Битлокер Windows 10 что это такое

Обновлено: 21.11.2024

Если ваша версия Windows поддерживает эту функцию, шифрование диска является бесплатным и довольно простым в реализации.

Создатели TrueCrypt потрясли мир компьютерной безопасности в 2014 году, когда прекратили разработку популярного инструмента шифрования с открытым исходным кодом. Что еще более удивительно, создатели заявили, что TrueCrypt может быть небезопасным и что пользователям Windows следует перейти на Microsoft BitLocker. Вокруг неожиданного объявления тут же начали крутиться теории заговора.

Что такое BitLocker?

BitLocker – это простая в использовании проприетарная программа шифрования Microsoft для Windows, которая может зашифровать весь диск, а также защитить систему от несанкционированных изменений, таких как вредоносное ПО на уровне встроенного ПО.

BitLocker доступен всем, у кого есть компьютер под управлением Windows Vista или 7 Ultimate, Windows Vista или 7 Enterprise, Windows 8.1 Pro, Windows 8.1 Enterprise или Windows 10 Pro. Если вы используете версию Enterprise, скорее всего, ваш компьютер принадлежит крупной компании, поэтому вам необходимо обсудить включение шифрования BitLocker с ИТ-отделом вашей компании.

Большинство из нас покупают ПК со стандартной версией Windows, которая не включает шифрование BitLocker. Но если вы обновились до Windows 8 во время первоначального развертывания ОС с двойным интерфейсом от Microsoft, то у вас, вероятно, Windows 8 или 8.1 Pro. В первые дни существования Windows 8 Microsoft продавала дешевые лицензии на обновление до Windows 8 Pro всем, кто имел право на обновление. Это обновление Pro также сохраняется, если вы переходите с 8.1 на Windows 10.

Системные требования BitLocker

Для запуска BitLocker вам потребуется ПК с Windows под управлением одной из упомянутых выше разновидностей ОС, а также накопитель с как минимум двумя разделами и доверенным платформенным модулем (TPM).

TPM – это специальный чип, который выполняет проверку подлинности вашего оборудования, программного обеспечения и встроенного ПО. Если доверенный платформенный модуль обнаружит несанкционированное изменение, ваш компьютер загрузится в ограниченном режиме, чтобы удержать потенциальных злоумышленников.

Если вы не знаете, есть ли на вашем компьютере доверенный платформенный модуль или несколько разделов, не волнуйтесь. BitLocker выполнит проверку системы при запуске, чтобы узнать, может ли ваш компьютер использовать BitLocker.

Если выяснится, что у вас нет TPM, вы все равно можете запустить BitLocker, если повозитесь с редактором групповой политики. Ознакомьтесь с учебным пособием How-To Geek о том, как использовать программу шифрования Microsoft без TPM.

Кому следует использовать BitLocker?

Что касается BitLocker, это программа с закрытым исходным кодом. Это проблематично для тех, кто очень заботится о конфиденциальности, поскольку пользователи не могут узнать, была ли Microsoft вынуждена установить какой-то бэкдор в программу под давлением правительства США.

Компания заявляет, что обходных путей нет, но как мы можем быть в этом уверены? Мы не можем. Конечно, если бы BitLocker был с открытым исходным кодом, большинство из нас не смогли бы читать код для поиска уязвимостей, но кто-то мог бы это сделать.

Поэтому, принимая во внимание закрытый исходный код BitLocker, я бы не ожидал, что эта программа шифрования защитит ваши данные от государственных структур, таких как пограничные агенты или разведывательные службы. Но если вы хотите защитить свои данные в случае кражи или иного вмешательства в ваш компьютер, то BitLocker вполне подойдет.

Как настроить BitLocker

Вот как я запустил BitLocker на компьютере с Windows 8.1 Pro. Я также добавил некоторые инструкции для Windows 10.

<р>1. Откройте панель управления Windows, введите BitLocker в поле поиска в правом верхнем углу и нажмите Ввод .

<р>2. Затем нажмите Управление BitLocker , а на следующем экране нажмите Включить BitLocker .

<р>3. Теперь BitLocker проверит конфигурацию вашего ПК, чтобы убедиться, что ваше устройство поддерживает метод шифрования Microsoft.

BitLocker проверяет наличие необходимого доверенного платформенного модуля.

Если вы одобрены для BitLocker, Windows покажет вам сообщение, подобное этому (см. снимок экрана слева). Если ваш модуль TPM отключен, Windows автоматически включит его для вас, а затем зашифрует ваш диск.

Чтобы активировать аппаратное обеспечение безопасности TPM, Windows должна быть полностью выключена. Затем вам придется вручную перезагрузить компьютер. Прежде чем сделать это, убедитесь, что все флэш-накопители, компакт-диски или DVD-диски извлечены из вашего ПК. Затем нажмите Выключить.

