Аналоги битлокера windows 10

Обновлено: 01.07.2024

В этой статье для ИТ-специалистов описывается, как использовать инструменты для управления BitLocker.

Инструменты шифрования диска BitLocker включают инструменты командной строки manage-bde и repair-bde, а также командлеты BitLocker для Windows PowerShell.

Командлеты manage-bde и BitLocker можно использовать для выполнения любых задач, которые можно выполнить с помощью панели управления BitLocker, и которые подходят для автоматического развертывания и других сценариев сценариев.

Repair-bde – это инструмент для особых обстоятельств, предназначенный для сценариев аварийного восстановления, в которых диск, защищенный BitLocker, невозможно разблокировать обычным образом или с помощью консоли восстановления.

Управление-bde

Manage-bde — это инструмент командной строки, который можно использовать для написания сценариев операций BitLocker. Manage-bde предлагает дополнительные параметры, не отображаемые на панели управления BitLocker. Полный список параметров manage-bde см. в справочнике по командной строке Manage-bde.

Manage-bde включает меньше параметров по умолчанию и требует более широких настроек для настройки BitLocker. Например, использование только команды manage-bde -on для тома данных приведет к полному шифрованию тома без каких-либо средств защиты аутентификации. Для тома, зашифрованного таким образом, по-прежнему требуется вмешательство пользователя для включения защиты BitLocker, даже если команда успешно выполнена, поскольку для полной защиты тома необходимо добавить метод проверки подлинности. В следующих разделах приведены примеры распространенных сценариев использования для manage-bde.

Использование manage-bde с томами операционной системы

Ниже перечислены примеры основных допустимых команд для томов операционной системы. Как правило, использование только команды manage-bde -on приводит к шифрованию тома операционной системы с помощью предохранителя только доверенного платформенного модуля и без ключа восстановления. Однако во многих средах требуются более надежные средства защиты, такие как пароли или PIN-код, и ожидается возможность восстановления информации с помощью ключа восстановления. Мы рекомендуем вам добавить по крайней мере одно основное средство защиты и средство восстановления на том операционной системы.

Хорошей практикой при использовании manage-bde является определение состояния тома в целевой системе. Используйте следующую команду для определения состояния тома:

Эта команда возвращает целевые тома, текущий статус шифрования, метод шифрования и тип тома (операционная система или данные) для каждого тома:

В следующем примере показано включение BitLocker на компьютере без чипа TPM. Перед началом процесса шифрования необходимо создать ключ запуска, необходимый для BitLocker, и сохранить его на USB-накопителе. Когда BitLocker включен для тома операционной системы, BitLocker потребуется доступ к флэш-накопителю USB для получения ключа шифрования (в этом примере буква диска E представляет собой USB-накопитель). Вам будет предложено перезагрузить компьютер, чтобы завершить процесс шифрования.

После завершения шифрования перед запуском операционной системы необходимо вставить USB-ключ запуска.

Альтернативой предохранителю ключа запуска на оборудовании без TPM является использование пароля и предохранителя ADaccountorgroup для защиты тома операционной системы. В этом сценарии вы должны сначала добавить предохранители. Чтобы добавить их, используйте эту команду:

Эта команда потребует, чтобы вы ввели, а затем подтвердили защитный пароль, прежде чем добавлять их в том. Если на томе включены средства защиты, вы можете включить BitLocker.

На компьютерах с доверенным платформенным модулем можно зашифровать том операционной системы без каких-либо определенных средств защиты с помощью manage-bde. Используйте эту команду:

Эта команда шифрует диск, используя доверенный платформенный модуль в качестве средства защиты по умолчанию. Если вы не уверены, доступен ли предохранитель TPM, чтобы просмотреть список предохранителей, доступных для тома, выполните следующую команду:

Использование manage-bde с томами данных

Тома данных используют тот же синтаксис для шифрования, что и тома операционной системы, но для завершения операции им не требуются защитные устройства. Шифрование томов данных можно выполнить с помощью базовой команды: manage-bde -on, или вы можете сначала добавить к тому дополнительные средства защиты. Мы рекомендуем добавить в том данных по крайней мере одно основное средство защиты и средство восстановления.

Общим средством защиты тома данных является средство защиты паролем. В приведенном ниже примере мы добавляем защиту паролем к тому и включаем BitLocker.

Ремонт-bde

Возможна проблема с повреждением области жесткого диска, на которой BitLocker хранит важную информацию. Такая проблема может быть вызвана сбоем жесткого диска или неожиданным завершением работы Windows.

