Включение шифрования устройства
Шифрование помогает защитить данные на устройстве, чтобы доступ к ним могли получать только те пользователи, которые имеют на это разрешение. Если шифрование устройства недоступно на вашем устройстве, возможно, вам удастся включить стандартное шифрование BitLocker. Обратите внимание, что BitLocker не поддерживается в выпуске Windows 10 Домашняя.
Включение шифрования устройства
Войдите в Windows под учетной записью администратора (возможно, потребуется выйти из системы и снова войти в нее для переключения учетных записей). Дополнительные сведения см. в статье Создание учетной записи локального пользователя или администратора в Windows 10.
Нажмите кнопку Пуск и выберите Параметры > Обновление и безопасность > Шифрование устройства. Если пункт Шифрование устройства отсутствует, эта функция недоступна. Возможно, удастся использовать вместо этого стандартное шифрование BitLocker. Открыть параметр шифрования устройства.
Если шифрование устройства отключено, выберите Включить.
Включение стандартного шифрования BitLocker
Войдите в Windows на своем устройстве под учетной записью администратора (возможно, потребуется выйти из системы и снова войти в нее для переключения учетных записей). Дополнительные сведения см. в статье Создание учетной записи локального пользователя или администратора в Windows 10.
В поле поиска на панели задач введите Управление BitLocker, а затем выберите необходимый результат из списка. Также можно нажать кнопку Пуск и затем в разделе Система Windows выберите Панель управления. На панели управления выберите Система и безопасность, а затем в разделе Шифрование диска BitLocker выберите Управление BitLocker. Примечание. Вы сможете увидеть этот параметр, только если функция BitLocker доступна на вашем устройстве. Она не поддерживается в выпуске Windows 10 Домашняя.
Выберите Включить BitLocker и следуйте инструкциям.
Хотите узнать больше и выяснить, поддерживает ли ваше устройство шифрование устройства? См. статью Шифрование устройств в Windows 10.
Bitlocker Windows 10, как разблокировать?
Если компьютер потерян или украден, пароль не защитит данные. Вору даже не нужно заходить в систему — он просто удалит жесткий диск и подключит его к другому компьютеру.
Однако, если данные зашифрованы, их практически невозможно извлечь.
Итак, что можно защитить:
Microsoft BitLocker обеспечивает простое шифрование данных дисков на компьютере. Таким образом, вы можете оставаться защищенным, если устройство или диск потеряны, или украдены.
Для начала сделайте следующее:
Большинство ПК с версией системы 8.1 и выше (но не все) способны шифровать устройства. В основном новые компьютеры под управлением Windows 10 имеют эту функцию.
При входе в качестве администратора BitLocker шифрует только ваш диск.
Ключ восстановления загружается на серверы Microsoft. Он поможет восстановить важные файлы, если вы забудете пароль или не сможете зайти в систему.
Чтобы узнать, поддерживает ли ваш компьютер шифрование устройств, выполните следующие действия:
Шаг 1. Откройте приложение «Параметры» с помощью клавиш «Win+I».
Шаг 2. Выберите «Система», а затем перейдите на вкладку «О программе».
Шаг 3. Найдите раздел «Шифрования устройства» в нижней части окна. Если вы ничего не нашли, значит компьютер не поддерживает эту функцию. В ином случае вы увидите раздел, как на скриншоте ниже.
Требования
Первое требование — наличие необходимой версии ОС. Как правило, BitLocker поддерживает Windows Pro или Ultimate, например:
Если вы используете домашнюю Windows, стоит рассмотреть обновление до версии Pro.
Примечание! Обновление операционной системы лучше совместить с покупкой нового компьютера, поскольку почти во все модели включен TPM.
Ваш ПК должен поддерживать Trusted Platform Module (TPM). Его имеют многие ПК, предназначенные для бизнеса (например, Dell Precision и Optiplex, серия Lenovo ThinkCenter, HP Pro и Elite). Кстати, вы можете использовать BitLocker даже без TPM.
Также проверьте следующие требования:
Как проверить наличие TPM
Вы уже знаете, что компьютер должен иметь TPM. TPM — это специальный микрочип, который позволяет устройству поддерживать расширенные функции безопасности и обеспечивает защищенный от несанкционированного доступа способ хранения ключей шифрования.
Вы можете проверить, есть ли на компьютере TPM, выполнив следующие шаги:
Шаг 1. Выберите клавиши «Windows+R».
Шаг 2. Введите «tpm.msc».
Шаг 3. Нажмите «Enter».
Шаг 1. Чтобы открыть меню «Power User» используйте комбинацию клавиш «Windows+X». Затем выберите «Диспетчер устройств».
Шаг 2. Разверните устройства безопасности. TPM представлен как доверенный платформенный модуль с номером версии.