После перезагрузки компьютера вы можете увидеть предупреждение о том, что ваша система была изменена. В моем случае мне пришлось нажать F10, чтобы подтвердить изменение, или нажать Esc, чтобы отменить. После этого ваш компьютер должен перезагрузиться, и после повторного входа в систему вы увидите окно BitLocker.

Ключ восстановления и шифрование

Мы перезагрузились, и TPM теперь активен.

Через несколько минут вы должны увидеть окно с зеленой галочкой рядом с пунктом Включить оборудование безопасности TPM. Мы почти подошли к тому моменту, когда будем шифровать диск! Когда будете готовы, нажмите Далее.

Однако перед шифрованием диска вам будет предложено ввести пароль, который необходимо вводить каждый раз при включении компьютера, прежде чем вы попадете на экран входа в систему Windows. Windows дает вам возможность либо ввести пароль вручную, либо вставить USB-ключ. Выберите любой метод, который вы предпочитаете, но я рекомендую придерживаться ручного пароля, чтобы вы не зависели от одного USB-ключа для аутентификации.

Далее вам нужно сохранить ключ восстановления на тот случай, если у вас возникнут проблемы с разблокировкой компьютера. Windows предлагает три варианта сохранения этого ключа в Windows 8.1 и Windows 10: сохранить файл в своей учетной записи Microsoft, сохранить в файл, сохранить на флэш-накопитель (Windows 10) или распечатать ключ восстановления. Вы можете выбрать столько вариантов, сколько хотите, и вы должны выбрать как минимум два.

В моем случае я решил сохранить файл на USB-накопителе и распечатать ключ на бумаге. Я решил не сохранять файл в своей учетной записи Microsoft, потому что не знаю, у кого есть доступ к серверам компании. Тем не менее, сохранение вашего ключа на серверах Microsoft позволит расшифровать ваши файлы, если вы когда-нибудь потеряете флэш-накопитель или бумагу, содержащую код ключа восстановления.

После создания двух разных экземпляров ключа восстановления и удаления всех USB-накопителей нажмите Далее.

Выберите вариант, который лучше всего описывает ваш компьютер.

На следующем экране вам нужно решить, следует ли шифровать только используемое дисковое пространство или шифровать весь диск вашего ПК. Если вы шифруете совершенно новый ПК без каких-либо файлов, то вам лучше всего подойдет вариант шифрования только используемого дискового пространства, поскольку новые файлы будут шифроваться по мере их добавления. Если у вас старый компьютер с еще несколькими милями на жестком диске, вам следует зашифровать весь диск.

Выбрав схему шифрования, нажмите Далее. Мы почти у цели.

Только для Windows 10

Если вы используете Windows 10 сборки 1511 или более поздней версии, вам будет предложено выбрать режим шифрования: новый или совместимый. Если вы шифруете встроенный накопитель, выберите новый. Совместимый режим в основном предназначен для съемных дисков, которые будут использоваться со старыми версиями Windows, не имеющими «нового» режима шифрования.

Убедитесь, что установлен флажок Выполнить проверку системы BitLocker, чтобы Windows запускала проверку системы перед шифрованием диска. Установив флажок, нажмите Продолжить… и ничего не произойдет.

Вы должны вручную перезагрузить компьютер, чтобы запустить шифрование диска BitLocker.

Вы увидите всплывающую подсказку на панели задач, сообщающую, что шифрование начнется после перезагрузки ПК. Перезагрузите компьютер, и вам будет предложено ввести пароль BitLocker или вставить созданный ранее USB-ключ.

После того, как вы войдете в этот последний раз, вы должны увидеть еще одно предупреждение на панели задач, сообщающее о том, что шифрование выполняется.

Вау! Мы подошли к этапу шифрования.

Вы можете продолжать работать на своем ПК во время фазы шифрования, но все может работать немного медленнее, чем обычно. Подумайте о том, чтобы воздержаться от всего, что может нагрузить вашу систему во время первоначального шифрования, например, от программ, интенсивно использующих графику.

После всех этих кликов все! Просто дайте Windows делать свое дело, и через несколько часов у вас будет диск, зашифрованный BitLocker. Время, которое требуется BitLocker для полного шифрования ваших файлов, зависит от размера вашего диска или объема данных, которые вы шифруете, если вы шифруете только существующие данные на новом ПК.

В этом разделе представлен общий обзор BitLocker, включая список системных требований, практических приложений и устаревших функций.

Обзор BitLocker

Шифрование диска BitLocker – это функция защиты данных, которая интегрируется с операционной системой и устраняет угрозы кражи или раскрытия данных с утерянных, украденных или ненадлежащим образом выведенных из эксплуатации компьютеров.

BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или более поздней. TPM — это аппаратный компонент, устанавливаемый производителями компьютеров на многие новые компьютеры.Он работает с BitLocker, чтобы помочь защитить пользовательские данные и гарантировать, что компьютер не был взломан, когда система была в автономном режиме.

На компьютерах без доверенного платформенного модуля версии 1.2 или более поздней версии вы по-прежнему можете использовать BitLocker для шифрования диска операционной системы Windows. Однако эта реализация потребует от пользователя вставки USB-ключа запуска, чтобы запустить компьютер или выйти из спящего режима. Начиная с Windows 8, вы можете использовать пароль тома операционной системы для защиты тома операционной системы на компьютере без TPM. Оба варианта не обеспечивают проверку целостности системы перед запуском, предлагаемую BitLocker с доверенным платформенным модулем.

В дополнение к TPM BitLocker предлагает возможность блокировки обычного процесса запуска до тех пор, пока пользователь не введет личный идентификационный номер (ПИН-код) или не вставит съемное устройство, например флэш-накопитель USB, содержащий ключ запуска. Эти дополнительные меры безопасности обеспечивают многофакторную аутентификацию и гарантируют, что компьютер не запустится или не выйдет из спящего режима, пока не будет предоставлен правильный PIN-код или ключ запуска.

Практическое применение

Данные на утерянном или украденном компьютере уязвимы для несанкционированного доступа либо путем запуска против них программных средств атаки, либо путем переноса жесткого диска компьютера на другой компьютер. BitLocker помогает предотвратить несанкционированный доступ к данным за счет усиления защиты файлов и системы. BitLocker также помогает сделать данные недоступными, когда компьютеры, защищенные с помощью BitLocker, выводятся из эксплуатации или перерабатываются.

В средствах удаленного администрирования сервера есть два дополнительных инструмента, которые можно использовать для управления BitLocker.

Просмотр пароля восстановления BitLocker. Средство просмотра паролей восстановления BitLocker позволяет находить и просматривать пароли восстановления BitLocker Drive Encryption, резервные копии которых были сохранены в доменных службах Active Directory (AD DS). Вы можете использовать этот инструмент для восстановления данных, хранящихся на диске, зашифрованном с помощью BitLocker. Средство просмотра паролей восстановления BitLocker является расширением оснастки Microsoft Management Console (MMC) Active Directory Users and Computers. С помощью этого инструмента вы можете изучить диалоговое окно «Свойства» объекта компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker. Кроме того, вы можете щелкнуть правой кнопкой мыши контейнер домена, а затем выполнить поиск пароля восстановления BitLocker во всех доменах в лесу Active Directory. Для просмотра паролей восстановления вы должны быть администратором домена или вам должны быть делегированы разрешения администратором домена.

Инструменты шифрования диска BitLocker. Средства шифрования диска BitLocker включают инструменты командной строки, manage-bde и repair-bde, а также командлеты BitLocker для Windows PowerShell. Как manage-bde, так и командлеты BitLocker можно использовать для выполнения любых задач, которые можно выполнить с помощью панели управления BitLocker, и их можно использовать для автоматического развертывания и других сценариев сценариев. Repair-bde предоставляется для сценариев аварийного восстановления, в которых диск, защищенный BitLocker, невозможно разблокировать обычным образом или с помощью консоли восстановления.

Новые и измененные функции

Чтобы узнать о новых возможностях BitLocker для Windows, например о поддержке алгоритма шифрования XTS-AES, см. раздел BitLocker статьи "Что нового в Windows 10".

Системные требования

BitLocker предъявляет следующие требования к оборудованию:

Чтобы BitLocker мог использовать проверку целостности системы, предоставляемую доверенным платформенным модулем (TPM), на компьютере должен быть установлен TPM 1.2 или более поздней версии. Если на вашем компьютере нет доверенного платформенного модуля, для включения BitLocker необходимо сохранить ключ запуска на съемном устройстве, например на USB-накопителе.

Компьютер с доверенным платформенным модулем также должен иметь прошивку BIOS или UEFI, совместимую с Trusted Computing Group (TCG). Микропрограмма BIOS или UEFI устанавливает цепочку доверия для запуска операционной системы перед запуском и должна включать поддержку измерения Static Root of Trust, указанного в TCG. Компьютеру без TPM не требуется прошивка, совместимая с TCG.

Системная микропрограмма BIOS или UEFI (для компьютеров с TPM и без TPM) должна поддерживать класс запоминающих устройств USB, включая чтение небольших файлов на флэш-накопителе USB в предоперационной среде.