Средство восстановления BitLocker (Repair-bde) можно использовать для доступа к зашифрованным данным на сильно поврежденном жестком диске, если диск был зашифрован с помощью BitLocker. Repair-bde может реконструировать критические части диска и спасти восстанавливаемые данные, если для расшифровки данных используется действительный пароль восстановления или ключ восстановления. Если метаданные BitLocker на диске повреждены, вы должны иметь возможность предоставить пакет резервного ключа в дополнение к паролю восстановления или ключу восстановления. Резервная копия этого пакета ключей создается в доменных службах Active Directory (AD DS), если вы использовали параметр по умолчанию для резервного копирования AD DS. С помощью этого пакета ключей и либо пароля восстановления, либо ключа восстановления вы можете расшифровать части диска, защищенного BitLocker, если диск поврежден. Каждый пакет ключей будет работать только для диска, имеющего соответствующий идентификатор диска. Вы можете использовать средство просмотра паролей восстановления BitLocker, чтобы получить этот пакет ключей из доменных служб Active Directory.

Если вы не выполняете резервное копирование информации для восстановления в AD DS или хотите в качестве альтернативы сохранить пакеты ключей, вы можете использовать команду manage-bde -KeyPackage для создания пакета ключей для тома.

Инструмент командной строки Repair-bde предназначен для использования, когда операционная система не запускается или не удается запустить консоль восстановления BitLocker. Используйте Repair-bde, если выполняются следующие условия:

Вы зашифровали диск с помощью шифрования диска BitLocker.
Windows не запускается, или вы не можете запустить консоль восстановления BitLocker.
У вас нет копии данных, содержащихся на зашифрованном диске.

Повреждение диска может быть не связано с BitLocker. Поэтому мы рекомендуем вам попробовать другие инструменты, которые помогут диагностировать и решить проблему с диском, прежде чем использовать средство восстановления BitLocker. Среда восстановления Windows (Windows RE) предоставляет дополнительные возможности для восстановления компьютеров.

Для Repair-bde существуют следующие ограничения:

Инструмент командной строки Repair-bde не может восстановить диск, в котором произошел сбой в процессе шифрования или дешифрования.
Инструмент командной строки Repair-bde предполагает, что если на диске есть какое-либо шифрование, то диск был полностью зашифрован.

Дополнительную информацию об использовании repair-bde см. в разделе Repair-bde.

Командлеты BitLocker для Windows PowerShell

Командлеты Windows PowerShell предоставляют администраторам новый способ использования BitLocker. Используя возможности сценариев Windows PowerShell, администраторы могут легко интегрировать параметры BitLocker в существующие сценарии. В списке ниже показаны доступные командлеты BitLocker.

Как и в manage-bde, командлеты Windows PowerShell позволяют настраивать параметры, выходящие за рамки параметров, предлагаемых на панели управления. Как и в случае с manage-bde, пользователям необходимо учитывать конкретные потребности тома, который они шифруют, перед запуском командлетов Windows PowerShell.

Хорошим начальным шагом является определение текущего состояния томов на компьютере. Это можно сделать с помощью командлета Get-BitLockerVolume.

Выходные данные командлета Get-BitLockerVolume предоставляют информацию о типе тома, средствах защиты, состоянии защиты и другие сведения.

Иногда при использовании Get-BitLockerVolume могут отображаться не все предохранители из-за нехватки места в выходном отображении. Если вы не видите все средства защиты для тома, вы можете использовать команду канала Windows PowerShell (|) для форматирования полного списка средств защиты. Get-BitLockerVolume C: | фл

Если вы хотите удалить существующие средства защиты перед инициализацией BitLocker на томе, вы можете использовать командлет Remove-BitLockerKeyProtector. Для этого необходимо удалить GUID, связанный с предохранителем.

Простой сценарий может передавать значения каждого возврата Get-BitLockerVolume в другую переменную, как показано ниже:

С помощью этого скрипта вы можете отобразить информацию в переменной $keyprotectors, чтобы определить GUID для каждого предохранителя.

Используя эту информацию, вы можете затем удалить предохранитель ключа для определенного тома с помощью команды:

Для выполнения командлета BitLocker требуется GUID предохранителя ключа, заключенный в кавычки. Убедитесь, что в команду включен весь GUID с фигурными скобками.

Использование командлетов Windows PowerShell BitLocker с томами операционной системы

Использование командлетов Windows PowerShell BitLocker аналогично работе с инструментом manage-bde для шифрования томов операционной системы. Windows PowerShell предлагает пользователям большую гибкость. Например, пользователи могут добавить нужный протектор как часть команды для шифрования тома. Ниже приведены примеры распространенных пользовательских сценариев и шаги по их выполнению в BitLocker Windows PowerShell.

В следующем примере показано, как включить BitLocker на диске операционной системы, используя только предохранитель TPM:

В приведенном ниже примере добавляется один дополнительный предохранитель, предохранитель StartupKey, и решается пропустить проверку оборудования BitLocker. В этом примере шифрование запускается немедленно, без перезагрузки.

Использование командлетов Windows PowerShell BitLocker с томами данных

Шифрование томов данных с помощью Windows PowerShell такое же, как и для томов операционной системы. Добавьте нужные предохранители перед шифрованием тома. В следующем примере к тому E: добавляется средство защиты паролем с использованием переменной $pw в качестве пароля. Переменная $pw хранится как значение SecureString для хранения пользовательского пароля.

