Что такое bitlocker windows 7


Скрытые возможности Windows. Как BitLocker поможет защитить данные?

По мнению специалистов, именно кража ноутбука является одной из основных проблем в сфере информационной безопасности (ИБ).

В отличие от других угроз ИБ, природа проблем «украденный ноутбук» или «украденная флешка» довольно примитивна. И если стоимость исчезнувших устройств редко превышает отметку в несколько тысяч американских долларов, то ценность сохраненной на них информации зачастую измеряется в миллионах.

По данным Dell и Ponemon Institute, только в американских аэропортах ежегодно пропадает 637 тысяч ноутбуков. А представьте сколько пропадает флешек, ведь они намного меньше, и выронить флешку случайно проще простого.

Когда пропадает ноутбук, принадлежащий топ-менеджеру крупной компании, ущерб от одной такой кражи может составить десятки миллионов долларов.



Как защитить себя и свою компанию?

Мы продолжаем цикл статей про безопасность Windows домена. В первой статье из цикла мы рассказали про настройку безопасного входа в домен, а во второй — про настройку безопасной передачи данных в почтовом клиенте:


  1. Как при помощи токена сделать Windows домен безопаснее? Часть 1.
  2. Как при помощи токена сделать Windows домен безопаснее? Часть 2.

В этой статье мы расскажем о настройке шифрования информации, хранящейся на жестком диске. Вы поймете, как сделать так, чтобы никто кроме вас не смог прочитать информацию, хранящуюся на вашем компьютере.

Мало кто знает, что в Windows есть встроенные инструменты, которые помогают безопасно хранить информацию. Рассмотрим один из них.

Наверняка, кто-то из вас слышал слово «BitLocker». Давайте разберемся, что же это такое.


Что такое BitLocker?

BitLocker (точное название BitLocker Drive Encryption) — это технология шифрования содержимого дисков компьютера, разработанная компанией Microsoft. Она впервые появилась в Windows Vista.

С помощью BitLocker можно было шифровать тома жестких дисков, но позже, уже в Windows 7 появилась похожая технология BitLocker To Go, которая предназначена для шифрования съемных дисков и флешек.

BitLocker является стандартным компонентом Windows Professional и серверных версий Windows, а значит в большинстве случаев корпоративного использования он уже доступен. В противном случае вам понадобится обновить лицензию Windows до Professional.


Как работает BitLocker?

Эта технология основывается на полном шифровании тома, выполняемом с использованием алгоритма AES (Advanced Encryption Standard). Ключи шифрования должны храниться безопасно и для этого в BitLocker есть несколько механизмов.

Самый простой, но одновременно и самый небезопасный метод — это пароль. Ключ получается из пароля каждый раз одинаковым образом, и соответственно, если кто-то узнает ваш пароль, то и ключ шифрования станет известен.

Чтобы не хранить ключ в открытом виде, его можно шифровать либо в TPM (Trusted Platform Module), либо на криптографическом токене или смарт-карте, поддерживающей алгоритм RSA 2048.

TPM — микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования.

Модуль TPM, как правило, установлен на материнской плате компьютера, однако, приобрести в России компьютер со встроенным модулем TPM весьма затруднительно, так как ввоз устройств без нотификации ФСБ в нашу страну запрещен.

Использование смарт-карты или токена для снятия блокировки диска является одним из самых безопасных способов, позволяющих контролировать, кто выполнил данный процесс и когда. Для снятия блокировки в таком случае требуется как сама смарт-карта, так и PIN-код к ней.

Схема работы BitLocker:


  1. При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома — FVEK (full volume encryption key). Им шифруется содержимое каждого сектора. Ключ FVEK хранится в строжайшей секретности.
  2. FVEK шифруется при помощи ключа VMK (volume master key). Ключ FVEK (зашифрованный ключом VMK) хранится на диске среди метаданных тома. При этом он никогда не должен попадать на диск в расшифрованном виде.
  3. Сам VMK тоже шифруется. Способ его шифрования выбирает пользователь.
  4. Ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится на криптографической смарт-карте или токене. Аналогичным образом это происходит и с TPM.
    К слову, ключ шифрования системного диска в BitLocker нельзя защитить с помощью смарт-карты или токена. Это связано с тем, что для доступа к смарт-картам и токенам используются библиотеки от вендора, а до загрузки ОС, они, понятное дело, не доступны.
    Если нет TPM, то BitLocker предлагает сохранить ключ системного раздела на USB-флешке, а это, конечно, не самая лучшая идея. Если в вашей системе нет TPM, то мы не рекомендуем шифровать системные диски.
    И вообще шифрование системного диска является плохой идеей. При правильной настройке все важные данные хранятся отдельно от системных. Это как минимум удобнее с точки зрения их резервного копирования. Плюс шифрование системных файлов снижает производительность системы в целом, а работа незашифрованного системного диска с зашифрованными файлами происходит без потери скорости.
  5. Ключи шифрования других несистемных и съемных дисков можно защитить с помощью смарт-карты или токена, а также TPM.
    Если ни модуля TPM ни смарт-карты нет, то вместо SRK для шифрования ключа VMK используется ключ сгенерированный на основе введенного вами пароля.

При запуске с зашифрованного загрузочного диска система опрашивает все возможные хранилища ключей — проверяет наличие TPM, проверяет USB-порты или, если необходимо, запрашивает пользователя (что называется восстановлением). Обнаружение хранилища ключа позволяет Windows расшифровать ключ VMK, которым расшифровывается ключ FVEK, уже которым расшифровываются данные на диске.


Каждый сектор тома шифруется отдельно, при этом часть ключа шифрования определяется номером этого сектора. В результате два сектора, содержащие одинаковые незашифрованные данные, будут в зашифрованном виде выглядеть по-разному, что сильно затруднит процесс определения ключей шифрования путем записи и расшифровки заранее известных данных.

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления.

Для аварийных случаев (пользователь потерял токен, забыл его PIN-код и т.д.) BitLocker на последнем шаге предлагает создать ключ восстановления. Отказ от его создания в системе не предусмотрен.


Как включить шифрование данных на жестком диске?

Прежде чем приступить к процессу шифрованию томов на жестком диске, важно учесть, что эта процедура займет какое-то время. Ее продолжительность будет зависеть от количества информации на жестком диске.

Если в процессе шифрования или расшифровки компьютер выключится или перейдет в режим гибернации, то эти процессы возобновятся с места остановки при следующем запуске Windows.

Даже в процессе шифрования системой Windows можно будет пользоваться, но, вряд ли она сможет порадовать вас своей производительностью. В итоге, после шифрования, производительность дисков снижается примерно на 10%.

Если BitLocker доступен в вашей системе, то при клике правой кнопкой на названии диска, который необходимо зашифровать, в открывшемся меню отобразится пункт Turn on BitLocker.

На серверных версиях Windows необходимо добавить роль BitLocker Drive Encryption.

Приступим к настройке шифрования несистемного тома и защитим ключ шифрования с помощью криптографического токена.

Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI.


I. Подготовим Рутокен ЭЦП PKI к работе.

В большинстве нормально настроенных системах Windows, после первого подключения Рутокен ЭЦП PKI автоматически загружается и устанавливается специальная библиотека для работы с токенами производства компании «Актив» — Aktiv Rutoken minidriver.

Процесс установки такой библиотеки выглядит следующим образом.


Наличие библиотеки Aktiv Rutoken minidriver можно проверить через Диспетчер устройств.


Если загрузки и установки библиотеки по каким-то причинам не произошло, то следует установить комплект Драйверы Рутокен для Windows.

II. Зашифруем данные на диске с помощью BitLocker.

Щелкнем по названию диска и выберем пункт Turn on BitLocker.


Как мы говорили ранее, для защиты ключа шифрования диска будем использовать токен.
Важно понимать, что для использования токена или смарт-карты в BitLocker, на них должны находиться ключи RSA 2048 и сертификат.

Если вы пользуетесь службой Certificate Authority в домене Windows, то в шаблоне сертификата должна присутствовать область применения сертификата «Disk Encryption» (подробнее про настройку Certificate Authority в первой части нашего цикла статей про безопасность Windows домена).

Если у вас нет домена или вы не можете изменить политику выдачи сертификатов, то можно воспользоваться запасным путем, с помощью самоподписанного сертификата, подробно про то как выписать самому себе самоподписанный сертификат описано здесь.
Теперь установим соответствующий флажок.


На следующем шаге выберем способ сохранения ключа восстановления (рекомендуем выбрать Print the recovery key).


Бумажку с напечатанным ключом восстановления необходимо хранить в безопасном месте, лучше в сейфе.


Далее выберем, какой режим шифрования будет использоваться, для дисков, уже содержащих какие-то ценные данные (рекомендуется выбрать второй вариант).


На следующем этапе запустим процесс шифрования диска. После завершения этого процесса может потребоваться перезагрузить систему.

При включении шифрования иконка зашифрованного диска изменится.


И теперь, когда мы попытаемся открыть этот диск, система попросит вставить токен и ввести его PIN-код.


Развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструмента WMI или сценариев Windows PowerShell. Способ реализации сценариев будет зависеть от среды. Команды для BitLocker в Windows PowerShell описаны в статье.


Как восстановить данные, зашифрованные BitLocker, если токен потеряли?

Если вы хотите открыть зашифрованные данные в Windows

Для этого понадобится ключ восстановления, который мы распечатали ранее. Просто вводим его в соответствующее поле и зашифрованный раздел откроется.


Если вы хотите открыть зашифрованные данные в системах GNU/Linux и Mac OS X

Для этого необходима утилита DisLocker и ключ восстановления.

Утилита DisLocker работает в двух режимах:


  • FILE — весь раздел, зашифрованный BitLocker, расшифровывается в файл.
  • FUSE — расшифровывается только тот блок, к которому обращается система.

Для примера мы будем использовать операционную систему Linux и режим утилиты FUSE.

В последних версиях распространенных дистрибутивов Linux, пакет dislocker уже входит в состав дистрибутива, например, в Ubuntu, начиная с версии 16.10.

Если пакета dislocker по каким-то причинам не оказалось, тогда нужно скачать утилиту DisLocker и скомпилировать ее:

tar -xvjf dislocker.tar.gz 

Откроем файл INSTALL.TXT и проверим, какие пакеты нам необходимо доустановить.

В нашем случае необходимо доустановим пакет libfuse-dev:

sudo apt-get install libfuse-dev 

Приступим к сборке пакета. Перейдем в папку src и воспользуемся командами make и make install:

cd src/ make make install 

Когда все скомпилировалось (или вы установили пакет) приступим к настройке.

Перейдем в папку mnt и создадим в ней две папки:


  • Encrypted-partition— для зашифрованного раздела;
  • Decrypted-partition — для расшифрованного раздела.
cd /mnt mkdir Encrypted-partition mkdir Decrypted-partition 

Найдем зашифрованный раздел. Расшифруем его с помощью утилиты и переместим его в папку Encrypted-partition:

dislocker -r -V /dev/sda5 -p recovery_key /mnt/Encrypted-partition</b>(вместо recovery_key подставьте свой ключ восстановления) 

Выведем на экран список файлов, находящихся в папке Encrypted-partition:

ls Encrypted-partition/ 

Введем команду для монтирования раздела:

mount -o loop Driveq/dislocker-file Decrypted-partition/ 

Для просмотра расшифрованного раздела перейдем в папку Encrypted-partition.


Резюмируем

Включить шифрование тома при помощи BitLocker очень просто. Все это делается без особых усилий и бесплатно (при условии наличия профессиональной или серверной версии Windows, конечно).

Для защиты ключа шифрования, которым шифруется диск, можно использовать криптографический токен или смарт-карту, что существенно повышает уровень безопасности.

Как включить или отключить Bitlocker в Windows

Никого совсем не удивляет тот факт, что на персональном компьютере может храниться сугубо личная информация или же корпоративные данные, представляющие повышенную ценность. Нежелательно, если такие сведения попадут в руки сторонних лиц, которые могут ими воспользоваться, провоцируя серьёзные проблемы у бывшего владельца ПК.

В зависимости от обстоятельств Bitlocker можно активировать и деактивировать.

Именно по этой причине многие пользователи выражают желание предпринять какие-то действия, ориентированные на ограниченный доступ ко всем файлам, сохраняющимся на компьютере. Такая процедура, действительно, существует. Проделав определённые манипуляции, никто из посторонних, не зная пароль или ключ к его восстановлению, не сможет получить доступ к документам.

Защитить важную информацию от ознакомления сторонними лицами удаётся, если провести шифрование диска Bitlocker. Такие действия помогают обеспечить полную конфиденциальность документам не только на конкретном ПК, но и в том случае, когда кем-то жёсткий диск извлечён и вставлен в другой персональный компьютер.

Алгоритм включения и выключения функции

Шифрование диска Bitlocker осуществляется на Windows 7, 8 и 10, но только не всех версий. Предполагается, что на материнской плате, которой оснащён конкретный компьютер, на котором пользователь желает провести шифрование, должен наличествовать модуль TPM.

СОВЕТ. Не расстраивайтесь, если вы точно знаете, что такого специального модуля на вашей материнке нет. Существуют некоторые хитрости, позволяющие «игнорировать» такое требование, соответственно, устанавливать и без такого модуля. 

Прежде чем приступить к процессу шифрования всех файлов, важно учесть, что эта процедура достаточно продолжительная. Точное количество времени назвать предварительно затруднительно. Всё зависит от того, какой объём информации имеется на жёстком диске. В процессе шифрования Windows 10 будет продолжать работать, но вряд ли своей работоспособностью сможет порадовать вас, поскольку показатель производительности будет существенно снижен.

Включение функции

Если на вашем компьютере установлен Windows 10, при этом вы испытываете активное желание включить шифрование данных, воспользуйтесь нашими советами, чтобы вам не только всё удалось, но и путь реализации такого желания не был затруднительным. Первоначально найдите на своей клавиатуре клавишу «Win», иногда она сопровождается пиктограммой Windows, зажмите её, одновременно с нею зажмите клавишу «R». Зажатие этих двух клавиш одновременно вызывает открытие окна «Выполнить».

В открывшемся окне вы обнаружите пустую строку, в которую вам потребуется ввести «gpedit.msc». После нажатия на кнопку «Ok», откроется новое окно «Редактор локальной групповой политики». В этом окне нам предстоит проделать небольшой путь.

