements, BitLocker will inform you of the next steps that need to be taken to turn on BitLocker, such as drive preparation, turning on the TPM, and encrypting the drive.

    If you have a single partition for your operating system drive, BitLocker will prepare the drive by shrinking the operating system drive and creating a new system partition to use for system files that are required to start or recover the operating system and that cannot be encrypted. This drive will not have a drive letter to help prevent the storing of data files on this drive inadvertently. After the drive is prepared, the computer must be restarted.

    If your TPM is not initialized, the BitLocker setup wizard will instruct you to remove any CDs, DVDs, or USB drives from the computer and restart the computer to begin the process of turning on the TPM. You will either be prompted to enable the TPM before the operating system boots or in some cases you will need to navigate to the BIOS options and enable the TPM manually. This behavior depends on the BIOS of the computer. After you confirm that you want the TPM enabled, the operating system will start and the Initializing the TPM security hardware progress indicator will be displayed.

    If your computer does not have a TPM, you can still use BitLocker, but you will be using the Startup key only authentication method. All of the required encryption key information is stored on a USB flash drive, which the user must insert into the computer during startup. The key stored on the USB flash drive unlocks the computer. Using a TPM is recommended because it helps protect against attacks made against the computer's critical startup process. Using the Startup key only method only encrypts the drive; it does not provide any validation of the early boot components or hardware tampering. To use this method, your computer must support the reading of USB devices in the preboot environment and you must enable this authentication method by selecting the check box Allow BitLocker without a compatible TPM in the Group Policy setting Require additional authentication at startup, which is located in the following location in the Local Group Policy Editor: Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives.

Note

If you have configured the Group Policy settings in your organization to back up BitLocker and TPM recovery information to Active Directory® Domain Services (AD DS), the computer must be able to connect to the domain to complete this process.

  1. After the TPM is initialized, the BitLocker setup wizard prompts you to choose how to store the recovery key. You can choose from the following options:

    • Save the recovery key to a USB flash drive. Saves the recovery key to a USB flash drive.

    • Save the recovery key to a file. Saves the recovery key to a network drive or other location.

    • Print the recovery key. Prints the recovery key.

    Use one or more of these options to preserve the recovery key. For each option that you select, follow the wizard steps to set the location for saving or printing the recovery key. When you have finished saving the recovery key, click Next.

Important

The recovery key is required if the encrypted drive is moved to another computer or changes are made to the system startup information. This recovery key is so important that it is recommended that you make additional copies of the key and store the key in safe places so that you can readily find the key if needed to recover access to the drive. You will need your recovery key to unlock the encrypted data on the drive if BitLocker enters a locked state. This recovery key is unique to this particular drive. You cannot use it to recover encrypted data from any other BitLocker-protected drive. For maximum security, you should store recovery keys apart from the computer.

  1. The BitLocker setup wizard asks if you are ready to encrypt the drive. Confirm that the Run BitLocker system check check box is selected, and then click Continue.

  2. Confirm that you want to restart the computer by clicking Restart now. The computer restarts, and BitLocker checks if the computer meets BitLocker requirements and is ready for encryption. If it is not, you will see an error message alerting you to the problem after you have logged on.

Warning

One of the items that BitLocker checks is the configuration of the system partition. BitLocker requires a minimum system partition size of 100 MB, and the Windows Recovery Environment requires 200 MB. When the operating system is installed, the system partition is automatically created by the setup process with a default size of 300 MB. However, this default partition size can be changed by computer manufacturers or system administrators when they install the operating system. If the system partition is exactly 100 MB, BitLocker setup assumes that you have a Windows Recovery DVD for use with your computer and the system check is completed without any errors. However, if you have a system partition size between 101 MB and 299 MB, the following error message will be displayed: "You will no longer be able to use Windows Recovery Environment unless it is manually enabled and moved to the system drive." If you have a Windows 7 DVD that contains the Windows Recovery Environment or you have another system recovery process in place, you may disregard this message and continue with BitLocker setup. Otherwise, you should check your system partition and verify that you have at least 200 MB of free space on your system partition so that the Windows Recovery Environment can be retained on the system drive along with the BitLocker Recovery Environment and other files that BitLocker requires to unlock the operating system drive. For more information about the Windows Recovery Environment, see Windows Recovery Environment.

  1. If it is ready for encryption, the Encrypting status bar is displayed, which shows the progress of the drive encryption. You can monitor the ongoing completion status of the disk drive encryption by moving the mouse pointer over the BitLocker Drive Encryption icon in the notification area, at the far right of the taskbar. Encrypting the drive will take some time. You can use your computer during encryption, but performance might be slower. A completion message is displayed when encryption is finished,

By completing this procedure, you have encrypted the operating system drive and created a recovery key that is unique to this drive. The next time you log on, you will see no change. If the TPM ever changes or cannot be accessed, if there are changes to key system files, or if someone tries to start the computer from a disk to circumvent the operating system, the computer will switch to recovery mode and prevent Windows from starting.

technet.microsoft.com

Как отключить BitLocker в Windows 8

BitLocker является полезным инструментом в Windows 8, который можно использовать для шифрования данных на любом диске. Однако для того, чтобы зашифровать системный диск вы должны иметь криптопроцессор TPM установленный в компьютере. Если у вас он не установлен, то в Windows 8 можно все равно включить BitLocker.

Если вы пытаетесь включить BitLocker для шифрования диска без криптопроцессора TPM, то вы получите сообщение об ошибке: Это устройство не может использовать доверенный платформенный модуль (TPM). Администратор должен задать параметр «Разрешить использование BitLocker без совместимого TPM» в политике «Обязательная дополнительная проверка подлинности при запуске» для томов ОС.

Отключаем проверку TPM в BitLocker

  1. Нажмите сочетания клавиш Win+R, введите в строку «gpedit.msc» и нажмите на кнопку «Ок».
  2. В редакторе локальной групповой политики переходим: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Этот параметр политики позволяет выбрать шифрование диска BitLocker -> Диски операционной системы.
  3. В правой части «Редактора локальной групповой политики» найдите и два раза щелкните левой кнопкой мыши по надписи «Этот параметр политики позволяет настроить требования дополнительной проверки подлинности при запуске».
  4. Изменяем значение на «Включено» и проверьте, стоит ли галочка рядом с надписью «Этот параметр политики позволяет разрешить BitLocker без совместимого доверенного платформенного модуля..», затем нажмите на кнопку «Ок» и закройте «Редактор».

 

Включаем BitLocker в Windows 8

  1. Откройте «Мой компьютер», щелкаем правой кнопкой мыши на диск, который нужно зашифровать, и нажмите на надпись «Включить BitLocker».
  2. Выберете способ разблокировки диска при запуске. Мы советуем выбрать «Вставлять USB-устройство флэш-памяти».
  3. Выбираем USB-устройство и нажмите на кнопку «Сохранить».
  4. Теперь нужно выбрать, как вы хотите архивировать свой ключ восстановления. Выбираем нужный вам пункт и после сохранения нажмите кнопку «Далее».
  5. Выберете, какую часть диска нужно зашифровать и нажмите на кнопку «Далее».
  6. Нажимаем на кнопку «Продолжить», а затем перезагрузить сейчас для того, чтобы проверить ключ разблокировки диска.
  7. После перезагрузки компьютера начнется шифрование диска и после того, как оно завершится, нажмите на кнопку «Закрыть».

Вот и всё! Ваш диск зашифрован с помощью BitLocker в Windows 8.

Коментарии

info.xakes.net

Scenario 4: Configuring How BitLocker Is Supported on Previous Versions of Windows (Windows 7)

  • 09/12/2012
  • 5 minutes to read

In this article

Applies To: Windows 7

This scenario provides procedures to use the Windows 7 Group Policy settings to control the use of BitLocker on computers running Windows Vista or Windows Server 2008.

