В следующей таблице перечислены политики BitLocker, применимые ко всем типам дисков, с указанием того, применимы ли они через поставщик служб конфигурации (CSP) и (или) групповую политику (GPO). Выберите имя политики для получения дополнительных сведений.
Разрешить шифрование стандартных пользователей
С помощью этой политики можно применить политику требовать шифрование устройства для сценариев, в которых политика применяется, пока текущий вошедший в систему пользователь не имеет прав администратора.
Выбор папки по умолчанию для пароля восстановления
Укажите путь по умолчанию, который отображается, когда мастер настройки шифрования дисков BitLocker предлагает пользователю ввести папку, в которой нужно сохранить пароль восстановления. Можно указать полный путь или включить переменные среды целевого компьютера в путь:
- Если путь недопустим, мастер настройки BitLocker отображает представление папок верхнего уровня компьютера.
- Если этот параметр политики отключен или не настроен, мастер настройки BitLocker отображает представление папок верхнего уровня компьютера, когда пользователь выбирает параметр сохранения пароля восстановления в папке.
Примечание.
Этот параметр политики не запрещает пользователю сохранять пароль восстановления в другой папке.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование диска BitLocker |
Выбор метода шифрования диска и надежности шифра
С помощью этой политики можно настроить алгоритм шифрования и надежность шифра ключа для фиксированных дисков с данными, дисков операционной системы и съемных дисков данных по отдельности.
Рекомендуемые параметры: XTS-AES алгоритм для всех дисков. Выбор размера ключа( 128 или 256 бит) зависит от производительности устройства. Для более высокопроизводительных жестких дисков и ЦП выберите 256-разрядный ключ, для менее производительных используйте 128.
Важно.
Размер ключа может потребоваться нормативным органам или отрасли.
Если этот параметр политики отключен или не настроен, BitLocker использует метод XTS-AES 128-bitшифрования по умолчанию .
Примечание.
Эта политика не применяется к зашифрованным дискам. Зашифрованные диски используют собственный алгоритм, который задается диском во время секционирования.
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
EncryptionMethodByDriveType |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование диска BitLocker |
С помощью этой политики можно настроить числовую смену паролей восстановления при использовании для ОС и фиксированных дисков на Microsoft Entra присоединенных и Microsoft Entra гибридных устройствах.
Возможные значения:
-
0: числовая смена пароля восстановления отключена
-
1: смена пароля для числового восстановления при использовании включена для Microsoft Entra присоединенных устройств. Это также значение по умолчанию
-
2: смена паролей для числового восстановления при использовании включена как для устройств, присоединенных к Microsoft Entra, так и для Microsoft Entra гибридных присоединенных устройств
Примечание.
Политика действует только в том случае, если идентификатор Micropsoft Entra или резервная копия Active Directory для пароля восстановления настроена на обязательный
- Для диска ОС: включите параметр Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы.
- Для фиксированных дисков: включите параметр "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными.
Отключение новых устройств DMA при блокировке этого компьютера
Если этот параметр политики включен, этот параметр политики блокирует прямой доступ к памяти (DMA) для всех портов PCI с горячей заменой до тех пор, пока пользователь не войдет в Windows.
После входа пользователя Windows перечисляет устройства PCI, подключенные к портам PCI Thunderbolt узла. Каждый раз, когда пользователь блокирует устройство, DMA блокируется на портах PCI Thunderbolt с горячим подключением без дочерних устройств, пока пользователь снова не войдет в систему.
Устройства, которые уже были перечислены при разблокировке устройства, будут продолжать работать до отключения или перезагрузки системы или режима гибернации.
Этот параметр политики применяется только в том случае, если включено шифрование BitLocker или устройства.
Важно.
Эта политика несовместима с защитой DMA ядра. Эту политику рекомендуется отключить, если система поддерживает защиту DMA ядра, так как защита DMA ядра обеспечивает более высокую безопасность системы. Дополнительные сведения о защите DMA ядра см. в разделе Защита DMA ядра.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование диска BitLocker |
Предотвращение перезаписи памяти при перезапуске
Этот параметр политики используется для управления перезаписью памяти компьютера при перезапуске устройства. Секреты BitLocker включают в себя материал ключа, используемый для шифрования данных.
- Если этот параметр политики включен, память не перезаписывается при перезагрузке компьютера. Предотвращение перезаписи памяти может повысить производительность перезапуска, но повышает риск раскрытия секретов BitLocker.
- Если этот параметр политики отключен или не настроен, секреты BitLocker удаляются из памяти при перезагрузке компьютера.
Примечание.
Этот параметр политики применяется только в том случае, если включена защита BitLocker.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование диска BitLocker |
Укажите уникальные идентификаторы для вашей организации
Этот параметр политики позволяет связать уникальные идентификаторы организации с диском, зашифрованным с помощью BitLocker. Идентификаторы хранятся в качестве поля идентификации и поля разрешенной идентификации:
- Поле идентификации позволяет связать уникальный идентификатор организации с дисками, защищенными BitLocker. Этот идентификатор автоматически добавляется на новые диски, защищенные BitLocker, и его можно обновить на существующих дисках, защищенных BitLocker, с помощью средства настройки шифрования диска BitLocker (
manage-bde.exe).
- Поле разрешенной идентификации используется в сочетании с параметром политики Запретить доступ на запись к съемным дискам, не защищенным BitLocker , чтобы контролировать использование съемных дисков в организации. Это разделенный запятыми список полей идентификации от вашей организации или других внешних организаций. Поля идентификации на существующих дисках можно настроить с помощью
manage-bde.exe.
Если этот параметр политики включен, можно настроить поле идентификации на диске, защищенном BitLocker, и любое разрешенное поле идентификации, используемое вашей организацией. Когда диск, защищенный BitLocker, подключен к другому устройству с поддержкой BitLocker, поле идентификации и поле разрешенной идентификации используются для определения того, является ли диск из другой организации.
Если этот параметр политики отключен или не настроен, поле идентификации не требуется.
Важно.
Поля идентификации необходимы для управления агентами восстановления данных на основе сертификатов на дисках, защищенных BitLocker. BitLocker управляет и обновляет агенты восстановления данных на основе сертификатов только в том случае, если поле идентификации присутствует на диске и идентично значению, настроенном на устройстве. Поле идентификации может содержать любое значение из 260 символов или меньше.
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
IdentificationField |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование диска BitLocker |
Требовать шифрование устройства
Этот параметр политики определяет, требуется ли BitLocker:
- Если этот параметр включен, шифрование активируется на всех дисках автоматически или не в автоматическом режиме на основе предупреждения Разрешить для другой политики шифрования дисков .
- Если этот параметр отключен, BitLocker не отключается для системного диска, но он перестает предлагать пользователю включить BitLocker.
Зашифрованные фиксированные тома данных обрабатываются аналогично томам ОС, но для шифрования они должны соответствовать другим критериям:
- Он не должен быть динамическим томом
- Он не должен быть разделом восстановления.
- Он не должен быть скрытым томом
- Он не должен быть системным разделом.
- Он не должен поддерживаться виртуальным хранилищем
- Он не должен иметь ссылку в хранилище BCD
Проверка соответствия правилу использования сертификатов интеллектуального карта
Этот параметр политики используется для определения сертификата для использования с BitLocker путем связывания идентификатора объекта (OID) из сертификата интеллектуальной карта с диском, защищенным BitLocker. Идентификатор объекта указывается в расширенном коде использования ключа (EKU) сертификата.
