Руководство по операциям BitLocker

Чтобы определить текущее состояние тома, можно использовать Get-BitLockerVolume командлет, который предоставляет сведения о типе тома, предохранителях, состоянии защиты и других сведениях. Пример

PS C:\> Get-BitLockerVolume C: | fl

ComputerName         : DESKTOP
MountPoint           : C:
EncryptionMethod     : XtsAes128
AutoUnlockEnabled    :
AutoUnlockKeyStored  : False
MetadataVersion      : 2
VolumeStatus         : FullyEncrypted
ProtectionStatus     : On
LockStatus           : Unlocked
EncryptionPercentage : 100
WipePercentage       : 0
VolumeType           : OperatingSystem
CapacityGB           : 1000
KeyProtector         : {Tpm, RecoveryPassword}

С помощью manage-bde.exe можно определить состояние тома в целевой системе, например:

manage-bde.exe -status

Эта команда возвращает тома в целевом объекте, текущее состояние шифрования, метод шифрования и тип тома (операционная система или данные) для каждого тома.

C:\>manage-bde -status

Volume C: [Local Disk]
[OS Volume]

    Size:                 1000 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

Проверка состояния BitLocker с помощью панель управления является распространенным методом, используемым большинством пользователей. После открытия состояние каждого тома отображается рядом с описанием тома и буквой диска. Доступные значения возвращаемого состояния с помощью апплета:

Если диск предварительно подготовлен с помощью BitLocker, отображается состояние Ожидание активации с желтым восклицательным значком на томе. Это состояние означает, что при шифровании тома использовался только явный предохранитель. В этом случае том не находится в защищенном состоянии и должен добавить в том защищенный ключ, прежде чем диск будет полностью защищен. Администраторы могут использовать панель управления, PowerShell или manage-bde.exe добавить соответствующий предохранитель ключа. После завершения панель управления обновится, чтобы отразить новое состояние.

Enable-BitLocker C: -TpmProtector

manage-bde.exe -on C:

Из апплета Шифрования диска BitLocker панель управления:

1. Разверните диск ОС и выберите параметр Включить BitLocker.

2. При появлении запроса выберите параметр Разрешить BitLocker автоматически разблокировать диск.

3. Создайте резервную копию ключа восстановления , используя один из следующих методов:

   • Сохранение в учетной записи Microsoft Entra ID или учетной записи Майкрософт (если применимо)
   • Сохранение на USB-устройстве флэш-памяти
   • Сохранить в файл — файл необходимо сохранить в расположении, которое не находится на самом устройстве, например в сетевой папке.
   • Печать ключа восстановления

4. Нажмите кнопку Далее

5. Выберите один из вариантов шифрования только используемого дискового пространства или всего диска и нажмите кнопку Далее.

   • Шифрование только используемого дискового пространства — шифрует только дисковое пространство, содержащее данные
   • Шифрует весь диск . Шифрует весь том, включая свободное место. Также называется полным шифрованием диска

   Каждый из методов рекомендуется использовать в следующих сценариях:

   • Шифруйте только используемое дисковое пространство:

     • На диске никогда не было данных
     • Отформатированные или удаленные диски, на которых в прошлом никогда не было конфиденциальных данных, которые никогда не были зашифрованы

   • Шифрование всего диска (полное шифрование диска):

     • Диски с данными
     • Диски с операционной системой
     • Отформатированные или удаленные диски, которые в прошлом имели конфиденциальные данные, которые никогда не были зашифрованы

   Важно.

   Удаленные файлы отображаются в файловой системе как свободное место, которое шифруется не только используемым местом на диске. До очистки или перезаписи удаленные файлы содержат сведения, которые можно восстановить с помощью общих средств судебной экспертизы данных.

6. Выберите режим шифрования и нажмите кнопку Далее.

   • Новый режим шифрования
   • Совместимый режим

   Примечание.

   Обычно следует выбрать новый режим шифрования, но если диск может быть перемещен на другое устройство с более старой операционной системой Windows, выберите Совместимый режим.

7. Нажмите Кнопку "Продолжить>перезапуск"

8. После перезагрузки ОС выполняет системный проверка BitLocker и запускает шифрование.