С левой стороны окна найдите и сразу же кликните по строке «Конфигурация компьютера», в открывшемся подменю найдите «Административные шаблоны», а затем в очередном открывшемся подменю перейдите на параметр, расположенный на первом месте в списке и именуемый «Компоненты Windows».

Теперь переведите свой взгляд на правую сторону окна, в нём найдите «Шифрование диска Bitlocker», двойным щелчком клавиши мышки активируйте его. Теперь откроется новый список, в котором вашей очередной целью должна стать строка «Диски операционной системы». Кликните также и по этой строке, вам остаётся совершить ещё один переход, чтобы приблизиться к окну, где будет осуществляться непосредственная настройка Bitlocker, позволяющая его включить, чего именно вам так хочется.

Найдите строку «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске», раскройте этот параметр двойным щелчком. В открытом окне вы найдёте желанное слово «Включить», возле которого рядом обнаружите чекбокс, в нём вам нужно поставить специфическую отметку в виде галочки своего согласия.

Чуть ниже в этом окне находится подраздел «Платформы», в нём вам нужно установить галочку в чекбоксе возле предложения использования BitLocker без специального модуля. Это очень важно, особенно если в вашем Windows 10 нет модуля TPM.

Настройка желаемой функции в этом окне завершается, поэтому его можно закрыть. Теперь наведите курсор мышки на значок «Windows», только кликните по нему правой клавишей, что позволит появиться дополнительному подменю. В нём вы найдёте строку «Панель управления», перейдите на неё, а затем на следующую строку «Шифрование диска Bitlocker».

Не забудьте обозначить, где вы желаете осуществить шифрование. Это можно проделать и на жёстком, и на съёмном дисках. После выбора желаемого объекта нажмите на клавишу «Включить Bitlocker».

Теперь Windows 10 запустит автоматический процесс, изредка привлекая ваше внимание, предлагая вам конкретизировать ваши желания. Безусловно, лучше всего перед выполнением такого процесса сделать резервную копию. В противном случае при потере пароля и ключа к нему даже владелец ПК не сможет восстановить информацию.

Далее начнётся процесс подготовки диска к последующему шифрованию. Во время выполнения этого процесса не разрешается выключать компьютер, поскольку таким действием можно нанести серьёзный вред операционной системе. После такого сбоя вы просто не сможете запустить ваш Windows 10, соответственно, вместо шифрования вам предстоит установить новую операционную систему, потратив лишнее время.

Как только подготовка диска успешно завершается, начинается непосредственно сама настройка диска к шифрованию. Вам будет предложено ввести пароль, обеспечивающий доступ впоследствии к зашифрованным файлам. Также будет предложено придумать и ввести ключ восстановления. Оба этих важных компонента лучше всего сохранить в надёжном месте, лучше всего распечатать. Очень глупо хранить пароль и ключ к восстановлению на самом ПК.

В процессе шифрования система может поинтересоваться у вас, какую часть конкретно вы желаете зашифровать. Лучше всего такой процедуре подвергнуть полностью всё пространство диска, хотя имеется вариант зашифровать только занятое пространство.

Остаётся выбрать такой вариант действий, как «Новый режим шифрования», а после этого запустить автоматическую проверку операционной системы BitLocker. Далее система благополучно продолжит процесс, после чего к вам поступит предложение перезагрузить ваш ПК. Безусловно, выполните это требование, осуществите перезагрузку.

После очередного запуска Windows 10 вы убедитесь в том, что доступ к документам без введения пароля будет невозможен. Процесс шифрования будет продолжаться, контролировать его можно при нажатии на значок BitLocker, располагающийся на панели уведомлений.

Отключение функции

Если по каким-либо причинам файлы на вашем компьютере перестали представлять повышенную важность, а вам не очень нравится каждый раз вводить пароль, чтобы получить к ним доступ, тогда предлагаем вам просто отключить функцию шифрования.

Чтобы выполнить такие действия, перейдите в панель уведомлений, найдите там значок BitLocker, кликните по нему. В нижней части открытого окна вы найдёте строку «Управление BitLocker», нажмите на неё.

Теперь система предложит вам выбрать, какое действие для вас является предпочтительным:

  • провести архивацию ключа восстановления;
  • изменить пароль доступа к зашифрованным файлам;
  • удалить ранее установленный пароль;
  • отключить BitLocker.

Безусловно, если вы решили отключить BitLocker, вам следует выбрать последний предлагаемый вариант. На экране сразу возникнет новое окно, в котором система пожелает убедиться в том, что вы действительно желаете отключить функцию шифрования.

ВНИМАНИЕ. Как только вы нажмёте на кнопку «Отключить BitLocker», сразу начнётся процесс дешифровки. К сожалению, и этот процесс не характеризуется высокой стремительностью, поэтому вам однозначно придётся настроиться на некоторое время, в ходе которого вам просто придётся ожидать. 

Конечно, если вам нужно пользоваться в этот момент компьютером, вы можете себе это позволить, никакого категорического запрета на это нет. Однако следует себя настроить на то, что производительность ПК в этот момент может быть крайне низкой. Понять причину такой медлительности несложно, ведь операционной системе приходится разблокировать огромный объём информации.

Особенности Bitlocker в Windows 7

Несмотря на прекращение поддержки этой версии системы, многие продолжают её использовать. При этом возникает много вопросов по процессу включения функции шифрования в Windows 7.

На самом деле этот процесс почти не отличается от описанного выше – он одинаков для всех версий Windows – «семёрки», «восьмёрки», «десятки». Но в «семёрке» эта функция реализована только в версиях «Расширенная», «Корпоративная», и «Профессиональная». В «Домашней», например, её просто нет и нет смысла её там искать.

Итак, имея желание зашифровать или дешифровать файлы на компьютере, достаточно ознакомиться с нашими рекомендациями, после этого без поспешности выполнять каждый шаг обозначенного алгоритма, а по завершении порадоваться достигнутому результату.

что такое и как его разблокировать?

С выходом операционной системы Windows 7 многие юзеры столкнулись с тем, что в ней появилась несколько непонятная служба BitLocker. Что такое BitLocker, многим остается только догадываться. Попробуем прояснить ситуацию на конкретных примерах. Попутно рассмотрим вопросы, касающиеся того, насколько целесообразным является задействование этого компонента или его полное отключение.

BitLocker: что такое BitLocker, зачем нужна эта служба

Если разобраться, BitLocker представляет собой универсальное и полностью автоматизированное средство шифрования данных, хранящихся на винчестере. Что такое BitLocker на жестком диске? Да просто служба, которая без участия пользователя защищает файлы и папки путем их шифрования и создания специального текстового ключа, обеспечивающего доступ к документам.

Когда пользователь работает в системе под своей учетной записью, он может даже не догадываться о том, что данные зашифрованы, ведь информация отображается в читабельном виде, и доступ к файлам и папкам не заблокирован. Иными словами, такое средство защиты рассчитано только на те ситуации, когда к компьютерному терминалу производится несанкционированный доступ, например, при попытке вмешательства извне (интернет-атаки).

Вопросы паролей и криптографии

Тем не менее, если говорить о том, что такое BitLocker Windows 7 или систем рангом выше, стоит отметить и тот неприятный факт, что при утере пароля на вход многие юзеры не то что не могут войти в систему, а и выполнить некоторые действия по просмотру документов, ранее доступных, по копированию, перемещению и т. д.

Но и это еще не все. Если разбираться с вопросом, что такое BitLocker Windows 8 или 10, то особых различий нет, разве что в них более усовершенствованная технология криптографии. Тут проблема явно в другом. Дело в том, что сама служба способна работать в двух режимах, сохраняя ключи дешифрации либо на жестком диске, либо на съемном USB-носителе.

Отсюда напрашивается простейший вывод: при наличии сохраненного ключа на винчестере пользователь получает доступ ко всей информации, на нем хранящейся, без проблем. А вот когда ключ сохраняется на флэшке, проблема куда серьезнее. Зашифрованный диск или раздел увидеть, в принципе, можно, но считать информацию – никак.

Кроме того, если уж и говорить том, что такое BitLocker Windows 10 или систем более ранних версий, нельзя не отметить тот факт, что служба интегрируется в контекстные меню любого типа, вызываемые правым кликом, что многих пользователей просто раздражает. Но не будем забегать вперед, а рассмотрим все основные аспекты, связанные с работой этого компонента и целесообразностью его применения или деактивации.

Методика шифрования дисков и съемных носителей

Самое странное состоит в том, что в разных системах и их модификациях служба BitLocker может находиться по умолчанию и в активном, и в пассивном режиме. В «семерке» она включена по умолчанию, в восьмой и десятой версиях иногда требуется ручное включение.

Что касается шифрования, тут ничего особо нового не изобретено. Как правило, используется все та же технология AES на основе открытого ключа, что чаще всего применяется в корпоративных сетях. Поэтому, если ваш компьютерный терминал с соответствующей операционной системой на борту подключен к локальной сети, можете быть уверены, что применяемая политика безопасности и защиты данных подразумевает активацию этой службы. Не обладая правами админа (даже при условии запуска изменения настроек от имени администратора), вы ничего не сможете изменить.

Включение BitLocker, если служба деактивирована

Прежде чем решать вопрос, связанный с BitLocker (как отключить службу, как убрать ее команды из контекстного меню), посмотрим на включение и настройку, тем более что шаги по деактивации нужно будет производить в обратном порядке.

Включение шифрования простейшим способом производится из «Панели управления» путем выбора раздела шифрования диска. Этот способ применим только в том случае, если сохранение ключа не должно быть произведено на съемный носитель.

В том случае, если заблокированным является несъемный носитель, придется найти ответ на другой вопрос о службе BitLocker: как отключить на флешку данный компонент? Делается это достаточно просто.

При условии, что ключ находится именно на съемном носителе, для расшифровки дисков и дисковых разделов сначала нужно вставить его в соответствующий порт (разъем), а затем перейти к разделу системы безопасности «Панели управления». После этого находим пункт шифрования BitLocker, а затем смотрим на диски и носители, на которых установлена защита. В самом низу будет показана гиперссылка отключения шифрования, на которую и нужно нажать. При условии распознавания ключа активируется процесс дешифрования. Остается только дождаться окончания его выполнения.

Проблемы настройки компонентов шифровальщика

Что касается настройки, тут без головной боли не обойтись. Во-первых, система предлагает резервировать не менее 1,5 Гб под свои нужды. Во-вторых, нужно настраивать разрешения файловой системы NTFS, уменьшать размер тома и т. д. Чтобы не заниматься такими вещами, лучше сразу отключить данный компонент, ведь большинству пользователей он просто не нужен. Даже все те, у кого эта служба задейстована в настройках по умолчанию, тоже не всегда знают, что с ней делать, нужна ли она вообще. А зря. Защитить данные на локальном компьютере с ее помощью можно даже при условии отсутствия антивирусного ПО.

BitLocker: как отключить. Начальный этап

Опять же используем ранее указанный пункт в «Панели управления». В зависимости от модификации системы названия полей отключения службы могут изменяться. На выбранном диске может стоять строка приостановки защиты или прямое указание на отключение BitLocker.

Суть не в том. Тут стоит обратить внимание и на то, что потребуется полностью отключить обновление BIOS и загрузочных файлов компьютерной системы. В противном случае процесс дешифровки может занять достаточно много времени.

Контекстное меню

Это только одна сторона медали, связанная со службой BitLocker. Что такое BitLocker, наверное, уже понятно. Но оборотная сторона состоит еще и в том, чтобы изолировать дополнительные меню от присутствия в них ссылок на эту службу.

Для этого посмотрим еще раз на BitLocker. Как убрать из контекстного меню все ссылки на службу? Элементарно! В «Проводнике» при выделении нужного файла или папки используем раздел сервиса и редактирование соответствующего контекстного меню, переходим к настройкам, затем используем настройки команд и упорядочиваем их.

Далее указываем значение «Панели управления», находим в списке соответствующие элементы панелей и команд, выбираем необходимую команду и просто удаляем ее.

После этого в редакторе реестра входим в ветку HKCR, где находим раздел ROOTDirectoryShell, разворачиваем его и удаляем нужный элемент нажатием клавиши Del или командой удаления из меню правого клика. Собственно, вот и последнее, что касается компонента BitLocker. Как отключить его, думается, уже понятно. Но не стоит обольщаться. Все равно эта служба будет работать в фоновом режиме (так, на всякий случай), хотите вы этого или нет.

Вместо послесловия

Остается добавить, что это далеко не все, что можно сказать о системном компоненте шифрования BitLocker. Что такое BitLocker, разобрались, как его отключить и удалить команды меню – тоже. Вопрос в другом: стоит ли отключать BitLocker? Тут можно дать только один совет: в корпоративной локальной сети деактивировать этот компонент не стоит вообще. Но если это домашний компьютерный терминал, почему бы и нет?

Как включить Bitlocker на Windows 7 Professional?

Все современные пользователи ПК серьезно озабочены безопасностью своего устройства. И речь идет не только о защите от вирусов и шпионских программ при работе в Интернете, но и о сохранности данных, размещенных на жестких дисках. Если вы решите купить Windows 7 Professional и установить в качестве основной системы, то можно ли будет как-то обезопасить свои данные? Да – для этого в системе предусмотрено шифрование диска Bitlocker. Благодаря данному модулю никто не сможет получить доступ к файлам, не имея специального ключа. Поэтому даже при загрузке файлов посторонними лицами они ничего не смогут добиться. Функция будет также полезна при использовании внешних жестких дисков, которые подключаются к сторонним ПК. А как включить эту функцию?

Порядок включения Bitlocker

Прежде всего, важно отметить несколько нюансов. Модуль шифрования доступен только на системах, начиная от Win 7 (и не для базовых редакций). При этом материнская плата ПК должна иметь модуль TPM, который и необходим для шифрования. Однако последнее требование можно обойти, используя альтернативные подходы. Также учтите, что процесс может потребовать достаточно много времени. Но вернемся к основному функционалу. Итак, как включить Bitlocker Windows 7 Professional:

  • запустите диалоговое окно «Выполнить», нажав Win + R или найдя соответствующее меню в «Пуске»;
  • введите в пустую строку «gpedit.msc» и нажмите Ок, вы попадете в редактор групповых политик;
  • в новом окне в левой части найдите строку «Конфигурация компьютера» и раскройте ее;
  • в подменю найдите пункт «Административные шаблоны» и также откройте его;
  • в новом меню перейдите к пункту «Компоненты Windows»;
  • отыщите папку «Шифрование диска Bitlocker» и раскройте ее;
  • в новом подменю выделите «Диски операционных систем» и активируйте.