Примечание! Для поддержки BitLocker на компьютере должен быть чип TPM версии 1.2 или новее.
Однако, если вы видите сообщение «Совместимый доверенный платформенный модуль не найден», то это означает, что на вашем компьютере нет TPM.
Как включить BitLocker
После проверки наличия чипа TPM на компьютере выполните следующие шаги по активации BitLocker:
Шаг 1. Нажмите кнопку «Пуск». В папке служебных программ отыщите «Панель управления».
Шаг 2. Нажмите «Система и безопасность».
Шаг 3. Щелкните «Шифрование диска BitLocker».
Шаг 4. Затем нажмите на текстовую ссылку «Включить BitLocker».
Шаг 5. Выберите способ разблокировки диска во время запуска: вы можете вставить флешку или ввести пароль (мы выбрали второй метод, поскольку он проще).
Шаг 6. Дальше введите пароль, который будет использоваться при загрузке Windows 10 для разблокировки диска (однако, вы должны его хорошенько запомнить). После этого нажмите «Далее».
Примечание! Удостоверьтесь в надежности созданного пароля, используя верхний и нижний регистр, номера и символы.
Шаг 7. Не беспокойтесь о том, что все забудете. Вам будет предоставлено несколько вариантов хранения ключа, который поможет восстановить доступ к файлам:
Убедитесь, что выбрали наиболее удобный для себя вариант и сохраните ключ восстановления в безопасном месте.
Шаг 8. Нажмите «Далее».
Шаг 9. Теперь выберите опцию шифрования, которая наилучшим образом соответствует вашим потребностям.
Шаг 10. Затем определитесь с этими двумя параметрами.
Шаг 11. Нажмите «Далее».
Шаг 12. Теперь поставьте флажок возле запуска проверки системы BitLocker и нажмите «Продолжить».
Шаг 13. Все готово! Перед началом процесса шифрования просто перезагрузите компьютер.
Шаг 14. Чтобы разблокировать диск BitLocker предложит ввести пароль. Введите его и нажмите «Enter».
Что нужно знать
После перезагрузки компьютер быстро откроет рабочий стол. Это не конец!
После перехода в «Панель управления»>«Система и безопасность»>«Шифрование диска BitLocker» вы увидите, что диск еще не зашифрован.
Что делать в этом случае?
Абсолютно ничего. Просто ждите окончания процесса. Он занимает некоторое время, в зависимости от выбранного вами варианта и размера накопителя. Спокойно используйте свой компьютер, а последние штрихи будут выполняться в фоновом режиме.
Как только вы обнаружите, что процесс шифрования завершен, в «Проводнике» над диском должен появится соответствующий значок BitLocker.
Так вы сможете проверить, включен он или нет.
Как задействовать BitLocker, если на компьютере нет TPM
Для этого выполните следующие действия:
Шаг 1. Чтобы открыть «Редактор локальной групповой политики» (его имеют не все версии системы) используйте комбинацию клавиш «Windows+R». Введите «gpedit.msc» и нажмите «Enter».
Шаг 2. В разделе «Конфигурация компьютера» разверните «Административные шаблоны».
Шаг 3. После этого разверните «Компоненты Windows».
Шаг 4. Теперь откройте «Шифрование диска BitLocker» и выберите «Диски операционной системы».
Шаг 5. С правой стороны дважды щелкните по выделенному на скриншоте параметру.
Шаг 6. Выберите «Включено».
Шаг 7. Теперь поставьте флажок возле соответствующего параметра, как на скриншоте ниже. Нажмите «OK».
Шаг 8. Закройте редактор.
Видео — Шифрование системного диска С с BitLocker в Windows 10, активация ТРМ
Шифрование всех дисков
Вы должны включить BitLocker на всех дисках хранения — как внутренних, так и внешних. Просто повторите описанные выше действия для каждого из имеющихся на компьютере накопителей.
К внешним устройствам хранения данных относятся любые USB-диски, флешки, SD-карты и т. д. Мы не рекомендуем их использовать, поскольку даже после шифрования эти устройства рискуют быть украденными и разблокированными. Нет никаких гарантий касательно того, что любой такой диск не будет дешифрован случайным образом, и что вы хорошо запомните пароль или ключ восстановления.
На заметку! Лучше подумайте об использовании бесплатного и надежного облачного хранилища.
Если внешний диск необходим вам для резервного копирования файлов, тогда включите BitLocker. Для удобства можно установить автоматическое разблокирование при подключении к конкретному компьютеру. Таким образом, вам не придется постоянно вводить пароль, чтобы разблокировать диск. Однако, всегда имейте при себе либо пароль, либо ключ восстановления. Поэтому сохраните их в безопасном месте (например, в учетной записи Microsoft).
Как зашифровать диск с помощью BitLocker без перезапуска системы
По умолчанию Windows автоматически разблокирует диск после входа в учетную запись. Если эта функция отключена, тогда попробуйте снять защиту с диска вручную. Мы покажем вам, как это сделать самостоятельно.
Часть 1. Как зашифровать диск
Прежде чем ставить пароль на накопитель, убедитесь, что функция автоматической блокировки отключена. После завершения работы диск автоматически зашифруется.
Если вы хотите заблокировать диск самостоятельно, то должны сделать это с помощью «Командной строки»:
Закройте «Командную строку». С этого момента ваш диск надежно защищен, поэтому вы не можете получить к нему доступ без указанного пароля.
Часть 2. Как разблокировать диск
Снять защиту с диска намного проще, чем поставить на него пароль. Следуйте этим шагам:
Теперь защита снята, и вы можете получить доступ к файлам, хранящимся на диске.
Конечно, вы также можете разблокировать диск с помощью командной строки.
Как найти потерянный ключ восстановления
Ключ восстановления создается после первого использования программы BitLocker для каждого выбранного диска. Он предоставляет доступ к сокрытым данным. Ключ также можно использовать для разблокировки зашифрованных на съемном устройстве (например, на внешнем жестком диске или USB-накопителе) с помощью BitLocker To Go файлов и папок, если по какой-то причине вы забыли пароль или компьютер не может получить доступ к диску.
Чтобы убедиться в правильности ключа восстановления, сравните начало указанного выше идентификатора со значением аналогичного в зашифрованном томе Bitlocker.
Как/Где найти потерянный ключ восстановления Bitlocker?
Способ возвращения потерянного ключа зависит от настроенных вами параметров входа в систему:
1. Если вы используете локальную учетную запись, тогда войдите как администратор.
2. Пользователи учетной записи Microsoft должны проверить следующие места:
Как деактивировать BitLocker
Первым делом включите компьютер и войдите в Windows.
Система перейдет к расшифровке вашего диска.
На заметку! Дешифровка — процесс отнюдь не быстрый. Ее продолжительность зависит от скорости вашего накопителя, производительности центрального процессора и объема данных, которые вы сохранили на выбранном диске.
Через некоторое время дешифровка завершится.
Все готово! BitLocker отключен, и теперь вы сможете получать доступ к файлам без надобности вводить пароль.
Вывод
BitLocker — весьма неплохая функция, способная защитить данные от потери и кражи на любых накопителях (флешках, жестких дисках и т. д.). Это не идеальный инструмент, хоть и весьма полезный. Он не нравится всем пользователям, поскольку запрашивает пароль каждый раз, когда нужно использовать зашифрованный диск. Однако, не стоит недооценивать BitLocker, поскольку однажды он может спасти не только ценную информацию, но и в целом ваш бизнес/репутацию.
Видео — Как зашифровать диск BitLocker
Понравилась статья?
Сохраните, чтобы не потерять!
Руководство по восстановлению BitLocker
Относится к:
В этой статье для ИТ-специалистов описывается, как восстановить ключи BitLocker из AD DS.
Организации могут использовать сведения о восстановлении BitLocker, сохраненные в службах домена Active Directory (AD DS), для доступа к данным, защищенным BitLocker. Рекомендуется создать модель восстановления для BitLocker при планировании развертывания BitLocker.
В этой статье предполагается, что вы понимаете, как настроить AD DS для автоматического восстановления bitLocker и какие типы данных восстановления сохраняются в AD DS.
В этой статье не сообщается, как настроить AD DS для хранения данных о восстановлении BitLocker.
Что такое восстановление BitLocker?
Восстановление BitLocker — это процесс восстановления доступа к диску с защитой BitLocker в случае невозможного нормального разблокирования диска. В сценарии восстановления у вас есть следующие параметры для восстановления доступа к диску:
Что вызывает восстановление BitLocker?
В следующем списке приводятся примеры определенных событий, из-за чего BitLocker вступает в режим восстановления при попытке запустить диск операционной системы:
На пк, которые используют шифрование диска BitLocker или на таких устройствах, как планшеты или телефоны, которые используют шифрование устройств BitLocker только при обнаружении атаки, устройство немедленно перезагружается и вступает в режим восстановления BitLocker. Чтобы воспользоваться этой функцией, администраторы **** могут установить пороговое значение групповой политики блокировки учетной записи компьютера в параметре \Computer Configuration\\Windows Параметры\Security Параметры\Local Policies\\Security Options in the Local Group Policy Editor. Или они могут использовать политику MaxFailedPasswordAttempts Exchange ActiveSync (также настраиваемую через Microsoft Intune),чтобы ограничить количество попыток сбойного пароля перед переходом устройства в блокировку устройства.
На устройствах с TPM 1.2 изменение порядка загрузки BIOS или прошивки вызывает восстановление BitLocker. Однако устройства с TPM 2.0 не запускают восстановление BitLocker в этом случае. TPM 2.0 не считает изменение порядок загрузки устройства прошивки угрозой безопасности, так как загрузчик загрузки ОС не скомпрометирован.
Наличие диска или DVD-диска перед жестким диском в порядке загрузки BIOS, а затем вставка или удаление cd или DVD.
Невыполнение загрузки с сетевого диска перед загрузкой с жесткого диска.
Стыковка или отстыковка портативного компьютера. В некоторых случаях (в зависимости от производителя компьютера и BIOS) состояние стыковки портативного компьютера является частью системного измерения и должно быть последовательным для проверки состояния системы и разблокирования BitLocker. Поэтому, если портативный компьютер подключен к док-станции при включенной bitLocker, его также может потребоваться подключать к док-станции, когда она будет разблокирована. И наоборот, если портативный компьютер не подключен к док-станции при включении BitLocker, его может потребоваться отключить от станции док-станции, когда она будет разблокирована.
Изменения в таблице разделов NTFS на диске, включая создание, удаление или изменение размера основного раздела.
Ввод личного идентификационный номер (PIN-код) неправильно слишком много раз, чтобы была активирована логика борьбы с молотком TPM. Логика борьбы с забитым кодом — это программное или аппаратное обеспечение, которые увеличивают сложность и стоимость грубой атаки на ПИН-код, не принимая записи ПИН-кода до тех пор, пока не пройдет определенное время.
Отключение поддержки чтения USB-устройства в среде предварительной загрузки из прошивки BIOS или UEFI, если вы используете USB-ключи вместо TPM.
Отключение, отключение, отключение или очистка TPM.
Обновление критически важных компонентов раннего запуска, таких как обновление прошивки BIOS или UEFI, приводит к изменению связанных измерений загрузки.
Забыть ПИН-код при включенной проверке подлинности ПИН-кода.
Обновление прошивки ROM параметра.
Обновление прошивки TPM.
Добавление или удаление оборудования; например, вставка новой карты на компьютере, включая некоторые беспроводные карты PCMIA.
Удаление, вставка или полная разрядка батареи Smart Battery в портативном компьютере.
Изменения в записи загрузки на диске.
Изменения в диспетчере загрузки на диске.
Сокрытие TPM от операционной системы. Некоторые параметры BIOS или UEFI можно использовать для предотвращения переоценки TPM в операционную систему. При реализации этот параметр может сделать TPM скрытым от операционной системы. Когда TPM скрыт, безопасный запуск BIOS и UEFI отключен, и TPM не отвечает на команды из любого программного обеспечения.
Использование другой клавиатуры, которая неправильно вводит ПИН-код или карта клавиатуры которой не соответствует карте клавиатуры, принятой средой предварительной загрузки. Эта проблема может предотвратить ввод расширенных ПИН-данных.
Изменение регистров конфигурации платформы (PCRs), используемых профилем проверки TPM. Например, в том числе PCR[1] bitLocker будет измерять большинство изменений параметров BIOS, в результате чего BitLocker вступает в режим восстановления даже при изменении параметров BIOS без загрузки.
На некоторых компьютерах есть параметры BIOS, которые пропускают измерения для определенных PCR,например PCR[2]. Изменение этого параметра в BIOS приведет к тому, что BitLocker вступает в режим восстановления, так как измерение PCR будет другим.
Перемещение диска с защитой BitLocker в новый компьютер.
Обновление материнской платы до новой с помощью нового TPM.
Потеря usb-флеш-накопителя, содержащего ключ запуска при включенной проверке подлинности ключа запуска.
Сбой самопроверки TPM.
Наличие прошивки BIOS, UEFI или компонента ROM параметра, не соответствующего соответствующим соответствующим стандартам группы доверенных вычислений для клиентского компьютера. Например, неустойка в измерениях TPM может записывать волатильные данные (например, время), что приводит к различным измерениям на каждом запуске и вызывает запуск BitLocker в режиме восстановления.
Изменение авторизации использования корневого ключа хранилища TPM на ненулевую.
Процесс инициализации TPM BitLocker задает значение авторизации использования до нуля, поэтому другой пользователь или процесс должны явно изменить это значение.
Отключение проверки целостности кода или включение подписи тестов на Windows boot manager (Bootmgr).
Нажатие клавиши F8 или F10 во время процесса загрузки.
Добавление или удаление надстройки (например, видео или сетевых карт) или обновление прошивки на надстройки.
Использование горячего ключа BIOS во время процесса загрузки для изменения порядка загрузки на что-то другое, кроме жесткого диска.
Перед началом восстановления рекомендуется определить причину восстановления. Это может помочь предотвратить повторение проблемы в будущем. Например, если вы определите, что злоумышленник изменил компьютер, получив физический доступ, можно создать новые политики безопасности для отслеживания физических участников. После использования пароля восстановления для восстановления доступа к компьютеру BitLocker повторно использует ключ шифрования к текущим значениям измеренных компонентов.
В запланированных сценариях, таких как известные обновления оборудования или прошивки, можно избежать инициации восстановления, временно приостановив защиту BitLocker. Так как приостановка BitLocker оставляет диск полностью зашифрованным, администратор может быстро возобновить защиту BitLocker после завершения запланированной задачи. Использование приостановки и возобновления также повторное использование ключа шифрования без необходимости ввода ключа восстановления.
Если приостановка BitLocker автоматически возобновляет защиту при перезагрузке компьютера, если только не задано количество перезагрузок с помощью средства командной строки manage-bde.
Если для обслуживания программного обеспечения требуется перезапуск компьютера, а вы используете двух факторов проверку подлинности, можно включить разблокировку сети BitLocker для предоставления дополнительного фактора проверки подлинности, если на компьютерах нет локального пользователя для предоставления дополнительного метода проверки подлинности.
Восстановление описано в контексте незапланированного или нежелательных поведения, но для управления управлением доступом можно также вызвать восстановление как предполагаемый производственный сценарий. Например, при передиске настольных или портативных компьютеров в другие отделы или сотрудники предприятия можно принудить BitLocker к восстановлению перед тем, как компьютер будет передан новому пользователю.
Тестирование восстановления
Принудительное восстановление для локального компьютера:
Принудительное восстановление удаленного компьютера:
На экране Начните введите **cmd.exe, **а затем выберите Выполнить в качестве администратора.
Планирование процесса восстановления
При планировании процесса восстановления BitLocker сначала проконсультируйтесь с текущей практикой организации по восстановлению конфиденциальной информации. Например: как ваше предприятие обрабатывает потерянные Windows паролей? Как ваша организация выполняет сброс ПИН-кода смарт-карт? С помощью этих методов и связанных с ними ресурсов (людей и средств) можно сформулировать модель восстановления BitLocker.
Организации, которые используют шифрование дисков BitLocker и BitLocker To Go для защиты данных на большом количестве компьютеров и съемных дисках с Windows 11, Windows 10, Windows 8 или Windows 7 операционных систем и Windows go следует рассмотреть возможность использования версии 2.0 средства администрирования и мониторинга Microsoft BitLocker (MBAM), который входит в пакет оптимизации рабочего стола Майкрософт для Microsoft Software Assurance. MBAM упрощает развертывание и управление реализацией BitLocker и позволяет администраторам обеспечить и отслеживать шифрование для операционной системы и фиксированных дисков. MBAM подсказывает пользователю перед шифрованием фиксированных дисков. MBAM также управляет ключами восстановления для фиксированных и съемных дисков, что упрощает управление восстановлением. MBAM можно использовать в рамках развертывания microsoft System Center или в качестве отдельного решения. Дополнительные сведения см. в веб-сайте Microsoft BitLocker Administration and Monitoring.
После начала восстановления BitLocker пользователи могут использовать пароль восстановления для разблокирования доступа к зашифрованным данным. Рассмотрите методы самостоятельного восстановления и восстановления паролей для организации.
При определении процесса восстановления необходимо:
Ознакомьтесь с тем, как получить пароль восстановления. См.:
Определите ряд действий для после восстановления, включая анализ причин восстановления и сброс пароля восстановления. См.:
Самостоятельное восстановление
В некоторых случаях у пользователей может быть пароль восстановления в распечатке или флеш-накопителе USB, и они могут самостоятельно восстанавливаться. Мы рекомендуем вашей организации создать политику самостоятельного восстановления. Если самолечение включает использование пароля или ключа восстановления, хранимых на флеш-накопителе USB, пользователям следует предупредить о том, что не следует хранить флеш-накопитель USB в том же месте, что и компьютер, особенно во время поездок, например, если компьютер и элементы восстановления находятся в одной сумке, то несанкционированному пользователю легко получить доступ к компьютеру. Еще одна политика, которую следует учитывать, — связаться с helpdesk пользователями до или после самостоятельного восстановления, чтобы можно было определить корневую причину.
Восстановление пароля
Если у пользователя нет пароля восстановления в распечатке или на флеш-накопителе USB, пользователю необходимо будет получить пароль восстановления из источника в Интернете. Если компьютер является членом домена, пароль восстановления может быть восстановлен до AD DS. Однако это не происходит по умолчанию. Необходимо настроить соответствующие параметры групповой политики до включения BitLocker на компьютере. Параметры групповой политики BitLocker можно найти в редакторе локальной групповой политики или консоли управления групповой политикой (GPMC) под конфигурацией компьютера\Административные шаблоны\Windows компоненты\BitLocker Drive Encryption. В следующих параметрах политики определяются методы восстановления, которые можно использовать для восстановления доступа к диску с защитой BitLocker, если метод проверки подлинности не удается использовать.
В каждой из этих политик выберите сохранить сведения о восстановлении BitLocker в службы домена Active Directory, а затем выберите сведения о восстановлении BitLocker для хранения в службах домена Active Directory (AD DS). Выберите не включите BitLocker до тех пор, пока сведения о восстановлении не будут храниться в поле AD DS, если вы хотите запретить пользователям включить BitLocker, если компьютер не подключен к домену, а резервное копирование данных о восстановлении BitLocker для диска с AD DS не удастся.
Если компьютеры являются частью группы, пользователям рекомендуется сохранить пароль восстановления BitLocker с помощью учетной записи Microsoft Online. Рекомендуется иметь в Интернете копию пароля восстановления BitLocker, чтобы убедиться, что вы не потеряете доступ к данным в случае необходимости восстановления.
Средство просмотра паролей bitLocker для пользователей и компьютеров Active Directory позволяет администраторам домена просматривать пароли восстановления BitLocker для определенных объектов компьютера в Active Directory.
Следующий список можно использовать в качестве шаблона для создания собственного процесса восстановления для восстановления пароля. В этом примере используется средство просмотра паролей bitLocker для пользователей и компьютеров Active Directory.
Запись имени компьютера пользователя
Вы можете использовать имя компьютера пользователя, чтобы найти пароль восстановления в AD DS. Если пользователь не знает имя компьютера, попросите его прочитать первое **** слово метки диска в пользовательском интерфейсе ввода пароля шифрования bitLocker Drive. Это имя компьютера, когда был включен BitLocker и, вероятно, является текущим именем компьютера.
Проверка удостоверения пользователя
Убедитесь, что запрашивает пароль восстановления действительно авторизованный пользователь этого компьютера. Кроме того, может потребоваться убедиться, что компьютер с именем пользователя принадлежит пользователю.
Найдите пароль восстановления в AD DS
Найдите объект Computer с совпадающий именем в AD DS. Так как имена объектов Computer перечислены в глобальном каталоге AD DS, вы должны иметь возможность найти объект, даже если у вас есть много доменный лес.
Несколько паролей восстановления
Если несколько паролей восстановления хранятся под компьютерным объектом в AD DS, имя информационного объекта для восстановления BitLocker включает дату создания пароля.
Если в любое время вы не знаете, какой пароль предоставить, или если вы думаете, что предоставляете неправильный пароль, попросите пользователя прочитать восемь код паролей символов, отображающийся на консоли восстановления.
Так как код пароля — это уникальное значение, связанное с каждым паролем восстановления, хранимым в AD DS, при запуске запроса с помощью этого ID будет находиться правильный пароль для разблокировки зашифрованного тома.
Сбор сведений для определения причин восстановления
Прежде чем предоставить пользователю пароль восстановления, необходимо собрать любую информацию, которая поможет определить, почему было необходимо восстановление, чтобы проанализировать корневую причину во время анализа после восстановления. Дополнительные сведения об анализе после восстановления см. в публикации Post-recovery analysis.
Дайте пользователю пароль восстановления
Так как пароль восстановления составляет 48 цифр, пользователю может потребоваться записать пароль, записав его или введя его на другом компьютере. Если вы используете MBAM, пароль восстановления будет восстановлен после его восстановления из базы данных MBAM, чтобы избежать рисков безопасности, связанных с неконтролируемым паролем.
Так как 48-значный пароль восстановления длинный и содержит комбинацию цифр, пользователь может ошибться или неправильно напечатать пароль. Консоль восстановления во время загрузки использует встроенные номера проверок для обнаружения ошибок ввода в каждом 6-значном блоке 48-значного пароля восстановления и предоставляет пользователю возможность исправить такие ошибки.
Анализ после восстановления
Когда том разблокирован с помощью пароля восстановления, событие записляется в журнал событий и измерения проверки платформы сбрасываются в TPM, чтобы соответствовать текущей конфигурации. Разблокировка тома означает, что ключ шифрования был выпущен и готов к шифрованию на лету при записи данных в том и расшифровке на лету при считывке данных из тома. После разблокирования тома BitLocker ведет себя одинаково независимо от того, как был предоставлен доступ.
Если вы заметили, что на компьютере повторно разблокирован пароль восстановления, может потребоваться, чтобы администратор выполнял анализ после восстановления, чтобы определить корневую причину проверки платформы BitLocker и обновить ее, чтобы пользователю больше не было необходимости вводить пароль восстановления каждый раз, когда компьютер запускается. См.:
Определение первопричины восстановления
Если пользователю необходимо восстановить диск, важно как можно скорее определить причину, которая инициировала восстановление. Правильное анализ состояния компьютера и обнаружение фальсификации могут выявить угрозы, которые имеют более широкие последствия для безопасности предприятия.
Хотя администратор может удаленно исследовать причину восстановления в некоторых случаях, конечному пользователю может потребоваться принести компьютер, содержащий восстановленный диск на сайте, чтобы проанализировать корневую причину далее.
Просмотрите и ответьте на следующие вопросы для организации:
Чтобы помочь вам ответить на эти вопросы, используйте средство командной строки BitLocker для просмотра текущего режима конфигурации и защиты (например, manage-bde-status). Сканируйте журнал событий, чтобы найти события, которые помогают указать, почему было начато восстановление (например, если файл загрузки изменился). Обе эти возможности можно выполнять удаленно.
Устранение первопричины
После того как вы определили, что вызвало восстановление, можно сбросить защиту BitLocker и избежать восстановления на каждом запуске.
Сведения об этом сбросе могут отличаться в зависимости от первопричины восстановления. Если вы не можете определить корневую причину, или если вредоносное программное обеспечение или корневой набор могли заразить компьютер, helpdesk следует применить политики вирусов, которые будут применяться в лучших практиках, чтобы соответствующим образом реагировать.
Вы можете выполнить сброс профиля проверки BitLocker, приостановив и повторно приостановив BitLocker.
Неизвестный ПИН-код
Если пользователь забыл ПИН-код, необходимо сбросить ПИН-код во время входа на компьютер, чтобы предотвратить восстановление BitLocker при каждом перезапуске компьютера.
Чтобы предотвратить дальнейшее восстановление из-за неизвестного ПИН-кода
Потерянный ключ запуска
Если вы потеряли usb-флеш-накопитель, содержащий ключ запуска, необходимо разблокировать диск с помощью ключа восстановления, а затем создать новый ключ запуска.
Чтобы предотвратить продолжение восстановления из-за потерянного ключа запуска
Изменения файлов загрузки
Эта ошибка может возникнуть при обновлении прошивки. В качестве наилучшей практики следует приостановить работу BitLocker перед внесением изменений в прошивку, а затем возобновить защиту после завершения обновления. Это действие не позволяет компьютеру ходить в режим восстановления. Однако если при защите BitLocker были внесены изменения, войдите на компьютер с помощью пароля восстановления, и профиль проверки платформы будет обновлен, чтобы восстановление не произошло в следующий раз.
Windows RE и шифрование устройств BitLocker
Windows Среда восстановления (RE) может использоваться для восстановления доступа к диску, защищенного шифрованием устройств BitLocker. Если компьютер не может загрузиться после двух сбоев, запуск восстановления автоматически начнется. При запуске восстановления запуска автоматически из-за сбоев загрузки выполняется только ремонт операционной системы и файлов драйвера при условии, что журналы загрузки или любые доступные точки аварийного сброса в определенный поврежденный файл. В Windows 8.1 и более поздних версиях устройства, которые включают прошивку для поддержки определенных измерений TPM для PCR[7] TPM могут проверить, что Windows RE является надежной операционной средой, и разблокировать любые диски, защищенные bitLocker, если Windows RE не были изменены. Если среда Windows RE изменена, например отключена TPM, диски будут заблокированы до тех пор, пока не будет предоставлен ключ восстановления BitLocker. Если восстановление запуска не может работать автоматически с компьютера и вместо этого Windows RE запускается вручную с диска восстановления, необходимо предоставлять ключ восстановления BitLocker для разблокировки защищенных дисков BitLocker.
Экран восстановления BitLocker
Во время восстановления BitLocker Windows отображать настраиваемые сообщения восстановления и подсказки, которые определяют, откуда можно получить ключ. Эти улучшения могут помочь пользователю во время восстановления BitLocker.
Настраиваемые сообщения восстановления
Параметры групповой политики BitLocker в Windows 10, версии 1511 или Windows 11 позволит настроить настраиваемое сообщение восстановления и URL-адрес на экране восстановления BitLocker, который может включать адрес портала восстановления самообслужировки BitLocker, внутреннего веб-сайта ИТ или номера телефона для поддержки.
Эта политика может быть настроена **** с помощью GPO в соответствии с административными шаблонами конфигурации компьютера Windows компоненты > **** > **** > BitLocker Drive EncryptionOperating System Drive Настрой сообщение о восстановлении перед загрузкой и > **** > URL-адрес.