Начиная с Windows 7, вы можете зашифровать диск ОС без доверенного платформенного модуля и USB-накопителя. Информацию об этой процедуре см. в разделе Совет дня: Bitlocker без TPM или USB.

TPM 2.0 не поддерживается в устаревших режимах и режимах CSM BIOS. Для устройств с TPM 2.0 режим BIOS должен быть настроен только как собственный UEFI. Параметры модуля поддержки старых версий и совместимости (CSM) должны быть отключены. Для дополнительной безопасности включите функцию безопасной загрузки.

Операционная система, установленная на оборудовании в устаревшем режиме, остановит загрузку ОС при изменении режима BIOS на UEFI. Используйте инструмент MBR2GPT перед изменением режима BIOS, который подготовит ОС и диск для поддержки UEFI.

Жесткий диск должен быть разбит как минимум на два диска:

Диск операционной системы (или загрузочный диск) содержит операционную систему и ее вспомогательные файлы. Он должен быть отформатирован в файловой системе NTFS.
На системном диске находятся файлы, необходимые для загрузки Windows после того, как микропрограмма подготовит системное оборудование. BitLocker не включен на этом диске. Для работы BitLocker системный диск не должен быть зашифрован, должен отличаться от диска операционной системы и должен быть отформатирован в файловой системе FAT32 на компьютерах, использующих встроенное ПО на основе UEFI, или в файловой системе NTFS на компьютерах, использующих встроенное ПО BIOS. . Мы рекомендуем, чтобы размер системного диска составлял примерно 350 МБ. После включения BitLocker должно быть около 250 МБ свободного места.

Раздел, подлежащий шифрованию, не может быть помечен как активный раздел (это относится к операционной системе, фиксированным данным и съемным дискам с данными).

При установке на новый компьютер Windows автоматически создаст разделы, необходимые для BitLocker.

При установке дополнительного компонента BitLocker на сервер вам также потребуется установить функцию Enhanced Storage, которая используется для поддержки дисков с аппаратным шифрованием.

В этом разделе объясняется, как шифрование устройств BitLocker может помочь защитить данные на устройствах под управлением Windows. Общий обзор и список тем о BitLocker см. в разделе BitLocker.

Когда пользователи путешествуют, конфиденциальные данные их организации остаются с ними. Где бы ни хранились конфиденциальные данные, они должны быть защищены от несанкционированного доступа. Windows имеет долгую историю предоставления решений для защиты данных в состоянии покоя, которые защищают от злоумышленников, начиная с шифрованной файловой системы в операционной системе Windows 2000. Совсем недавно BitLocker предоставил шифрование для полных дисков и переносных дисков. Windows постоянно улучшает защиту данных, улучшая существующие параметры и предлагая новые стратегии.

В таблице 2 перечислены конкретные проблемы защиты данных и способы их решения в Windows 11, Windows 10 и Windows 7.

Таблица 2. Защита данных в Windows 11, Windows 10 и Windows 7

Подготовка к шифрованию дисков и файлов

Наилучшие меры безопасности прозрачны для пользователя во время реализации и использования. Каждый раз, когда возможна задержка или трудности из-за функции безопасности, существует большая вероятность того, что пользователи попытаются обойти систему безопасности. Эта ситуация особенно актуальна для защиты данных, и это сценарий, которого организации должны избегать. Планируете ли вы шифровать целые тома, съемные устройства или отдельные файлы, Windows 11 и Windows 10 удовлетворят ваши потребности, предоставив оптимизированные и удобные решения. На самом деле, вы можете заранее выполнить несколько шагов, чтобы подготовиться к шифрованию данных и сделать развертывание быстрым и гладким.

Предварительная подготовка TPM

В Windows 7 при подготовке TPM к использованию было несколько проблем:

Вы можете включить TPM в BIOS, для чего требуется, чтобы кто-то либо зашел в настройки BIOS, чтобы включить его, либо установил драйвер, чтобы включить его из Windows.
При включении TPM может потребоваться один или несколько перезапусков.

В принципе, это было большой проблемой. Если бы ИТ-персонал выделял новые ПК, он мог бы со всем этим справиться, но если бы вы захотели добавить BitLocker на устройства, которые уже были в руках пользователей, эти пользователи столкнулись бы с техническими проблемами и либо обратились бы в ИТ-отдел за поддержкой, либо просто оставьте BitLocker отключенным.

Microsoft включает инструменты в Windows 11 и Windows 10, которые позволяют операционной системе полностью управлять доверенным платформенным модулем. Нет необходимости заходить в BIOS, и все сценарии, требующие перезагрузки, исключены.