Вы попадаете в меню, где можно задать параметры запуска и настроить шифрование. Найдите в этом меню пункт «Включить» и поставьте напротив него галочку. Чуть ниже в дополнительном меню с настройками вы можете поставить галочку напротив функции запуска Bitlocker без модуля TPM, о чем упоминалось выше. Сделайте это, если ваша материнская плата не имеет соответствующего модуля.

Закройте данное окно и перейдите в «Панель управления». Теперь в ней появится новый пункт, который и отвечает за включение Bitlocker в Windows 7 Professional. Перейдите в него и выберите жесткий диск, на котором вы хотите активировать шифрование. После этого запустится процесс настройки. Внимательно следите за ним и подтверждайте действия, чтобы обеспечить максимальную точность. После вам будет предоставлен пароль для получения доступа к зашифрованным файлам.

Обязательно проследите, чтобы процесс успешно завершился без сбоев в системе. Иначе велик риск, что вам придется переустанавливать всю ОС, так как у вас попросту не будет доступа к закрытым данным.

BitLocker (Windows10) - Microsoft 365 Security

  • Чтение занимает 6 мин

В этой статье

Относится к:Applies to

В этой статье представлен общий обзор BitLocker, включая список требований к системе, а также сведения об устаревших функциях и практическом применении.This topic provides a high-level overview of BitLocker, including a list of system requirements, practical applications, and deprecated features.

Обзор BitLockerBitLocker overview

Шифрование диска BitLocker — это функция защиты данных, которая интегрируется в операционную систему и предотвращает угрозы хищения данных или раскрытия информации на потерянных, украденных или неправильно выведенных из эксплуатации компьютерах.BitLocker Drive Encryption is a data protection feature that integrates with the operating system and addresses the threats of data theft or exposure from lost, stolen, or inappropriately decommissioned computers.

BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или выше.BitLocker provides the most protection when used with a Trusted Platform Module (TPM) version 1.2 or later. Доверенный платформенный модуль — это аппаратный компонент, который производители устанавливают на многих новых компьютерах.The TPM is a hardware component installed in many newer computers by the computer manufacturers. Совместно с BitLocker он обеспечивает защиту данных пользователей и предотвращает несанкционированный доступ к компьютеру, пока система находится вне сети.It works with BitLocker to help protect user data and to ensure that a computer has not been tampered with while the system was offline.

На компьютерах без доверенного платформенного модуля версии 1.2 или более поздней все равно можно зашифровать диск операционной системы Windows с помощью BitLocker.On computers that do not have a TPM version 1.2 or later, you can still use BitLocker to encrypt the Windows operating system drive. Но при такой реализации пользователь должен вставить USB-накопитель с ключом запуска, чтобы запустить компьютер или вывести его из режима гибернации.However, this implementation will require the user to insert a USB startup key to start the computer or resume from hibernation. В Windows 8 и более поздних версий вы можете с помощью пароля защитить том операционной системы на компьютере без доверенного платформенного модуля.Starting with Windows 8, you can use an operating system volume password to protect the operating system volume on a computer without TPM. Ни один из этих вариантов не обеспечивает проверку целостности системы перед запуском, которая возможна при использовании BitLocker вместе с доверенным платформенным модулем.Both options do not provide the pre-startup system integrity verification offered by BitLocker with a TPM.

В дополнение к возможностям доверенного платформенного модуля компонент BitLocker позволяет блокировать обычный процесс запуска до тех пор, пока пользователь не введет ПИН-код или не вставит съемное устройство (например, USB-накопитель) с ключом запуска.In addition to the TPM, BitLocker offers the option to lock the normal startup process until the user supplies a personal identification number (PIN) or inserts a removable device, such as a USB flash drive, that contains a startup key. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и предотвращают запуск компьютера или его выведение из режима гибернации, если не указан правильный ПИН-код или не предоставлен ключ запуска.These additional security measures provide multifactor authentication and assurance that the computer will not start or resume from hibernation until the correct PIN or startup key is presented.

Практическое применениеPractical applications

Данные на потерянном или украденном компьютере уязвимы к несанкционированному доступу в результате программной атаки или передачи жесткого диска на другой компьютер.Data on a lost or stolen computer is vulnerable to unauthorized access, either by running a software-attack tool against it or by transferring the computer's hard disk to a different computer. BitLocker помогает предотвратить несанкционированный доступ к данным, усиливая защиту файлов и системы.BitLocker helps mitigate unauthorized data access by enhancing file and system protections. Кроме того, BitLocker помогает сделать данные недоступными при выводе из эксплуатации защищенных при помощи этого компонента компьютеров или передаче таких компьютеров другим пользователям.BitLocker also helps render data inaccessible when BitLocker-protected computers are decommissioned or recycled.

В средствах удаленного администрирования сервера есть еще два инструмента, с помощью которых можно управлять BitLocker.There are two additional tools in the Remote Server Administration Tools, which you can use to manage BitLocker.

  • Средство просмотра паролей восстановления BitLocker.BitLocker Recovery Password Viewer. Средство просмотра паролей восстановления BitLocker позволяет находить и просматривать пароли восстановления для шифрования дисков BitLocker, резервные копии которых созданы в доменных службах Active Directory (AD DS).The BitLocker Recovery Password Viewer enables you to locate and view BitLocker Drive Encryption recovery passwords that have been backed up to Active Directory Domain Services (AD DS). С помощью этого средства можно восстанавливать данные на диске, зашифрованном с помощью BitLocker.You can use this tool to help recover data that is stored on a drive that has been encrypted by using BitLocker. Средство просмотра паролей восстановления BitLocker — дополнение к оснастке "Пользователи и компьютеры Active Directory" для консоли управления (MMC).The BitLocker Recovery Password Viewer tool is an extension for the Active Directory Users and Computers Microsoft Management Console (MMC) snap-in. С помощью этого средства можно изучить диалоговое окно Свойства объекта-компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker.By using this tool, you can examine a computer object's Properties dialog box to view the corresponding BitLocker recovery passwords. Кроме того, вы можете щелкнуть контейнер домена правой кнопкой мыши, а затем искать пароль восстановления BitLocker на всех доменах в лесу Active Directory.Additionally, you can right-click a domain container and then search for a BitLocker recovery password across all the domains in the Active Directory forest. Просматривать пароли восстановления может администратор домена или пользователь, которому этот администратор делегировал соответствующие разрешения.To view recovery passwords, you must be a domain administrator, or you must have been delegated permissions by a domain administrator.

  • Средства шифрования диска BitLocker.BitLocker Drive Encryption Tools. В средства шифрования диска BitLocker входят программы командной строки manage-bde и repair-bde, а также командлеты Windows PowerShell для BitLocker.BitLocker Drive Encryption Tools include the command-line tools, manage-bde and repair-bde, and the BitLocker cmdlets for Windows PowerShell. Как manage-bde, так и командлеты для BitLocker позволяют решить любую задачу, выполнимую с помощью панели управления BitLocker. Кроме того, они подойдут для автоматического развертывания и других сценариев, в которых применяются сценарии.Both manage-bde and the BitLocker cmdlets can be used to perform any task that can be accomplished through the BitLocker control panel, and they are appropriate to use for automated deployments and other scripting scenarios. Программа командной строки repair-bde предназначена для аварийного восстановления в тех случаях, когда защищенный с помощью BitLocker диск не удается разблокировать обычным способом или с помощью агента восстановления.Repair-bde is provided for disaster recovery scenarios in which a BitLocker protected drive cannot be unlocked normally or by using the recovery console.

Новые и измененные функцииNew and changed functionality

Чтобы узнать о новых возможностях BitLocker для Windows 10, например о поддержке алгоритма шифрования XTS-AES, ознакомьтесь с разделом BitLocker в разделе "что нового в Windows 10".To find out what's new in BitLocker for Windows 10, such as support for the XTS-AES encryption algorithm, see the BitLocker section in "What's new in Windows 10."

Системные требованияSystem requirements

Требования BitLocker к аппаратному обеспечениюBitLocker has the following hardware requirements:

Чтобы компонент BitLocker мог использовать проверку целостности системы, которая выполняется с помощью доверенного платформенного модуля (TPM), на компьютере должен быть установлен TPM 1.2 или более поздней версии.For BitLocker to use the system integrity check provided by a Trusted Platform Module (TPM), the computer must have TPM 1.2 or later. Если на вашем компьютере не установлен доверенный платформенный модуль, то для включения BitLocker необходимо сохранить ключ запуска на съемном устройстве, например USB-устройстве флэш-памяти.If your computer does not have a TPM, enabling BitLocker requires that you save a startup key on a removable device, such as a USB flash drive.

На компьютере с TPM также должно быть встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG.A computer with a TPM must also have a Trusted Computing Group (TCG)-compliant BIOS or UEFI firmware. Встроенное ПО BIOS или UEFI устанавливает цепочку сертификатов перед запуском операционной системы и должно предусматривать поддержку метода SRTM (Static Root of Trust Measurement), описанного в спецификации TCG.The BIOS or UEFI firmware establishes a chain of trust for the pre-operating system startup, and it must include support for TCG-specified Static Root of Trust Measurement. Для компьютера без TPM не требуется встроенное ПО, отвечающее стандартам организации TCG.A computer without a TPM does not require TCG-compliant firmware.

Встроенное ПО BIOS или UEFI системы (для компьютеров с TPM и без него) должно поддерживать класс запоминающих устройств для USB, а также считывание небольших файлов с USB-устройства флэш-памяти в среде до запуска операционной системы.The system BIOS or UEFI firmware (for TPM and non-TPM computers) must support the USB mass storage device class, including reading small files on a USB flash drive in the pre-operating system environment.

Примечание

Доверенный платформенный модуль 2,0 не поддерживается в режимах Legacy и CSM в BIOS.TPM 2.0 is not supported in Legacy and CSM Modes of the BIOS. Устройства с доверенным платформенным модулем 2,0 должны иметь режим BIOS, настроенный как собственный UEFI.Devices with TPM 2.0 must have their BIOS mode configured as Native UEFI only. Параметры модуля поддержки Legacy и совместимости (CSM) должны быть отключены.The Legacy and Compatibility Support Module (CSM) options must be disabled. Для дополнительной защиты включите функцию безопасной загрузки.For added security Enable the Secure Boot feature.

Установленная операционная система на оборудовании в устаревшем режиме будет прерывать загрузку операционной системы при смене режима BIOS на UEFI.Installed Operating System on hardware in legacy mode will stop the OS from booting when the BIOS mode is changed to UEFI. Используйте средство MBR2GPT перед изменением режима BIOS, чтобы подготовить операционную систему и диск для поддержки UEFI.Use the tool MBR2GPT before changing the BIOS mode which will prepare the OS and the disk to support UEFI.

Жесткий диск должен быть разбит как минимум на два диска.The hard disk must be partitioned with at least two drives:

  • Диск операционной системы (или загрузочный диск), который содержит операционную систему и ее вспомогательные файлы.The operating system drive (or boot drive) contains the operating system and its support files. Он должен быть отформатирован с использованием файловой системы NTFS.It must be formatted with the NTFS file system.
  • Системный диск, который содержит файлы, необходимые для загрузки Windows после того, как встроенное ПО подготовит системное оборудование.The system drive contains the files that are needed to load Windows after the firmware has prepared the system hardware. На этом диске не включается BitLocker.BitLocker is not enabled on this drive. Чтобы работал компонент BitLocker, системный диск не должен быть диском операционной системы. Кроме того, он должен быть отформатирован с использованием файловой системы FAT32 на компьютерах с UEFI (или с использованием файловой системы NTFS на компьютерах с BIOS).For BitLocker to work, the system drive must not be encrypted, must differ from the operating system drive, and must be formatted with the FAT32 file system on computers that use UEFI-based firmware or with the NTFS file system on computers that use BIOS firmware. Рекомендуемый размер системного диска — около 350 МБ.We recommend that system drive be approximately 350 MB in size. После включения BitLocker должно остаться примерно 250 МБ свободного дискового пространства.After BitLocker is turned on it should have approximately 250 MB of free space.

Раздел с шифрованием не может быть помечен как активный раздел (это относится к операционной системе, исправленные данные и съемные носители с данными).A partition subject to encryption cannot be marked as an active partition (this applies to the operating system, fixed data, and removable data drives).

При установке Windows на новом компьютере автоматически создадутся разделы, необходимые для BitLocker.When installed on a new computer, Windows will automatically create the partitions that are required for BitLocker.

При установке необязательного компонента BitLocker на сервере вам также потребуется установить компонент Enhanced Storage, который используется для поддержки аппаратно зашифрованных дисков.When installing the BitLocker optional component on a server you will also need to install the Enhanced Storage feature, which is used to support hardware encrypted drives.