Before you start

To complete the procedure in this scenario:

To configure how BitLocker is supported on previous versions of Windows
  1. Click Start, type gpedit.msc in the Search programs and files box, and then press ENTER.

  2. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Yes.

  3. In the console tree under Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption, click Operating System Drives.

  4. To use multifactor authentication methods or to allow BitLocker to be used on computers without a TPM, in the details pane, double-click Require additional authentication at startup (Windows Server 2008 and Windows Vista) to open the policy setting.

  5. Click Enabled, and then select the startup authentication methods that you want to support on computers running Windows Vista and Windows Server 2008 in your organization. This policy setting provides the following authentication methods:

    • Allow BitLocker without a compatible TPM. This check box enables BitLocker to be used on computers that do not have a TPM hardware chip. In this situation, a USB flash drive must be used that will store the encryption key for the drive.

    • Configure TPM startup key. This option can be used to require that a USB key be used in addition to the TPM to protect the drive. To unlock the drive, the USB key must be present. The BIOS of the computer needs to be able to read data from a USB drive before starting the operating system. If you do not want users to be able to use USB keys with BitLocker or if you will require that users type a PIN to unlock BitLocker-protected operating system drives, select Do not allow startup key with TPM.

    • Configure TPM startup PIN. This option can be used to require that a PIN be used in addition to the TPM to protect the drive. To unlock the drive, the PIN must be entered by the user. If you do not want users to be able to use PINs with BitLocker or if you will require that users insert USB keys to unlock BitLocker-protected operating system drives, select Do not allow startup PIN with TPM.

      After you have made your choices, click Apply to apply the settings, and then close the dialog box.

  6. To configure Active Directory recovery options for computers running Windows Vista or Windows Server 2008 in your organization, in the console tree under Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components, click BitLocker Drive Encryption to show the global policy settings.

  7. To store recovery information in Active Directory Domain Services (AD DS), in the details pane, double-click the Store BitLocker recovery information in Active Directory Domain Services (Windows Server 2008 and Windows Vista) policy setting, click Enabled, and then select the Require BitLocker backup to AD DS check box. When this check box is selected, BitLocker will verify the presence of a domain controller before encrypting the drive. If the domain controller cannot be found, the user will not be able to turn on BitLocker.

    After making this selection, you must choose the recovery information to back up. You can choose to back up only recovery passwords or you can choose to back up recovery passwords and key packages. Key packages are necessary if you need to recover a drive that has been damaged in such a way that the encryption key is no longer readable by BitLocker recovery.

    After you have made your choices, click Apply to apply the settings, and then close the dialog box.

  8. To configure local computer recovery options for computers running Windows Vista or Windows Server 2008 in your organization, double-click the Choose how users can recover BitLocker-protected drives (Windows Server 2008 and Windows Vista) policy setting, and then click Enabled.

    You can then configure whether the user is allowed to select the BitLocker-generated 48-digit recovery password or select the 256-bit recovery key as the recovery method when they turn on BitLocker. By default, both options are allowed when this setting is disabled or not configured. The BitLocker recovery key is saved as a key when written to a USB drive or is saved as a password when saved to a file or printed. This policy setting should be enabled if you want to require the use of one recovery method and prevent the use of another method. If you want recovery to occur only by administrators who can read the recovery password from AD DS, you can disallow the use of both of these methods after you have configured the Store BitLocker recovery information in Active Directory Domain Services (Windows Server 2008 and Windows Vista) policy setting.

    After you have made your choices, click Apply to apply the settings, and then close the dialog box.

  9. To control whether computers running Windows Server 2008, Windows Vista, Windows XP with Service Pack 3 (SP3), or Windows XP with Service Pack 2 (SP2) can access removable drives protected by the Windows 7 version of BitLocker, in the console tree under Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption, click Removable Data Drives, and then in the details pane, double-click the Allow access to BitLocker-protected removable data drives from earlier versions of Windows policy setting.

    By default when a removable drive is protected with BitLocker, the BitLocker To Go Reader is copied to the drive, providing read-only access when the drive is accessed from computers running Windows Server 2008, Windows Vista, Windows XP with SP3, or Windows XP with SP2, if the user has the required password to unlock the drive. To require that the computer that opens the drive be running either Windows 7 or have the BitLocker To Go Reader installed, click Enabled, and select the Do not install BitLocker To Go Reader on FAT formatted removable drives check box. If you do not want computers running Windows Server 2008, Windows Vista, Windows XP with SP3, or Windows XP with SP2 to be used to read BitLocker-protected, FAT-formatted removable drives, click Disabled.

    After you have made your choices, click Apply to apply the settings, and then close the dialog box.

Note

A similar policy setting is available for use with fixed data drives.

  1. Close the Local Group Policy Editor.

  2. To force Group Policy to apply the changes immediately, you can click Start, type gpupdate.exe /force in the Search programs and files box, and then press ENTER. Wait for the process to finish.

By completing this procedure, you have set policy to control the use of BitLocker on computers running Windows Vista or Windows Server 2008 in your organization.

technet.microsoft.com

Как включить BitLocker без TPM

20.06.2016&nbsp windows | безопасность

BitLocker — встроенная функция шифрования дисков в Windows 7, 8 и Windows 10, начиная с Профессиональных версий, позволяющая надежно зашифровать данные как на HDD и SSD, так и на съемных накопителях.

Однако, при включении шифрования BitLocker для системного раздела жесткого диска, большинство пользователей сталкиваются с сообщением о том, что «Это устройство не может использовать доверенный платформенный модуль (TPM). Администратор должен задать параметр Разрешить использование BitLocker без совместимого TPM». О том, как это сделать и зашифровать системный диск с помощью BitLocker без TPM и пойдет речь в этой короткой инструкции. См. также: Как поставить пароль на флешку с помощью BitLocker.

Краткая справка: TPM — специальный криптографический аппаратный модуль, использующийся для задач шифрования, может быть интегрирован в материнскую плату или подключаться к ней.

Примечание: судя по последним новостям, начиная с конца июля 2016 года, все вновь производимые компьютеры с Windows 10 должны будут иметь TPM. Если ваш компьютер или ноутбук произведен именно после этой даты, а вы видите указанное сообщение, это может означать, что по какой-то причине TPM отключен в БИОС или не инициализирован в Windows (нажмите клавиши Win+R и введите tpm.msc для управления модулем).

Разрешение использования BitLocker без совместимого TPM в Windows 10, 8 и Windows 7

Для того, чтобы возможно было зашифровать системный диск с помощью BitLocker без TPM, достаточно изменить один единственный параметр в редакторе локальной групповой политики Windows.

Автор рекомендует прочесть:

  1. Нажмите клавиши Win+R и введите gpedit.msc для запуска редактора локальной групповой политики. 
  2. Откройте раздел (папки слева): Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Этот параметр политики позволяет выбрать шифрование диска BitLocker — Диски операционной системы. 
  3. В правой части дважды кликните по параметру «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.
  4. В открывшемся окне, установите «Включено», а также убедитесь, что стоит отметка «Разрешить BitLocker без совместимого доверенного платформенного модуля» (см. скриншот). 
  5. Примените сделанные изменения.

После этого вы можете использовать шифрование дисков без сообщений об ошибках: просто выберите системный диск в проводнике, кликните по нему правой кнопкой мыши и выберите пункт контекстного меню «Включить BitLocker», после чего следуйте указаниям мастера шифрования. Также этом можно сделать в «Панель управления» — «Шифрование диска BitLocker».

Вы сможете либо задать пароль для получения доступа к зашифрованному диску, либо создать USB-устройство (флешку), которая будет использоваться в качестве ключа.

Примечание: в ходе шифрования диска в Windows 10 и 8 вам будет предложено сохранить данные для расшифровки в том числе в вашей учетной записи Майкрософт. Если она у вас должным образом настроена, рекомендую это сделать — по собственному опыту использования BitLocker, код восстановления доступа к диску из учетной записи в случае возникновения проблем может оказаться единственным способом не потерять свои данные.

А вдруг и это будет интересно:

remontka.pro

Scenario 7: Specifying How to Unlock BitLocker-Protected Fixed or Removable Data Drives (Windows 7)

  • 09/12/2012
  • 8 minutes to read

In this article

Applies To: Windows 7

In this scenario, you will determine which unlock methods for fixed and removable drives can be used by configuring the appropriate Group Policy settings.

Before you start

To complete the procedures in this scenario:

  • You must be able to provide administrative credentials.

  • Your test computer must be part of a domain if you want to test password complexity requirements.

  • You must have separate fixed data drives and removable drives available.

  • You must boot from a BitLocker-protected operating system drive to use the automatic unlock method with fixed data drives.

  • You must have deployed a public key infrastructure (PKI) architecture for use with smart cards.

  • Your computer must meet BitLocker requirements. For more information, see "Requirements for BitLocker Drive Encryption" in BitLocker Drive Encryption Step-by-Step Guide for Windows 7.

Note

If BitLocker is enabled on the operating system drive, when you turn on BitLocker for a fixed data drive, you will have the option of allowing the drive to be automatically unlocked when the operating system drive is unlocked. The following procedure assumes that the fixed data drive was BitLocker-protected previously and the automatic unlock method was not selected. Removable data drives must have either a password or a smart card unlock method in addition to the automatic unlock method. Automatic unlocking cannot be directly specified by policy settings.

To configure a BitLocker-protected fixed or removable data drive to automatically unlock
  1. Click Start, click Computer, and then right-click the BitLocker-protected fixed or removable data drive that you want to automatically unlock.

  2. Click Manage BitLocker, click Automatically unlock this drive on this computer.

To specify password usage for BitLocker-protected fixed or removable data drives
  1. Click Start, type gpedit.msc in the Search programs and files box, and then press ENTER.

  2. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Yes.

  3. In the console tree under Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption, click Fixed Data Drives.

  4. By default, passwords can be used with BitLocker to protect fixed data drives. The default settings do not enforce any password complexity requirements but do require that the password be at least 8 characters. To specify different settings, in the details pane, double-click Configure use of passwords for fixed data drives to open the policy setting.

  5. Click Disabled to prevent the use of passwords with fixed data drives, or click Enabled, and configure the following settings:

    • Select the Require password for fixed data drive check box if you want to require the user to enter a password to turn on BitLocker on a fixed data drive. If other unlock methods have been configured for the drive, any of those methods may be used to unlock the drive.

    • Under Configure password complexity for fixed data drives, you can choose to allow, require, or not allow password complexity rule enforcement with BitLocker fixed data drive passwords.

      If you choose Require password complexity, you must have also configured the Password must meet complexity requirements policy setting located in Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy. In addition, the computer must be connected to the domain when the BitLocker password is set for the drive (such as when BitLocker is turned on or when a password is changed) so that the domain controller can validate that the password specified for the drive meets the complexity rules.

      If you choose Allow password complexity, BitLocker will attempt to connect to the domain controller to validate the password, but if a connection is not possible it will accept the password and encrypt the drive by using the password regardless of whether the password is compliant with the complexity rules defined by the password policy.

      If you choose Do not allow password complexity, BitLocker will not attempt to validate whether or not the password specified is a complex password.

    • Under Minimum password length for fixed data drive, you can specify a number between 8 and 99 that defines how long the password specified for the drive must be. Passwords must always be at least 8 characters.

  6. After you have made your choices, click Apply to apply the settings, and then close the dialog box.

  7. In the console tree under Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption, click Removable Data Drives.

  8. By default, passwords can be used with BitLocker to protect removable data drives. The default settings do not enforce any password complexity requirements but do require that the password be at least 8 characters. To specify different settings, in the details pane, double-click Configure use of passwords for removable data drives to open the policy setting.

  9. Click Disabled to prevent the use of passwords with removable data drives, or click Enabled, and configure the following settings:

    • Select the Require password for removable data drive check box if you want to require the user to enter a password to turn on BitLocker on a removable data drive. If other unlock methods have been configured for the drive, any of those methods may be used to unlock the drive.

    • Under Configure password complexity for removable data drives, you can choose to allow, require, or not allow password complexity rule enforcement with BitLocker removable data drive passwords.

      If you choose Require password complexity, you must have also configured the Password must meet complexity requirements policy setting located in Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy, and the computer must be connected to the domain when BitLocker is turned on so that the domain controller can validate that the password specified for the drive meets the complexity rules.

      If you choose Allow password complexity, BitLocker will attempt to connect to the domain controller to validate the password, but if a connection is not possible it will accept the password and encrypt the drive by using the password regardless of whether the password is compliant with the complexity rules defined by the password policy.

      If you choose Do not allow password complexity, BitLocker will not attempt to validate whether or not the password specified is a complex password.

    • Under Minimum password length for fixed data drive, you can specify a number between 8 and 99 that defines how long the password specified for the drive must be. Passwords must always be at least 8 characters.

  10. After you have made your choices, click Apply to apply the settings, and then close the dialog box.

  11. Close the Local Group Policy Editor.

  12. To force Group Policy to apply the changes immediately, you can click Start, type gpupdate.exe /force in the Search programs and files box, and then press ENTER. Wait for the process to finish.

To specify smart card usage for BitLocker-protected fixed or removable data drives
  1. Click Start, type gpedit.msc in the Search programs and files box, and then press ENTER.

  2. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Yes.

  3. In the console tree under Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption, click Fixed Data Drives.

  4. By default, smart cards can be used with BitLocker to protect fixed data drives. To require or prevent the use of smart cards, in the details pane, double-click Configure use of smart cards on fixed data drives to open the policy setting.

  5. Click Disabled to prevent the use of smart cards with fixed data drives.

  6. Click Enabled, and select the Require use of smart cards on fixed data drives check box if you want to require the user to insert a smart card to turn on BitLocker.

    If other unlock methods have been configured for the drive, any of those methods may be used to unlock the drive.

  7. After you have made your choices, click Apply to apply the settings, and then close the dialog box.

  8. In the console tree under Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components, click BitLocker Drive Encryption

  9. If you have multiple smart card certificates, you can specify which smart card certificates can be used with BitLocker. To do this, in the details pane, double-click the Validate smart card certificate usage rule compliance policy setting.

    By default, BitLocker uses smart card certificates that have the enhanced key usage (EKU) attribute equal to the BitLocker object identifier of 1.3.6.1.4.1.311.67.1.1, but BitLocker does not require the EKU attribute to be present for the certificate to be used with BitLocker. However, you can set this policy to Enabled and type a value in Object identifier to require that a certificate have a certain EKU attribute before it is used with BitLocker. If you set this policy to Disabled or Not Configured, the default object identifier is used.

  10. After you have made your choices, click Apply to apply the settings, and then close the dialog box.

  11. In the console tree under Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption, click Removable Data Drives.

  12. By default, smart cards can be used with BitLocker to protect removable data drives. To require or prevent the use of smart cards, in the details pane, double-click Configure use of smart cards on removable data drives to open the policy setting.

  13. Click Disabled to prevent the use of smart cards with removable data drives.

  14. Click Enabled, and select the Require smart card for removable data drive check box if you want to require the user to insert a smart card to turn on BitLocker.