BitLocker может определить, какие сертификаты могут использоваться для проверки подлинности сертификата пользователя на диске, защищенном BitLocker, путем сопоставления идентификатора объекта в сертификате с идентификатором объекта, определенным этим параметром политики. OID по умолчанию — 1.3.6.1.4.1.311.67.1.1.
Если этот параметр политики включен, идентификатор объекта, указанный в поле Идентификатор объекта, должен соответствовать идентификатору объекта в сертификате смарт-карта. Если этот параметр политики отключен или не настроен, используется OID по умолчанию.
Примечание.
Для BitLocker не требуется, чтобы у сертификата был атрибут EKU; Однако если сертификат настроен для сертификата, ему необходимо задать идентификатор объекта, соответствующий идентификатору объекта, настроенного для BitLocker.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование диска BitLocker |
Разрешить устройствам, совместимым с InstantGo или HSTI, отказаться от предварительно загрузленного ПИН-кода
Этот параметр политики позволяет пользователям на устройствах, соответствующих InstantGo или Microsoft Hardware Security Test Interface (HSTI), не иметь ПИН-код для предварительной проверки подлинности.
Политика переопределяет параметры Требовать пин-код запуска с доверенным платформенный платформенный модуль и Требовать ключ запуска и ПИН-код с доверенным платформенный платформенный модуль политики Требовать дополнительную проверку подлинности при запуске на совместимом оборудовании.
- Если этот параметр политики включен, пользователи на устройствах, совместимых с InstantGo и HSTI, смогут включить BitLocker без предварительной проверки подлинности.
- Если политика отключена или не настроена, применяются параметры требовать дополнительную проверку подлинности при запуске .
Разрешение расширенных ПИН-кодов для запуска
Этот параметр позволяет использовать расширенные ПИН-коды при использовании метода разблокировки, содержащего ПИН-код.
Расширенные ПИН-коды запуска позволяют использовать символы (включая прописные и строчные буквы, символы, цифры и пробелы).
Важно.
Не все компьютеры поддерживают расширенные символы ПИН-кода в предварительной среде. Настоятельно рекомендуется, чтобы пользователи выполняли системные проверка во время настройки BitLocker, чтобы убедиться, что можно использовать расширенные символы ПИН-кода.
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesEnhancedPIN |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Разрешить разблокировку сети при запуске
Этот параметр политики определяет, может ли защищенное BitLocker устройство, подключенное к доверенной проводной локальной сети (LAN), создавать и использовать предохранители ключей сети на компьютерах с поддержкой доверенного платформенного модуля, чтобы автоматически разблокировать диск операционной системы при запуске компьютера.
Если эта политика включена, устройства, настроенные с помощью сертификата BitLocker Network Unlock, могут создавать и использовать предохранители сетевых ключей. Чтобы использовать средство защиты сетевых ключей для разблокировки компьютера, компьютер и сервер сетевой разблокировки шифрования диска BitLocker должны быть подготовлены с помощью сертификата сетевой разблокировки. Сертификат сетевой разблокировки используется для создания предохранителей ключей сети и защищает сведения, передаваемые с сервера для разблокировки компьютера.
Групповая политика параметр Конфигурация> компьютераПараметры>Windows Параметры безопасности Политики открытых>ключей>BitLocker Drive Encryption Network Unlock Certificate можно использовать на контроллере домена для распространения этого сертификата на компьютеры в организации. Этот метод разблокировки использует доверенный платформенный модуль на компьютере, поэтому компьютеры, у которых нет доверенного платформенного модуля, не могут создавать сетевые предохранители ключей для автоматической разблокировки с помощью сетевой разблокировки.
Если этот параметр политики отключен или не настроен, клиенты BitLocker не смогут создавать и использовать средства защиты сетевых ключей.
Примечание.
Для обеспечения надежности и безопасности компьютеры также должны иметь ПИН-код запуска доверенного платформенного модуля, который можно использовать при отключении компьютера от проводной сети или сервера при запуске.
Дополнительные сведения о функции сетевой разблокировки см. в статье BitLocker: включение сетевой разблокировки.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Разрешить безопасную загрузку для проверки целостности
Этот параметр политики позволяет настроить, разрешена ли безопасная загрузка в качестве поставщика целостности платформы для дисков операционной системы BitLocker.
Безопасная загрузка гарантирует, что среда предварительной загрузки устройства загружает только встроенное ПО с цифровой подписью авторизованных издателей программного обеспечения.
- Если этот параметр политики включен или не настроен, BitLocker использует безопасную загрузку для целостности платформы, если платформа поддерживает проверку целостности на основе безопасной загрузки.
- Если этот параметр политики отключен, BitLocker использует проверку целостности устаревшей платформы даже в системах, поддерживающих проверку целостности на основе безопасной загрузки.
Если эта политика включена и оборудование может использовать безопасную загрузку для сценариев BitLocker, параметр политики Использовать профиль проверки данных расширенной конфигурации загрузки игнорируется, а безопасная загрузка проверяет параметры BCD в соответствии с параметром политики безопасной загрузки, который настраивается отдельно от BitLocker.
Warning
Отключение этой политики может привести к восстановлению BitLocker при обновлении встроенного ПО конкретного производителя. Если эта политика отключена, приостановите BitLocker перед применением обновлений встроенного ПО.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Разрешить предупреждение для другого шифрования диска
С помощью этой политики можно отключить все уведомления о шифровании, предупредительный запрос для шифрования другого диска и включить шифрование автоматически.
Важно.
Эта политика применяется только к устройствам, присоединенным к Microsoft Entra.
Эта политика вступает в силу только в том случае, если включена политика требовать шифрование устройств .
Warning
При включении BitLocker на устройстве с шифрованием, отличном от Майкрософт, устройство может оказаться непригодным для использования и потребует переустановки Windows.
Ожидаемые значения для этой политики:
- Включено (по умолчанию): предупреждение и уведомление о шифровании разрешены
- Отключено: предупреждение и уведомление о шифровании подавляются. Windows попытается включить BitLocker автоматически
Примечание.
При отключении предупреждающего запроса ключ восстановления диска ОС будет выполнять резервное копирование в учетную запись Microsoft Entra ID пользователя. Когда вы разрешаете предупреждение, пользователь, получающий запрос, может выбрать, где создать резервную копию ключа восстановления диска ОС.
Конечная точка для резервной копии фиксированного диска данных выбирается в следующем порядке:
- Учетная запись Windows Server Active Directory Доменные службы пользователя
- Учетная запись Microsoft Entra ID пользователя
- Личный oneDrive пользователя (только MDM/MAM)
Шифрование будет ждать, пока одно из этих трех расположений успешно выполнит резервное копирование.
Выберите способы восстановления дисков операционной системы с защитой BitLocker
Этот параметр политики позволяет управлять восстановлением дисков операционной системы, защищенных BitLocker, при отсутствии необходимых сведений о ключе запуска. Если этот параметр политики включен, можно управлять методами, доступными пользователям для восстановления данных с дисков операционной системы, защищенных BitLocker. Ниже приведены доступные варианты.
-
Разрешить агент восстановления данных на основе сертификатов: укажите, можно ли использовать агент восстановления данных с дисками ОС, защищенными BitLocker. Прежде чем можно будет использовать агент восстановления данных, его необходимо добавить из элемента Политики открытых ключей в консоли управления групповая политика или локальной групповая политика Редактор
-
Настройка пользовательского хранилища сведений о восстановлении BitLocker: укажите, разрешено ли пользователям создавать 48-значный пароль восстановления или 256-разрядный ключ восстановления.
-
Опустить параметры восстановления в мастере настройки BitLocker: запретить пользователям указывать параметры восстановления при включении BitLocker для диска. Это означает, что пользователи не смогут указать, какой параметр восстановления следует использовать при включении BitLocker. Параметры восстановления BitLocker для диска определяются параметром политики
-
Сохраните сведения о восстановлении BitLocker, чтобы доменные службы Active Directory. Выберите сведения о восстановлении BitLocker для хранения в AD DS для дисков операционной системы. При выборе резервного копирования пароля восстановления и пакета ключей оба пароля восстановления BitLocker и пакет ключей будут сохранены в AD DS. Хранение пакета ключей поддерживает восстановление данных с диска, который был физически поврежден. Если выбран параметр Только пароль восстановления резервного копирования, в AD DS сохраняется только пароль восстановления.
-
Не включайте BitLocker до тех пор, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы. Запрещает пользователям включать BitLocker, если устройство не подключено к домену и резервное копирование сведений о восстановлении BitLocker в AD DS успешно. При использовании этого параметра автоматически создается пароль восстановления.
Если этот параметр политики отключен или не настроен, параметры восстановления по умолчанию поддерживаются для восстановления BitLocker. По умолчанию DRA разрешена, пользователь может указать параметры восстановления, включая пароль восстановления и ключ восстановления, а сведения о восстановлении не резервируются в AD DS.
Для Microsoft Entra устройств с гибридным присоединением пароль восстановления BitLocker создается как в Active Directory, так и в Идентификатор Entra.
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesRecoveryOptions |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Эта политика настраивает минимальную длину ПИН-кода запуска доверенного платформенного модуля (TPM). ПИН-код запуска должен иметь не менее 4 цифр, а максимальная длина может составлять 20 цифр.
Если этот параметр политики включен, при настройке ПИН-кода запуска можно использовать минимальное число цифр.
Если этот параметр политики отключен или не настроен, пользователи могут настроить ПИН-код запуска любой длины от 6 до 20 цифр.
TPM можно настроить для использования параметров защиты от атак в словаре (пороговое значение блокировки и длительность блокировки для управления количеством неудачных попыток авторизации, прежде чем доверенный платформенный модуль будет заблокирован, и сколько времени должно пройти до выполнения другой попытки.
Параметры защиты от атак в словаре позволяют сбалансировать потребности безопасности с удобством использования. Например, если BitLocker используется с конфигурацией доверенного платформенного модуля + ПИН-код, количество предположений ПИН-кода со временем ограничено. TPM 2.0 в этом примере может быть настроен так, чтобы разрешить только 32 угадывание ПИН-кода сразу, а затем только еще одну догадку каждые два часа. Это число попыток составляет не более 4415 догадок в год. Если ПИН-код имеет четыре цифры, все возможные сочетания ПИН-кода 9999 можно попытаться выполнить через чуть более двух лет.
Совет
Для увеличения длины ПИН-кода требуется большее количество догадок для злоумышленника. В этом случае длительность блокировки между каждой догадкой может быть сокращена, чтобы позволить законным пользователям повторить неудачную попытку раньше, сохраняя при этом аналогичный уровень защиты.
Примечание.
Если минимальная длина ПИН-кода меньше 6 цифр, Windows попытается обновить период блокировки доверенного платформенного модуля 2.0, чтобы он превышал значение по умолчанию при изменении ПИН-кода. В случае успешного выполнения Windows сбросит период блокировки доверенного платформенного модуля до значения по умолчанию, только если доверенный платформенный модуль сброшен.
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesMinimumPINLength |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Этот параметр политики используется для настройки сообщения восстановления и замены существующего URL-адреса, который отображается на экране восстановления перед загрузки, когда диск ОС заблокирован.
- Если выбран параметр Использовать сообщение о восстановлении по умолчанию и URL-адрес , на экране восстановления предварительной загрузки ключа отображаются сообщение и URL-адрес восстановления BitLocker по умолчанию. Если вы ранее настроили пользовательское сообщение восстановления или URL-адрес и хотите отменить изменения к сообщению по умолчанию, необходимо оставить политику включенной и выбрать параметр Использовать сообщение восстановления и URL-адрес по умолчанию.
- Если выбран параметр Использовать пользовательское сообщение о восстановлении , сообщение, добавленное в текстовое поле Настраиваемое сообщение о восстановлении , отобразится на экране восстановления с ключом предварительной загрузки. Если URL-адрес восстановления доступен, включите его в сообщение
- Если выбран параметр Использовать настраиваемый URL-адрес восстановления , URL-адрес, добавленный в текстовое поле Настраиваемый URL-адрес восстановления , заменит URL-адрес по умолчанию в сообщении о восстановлении по умолчанию, которое отображается на экране восстановления ключа перед загрузки.
Примечание.
Не все символы и языки поддерживаются при предварительной загрузке. Настоятельно рекомендуется проверить, правильно ли отображаются символы, используемые для пользовательского сообщения или URL-адреса, на экране восстановления перед загрузкой.
Дополнительные сведения о экране восстановления перед загрузки BitLocker см. в разделе Предварительный просмотр экрана восстановления.
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesRecoveryMessage |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Этот параметр политики определяет, какие значения измеряет доверенный платформенный модуль при проверке компонентов ранней загрузки перед разблокировкой диска операционной системы на компьютере с конфигурацией BIOS или встроенного ПО UEFI с включенным модулем поддержки совместимости (CSM).
- Если этот параметр включен, можно настроить компоненты загрузки, которые доверенный платформенный модуль проверяет перед разблокировками доступа к диску операционной системы с шифрованием BitLocker. Если какой-либо из этих компонентов изменяется во время действия защиты BitLocker, TPM не освобождает ключ шифрования для разблокировки диска. Вместо этого на компьютере отображается консоль восстановления BitLocker и требуется предоставить пароль восстановления или ключ восстановления для разблокировки диска.
- Если этот параметр отключен или не настроен, доверенный платформенный модуль использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный в скрипте установки.
Этот параметр политики не применяется, если на компьютере нет совместимого доверенного платформенного модуля или если BitLocker уже включен с защитой доверенного платформенного модуля.
Важно.
Этот групповая политика параметр применяется только к компьютерам с конфигурациями BIOS или компьютерам с встроенным встроенным ПО UEFI с включенным CSM. Компьютеры, использующие собственную конфигурацию встроенного ПО UEFI, хранят различные значения в регистрах конфигурации платформы (PCR). Используйте параметр политики Настройка профиля проверки платформы доверенного платформы для собственных конфигураций встроенного ПО UEFI , чтобы настроить профиль PCR доверенного платформенного модуля для компьютеров, использующих встроенное ПО UEFI.
Профиль проверки платформы состоит из набора индексов PCR в диапазоне от 0 до 23. Каждый индекс PCR представляет определенное измерение, которое доверенный платформенный модуль проверяет во время ранней загрузки. Профиль проверки платформы по умолчанию защищает ключ шифрования от изменений в следующих PCR:
| ПЦР |
Описание |
| PCR 0 |
Основной корень доверия для измерений, BIOS и расширений платформы |
| PCR 2 |
Код ПЗУ параметра |
| PCR 4 |
Код главной загрузочной записи (MBR) |
| PCR 8 |
Загрузочный сектор NTFS |
| PCR 9 |
Загрузочный блок NTFS |
| PCR 10 |
Диспетчер загрузки |
| PCR 11 |
Управление доступом BitLocker |
Примечание.
Изменение профиля проверки платформы по умолчанию влияет на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным) увеличивается или уменьшается в зависимости от включения или исключения (соответственно) PCR.
В следующем списке указаны все доступные PCR:
| ПЦР |
Описание |
| PCR 0 |
Основной корень доверия для измерений, BIOS и расширений платформы |
| PCR 1 |
Конфигурация и данные платформы и системной платы. |
| PCR 2 |
Код ПЗУ параметра |
| PCR 3 |
Параметры данных и конфигурации ПЗУ |
| PCR 4 |
Код главной загрузочной записи (MBR) |
| PCR 5 |
Таблица разделов главной загрузочной записи (MBR) |
| PCR 6 |
События перехода состояния и пробуждения |
| PCR 7 |
Конкретный производитель компьютера |
| PCR 8 |
Загрузочный сектор NTFS |
| PCR 9 |
Загрузочный блок NTFS |
| PCR 10 |
Диспетчер загрузки |
| PCR 11 |
Управление доступом BitLocker |
| PCR 12-23 |
Зарезервировано для использования в будущем |
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Этот параметр политики определяет, какие значения измеряет TPM при проверке компонентов ранней загрузки перед разблокировки диска ОС на устройстве встроенного ПО UEFI native-UEFI.
- Если этот параметр политики включен перед включением BitLocker, можно настроить компоненты загрузки, которые доверенный платформенный модуль проверяет перед разблокировки доступа к зашифрованным диском ОС BitLocker. Если какой-либо из этих компонентов изменяется во время действия защиты BitLocker, TPM не освобождает ключ шифрования для разблокировки диска. Устройство отображает консоль восстановления BitLocker и требует, чтобы пароль восстановления или ключ восстановления были предоставлены для разблокировки диска.
- Если этот параметр политики отключен или не настроен, BitLocker использует профиль проверки платформы по умолчанию для доступного оборудования или профиль проверки платформы, указанный в сценарии установки.
Профиль проверки платформы состоит из набора индексов PCR в диапазоне от 0 до 23. Профиль проверки платформы по умолчанию защищает ключ шифрования от изменений в следующих PCR:
| ПЦР |
Описание |
| PCR 0 |
Исполняемый код встроенного ПО основной системы |
| PCR 2 |
Расширенный или подключаемый исполняемый код |
| PCR 4 |
Диспетчер загрузки |
| PCR 11 |
Управление доступом BitLocker |
Примечание.
Если доступна поддержка состояния безопасной загрузки (PCR7), профиль проверки платформы по умолчанию защищает ключ шифрования с помощью состояния безопасной загрузки (PCR 7) и управления доступом BitLocker (PCR 11).
В следующем списке указаны все доступные PCR:
| ПЦР |
Описание |
| PCR 0 |
Исполняемый код встроенного ПО основной системы |
| PCR 1 |
Данные о встроенном ПО основной системы |
| PCR 2 |
Расширенный или подключаемый исполняемый код |
| PCR 3 |
Расширенные или подключаемые данные встроенного ПО |
| PCR 4 |
Диспетчер загрузки |
| PCR 5 |
GPT/Таблица секций |
| PCR 6 |
Возобновление событий состояния питания S4 и S5 |
| PCR 7 |
Состояние безопасной загрузки |
| PCR 8 |
Инициализировано до 0 без расширений (зарезервировано для использования в будущем) |
| PCR 9 |
Инициализировано до 0 без расширений (зарезервировано для использования в будущем) |
| PCR 10 |
Инициализировано до 0 без расширений (зарезервировано для использования в будущем) |
| PCR 11 |
Управление доступом BitLocker |
| PCR 12 |
События данных и события с высокой степенью нестабильности |
| PCR 13 |
Сведения о загрузочном модуле |
| PCR 14 |
Центры загрузки |
| PCR 15 - 23 |
Зарезервировано для использования в будущем |
Warning
Изменение профиля проверки платформы по умолчанию влияет на безопасность и управляемость устройства. Чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным) увеличивается или уменьшается в зависимости от включения или исключения (соответственно) PCR.
Установка этой политики с опущенной PCR 7 переопределяет политику Разрешить безопасную загрузку для проверки целостности , запрещая BitLocker использовать безопасную загрузку для платформы или проверки целостности данных конфигурации загрузки (BCD).
Установка этой политики может привести к восстановлению BitLocker при обновлении встроенного ПО. Если для этой политики задано включение PCR 0, приостановите BitLocker перед применением обновлений встроенного ПО. Рекомендуется не настраивать эту политику, чтобы разрешить Windows выбирать профиль PCR для оптимального сочетания безопасности и удобства использования на основе доступного оборудования на каждом устройстве.
PCR 7 измеряет состояние безопасной загрузки. В PCR 7 BitLocker может использовать безопасную загрузку для проверки целостности. Безопасная загрузка гарантирует, что среда предварительной загрузки компьютера загружает только встроенное ПО, которое имеет цифровую подпись авторизованных издателей программного обеспечения. Измерения PCR 7 указывают, включена ли безопасная загрузка и какие ключи являются доверенными на платформе. Если безопасная загрузка включена и встроенное ПО измеряет PCR 7 правильно в спецификации UEFI, BitLocker может привязаться к этой информации, а не к PCR 0, 2 и 4, для которых загружены точные показатели встроенного ПО и образов bootmgr. Этот процесс снижает вероятность запуска BitLocker в режиме восстановления в результате обновления встроенного ПО и образа, а также обеспечивает большую гибкость для управления конфигурацией предварительной загрузки.
Измерения PCR 7 должны соответствовать рекомендациям, описанным в приложении A Протокол EFI доверенной среды выполнения.
Измерения PCR 7 являются обязательным требованием к логотипу для систем, поддерживающих современный режим ожидания (также известный как Always On, всегда подключенные компьютеры). В таких системах, если TPM с измерением PCR 7 и безопасной загрузкой настроены правильно, BitLocker по умолчанию привязывается к PCR 7 и PCR 11.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Этот параметр политики позволяет управлять использованием bitLocker аппаратного шифрования на дисках операционной системы и указать, какие алгоритмы шифрования можно использовать с аппаратным шифрованием. Использование аппаратного шифрования может повысить производительность операций с диском, которые включают частое чтение или запись данных на диск.
Если этот параметр политики включен, можно указать параметры, которые определяют, используется ли программное шифрование BitLocker вместо аппаратного шифрования на устройствах, которые не поддерживают аппаратное шифрование. Вы также можете указать, нужно ли ограничить алгоритмы шифрования и наборы шифров, используемые с аппаратным шифрованием.
Если этот параметр политики отключен, BitLocker не сможет использовать аппаратное шифрование с дисками операционной системы, а программное шифрование BitLocker будет использоваться по умолчанию при шифровании диска.
Если этот параметр политики не настроен, BitLocker будет использовать программное шифрование независимо от доступности аппаратного шифрования.
Примечание.
Параметр политики Выбор метода шифрования диска и надежности шифра не применяется к аппаратному шифрованию. Алгоритм шифрования, используемый аппаратным шифрованием, устанавливается при секционировании диска. По умолчанию BitLocker использует алгоритм, настроенный на диске для шифрования диска.
Параметр Ограничить алгоритмы шифрования и наборы шифров, разрешенных для аппаратного шифрования , позволяет ограничить алгоритмы шифрования, которые BitLocker может использовать с аппаратным шифрованием. Если алгоритм, заданный для диска, недоступен, BitLocker отключает использование аппаратного шифрования. Алгоритмы шифрования задаются идентификаторами объектов (OID). Пример
- AES 128 в режиме CBC OID:
2.16.840.1.101.3.4.1.2
- AES 256 в режиме CBC OID:
2.16.840.1.101.3.4.1.42
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Этот параметр политики задает ограничения для паролей, используемых для разблокировки дисков операционной системы, защищенных BitLocker. Если на дисках операционной системы разрешены предохранители, отличные от доверенного платформенного модуля, можно подготовить пароль, применить требования к сложности и настроить минимальную длину.
Важно.
Чтобы параметр требований к сложности был эффективным, параметр групповой политики Пароль должен соответствовать требованиям к сложности, которые находятся в разделе Конфигурация> компьютераПараметры>безопасности Параметры учетнойзаписи Политики>учетных записей>, также должны быть включены.
Если этот параметр политики включен, пользователи могут настроить пароль, соответствующий заданным вами требованиям. Чтобы применить требования к сложности для пароля, выберите Требовать сложность:
- Если задано значение Требовать сложность, подключение к контроллеру домена необходимо, если bitLocker включен для проверки сложности пароля.
- Если задано значение Разрешить сложность, подключение к контроллеру домена пытается убедиться, что сложность соответствует правилам, заданным политикой. Если контроллеры домена не найдены, пароль принимается независимо от фактической сложности пароля, и диск будет зашифрован с использованием этого пароля в качестве предохранителя.
- Если задано значение Не разрешать сложность, сложность пароля не проверяется.
Пароли должны содержать не менее восьми символов. Чтобы настроить большую минимальную длину пароля, укажите требуемое количество символов в разделе Минимальная длина пароля.
Если этот параметр политики отключен или не настроен, ограничение длины по умолчанию в восемь символов применяется к паролям диска операционной системы, и проверки сложности не выполняются.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Запретить стандартным пользователям изменять ПИН-код или пароль
Эта политика позволяет настроить, разрешено ли стандартным пользователям изменять ПИН-код или пароль, используемый для защиты диска операционной системы, если они могут сначала предоставить существующий ПИН-код.
Если эта политика включена, обычные пользователи не смогут изменять ПИН-коды или пароли BitLocker.
Если вы отключите или не настроите эту политику, обычные пользователи могут изменять ПИН-коды и пароли BitLocker.
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesDisallowStandardUsersCanChangePIN |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Этот параметр политики позволяет пользователям включать параметры проверки подлинности, требующие ввода пользователем из предварительной среды, даже если платформа не имеет возможности предварительного ввода. Сенсорная клавиатура Windows (например, используемая планшетами) недоступна в среде предварительной загрузки, где BitLocker требует дополнительных сведений, таких как ПИН-код или пароль.
- Если этот параметр политики включен, устройства должны иметь альтернативные средства предварительного ввода (например, подключенную USB-клавиатуру).
- Если эта политика не включена, среда восстановления Windows должна быть включена на планшетах для поддержки ввода пароля восстановления BitLocker.
Рекомендуется, чтобы администраторы включили эту политику только для устройств, которые проверены на наличие альтернативных средств предварительного ввода, таких как подключение USB-клавиатуры.
Если среда восстановления Windows (WinRE) не включена и эта политика не включена, BitLocker нельзя включить на устройстве с сенсорной клавиатурой.
Если этот параметр политики не включен, следующие параметры в политике Требовать дополнительную проверку подлинности при запуске могут быть недоступны:
- Настройка ПИН-кода запуска доверенного платформенного модуля: обязательный и разрешенный
- Настройка ключа запуска доверенного платформенного модуля и ПИН-кода: обязательный и разрешенный
- Настройка использования паролей для дисков операционной системы
Принудительное применение типа шифрования диска на дисках операционной системы
Этот параметр политики позволяет настроить тип шифрования, используемый шифрованием диска BitLocker.
Если этот параметр политики включен, параметр типа шифрования не предлагается в мастере настройки BitLocker:
- Выберите полное шифрование , чтобы требовать шифрования всего диска при включении BitLocker
- Выберите шифрование только используемого пространства , чтобы требовать, чтобы только часть диска, используемая для хранения данных, была зашифрована при включении BitLocker.
Если этот параметр политики отключен или не настроен, мастер настройки BitLocker попросит пользователя выбрать тип шифрования перед включением BitLocker.
Примечание.
Изменение типа шифрования не действует, если диск уже зашифрован или выполняется шифрование.
Эта политика игнорируется при сжатии или расширении тома, а драйвер BitLocker использует текущий метод шифрования. Например, при развертывании диска, использующего шифрование только используемого пространства , новое свободное пространство не очищается, как диск с полным шифрованием. Пользователь может очистить свободное место на диске только для используемого пространства с помощью следующей команды: manage-bde.exe -w. Если том сжат, для нового свободного пространства не выполняется никаких действий.
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesEncryptionType |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Требовать дополнительную проверку подлинности при запуске
Этот параметр политики настраивает, требуется ли BitLocker дополнительная проверка подлинности при каждом запуске устройства.
Если эта политика включена, пользователи могут настроить дополнительные параметры запуска в мастере настройки BitLocker.
Если этот параметр политики отключен или не настроен, пользователи могут настраивать только базовые параметры на компьютерах с доверенным платформенный платформенный модуль.
Примечание.
При запуске может потребоваться только один из дополнительных параметров проверки подлинности, в противном случае возникает ошибка политики.
Если вы хотите использовать BitLocker на устройстве без доверенного платформенного модуля, выберите параметр Разрешить BitLocker без совместимого доверенного платформенного модуля. В этом режиме для запуска требуется пароль или USB-накопитель.
При использовании ключа запуска сведения о ключах, используемых для шифрования диска, хранятся на USB-накопителе, создавая USB-ключ. При вставке USB-ключа доступ к диску проходит проверку подлинности и диск становится доступным. Если USB-ключ потерян или недоступен или вы забыли пароль, необходимо использовать один из параметров восстановления BitLocker для доступа к диску.
На компьютере с совместимым TPM при запуске можно использовать четыре типа методов проверки подлинности, чтобы обеспечить дополнительную защиту зашифрованных данных. При запуске компьютера можно использовать:
- Только TPM
- USB-устройство флэш-памяти, содержащее ключ запуска;
- ПИН-код (от 6 до 20 цифр);
- ПИН-код и USB-устройство флэш-памяти
Примечание.
Если требуется использовать ПИН-код запуска и USB-устройство флэш-памяти, необходимо настроить параметры BitLocker с помощью средства командной строки manage-bde вместо мастера настройки шифрования дисков BitLocker.