Развернуть шифрование жесткого диска

BitLocker может шифровать целые жесткие диски, включая системные диски и диски с данными. Предварительная подготовка BitLocker может значительно сократить время, необходимое для подготовки новых компьютеров с включенным BitLocker. В Windows 11 и Windows 10 администраторы могут включать BitLocker и доверенный платформенный модуль из среды предустановки Windows перед установкой Windows или в рамках последовательности задач автоматического развертывания без какого-либо взаимодействия с пользователем. В сочетании с шифрованием «Только используемое дисковое пространство» и почти пустым диском (поскольку Windows еще не установлена) для включения BitLocker требуется всего несколько секунд.

В более ранних версиях Windows администраторам приходилось включать BitLocker после установки Windows. Хотя этот процесс можно было бы автоматизировать, BitLocker потребовалось бы зашифровать весь диск, а этот процесс мог занять от нескольких часов до более суток в зависимости от размера и производительности диска, что значительно задержало развертывание. Microsoft улучшила этот процесс с помощью множества функций в Windows 11 и Windows 10.

Шифрование устройства BitLocker

Начиная с Windows 8.1, Windows автоматически включает шифрование устройств BitLocker на устройствах, поддерживающих современный режим ожидания. В Windows 11 и Windows 10 корпорация Майкрософт предлагает поддержку шифрования устройств BitLocker на гораздо более широком спектре устройств, в том числе в режиме современного ожидания и на устройствах под управлением Windows 10 Домашняя или Windows 11.

Microsoft ожидает, что большинство устройств в будущем будут соответствовать требованиям тестирования, что сделает шифрование устройств BitLocker широко распространенным на современных устройствах Windows. Шифрование устройств BitLocker обеспечивает дополнительную защиту системы за счет прозрачного шифрования данных на уровне устройства.

В отличие от стандартной реализации BitLocker, шифрование устройства BitLocker включается автоматически, поэтому устройство всегда защищено. В следующем списке показано, как это происходит:

После чистой установки Windows 11 или Windows 10 и завершения заводских настроек компьютер готов к первому использованию. В рамках этой подготовки шифрование устройства BitLocker инициализируется на диске операционной системы и фиксированных дисках данных на компьютере с помощью чистого ключа (это эквивалент стандартного приостановленного состояния BitLocker). В этом состоянии диск отображается со значком предупреждения в проводнике Windows. Желтый значок предупреждения удаляется после создания предохранителя TPM и резервного копирования ключа восстановления, как описано в следующих пунктах.
Если устройство не присоединено к домену, требуется учетная запись Microsoft, которой предоставлены права администратора на устройстве. Когда администратор использует для входа учетную запись Майкрософт, ключ очистки удаляется, ключ восстановления загружается в онлайн-учетную запись Майкрософт и создается предохранитель доверенного платформенного модуля. Если устройству требуется ключ восстановления, пользователю будет предложено использовать другое устройство и перейти к URL-адресу доступа к ключу восстановления, чтобы получить ключ восстановления, используя учетные данные своей учетной записи Microsoft.
Если пользователь использует для входа учетную запись домена, ключ очистки не удаляется до тех пор, пока пользователь не присоединит устройство к домену и ключ восстановления не будет успешно скопирован в доменные службы Active Directory (AD DS). Необходимо включить параметр групповой политики «Конфигурация компьютера\Административные шаблоны\Компоненты Windows\BitLocker Drive Encryption\Диски операционной системы» и выбрать параметр «Не включать BitLocker, пока информация о восстановлении не будет сохранена в AD DS для дисков операционной системы». В этой конфигурации пароль восстановления создается автоматически, когда компьютер присоединяется к домену, а затем ключ восстановления копируется в AD DS, создается предохранитель TPM, а ключ очистки удаляется.
Подобно входу с учетной записью домена, ключ очистки удаляется, когда пользователь входит в учетную запись Azure AD на устройстве. Как описано в пункте выше, пароль восстановления создается автоматически, когда пользователь проходит проверку подлинности в Azure AD. Затем ключ восстановления резервируется в Azure AD, создается предохранитель TPM, а ключ очистки удаляется.

Microsoft рекомендует включить шифрование устройства BitLocker во всех системах, которые его поддерживают, но автоматический процесс шифрования устройства BitLocker можно предотвратить, изменив следующий параметр реестра:

Подключ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
Значение: PreventDeviceEncryption равно True (1)
Тип: REG_DWORD

Администраторы могут управлять присоединенными к домену устройствами, на которых включено шифрование устройств BitLocker, с помощью администрирования и мониторинга Microsoft BitLocker (MBAM). В этом случае шифрование устройства BitLocker автоматически делает доступными дополнительные параметры BitLocker. Преобразование или шифрование не требуется, и MBAM может управлять полным набором политик BitLocker, если требуются какие-либо изменения конфигурации.