Пользователи могут проверка состояние шифрования с помощью апплета BitLocker панель управления.

Если вы решили пропустить тест оборудования BitLocker, шифрование запускается немедленно без необходимости перезагрузки.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath E: -SkipHardwareTest

manage-bde.exe -protectors -add C: -TPMAndStartupKey E:
manage-bde.exe -on C:

При появлении запроса перезагрузите компьютер, чтобы завершить процесс шифрования.

Апплет панель управления не позволяет одновременно включить BitLocker и добавить предохранитель ключа запуска. Чтобы добавить предохранитель ключа запуска, выполните следующие действия.

• В апплете Шифрования диска BitLocker панель управления в разделе диск ОС выберите параметр Изменить способ разблокировки диска при запуске.
• При появлении запроса выберите параметр Вставка USB-устройства флэш-памяти.
• Выберите USB-накопитель, на котором нужно сохранить ключ запуска, и нажмите кнопку Сохранить.

Добавьте необходимые предохранители перед шифрованием тома. В следующем примере в том добавляется средство защиты паролем E: , используя переменную $pw в качестве пароля. Переменная $pw хранится как значение SecureString для хранения определяемого пользователем пароля:

$pw = Read-Host -AsSecureString
<user inputs password>
Add-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Пример. Использование PowerShell для включения BitLocker с защитой доверенного платформенного модуля

Enable-BitLocker D: -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector

Пример. Используйте PowerShell для включения BitLocker с предохранителем TPM+PIN, в данном случае с ПИН-кодом, для 123456:

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force
Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

Шифрование томов данных можно выполнить с помощью базовой команды:

manage-bde.exe -on <drive letter>

или дополнительные предохранители можно сначала добавить в том. Рекомендуется добавить по крайней мере один основной предохранитель и предохранитель восстановления в том данных.

Шифрование томов данных с помощью панель управления BitLocker работает аналогично шифрованию томов операционной системы. Пользователи выбирают Включить BitLocker в панель управления BitLocker, чтобы начать работу мастера шифрования дисков BitLocker.

(Get-BitLockerVolume -mountpoint C).KeyProtector

 manage-bde.exe -protectors -get C:

Эта информация недоступна в панель управления.

Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector

manage-bde.exe -protectors -add -recoverypassword C:

В апплете Шифрования диска BitLocker панель управления выберите том, в который нужно добавить предохранитель, и выберите параметр Резервное копирование ключа восстановления.

Add-BitLockerKeyProtector -MountPoint D -PasswordProtector

manage-bde.exe -protectors -add -pw D:

В апплете Шифрования диска BitLocker панель управления разверните диск, на который нужно добавить предохранитель паролем, и выберите параметр Добавить пароль. При появлении запроса введите и подтвердите пароль для разблокировки диска. Нажмите кнопку Готово , чтобы завершить процесс.

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

Чтобы добавить предохранитель в том, требуется идентификатор безопасности домена или имя группы, перед которыми стоит домен и обратная косая черта. В следующем примере учетная запись CONTOSO\Administrator добавляется в качестве предохранителя в том данных G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Чтобы использовать идентификатор безопасности для учетной записи или группы, сначала необходимо определить идентификатор безопасности, связанный с субъектом безопасности. Чтобы получить определенный идентификатор безопасности для учетной записи пользователя в Windows PowerShell, используйте следующую команду:

Get-ADUser -filter {samaccountname -eq "administrator"}

manage-bde.exe -protectors -add -sid <user or group>

Этот параметр недоступен в панель управления.

Чтобы удалить существующие предохранители на томе, используйте Remove-BitLockerKeyProtector командлет . Необходимо указать ИДЕНТИФИКАТОР GUID, связанный с удаляемой защитой.

Следующие команды возвращают список основных средств защиты и GUID:

$vol = Get-BitLockerVolume C
$keyprotectors = $vol.KeyProtector
$keyprotectors

Используя эти сведения, можно удалить предохранитель ключа для определенного тома с помощью команды :

Remove-BitLockerKeyProtector <volume> -KeyProtectorID "{GUID}"

Следующие команды возвращают список основных средств защиты:

manage-bde.exe -status C:

Следующая команда удаляет предохранитель ключей определенного типа:

manage-bde.exe -protectors -delete C: -type TPMandPIN

В апплете Шифрования диска BitLocker панель управления разверните диск, на котором нужно удалить предохранитель, и выберите параметр для удаления, если он доступен.

Suspend-BitLocker -MountPoint D

manage-bde.exe -protectors -disable d:

Вы можете приостановить защиту BitLocker для диска ОС только при использовании панель управления.

В апплете Шифрования диска BitLocker панель управления выберите диск ОС и выберите параметр Приостановить защиту.

Resume-BitLocker -MountPoint D

manage-bde.exe -protectors -enable d:

В апплете Шифрования диска BitLocker панель управления выберите диск ОС и выберите параметр Возобновить защиту.

Удалите все пароли восстановления из тома ОС:

(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | `
  where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | `
  Remove-BitLockerKeyProtector -MountPoint $env:SystemDrive

Добавьте предохранитель пароля восстановления BitLocker для тома ОС:

Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector

Получите идентификатор нового пароля восстановления:

(Get-BitLockerVolume -mountpoint $env:SystemDrive).KeyProtector | where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ft KeyProtectorId,RecoveryPassword

Скопируйте идентификатор пароля восстановления из выходных данных.

Используя GUID из предыдущего шага, замените {ID} в следующей команде и используйте следующую команду, чтобы создать резервную копию пароля восстановления для Microsoft Entra ID:

BackuptoAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

Или используйте следующую команду, чтобы создать резервную копию пароля восстановления в Active Directory:

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

Удалите все пароли восстановления из тома ОС:

manage-bde.exe -protectors -delete C: -type RecoveryPassword

Добавьте предохранитель пароля восстановления BitLocker для тома ОС:

manage-bde.exe -protectors -add C: -RecoveryPassword

Получите идентификатор нового пароля восстановления:

manage-bde.exe -protectors -get C: -Type RecoveryPassword

Используя GUID из предыдущего шага, замените {ID} в следующей команде и используйте следующую команду, чтобы создать резервную копию пароля восстановления для Microsoft Entra ID:

manage-bde.exe -protectors -aadbackup C: -id {ID}

Или используйте следующую команду, чтобы создать резервную копию пароля восстановления в Active Directory:

manage-bde.exe -protectors -adbackup C: -id {ID}

Этот процесс не может быть выполнен с помощью панель управления. Вместо этого используйте один из других параметров.

Windows PowerShell предлагает возможность расшифровки нескольких дисков за один проход. В следующем примере у пользователя есть три зашифрованных тома, которые он хочет расшифровать.

С помощью команды Disable-BitLocker можно одновременно удалить все средства защиты и шифрования без необходимости в дополнительных командах. Пример этой команды:

Disable-BitLocker

Чтобы не указывать каждую точку подключения по отдельности, используйте -MountPoint параметр в массиве для последовательности одной и той же команды в одну строку без необходимости ввода дополнительных данных пользователем. Пример.

Disable-BitLocker -MountPoint C,D

Расшифровка с manage-bde.exe помощью позволяет не требовать подтверждения пользователя для запуска процесса. Manage-bde использует команду -off для запуска процесса расшифровки. Пример команды для расшифровки:

manage-bde.exe -off C:

Эта команда отключает предохранители при расшифровке тома и удаляет все предохранители по завершении расшифровки.

Расшифровка BitLocker с помощью панель управления выполняется с помощью мастера. Открыв апплет BitLocker панель управления, выберите параметр Отключить BitLocker, чтобы начать процесс. Чтобы продолжить, выберите диалоговое окно подтверждения. После подтверждения отключения BitLocker начнется процесс расшифровки диска.

После завершения расшифровки диск обновляет свое состояние в панель управления и становится доступным для шифрования.

Unlock-BitLocker -MountPoint D -RecoveryPassword xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx

Дополнительные сведения см. в разделе Unlock-BitLocker.

manage-bde.exe -unlock D: -recoverypassword xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx

Дополнительные сведения см. в разделе manage-bde разблокировки.

Диск можно разблокировать с панель управления или из Обозреватель. Открыв апплет BitLocker панель управления, выберите параметр Разблокировать диск, чтобы начать процесс. При появлении запроса введите 48-значный ключ восстановления.