Использование учетной записи AD или предохранителя группы в Windows PowerShell

Предохранитель ADAccountOrGroup, представленный в Windows 8 и Windows Server 2012, представляет собой предохранитель на основе SID Active Directory. Этот предохранитель можно добавить как к томам операционной системы, так и к томам данных, хотя он не разблокирует тома операционной системы в предзагрузочной среде. Предохранителю требуется SID учетной записи домена или группы для связи с предохранителем. BitLocker может защитить диск с поддержкой кластера, добавив предохранитель на основе SID для объекта имени кластера (CNO), который позволяет правильному отказоустойчивому диску и быть разблокированным любым компьютером-членом кластера.

Предохранитель ADAccountOrGroup требует использования дополнительного предохранителя (например, доверенного платформенного модуля, PIN-кода или ключа восстановления) при использовании на томах операционной системы

Чтобы добавить предохранитель ADAccountOrGroup к тому, используйте либо фактический SID домена, либо имя группы, которому предшествует домен и обратная косая черта. В приведенном ниже примере учетная запись CONTOSO\Administrator добавляется в качестве предохранителя к тому данных G.

Для пользователей, которые хотят использовать SID для учетной записи или группы, первым шагом будет определение SID, связанного с учетной записью. Чтобы получить конкретный SID для учетной записи пользователя в Windows PowerShell, используйте следующую команду:

Для использования этой команды требуется функция RSAT-AD-PowerShell.

В дополнение к приведенной выше команде PowerShell информацию о локальном входе пользователя и членстве в группе можно найти с помощью: WHOAMI /ALL. Это не требует использования дополнительных функций.

В следующем примере предохранитель ADAccountOrGroup добавляется к ранее зашифрованному тому операционной системы с использованием SID учетной записи:

Предохранители на основе Active Directory обычно используются для разблокировки томов с поддержкой отказоустойчивого кластера.

В этом разделе объясняется, как шифрование устройств BitLocker может помочь защитить данные на устройствах под управлением Windows. Общий обзор и список тем о BitLocker см. в разделе BitLocker.

Когда пользователи путешествуют, конфиденциальные данные их организации остаются с ними. Где бы ни хранились конфиденциальные данные, они должны быть защищены от несанкционированного доступа. Windows имеет долгую историю предоставления решений для защиты данных в состоянии покоя, которые защищают от злоумышленников, начиная с шифрованной файловой системы в операционной системе Windows 2000. Совсем недавно BitLocker предоставил шифрование для полных дисков и переносных дисков. Windows постоянно улучшает защиту данных, улучшая существующие параметры и предлагая новые стратегии.

В таблице 2 перечислены конкретные проблемы защиты данных и способы их решения в Windows 11, Windows 10 и Windows 7.

Таблица 2. Защита данных в Windows 11, Windows 10 и Windows 7

Подготовка к шифрованию дисков и файлов

Наилучшие меры безопасности прозрачны для пользователя во время реализации и использования. Каждый раз, когда возможна задержка или трудности из-за функции безопасности, существует большая вероятность того, что пользователи попытаются обойти систему безопасности. Эта ситуация особенно актуальна для защиты данных, и это сценарий, которого организации должны избегать. Планируете ли вы шифровать целые тома, съемные устройства или отдельные файлы, Windows 11 и Windows 10 удовлетворят ваши потребности, предоставив оптимизированные и удобные решения. На самом деле, вы можете заранее выполнить несколько шагов, чтобы подготовиться к шифрованию данных и сделать развертывание быстрым и гладким.

Предварительная подготовка TPM

В Windows 7 при подготовке TPM к использованию было несколько проблем:

Вы можете включить TPM в BIOS, для чего требуется, чтобы кто-то либо зашел в настройки BIOS, чтобы включить его, либо установил драйвер, чтобы включить его из Windows.
При включении TPM может потребоваться один или несколько перезапусков.

В принципе, это было большой проблемой. Если бы ИТ-персонал выделял новые ПК, он мог бы со всем этим справиться, но если бы вы захотели добавить BitLocker на устройства, которые уже были в руках пользователей, эти пользователи столкнулись бы с техническими проблемами и либо обратились бы в ИТ-отдел за поддержкой, либо просто оставьте BitLocker отключенным.

Microsoft включает инструменты в Windows 11 и Windows 10, которые позволяют операционной системе полностью управлять доверенным платформенным модулем.Нет необходимости заходить в BIOS, и все сценарии, требующие перезагрузки, исключены.

Развернуть шифрование жесткого диска

BitLocker может шифровать целые жесткие диски, включая системные диски и диски с данными. Предварительная подготовка BitLocker может значительно сократить время, необходимое для подготовки новых компьютеров с включенным BitLocker. В Windows 11 и Windows 10 администраторы могут включать BitLocker и доверенный платформенный модуль из среды предустановки Windows перед установкой Windows или в рамках последовательности задач автоматического развертывания без какого-либо взаимодействия с пользователем. В сочетании с шифрованием «Только используемое дисковое пространство» и почти пустым диском (поскольку Windows еще не установлена) для включения BitLocker требуется всего несколько секунд.

В более ранних версиях Windows администраторам приходилось включать BitLocker после установки Windows. Хотя этот процесс можно было бы автоматизировать, BitLocker потребовалось бы зашифровать весь диск, а этот процесс мог занять от нескольких часов до более суток в зависимости от размера и производительности диска, что значительно задержало развертывание. Microsoft улучшила этот процесс с помощью множества функций в Windows 11 и Windows 10.

Шифрование устройства BitLocker

Начиная с Windows 8.1, Windows автоматически включает шифрование устройств BitLocker на устройствах, поддерживающих современный режим ожидания. В Windows 11 и Windows 10 корпорация Майкрософт предлагает поддержку шифрования устройств BitLocker на гораздо более широком спектре устройств, в том числе в режиме современного ожидания и на устройствах под управлением Windows 10 Домашняя или Windows 11.

Microsoft ожидает, что большинство устройств в будущем будут соответствовать требованиям тестирования, что сделает шифрование устройств BitLocker широко распространенным на современных устройствах Windows. Шифрование устройств BitLocker обеспечивает дополнительную защиту системы за счет прозрачного шифрования данных на уровне устройства.

В отличие от стандартной реализации BitLocker, шифрование устройства BitLocker включается автоматически, поэтому устройство всегда защищено. В следующем списке показано, как это происходит:

После чистой установки Windows 11 или Windows 10 и завершения заводских настроек компьютер готов к первому использованию. В рамках этой подготовки шифрование устройства BitLocker инициализируется на диске операционной системы и фиксированных дисках данных на компьютере с помощью чистого ключа (это эквивалент стандартного приостановленного состояния BitLocker). В этом состоянии диск отображается со значком предупреждения в проводнике Windows. Желтый значок предупреждения удаляется после создания предохранителя TPM и резервного копирования ключа восстановления, как описано в следующих пунктах.
Если устройство не присоединено к домену, требуется учетная запись Microsoft, которой предоставлены права администратора на устройстве. Когда администратор использует для входа учетную запись Майкрософт, ключ очистки удаляется, ключ восстановления загружается в онлайн-учетную запись Майкрософт и создается предохранитель доверенного платформенного модуля. Если устройству требуется ключ восстановления, пользователю будет предложено использовать другое устройство и перейти к URL-адресу доступа к ключу восстановления, чтобы получить ключ восстановления, используя учетные данные своей учетной записи Microsoft.
Если пользователь использует для входа учетную запись домена, ключ очистки не удаляется до тех пор, пока пользователь не присоединит устройство к домену и ключ восстановления не будет успешно скопирован в доменные службы Active Directory (AD DS). Необходимо включить параметр групповой политики «Конфигурация компьютера\Административные шаблоны\Компоненты Windows\BitLocker Drive Encryption\Диски операционной системы» и выбрать параметр «Не включать BitLocker, пока информация о восстановлении не будет сохранена в AD DS для дисков операционной системы». В этой конфигурации пароль восстановления создается автоматически, когда компьютер присоединяется к домену, а затем ключ восстановления копируется в AD DS, создается предохранитель TPM, а ключ очистки удаляется.
Подобно входу с учетной записью домена, ключ очистки удаляется, когда пользователь входит в учетную запись Azure AD на устройстве. Как описано в пункте выше, пароль восстановления создается автоматически, когда пользователь проходит проверку подлинности в Azure AD. Затем ключ восстановления резервируется в Azure AD, создается предохранитель TPM, а ключ очистки удаляется.

Microsoft рекомендует включить шифрование устройства BitLocker во всех системах, которые его поддерживают, но автоматический процесс шифрования устройства BitLocker можно предотвратить, изменив следующий параметр реестра:

Подключ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
Значение: PreventDeviceEncryption равно True (1)
Тип: REG_DWORD

Администраторы могут управлять присоединенными к домену устройствами, на которых включено шифрование устройств BitLocker, с помощью администрирования и мониторинга Microsoft BitLocker (MBAM).В этом случае шифрование устройства BitLocker автоматически делает доступными дополнительные параметры BitLocker. Преобразование или шифрование не требуется, и MBAM может управлять полным набором политик BitLocker, если требуются какие-либо изменения конфигурации.

Шифрование только используемого дискового пространства

BitLocker в более ранних версиях Windows мог долго шифровать диск, потому что он шифровал каждый байт тома (включая части, не содержащие данных). Это по-прежнему самый безопасный способ шифрования диска, особенно если диск ранее содержал конфиденциальные данные, которые с тех пор были перемещены или удалены. В этом случае следы конфиденциальных данных могут остаться на участках диска, помеченных как неиспользуемые. Но зачем шифровать новый диск, если можно просто шифровать данные по мере их записи? Чтобы сократить время шифрования, BitLocker в Windows 11 и Windows 10 позволяет пользователям шифровать только свои данные. В зависимости от объема данных на диске этот параметр может сократить время шифрования более чем на 99 процентов. Однако соблюдайте осторожность при шифровании только используемого пространства на существующем томе, на котором конфиденциальные данные могли уже храниться в незашифрованном состоянии, поскольку эти сектора можно восстановить с помощью инструментов восстановления диска до тех пор, пока они не будут перезаписаны новыми зашифрованными данными. Напротив, шифрование только используемого пространства на совершенно новом томе может значительно сократить время развертывания без риска для безопасности, поскольку все новые данные будут шифроваться при записи на диск.

Поддержка зашифрованных жестких дисков

SED были доступны в течение многих лет, но Microsoft не могла поддерживать их использование с некоторыми более ранними версиями Windows, поскольку на дисках отсутствовали важные функции управления ключами. Microsoft работала с поставщиками хранилищ над улучшением аппаратных возможностей, и теперь BitLocker поддерживает SED следующего поколения, которые называются зашифрованными жесткими дисками. Зашифрованные жесткие диски обеспечивают встроенные криптографические возможности для шифрования данных на дисках, что повышает производительность как диска, так и системы за счет переноса криптографических вычислений с процессора ПК на сам диск и быстрого шифрования диска с помощью специального аппаратного обеспечения. Если вы планируете использовать шифрование всего диска с Windows 11 или Windows 10, Microsoft рекомендует изучить производителей и модели жестких дисков, чтобы определить, соответствуют ли какие-либо из их зашифрованных жестких дисков вашим требованиям к безопасности и бюджету. Дополнительные сведения о зашифрованных жестких дисках см. в разделе Зашифрованный жесткий диск.

Защита предзагрузочной информации

Эффективная реализация защиты информации, как и большинство средств контроля безопасности, учитывает не только безопасность, но и удобство использования. Пользователи обычно предпочитают простой интерфейс безопасности. На самом деле, чем прозрачнее становится решение по обеспечению безопасности, тем больше вероятность того, что пользователи согласятся с ним. Крайне важно, чтобы организации защищали информацию на своих ПК независимо от состояния компьютера или намерений пользователей. Эта защита не должна быть обременительной для пользователей. Одной из нежелательных и ранее распространенных ситуаций является ситуация, когда пользователю предлагается ввести данные во время предварительной загрузки, а затем снова во время входа в систему Windows. Следует избегать запроса пользователей на ввод более одного раза. Windows 11 и Windows 10 могут обеспечить настоящую систему единого входа из среды предварительной загрузки на современных устройствах, а в некоторых случаях даже на старых устройствах при наличии надежных конфигураций защиты информации. Изолированный доверенный платформенный модуль может надежно защитить ключ шифрования BitLocker, пока он находится в состоянии покоя, и может безопасно разблокировать диск операционной системы. Когда ключ используется и, следовательно, находится в памяти, сочетание аппаратных средств и возможностей Windows может защитить ключ и предотвратить несанкционированный доступ посредством атак с «холодной» перезагрузкой. Хотя доступны и другие меры противодействия, такие как разблокировка с помощью PIN-кода, они не так удобны для пользователя; в зависимости от конфигурации устройств они могут не обеспечивать дополнительную безопасность, когда речь идет о защите ключей. Дополнительные сведения см. в разделе Противодействие BitLocker.

Управление паролями и PIN-кодами

Если BitLocker включен на системном диске, а на ПК установлен доверенный платформенный модуль, вы можете потребовать, чтобы пользователи вводили PIN-код, прежде чем BitLocker разблокирует диск. Такое требование ПИН-кода может помешать злоумышленнику, имеющему физический доступ к ПК, даже получить доступ к входу в Windows, что делает для злоумышленника практически невозможным доступ или изменение пользовательских данных и системных файлов.

Требование PIN-кода при запуске – полезная функция безопасности, поскольку она действует как второй фактор аутентификации (второе "что-то, что вы знаете"). Однако эта конфигурация сопряжена с некоторыми затратами. Одним из наиболее важных является необходимость регулярно менять PIN-код. На предприятиях, которые использовали BitLocker с операционной системой Windows 7 и Windows Vista, пользователям приходилось обращаться к системным администраторам, чтобы обновить свой PIN-код или пароль BitLocker.Это требование не только увеличило затраты на управление, но и сделало пользователей менее склонными регулярно менять свой PIN-код или пароль BitLocker. Пользователи Windows 11 и Windows 10 могут самостоятельно обновлять свои PIN-коды и пароли BitLocker без учетных данных администратора. Эта функция не только снизит затраты на поддержку, но и может повысить безопасность, поскольку побуждает пользователей чаще менять свои PIN-коды и пароли. Кроме того, современным резервным устройствам не требуется ПИН-код для запуска: они предназначены для нечастого запуска и имеют другие меры по снижению риска, которые еще больше уменьшают поверхность атаки системы. Дополнительные сведения о том, как работает система безопасности при запуске, и о мерах противодействия, предоставляемых Windows 11 и Windows 10, см. в статье Защита BitLocker от предзагрузочных атак.

Настроить сетевую разблокировку

Некоторые организации предъявляют требования к безопасности данных в зависимости от местоположения. Это наиболее распространено в средах, где ценные данные хранятся на ПК. Сетевое окружение может обеспечить важнейшую защиту данных и обязательную аутентификацию; поэтому политика гласит, что эти ПК не должны покидать здание или отключаться от корпоративной сети. Такие меры безопасности, как физические замки безопасности и геозоны, могут помочь обеспечить соблюдение этой политики в качестве реактивного контроля. Помимо этого, необходим упреждающий контроль безопасности, который предоставляет доступ к данным только тогда, когда ПК подключен к корпоративной сети.

Клиентские ПК с прошивкой Unified Extensible Firmware Interface (UEFI) версии 2.3.1 или более поздней, которая поддерживает протокол динамической конфигурации хоста (DHCP)
Сервер под управлением не ниже Windows Server 2012 с ролью Windows Deployment Services
Сервер с установленной ролью сервера DHCP

Дополнительные сведения о настройке сетевой разблокировки см. в статье BitLocker: как включить сетевую разблокировку.

Администрирование и мониторинг Microsoft BitLocker

Администрирование и мониторинг Microsoft BitLocker (MBAM), часть пакета Microsoft Desktop Optimization Pack, упрощает управление и поддержку BitLocker и BitLocker To Go. MBAM 2.5 с пакетом обновления 1 (последняя версия) имеет следующие основные функции:

Позволяет администраторам автоматизировать процесс шифрования томов на клиентских компьютерах по всему предприятию.
Позволяет специалистам по безопасности быстро определять состояние соответствия отдельных компьютеров или даже всего предприятия.
Предоставляет централизованную отчетность и управление оборудованием с помощью Microsoft Endpoint Configuration Manager.
Снижает нагрузку на службу поддержки, чтобы помочь конечным пользователям с запросами на восстановление BitLocker.
Позволяет конечным пользователям самостоятельно восстанавливать зашифрованные устройства с помощью портала самообслуживания.
Позволяет сотрудникам службы безопасности легко проверять доступ к информации о ключе восстановления.
Предоставляет пользователям Windows Enterprise возможность продолжать работу в любом месте с гарантией того, что их корпоративные данные защищены.
Применяет параметры политики шифрования BitLocker, которые вы установили для своего предприятия.
Интегрируется с существующими инструментами управления, такими как Microsoft Endpoint Configuration Manager.
Предлагает настраиваемый ИТ-специалистами процесс восстановления.
Поддерживает Windows 10.

Предприятия могут использовать MBAM для управления клиентскими компьютерами с BitLocker, присоединенными к домену локально, до тех пор, пока основная поддержка не прекратится в июле 2019 года, или они могут получить расширенную поддержку до апреля 2026 года.

В дальнейшем функции MBAM будут включены в Configuration Manager. Дополнительные сведения см. в разделе Возможности технической предварительной версии Configuration Manager 1909.

Предприятия, не использующие Configuration Manager, могут использовать встроенные функции Azure AD и Microsoft Intune в Microsoft Endpoint Manager для администрирования и мониторинга. Дополнительные сведения см. в статье Мониторинг шифрования устройств с помощью Intune.

Шифрование диска BitLocker обеспечивает автономную защиту данных и операционной системы, гарантируя, что диск не будет взломан, когда операционная система находится в автономном режиме. Шифрование диска BitLocker использует доверенный платформенный модуль, дискретный или встроенный, который поддерживает измерение статического корня доверия, как определено Trusted Computing Group.

Требования к оборудованию для шифрования диска BitLocker

Шифрование диска BitLocker использует системный раздел отдельно от раздела Windows. Системный раздел BitLocker должен соответствовать следующим требованиям.

Системный раздел BitLocker настроен как активный раздел.
Системный раздел BitLocker не должен быть зашифрован.
В системном разделе BitLocker должно быть не менее 250 МБ свободного места, помимо пространства, используемого необходимыми файлами.Этот дополнительный системный раздел можно использовать для размещения среды восстановления Windows (RE) и инструментов OEM (предоставляемых OEM), если раздел соответствует требованиям к свободному пространству в 250 МБ.

Автоматическое шифрование устройства BitLocker

Автоматическое шифрование устройств BitLocker использует технологию шифрования дисков BitLocker для автоматического шифрования внутренних дисков после того, как пользователь завершит процедуру запуска при первом включении (OOBE) на современном резервном или оборудовании, совместимом с HSTI.

Примечание. Автоматическое шифрование устройства BitLocker запускается во время первоначального запуска (OOBE). Однако защита включается (включается) только после того, как пользователи входят в систему с учетной записью Microsoft или учетной записью Azure Active Directory. До этого защита приостановлена и данные не защищены. Автоматическое шифрование устройства BitLocker не включено для локальных учетных записей, и в этом случае BitLocker можно включить вручную с помощью панели управления BitLocker.

Требования к оборудованию для автоматического шифрования устройств BitLocker

Автоматическое шифрование устройства BitLocker включено, когда:

Устройство содержит доверенный платформенный модуль (TPM) версии 1.2 или 2.0.
Безопасная загрузка UEFI включена. Дополнительные сведения см. в разделе «Безопасная загрузка».
Безопасная загрузка платформы включена
Защита от прямого доступа к памяти (DMA) включена

Перед тем как в Windows 10 будет включено автоматическое шифрование устройства BitLocker, необходимо пройти следующие тесты. Если вы хотите создать оборудование, поддерживающее эту возможность, вы должны убедиться, что ваше устройство проходит эти тесты.

TPM: устройство должно иметь TPM с поддержкой PCR 7. См. System.Fundamentals.TPM20.TPM20.

Если наличие расширяемых карт приводит к тому, что драйверы OROM UEFI загружаются UEFI BIOS во время загрузки, BitLocker НЕ будет использовать привязку PCR7.
Если вы используете устройство, которое не привязано к PCR7, и включен Bitlocker, проблем с безопасностью нет, поскольку BitLocker по-прежнему безопасен при использовании обычного профиля UEFI PCR (0, 2, 4, 11).
Любой дополнительный хэш CA (даже Windows Prod CA) перед окончательной загрузкой Windows Prod CA не позволит BitLocker выбрать использование PCR7. Не имеет значения, получен ли дополнительный хэш или хэши от ЦС UEFI (также известного как ЦС Microsoft 3rd Party) или какого-либо другого ЦС.

Безопасная загрузка: включена безопасная загрузка UEFI. См. System.Fundamentals.Firmware.UEFISecureBoot.

Современные резервные требования или проверка HSTI. Этому требованию соответствует одно из следующих условий:

Реализованы требования Modern Standby. К ним относятся требования для безопасной загрузки UEFI и защиты от несанкционированного прямого доступа к памяти.
Начиная с Windows 10 версии 1703 это требование можно выполнить с помощью теста HSTI:
1. Самопроверка безопасной загрузки платформы (или дополнительные самопроверки, настроенные в реестре) должны быть зарегистрированы HSTI как реализованные и пройденные.
2. За исключением Thunderbolt, HSTI не должен сообщать об отсутствии неразрешенных шин прямого доступа к памяти.
3. Если Thunderbolt присутствует, HSTI должен сообщить, что Thunderbolt настроен безопасно (уровень безопасности должен быть SL1 — «Авторизация пользователя» или выше).

У вас должно быть 250 МБ свободного места сверх всего необходимого для загрузки (и восстановления Windows, если вы поставите WinRE на системный раздел). Дополнительные сведения см. в разделе System.Client.SystemPartition.

Если соблюдены перечисленные выше требования, информация о системе указывает, что система поддерживает автоматическое шифрование устройства BitLocker. Эта функция доступна в Windows 10 версии 1703 или более поздней. Вот как проверить информацию о системе.

Нажмите "Пуск" и введите "Информация о системе".
Щелкните правой кнопкой мыши приложение "Сведения о системе" и выберите "Открыть от имени администратора". Разрешите приложению вносить изменения в ваше устройство, нажав Да. На некоторых устройствах могут потребоваться повышенные разрешения для просмотра настроек шифрования.
В разделе «Сводка по системе» см. «Поддержка шифрования устройств». В этом значении будет указано, зашифровано ли устройство, а если нет, то причины, по которым оно отключено.

Применение обновлений прошивки к устройствам

Помимо проведения тестов HLK, OEM-производителям необходимо тестировать обновления встроенного ПО с включенным BitLocker. Чтобы устройства не начинали восстановление без необходимости, следуйте этим рекомендациям по применению обновлений встроенного ПО:

Приостановить BitLocker (требуется для устройств, привязанных к PCR[07], только если обновление встроенного ПО изменяет политику безопасной загрузки)
Применить обновление
Перезагрузите устройство.
Возобновить BitLocker

Обновление встроенного ПО должно требовать, чтобы устройство приостановило работу Bitlocker только на короткое время, а устройство должно перезапуститься как можно скорее. BitLocker можно программно приостановить непосредственно перед завершением работы с помощью метода DisableKeyProtectors в инструментарии управления Windows (WMI).

Обнаружены неразрешенные шины/устройства с поддержкой DMA

Этот статус системной информации в поддержке шифрования устройств означает, что Windows обнаружила по крайней мере одну потенциальную внешнюю шину или устройство с поддержкой прямого доступа к памяти, которые могут представлять угрозу прямого доступа к памяти.

Чтобы решить эту проблему, обратитесь к IHV, чтобы определить, не имеет ли это устройство внешних портов DMA. Если IHV подтвердят, что шина или устройство имеют только внутренний прямой доступ к памяти, OEM-производитель может добавить это в список разрешенных.