Шифрование только используемого дискового пространства

BitLocker в более ранних версиях Windows мог долго шифровать диск, потому что он шифровал каждый байт тома (включая части, не содержащие данных). Это по-прежнему самый безопасный способ шифрования диска, особенно если диск ранее содержал конфиденциальные данные, которые с тех пор были перемещены или удалены. В этом случае следы конфиденциальных данных могут остаться на участках диска, помеченных как неиспользуемые. Но зачем шифровать новый диск, если можно просто шифровать данные по мере их записи? Чтобы сократить время шифрования, BitLocker в Windows 11 и Windows 10 позволяет пользователям шифровать только свои данные. В зависимости от объема данных на диске этот параметр может сократить время шифрования более чем на 99 процентов. Однако соблюдайте осторожность при шифровании только используемого пространства на существующем томе, на котором конфиденциальные данные могли уже храниться в незашифрованном состоянии, поскольку эти сектора можно восстановить с помощью инструментов восстановления диска до тех пор, пока они не будут перезаписаны новыми зашифрованными данными.Напротив, шифрование только используемого пространства на совершенно новом томе может значительно сократить время развертывания без риска для безопасности, поскольку все новые данные будут шифроваться при записи на диск.

Поддержка зашифрованных жестких дисков

SED были доступны в течение многих лет, но Microsoft не могла поддерживать их использование с некоторыми более ранними версиями Windows, поскольку на дисках отсутствовали важные функции управления ключами. Microsoft работала с поставщиками хранилищ над улучшением аппаратных возможностей, и теперь BitLocker поддерживает SED следующего поколения, которые называются зашифрованными жесткими дисками. Зашифрованные жесткие диски обеспечивают встроенные криптографические возможности для шифрования данных на дисках, что повышает производительность как диска, так и системы за счет переноса криптографических вычислений с процессора ПК на сам диск и быстрого шифрования диска с помощью специального аппаратного обеспечения. Если вы планируете использовать шифрование всего диска с Windows 11 или Windows 10, Microsoft рекомендует изучить производителей и модели жестких дисков, чтобы определить, соответствуют ли какие-либо из их зашифрованных жестких дисков вашим требованиям к безопасности и бюджету. Дополнительные сведения о зашифрованных жестких дисках см. в разделе Зашифрованный жесткий диск.

Защита предзагрузочной информации

Эффективная реализация защиты информации, как и большинство средств контроля безопасности, учитывает не только безопасность, но и удобство использования. Пользователи обычно предпочитают простой интерфейс безопасности. На самом деле, чем прозрачнее становится решение по обеспечению безопасности, тем больше вероятность того, что пользователи согласятся с ним. Крайне важно, чтобы организации защищали информацию на своих ПК независимо от состояния компьютера или намерений пользователей. Эта защита не должна быть обременительной для пользователей. Одной из нежелательных и ранее распространенных ситуаций является ситуация, когда пользователю предлагается ввести данные во время предварительной загрузки, а затем снова во время входа в систему Windows. Следует избегать запроса пользователей на ввод более одного раза. Windows 11 и Windows 10 могут обеспечить настоящую систему единого входа из среды предварительной загрузки на современных устройствах, а в некоторых случаях даже на старых устройствах при наличии надежных конфигураций защиты информации. Изолированный доверенный платформенный модуль может надежно защитить ключ шифрования BitLocker, пока он находится в состоянии покоя, и может безопасно разблокировать диск операционной системы. Когда ключ используется и, следовательно, находится в памяти, сочетание аппаратных средств и возможностей Windows может защитить ключ и предотвратить несанкционированный доступ посредством атак с «холодной» перезагрузкой. Хотя доступны и другие меры противодействия, такие как разблокировка с помощью PIN-кода, они не так удобны для пользователя; в зависимости от конфигурации устройств они могут не обеспечивать дополнительную безопасность, когда речь идет о защите ключей. Дополнительные сведения см. в разделе Противодействие BitLocker.

Управление паролями и PIN-кодами

Если BitLocker включен на системном диске, а на ПК установлен доверенный платформенный модуль, вы можете потребовать, чтобы пользователи вводили PIN-код, прежде чем BitLocker разблокирует диск. Такое требование ПИН-кода может помешать злоумышленнику, имеющему физический доступ к ПК, даже получить доступ к входу в Windows, что делает для злоумышленника практически невозможным доступ или изменение пользовательских данных и системных файлов.