В этом разделеIn this section

СтатьяTopic ОписаниеDescription
Общие сведения о функции шифровании устройств BitLocker в Windows 10Overview of BitLocker Device Encryption in Windows 10 В этом разделе для ИТ-специалистов представлен обзор способов, которыми BitLocker и шифрование устройств помогают защитить данные на устройствах под управлением Windows 10.This topic for the IT professional provides an overview of the ways that BitLocker Device Encryption can help protect data on devices running Windows 10.
Вопросы и ответы по BitLockerBitLocker frequently asked questions (FAQ) В этой статье, предназначенной для ИТ-специалистов, даются ответы на часто задаваемые вопросы, касающиеся требований использования, обновления, развертывания и администрирования, а также политик управления ключами для BitLocker.This topic for the IT professional answers frequently asked questions concerning the requirements to use, upgrade, deploy and administer, and key management policies for BitLocker.
Подготовка организации к использованию BitLocker: планирование и политикиPrepare your organization for BitLocker: Planning and policies В этой статье, предназначенной для ИТ-специалистов, рассказывается, как планировать развертывание BitLocker.This topic for the IT professional explains how can you plan your BitLocker deployment.
Базовое развертывание BitLockerBitLocker basic deployment В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать функции шифрования диска BitLocker для защиты данных.This topic for the IT professional explains how BitLocker features can be used to protect your data through drive encryption.
BitLocker: развертывание на сервере Windows ServerBitLocker: How to deploy on Windows Server В этой статье рассказывается о том, как развертывать BitLocker на Windows Server.This topic for the IT professional explains how to deploy BitLocker on Windows Server.
BitLocker: включение сетевой разблокировкиBitLocker: How to enable Network Unlock В этой статье, предназначенной для ИТ-специалистов, рассказывается, как работает сетевая разблокировка BitLocker и как ее настроить.This topic for the IT professional describes how BitLocker Network Unlock works and how to configure it.
BitLocker: использование средств шифрования диска BitLocker для управления BitLockerBitLocker: Use BitLocker Drive Encryption Tools to manage BitLocker В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать средства для управления BitLocker.This topic for the IT professional describes how to use tools to manage BitLocker.
BitLocker: использование средства просмотра пароля восстановления BitLockerBitLocker: Use BitLocker Recovery Password Viewer В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать средство просмотра пароля восстановления в BitLocker.This topic for the IT professional describes how to use the BitLocker Recovery Password Viewer.
Параметры групповой политики BitLockerBitLocker Group Policy settings В этой статье для ИТ-специалистов рассказывается о функциях, расположении и действии всех параметров групповой политики, используемых для управления BitLocker.This topic for IT professionals describes the function, location, and effect of each Group Policy setting that is used to manage BitLocker.
Параметры данных конфигурации загрузки и BitLockerBCD settings and BitLocker В этой статье, предназначенной для ИТ-специалистов, описаны параметры данных конфигурации загрузки, которые используются в BitLocker.This topic for IT professionals describes the BCD settings that are used by BitLocker.
Руководство по восстановлению BitLockerBitLocker Recovery Guide В этой статье, предназначенной для ИТ-специалистов, рассказывается, как восстановить ключи BitLocker из ADDS.This topic for IT professionals describes how to recover BitLocker keys from AD DS.
Защита BitLocker от атак с использованием предзагрузочной средыProtect BitLocker from pre-boot attacks Изучив это подробное руководство, вы узнаете, в каких условиях рекомендуется использовать проверку подлинности в предзагрузочной среде для устройств, работающих под управлением Windows10, Windows8.1, Windows8 или Windows7, а также когда можно безопасно исключить такую проверку из конфигурации устройства.This detailed guide will help you understand the circumstances under which the use of pre-boot authentication is recommended for devices running Windows 10, Windows 8.1, Windows 8, or Windows 7; and when it can be safely omitted from a device’s configuration.
Устранение неполадок BitLockerTroubleshoot BitLocker В этом руководстве описаны ресурсы, которые помогут вам устранить проблемы с BitLocker, и предлагаются решения для некоторых распространенных проблем с BitLocker.This guide describes the resources that can help you troubleshoot BitLocker issues, and provides solutions for several common BitLocker issues.
Защита общих томов кластера и сетей хранения данных с помощью технологии BitLockerProtecting cluster shared volumes and storage area networks with BitLocker В этой статье, предназначенной для ИТ-специалистов, рассказывается, как защитить общие тома кластеров и сети хранения данных с помощью BitLocker.This topic for IT pros describes how to protect CSVs and SANs with BitLocker.
Включение безопасной загрузки и шифрования устройства BitLocker в Windows 10 IoT БазоваяEnabling Secure Boot and BitLocker Device Encryption on Windows 10 IoT Core В этом разделе описывается, как использовать BitLocker в Windows 10 IoT БазоваяThis topic covers how to use BitLocker with Windows 10 IoT Core

Что такое Bitlocker Windows 7 и как его включить

Если вам необходима удобная и функциональная ОС для работы и бизнеса, то вы можете купить Windows 7, редакции Максимальная или Корпоративная. Эта система имеет приемлемые требования по характеристикам ПК или ноутбука, поддерживает все актуальное ПО и стандарты. И поэтому отлично подходит для работы. Причем по многим вопросам. Например, вам нужно обеспечить дополнительную безопасность для файлов, используемых в работе. Для этого в системе есть встроенная (проприетарная) технология - Битлокер Windows 7. Она используется для шифрования дисков, что позволяет полностью защитить важные данные от вмешательства со стороны: корпоративные документы, личные фотографии и пр.

Важные нюансы

Технология Bitlocker позволяет шифровать диски, установленные в ПК, в том числе и USB-носители и SD карты, посредством нескольких алгоритмов:

  • AES 128;
  • AES 256 и др.

Важно отметить, что при включении защиты и шифровании диска получить доступ к данным можно только с помощью пароля или специального ключа. При этом это актуально не только на том компьютере, где был использован модуль, но и на любом другом. То есть даже при подключении диска в другой ПК защита останется. Сам модуль встроен в систему, поэтому нет необходимости скачать Bitlocker Windows 7 – его нужно только включить.

Еще необходимо отметить, что шифрование затрагивает том, а не сам физический диск. То есть можно зашифровать только часть диска или том, состоящий из нескольких ЖД. Для работы модуля потребуются NTFSтома и не менее 1.5 Гб свободного пространства. Для расшифровки и получения доступа к данным существует три механизма:

  • Прозрачный. Основан на возможностях TPM обеспечения, что обеспечивает стандартный режим работы для пользователей. Ключ для шифровки встроен в чип TPM и активируется при загрузке ОС;
  • Проверка подлинности. Доступ пользователь может получить только при прохождении аутентификации – ввода PIN кода в момент загрузки системы;
  • USB-ключ. На внешний носитель в виде USB устройства записывается ключ запуска. Для получения доступа в защищенную среду необходимо вставить носитель в USB порт для считывания кода. Для работы этого режима в BIOS должна быть включена функция чтения USB в загрузочной среде.

Теперь вы знаете, что такое Bitlocker Windows 7. Следует отметить, что функция может работать только при условии, что на материнской плате компьютера есть модуль TPM. Однако такое требование не совсем верно, поскольку шифрование можно включить и без него при определенных настройках.

Как включить Битлокер

Мы разобрались в том, что в системе есть встроенная функция шифрования дисков для обеспечения безопасности и сохранности данных, чтобы к ним имели доступ только вы. Теперь нужно понять, как включить Bitlocker в Windows 7. Для этого необходимо сделать следующее:

  • Откройте меню «Пуск» и выберите пункт «Выполнить». Также получить к нему доступ можно, нажав комбинацию Win + R;
  • Введите в строку «gpedit.msc». Нажмите Ок или кнопку Enter на клавиатуре. Перед вами появится окно для редактирования настроек групповой политики;
  • В левом меню экрана найдите строку «Конфигурация компьютера» и в подменю выделите «Административные шаблоны»;
  • Перейдите в пункт «Компоненты Windows»;
  • В правом меню выберите пункт «Шифрование дисков Bitlocker» и активируйте его;
  • В новом окне найдите строку для работы с дисками ОС. Активируйте ее;
  • Откройте и раскройте параметр для настройки дополнительной проверки;
  • Нажмите «Включить» для активации функции;
  • Поставьте галочку напротив пункта, который отвечает за используемый модуль. Если ваша материнская плата поддерживает чип TPM, то используйте соответствующий чекбокс. Если же нет, то найдите и активируйте пункт для использования Bitlocker без этого модуля.

Готово. Теперь нужно в Панели управления найти строку про Битлокер, перейти по ней и включать функцию.

BitLocker (Windows 10) - Microsoft 365 Безопасность

  • 7 минут на чтение

В этой статье

Относится к

В этом разделе представлен общий обзор BitLocker, включая список требований к системе, практических приложений и устаревших функций.

Обзор BitLocker

BitLocker Drive Encryption - это функция защиты данных, которая интегрируется с операционной системой и устраняет угрозы кражи или раскрытия данных с утерянных, украденных или неправильно выведенных из эксплуатации компьютеров.

BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или новее. TPM - это аппаратный компонент, устанавливаемый производителями компьютеров во многие новые компьютеры. Он работает с BitLocker, чтобы помочь защитить пользовательские данные и гарантировать, что компьютер не был взломан, пока система была отключена.

На компьютерах, на которых нет TPM версии 1.2 или более поздней, вы все равно можете использовать BitLocker для шифрования диска операционной системы Windows.Однако эта реализация потребует от пользователя вставить USB-ключ запуска, чтобы запустить компьютер или выйти из режима гибернации. Начиная с Windows 8, вы можете использовать пароль тома операционной системы для защиты тома операционной системы на компьютере без TPM. Оба варианта не обеспечивают проверку целостности системы перед запуском, предлагаемую BitLocker с TPM.

В дополнение к TPM BitLocker предлагает возможность заблокировать обычный процесс запуска до тех пор, пока пользователь не предоставит персональный идентификационный номер (PIN) или не вставит съемное устройство, такое как USB-накопитель, которое содержит ключ запуска.Эти дополнительные меры безопасности обеспечивают многофакторную аутентификацию и уверенность в том, что компьютер не запустится или не выйдет из спящего режима до тех пор, пока не будет представлен правильный ПИН-код или ключ запуска.

Практическое применение

Данные на утерянном или украденном компьютере уязвимы для несанкционированного доступа, будь то запуск программной атаки на них или перенос жесткого диска компьютера на другой компьютер. BitLocker помогает уменьшить несанкционированный доступ к данным за счет усиления защиты файлов и системы.BitLocker также помогает сделать данные недоступными при выводе из эксплуатации или утилизации компьютеров, защищенных BitLocker.

В инструментах удаленного администрирования сервера есть два дополнительных инструмента, которые можно использовать для управления BitLocker.

  • Средство просмотра паролей восстановления BitLocker . Средство просмотра паролей восстановления BitLocker позволяет находить и просматривать пароли восстановления BitLocker Drive Encryption, резервные копии которых были сохранены в доменных службах Active Directory (AD DS).Этот инструмент можно использовать для восстановления данных, хранящихся на диске, зашифрованном с помощью BitLocker. Средство просмотра паролей восстановления BitLocker - это расширение для оснастки консоли управления (MMC) «Пользователи и компьютеры Active Directory». С помощью этого инструмента вы можете изучить диалоговое окно Properties объекта компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker. Кроме того, вы можете щелкнуть правой кнопкой мыши контейнер домена, а затем выполнить поиск пароля восстановления BitLocker во всех доменах в лесу Active Directory.Для просмотра паролей восстановления вы должны быть администратором домена или вам должны быть делегированы права администратором домена.

  • Средства шифрования диска BitLocker . Инструменты шифрования диска BitLocker включают инструменты командной строки, manage-bde и repair-bde, а также командлеты BitLocker для Windows PowerShell. Командлеты manage-bde и BitLocker можно использовать для выполнения любых задач, которые можно выполнить с помощью Панель управления BitLocker, и они подходят для использования при автоматическом развертывании и других сценариях.Repair-bde предоставляется для сценариев аварийного восстановления, в которых диск, защищенный BitLocker, не может быть разблокирован обычным способом или с помощью консоли восстановления.

Новый и измененный функционал

Чтобы узнать о новых возможностях BitLocker для Windows 10, например о поддержке алгоритма шифрования XTS-AES, см. Раздел BitLocker в статье «Что нового в Windows 10».

Системные требования

BitLocker имеет следующие аппаратные требования:

Чтобы BitLocker мог использовать проверку целостности системы с помощью доверенного платформенного модуля (TPM), на компьютере должен быть TPM 1.2 или новее. Если на вашем компьютере нет TPM, для включения BitLocker необходимо сохранить ключ запуска на съемном устройстве, например на USB-накопителе.

Компьютер с TPM также должен иметь прошивку BIOS или UEFI, совместимую с Trusted Computing Group (TCG). Микропрограмма BIOS или UEFI устанавливает цепочку доверия для предзагрузки операционной системы и должна включать поддержку указанного TCG статического корня доверия. Компьютер без TPM не требует встроенного ПО, совместимого с TCG.

Системная BIOS или микропрограмма UEFI (для компьютеров с TPM и без TPM) должна поддерживать класс запоминающих устройств USB, включая чтение небольших файлов на USB-накопителе в предустановленной среде.

Примечание

TPM 2.0 не поддерживается в устаревших режимах и режимах CSM BIOS. На устройствах с TPM 2.0 режим BIOS должен быть настроен только как собственный UEFI. Параметры модуля поддержки устаревания и совместимости (CSM) должны быть отключены. Для дополнительной безопасности включите функцию безопасной загрузки.

Установленная операционная система на оборудовании в устаревшем режиме остановит загрузку ОС при изменении режима BIOS на UEFI. Перед изменением режима BIOS используйте инструмент MBR2GPT, который подготовит ОС и диск к поддержке UEFI.

Жесткий диск должен быть разделен как минимум на два диска:

  • Диск операционной системы (или загрузочный диск) содержит операционную систему и ее файлы поддержки. Он должен быть отформатирован в файловой системе NTFS.
  • Системный диск содержит файлы, необходимые для загрузки Windows после того, как микропрограмма подготовила оборудование системы.BitLocker не включен на этом диске. Для работы BitLocker системный диск не должен быть зашифрован, должен отличаться от диска операционной системы и должен быть отформатирован с файловой системой FAT32 на компьютерах с микропрограммой на основе UEFI или с файловой системой NTFS на компьютерах с микропрограммой BIOS. . Мы рекомендуем, чтобы системный диск имел размер примерно 350 МБ. После включения BitLocker на нем должно быть примерно 250 МБ свободного места.

Раздел, подлежащий шифрованию, не может быть помечен как активный (это относится к операционной системе, фиксированным данным и съемным дискам с данными).

При установке на новый компьютер Windows автоматически создаст разделы, необходимые для BitLocker.

При установке дополнительного компонента BitLocker на сервере вам также потребуется установить компонент Enhanced Storage, который используется для поддержки дисков с аппаратным шифрованием.

В разделе

.Обзор

BitLocker и часто задаваемые вопросы о требованиях (Windows 10) - Microsoft 365 Security

  • 4 минуты на чтение

В этой статье

Относится к

Как работает BitLocker?

Как BitLocker работает с дисками операционной системы

BitLocker можно использовать для предотвращения несанкционированного доступа к данным на потерянных или украденных компьютерах путем шифрования всех пользовательских файлов и системных файлов на диске операционной системы, включая файлы подкачки и файлы гибернации, а также проверки целостности компонентов ранней загрузки и данных конфигурации загрузки.

Как BitLocker работает с фиксированными и съемными дисками данных

BitLocker можно использовать для шифрования всего содержимого диска с данными. Вы можете использовать групповую политику, чтобы потребовать, чтобы BitLocker был включен на диске, прежде чем компьютер сможет записывать данные на диск. BitLocker может быть настроен с использованием различных методов разблокировки для дисков с данными, а диск с данными поддерживает несколько методов разблокировки.

Поддерживает ли BitLocker многофакторную аутентификацию?

Да, BitLocker поддерживает многофакторную аутентификацию для дисков операционной системы.Если вы включите BitLocker на компьютере с TPM версии 1.2 или более поздней, вы можете использовать дополнительные формы проверки подлинности с защитой TPM.

Каковы требования к оборудованию и программному обеспечению BitLocker?

Требования см. В разделе Системные требования.

Примечание

BitLocker не поддерживает динамические диски. Объемы динамических данных не будут отображаться в Панели управления. Хотя том операционной системы всегда будет отображаться на панели управления, независимо от того, является ли он динамическим диском, если это динамический диск, он не может быть защищен с помощью BitLocker.

Почему необходимы два раздела? Почему системный диск должен быть таким большим?

Для запуска BitLocker требуются два раздела, так как предварительная проверка подлинности и проверка целостности системы должны выполняться на отдельном разделе от зашифрованного диска операционной системы. Эта конфигурация помогает защитить операционную систему и информацию на зашифрованном диске.

Какие доверенные платформенные модули (TPM) поддерживает BitLocker?

BitLocker поддерживает TPM версии 1.2 или выше. Для поддержки BitLocker для TPM 2.0 требуется единый расширяемый интерфейс микропрограмм (UEFI) для устройства.

Примечание

TPM 2.0 не поддерживается в устаревших режимах и режимах CSM BIOS. На устройствах с TPM 2.0 режим BIOS должен быть настроен только как собственный UEFI. Параметры модуля поддержки устаревания и совместимости (CSM) должны быть отключены. Для дополнительной безопасности включите функцию безопасной загрузки.

Установленная операционная система на оборудовании в устаревшем режиме остановит загрузку ОС при изменении режима BIOS на UEFI.Перед изменением режима BIOS используйте инструмент MBR2GPT, который подготовит ОС и диск к поддержке UEFI.

Как узнать, установлен ли на моем компьютере TPM?

Начиная с Windows 10 версии 1803, вы можете проверить статус TPM в Центр безопасности Защитника Windows > Безопасность устройства > Сведения о процессоре безопасности . В предыдущих версиях Windows откройте консоль TPM MMC (tpm.msc) и посмотрите под заголовком Status .

Могу ли я использовать BitLocker на диске с операционной системой без TPM?

Да, вы можете включить BitLocker на диске с операционной системой без TPM версии 1.2 или выше, если микропрограмма BIOS или UEFI поддерживает чтение с USB-накопителя в среде загрузки. Это связано с тем, что BitLocker не разблокирует защищенный диск до тех пор, пока собственный главный ключ тома BitLocker не будет сначала выпущен TPM компьютера или флэш-накопителем USB, содержащим ключ запуска BitLocker для этого компьютера.Однако компьютеры без TPM не смогут использовать проверку целостности системы, которую также может предоставить BitLocker. Чтобы определить, может ли компьютер читать с USB-устройства во время процесса загрузки, используйте проверку системы BitLocker как часть процесса установки BitLocker. Эта проверка системы выполняет тесты, чтобы подтвердить, что компьютер может правильно считывать данные с USB-устройств в надлежащее время и что компьютер соответствует другим требованиям BitLocker.

Как мне получить поддержку BIOS для TPM на моем компьютере?

Обратитесь к производителю компьютера, чтобы запросить загрузочную прошивку BIOS или UEFI, совместимую с Trusted Computing Group (TCG), которая отвечает следующим требованиям:

  • Он соответствует стандартам TCG для клиентского компьютера.
  • Он имеет безопасный механизм обновления, который помогает предотвратить установку вредоносного BIOS или загрузочной прошивки на компьютер.

Какие учетные данные необходимы для использования BitLocker?

Для включения, выключения или изменения конфигурации BitLocker в операционной системе и фиксированных дисках с данными требуется членство в локальной группе «Администраторы ». Стандартные пользователи могут включать, выключать или изменять конфигурации BitLocker на съемных дисках с данными.

Каков рекомендуемый порядок загрузки для компьютеров, которые будут защищены BitLocker?

Вам следует настроить параметры загрузки вашего компьютера так, чтобы сначала в порядке загрузки был жесткий диск, а не любые другие приводы, такие как приводы CD / DVD или USB-накопители.Если жесткий диск не первый и вы обычно загружаетесь с жесткого диска, то изменение порядка загрузки может быть обнаружено или допущено при обнаружении съемного носителя во время загрузки. Порядок загрузки обычно влияет на измерение системы, которое проверяется BitLocker, и при изменении порядка загрузки вам будет предложено ввести ключ восстановления BitLocker. По той же причине, если у вас есть ноутбук с док-станцией, убедитесь, что жесткий диск стоит первым в порядке загрузки как при установке, так и при отключении.

.Шифрование диска

BitLocker | Документы Microsoft

  • 2 минуты на чтение

В этой статье

В этом разделе описаны требования для развертывания решения Windows BitLocker Drive Encryption. Дополнительные сведения о BitLocker см. В разделе «Шифрование диска BitLocker» на веб-сайте TechNet.

Что такое шифрование диска BitLocker?

BitLocker обеспечивает автономную защиту данных и операционной системы для вашего компьютера.BitLocker помогает гарантировать, что данные, хранящиеся на компьютере под управлением Windows®, не будут обнаружены, если компьютер подделан, когда установленная операционная система находится в автономном режиме. BitLocker использует микрочип, который называется Trusted Platform Module (TPM), чтобы обеспечить улучшенную защиту ваших данных и сохранить целостность компонентов начальной загрузки. TPM может помочь защитить ваши данные от кражи или несанкционированного просмотра, зашифровав весь том Windows.

BitLocker разработан для обеспечения максимально удобной работы конечных пользователей с компьютерами, имеющими совместимую микросхему TPM и BIOS.Совместимый TPM определяется как TPM версии 1.2, в котором есть модификации BIOS, необходимые для поддержки измерения статического корня доверия, как это определено Trusted Computing Group. TPM взаимодействует с BitLocker, чтобы обеспечить непрерывную защиту при перезагрузке компьютера.

Путь к файлу драйвера TPM:% WINDIR% \ Inf \ Tpm.inf. Для получения информации о том, как добавить драйвер TPM в среду предустановки Windows (Windows PE), см. WinPE: монтирование и настройка.

Требования к разделению шифрования диска BitLocker

BitLocker должен использовать системный раздел, отдельный от раздела Windows.Системный раздел:

  • Должен быть настроен как активный раздел.

  • Не должно быть зашифровано или использоваться для хранения пользовательских файлов.

  • Должно быть не менее 100 мегабайт (МБ) свободного места.

  • Должно быть не менее 50 МБ свободного места.

  • Может использоваться совместно с разделом восстановления.

Дополнительные сведения о требованиях к разделению BitLocker см. В разделе Обзор жестких дисков и разделов.

Обзор жестких дисков и разделов

.

BitLocker Использование средств шифрования диска BitLocker для управления BitLocker (Windows 10) - Microsoft 365 Security

  • 10 минут на чтение

В этой статье

Относится к

В этой статье для ИТ-специалистов описывается, как использовать инструменты для управления BitLocker.

Средства шифрования диска

BitLocker включают инструменты командной строки manage-bde и repair-bde, а также командлеты BitLocker для Windows PowerShell.

Как manage-bde, так и командлеты BitLocker могут использоваться для выполнения любых задач, которые могут быть выполнены с помощью панели управления BitLocker, и подходят для использования в автоматических развертываниях и других сценариях сценариев.

Repair-bde - это специальный инструмент, предназначенный для сценариев аварийного восстановления, в которых диск, защищенный BitLocker, не может быть разблокирован обычным способом или с помощью консоли восстановления.

  1. Manage-bde
  2. Ремонт-БДЭ
  3. Командлеты BitLocker для Windows PowerShell

Manage-bde

Manage-bde - это инструмент командной строки, который можно использовать для создания сценариев операций BitLocker.Manage-bde предлагает дополнительные параметры, которые не отображаются на панели управления BitLocker. Полный список параметров manage-bde см. В справке по командной строке Manage-bde.

Manage-bde включает меньше параметров по умолчанию и требует большей настройки для настройки BitLocker. Например, использование только команды manage-bde -on для тома данных полностью зашифрует том без каких-либо средств защиты. Зашифрованный таким образом том по-прежнему требует взаимодействия с пользователем для включения защиты BitLocker, даже если команда успешно завершена, поскольку для полной защиты тома необходимо добавить метод проверки подлинности.В следующих разделах приведены примеры распространенных сценариев использования manage-bde.

Использование manage-bde с томами операционной системы

Ниже приведены примеры основных допустимых команд для томов операционной системы. Как правило, использование только команды manage-bde -on <буква диска> зашифрует том операционной системы с помощью предохранителя только для TPM и без ключа восстановления. Однако во многих средах требуются более безопасные средства защиты, такие как пароли или ПИН-код, и ожидается возможность восстановления информации с помощью ключа восстановления.Мы рекомендуем вам добавить как минимум одно основное средство защиты и средство защиты для восстановления в том операционной системы.

Хорошей практикой при использовании manage-bde является определение статуса тома в целевой системе. Используйте следующую команду для определения статуса тома:

  manage-bde -status  

Эта команда возвращает тома на целевом объекте, текущий статус шифрования, метод шифрования и тип тома (операционная система или данные) для каждого тома:

В следующем примере показано включение BitLocker на компьютере без микросхемы TPM.Перед началом процесса шифрования необходимо создать ключ запуска, необходимый для BitLocker, и сохранить его на USB-накопитель. Когда BitLocker включен для тома операционной системы, BitLocker потребуется доступ к USB-накопителю для получения ключа шифрования (в этом примере буква E представляет USB-накопитель). Вам будет предложено перезагрузиться, чтобы завершить процесс шифрования.

  manage-bde –protectors -add C: -startupkey E: управление-bde -on C:  

Примечание: После завершения шифрования USB-ключ запуска должен быть вставлен перед запуском операционной системы.

Альтернативой предохранителю ключа запуска на оборудовании без TPM является использование пароля и средства защиты ADaccountorgroup для защиты тома операционной системы. В этом сценарии вы должны сначала добавить протекторы. Чтобы добавить их, используйте эту команду:

  manage-bde -protectors -add C: -pw -sid <пользователь или группа>  

Эта команда потребует от вас ввести, а затем подтвердить защитный пароль перед добавлением их в том. После включения предохранителей на томе вы можете включить BitLocker.

На компьютерах с TPM можно зашифровать том операционной системы без каких-либо определенных средств защиты с помощью manage-bde. Используйте эту команду:

  управление-bde -on C:  

Эта команда шифрует диск, используя TPM в качестве предохранителя по умолчанию. Если вы не уверены, доступен ли предохранитель TPM, чтобы вывести список предохранителей, доступных для тома, выполните следующую команду:

  manage-bde -protectors -get <объем>  

Использование manage-bde с томами данных

Тома данных используют тот же синтаксис для шифрования, что и тома операционной системы, но им не требуются средства защиты для завершения операции.Шифрование томов данных можно выполнить с помощью базовой команды: manage-bde -on <буква диска> , или вы можете сначала добавить дополнительные предохранители к тому. Мы рекомендуем вам добавить как минимум один основной предохранитель и предохранитель восстановления к тому данных.

Обычным средством защиты тома данных является средство защиты паролем. В приведенном ниже примере мы добавляем защиту паролем к тому и включаем BitLocker.

  управление-bde -protectors -add -pw C: управление-bde -on C:  

Ремонт-БДЭ

Может возникнуть проблема, при которой повреждается область жесткого диска, на которой BitLocker хранит важную информацию.Такая проблема может быть вызвана отказом жесткого диска или неожиданным завершением работы Windows.

Средство восстановления BitLocker (Repair-bde) можно использовать для доступа к зашифрованным данным на сильно поврежденном жестком диске, если диск был зашифрован с помощью BitLocker. Repair-bde может восстанавливать критически важные части диска и восстанавливать восстанавливаемые данные, если для их расшифровки используется действующий пароль восстановления или ключ восстановления. Если данные метаданных BitLocker на диске повреждены, вы должны иметь возможность предоставить пакет резервного ключа в дополнение к паролю восстановления или ключу восстановления.Этот ключевой пакет создается в доменных службах Active Directory (AD DS), если вы использовали настройку по умолчанию для резервного копирования AD DS. С помощью этого ключевого пакета и пароля восстановления или ключа восстановления вы можете расшифровать части диска, защищенного BitLocker, если диск поврежден. Каждый пакет ключей будет работать только для диска, имеющего соответствующий идентификатор диска. Вы можете использовать средство просмотра паролей восстановления BitLocker, чтобы получить этот ключевой пакет из AD DS.

Совет: Если вы не выполняете резервное копирование информации для восстановления в AD DS или хотите сохранить пакеты ключей в качестве альтернативы, вы можете использовать команду manage-bde -KeyPackage для создания пакета ключей для тома.

Средство командной строки Repair-bde предназначено для использования, когда операционная система не запускается или когда вы не можете запустить консоль восстановления BitLocker. Используйте Repair-bde, если выполняются следующие условия:

  • Вы зашифровали диск с помощью BitLocker Drive Encryption.
  • Windows не запускается, или вы не можете запустить консоль восстановления BitLocker.
  • У вас нет копии данных, содержащихся на зашифрованном диске.

Примечание. Повреждение диска может не быть связано с BitLocker.Поэтому мы рекомендуем вам попробовать другие инструменты, которые помогут диагностировать и решить проблему с диском, прежде чем использовать BitLocker Repair Tool. Среда восстановления Windows (Windows RE) предоставляет дополнительные возможности для восстановления компьютеров.

Для Repair-bde существуют следующие ограничения:

  • Средство командной строки Repair-bde не может восстановить диск, на котором произошел сбой в процессе шифрования или дешифрования.
  • Средство командной строки Repair-bde предполагает, что если на диске есть какое-либо шифрование, значит, диск был полностью зашифрован.

Для получения дополнительной информации об использовании repair-bde см. Repair-bde.

Командлеты BitLocker для Windows PowerShell

Командлеты

Windows PowerShell предоставляют администраторам новый способ использования при работе с BitLocker. Используя возможности Windows PowerShell для создания сценариев, администраторы могут легко интегрировать параметры BitLocker в существующие сценарии. В списке ниже показаны доступные командлеты BitLocker.

Имя

Параметры

Добавить BitLockerKeyProtector

-ADAccountOrGroup

-ADAccountOrGroupProtector

-Подтвердить

-MountPoint

-Пароль

-PasswordProtector

-Пин

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Служба

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-WhatIf

Резервное копирование BitLockerKeyProtector

-Подтвердить

-KeyProtectorId

-MountPoint

-WhatIf

Отключить BitLocker

-Подтвердить

-MountPoint

-WhatIf

Отключить BitLockerAutoUnlock

-Подтвердить

-MountPoint

-WhatIf

Включить BitLocker

-AdAccountOrGroup

-AdAccountOrGroupProtector

-Подтвердить

-Метод шифрования

-Аппаратное шифрование

-Пароль

-PasswordProtector

-Пин

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Служба

-SkipHardwareTest

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-UsedSpaceOnly

-WhatIf

Включить-BitLockerAutoUnlock

-Подтвердить

-MountPoint

-WhatIf

Get-BitLockerVolume

-MountPoint

Блокировка BitLocker

-Подтвердить

-ForceDismount

-MountPoint

-WhatIf

Remove-BitLockerKeyProtector

-Подтвердить

-KeyProtectorId

-MountPoint

-WhatIf

Resume-BitLocker

-Подтвердить

-MountPoint

-WhatIf

Приостановить BitLocker

-Подтвердить

-MountPoint

-RebootCount

-WhatIf

Разблокировка BitLocker

-AdAccountOrGroup

-Подтвердить

-MountPoint

-Пароль

-RecoveryKeyPath

-RecoveryPassword

-RecoveryPassword

-WhatIf

Как и manage-bde, командлеты Windows PowerShell позволяют настраивать помимо параметров, предлагаемых на панели управления.Как и в случае с manage-bde, пользователям необходимо учитывать конкретные потребности тома, который они шифруют, перед запуском командлетов Windows PowerShell. Хороший начальный шаг - определить текущее состояние томов на компьютере. Это можно сделать с помощью командлета Get-BitLockerVolume . Выходные данные командлета Get-BitLockerVolume предоставляют информацию о типе тома, средствах защиты, состоянии защиты и другие сведения.

Совет: Иногда все средства защиты могут не отображаться при использовании Get-BitLockerVolume из-за нехватки места на экране вывода.Если вы не видите все защитные устройства для тома, вы можете использовать команду конвейера Windows PowerShell (|), чтобы отформатировать полный список защитных устройств. Get-BitLockerVolume C: | fl

Если вы хотите удалить существующие предохранители перед подготовкой BitLocker к тому, вы можете использовать командлет Remove-BitLockerKeyProtector . Для этого необходимо удалить GUID, связанный с устройством защиты.

Простой сценарий может передавать значения каждого возвращаемого Get-BitLockerVolume другой переменной, как показано ниже:

  $ vol = Get-BitLockerVolume $ keyprotectors = $ vol.KeyProtector  

Используя этот сценарий, вы можете отобразить информацию в переменной $ keyprotectors, чтобы определить GUID для каждого предохранителя.

Используя эту информацию, вы можете удалить предохранитель ключа для определенного тома с помощью команды:

  Remove-BitLockerKeyProtector <том>: -KeyProtectorID "{GUID}"  

Примечание. Для выполнения командлета BitLocker требуется GUID предохранителя ключа, заключенный в кавычки.Убедитесь, что в команду включен весь GUID с фигурными скобками.

Использование командлетов BitLocker Windows PowerShell с томами операционной системы

Использование командлетов Windows PowerShell BitLocker аналогично работе с инструментом manage-bde для шифрования томов операционной системы. Windows PowerShell предлагает пользователям большую гибкость. Например, пользователи могут добавить желаемый предохранитель как часть команды для шифрования тома. Ниже приведены примеры распространенных пользовательских сценариев и шаги по их реализации в BitLocker Windows PowerShell.

В следующем примере показано, как включить BitLocker на диске операционной системы, используя только предохранитель TPM:

  Включить BitLocker C:  

В приведенном ниже примере добавляет один дополнительный предохранитель, предохранитель StartupKey, и выбирает пропуск аппаратного теста BitLocker. В этом примере шифрование запускается немедленно без перезагрузки.

  Включить-BitLocker C: -StartupKeyProtector -StartupKeyPath <путь> -SkipHardwareTest  

Использование командлетов BitLocker Windows PowerShell с томами данных

Шифрование тома данных с помощью Windows PowerShell такое же, как и для томов операционной системы.Перед шифрованием тома добавьте желаемые предохранители. В следующем примере на том E: добавляется предохранитель пароля, используя в качестве пароля переменную $ pw. Переменная $ pw хранится как SecureString для хранения пароля, определенного пользователем.

  $ pw = Read-Host -AsSecureString <пароль, вводимый пользователем> Включить-BitLockerKeyProtector E: -PasswordProtector -Password $ pw  

Использование учетной записи AD или средства защиты группы в Windows PowerShell

Защитник ADAccountOrGroup , представленный в Windows 8 и Windows Server 2012, представляет собой средство защиты на основе SID Active Directory.Этот предохранитель может быть добавлен как к томам операционной системы, так и к томам данных, хотя он не разблокирует тома операционной системы в предзагрузочной среде. Защитник требует SID для учетной записи домена или группы для связи с защитником. BitLocker может защитить диск с поддержкой кластера, добавив предохранитель на основе SID для объекта имени кластера (CNO), который позволяет правильно переключить диск и разблокировать его с любого компьютера-члена кластера.

Предупреждение: Средство защиты ADAccountOrGroup требует использования дополнительного средства защиты (например, доверенного платформенного модуля, ПИН-кода или ключа восстановления) при использовании на томах операционной системы

Чтобы добавить предохранитель ADAccountOrGroup к тому, используйте либо фактический SID домена, либо имя группы, которому предшествует домен и обратная косая черта.В приведенном ниже примере учетная запись CONTOSO \ Administrator добавляется в качестве предохранителя к тому данных G.

  Включить-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO \ Administrator  

Для пользователей, которые хотят использовать SID для учетной записи или группы, первым шагом является определение SID, связанного с учетной записью. Чтобы получить конкретный SID для учетной записи пользователя в Windows PowerShell, используйте следующую команду:

Примечание. Для использования этой команды требуется функция RSAT-AD-PowerShell.

  get-aduser -filter {samaccountname -eq "administrator"}  

Совет: В дополнение к приведенной выше команде PowerShell информацию о локально вошедших в систему пользователях и членстве в группах можно найти с помощью: WHOAMI / ALL. Это не требует использования дополнительных возможностей.

В следующем примере добавляется предохранитель ADAccountOrGroup к ранее зашифрованному тому операционной системы с использованием SID учетной записи:

  Добавить-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500  

Примечание. Протекторы на основе Active Directory обычно используются для разблокировки томов с включенным отказоустойчивым кластером.

Дополнительная информация

.Часто задаваемые вопросы по развертыванию и администрированию

BitLocker (Windows 10) - Microsoft 365 Security

  • 5 минут на чтение

В этой статье

Относится к

Можно ли автоматизировать развертывание BitLocker в корпоративной среде?

Да, вы можете автоматизировать развертывание и настройку BitLocker и TPM с помощью сценариев WMI или Windows PowerShell.То, как вы решите реализовать сценарии, зависит от вашей среды. Вы также можете использовать Manage-bde.exe для локальной или удаленной настройки BitLocker. Дополнительные сведения о написании сценариев, использующих поставщиков BitLocker WMI, см. В разделе Поставщик шифрования диска BitLocker. Дополнительные сведения об использовании командлетов Windows PowerShell с шифрованием диска BitLocker см. В разделе Командлеты BitLocker в Windows PowerShell.

Может ли BitLocker зашифровать не только диск операционной системы?

Да.

Есть ли заметное влияние на производительность при включении BitLocker на компьютере?

Обычно накладные расходы на производительность выражаются в виде однозначных процентов.

Сколько времени займет первоначальное шифрование при включении BitLocker?

Хотя шифрование BitLocker происходит в фоновом режиме, пока вы продолжаете работать, и система остается пригодной для использования, время шифрования зависит от типа шифруемого диска, размера диска и скорости диска. Если вы шифруете большие диски, вы можете настроить шифрование на периоды, когда вы не будете использовать диск.

Вы также можете выбрать, должен ли BitLocker шифровать весь диск или только используемое пространство на диске при включении BitLocker.На новом жестком диске шифрование только использованного пространства может быть значительно быстрее, чем шифрование всего диска. Когда выбран этот параметр шифрования, BitLocker автоматически шифрует данные по мере их сохранения, гарантируя, что никакие данные не будут храниться в незашифрованном виде.

Что произойдет, если компьютер выключится во время шифрования или дешифрования?

Если компьютер выключен или переходит в режим гибернации, процесс шифрования и дешифрования BitLocker возобновится с того места, где он остановился, при следующем запуске Windows.Это верно, даже если электричество внезапно отключилось.

Шифрует и дешифрует ли BitLocker сразу весь диск при чтении и записи данных?

Нет, BitLocker не шифрует и не расшифровывает весь диск при чтении и записи данных. Зашифрованные сектора на диске, защищенном BitLocker, расшифровываются только по мере их запроса от операций чтения системы. Блоки, записываемые на диск, шифруются перед тем, как система записывает их на физический диск. На диске, защищенном с помощью BitLocker, никогда не хранятся незашифрованные данные.

Как я могу запретить пользователям в сети хранить данные на незашифрованном диске?

Вы можете настроить параметры групповой политики так, чтобы диски с данными были защищены BitLocker, прежде чем компьютер, защищенный BitLocker, сможет записывать на них данные. Дополнительные сведения см. В разделе Параметры групповой политики BitLocker. Когда эти параметры политики включены, операционная система, защищенная с помощью BitLocker, будет подключать любые диски с данными, которые не защищены BitLocker, как доступные только для чтения.

Что такое шифрование только используемого дискового пространства?

BitLocker в Windows 10 позволяет пользователям шифровать только свои данные.Хотя это не самый безопасный способ шифрования диска, этот вариант может сократить время шифрования более чем на 99 процентов, в зависимости от того, сколько данных необходимо зашифровать. Дополнительные сведения см. В разделе Шифрование только используемого дискового пространства.

Какие системные изменения могут привести к сбою проверки целостности диска с операционной системой?

Следующие типы системных изменений могут вызвать сбой проверки целостности и помешать TPM освободить ключ BitLocker для расшифровки защищенного диска операционной системы:

  • Перемещение диска, защищенного BitLocker, в новый компьютер.
  • Установка новой материнской платы с новым TPM.
  • Выключение, отключение или очистка TPM.
  • Изменение любых параметров конфигурации загрузки.
  • Изменение BIOS, встроенного ПО UEFI, основной загрузочной записи, загрузочного сектора, диспетчера загрузки, дополнительного ПЗУ или других компонентов ранней загрузки или данных конфигурации загрузки.

Что заставляет BitLocker запускаться в режиме восстановления при попытке запустить диск с операционной системой?

Поскольку BitLocker предназначен для защиты вашего компьютера от многочисленных атак, существует множество причин, по которым BitLocker может запускаться в режиме восстановления.Например:

  • Изменение порядка загрузки BIOS для загрузки другого диска перед жестким диском.
  • Добавление или удаление оборудования, например установка новой карты в компьютер, включая некоторые беспроводные карты PCMIA.
  • Извлечение, установка или полное истощение заряда интеллектуальной батареи портативного компьютера.

В BitLocker восстановление состоит из расшифровки копии главного ключа тома с использованием либо ключа восстановления, хранящегося на USB-накопителе, либо криптографического ключа, полученного из пароля восстановления.Доверенный платформенный модуль не участвует ни в каких сценариях восстановления, поэтому восстановление возможно, если доверенный платформенный модуль не прошел проверку загрузочного компонента, возник сбой или был удален.

Что может помешать BitLocker привязаться к PCR 7?

BitLocker можно предотвратить от привязки к PCR 7, если ОС, отличная от Windows, загружалась до Windows, или если безопасная загрузка недоступна для устройства, потому что оно было отключено или оборудование не поддерживает его.

Могу ли я поменять местами жесткие диски на одном компьютере, если BitLocker включен на диске операционной системы?

Да, вы можете поменять местами несколько жестких дисков на одном компьютере, если BitLocker включен, но только если жесткие диски были защищены BitLocker на одном компьютере.Ключи BitLocker уникальны для TPM и диска операционной системы. Поэтому, если вы хотите подготовить резервную копию операционной системы или диска с данными на случай отказа диска, убедитесь, что они соответствуют правильному TPM. Вы также можете настроить разные жесткие диски для разных операционных систем, а затем включить BitLocker на каждом из них с разными методами проверки подлинности (например, один с TPM-only и один с TPM + PIN) без каких-либо конфликтов.

Могу ли я получить доступ к моему диску, защищенному BitLocker, если я вставлю жесткий диск в другой компьютер?

Да, если диск является диском с данными, вы можете разблокировать его с помощью элемента панели управления BitLocker Drive Encryption , как и любой другой диск с данными, используя пароль или смарт-карту.Если диск с данными был настроен только на автоматическую разблокировку, вам нужно будет разблокировать его с помощью ключа восстановления. Зашифрованный жесткий диск может быть разблокирован агентом восстановления данных (если он был настроен) или его можно разблокировать с помощью ключа восстановления.

Почему «Включить BitLocker» недоступно, когда я щелкаю диск правой кнопкой мыши?

Некоторые диски нельзя зашифровать с помощью BitLocker. Причины, по которым диск не может быть зашифрован, включают недостаточный размер диска, несовместимую файловую систему, если диск является динамическим или диск обозначен как системный раздел.По умолчанию системный диск (или системный раздел) не отображается. Однако, если он не был создан как скрытый диск при установке операционной системы из-за процесса выборочной установки, этот диск может отображаться, но не может быть зашифрован.

Какие конфигурации дисков поддерживает BitLocker?

С помощью BitLocker можно защитить любое количество внутренних фиксированных дисков с данными. В некоторых версиях также поддерживаются устройства хранения с прямым подключением на базе ATA и SATA.

.Базовое развертывание

BitLocker (Windows 10) - Microsoft 365 Security

  • 21 минута на чтение

В этой статье

Относится к

В этой статье для ИТ-специалистов объясняется, как можно использовать функции BitLocker для защиты данных с помощью шифрования дисков.

Использование BitLocker для шифрования томов

BitLocker обеспечивает полное шифрование томов (FVE) для томов операционной системы, а также фиксированных и съемных томов данных.Для поддержки полностью зашифрованных томов операционной системы BitLocker использует незашифрованный системный том для файлов, необходимых для загрузки, расшифровки и загрузки операционной системы. Этот том автоматически создается во время новой установки как клиентской, так и серверной операционных систем.