Чтобы добавить шину или устройство в список разрешенных, необходимо добавить значение в раздел реестра. Для этого вам нужно сначала стать владельцем ключа реестра AllowedBuses. Выполните следующие действия:

Перейдите к разделу реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

Щелкните правой кнопкой мыши раздел реестра и выберите «Разрешения…».

Нажмите «Дополнительно», нажмите ссылку «Изменить» в поле «Владелец», введите имя своей учетной записи пользователя, нажмите «Проверить имена», а затем трижды нажмите «ОК», чтобы закрыть все диалоговые окна разрешений.

Щелкните правой кнопкой мыши раздел реестра и снова выберите «Разрешения…».

Нажмите кнопку «Добавить…», добавьте свою учетную запись пользователя, нажмите «Проверить имена», а затем нажмите «ОК». а затем установите флажок в разделе Разрешить полный доступ. Затем нажмите ОК.

Затем в разделе AllowedBuses добавьте пары строк (REG_SZ) имя/значение для каждой помеченной шины с поддержкой DMA, которая определена как безопасная:

Ключ: понятное для устройства имя /описание
Значение: PCI\VEN_ID&DEV_ID.

Убедитесь, что идентификаторы соответствуют результатам теста HLK. Например, если у вас есть безопасное устройство с понятным именем «Корневой порт Contoso PCI Express», идентификатором поставщика 1022 и идентификатором устройства 157C, вы должны создать запись реестра с именем Корневой порт Contoso PCI Express как тип данных REG_SZ в:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

Где значение = "PCI\VEN_1022&DEV_157C"

Отключить автоматическое шифрование устройства BitLocker

OEM-производители могут отключить шифрование устройства и вместо этого внедрить на устройстве собственную технологию шифрования. Чтобы отключить автоматическое шифрование устройства BitLocker, вы можете использовать файл автоматической установки и установить для PreventDeviceEncryption значение True. В качестве альтернативы вы можете обновить этот раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker Значение: PreventDeviceEncryption равно True (1).

Устранение неполадок с тестами BitLocker HLK

Неверная интерпретация результатов теста

Тест HLK состоит из нескольких этапов. Некоторые шаги теста могут завершиться ошибкой, не влияя на успех/неуспех всего теста. См. здесь для получения дополнительной информации об интерпретации страницы результатов. Если некоторые шаги теста не пройдены, но тест в целом пройден (на что указывает зеленая галочка рядом с названием теста), остановитесь здесь. Проверка прошла успешно, и с вашей стороны больше не требуется никаких действий.

Подтвердите, что вы запускаете правильный тест на машине. Щелкните правой кнопкой мыши любой шаг неудачного теста > Инфраструктура > Журналы сборщика > просмотрите RUNTIMEBLOCK.xml для элемента IsAOAC. Если IsAOAC=true и вы выполняете тест, отличный от AOAC, игнорируйте ошибку и не запускайте этот тест на машине. При необходимости обратитесь в службу поддержки Майкрософт за исправлениями при передаче плейлиста.

Определить, применяется ли к тесту фильтр. HLK может автоматически предложить фильтр для неправильно сопоставленного теста. Фильтр отображается в виде зеленой галочки внутри круга рядом с этапом проверки. (Обратите внимание, что некоторые фильтры могут показывать, что последующие этапы проверки завершились неудачей или были отменены.) Изучите расширенную информацию о фильтре, развернув этап проверки с помощью специального значка. Если фильтр говорит игнорировать сбой теста, остановитесь здесь.

Проблемы PCR7

Общая проблема BitLocker, связанная с двумя тестами PCR7, — это сбой привязки к PCR7.

Найдите сообщение об ошибке в журналах HLK. Разверните этап неудачного теста и просмотрите журнал Te.wtl.(Вы также можете получить доступ к этому журналу, щелкнув правой кнопкой мыши шаг теста > Журналы задач > Te.wtl). Если вы видите эту ошибку, продолжайте выполнять шаги сортировки:
Запустите msinfo32 от имени администратора и проверьте состояние безопасной загрузки/конфигурацию PCR7. Тест следует запускать с включенной безопасной загрузкой. Если привязка PCR7 не поддерживается, вместо этого запустите соответствующий тест Legacy PCR HLK. Если привязка PCR7 невозможна, продолжайте выполнять этапы сортировки.
Изучите журналы ошибок. Щелкните правой кнопкой мыши тестовое задание > Дополнительные файлы. Обычно проблема привязки PCR7 является результатом неправильных измерений в PCR7.
1. Журналы событий. Журнал Microsoft-BitLocker-Management содержит ценные сведения об ошибках, объясняющие, почему нельзя использовать PCR7. Тест BitLocker HLK должен выполняться только на компьютере с установленным BitLocker. Журналы событий должны проверяться на той машине, которая их генерирует.
2. Измеренные загрузочные журналы. Их также можно найти в папке C:\Windows\Logs\MeasuredBoot