Требование PIN-кода при запуске – полезная функция безопасности, поскольку она действует как второй фактор аутентификации (второе "что-то, что вы знаете"). Однако эта конфигурация сопряжена с некоторыми затратами. Одним из наиболее важных является необходимость регулярно менять PIN-код. На предприятиях, которые использовали BitLocker с операционной системой Windows 7 и Windows Vista, пользователям приходилось обращаться к системным администраторам, чтобы обновить свой PIN-код или пароль BitLocker. Это требование не только увеличило затраты на управление, но и сделало пользователей менее склонными регулярно менять свой PIN-код или пароль BitLocker. Пользователи Windows 11 и Windows 10 могут самостоятельно обновлять свои PIN-коды и пароли BitLocker без учетных данных администратора. Эта функция не только снизит затраты на поддержку, но и может повысить безопасность, поскольку побуждает пользователей чаще менять свои PIN-коды и пароли. Кроме того, современным резервным устройствам не требуется ПИН-код для запуска: они предназначены для нечастого запуска и имеют другие меры по снижению риска, которые еще больше уменьшают поверхность атаки системы. Дополнительные сведения о том, как работает система безопасности при запуске, и о мерах противодействия, предоставляемых Windows 11 и Windows 10, см. в статье Защита BitLocker от предзагрузочных атак.

Настроить сетевую разблокировку

Некоторые организации предъявляют требования к безопасности данных в зависимости от местоположения. Это наиболее распространено в средах, где ценные данные хранятся на ПК. Сетевое окружение может обеспечить важнейшую защиту данных и обязательную аутентификацию; поэтому политика гласит, что эти ПК не должны покидать здание или отключаться от корпоративной сети. Такие меры безопасности, как физические замки безопасности и геозоны, могут помочь обеспечить соблюдение этой политики в качестве реактивного контроля.Помимо этого, необходим упреждающий контроль безопасности, который предоставляет доступ к данным только тогда, когда ПК подключен к корпоративной сети.

Клиентские ПК с прошивкой Unified Extensible Firmware Interface (UEFI) версии 2.3.1 или более поздней, которая поддерживает протокол динамической конфигурации хоста (DHCP)
Сервер под управлением не ниже Windows Server 2012 с ролью Windows Deployment Services
Сервер с установленной ролью сервера DHCP

Дополнительные сведения о настройке сетевой разблокировки см. в статье BitLocker: как включить сетевую разблокировку.

Администрирование и мониторинг Microsoft BitLocker

Администрирование и мониторинг Microsoft BitLocker (MBAM), часть пакета Microsoft Desktop Optimization Pack, упрощает управление и поддержку BitLocker и BitLocker To Go. MBAM 2.5 с пакетом обновления 1 (последняя версия) имеет следующие основные функции:

Позволяет администраторам автоматизировать процесс шифрования томов на клиентских компьютерах по всему предприятию.
Позволяет специалистам по безопасности быстро определять состояние соответствия отдельных компьютеров или даже всего предприятия.
Предоставляет централизованную отчетность и управление оборудованием с помощью Microsoft Endpoint Configuration Manager.
Снижает нагрузку на службу поддержки, чтобы помочь конечным пользователям с запросами на восстановление BitLocker.
Позволяет конечным пользователям самостоятельно восстанавливать зашифрованные устройства с помощью портала самообслуживания.
Позволяет сотрудникам службы безопасности легко проверять доступ к информации о ключе восстановления.
Предоставляет пользователям Windows Enterprise возможность продолжать работу в любом месте с гарантией того, что их корпоративные данные защищены.
Применяет параметры политики шифрования BitLocker, которые вы установили для своего предприятия.
Интегрируется с существующими инструментами управления, такими как Microsoft Endpoint Configuration Manager.
Предлагает настраиваемый ИТ-специалистами процесс восстановления.
Поддерживает Windows 10.

Предприятия могут использовать MBAM для управления клиентскими компьютерами с BitLocker, присоединенными к домену локально, до тех пор, пока основная поддержка не прекратится в июле 2019 года, или они могут получить расширенную поддержку до апреля 2026 года.

В дальнейшем функции MBAM будут включены в Configuration Manager. Дополнительные сведения см. в разделе Возможности технической предварительной версии Configuration Manager 1909.

Предприятия, не использующие Configuration Manager, могут использовать встроенные функции Azure AD и Microsoft Intune в Microsoft Endpoint Manager для администрирования и мониторинга. Дополнительные сведения см. в статье Мониторинг шифрования устройств с помощью Intune.

Вы можете использовать BitLocker для предотвращения несанкционированного доступа к данным на потерянных или украденных компьютерах путем шифрования всех пользовательских и системных файлов на диске операционной системы, включая файлы подкачки и файлы гибернации, а также проверки целостности компонентов ранней загрузки и конфигурации загрузки. данные.