  15. After you have made your choices, click Apply to apply the settings, and then close the dialog box.

  16. Close the Local Group Policy Editor.

  17. To force Group Policy to apply the changes immediately, you can click Start, type gpupdate.exe /force in the Search programs and files box, and then press ENTER. Wait for the process to finish.

By completing the procedures in this scenario, you have specified which methods users can use to unlock BitLocker-protected drives. These policies are enforced on drives when BitLocker is turned on.

technet.microsoft.com

Вопросы и ответы по BitLocker (Windows)

В этой статье, предназначенной для ИТ-специалистов, даются ответы на часто задаваемые вопросы, касающиеся требований использования, обновления, развертывания и администрирования, а также политик управления ключами для BitLocker.

BitLocker — компонент для защиты данных, позволяющий выполнять шифрование жестких дисков на компьютере. Это понижает вероятность хищения данных, а также несанкционированного доступа к ним в случае хищения или утери компьютеров и съемных носителей. Кроме того, этот компонент обеспечивает более надежное удаление данных при списании компьютеров, защищенных с помощью BitLocker, так как восстановить удаленные данные на зашифрованном диске намного сложнее, чем на незашифрованном.

Общие сведения и требования

Как работает BitLocker?

Работа BitLocker с дисками операционной системы

BitLocker позволит снизить риск несанкционированного доступа к данным на утерянных или украденных компьютерах благодаря шифрованию всех пользовательских и системных файлов на диске операционной системы, включая файлы подкачки и файлы гибернации, а также благодаря проверке целостности компонентов ранней загрузки и данных конфигурации загрузки.

Работа BitLocker с встроенными дисками и съемными носителями

С помощью BitLocker можно зашифровать весь диск с данными. С помощью групповой политики можно указать на необходимость включения BitLocker для диска, прежде чем на него будут записаны данные. В BitLocker можно настроить различные методы разблокировки для дисков с данными, при этом такие диски поддерживают несколько способов разблокировки.

Поддерживает ли BitLocker многофакторную проверку подлинности?

Да, BitLocker поддерживает многофакторную проверку подлинности для дисков операционной системы. Если включить BitLocker на компьютере с доверенным платформенным модулем (TPM) версии 1.2 или более поздней, станут возможны дополнительные варианты проверки подлинности.

Каковы требования BitLocker к оборудованию и программному обеспечению?

Примечание  

BitLocker не поддерживает динамические диски. Динамические тома данных не будут отображаться на панели управления. Том операционной системы всегда будет отображаться на панели управления, независимо от того, является ли он динамическим диском. Но если он динамический, его невозможно защитить с помощью BitLocker.

 

Почему нужны два раздела? Почему системный диск должен быть настолько большим?

Наличие двух разделов обязательно для работы BitLocker, так как проверка подлинности перед запуском и проверка целостности системы должны выполняться на разделе, не связанном с зашифрованным диском операционной системы. Такая конфигурация способствует защите операционной системы и данных на зашифрованном диске.

Какие доверенные платформенные модули (TPM) поддерживает BitLocker?

BitLocker поддерживает платформенный модуль версии 1.2 или более поздней.

Как узнать, установлен ли доверенный платформенный модуль (TPM) на компьютере?

Откройте консоль управления TPM (tpm.msc) и проверьте наличие доверенного платформенного модуля в разделе Состояние.

Можно ли использовать BitLocker на диске операционной системы без доверенного платформенного модуля?

Да, можно включить BitLocker на диске операционной системы без доверенного платформенного модуля версии 1.2 или более поздней, если встроенное ПО BIOS или UEFI поддерживает чтение с USB-устройства флэш-памяти в среде загрузки. Это возможно, так как BitLocker не разблокирует защищенный диск, пока не будет получен основной ключ тома BitLocker от доверенного платформенного модуля на компьютере или с USB-устройства флэш-памяти, содержащего ключ запуска BitLocker для этого компьютера. Но компьютеры без доверенного платформенного модуля не смогут выполнять проверку целостности системы, которая возможна при помощи BitLocker.

Чтобы определить, может ли компьютер считывать данные с USB-устройства при загрузке, воспользуйтесь возможностью проверить систему с помощью BitLocker во время настройки BitLocker. В ходе этой проверки выполняются тесты, подтверждающие возможность считывания данных с USB-устройств в нужное время, а также соответствие компьютера другим требованиям BitLocker.

Как обеспечить поддержку доверенного платформенного модуля в BIOS на компьютере?

Запросите у изготовителя компьютера встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG и следующим требованиям:

  • соответствие стандартам TCG для клиентского компьютера;

  • наличие механизма защищенного обновления, предотвращающего установку вредоносного встроенного ПО для BIOS или загрузочного ПО на компьютер.

Какие учетные данные необходимы для использования BitLocker?

Чтобы включать и выключать использование BitLocker или изменять его настройки на дисках операционной системы и несъемных дисках с данными, необходимо состоять в локальной группе Администраторы. Обычные пользователи могут включать или выключать компонент BitLocker или изменять его конфигурацию на съемных дисках с данными.

Какой порядок загрузки рекомендуется для компьютеров, которые должны быть защищены BitLocker?

Необходимо настроить параметры запуска компьютера так, чтобы жесткий диск в порядке загрузки шел первым, перед всеми остальными дисками, такими как CD- или DVD-диски либо USB-накопители. Если жесткий диск не указан как первый, но загрузка обычно выполняется с жесткого диска, система может определить или предположить изменение порядка загрузки при обнаружении съемного носителя во время загрузки. Порядок загрузки обычно влияет на показатели системы, проверяемые BitLocker. Изменение этого порядка приведет к тому, что вам будет предложено ввести ключ восстановления BitLocker. По этой же причине, если у вас есть ноутбук с док-станцией, убедитесь, что жесткий диск идет первым в порядке загрузки как при стыковке, так и при отстыковке. 

Обновление

Можно ли обновить операционную систему на компьютере с Windows 7 или Windows 8 до Windows 10, если включено шифрование BitLocker?

Да. На панели управления найдите элемент Шифрование диска BitLocker, выберите команду Управление BitLocker, а затем — команду Приостановить. Если выполнена приостановка защиты, диск не расшифровывается. В этом случае отключаются механизмы проверки подлинности, которые использует BitLocker, и применяется незащищенный ключ для доступа к диску. После завершения обновления откройте проводник, щелкните диск правой кнопкой мыши и выберите команду Возобновить защиту. Методы проверки подлинности BitLocker вновь станут применяться, а незащищенный ключ будет удален.

В чем разница между приостановкой BitLocker и расшифровкой дисков, защищенных BitLocker?

Команда Расшифровать полностью отменяет защиту при помощи BitLocker и расшифровывает весь диск.

Команда Приостановить оставляет данные зашифрованными, но шифрует основной ключ тома BitLocker с использованием незащищенного ключа. Незащищенным называется криптографический ключ, который хранится на диске без шифрования и защиты. Хранение этого ключа без шифрования позволяет команде Приостановить вносить изменения и выполнять обновления на компьютере, не затрачивая время и ресурсы на расшифровку и повторное шифрование всего диска. После повторного включения BitLocker и внесения изменений эта программа запечатает ключ шифрования с использованием новых показателей компонентов, которые изменились в ходе обновления, основной ключ тома изменится, предохранители обновятся, а незащищенный ключ удалится.

Нужно ли расшифровывать диск, защищенный BitLocker, чтобы скачать и установить обновления системы?

В таблице ниже перечислены действия, которые необходимо выполнить перед обновлением ОС или установкой обновлений.

Тип обновленияДействие

Программа обновления Windows Anytime Upgrade

Расшифровка

Обновление до Windows 10

Приостановка

Обновление ПО, не разработанного Майкрософт, например:

  • обновление встроенного ПО, предоставляемое изготовителем компьютера;

  • обновление встроенного ПО доверенного платформенного модуля;

  • обновление приложений, разработанных не Майкрософт, при котором изменяются загрузочные компоненты.

Приостановка

Обновления программного обеспечения и операционной системы из Центра обновления Windows

Без изменений

 

Примечание  

Приостановленную защиту при помощи BitLocker можно возобновить после установки обновления. Когда защита возобновится, BitLocker запечатает ключ шифрования с использованием новых показателей компонентов, которые изменились в ходе обновления. Если такие обновления устанавливаются без приостановки BitLocker, то компьютер после перезагрузки входит в режим восстановления и для доступа к нему требуется ключ восстановления или пароль.

 

Развертывание и администрирование

Можно ли автоматизировать развертывание BitLocker в корпоративной среде?

Да, развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструментария WMI или сценариев Windows PowerShell. Способ реализации сценариев зависит от среды. Локальную или удаленную настройку BitLocker можно выполнить с помощью Manage-bde.exe. Дополнительные сведения о написании сценариев, использующих поставщики WMI BitLocker, см. в статье Поставщик шифрования диска BitLocker. Узнать больше об использовании командлетов Windows PowerShell с шифрованием дисков BitLocker можно в статье Командлеты для BitLocker в Windows PowerShell.

Может ли BitLocker шифровать другие диски, кроме диска операционной системы?

Да.

Насколько снижается производительность при включении BitLocker на компьютере?

Обычно снижение производительности составляет до десяти процентов.

Сколько времени занимает первоначальное шифрование после включения BitLocker?

Хотя шифрование BitLocker выполняется в фоновом режиме, пока вы продолжаете работу, и система остается доступной, время шифрования зависит от типа диска, его размера и скорости. Шифрование дисков очень большого размера рекомендуется назначить на время, когда они не используются.

При включении BitLocker вы также можете выбрать, следует ли шифровать весь диск или только занятое пространство. На новом жестком диске шифрование лишь используемого пространства выполняется гораздо быстрее, чем шифрование всего диска. После выбора этого варианта шифрования BitLocker автоматически шифрует данные в момент сохранения. Такой способ гарантирует, что никакие данные не будут храниться без шифрования.

Что будет, если выключить компьютер во время шифрования или расшифровки?

Если компьютер выключается или переходит в режим гибернации, то при следующем запуске Windows процесс шифрования и расшифровки при помощи BitLocker возобновляется с места остановки. То же происходит в случае сбоя подачи электропитания.

Выполняет ли BitLocker шифрование и расшифровку всего диска при считывании и записи данных?

Нет, BitLocker не выполняет шифрование и расшифровку всего диска при считывании и записи данных. Секторы, зашифрованные на защищенном при помощи BitLocker диске, расшифровываются только по запросу системных операций чтения. Блоки, которые записываются на диск, шифруются до того, как система записывает их на физический диск. На диске с защитой BitLocker данные никогда не остаются незашифрованными.

Как запретить пользователям в сети сохранять данные на незашифрованном диске?

Вы можете настроить параметры групповой политики так, чтобы запись данных на диски компьютера, защищенного с помощью BitLocker, была невозможна без предварительного включения защиты BitLocker для этих дисков. Дополнительные сведения см. в статье Параметры групповой политики BitLocker.

Если включены соответствующие параметры политики, то операционная система с защитой BitLocker будет подключать диски с данными, не защищенные BitLocker, в режиме только для чтения.

Какие изменения системы приводят к появлению ошибки при проверке целостности диска с операционной системой?

Появление ошибки при проверке целостности могут вызывать указанные ниже типы изменений системы. В этом случае доверенный платформенный модуль не предоставляет ключ BitLocker для расшифровки защищенного диска операционной системы.

  • Перемещение диска с защитой BitLocker в новый компьютер.

  • Установка новой системной платы с новым доверенным платформенным модулем.

  • Выключение, деактивация или очистка доверенного платформенного модуля.

  • Изменение каких-либо параметров конфигурации загрузки.

  • Изменение встроенного ПО BIOS или UEFI, основной загрузочной записи (MBR), загрузочного сектора, диспетчера загрузки, дополнительного ПЗУ, а также других компонентов ранней загрузки или данных конфигурации загрузки.

В каком случае BitLocker запускается в режиме восстановления при попытке запустить диск операционной системы?

Так как компонент BitLocker предназначен для защиты компьютера от многочисленных атак, существует множество причин, по которым BitLocker может запускаться в режиме восстановления. В BitLocker восстановление состоит в расшифровке копии основного ключа тома при помощи ключа восстановления, хранящегося на USB-накопителе, или при помощи криптографического ключа, полученного с использованием пароля восстановления. Доверенный платформенный модуль не участвует ни в одном сценарии восстановления. Это значит, что восстановление возможно даже при появлении ошибки во время проверки компонентов загрузки с помощью этого модуля, а также при его сбое или удалении.

Можно ли менять жесткие диски на компьютере, если для его диска операционной системы включено шифрование BitLocker?

Да, на одном компьютере с включенным шифрованием BitLocker можно менять жесткие диски, но при условии, что для них включалась защита BitLocker на этом же компьютере. Ключи BitLocker уникальны для доверенного платформенного модуля и диска операционной системы. Поэтому, чтобы подготовить резервный диск с операционной системой или диск с данными на случай отказа диска, убедитесь, что для них используется тот же доверенный платформенный модуль. Можно также настроить разные жесткие диски для различных операционных систем, а затем включить для каждого диска BitLocker, указав разные методы проверки подлинности (например, на одном диске только доверенный платформенный модуль, а на другом — доверенный платформенный модуль с вводом ПИН-кода), и это не приведет к конфликтам.

Можно ли получить доступ к жесткому диску, защищенному BitLocker, если установить его на другой компьютер?

Да, если это диск с данными, его можно разблокировать обычным образом, выбрав элемент Шифрование диска BitLocker на панели управления (с помощью пароля или смарт-карты). Если для диска с данными настроено только автоматическое снятие блокировки, вам придется использовать ключ восстановления, чтобы разблокировать этот диск. Зашифрованный жесткий диск можно разблокировать с помощью агента восстановления данных (если он настроен) или с помощью ключа восстановления.

Почему недоступна команда "Включить BitLocker", если щелкнуть диск правой кнопкой мыши?

Некоторые диски невозможно зашифровать при помощи BitLocker. Это происходит по нескольким причинам. Например, размер диска может быть слишком мал, файловая система может быть несовместимой, диск может быть динамическим либо назначенным в качестве системного раздела. По умолчанию системный диск (или системный раздел) не отображается. Но если диск (или раздел) не был скрыт при выборочной установке операционной системы, его можно отобразить, но не зашифровать.

Какие типы конфигураций дисков поддерживаются BitLocker?

Защита BitLocker возможна для любого числа внутренних несъемных дисков. В некоторых версиях поддерживаются накопители с прямым подключением и интерфейсом ATA или SATA.

Управление ключами

В чем разница между паролем владельца доверенного платформенного модуля, паролем восстановления, ключом восстановления, паролем, ПИН-кодом, улучшенным ПИН-кодом и ключом запуска?

BitLocker может создавать и использовать различные ключи. Некоторые из них использовать обязательно, остальные можно применять как дополнительные предохранители в зависимости от требуемого уровня безопасности.

Где хранить пароль восстановления и ключ восстановления?

Пароль восстановления или ключ восстановления для диска операционной системы или несъемного диска с данными можно сохранить в папке, на одном или нескольких USB-устройствах, в своей учетной записи Майкрософт или распечатать.

Пароль восстановления и ключ восстановления для съемных дисков с данными можно сохранить в папке или учетной записи Майкрософт, а также распечатать. По умолчанию ключ восстановления для съемного носителя невозможно хранить на съемном носителе.

Администратор домена может настроить дополнительную групповую политику для автоматического создания паролей восстановления и сохранения их в доменных службах Active Directory (AD DS) для всех дисков, защищенных BitLocker.

Можно ли добавить дополнительный метод проверки подлинности без расшифровки диска, если включен только метод проверки подлинности на основе доверенного платформенного модуля?

С помощью программы командной строки Manage-bde.exe можно заменить режим проверки подлинности, в котором используется только доверенный платформенный модуль, на режим многофакторной проверки подлинности. Например, если компонент BitLocker включен только с проверкой подлинности на основе доверенного платформенного модуля, то для добавления проверки подлинности с использованием ПИН-кода введите следующие команды из командной строки с повышенными привилегиями, заменив <4-20 digit numeric PIN> на нужный числовой ПИН-код:

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Можно ли восстановить данные, защищенные BitLocker, если утрачены средства восстановления?

Компонент BitLocker разработан так, что зашифрованный диск невозможно восстановить, минуя обязательную проверку подлинности. В режиме восстановления для разблокировки зашифрованного диска пользователю необходим пароль восстановления или ключ восстановления.

Важно  

Храните данные, необходимые для восстановления, в AD DS, своей учетной записи Майкрософт или другом надежном расположении.

 

Можно ли хранить ключ восстановления на том же USB-устройстве флэш-памяти, на котором хранится ключ запуска?

Хранение обоих ключей на одном USB-устройстве флэш-памяти технически возможно, но не рекомендуется. В случае утери или кражи USB-устройства флэш-памяти с ключом запуска также теряется доступ к ключу восстановления. Кроме того, при вставке такого ключа произойдет автоматическая загрузка компьютера по ключу восстановления, даже если изменились файлы, показатели которых определяются доверенным платформенным модулем, и проверка целостности системы не будет выполнена.

Можно ли хранить ключ запуска на нескольких USB-устройствах флэш-памяти?

Да, ключ запуска компьютера можно хранить на нескольких USB-устройствах флэш-памяти. Щелкните правой кнопкой мыши диск, защищенный BitLocker, и выберите команду Управление BitLocker, чтобы открыть параметры для копирования ключей восстановления.

Можно ли хранить несколько разных ключей запуска на одном USB-устройстве флэш-памяти?

Да, на одном USB-устройстве флэш-памяти можно хранить ключи запуска BitLocker для разных компьютеров.

Можно ли создать несколько различных ключей запуска для одного компьютера?

С помощью сценариев можно создать разные ключи запуска для одного компьютера. Но для компьютеров с доверенным платформенным модулем создание разных ключей запуска не позволяет BitLocker использовать проверку целостности системы, которую выполняет этот модуль.

Можно ли создавать несколько сочетаний ПИН-кода?

Создавать несколько сочетаний ПИН-кода невозможно.

Какие ключи шифрования применяются в BitLocker? Как происходит их совместная работа?

Необработанные данные шифруются полным ключом шифрования тома, который затем шифруется основным ключом тома. Основной ключ тома, в свою очередь, шифруется при помощи одного из нескольких возможных методов в зависимости от типа проверки подлинности (с использованием предохранителей ключа или доверенного платформенного модуля) и сценариев восстановления.

Где хранятся ключи шифрования?

Полный ключ шифрования тома шифруется основным ключом тома и хранится на зашифрованном диске. Основной ключ тома шифруется подходящим предохранителем ключа и хранится на зашифрованном диске. Если защита BitLocker приостанавливается, то незащищенный ключ, которым шифруется основной ключ тома, также хранится на зашифрованном диске вместе с зашифрованным основным ключом тома.

Такая процедура хранения гарантирует, что основной ключ тома никогда не хранится без шифрования и всегда защищен, если не отключено шифрование BitLocker. Ключи также сохраняются в двух дополнительных расположениях на диске для обеспечения избыточности. Диспетчером загрузки может считывать и обрабатывать ключи.

Почему для ввода ПИН-кода или 48-значного пароля восстановления нужно использовать функциональные клавиши?

Клавиши F1–F10 имеют универсальные коды опроса, доступные в предзагрузочной среде на всех компьютерах для всех языков. Клавиши с цифрами от 0 до 9 не используются в предзагрузочной среде на всех клавиатурах.

Если используется улучшенный ПИН-код, пользователям рекомендуется выполнить дополнительную проверку системы в ходе настройки BitLocker, чтобы убедиться, что в предзагрузочной среде можно ввести правильный ПИН-код.

Как BitLocker защищает ПИН-код, снимающий блокировку диска операционной системы, от злоумышленников?

Злоумышленник может узнать ПИН-код при атаке методом подбора. Атака методом подбора выполняется с помощью автоматического средства, которое проверяет различные сочетания ПИН-кода, пока не будет найден правильный код. Для компьютеров, защищенных BitLocker, такой тип взлома, также известный как атака перебором по словарю, требует физического доступа злоумышленника к компьютеру.

Доверенный платформенный модуль обладает встроенными возможностями по выявлению таких атак и противодействию им. Так как в доверенных платформенных модулях различных изготовителей применяются различные меры противодействия взлому ПИН-кода, обратитесь к изготовителю модуля, чтобы определить, как такой модуль на компьютере противодействует взлому ПИН-кода при атаке методом подбора.

После определения изготовителя доверенного платформенного модуля свяжитесь с ним, чтобы получить данные о таком модуле, которые может предоставить только его изготовитель. Большинство изготовителей экспоненциально увеличивают время блокировки интерфейса для ввода ПИН-кода с увеличением количества ошибок при его вводе. При этом каждый изготовитель имеет собственные правила в отношении сброса счетчика ошибок или уменьшения его значений.

Как определить производителя своего доверенного платформенного модуля?

Определить изготовителя доверенного платформенного модуля можно в разделе Сведения об изготовителе TPM на консоли управления TPM (tpm.msc).

Как оценить механизм противодействия атакам перебором по словарю, применяемый в доверенном платформенном модуле?

Задайте изготовителю доверенного платформенного модуля следующие вопросы о механизме противодействия атакам перебором по словарю:

  • Сколько неудачных попыток авторизации разрешается до блокировки?

  • По какому алгоритму определяется продолжительность блокировки с учетом числа неудачных попыток авторизации и других значимых параметров?

  • Какие действия могут привести к сбросу счетчика ошибок, уменьшению его значений или продолжительности блокировки?

Можно ли изменять длину и сложность ПИН-кода с помощью групповой политики?

И да, и нет. Можно задать минимальную длину ПИН-кода в параметре групповой политики Этот параметр политики позволяет установить минимальную длину ПИН-кода для запуска и разрешить использование буквенно-цифровых ПИН-кодов, включив параметр групповой политики Этот параметр политики позволяет разрешить использование улучшенных ПИН-кодов при запуске компьютера. При этом в групповой политике невозможно задать требования к сложности ПИН-кода.

Дополнительные сведения см. в статье Параметры групповой политики BitLocker.

BitLocker To Go

BitLocker To Go позволяет выполнять шифрование диска BitLocker для съемных носителей с данными. Шифруются USB-устройства флэш-памяти, SD-карты, внешние жесткие диски и другие диски с файловой системой NTFS, FAT16, FAT32 или exFAT.

Доменные службы Active Directory (AD DS)

Что будет, если включить BitLocker на компьютере перед присоединением к домену?

Если на диске включается шифрование BitLocker до применения групповой политики для принудительного резервного копирования, то данные для восстановления не будут проходить автоматическое резервное копирование в AD DS, когда компьютер присоединяется к домену или применяется групповая политика. Но можно использовать параметры групповой политики Этот параметр политики позволяет выбрать метод восстановления дисков операционной системы, защищенных с помощью BitLocker, Этот параметр политики позволяет выбрать метод восстановления несъемных дисков, защищенных с помощью BitLocker и Этот параметр политики позволяет выбрать метод восстановления съемных носителей, защищенных с помощью BitLocker, чтобы сделать обязательным подключение компьютера к домену перед включением BitLocker. Это обеспечит резервное копирование в доменных службах Active Directory данных, которые необходимы для восстановления дисков, защищенных BitLocker в организации.

Дополнительные сведения см. в статье Параметры групповой политики BitLocker.

Интерфейс инструментария управления Windows (WMI) для BitLocker позволяет администраторам написать сценарий для резервного копирования или синхронизации существующих данных для восстановления клиента, находящегося в сети, но BitLocker не управляет этим процессом автоматически. Программа командной строки Manage-bde также позволяет вручную создать резервную копию данных для восстановления в AD DS. Например, чтобы создать резервную копию всех данных для восстановления диска C, в AD DS выполните следующую команду из командной строки с повышенными привилегиями: manage-bde -protectors -adbackup C:.

Важно  

Первое, что нужно сделать с новым компьютером в организации, — это присоединить его к домену. После присоединения компьютеров к домену сохранение ключа восстановления BitLocker в AD DS выполняется автоматически (если это обеспечено групповой политикой).

 

Записывается ли в журнал событий на клиентском компьютере результат резервного копирования Active Directory?

Да, на клиентском компьютере в журнал событий заносится запись, показывающая успешный или не успешный результат резервного копирования Active Directory. Но даже в случае, если в журнале событий указано успешное завершение, данные о резервном копировании могут быть удалены из AD DS. Кроме того, конфигурация BitLocker может измениться так, что данные из Active Directory не позволят разблокировать диск (например, если удален предохранитель ключа для пароля восстановления). Кроме того, возможна подделка записи журнала.

Чтобы гарантированно определить наличие достоверной резервной копии в AD DS, необходимо отправить запрос в доменные службы Active Directory с учетными данными администратора домена с помощью средства просмотра паролей BitLocker.

Если изменить пароль восстановления BitLocker на локальном компьютере и сохранить новый пароль в доменных службах Active Directory, перезапишут ли доменные службы старый пароль?

Нет. Пароли восстановления BitLocker не удаляются из доменных служб Active Directory, и поэтому для каждого диска могут отображаться несколько паролей. Чтобы определить последний пароль, проверьте дату объекта.

Что будет, если первоначальное создание резервной копии завершится ошибкой? Будет ли BitLocker повторять резервное копирование?

Если первоначальное резервное копирование завершается ошибкой (например, когда контроллер домена оказывается недоступным во время работы мастера установки BitLocker), то BitLocker не выполняет повторных попыток резервного копирования данных для восстановления в AD DS.

Если администратор установит флажок Этот параметр политики позволяет требовать архивации BitLocker в доменных службах Active Directory в параметре политики Этот параметр политики позволяет хранить сведения о восстановлении BitLocker в доменных службах Active Directory (Windows 2008 и Windows Vista) или (что равносильно) установит флажок Не включать BitLocker до сохранения данных восстановления в доменных службах Active Directory для дисков операционной системы | съемных носителей с данными | несъемных дисков с данными в любом из параметров политики Этот параметр политики позволяет выбрать метод восстановления дисков операционной системы, защищенных с помощью BitLocker, Этот параметр политики позволяет выбрать метод восстановления несъемных дисков, защищенных с помощью BitLocker и Этот параметр политики позволяет выбрать метод восстановления съемных носителей, защищенных с помощью BitLocker, то пользователи не смогут включать BitLocker, когда компьютер не подключен к домену и не создана резервная копия данных для восстановления BitLocker в AD DS. Если заданы эти параметры и резервное копирование завершается ошибкой, то включить BitLocker невозможно. Это гарантирует, что администраторы смогут восстановить все диски с защитой BitLocker в организации.

Дополнительные сведения см. в статье Параметры групповой политики BitLocker.

Если администратор снимает эти флажки, то диск можно защищать с помощью BitLocker без успешного создания резервной копии данных для восстановления в AD DS. При этом BitLocker не повторяет автоматическое создание резервной копии, если оно завершается ошибкой. Вместо этого администраторы могут создать сценарий для резервного копирования, как описано ранее в ответе на вопрос Что будет, если включить BitLocker на компьютере перед присоединением к домену?, чтобы собрать данные после восстановления подключения.

Безопасность

Какой формат шифрования применяется в BitLocker? Можно ли его настроить?

В BitLocker применяется алгоритм шифрования AES с настраиваемой длиной ключа (128 или 256 бит). По умолчанию задано шифрование AES-128, но можно настроить параметры с помощью групповой политики.

Как лучше всего использовать BitLocker на диске с операционной системой?

Для реализации BitLocker на диске с операционной системой рекомендуется использовать на компьютере доверенный платформенный модуль версии 1.2 или более поздней и встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG, а также ПИН-код. Обязательный ввод ПИН-кода, заданного пользователем, в дополнение к проверке доверенного платформенного модуля, не позволяет злоумышленнику, получившему доступ к компьютеру, просто запустить его.

Какие могут быть последствия при использовании параметров управления питанием (спящий режим и режим гибернации)?

В базовой конфигурации BitLocker на дисках операционной системы (с доверенным платформенным модулем, но без дополнительной проверки подлинности) обеспечивает дополнительную защиту для режима гибернации. Использование дополнительной проверки подлинности BitLocker (доверенный платформенный модуль и ввод ПИН-кода, доверенный платформенный модуль и USB-ключ или доверенный платформенный модуль, ввод ПИН-кода и USB-ключ) обеспечивает повышенную защиту в режиме гибернации. Этот метод надежнее, так как для возврата из режима гибернации требуется проверка подлинности BitLocker. Рекомендуется отключить спящий режим и использовать для проверки подлинности сочетание доверенного платформенного модуля и ПИН-кода.

Каковы преимущества доверенного платформенного модуля?

В большинстве операционных систем используется общее пространство памяти, а за управление физической памятью отвечает операционная система. Доверенный платформенный модуль — это аппаратный компонент, который использует собственное встроенное ПО и внутренние логические схемы для обработки инструкций, обеспечивая защиту от уязвимости внешнего ПО. Для взлома доверенного платформенного модуля необходим физический доступ к компьютеру. Кроме того, для взлома аппаратной защиты обычно требуются более дорогостоящие средства и навыки, которые не столь распространены, как средства взлома программ. Так как доверенный платформенный модуль на каждом компьютере уникален, то для взлома нескольких компьютеров с доверенными платформенными модулями потребуется много времени и сил.

Примечание  

Настройка дополнительного фактора проверки подлинности в BitLocker обеспечивает дополнительную защиту от взлома аппаратного доверенного платформенного модуля.

 

Сетевая разблокировка BitLocker

Сетевая разблокировка BitLocker упрощает управление компьютерами и серверами, защищенными BitLocker с применением доверенного платформенного модуля и ПИН-кода в среде домена. При перезагрузке компьютера, соединенного с проводной корпоративной сетью, сетевая разблокировка позволяет пропустить запрос на введение ПИН-кода. Блокировка томов операционной системы, защищенных BitLocker, автоматически снимается с помощью доверенного ключа, который предоставляется сервером служб развертывания Windows в качестве дополнительного способа проверки подлинности.

Для использования сетевой разблокировки также требуется настроить ПИН-код для компьютера. Если компьютер не подключен к сети, для его разблокировки необходимо ввести ПИН-код.

Сетевая разблокировка BitLocker имеет программные и аппаратные требования для клиентских компьютеров, служб развертывания Windows и контроллеров домена, которые должны быть выполнены, прежде чем вы сможете ее использовать.

При сетевой разблокировке используется два предохранителя: предохранитель доверенного платформенного модуля и предохранитель, предоставляемый сетью или ПИН-кодом, тогда как при автоматической разблокировке используется лишь один предохранитель, хранящийся в доверенном платформенном модуле. Если компьютер присоединяется к сети без предохранителя ключа, отображается запрос на ввод ПИН-кода. Если ПИН-код недоступен, то для разблокировки компьютера, который невозможно подключить к сети, потребуется ключ восстановления.

Дополнительные сведения см. в статье BitLocker: включение сетевой разблокировки.

Другие вопросы

Может ли отладчик ядра работать с BitLocker?

Да. При этом отладчик нужно включать до включения BitLocker. Заблаговременное включение отладчика обеспечивает правильность вычисления показателей состояния при запечатывании в доверенном платформенном модуле, что позволяет компьютеру корректно запускаться. Если нужно включить или выключить отладку при использовании BitLocker, сначала приостановите BitLocker, чтобы не дать компьютеру перейти в режим восстановления.

Как BitLocker работает с дампами памяти?

BitLocker содержит стек драйверов запоминающих устройств, который обеспечивает шифрование дампов памяти при включении BitLocker.

Поддерживает ли BitLocker смарт-карты для предзагрузочной проверки подлинности?

BitLocker не поддерживает смарт-карты для предзагрузочной проверки подлинности. Для поддержки смарт-карт во встроенном ПО отсутствует единый отраслевой стандарт, и в большинстве компьютеров поддержка смарт-карт во встроенном ПО не реализована либо распространяется только на определенные типы смарт-карт и устройств чтения. Отсутствие стандартизации делает слишком сложной задачу поддержки смарт-карт.

Можно ли использовать драйвер доверенного платформенного модуля, разработанный не Майкрософт?

Корпорация Майкрософт не поддерживает драйверы доверенного платформенного модуля сторонних разработчиков и настоятельно не рекомендует использовать их с BitLocker. Использование драйвера доверенного платформенного модуля, разработанного не Майкрософт, вместе с BitLocker может привести к ситуации, в которой BitLocker будет сообщать об отсутствии доверенного платформенного модуля на компьютере, и использование модуля с BitLocker будет невозможным.

Могут ли другие средства, управляющие основной загрузочной записью (MBR) или изменяющие ее, работать совместно с BitLocker?

Не рекомендуется изменять основную загрузочную запись (MBR) на компьютерах, где диски с операционной системой защищаются BitLocker, по соображениям безопасности, надежности и возможности поддержки продукта. Изменение основной загрузочной записи (MBR) может изменить среду безопасности и помешать обычному запуску компьютера, а также усложнить задачу по восстановлению поврежденной основной загрузочной записи MBR. Изменения MBR, внесенные не средствами Windows, могут перевести компьютер в режим восстановления или сделать загрузку абсолютно невозможной.

Почему при шифровании диска с операционной системой проверка системы завершается ошибкой?

Проверка системы позволяет убедиться, что встроенное ПО компьютера (BIOS или UEFI) совместимо с BitLocker, а доверенный платформенный модуль работает правильно. Проверка системы может завершаться ошибкой по следующим причинам:

  • встроенное ПО компьютера (BIOS или UEFI) не поддерживает чтение с USB-устройств флэш-памяти;

  • во встроенном ПО компьютера (BIOS или UEFI) или в меню загрузки не включено чтение с USB-устройств флэш-памяти;

  • в компьютер вставлено несколько USB-устройств флэш-памяти;

  • неправильно введен ПИН-код;

  • встроенное ПО компьютера (BIOS или UEFI) поддерживает только функциональные клавиши (F1–F10) для ввода чисел в предзагрузочной среде;

  • ключ запуска удален до завершения перезагрузки компьютера;

  • из-за неисправности доверенного платформенного модуля не удалось предоставить ключи.

Что делать, если не удается считать ключ восстановления с USB-устройства флэш-памяти?

Некоторые компьютеры не поддерживают чтение с USB-устройств флэш-памяти в предзагрузочной среде. Сначала проверьте параметры встроенного ПО BIOS или UEFI и параметры загрузки, чтобы убедиться, что включено использование USB-накопителей. Включите использование USB-накопителей в BIOS или UEFI, если оно не включено, и повторите чтение ключа восстановления с USB-устройства флэш-памяти. Если по-прежнему не удается считать ключ, то необходимо подключить жесткий диск в качестве диска с данными к другому компьютеру с операционной системой, чтобы считать ключ восстановления с USB-устройства флэш-памяти. Если USB-устройство флэш-памяти повреждено, то может понадобиться ввести пароль восстановления или использовать данные, необходимые для восстановления, резервная копия которых хранится в доменных службах Active Directory. Кроме того, если ключ восстановления используется в предзагрузочной среде, то убедитесь, что диск имеет файловую систему NTFS, FAT16 или FAT32.

Почему не удается сохранить ключ восстановления на USB-устройстве флэш-памяти?

Пункт меню Save to USB по умолчанию не отображается для съемных носителей. Если этот пункт недоступен, это значит, что системный администратор запретил использование ключей восстановления.

Почему не удается автоматически разблокировать диск?

Для автоматической разблокировки несъемных дисков с данными необходимо, чтобы диск с операционной системой также был защищен BitLocker. Если используется компьютер, где диск с операционной системой не защищается BitLocker, то диск автоматически разблокировать невозможно. Для съемных носителей с данными можно добавить автоматическую разблокировку, если щелкнуть диск правой кнопкой мыши в проводнике и выбрать команду Управление BitLocker. Этот съемный носитель можно разблокировать на других компьютерах, если ввести пароль или учетные данные смарт-карты, указанные при включении BitLocker.

Можно использовать BitLocker в безопасном режиме?

В безопасном режиме доступны ограниченные возможности BitLocker. Диски, защищенные BitLocker, можно разблокировать и расшифровывать, выбрав элемент Шифрование диска BitLocker на панели управления. В безопасном режиме параметры BitLocker невозможно открыть щелчком правой кнопкой мыши по значку диска.

Как заблокировать диск с данными?

Программа командной строки Manage-bde и команда –lock позволяют блокировать как съемные носители, так и встроенные диски с данными.

Примечание  

Перед блокировкой диска убедитесь, что на нем сохранены все данные. После блокировки диск станет недоступным.

 

Синтаксис команды:

manage-bde <driveletter> -lock

Помимо использования этой команды, диски с данными блокируются во время завершения работы или перезапуска операционной системы. Съемный носитель с данными, который отключается от компьютера, также автоматически блокируется.

Можно ли использовать BitLocker вместе со службой теневого копирования томов?

Да. Но теневые копии, созданные до включения BitLocker, автоматически удаляются, когда BitLocker включается для дисков с программным шифрованием. Если используется диск с аппаратным шифрованием, теневые копии сохраняются.

Поддерживает ли BitLocker виртуальные жесткие диски (VHD)?

BitLocker не поддерживается для загрузочных VHD, но поддерживается для VHD томов данных (например, тех, которые используются в кластерах) при работе в Windows 10, Windows 8.1, Windows 8, Windows Server 2012 или Windows Server 2012 R2.

Дополнительные сведения

 

 

technet.microsoft.com


Смотрите также