В случае, если диск был подготовлен как единое непрерывное пространство, BitLocker требует новый том для хранения файлов загрузки. BdeHdCfg.exe может создавать эти тома.

Примечание

Для получения дополнительной информации об использовании этого инструмента см. Bdehdcfg в Справочнике по командной строке.

Шифрование

BitLocker можно выполнить следующими способами:

  • Панель управления BitLocker
  • Проводник Windows
  • интерфейс командной строки manage-bde
  • Командлеты Windows PowerShell BitLocker

Шифрование томов с помощью панели управления BitLocker

Шифрование томов с помощью панели управления BitLocker (выберите Start , введите bitlocker , выберите Manage BitLocker ) - это количество пользователей, которые будут использовать BitLocker.Имя панели управления BitLocker - шифрование диска BitLocker. Панель управления BitLocker поддерживает шифрование операционной системы, фиксированных данных и съемных томов данных. Панель управления BitLocker упорядочит доступные диски по соответствующей категории в зависимости от того, как устройство сообщает о себе Windows. Только отформатированные тома с назначенными буквами дисков будут правильно отображаться в апплете панели управления BitLocker. Чтобы начать шифрование тома, выберите Включить BitLocker для соответствующего диска, чтобы инициализировать мастер шифрования диска BitLocker.Параметры мастера шифрования диска BitLocker зависят от типа тома (том операционной системы или том данных).

Объем операционной системы

После запуска мастер шифрования диска BitLocker проверяет, соответствует ли компьютер системным требованиям BitLocker для шифрования тома операционной системы. По умолчанию системные требования:

Требование Описание
Конфигурация оборудования Компьютер должен соответствовать минимальным требованиям для поддерживаемых версий Windows.
Операционная система BitLocker - это дополнительная функция, которую можно установить с помощью диспетчера сервера в Windows Server 2012 и более поздних версиях.
Оборудование TPM TPM версии 1.2 или 2.0.

TPM не требуется для BitLocker; однако только компьютер с TPM может обеспечить дополнительную безопасность проверки целостности системы перед запуском и многофакторной проверки подлинности.

Конфигурация BIOS
  • Прошивка BIOS или UEFI, совместимая с Trusted Computing Group (TCG).
  • Порядок загрузки должен быть установлен так, чтобы сначала запускался с жесткого диска, а не с USB- или компакт-дисков.
  • Прошивка должна иметь возможность читать с USB-накопителя во время запуска.
  • Файловая система Для компьютеров, которые изначально загружаются с микропрограммой UEFI, по крайней мере один раздел FAT32 для системного диска и один раздел NTFS для диска операционной системы.
    Для компьютеров с устаревшим микропрограммным обеспечением BIOS, по крайней мере, два раздела диска NTFS, один для системного диска и один для диска операционной системы.
    Для любой прошивки раздел системного диска должен иметь размер не менее 350 мегабайт (МБ) и быть установлен в качестве активного раздела.
    Необходимые условия для аппаратного шифрования диска (необязательно) Чтобы использовать аппаратно зашифрованный диск в качестве загрузочного диска, он должен находиться в неинициализированном состоянии и в неактивном состоянии безопасности. Кроме того, система всегда должна загружаться с собственным UEFI версии 2.3.1 или выше, а CSM (если есть) отключен.

    После прохождения начальной настройки пользователи должны ввести пароль для тома.Если том не проходит начальную конфигурацию для BitLocker, пользователю отображается диалоговое окно с сообщением об ошибке, описывающее соответствующие действия, которые необходимо предпринять. После создания надежного пароля для тома будет создан ключ восстановления. Мастер шифрования диска BitLocker запросит место для сохранения этого ключа. Ключ восстановления BitLocker - это специальный ключ, который вы можете создать при первом включении шифрования диска BitLocker на каждом зашифрованном диске. Вы можете использовать ключ восстановления, чтобы получить доступ к вашему компьютеру, если диск, на котором установлена ​​Windows (диск операционной системы), зашифрован с помощью BitLocker Drive Encryption, а BitLocker обнаруживает условие, которое не позволяет ему разблокировать диск при запуске компьютера. .Ключ восстановления также можно использовать для получения доступа к вашим файлам и папкам на съемном диске с данными (например, внешнем жестком диске или USB-накопителе), который зашифрован с помощью BitLocker To Go, если по какой-то причине вы забыли пароль или свой компьютер не может получить доступ к диску.

    Вы должны сохранить ключ восстановления, распечатав его, сохранив на съемном носителе или сохранив его как файл в сетевой папке, на OneDrive или на другом диске вашего компьютера, который вы не шифруете.Вы не можете сохранить ключ восстановления в корневом каталоге несъемного диска или на зашифрованном томе. Вы не можете сохранить ключ восстановления для съемного диска с данными (например, флэш-накопителя USB) на съемном носителе. В идеале вы должны хранить ключ восстановления отдельно от компьютера. После создания ключа восстановления вы можете использовать панель управления BitLocker для создания дополнительных копий.

    Когда ключ восстановления был правильно сохранен, мастер шифрования диска BitLocker предложит пользователю выбрать способ шифрования диска.Есть два варианта:

    • Зашифровать только используемое дисковое пространство - Шифрует только дисковое пространство, содержащее данные
    • Зашифровать весь диск - зашифровать весь том, включая свободное пространство

    Рекомендуется, чтобы диски с небольшим объемом данных или без них использовали параметр шифрования только использованное дисковое пространство , а диски с данными или операционная система использовали параметр для шифрования всего диска .

    Примечание

    Удаленные файлы отображаются как свободное пространство в файловой системе, которое не шифруется , используется только дисковое пространство .До тех пор, пока они не будут стерты или перезаписаны, удаленные файлы содержат информацию, которую можно восстановить с помощью обычных инструментов судебной экспертизы.

    Выбор типа шифрования и выбор Далее предоставит пользователю возможность запустить проверку системы BitLocker (выбрана по умолчанию), которая гарантирует, что BitLocker сможет правильно получить доступ к ключам восстановления и шифрования до начала шифрования тома. Мы рекомендуем выполнить эту проверку системы перед запуском процесса шифрования. Если проверка системы не запущена и при попытке запуска операционной системы возникает проблема, пользователю потребуется предоставить ключ восстановления для запуска Windows.

    После завершения проверки системы (если она выбрана) мастер шифрования диска BitLocker перезагрузит компьютер, чтобы начать шифрование. После перезагрузки пользователи должны ввести пароль, выбранный для загрузки в том операционной системы. Пользователи могут проверить состояние шифрования, проверив область системных уведомлений или панель управления BitLocker.

    Пока не завершено шифрование, единственные доступные варианты управления BitLocker включают изменение пароля, защищающего том операционной системы, резервное копирование ключа восстановления и отключение BitLocker.

    Объем данных

    Шифрование томов данных с помощью интерфейса панели управления BitLocker работает аналогично шифрованию томов операционной системы. Пользователи выбирают Включить BitLocker на панели управления, чтобы запустить мастер шифрования диска BitLocker. В отличие от томов операционной системы, томам данных не требуется проходить какие-либо тесты конфигурации, чтобы мастер продолжил работу. После запуска мастера появится выбор метода аутентификации для разблокировки диска.Доступные варианты: пароль и смарт-карта и автоматически разблокируют этот диск на этом компьютере . Отключено по умолчанию, последний параметр разблокирует том данных без ввода данных пользователем, когда том операционной системы разблокирован.

    После выбора желаемого метода аутентификации и выбора Далее мастер предлагает варианты хранения ключа восстановления. Эти параметры такие же, как и для томов операционной системы. Если ключ восстановления сохранен, выбор Next в мастере покажет доступные варианты шифрования.Эти параметры такие же, как и для томов операционной системы; использовал только дисковое пространство и шифрование полного диска . Если зашифрованный том новый или пустой, рекомендуется выбрать шифрование только используемого пространства.

    Если выбран метод шифрования, перед началом процесса шифрования отображается экран окончательного подтверждения. При выборе Начать шифрование начнет шифрование.

    Состояние шифрования отображается в области уведомлений или на панели управления BitLocker.

    Параметр OneDrive

    Есть новый вариант хранения ключа восстановления BitLocker с помощью OneDrive. Этот вариант требует, чтобы компьютеры не были членами домена и чтобы пользователь использовал учетную запись Microsoft. Локальные учетные записи не позволяют использовать OneDrive. Использование OneDrive является рекомендуемым методом хранения ключей восстановления по умолчанию для компьютеров, не входящих в домен.

    Пользователи могут убедиться, что ключ восстановления был сохранен правильно, проверив в OneDrive папку BitLocker, которая создается автоматически в процессе сохранения.Папка будет содержать два файла: readme.txt и ключ восстановления. Для пользователей, хранящих более одного пароля восстановления в OneDrive, они могут определить требуемый ключ восстановления, посмотрев на имя файла. ID ключа восстановления добавляется в конец имени файла.

    Использование BitLocker в проводнике Windows

    Проводник Windows позволяет пользователям запускать мастер шифрования диска BitLocker, щелкнув том правой кнопкой мыши и выбрав Включить BitLocker . Эта опция по умолчанию доступна на клиентских компьютерах.На серверах необходимо сначала установить функции BitLocker и Desktop-Experience, чтобы эта опция была доступна. После выбора Включить BitLocker мастер работает точно так же, как при запуске с панели управления BitLocker.

    Совместимость нижнего уровня

    В следующей таблице показана матрица совместимости для систем, в которых был включен BitLocker, а затем представлен другой версии Windows.

    Таблица 1: Перекрестная совместимость для Windows 10, Windows 8.1, Windows 8 и Windows 7 зашифрованные тома

    Тип шифрования Windows 10 и Windows 8.1 Windows 8 Windows 7
    Полностью зашифровано в Windows 8 Представляется полностью зашифрованным НЕТ Представлено как полностью зашифрованное
    Используемое дисковое пространство Зашифровано только в Windows 8 Представляет как зашифрованный при записи НЕТ Представлено как полностью зашифрованное
    Полностью зашифрованный том из Windows 7 Представляется полностью зашифрованным Представлено как полностью зашифрованное НЕТ
    Частично зашифрованный том из Windows 7 Windows 10 и Windows 8.1 завершит шифрование независимо от политики Windows 8 завершит шифрование независимо от политики НЕТ

    Шифрование томов с использованием интерфейса командной строки manage-bde

    Manage-bde - это служебная программа командной строки, которую можно использовать для создания сценариев операций BitLocker. Manage-bde предлагает дополнительные параметры, которые не отображаются на панели управления BitLocker. Полный список параметров см. В разделе Manage-bde.

    Manage-bde предлагает множество более широких возможностей для настройки BitLocker.Таким образом, использование синтаксиса команды может потребовать осторожности и, возможно, более поздней настройки пользователем. Например, использование только команды manage-bde -on для тома данных полностью зашифрует том без каких-либо средств защиты. Зашифрованный таким образом том по-прежнему требует взаимодействия с пользователем для включения защиты BitLocker, даже если команда успешно завершена, поскольку для полной защиты тома необходимо добавить метод проверки подлинности.

    Пользователи командной строки должны определить подходящий синтаксис для данной ситуации.В следующем разделе рассматривается общее шифрование томов операционной системы и томов данных.

    Объем операционной системы

    Ниже приведены примеры основных допустимых команд для томов операционной системы. Как правило, использование только команды manage-bde -on <буква диска> зашифрует том операционной системы с помощью предохранителя только для TPM и без ключа восстановления. Однако во многих средах требуются более безопасные средства защиты, такие как пароли или ПИН-код, и ожидается возможность восстановления информации с помощью ключа восстановления.

    Определение статуса объема

    Хорошей практикой при использовании manage-bde является определение статуса тома в целевой системе. Используйте следующую команду для определения статуса тома:

    manage-bde -status

    Эта команда возвращает тома на целевом объекте, текущий статус шифрования и тип тома (операционная система или данные) для каждого тома. Используя эту информацию, пользователи могут определить лучший метод шифрования для своей среды.

    Включение BitLocker без TPM

    Например, предположим, что вы хотите включить BitLocker на компьютере без микросхемы TPM. Чтобы правильно включить BitLocker для тома операционной системы, вам нужно будет использовать USB-накопитель в качестве ключа запуска для загрузки (в этом примере буква диска E). Сначала вы должны создать ключ запуска, необходимый для BitLocker, с помощью параметра –protectors и сохранить его на USB-накопитель на E :, а затем начать процесс шифрования. Когда будет предложено завершить процесс шифрования, вам нужно будет перезагрузить компьютер.

      manage-bde –protectors -add C: -startupkey E: управление-bde -on C:  

    Включение BitLocker только с TPM

    Можно зашифровать том операционной системы без каких-либо определенных средств защиты с помощью команды manage-bde. Используйте эту команду:

    manage-bde -on C:

    Эта команда зашифрует диск, используя доверенный платформенный модуль в качестве предохранителя. Если пользователь не уверен в протекторе тома, он может использовать параметр -protectors в manage-bde, чтобы вывести эту информацию на экран с помощью команды:

    manage-bde -protectors -get <объем>

    Подготовка BitLocker с двумя предохранителями

    Другой пример - пользователь оборудования без TPM, который хочет добавить пароль и средство защиты на основе SID к тому операционной системы.В этом случае пользователь сначала добавляет протекторы. Используйте эту команду:

    manage-bde -protectors -add C: -pw -sid <пользователь или группа>

    Эта команда потребует, чтобы пользователь ввел, а затем подтвердил защиту паролем, прежде чем добавлять их в том. Когда на томе включены протекторы, пользователю просто нужно включить BitLocker.

    Объем данных

    Тома данных используют тот же синтаксис для шифрования, что и тома операционной системы, но им не требуются средства защиты для завершения операции.Шифрование томов данных можно выполнить с помощью базовой команды: manage-bde -on <буква диска> , или пользователи могут добавить предохранители к тому. Мы рекомендуем вам добавить как минимум один основной предохранитель и предохранитель восстановления к тому данных.

    Включение BitLocker с паролем

    Обычным средством защиты тома данных является средство защиты паролем. В приведенном ниже примере мы добавляем защиту паролем к тому и включаем BitLocker.

      manage-bde -protectors -add -pw C: управление-bde -on C:  

    Шифрование томов с помощью командлетов BitLocker Windows PowerShell

    Командлеты

    Windows PowerShell предоставляют альтернативный способ работы с BitLocker.Используя возможности Windows PowerShell для создания сценариев, администраторы могут легко интегрировать параметры BitLocker в существующие сценарии. В списке ниже показаны доступные командлеты BitLocker.

    Имя

    Параметры

    Добавить BitLockerKeyProtector

    -ADAccountOrGroup

    -ADAccountOrGroupProtector

    -Подтвердить

    -MountPoint

    -Пароль

    -PasswordProtector

    -Пин

    -RecoveryKeyPath

    -RecoveryKeyProtector

    -RecoveryPassword

    -RecoveryPasswordProtector

    -Служба

    -StartupKeyPath

    -StartupKeyProtector

    -TpmAndPinAndStartupKeyProtector

    -TpmAndPinProtector

    -TpmAndStartupKeyProtector

    -TpmProtector

    -WhatIf

    Резервное копирование BitLockerKeyProtector

    -Подтвердить

    -KeyProtectorId

    -MountPoint

    -WhatIf

    Отключить BitLocker

    -Подтвердить

    -MountPoint

    -WhatIf

    Отключить BitLockerAutoUnlock

    -Подтвердить

    -MountPoint

    -WhatIf

    Включить BitLocker

    -AdAccountOrGroup

    -AdAccountOrGroupProtector

    -Подтвердить

    -Метод шифрования

    -Аппаратное шифрование

    -Пароль

    -PasswordProtector

    -Пин

    -RecoveryKeyPath

    -RecoveryKeyProtector

    -RecoveryPassword

    -RecoveryPasswordProtector

    -Служба

    -SkipHardwareTest

    -StartupKeyPath

    -StartupKeyProtector

    -TpmAndPinAndStartupKeyProtector

    -TpmAndPinProtector

    -TpmAndStartupKeyProtector

    -TpmProtector

    -UsedSpaceOnly

    -WhatIf

    Включить-BitLockerAutoUnlock

    -Подтвердить

    -MountPoint

    -WhatIf

    Get-BitLockerVolume

    -MountPoint

    Lock-BitLocker

    -Подтвердить

    -ForceDismount

    -MountPoint

    -WhatIf

    Удалить BitLockerKeyProtector

    -Подтвердить

    -KeyProtectorId

    -MountPoint

    -WhatIf

    Резюме-BitLocker

    -Подтвердить

    -MountPoint

    -WhatIf

    Приостановить BitLocker

    -Подтвердить

    -MountPoint

    -RebootCount

    -WhatIf

    Разблокировка BitLocker

    -AdAccountOrGroup

    -Подтвердить

    -MountPoint

    -Пароль

    -RecoveryKeyPath

    -RecoveryPassword

    -RecoveryPassword

    -WhatIf

    Как и Manage-bde, командлеты Windows PowerShell позволяют выполнять настройку, выходящую за рамки параметров, предлагаемых на панели управления.Как и в случае с manage-bde, пользователям необходимо учитывать конкретные потребности тома, который они шифруют, перед запуском командлетов Windows PowerShell.

    Хорошим начальным шагом является определение текущего состояния томов на компьютере. Это можно сделать с помощью командлета тома Get-BitLocker . В выходных данных этого командлета отображается информация о типе тома, средствах защиты, состоянии защиты и другая полезная информация.

    Иногда все средства защиты могут не отображаться при использовании Get-BitLockerVolume из-за нехватки места на экране вывода.Если вы не видите все предохранители для тома, вы можете использовать команду конвейера Windows PowerShell (|), чтобы отформатировать список предохранителей.

    Примечание

    В случае, если для тома более четырех защитных устройств, команде конвейера может не хватить места для отображения. Для томов с более чем четырьмя протекторами используйте метод, описанный в разделе ниже, чтобы создать список всех протекторов с идентификатором протектора.

      Get-BitLockerVolume C: | эт  

    Если вы хотите удалить существующие предохранители перед подготовкой BitLocker на томе, вы можете использовать командлет Remove-BitLockerKeyProtector .Для выполнения этой задачи необходимо удалить GUID, связанный с предохранителем. Простой сценарий может передавать значения каждого возврата Get-BitLockerVolume другой переменной, как показано ниже:

      $ vol = Get-BitLockerVolume $ keyprotectors = $ vol.KeyProtector  

    Используя этот сценарий, мы можем отобразить информацию в переменной $ keyprotectors , чтобы определить GUID для каждого предохранителя. Используя эту информацию, мы можем удалить защитный ключ для определенного тома с помощью команды:

      Remove-BitLockerKeyProtector <том>: -KeyProtectorID "{GUID}"  

    Примечание

    Для выполнения командлета BitLocker требуется GUID предохранителя ключа, заключенный в кавычки.Убедитесь, что в команду включен весь GUID с фигурными скобками.

    Объем операционной системы

    Использование командлетов Windows PowerShell BitLocker аналогично работе с инструментом manage-bde для шифрования томов операционной системы. Windows PowerShell предлагает пользователям большую гибкость. Например, пользователи могут добавить желаемый предохранитель как часть команды для шифрования тома. Ниже приведены примеры распространенных пользовательских сценариев и шаги по их реализации с помощью командлетов BitLocker для Windows PowerShell.

    Чтобы включить BitLocker только с помощью предохранителя TPM, используйте эту команду:

      Включить-BitLocker C:  

    В приведенном ниже примере добавляется одно дополнительное средство защиты, средства защиты StartupKey, и выбирается пропуск аппаратного теста BitLocker. В этом примере шифрование запускается немедленно без перезагрузки.

      Включить-BitLocker C: -StartupKeyProtector -StartupKeyPath <путь> -SkipHardwareTest  

    Объем данных

    Шифрование тома данных с помощью Windows PowerShell такое же, как и для томов операционной системы.Перед шифрованием тома добавьте желаемые предохранители. В следующем примере на том E: добавляется предохранитель пароля, используя в качестве пароля переменную $ pw. Переменная $ pw хранится как значение SecureString для хранения пароля, определенного пользователем. Наконец, начинается шифрование.

      $ pw = Read-Host -AsSecureString <пароль, вводимый пользователем> Включить-BitLockerKeyProtector E: -PasswordProtector -Password $ pw  

    Использование средства защиты на основе SID в Windows PowerShell

    Средство защиты ADAccountOrGroup - это средство защиты на основе SID Active Directory.Этот предохранитель может быть добавлен как к томам операционной системы, так и к томам данных, хотя он не разблокирует тома операционной системы в предзагрузочной среде. Защитник требует SID для учетной записи домена или группы для связи с защитником. BitLocker может защитить диск с поддержкой кластера, добавив предохранитель на основе SID для объекта имени кластера (CNO), который позволяет правильно переключить диск при отказе и разблокировать его для любого компьютера-члена кластера.

    Предупреждение

    Средство защиты на основе SID требует использования дополнительного средства защиты (например, TPM, PIN, ключа восстановления и т. Д.).) при использовании на томах операционной системы.

    Чтобы добавить предохранитель ADAccountOrGroup к тому, вам понадобится либо фактический SID домена, либо имя группы, которому предшествует домен и обратная косая черта. В приведенном ниже примере учетная запись CONTOSO \ Administrator добавляется в качестве предохранителя к тому данных G.

      Включить-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO \ Administrator  

    Для пользователей, которые хотят использовать SID для учетной записи или группы, первым шагом является определение SID, связанного с учетной записью.Чтобы получить конкретный SID для учетной записи пользователя в Windows PowerShell, используйте следующую команду:

      Get-ADUser -filter {samaccountname -eq "administrator"}  

    Примечание

    Для использования этой команды требуется функция RSAT-AD-PowerShell.

    Совет: В дополнение к приведенной выше команде Windows PowerShell информацию о локально вошедших в систему пользователях и членстве в группах можно найти с помощью: WHOAMI / ALL. Это не требует использования дополнительных возможностей.

    В приведенном ниже примере пользователь хочет добавить предохранитель на основе SID домена к ранее зашифрованному тому операционной системы. Пользователь знает SID для учетной записи пользователя или группы, которую он хочет добавить, и использует следующую команду:

      Добавить-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup ""  

    Примечание

    Защитные устройства на основе

    Active Directory обычно используются для разблокировки томов с включенным отказоустойчивым кластером.

    Проверка статуса BitLocker

    Чтобы проверить состояние BitLocker определенного тома, администраторы могут просмотреть состояние диска в апплете панели управления BitLocker, проводнике Windows, инструменте командной строки manage-bde или командлетах Windows PowerShell.Каждый вариант предлагает разные уровни детализации и простоту использования. Мы рассмотрим каждый из доступных методов в следующем разделе.

    Проверка статуса BitLocker с помощью панели управления

    Проверка статуса BitLocker с помощью панели управления - наиболее распространенный метод, используемый большинством пользователей. После открытия состояние каждого тома будет отображаться рядом с описанием тома и буквой диска. Доступные возвращаемые значения состояния с помощью панели управления включают:

    Статус Описание
    на BitLocker включен для тома
    Выкл. BitLocker не включен для тома
    Подвесной BitLocker приостановлен и не защищает том активно
    Ожидание активации BitLocker включен с помощью ключа защиты и требует дальнейших действий для полной защиты.

    Если диск предварительно настроен с помощью BitLocker, состояние «Ожидание активации» отображается с желтым восклицательным значком на томе.Этот статус означает, что при шифровании тома использовался только чистый предохранитель. В этом случае том не находится в защищенном состоянии, и для полной защиты диска необходимо добавить в том защищенный ключ. Администраторы могут использовать панель управления, инструмент manage-bde или API-интерфейсы WMI, чтобы добавить соответствующий предохранитель ключа. После завершения панель управления обновится, чтобы отразить новый статус. Используя панель управления, администраторы могут выбрать Включить BitLocker , чтобы запустить мастер шифрования диска BitLocker и добавить предохранитель, например ПИН-код для тома операционной системы (или пароль, если доверенный платформенный модуль не существует), или пароль или предохранитель смарт-карты для объем данных.Перед изменением состояния тома отображается окно безопасности диска. Выбор Активировать BitLocker завершит процесс шифрования.

    После завершения активации средства защиты BitLocker отображается уведомление о завершении.

    Проверка статуса BitLocker с помощью manage-bde

    Администраторы, предпочитающие интерфейс командной строки, могут использовать manage-bde для проверки состояния тома. Manage-bde может возвращать больше информации о томе, чем инструменты графического пользовательского интерфейса на панели управления.Например, manage-bde может отображать используемую версию BitLocker, тип шифрования и средства защиты, связанные с томом.

    Чтобы проверить состояние тома с помощью команды manage-bde, используйте следующую команду:

      manage-bde -status <объем>  

    Примечание

    Если с командой -status не связана буква тома, все тома на компьютере отображают свой статус.

    Проверка статуса BitLocker с помощью Windows PowerShell

    Команды

    Windows PowerShell предлагают еще один способ запроса статуса BitLocker для томов.Как и manage-bde, Windows PowerShell дает возможность проверять состояние тома на удаленном компьютере.

    Используя командлет Get-BitLockerVolume, каждый том в системе будет отображать свое текущее состояние BitLocker. Чтобы получить более подробную информацию о конкретном томе, используйте следующую команду:

      Get-BitLockerVolume <том> -Verbose | эт  

    Эта команда отображает информацию о методе шифрования, типе тома, предохранителях ключа и т. Д.

    Подготовка BitLocker во время развертывания операционной системы

    Администраторы могут включить BitLocker перед развертыванием операционной системы из среды предустановки Windows. Эта задача выполняется с помощью случайно сгенерированного предохранителя открытого ключа, применяемого к отформатированному тому и шифрующего том перед запуском процесса установки Windows. Если для шифрования используется параметр «Только используемое дисковое пространство», описанный далее в этом документе, этот шаг занимает всего несколько секунд и хорошо включается в обычные процессы развертывания.

    Расшифровка томов BitLocker

    Расшифровка томов удаляет BitLocker и все связанные средства защиты с томов. Расшифровка должна происходить, когда защита больше не требуется. Расшифровка BitLocker не должна использоваться для устранения неполадок. BitLocker можно удалить с тома с помощью апплета панели управления BitLocker, manage-bde или командлетов Windows PowerShell. Мы обсудим каждый метод ниже.

    Расшифровка томов с помощью апплета панели управления BitLocker

    Расшифровка

    BitLocker с помощью панели управления выполняется с помощью мастера.Панель управления можно вызвать из проводника Windows или открыв файл напрямую. После открытия панели управления BitLocker пользователи выберут параметр Отключить BitLocker, чтобы начать процесс. После выбора пользователь решает продолжить, щелкнув диалоговое окно подтверждения. После подтверждения «Выключить BitLocker» начнется процесс расшифровки диска, и состояние будет отправлено на панель управления.

    Панель управления не сообщает о ходе расшифровки, но отображает его в области уведомлений на панели задач.При выборе значка в области уведомлений откроется модальное диалоговое окно с информацией о ходе выполнения.

    После завершения расшифровки накопитель обновит свой статус на панели управления и станет доступен для шифрования.

    Расшифровка томов с использованием интерфейса командной строки manage-bde

    Расшифровать тома с помощью manage-bde очень просто. Расшифровка с помощью manage-bde дает то преимущество, что не требует подтверждения пользователя для запуска процесса. Manage-bde использует команду -off для запуска процесса дешифрования.Пример команды для расшифровки:

      управление-bde -off C:  

    Эта команда отключает средства защиты во время расшифровки тома и удаляет все средства защиты после завершения расшифровки. Если пользователь желает проверить статус расшифровки, он может использовать следующую команду:

      manage-bde -status C:  

    Расшифровка томов с помощью командлетов BitLocker Windows PowerShell

    Расшифровка с помощью командлетов Windows PowerShell проста, как и manage-bde.Дополнительным преимуществом Windows PowerShell является возможность расшифровывать несколько дисков за один проход. В приведенном ниже примере у пользователя есть три зашифрованных тома, которые он хочет расшифровать.

    Используя команду Disable-BitLocker, они могут удалить все средства защиты и шифрование одновременно без дополнительных команд. Пример этой команды:

      Отключить BitLocker  

    Если пользователь не хотел вводить каждую точку монтирования по отдельности, использование параметра -MountPoint в массиве может упорядочить ту же команду в одну строку без необходимости дополнительного ввода данных пользователем.Пример команды:

      Отключить-BitLocker -MountPoint E:, F:, G:  

    См. Также

    .

    Смотрите также