Как BitLocker работает с фиксированными и съемными дисками с данными

Вы можете использовать BitLocker для шифрования всего содержимого диска с данными. Вы можете использовать групповую политику, чтобы потребовать, чтобы BitLocker был включен на диске, прежде чем компьютер сможет записывать данные на диск. В BitLocker можно настроить различные методы разблокировки для дисков с данными, а диск с данными поддерживает несколько методов разблокировки.

Поддерживает ли BitLocker многофакторную аутентификацию?

Да, BitLocker поддерживает многофакторную аутентификацию для дисков операционной системы. Если вы включите BitLocker на компьютере с доверенным платформенным модулем версии 1.2 или более поздней, вы сможете использовать дополнительные формы проверки подлинности с защитой доверенного платформенного модуля.

Каковы требования BitLocker к оборудованию и программному обеспечению?

Динамические диски не поддерживаются BitLocker. Объемы динамических данных не будут отображаться в Панели управления. Хотя том операционной системы всегда будет отображаться на панели управления, независимо от того, является ли он динамическим диском, если это динамический диск, он не может быть защищен BitLocker.

Зачем нужны два раздела? Почему системный диск должен быть таким большим?

Для запуска BitLocker требуются два раздела, так как проверка подлинности перед запуском и проверка целостности системы должны выполняться в отдельном разделе от зашифрованного диска операционной системы. Эта конфигурация помогает защитить операционную систему и информацию на зашифрованном диске.

Какие доверенные платформенные модули (TPM) поддерживает BitLocker?

BitLocker поддерживает TPM версии 1.2 или выше. Для поддержки BitLocker для TPM 2.0 требуется унифицированный расширяемый интерфейс встроенного ПО (UEFI) для устройства.

Как узнать, есть ли на моем компьютере доверенный платформенный модуль?

Начиная с Windows 10 версии 1803, вы можете проверить состояние доверенного платформенного модуля в Центре безопасности Защитника Windows > Безопасность устройства > Сведения об процессоре безопасности. В предыдущих версиях Windows откройте консоль TPM MMC (tpm.msc) и посмотрите под заголовком Состояние. Вы также можете запустить Get-TPM** в PowerShell, чтобы получить дополнительные сведения о TPM на текущем компьютере.

Можно ли использовать BitLocker на диске операционной системы без TPM?

Да, вы можете включить BitLocker на диске с операционной системой без TPM версии 1.2 или выше, если прошивка BIOS или UEFI имеет возможность чтения с USB-накопителя в загрузочной среде. Это связано с тем, что BitLocker не разблокирует защищенный диск до тех пор, пока собственный главный ключ тома BitLocker не будет сначала выпущен либо доверенным платформенным модулем компьютера, либо флэш-накопителем USB, содержащим ключ запуска BitLocker для этого компьютера. Однако компьютеры без TPM не смогут использовать проверку целостности системы, которую также может предоставить BitLocker. Чтобы определить, может ли компьютер считывать данные с USB-устройства в процессе загрузки, используйте проверку системы BitLocker как часть процесса установки BitLocker. Эта проверка системы выполняет тесты, чтобы убедиться, что компьютер может правильно считывать данные с USB-устройств в нужное время и что компьютер соответствует другим требованиям BitLocker.

Как получить поддержку BIOS для TPM на моем компьютере?

Обратитесь к производителю компьютера, чтобы запросить загрузочную прошивку BIOS или UEFI, совместимую с Trusted Computing Group (TCG), которая отвечает следующим требованиям:

Он соответствует стандартам TCG для клиентских компьютеров.
Он имеет безопасный механизм обновления, помогающий предотвратить установку вредоносного BIOS или загрузочного микропрограммного обеспечения на компьютер.

Какие учетные данные необходимы для использования BitLocker?

Чтобы включать, выключать или изменять конфигурации BitLocker в операционной системе и на несъемных дисках с данными, требуется членство в локальной группе администраторов. Обычные пользователи могут включать, выключать или изменять настройки BitLocker на съемных дисках с данными.

Каков рекомендуемый порядок загрузки для компьютеров, которые будут защищены BitLocker?

Вы должны настроить параметры запуска вашего компьютера так, чтобы жесткий диск был первым в порядке загрузки, перед любыми другими дисками, такими как дисководы CD/DVD или USB-накопители. Если жесткий диск не является первым и вы обычно загружаетесь с жесткого диска, то изменение порядка загрузки может быть обнаружено или предположено, когда во время загрузки будет обнаружен съемный носитель. Порядок загрузки обычно влияет на измерение системы, которое проверяется BitLocker, и изменение порядка загрузки приведет к тому, что вам будет предложено ввести ключ восстановления BitLocker. По той же причине, если у вас есть ноутбук с док-станцией, убедитесь, что жесткий диск стоит первым в порядке загрузки как при подключении, так и при отключении.

Читайте также: