Часто задаваемые вопросы о BitLocker

Дополнительные сведения о BitLocker см. в разделе часто задаваемых вопросов.

Общие сведения и требования

Поддерживает ли BitLocker многофакторную проверку подлинности?

Да, BitLocker поддерживает многофакторную проверку подлинности для дисков операционной системы. Если bitLocker включен на компьютере с TPM версии 1.2 или более поздней, с защитой доверенного платформенного модуля можно использовать дополнительные формы проверки подлинности.

Почему нужны два раздела?

Наличие двух разделов обязательно для работы BitLocker, так как проверка подлинности перед запуском и проверка целостности системы должны выполняться на разделе, не связанном с зашифрованным диском операционной системы. Такая конфигурация способствует защите операционной системы и данных на зашифрованном диске.

Как определить, есть ли на компьютере доверенный платформенный модуль?

Состояние доверенного платформенного модуля можно проверить в Защитник Windowsсведениях о обработчике безопасности устройств в Центре>безопасности> устройств.

Можно ли использовать BitLocker на диске операционной системы без доверенного платформенного модуля?

Да, BitLocker можно включить на диске операционной системы без доверенного платформенного модуля, если встроенное ПО BIOS или UEFI имеет возможность чтения с USB-устройства флэш-памяти в загрузочной среде. BitLocker не разблокирует защищенный диск, пока собственный том BitLocker master ключ сначала не будет освобожден доверенным платформенный платформенный модуль компьютера или USB-устройство флэш-памяти, содержащее ключ запуска BitLocker для этого компьютера. Однако компьютеры без TTPM не смогут использовать проверку целостности системы, которую также может предоставить BitLocker. Чтобы определить, может ли компьютер считывать данные с USB-устройства при загрузке, воспользуйтесь возможностью проверить систему с помощью BitLocker во время настройки BitLocker. В ходе этой проверки выполняются тесты, подтверждающие возможность считывания данных с USB-устройств в нужное время, а также соответствие компьютера другим требованиям BitLocker.

Как обеспечить поддержку доверенного платформенного модуля в BIOS на компьютере?

Запросите у изготовителя компьютера встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG и следующим требованиям:

  • Он соответствует стандартам TCG для клиентского компьютера.
  • Он имеет механизм безопасного обновления, который помогает предотвратить установку вредоносного BIOS или загрузочного встроенного ПО на компьютере

Какие права пользователя необходимы для использования BitLocker?

Чтобы включить, отключить или изменить конфигурации BitLocker в операционной системе и фиксированных дисках с данными, требуется членство в локальной группе администраторов . Обычные пользователи могут включать или выключать компонент BitLocker или изменять его конфигурацию на съемных дисках с данными.

Какой порядок загрузки рекомендуется для компьютеров, которые должны быть защищены BitLocker?

Параметры запуска компьютера должны быть настроены таким образом, чтобы жесткий диск был сначала в порядке загрузки, а не перед любыми другими дисками, такими как cd/DVD-диски или USB-накопители. Если жесткий диск не является первым и компьютер обычно загружается с жесткого диска, то при обнаружении съемных носителей во время загрузки может быть обнаружено или предполагается изменение порядка загрузки. Порядок загрузки обычно влияет на системные показатели, проверенные BitLocker, и изменение порядка загрузки вызовет запрос на ключ восстановления BitLocker. По той же причине, если ноутбук используется с док-станцией, убедитесь, что жесткий диск будет первым в порядке загрузки и при закреплении и отстыковке ноутбука.

Обновление BitLocker и Windows

Можно ли обновить версии Windows с включенным BitLocker?

Да.

В чем разница между приостановкой BitLocker и расшифровкой дисков, защищенных BitLocker?

Команда Расшифровать полностью отменяет защиту при помощи BitLocker и расшифровывает весь диск.

Команда Приостановить оставляет данные зашифрованными, но при этом шифрует основной ключ тома BitLocker с использованием незащищенного ключа. Незащищенным называется криптографический ключ, который хранится на диске без шифрования и защиты. Хранение этого ключа без шифрования позволяет команде Приостановить вносить изменения и выполнять обновления на компьютере, не затрачивая время и ресурсы на расшифровку и повторное шифрование всего диска. После повторного включения BitLocker и внесения изменений эта программа запечатает ключ шифрования с использованием новых показателей компонентов, которые изменились в ходе обновления, основной ключ тома изменится, предохранители обновятся, а незащищенный ключ удалится.

Нужно ли приостановить защиту BitLocker, чтобы скачать и установить обновления и обновления системы?

Никаких действий пользователя не требуется для BitLocker, чтобы применить обновления от корпорации Майкрософт, включая исправления и обновления компонентов Windows. Пользователям необходимо приостановить защиту BitLocker для обновления программного обеспечения сторонних разработчиков, например:

  • Некоторые обновления встроенного ПО доверенного платформенного модуля, если эти обновления очищают TPM за пределами API Windows. Не каждое обновление встроенного ПО доверенного платформенного модуля очищает TPM. Пользователям не нужно приостанавливать BitLocker, если обновление встроенного ПО доверенного платформенного модуля использует API Windows для очистки доверенного платформенного модуля, так как в этом случае BitLocker будет автоматически приостановлен. Пользователям рекомендуется тестировать обновления встроенного ПО доверенного платформенного модуля, если они не хотят приостанавливать защиту BitLocker.
  • Обновления приложений сторонних корпораций, которые изменяют конфигурацию UEFI\BIOS
  • Обновления для защищенных загрузочных баз данных вручную или сторонних пользователей (только если BitLocker использует безопасную загрузку для проверки целостности)
  • Обновления встроенного ПО UEFI\BIOS, установки дополнительных драйверов UEFI или приложений UEFI без использования механизма обновления Windows (только если BitLocker не использует безопасную загрузку для проверки целостности во время обновлений).
  • BitLocker можно проверить, используется ли безопасная загрузка для проверки целостности с помощью командной строки manage-bde.exe -protectors -get C:. Если используется безопасная загрузка для проверки целостности, она сообщает об использовании безопасной загрузки для проверки целостности.

Примечание.

Если bitLocker приостановлен, вы можете возобновить защиту BitLocker после установки обновления или обновления. Когда защита возобновится, BitLocker запечатает ключ шифрования с использованием новых показателей компонентов, которые изменились в ходе обновления. Если эти типы обновлений или обновлений применяются без приостановки BitLocker, компьютер перейдет в режим восстановления при перезагрузке и потребует ключа восстановления или пароля для доступа к компьютеру.

Развертывание и администрирование

Можно ли автоматизировать развертывание BitLocker в корпоративной среде?

Да, развертывание и настройку BitLocker можно автоматизировать с помощью Windows PowerShell или с manage-bde.exe помощью команды . Дополнительные сведения о распространенных командах управления BitLocker проверка руководстве по операциям BitLocker.

Насколько снижается производительность при включении BitLocker на компьютере?

Как правило, существует небольшая накладная производительность, часто в процентах от одной цифры, что связано с пропускной способностью операций хранилища, в которых она должна работать.

Сколько времени занимает первоначальное шифрование после включения BitLocker?

Хотя шифрование BitLocker выполняется в фоновом режиме, пока пользователь продолжает работать с системой, которая остается пригодной для использования, время шифрования зависит от типа шифруемого диска, размера диска и скорости диска. При шифровании больших дисков шифрование может потребоваться запланировать во время, когда диск не используется.

Если BitLocker включен, bitLocker также можно настроить для шифрования всего диска или только используемого пространства на диске. На новом жестком диске шифрование лишь используемого пространства выполняется гораздо быстрее, чем шифрование всего диска. После выбора этого варианта шифрования BitLocker автоматически шифрует данные в момент сохранения. Такой способ гарантирует, что никакие данные не будут храниться без шифрования.

Что будет, если выключить компьютер во время шифрования или расшифровки?

Если компьютер выключается или переходит в режим гибернации, то при следующем запуске Windows процесс шифрования и расшифровки при помощи BitLocker возобновляется с места остановки. BitLocker возобновляет шифрование или расшифровку, даже если питание внезапно недоступно.

Выполняет ли BitLocker шифрование и расшифровку всего диска при считывании и записи данных?

Нет, BitLocker не шифрует и не расшифровывает весь диск при чтении и записи данных. Зашифрованные секторы на диске, защищенном BitLocker, расшифровываются только при запросе из системных операций чтения. Блоки, которые записываются на диск, шифруются до того, как система записывает их на физический диск. На диске с защитой BitLocker данные никогда не остаются незашифрованными.

Как запретить пользователям хранить данные на незашифрованном диске?

Параметры политики можно настроить так, чтобы диски данных были защищены BitLocker, прежде чем компьютер, защищенный BitLocker, сможет записывать в них данные. Дополнительные сведения см. в разделе Параметры политики BitLocker. Если эти параметры политики включены, операционная система, защищенная BitLocker, будет подключать все диски с данными, которые не защищены BitLocker как доступные только для чтения.

Что такое шифрование только используемого дискового пространства?

BitLocker позволяет пользователям шифровать только свои данные. Хотя это не самый безопасный способ шифрования диска, этот вариант может сократить время шифрования более чем на 99 процентов в зависимости от объема данных, которые необходимо зашифровать. Дополнительные сведения см. в разделе Шифрование только используемого дискового пространства.

Какие системные изменения приведут к сбою проверка целостности на диске ОС?

Появление ошибки при проверке целостности могут вызывать указанные ниже типы изменений системы. В этом случае доверенный платформенный модуль не предоставляет ключ BitLocker для расшифровки защищенного диска операционной системы.

  • Перемещение диска, защищенного BitLocker, на новый компьютер
  • Установка новой материнской платы с помощью нового доверенного платформенного модуля
  • Отключение, отключение или очистка доверенного платформенного модуля
  • Изменение параметров конфигурации загрузки
  • Изменение BIOS, встроенного ПО UEFI, загрузочной записи master, загрузочного сектора, диспетчера загрузки, дополнительного ПЗУ или других компонентов ранней загрузки или данных конфигурации загрузки

В каком случае BitLocker запускается в режиме восстановления при попытке запустить диск операционной системы?

Так как BitLocker предназначен для защиты компьютеров от многочисленных атак, существует множество причин, по которым BitLocker может запускаться в режиме восстановления. Пример:

  • Изменение порядка загрузки BIOS для загрузки другого диска до жесткого диска
  • Добавление или удаление оборудования, например вставка нового карта на компьютере
  • Удаление, вставка или полное истощение заряда на смарт-батарее на переносном компьютере

В BitLocker восстановление состоит в расшифровке копии основного ключа тома при помощи ключа восстановления, хранящегося на USB-накопителе, или при помощи криптографического ключа, полученного с использованием пароля восстановления. TPM не участвует ни в каких сценариях восстановления, поэтому восстановление по-прежнему возможно, если доверенный платформенный модуль не проходит проверку компонентов загрузки, не работает или удаляется.

Что может предотвратить привязку BitLocker к PCR 7?

Можно запретить привязку BitLocker к PCR 7, если ос, не относясь к Windows, загруженной до Windows, или если безопасная загрузка недоступна для устройства, так как она отключена или оборудование не поддерживает ее.

Можно ли менять жесткие диски на компьютере, если для его диска операционной системы включено шифрование BitLocker?

Да, несколько жестких дисков можно переключить на одном компьютере, если bitLocker включен, но только если жесткие диски были защищены BitLocker на одном компьютере. Ключи BitLocker уникальны для доверенного платформенного модуля и диска операционной системы. Если в случае сбоя диска необходимо подготовить резервную копию операционной системы или диска данных, убедитесь, что они совпадают с правильным доверенным платформенный платформенный модуль. Различные жесткие диски также можно настроить для разных операционных систем, а затем включить BitLocker для каждой из них с разными методами проверки подлинности (например, с TPM только для доверенного платформенного модуля и одним с доверенным платформенный модуль + ПИН-код) без каких-либо конфликтов.

Можно ли получить доступ к жесткому диску, защищенному BitLocker, если установить его на другой компьютер?

Да, если диск является диском данных, его можно разблокировать из элемента Шифрования диска BitLocker панель управления с помощью пароля или смарт-карта. Если диск с данными настроен только для автоматической разблокировки, его необходимо разблокировать с помощью ключа восстановления. Зашифрованный жесткий диск можно разблокировать с помощью агента восстановления данных (если он настроен) или с помощью ключа восстановления.

Почему параметр "Включить BitLocker" недоступен, если щелкнуть диск правой кнопкой мыши?

Некоторые диски не могут быть зашифрованы с помощью BitLocker. Причины, по которым диск не может быть зашифрован, включают недостаточный размер диска, несовместимую файловую систему, если диск является динамическим диском или диск назначен в качестве системного раздела. По умолчанию системный диск (или системный раздел) не отображается. Однако если он не создается как скрытый диск при установке операционной системы из-за пользовательского процесса установки, этот диск может отображаться, но не может быть зашифрован.

Какие типы конфигураций дисков поддерживаются BitLocker?

Защита BitLocker возможна для любого числа внутренних несъемных дисков. В некоторых версиях поддерживаются запоминающие устройства прямого подключения с интерфейсом ATA и SATA.

Управление ключами

Как проверить подлинность или разблокировать съемный диск с данными?

Съемные диски с данными можно разблокировать с помощью пароля или смарт-карта. Защиту sid также можно настроить для разблокировки диска с помощью учетных данных домена пользователя. После запуска шифрования диск также можно автоматически разблокировать на определенном компьютере для определенной учетной записи пользователя. Системные администраторы могут настроить доступные для пользователей параметры, включая сложность пароля и требования к минимальной длине. Чтобы разблокировать с помощью предохранителя sid, используйте manage-bde.exe:

Manage-bde.exe -protectors -add e: -sid domain\username

В чем разница между паролем владельца доверенного платформенного модуля, паролем восстановления, ключом восстановления, ПИН-кодом, расширенным ПИН-кодом и ключом запуска?

BitLocker может создать и использовать несколько ключей. Некоторые ключи являются обязательными, а некоторые — необязательными средствами защиты, которые можно использовать в зависимости от требуемого уровня безопасности.

Пароль владельца доверенного платформенного модуля

Перед включением BitLocker на компьютере с TPM версии 1.2 необходимо инициализировать TPM. В процессе инициализации создается пароль владельца доверенного платформенного модуля, который является паролем, установленным для доверенного платформенного модуля. Чтобы изменить состояние доверенного платформенного модуля, необходимо указать пароль владельца доверенного платформенного модуля, например при включении или отключении доверенного платформенного модуля или сбросе блокировки доверенного платформенного модуля.

Пароль восстановления и ключ восстановления

При настройке BitLocker необходимо выбрать способ восстановления доступа к дискам, защищенным BitLocker, если не удается использовать указанный метод разблокировки (например, если доверенный платформенный модуль не может проверить компоненты загрузки, личный идентификационный номер (ПИН-код) забыт или пароль забыт). В таких ситуациях необходимо указать ключ восстановления или пароль восстановления, чтобы разблокировать зашифрованные данные на диске. При вводе сведений о восстановлении можно использовать любой из следующих форматов:

  • Пароль восстановления, состоящий из 48 цифр, разделенных на восемь групп. Во время восстановления необходимо ввести этот пароль в консоли восстановления BitLocker с помощью функциональных клавиш на клавиатуре.
  • Файл ключа на USB-устройстве флэш-памяти, который считывается непосредственно консолью восстановления BitLocker. Во время восстановления необходимо вставить это USB-устройство

ПИН-код и расширенный ПИН-код

Для более высокого уровня безопасности с помощью доверенного платформенного модуля можно настроить BitLocker с помощью личного идентификационного номера (ПИН-кода). ПИН-код — это созданное пользователем значение, которое необходимо вводить при каждом запуске компьютера или возобновлении гибернации. ПИН-код может состоять из 4–20 цифр, как указано в параметре политики Настройка минимальной длины ПИН-кода для запуска . Он хранится внутри в виде 256-разрядного хэша введенных символов Юникода. Это значение никогда не отображается для пользователя. ПИН-код используется для предоставления другого фактора проверки подлинности в сочетании с проверкой подлинности доверенного платформенного модуля.
Для еще более высокого уровня безопасности с помощью доверенного платформенного модуля можно настроить BitLocker на использование расширенных ПИН-кодов. Расширенные ПИН-коды — это ПИН-коды, в которых используется полный набор символов клавиатуры в дополнение к числовой кодировке, что позволяет использовать больше возможных сочетаний ПИН-кодов, длина которых составляет от 4 до 20 символов. Чтобы использовать расширенные ПИН-коды, необходимо включить параметр политики Разрешить расширенные ПИН-коды для запуска , прежде чем добавлять ПИН-код на диск. Включив эту политику, все созданные ПИН-коды могут использовать полные символы клавиатуры.

Ключ запуска

Настройка ключа запуска — еще один способ обеспечения более высокого уровня безопасности с помощью доверенного платформенного модуля. Ключ запуска — это ключ, хранящийся на USB-устройстве флэш-памяти, и USB-устройство флэш-памяти должно быть вставлено при каждом запуске компьютера. Ключ запуска используется для предоставления другого фактора проверки подлинности в сочетании с проверкой подлинности доверенного платформенного модуля. Чтобы использовать USB-устройство флэш-памяти в качестве ключа запуска, USB-устройство флэш-памяти должно быть отформатировано с помощью файловой системы NTFS, FAT или FAT32.

Важно.

Для использования BitLocker на компьютере, отличном от TPM, необходимо иметь ключ запуска.

Где хранить пароль восстановления и ключ восстановления?

Пароль восстановления и ключ восстановления для диска операционной системы или диска с фиксированными данными можно сохранить в папку, сохранить на одном или нескольких USB-устройствах, сохранить в учетной записи Майкрософт или распечатать.

Для съемных дисков с данными пароль восстановления и ключ восстановления можно сохранить в папке, сохранить в учетной записи Майкрософт или распечатать. По умолчанию ключ восстановления для съемного диска не может храниться на съемном диске.

Администратор домена также может настроить параметры политики, чтобы автоматически создавать пароли восстановления и хранить их в доменные службы Active Directory (AD DS) или Microsoft Entra ID для любого диска, защищенного BitLocker.

Можно ли добавить дополнительный метод проверки подлинности без расшифровки диска, если включен только метод проверки подлинности на основе доверенного платформенного модуля?

Средство Manage-bde.exe командной строки можно использовать для замены режима проверки подлинности только TPM режимом многофакторной проверки подлинности. Например, если BitLocker включена только с проверкой подлинности доверенного платформенного платформенного модуля и необходимо добавить проверку подлинности с ИСПОЛЬЗОВАНИЕМ ПИН-кода, используйте следующие команды из командной строки с повышенными привилегиями, заменив 4–20 цифр числового ПИН-кода нужным числовым ПИН-кодом:

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Когда следует рассматривать дополнительные метод проверки подлинности?

Благодаря использованию нового оборудования, соответствующего требованиям программы совместимости оборудования с Windows, PIN-код перестает быть критически важным средством защиты, и наличия доверенного платформенного модуля, скорее всего, будет достаточно при условии использования таких политик, как блокировка устройства. Например, Surface Pro и Surface Book не имеют внешних портов DMA для атак. Для более старого оборудования, где может потребоваться ПИН-код, рекомендуется включить расширенные ПИН-коды , которые разрешают использование нечисловых символов, таких как буквы и знаки препинания, а также задать длину ПИН-кода на основе допустимости риска и возможностей аппаратной защиты от молотков, доступных для TPM на компьютерах.

Можно ли восстановить данные, защищенные BitLocker, если утрачены сведения, необходимые для восстановления?

Компонент BitLocker разработан так, что зашифрованный диск невозможно восстановить, минуя обязательную проверку подлинности. В режиме восстановления для разблокировки зашифрованного диска пользователю необходим пароль восстановления или ключ восстановления.

Важно.

Храните сведения о восстановлении в Microsoft Entra ID, AD DS, учетной записи Майкрософт или в другом безопасном расположении.

Можно ли хранить ключ восстановления на том же USB-устройстве флэш-памяти, на котором хранится ключ запуска?

Хотя использование USB-устройства флэш-памяти в качестве ключа запуска и для хранения ключа восстановления технически возможно, не рекомендуется использовать одно USB-устройство флэш-памяти для хранения обоих ключей. Если USB-устройство флэш-памяти, содержащее ключ запуска, потеряно или украдено, ключ восстановления также будет потерян. Кроме того, вставка этого ключа приведет к автоматической загрузке компьютера с ключа восстановления, даже если файлы, измеряемые доверенным платформенным модульом, были изменены, что позволяет обойти проверка целостности системы доверенного платформенного модуля.

Можно ли хранить ключ запуска на нескольких USB-устройствах флэш-памяти?

Да, ключ запуска компьютера можно сохранить на нескольких USB-устройствах флэш-памяти. Щелкнув правой кнопкой мыши диск с защитой BitLocker и выбрав Управление BitLocker , вы сможете сохранить ключи восстановления на дополнительных USB-устройствах флэш-памяти по мере необходимости.

Можно ли хранить несколько разных ключей запуска на одном USB-устройстве флэш-памяти?

Да, ключи запуска BitLocker для разных компьютеров можно сохранить на одном USB-устройстве флэш-памяти.

Можно ли создать несколько различных ключей запуска для одного компьютера?

Создание разных ключей запуска для одного компьютера можно выполнить с помощью скриптов. Но для компьютеров с доверенным платформенным модулем создание разных ключей запуска не позволяет BitLocker использовать проверку целостности системы, которую выполняет этот модуль.

Можно ли создавать несколько сочетаний ПИН-кода?

Создание нескольких сочетаний ПИН-кода невозможно.

Какие ключи шифрования применяются в BitLocker? Как происходит их совместная работа?

Необработанные данные шифруются полным ключом шифрования тома, который затем шифруется основным ключом тома. Ключ тома master, в свою очередь, шифруется одним из нескольких возможных методов в зависимости от проверки подлинности (т. е. защиты ключей или доверенного платформенного модуля) и сценариев восстановления.

Где хранятся ключи шифрования?

Полный ключ шифрования тома шифруется основным ключом тома и хранится на зашифрованном диске. Основной ключ тома шифруется подходящим предохранителем ключа и хранится на зашифрованном диске. Если защита BitLocker приостанавливается, то незащищенный ключ, которым шифруется основной ключ тома, также хранится на зашифрованном диске вместе с зашифрованным основным ключом тома.

Этот процесс хранения гарантирует, что том master ключ никогда не хранится в незашифрованном виде и защищен, если BitLocker не отключен. Ключи также сохраняются в двух дополнительных расположениях на диске для обеспечения избыточности. Диспетчером загрузки может считывать и обрабатывать ключи.

Почему для ввода ПИН-кода или 48-значного пароля восстановления нужно использовать функциональные клавиши?

Клавиши F1–F10 имеют универсальные коды опроса, доступные в предзагрузочной среде на всех компьютерах для всех языков. Числовые клавиши от 0 до 9 можно использовать не в среде перед загрузкой на всех клавиатурах.

Если используется улучшенный ПИН-код, пользователям рекомендуется выполнить дополнительную проверку системы в ходе настройки BitLocker, чтобы убедиться, что в предзагрузочной среде можно ввести правильный ПИН-код.

Как BitLocker защищает ПИН-код, снимающий блокировку диска операционной системы, от злоумышленников?

Возможно, что личный идентификационный номер (ПИН-код) может быть обнаружен злоумышленником, выполняющим атаку методом подбора. Атака методом подбора выполняется с помощью автоматического средства, которое проверяет различные сочетания ПИН-кода, пока не будет найден правильный код. Для компьютеров, защищенных BitLocker, этот тип атаки, также известный как атака по словарю, требует, чтобы злоумышленник получил физический доступ к компьютеру.

Доверенный платформенный модуль обладает встроенными возможностями по выявлению таких атак и противодействию им. Так как TTP-машины разных производителей могут поддерживать различные способы устранения ПИН-кода и атак, обратитесь к производителю доверенного платформенного модуля, чтобы определить, как TPM компьютера устраняет атаки методом подбора ПИН-кода. После определения изготовителя доверенного платформенного модуля обратитесь к производителю для сбора сведений о поставщике доверенного платформенного модуля. Большинство изготовителей экспоненциально увеличивают время блокировки интерфейса для ввода ПИН-кода с увеличением количества ошибок при его вводе. При этом каждый изготовитель имеет собственные правила в отношении сброса счетчика ошибок или уменьшения его значений.

Как определить производителя своего доверенного платформенного модуля?

Изготовителя доверенного платформенного модуля можно определить в Защитник Windowsсведениях о процессоре безопасности устройств в Центре>безопасности> устройств.

Как оценить механизм противодействия атакам перебором по словарю, применяемый в доверенном платформенном модуле?

Следующие вопросы могут помочь при запросе у производителя доверенного платформенного модуля о разработке механизма защиты от атак словаря:

  • Сколько неудачных попыток авторизации разрешается до блокировки?
  • По какому алгоритму определяется продолжительность блокировки с учетом числа неудачных попыток авторизации и других значимых параметров?
  • Какие действия могут привести к сбросу счетчика ошибок, уменьшению его значений или продолжительности блокировки?

Можно ли управлять длиной и сложностью ПИН-кода с помощью параметров политики?

Минимальную длину ПИН-кода можно настроить с помощью параметра Настроить минимальную длину ПИН-кода для запуска групповая политика и разрешить использование буквенно-цифровых ПИН-кодов, включив параметр политики Разрешить расширенные ПИН-коды для запуска. Сложность ПИН-кода не может требоваться с помощью параметров политики.

Дополнительные сведения см. в разделе Параметры политики BitLocker.

Как ПИН-код и TPM используются для получения ключа master тома?

BitLocker хэширует указанный пользователем личный идентификационный номер (ПИН-код) с помощью SHA-256, а первые 160 бит хэша используются в качестве данных авторизации, отправляемых доверенному платформенный платформенный модуль для запечатывания тома master ключа. Ключ master тома теперь защищен доверенным платформенный платформенный модуль и ПИН-код. Чтобы снять master ключ тома, необходимо вводить ПИН-код каждый раз, когда компьютер перезагружается или возобновляется из режима гибернации.

BitLocker To Go

Что такое BitLocker To Go?

BitLocker To Go позволяет выполнять шифрование диска BitLocker для съемных носителей с данными. Эта функция включает в себя шифрование:

  • USB-устройства флэш-памяти
  • SD-карты
  • Внешние жесткие диски
  • Другие диски, отформатированные с помощью файловой системы NTFS, FAT16, FAT32 или exFAT.

Секционирование дисков должно соответствовать требованиям шифрования диска BitLocker.

Как и в случае с BitLocker, диски, зашифрованные с помощью BitLocker To Go, можно открыть с помощью пароля или смарт-карта на другом компьютере. В панель управления используйте шифрование диска BitLocker.

BitLocker и доменные службы Active Directory (AD DS)

Какой тип информации хранится в AD DS?

Хранимая информация Описание
Пароль восстановления BitLocker Пароль восстановления позволяет разблокировать диск и получить доступ к диску после инцидента восстановления. Администраторы домена могут просматривать пароль восстановления BitLocker с помощью средства просмотра пароля восстановления BitLocker. Дополнительные сведения об этом средстве см. в статье BitLocker: Использование средства просмотра паролей восстановления BitLocker.
Пакет ключей BitLocker Пакет ключей помогает устранить повреждения жесткого диска, которые в противном случае препятствовали бы стандартному восстановлению. Для использования пакета ключей для восстановления требуется средство восстановления BitLocker, Repair-bde.

Что делать, если BitLocker включен на компьютере до присоединения компьютера к домену?

Если bitLocker включен на диске до применения параметров политики для принудительного резервного копирования, то при присоединении компьютера к домену или последующем применении параметров политики данные восстановления не будут автоматически создаваться в AD DS. Однако параметры политики Выберите, как можно восстановить диски операционной системы, защищенные BitLocker, выберите, как можно восстановить фиксированные диски, защищенные BitLocker, и Выберите, как можно восстановить съемные диски, защищенные BitLocker , чтобы требовать подключения компьютера к домену до включения BitLocker, чтобы обеспечить резервное копирование сведений о восстановлении для дисков, защищенных BitLocker, в организации.

Дополнительные сведения о том, как создать резервную копию пароля восстановления в AD DS или Microsoft Entra ID, см. в руководстве по операциям BitLocker.

Важно.

Присоединение компьютера к домену должно быть первым шагом для новых компьютеров в организации. После присоединения компьютеров к домену хранение ключа восстановления BitLocker в AD DS выполняется автоматически (при включении с параметрами политики).

Есть ли запись журнала событий на клиентском компьютере, указывая на успешное или неудачное выполнение резервной копии Microsoft Entra ID или Active Directory?

Да, запись журнала событий, указывающая на успешное или неудачное выполнение резервной копии, записывается на клиентском компьютере. Но даже в случае, если в журнале событий указано успешное завершение, данные о резервном копировании могут быть удалены из AD DS. Кроме того, конфигурация BitLocker может измениться так, что данные из Active Directory не позволят разблокировать диск (например, если удален предохранитель ключа для пароля восстановления). Кроме того, возможно, что запись журнала может быть спуфинирована.

Чтобы гарантированно определить наличие достоверной резервной копии в AD DS, необходимо отправить запрос в доменные службы Active Directory с учетными данными администратора домена с помощью средства просмотра паролей BitLocker.

Если изменить пароль восстановления BitLocker на локальном компьютере и сохранить новый пароль в доменных службах Active Directory, перезапишут ли доменные службы старый пароль?

Нет. По умолчанию записи паролей восстановления BitLocker не удаляются из AD DS. Таким образом, для каждого диска можно увидеть несколько паролей. Чтобы определить последний пароль, проверьте дату объекта.

Что будет, если первоначальное создание резервной копии завершится ошибкой? Будет ли BitLocker повторить его?

Если резервное копирование изначально завершается сбоем, например когда контроллер домена недоступен во время запуска мастера настройки BitLocker, BitLocker не пытается снова создать резервную копию данных восстановления в AD DS.

Когда администратор выбирает флажок Не включать BitLocker, пока данные восстановления хранятся в AD DS для дисков (операционная система | фиксированные данные | съемные данные) проверка в любом из разделов Выберите, как можно восстановить диски операционной системы, защищенные BitLocker, Выберите, как можно восстановить фиксированные диски с данными, защищенные BitLocker, и Выберите, как можно восстановить съемные диски с данными, защищенные BitLocker. С параметрами политики пользователи не смогут включить BitLocker, если компьютер не подключен к домену и резервное копирование сведений о восстановлении BitLocker в AD DS будет успешно выполнено. Если эти параметры настроены в случае сбоя резервного копирования, BitLocker нельзя включить, что гарантирует, что администраторы смогут восстановить диски, защищенные BitLocker в организации.

Дополнительные сведения см. в разделе Параметры политики BitLocker.

Когда администратор очищает эти поля проверка, администратор разрешает защиту диска BitLocker без успешного резервного копирования сведений о восстановлении в AD DS. Однако BitLocker не будет автоматически повторять резервное копирование в случае сбоя. Вместо этого администраторы могут создать сценарий резервного копирования, как описано ранее в разделе Что делать, если bitLocker включен на компьютере до присоединения компьютера к домену? для записи информации после восстановления подключения.

Безопасность

Какой формат шифрования применяется в BitLocker? Можно ли его настроить?

BitLocker использует расширенный стандарт шифрования (AES) в качестве алгоритма шифрования с настраиваемой длиной ключа 128 или 256 бит. Параметр шифрования по умолчанию — AES-128, но параметры можно настроить с помощью параметров политики.

Как лучше всего использовать BitLocker на диске с операционной системой?

Рекомендуемая практика для настройки BitLocker на диске операционной системы заключается в реализации BitLocker на компьютере с доверенным платформенный модуль версии 1.2 или более поздней.

Какие могут быть последствия при использовании параметров управления питанием (спящий режим и режим гибернации)?

BitLocker на дисках операционной системы в базовой конфигурации обеспечивает дополнительную безопасность в режиме гибернации. В спящем режиме компьютер уязвим для атак прямого доступа к памяти, так как незащищенные данные остаются в ОЗУ. Поэтому для повышения безопасности рекомендуется отключить спящий режим. Проверку подлинности при запуске можно настроить с помощью параметра политики.

Каковы преимущества доверенного платформенного модуля?

В большинстве операционных систем используется общее пространство памяти, а за управление физической памятью отвечает операционная система. Доверенный платформенный модуль — это аппаратный компонент, который использует собственное встроенное ПО и внутренние логические схемы для обработки инструкций, обеспечивая защиту от уязвимости внешнего ПО. Для взлома доверенного платформенного модуля необходим физический доступ к компьютеру. Кроме того, средства и навыки, необходимые для атаки на оборудование, часто стоят дороже и обычно не так доступны, как те, которые используются для атак на программное обеспечение. Так как доверенный платформенный модуль на каждом компьютере уникален, то для взлома нескольких компьютеров с доверенными платформенными модулями потребуется много времени и сил.

Примечание.

Настройка BitLocker с дополнительным фактором проверки подлинности обеспечивает еще большую защиту от аппаратных атак доверенного платформенного модуля.

Сетевая разблокировка

Что такое Сетевая разблокировка BitLocker?

Сетевая разблокировка BitLocker упрощает управление клиентами и серверами с поддержкой BitLocker, которые используют метод защиты доверенного платформенного модуля и ПИН-кода в среде домена. При перезагрузке компьютера, соединенного с проводной корпоративной сетью, сетевая разблокировка позволяет пропустить запрос на введение ПИН-кода. Блокировка томов операционной системы, защищенных BitLocker, автоматически снимается с помощью доверенного ключа, который предоставляется сервером служб развертывания Windows в качестве дополнительного способа проверки подлинности.

Чтобы использовать сетевую разблокировку, необходимо настроить ПИН-код для компьютера. Если компьютер не подключен к сети, необходимо указать ПИН-код, чтобы разблокировать его.

Сетевая разблокировка BitLocker имеет требования к программному и аппаратному обеспечению для клиентских компьютеров, служб развертывания Windows и контроллеров домена, которые должны быть выполнены, прежде чем ее можно будет использовать.

Сетевая разблокировка использует два предохранителя : предохранитель доверенного платформенного модуля и предохранитель, предоставляемый сетью или ПИН-кодом. Автоматическая разблокировка использует один предохранитель , который хранится в TPM. Если компьютер присоединен к сети без предохранителя ключа, будет предложено ввести ПИН-код. Если ПИН-код недоступен, ключ восстановления необходимо будет использовать для разблокировки компьютера, если он не может быть подключен к сети.

Дополнительные сведения см. в статье BitLocker: включение сетевой разблокировки.

Использование BitLocker с другими программами

Можно ли использовать EFS с BitLocker?

Да, шифруемая файловая система (EFS) может использоваться для шифрования файлов на диске, защищенном BitLocker. BitLocker помогает защитить весь диск операционной системы от атак в автономном режиме, тогда как EFS может обеспечить дополнительное шифрование на уровне файлов пользователя для разделения безопасности между несколькими пользователями одного компьютера. EFS также можно использовать в Windows для шифрования файлов на других дисках, которые не шифруются с помощью BitLocker. Корневые секреты EFS по умолчанию хранятся на диске операционной системы. Таким образом, если bitLocker включен для диска операционной системы, данные, зашифрованные EFS на других дисках, также косвенно защищаются BitLocker.

Может ли отладчик ядра работать с BitLocker?

Да. При этом отладчик нужно включать до включения BitLocker. Заблаговременное включение отладчика обеспечивает правильность вычисления показателей состояния при запечатывании в доверенном платформенном модуле, что позволяет компьютеру корректно запускаться. Если отладка должна быть включена или отключена при использовании BitLocker, не забудьте сначала приостановить BitLocker, чтобы избежать перевода компьютера в режим восстановления.

Как BitLocker работает с дампами памяти?

BitLocker содержит стек драйверов запоминающих устройств, который обеспечивает шифрование дампов памяти при включении BitLocker.

Поддерживает ли BitLocker смарт-карты для предзагрузочной проверки подлинности?

BitLocker не поддерживает смарт-карты для проверки подлинности перед загрузкой. Единого отраслевого стандарта для смарт-карта поддержки встроенного ПО не существует, и большинство компьютеров либо не реализуют поддержку встроенного ПО для смарт-карт, либо поддерживают только определенные смарт-карты и средства чтения. Отсутствие стандартизации затрудняет их поддержку.

Можно ли использовать драйвер доверенного платформенного модуля, разработанный не Майкрософт?

Корпорация Майкрософт не поддерживает драйверы TPM, отличные от Майкрософт, и настоятельно не рекомендует использовать их с BitLocker. Попытка использовать драйвер доверенного платформенного модуля, отличного от Майкрософт, с BitLocker может привести к тому, что bitLocker сообщит о том, что доверенный платформенный модуль отсутствует на компьютере и не позволит использовать TPM с BitLocker.

Могут ли другие средства, управляющие основной загрузочной записью (MBR) или изменяющие ее, работать совместно с BitLocker?

Мы не рекомендуем изменять загрузочную запись master на компьютерах с дисками операционной системы, защищенными BitLocker, по нескольким причинам безопасности, надежности и поддержки продукта. Изменения в загрузочной записи master (MBR) могут изменить среду безопасности и предотвратить нормальное запуск компьютера и усложнить любые усилия по восстановлению после поврежденного MBR. Изменения MBR, внесенные не средствами Windows, могут перевести компьютер в режим восстановления или сделать загрузку абсолютно невозможной.

Почему системный проверка завершается сбоем при шифровании диска операционной системы?

Системная проверка предназначена для обеспечения совместимости встроенного ПО BIOS или UEFI компьютера с BitLocker и правильности работы доверенного платформенного модуля. Проверка системы может завершаться ошибкой по следующим причинам:

  • Встроенное ПО BIOS или UEFI компьютера не может считывать USB-устройства флэш-памяти
  • В BIOS, встроенном ПО uEFI или меню загрузки компьютера не включены usb-устройства флэш-памяти для чтения.
  • В компьютер вставляется несколько USB-накопителей флэш-памяти
  • ПИН-код введен неправильно
  • Встроенное ПО BIOS или UEFI компьютера поддерживает только использование функциональных ключей (F1–F10) для ввода цифр в среде перед загрузкой.
  • Ключ запуска был удален до завершения перезагрузки компьютера
  • TPM не работает и не удается распроизвестить ключи

Что делать, если не удается прочитать ключ восстановления на USB-устройстве флэш-памяти?

Некоторые компьютеры не могут считывать USB-устройства флэш-памяти в среде перед загрузкой. Сначала проверка параметры встроенного ПО BIOS или UEFI и загрузки, чтобы убедиться, что использование USB-накопителей включено. Если он не включен, включите использование USB-накопителей в параметрах встроенного ПО BIOS или UEFI и загрузки, а затем повторите попытку считывания ключа восстановления с USB-устройства флэш-памяти. Если USB-устройство флэш-памяти по-прежнему не удается прочитать, жесткий диск необходимо будет подключить в качестве диска данных на другом компьютере, чтобы операционная система попыталась считывать ключ восстановления с USB-устройства флэш-памяти. Если USB-устройство флэш-памяти повреждено или повреждено, может потребоваться ввести пароль восстановления или использовать сведения о восстановлении, резервные копии в AD DS. Кроме того, если ключ восстановления используется в среде перед загрузкой, убедитесь, что диск отформатирован с помощью файловой системы NTFS, FAT16 или FAT32.

Почему не удается сохранить ключ восстановления на USB-устройстве флэш-памяти?

Параметр Сохранить в USB не отображается по умолчанию для съемных дисков. Если этот пункт недоступен, это значит, что системный администратор запретил использование ключей восстановления.

Почему не удается автоматически разблокировать диск?

Для автоматической разблокировки фиксированных дисков с данными требуется, чтобы диск операционной системы также был защищен BitLocker. Если используется компьютер без диска операционной системы, защищенного BitLocker, фиксированный диск не может быть разблокирован автоматически. Для съемных дисков с данными можно добавить автоматическую разблокировку, щелкнув правой кнопкой мыши диск в Windows Обозреватель и выбрав Управление BitLocker. Пароль или смарт-карта учетные данные, предоставленные при включении BitLocker, по-прежнему можно использовать для разблокировки съемного диска на других компьютерах.

Можно использовать BitLocker в безопасном режиме?

В безопасном режиме доступны ограниченные возможности BitLocker. Диски, защищенные BitLocker, можно разблокировать и расшифровывать, выбрав элемент Шифрование диска BitLocker на панели управления. Щелчок правой кнопкой мыши для доступа к параметрам BitLocker из Windows Обозреватель недоступен в безопасном режиме.

Как заблокировать диск с данными?

Фиксированный и съемный диск с данными можно заблокировать с помощью средства командной строки Manage-bde и команды -lock.

Примечание.

Перед блокировкой убедитесь, что все данные сохраняются на диске. После блокировки диск станет недоступным.

Синтаксис команды:

manage-bde.exe <driveletter> -lock

Помимо использования этой команды, диски с данными блокируются во время завершения работы или перезапуска операционной системы. Съемный носитель с данными, который отключается от компьютера, также автоматически блокируется.

Можно ли использовать BitLocker вместе со службой теневого копирования томов?

Да. Но теневые копии, созданные до включения BitLocker, автоматически удаляются, когда BitLocker включается для дисков с программным шифрованием. Если используется аппаратный зашифрованный диск, теневые копии сохраняются.

Поддерживает ли BitLocker виртуальные жесткие диски (VHD)?

BitLocker должен работать так же, как и любой конкретный физический компьютер в пределах своих аппаратных ограничений при условии, что среда (физическая или виртуальная) соответствует требованиям операционной системы Windows для запуска.

  • С TPM: да, он поддерживается.
  • Без доверенного платформенного платформенного модуля: да, он поддерживается (с защитой паролем).

BitLocker также поддерживается на виртуальных жестких дисках томов данных, например на виртуальных дисках, используемых кластерами.

Можно ли использовать BitLocker с виртуальными машинами (ВМ)?

Да, BitLocker можно использовать с виртуальными машинами, если среда соответствует требованиям к оборудованию и программному обеспечению BitLocker.