Существует четыре варианта устройств с поддержкой доверенного платформенного модуля:
Настройка запуска доверенного платформенного модуля
- Разрешить TPM
- Требовать TPM
- Не разрешайте TPM
Настройка ПИН-кода запуска доверенного платформенного модуля
- Разрешить ПИН-код запуска с доверенным платформенный модуль
- Требовать ПИН-код запуска с TPM
- Не разрешайте ПИН-код запуска с доверенным платформенный модуль
Настройка ключа запуска доверенного платформенного модуля
- Разрешение ключа запуска с TPM
- Требовать ключ запуска с TPM
- Не разрешайте ключ запуска с TPM
Настройка ключа запуска доверенного платформенного модуля и ПИН-кода
- Разрешить ключ запуска доверенного платформенного модуля с ПИН-кодом
- Требовать ключ запуска и ПИН-код с TPM
- Не разрешайте ключ запуска доверенного платформенного модуля с ПИН-кодом
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesRequireStartupAuthentication |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Этот параметр политики определяет, следует ли обновлять данные проверки платформы при запуске Windows после восстановления BitLocker. Профиль данных проверки платформы состоит из значений в наборе индексов регистра конфигурации платформы (PCR), которые варьируются от 0 до 23.
Если этот параметр политики включен, данные проверки платформы обновляются при запуске Windows после восстановления BitLocker. Такая реакция на события используется по умолчанию.
Если этот параметр политики отключен, данные проверки платформы не будут обновляться при запуске Windows после восстановления BitLocker.
Дополнительные сведения о процессе восстановления см. в статье Общие сведения о восстановлении BitLocker.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Использование расширенного профиля проверки данных конфигурации загрузки
Этот параметр политики определяет конкретные параметры данных конфигурации загрузки (BCD), которые необходимо проверить во время проверки платформы. Проверка платформы использует данные в профиле проверки платформы, который состоит из набора индексов регистра конфигурации платформы (PCR) в диапазоне от 0 до 23.
Если этот параметр политики не настроен, устройство проверит параметры windows BCD по умолчанию.
Примечание.
Если BitLocker использует безопасную загрузку для проверки целостности платформы и BCD, как определено в параметре политики Разрешить безопасную загрузку для проверки целостности , этот параметр политики игнорируется. Параметр, управляющий отладкой 0x16000010 загрузки, всегда проверяется и не действует, если он включен в список включения или исключения.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerДиски операционной системы |
Выберите способы восстановления фиксированных дисков с защитой BitLocker
Этот параметр политики позволяет управлять восстановлением фиксированных дисков данных, защищенных BitLocker, при отсутствии необходимых сведений о ключе запуска. Если этот параметр политики включен, можно управлять методами, доступными пользователям для восстановления данных с фиксированных дисков с фиксированными данными, защищенными BitLocker. Ниже приведены доступные варианты.
-
Разрешить агент восстановления данных на основе сертификатов: укажите, можно ли использовать агент восстановления данных с фиксированными дисками с фиксированными данными, защищенными BitLocker. Прежде чем можно будет использовать агент восстановления данных, его необходимо добавить из элемента Политики открытых ключей в консоли управления групповая политика или локальной групповая политика Редактор
-
Настройка пользовательского хранилища сведений о восстановлении BitLocker: укажите, разрешено ли пользователям создавать 48-значный пароль восстановления или 256-разрядный ключ восстановления.
-
Опустить параметры восстановления в мастере настройки BitLocker: запретить пользователям указывать параметры восстановления при включении BitLocker для диска. Это означает, что пользователи не смогут указать, какой параметр восстановления следует использовать при включении BitLocker. Параметры восстановления BitLocker для диска определяются параметром политики
-
Сохраните сведения о восстановлении BitLocker для доменные службы Active Directory. Выберите сведения о восстановлении BitLocker для хранения в AD DS для фиксированных дисков с данными. При выборе резервного копирования пароля восстановления и пакета ключей оба пароля восстановления BitLocker и пакет ключей будут сохранены в AD DS. Хранение пакета ключей поддерживает восстановление данных с диска, который был физически поврежден. Если выбран параметр Только пароль восстановления резервного копирования, в AD DS сохраняется только пароль восстановления.
-
Не включайте BitLocker до тех пор, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными. Запрещает пользователям включать BitLocker, если устройство не подключено к домену и резервное копирование сведений о восстановлении BitLocker в AD DS успешно. При использовании этого параметра автоматически создается пароль восстановления.
Важно.
Использование ключей восстановления должно быть запрещено, если включен параметр политики Запретить доступ на запись на фиксированные диски, не защищенные BitLocker .
Если этот параметр политики отключен или не настроен, параметры восстановления по умолчанию поддерживаются для восстановления BitLocker. По умолчанию DRA разрешена, пользователь может указать параметры восстановления, включая пароль восстановления и ключ восстановления, а сведения о восстановлении не резервируются в AD DS.
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
FixedDrivesRecoveryOptions |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerФиксированные диски с данными |
Этот параметр политики позволяет управлять использованием в BitLocker аппаратного шифрования на фиксированных дисках с данными и указать, какие алгоритмы шифрования можно использовать с аппаратным шифрованием. Использование аппаратного шифрования может повысить производительность операций с диском, которые включают частое чтение или запись данных на диск.
Если этот параметр политики включен, можно указать параметры, которые определяют, используется ли программное шифрование BitLocker вместо аппаратного шифрования на устройствах, которые не поддерживают аппаратное шифрование. Вы также можете указать, нужно ли ограничить алгоритмы шифрования и наборы шифров, используемые с аппаратным шифрованием.
Если этот параметр политики отключен, BitLocker не сможет использовать аппаратное шифрование с фиксированными дисками с данными, а программное шифрование BitLocker будет использоваться по умолчанию при шифровании диска.
Если этот параметр политики не настроен, BitLocker будет использовать программное шифрование независимо от доступности аппаратного шифрования.
Примечание.
Параметр политики Выбор метода шифрования диска и надежности шифра не применяется к аппаратному шифрованию. Алгоритм шифрования, используемый аппаратным шифрованием, устанавливается при секционировании диска. По умолчанию BitLocker использует алгоритм, настроенный на диске для шифрования диска.
Параметр Ограничить алгоритмы шифрования и наборы шифров, разрешенных для аппаратного шифрования , позволяет ограничить алгоритмы шифрования, которые BitLocker может использовать с аппаратным шифрованием. Если алгоритм, заданный для диска, недоступен, BitLocker отключает использование аппаратного шифрования. Алгоритмы шифрования задаются идентификаторами объектов (OID). Пример:
- AES 128 в режиме CBC OID:
2.16.840.1.101.3.4.1.2
- AES 256 в режиме CBC OID:
2.16.840.1.101.3.4.1.42
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerФиксированные диски с данными |
Этот параметр политики указывает, требуется ли пароль для разблокировки фиксированных дисков с фиксированными данными, защищенными BitLocker. Если вы решили разрешить использование пароля, можно требовать его использования, применять требования к сложности и настраивать минимальную длину.
Важно.
Чтобы параметр требований к сложности был эффективным, параметр групповой политики Пароль должен соответствовать требованиям к сложности, которые находятся в разделе Конфигурация> компьютераПараметры>безопасности Параметры учетнойзаписи Политики>учетных записей>, также должны быть включены.
Если этот параметр политики включен, пользователи могут настроить пароль, соответствующий заданным вами требованиям. Чтобы применить требования к сложности для пароля, выберите Требовать сложность:
- Если задано значение Требовать сложность, подключение к контроллеру домена необходимо, если bitLocker включен для проверки сложности пароля.
- Если задано значение Разрешить сложность, подключение к контроллеру домена пытается убедиться, что сложность соответствует правилам, заданным политикой. Если контроллеры домена не найдены, пароль принимается независимо от фактической сложности пароля, и диск будет зашифрован с использованием этого пароля в качестве предохранителя.
- Если задано значение Не разрешать сложность, сложность пароля не проверяется.
Пароли должны содержать не менее восьми символов. Чтобы настроить большую минимальную длину пароля, укажите требуемое количество символов в разделе Минимальная длина пароля.
Если этот параметр политики отключен или не настроен, ограничение длины по умолчанию в восемь символов применяется к паролям диска операционной системы, и проверки сложности не выполняются.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerФиксированные диски с данными |
Этот параметр политики позволяет указать, можно ли использовать смарт-карты для проверки подлинности доступа пользователей к фиксированным дискам с данными, защищенным BitLocker.
- Если этот параметр политики включен, смарт-карты можно использовать для проверки подлинности доступа пользователей к диску.
- Вы можете требовать проверку подлинности смарт-карта, выбрав параметр Требовать использование смарт-карт на фиксированных дисках с данными.
- Если этот параметр политики отключен, пользователи не смогут использовать смарт-карты для проверки подлинности доступа к фиксированным дискам с данными, защищенным BitLocker.
- Если этот параметр политики не настроен, смарт-карты можно использовать для проверки подлинности доступа пользователей к диску, защищенному BitLocker.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerФиксированные диски с данными |
Запретить запись на фиксированные диски, не защищенные BitLocker
Этот параметр политики используется для требования шифрования фиксированных дисков перед предоставлением доступа на запись .
Если этот параметр политики включен, все фиксированные диски с данными, которые не защищены BitLocker, будут подключены только для чтения. Если диск защищен с помощью BitLocker, он будет подключен с доступом для чтения и записи.
Если этот параметр политики отключен или не настроен, все фиксированные диски с данными на компьютере будут подключены с доступом на чтение и запись.
Примечание.
Если этот параметр политики включен, пользователи получают сообщения об ошибке "Отказано в доступе" при попытке сохранить данные на незашифрованных фиксированных дисках с данными.
Если средство BdeHdCfg.exeподготовки диска BitLocker выполняется на компьютере при включении этого параметра политики, могут возникнуть следующие проблемы:
- При попытке сжать диск для создания системного диска размер диска будет успешно уменьшен, и создается необработанный раздел. Однако необработанный раздел не отформатирован. Отображается следующее сообщение об ошибке: Новый активный диск не может быть отформатирован. Возможно, потребуется вручную подготовить диск для BitLocker.
- При попытке использовать нераспределированное пространство для создания системного диска создается необработанный раздел. Однако необработанный раздел не форматируется. Отображается следующее сообщение об ошибке: Новый активный диск не может быть отформатирован. Возможно, потребуется вручную подготовить диск для BitLocker.
- При попытке объединить существующий диск с системным диском средство не сможет скопировать необходимый загрузочный файл на целевой диск, чтобы создать системный диск. Отображается следующее сообщение об ошибке: Программа установки BitLocker не смогла скопировать загрузочные файлы. Возможно, потребуется вручную подготовить диск для BitLocker.
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
FixedDrivesRequireEncryption |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerФиксированные диски с данными |
Применение типа шифрования диска на фиксированных дисках с данными
Этот параметр политики управляет использованием BitLocker на фиксированных дисках с данными.
Если этот параметр политики включен, тип шифрования, который BitLocker использует для шифрования дисков, определяется этой политикой, а параметр типа шифрования не будет представлен в мастере настройки BitLocker:
- Выберите полное шифрование , чтобы требовать шифрования всего диска при включении BitLocker
- Выберите шифрование только используемого пространства , чтобы требовать, чтобы только часть диска, используемая для хранения данных, была зашифрована при включении BitLocker.
Если этот параметр политики отключен или не настроен, мастер настройки BitLocker попросит пользователя выбрать тип шифрования перед включением BitLocker.
Примечание.
Изменение типа шифрования не действует, если диск уже зашифрован или выполняется шифрование.
Эта политика игнорируется при сжатии или расширении тома, а драйвер BitLocker использует текущий метод шифрования. Например, при развертывании диска, использующего шифрование только используемого пространства , новое свободное пространство не очищается, как диск с полным шифрованием. Пользователь может очистить свободное место на диске только для используемого пространства с помощью следующей команды: manage-bde.exe -w. Если том сжат, для нового свободного пространства не выполняется никаких действий.
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
FixedDrivesEncryptionType |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerФиксированные диски с данными |
Выберите, как можно восстановить съемные диски с защитой BitLocker
Этот параметр политики позволяет управлять восстановлением съемных дисков с данными, защищенных BitLocker, при отсутствии необходимых сведений о ключе запуска. Если этот параметр политики включен, можно управлять методами, доступными пользователям для восстановления данных с защищенных BitLocker съемных дисков с данными. Ниже приведены доступные варианты.
-
Разрешить агент восстановления данных на основе сертификатов: укажите, можно ли использовать агент восстановления данных со съемными дисками с данными, защищенными BitLocker. Прежде чем можно будет использовать агент восстановления данных, его необходимо добавить из элемента Политики открытых ключей в консоли управления групповая политика или локальной групповая политика Редактор
-
Настройка пользовательского хранилища сведений о восстановлении BitLocker: укажите, разрешено ли пользователям создавать 48-значный пароль восстановления или 256-разрядный ключ восстановления.
-
Опустить параметры восстановления в мастере настройки BitLocker: запретить пользователям указывать параметры восстановления при включении BitLocker для диска. Это означает, что пользователи не смогут указать, какой параметр восстановления следует использовать при включении BitLocker. Параметры восстановления BitLocker для диска определяются параметром политики
-
Сохраните сведения о восстановлении BitLocker в доменные службы Active Directory. Выберите сведения о восстановлении BitLocker для хранения в AD DS для съемных дисков с данными. При выборе резервного копирования пароля восстановления и пакета ключей оба пароля восстановления BitLocker и пакет ключей будут сохранены в AD DS. Хранение пакета ключей поддерживает восстановление данных с диска, который был физически поврежден. Если выбран параметр Только пароль восстановления резервного копирования, в AD DS сохраняется только пароль восстановления.
-
Не включать BitLocker до тех пор, пока сведения о восстановлении не будут сохранены в AD DS для съемных дисков с данными. Запрещает пользователям включать BitLocker, если устройство не подключено к домену и резервное копирование сведений о восстановлении BitLocker в AD DS успешно. При использовании этого параметра автоматически создается пароль восстановления.
Важно.
Использование ключей восстановления должно быть запрещено, если включен параметр политики Запретить доступ на запись на съемные диски, не защищенные BitLocker .
Если этот параметр политики отключен или не настроен, параметры восстановления по умолчанию поддерживаются для восстановления BitLocker. По умолчанию DRA разрешена, пользователь может указать параметры восстановления, включая пароль восстановления и ключ восстановления, а сведения о восстановлении не резервируются в AD DS.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerСъемные диски с данными |
Этот параметр политики позволяет управлять использованием bitLocker аппаратного шифрования на съемных дисках с данными и указать, какие алгоритмы шифрования можно использовать с аппаратным шифрованием. Использование аппаратного шифрования может повысить производительность операций с диском, которые включают частое чтение или запись данных на диск.
Если этот параметр политики включен, можно указать параметры, которые определяют, используется ли программное шифрование BitLocker вместо аппаратного шифрования на устройствах, которые не поддерживают аппаратное шифрование. Вы также можете указать, нужно ли ограничить алгоритмы шифрования и наборы шифров, используемые с аппаратным шифрованием.
Если этот параметр политики отключен, BitLocker не сможет использовать аппаратное шифрование со съемными дисками с данными, а программное шифрование BitLocker будет использоваться по умолчанию при шифровании диска.
Если этот параметр политики не настроен, BitLocker будет использовать программное шифрование независимо от доступности аппаратного шифрования.
Примечание.
Параметр политики Выбор метода шифрования диска и надежности шифра не применяется к аппаратному шифрованию. Алгоритм шифрования, используемый аппаратным шифрованием, устанавливается при секционировании диска. По умолчанию BitLocker использует алгоритм, настроенный на диске для шифрования диска.
Параметр Ограничить алгоритмы шифрования и наборы шифров, разрешенных для аппаратного шифрования , позволяет ограничить алгоритмы шифрования, которые BitLocker может использовать с аппаратным шифрованием. Если алгоритм, заданный для диска, недоступен, BitLocker отключает использование аппаратного шифрования. Алгоритмы шифрования задаются идентификаторами объектов (OID). Пример
- AES 128 в режиме CBC OID:
2.16.840.1.101.3.4.1.2
- AES 256 в режиме CBC OID:
2.16.840.1.101.3.4.1.42
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerСъемные диски с данными |
Этот параметр политики указывает, требуется ли пароль для разблокировки съемных дисков с данными, защищенных BitLocker. Если вы решили разрешить использование пароля, можно требовать его использования, применять требования к сложности и настраивать минимальную длину.
Важно.
Чтобы параметр требований к сложности был эффективным, параметр групповой политики Пароль должен соответствовать требованиям к сложности, которые находятся в разделе Конфигурация> компьютераПараметры>безопасности Параметры учетнойзаписи Политики>учетных записей>, также должны быть включены.
Если этот параметр политики включен, пользователи могут настроить пароль, соответствующий заданным вами требованиям. Чтобы применить требования к сложности для пароля, выберите Требовать сложность:
- Если задано значение Требовать сложность, подключение к контроллеру домена необходимо, если bitLocker включен для проверки сложности пароля.
- Если задано значение Разрешить сложность, подключение к контроллеру домена пытается убедиться, что сложность соответствует правилам, заданным политикой. Если контроллеры домена не найдены, пароль принимается независимо от фактической сложности пароля, и диск будет зашифрован с использованием этого пароля в качестве предохранителя.
- Если задано значение Не разрешать сложность, сложность пароля не проверяется.
Пароли должны содержать не менее 8 символов. Чтобы настроить большую минимальную длину пароля, укажите требуемое количество символов в разделе Минимальная длина пароля.
Если этот параметр политики отключен или не настроен, ограничение длины по умолчанию в восемь символов применяется к паролям диска операционной системы, и проверки сложности не выполняются.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerСъемные диски с данными |
Этот параметр политики позволяет указать, можно ли использовать смарт-карты для проверки подлинности доступа пользователей к съемным дискам с данными, защищенным BitLocker.
- Если этот параметр политики включен, смарт-карты можно использовать для проверки подлинности доступа пользователей к диску.
- Вы можете требовать проверку подлинности смарт-карта, выбрав параметр Требовать использование смарт-карт на съемных дисках с данными.
- Если этот параметр политики отключен, пользователи не смогут использовать смарт-карты для проверки подлинности доступа к съемным дискам с данными, защищенным BitLocker.
- Если этот параметр политики не настроен, смарт-карты можно использовать для проверки подлинности доступа пользователей к диску, защищенному BitLocker.
|
Путь |
|
CSP |
Отсутствует |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerСъемные диски с данными |
Управление использованием BitLocker на съемных дисках
Этот параметр политики управляет использованием BitLocker на съемных дисках с данными.
Если этот параметр политики включен, можно выбрать параметры свойств, которые управляют настройкой BitLocker пользователями:
- Выберите Разрешить пользователям применять защиту BitLocker на съемных дисках с данными , чтобы разрешить пользователю запускать мастер настройки BitLocker на съемном диске с данными.
- Выберите Разрешить пользователям приостанавливать и расшифровывать BitLocker на съемных дисках с данными , чтобы разрешить пользователю удалить шифрование BitLocker с диска или приостановить шифрование во время обслуживания.
Если этот параметр политики отключен, пользователи не смогут использовать BitLocker на съемных дисках.
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
RemovableDrivesConfigureBDE |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerСъемные диски с данными |
Запретить запись на съемные диски, не защищенные BitLocker
Этот параметр политики определяет, требуется ли защита BitLocker, чтобы устройство могло записывать данные на съемный диск.
Если этот параметр политики включен, выполните следующие действия:
- все съемные диски с данными, не защищенные BitLocker, подключены как доступные только для чтения
- Если диск защищен с помощью BitLocker, он подключен с доступом на чтение и запись
- Если выбран параметр Запретить доступ на запись к устройствам, настроенным в другой организации , доступ на запись предоставляется только дискам с полями идентификации, соответствующими полям идентификации компьютера.
- При доступе к съемным диску с данными проверяется допустимое поле идентификации и допустимые поля идентификации. Эти поля определяются параметром политики (укажите уникальные идентификаторы для вашей организации)[]
Если этот параметр политики отключен или не настроен, все съемные диски с данными на компьютере подключаются с доступом на чтение и запись.
Примечание.
Этот параметр политики игнорируется, если включены параметры политики Съемные диски: Запрет доступа на запись .
Важно.
Если эта политика включена:
- Использование BitLocker с ключом запуска доверенного платформенного модуля или ключом доверенного платформенного модуля и ПИН-кодом должно быть запрещено.
- Использование ключей восстановления должно быть запрещено
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
RemovableDrivesRequireEncryption |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerСъемные диски с данными |
Применение типа шифрования диска на съемных дисках с данными
Этот параметр политики управляет использованием BitLocker на съемных дисках с данными.
Если этот параметр политики включен, параметр типа шифрования не предлагается в мастере настройки BitLocker:
- Выберите полное шифрование , чтобы требовать шифрования всего диска при включении BitLocker
- Выберите шифрование только используемого пространства , чтобы требовать, чтобы только часть диска, используемая для хранения данных, была зашифрована при включении BitLocker.
Если этот параметр политики отключен или не настроен, мастер настройки BitLocker попросит пользователя выбрать тип шифрования перед включением BitLocker.
Примечание.
Изменение типа шифрования не действует, если диск уже зашифрован или выполняется шифрование.
Эта политика игнорируется при сжатии или расширении тома, а драйвер BitLocker использует текущий метод шифрования. Например, при развертывании диска, использующего шифрование только используемого пространства , новое свободное пространство не очищается, как диск с полным шифрованием. Пользователь может очистить свободное место на диске только для используемого пространства с помощью следующей команды: manage-bde.exe -w. Если том сжат, для нового свободного пространства не выполняется никаких действий.
|
Путь |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
RemovableDrivesEncryptionType |
|
Объект групповой политики |
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerСъемные диски с данными |
Съемные диски, исключенные из шифрования
Общие параметры
Диск операционной системы
Фиксированные диски с данными