Пример настраиваемого экрана восстановления:
Подсказки ключа восстановления BitLocker
Метаданные BitLocker были улучшены в Windows 10 версии 1903 или Windows 11, чтобы включить сведения о том, когда и где был восстановлен ключ восстановления BitLocker. Эта информация не подвергается воздействию через пользовательский интерфейс или какой-либо общедоступный API. Он используется только экраном восстановления BitLocker в виде подсказок, чтобы помочь пользователю найти ключ восстановления тома. Подсказки отображаются на экране восстановления и ссылаются на расположение, где был сохранен ключ. Подсказки отображаются на современном (синем) и устаревшем (черном) экране восстановления. Это относится как к экрану восстановления диспетчера загрузки, так и к экрану разблокировки WinRE.
Мы не рекомендуем печатать ключи восстановления или сохранять их в файле. Вместо этого используйте резервное копирование Active Directory или облачное резервное копирование. Облачное резервное копирование включает Azure Active Directory (Azure AD) и Учетную запись Майкрософт.
Существуют правила, регулирующие, какой подсказка отображается во время восстановления (в порядке обработки):
Пример 1 (один ключ восстановления с одной резервной копией)
| Настраиваемый URL-адрес | Да |
|---|---|
| Сохранено в учетной записи Майкрософт | Да |
| Сохранено в Azure AD | Нет |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено для файла | Нет |
Результат: Отображается подсказка для учетной записи Майкрософт и настраиваемый URL-адрес.
Пример 2 (один ключ восстановления с одной резервной копией)
| Настраиваемый URL-адрес | Да |
|---|---|
| Сохранено в учетной записи Майкрософт | Нет |
| Сохранено в Azure AD | Нет |
| Сохранено в Active Directory | Да |
| Напечатано | Нет |
| Сохранено для файла | Нет |
Результат: Отображается только настраиваемый URL-адрес.
Пример 3 (один ключ восстановления с несколькими резервными копиями)
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетной записи Майкрософт | Да |
| Сохранено в Azure AD | Да |
| Сохранено в Active Directory | Нет |
| Напечатано | Да |
| Сохранено для файла | Да |
Результат: Отображается только подсказка учетной записи Майкрософт.
Пример 4 (несколько паролей восстановления)
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетной записи Майкрософт | Нет |
| Сохранено в Azure AD | Нет |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено для файла | Да |
| Creation time (время создания) | 1PM |
| ИД ключа | A564F193 |
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетной записи Майкрософт | Нет |
| Сохранено в Azure AD | Нет |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено для файла | Нет |
| Creation time (время создания) | 3PM |
| ИД ключа | T4521ER5 |
Результат: Отображается только подсказка для успешно отламываемой клавиши, даже если это не самый последний ключ.
Пример 5 (несколько паролей восстановления)
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетной записи Майкрософт | Да |
| Сохранено в Azure AD | Да |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено для файла | Нет |
| Creation time (время создания) | 1PM |
| ИД ключа | 99631A34 |
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетной записи Майкрософт | Нет |
| Сохранено в Azure AD | Да |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено для файла | Нет |
| Creation time (время создания) | 3PM |
| ИД ключа | 9DF70931 |
Результат: Отображается подсказка для последнего ключа.
Использование дополнительных сведений о восстановлении
Помимо 48-значного пароля восстановления BitLocker в Active Directory хранятся другие типы данных восстановления. В этом разделе описывается, как можно использовать эту дополнительную информацию.
Пакет ключей BitLocker
Если методы восстановления, рассмотренные ранее в этом документе, не разблокируют объем, можно использовать средство BitLocker Repair для расшифровки тома на уровне блока. Средство использует пакет ключей BitLocker для восстановления зашифрованных данных с сильно поврежденных дисков. Вы можете использовать эти восстановленные данные для спасения зашифрованных данных даже после того, как правильный пароль восстановления не смог разблокировать поврежденный том. Рекомендуется сохранить пароль восстановления. Пакет ключей нельзя использовать без соответствующего пароля восстановления.
Чтобы использовать пакет ключей BitLocker, необходимо использовать средство ремонта BitLocker Repair-bde.
Пакет ключей BitLocker не сохранен по умолчанию. Чтобы сохранить пакет вместе с паролем восстановления в AD **** DS, необходимо выбрать пароль восстановления резервного копирования и параметр пакета ключей в параметрах групповой политики, которые контролируют метод восстановления. Вы также можете экспортировать пакет ключей из рабочего тома. Дополнительные сведения об экспорте пакетов ключей см. в материале Retrieving the BitLocker Key Package.
Сброс паролей восстановления
Недействительный пароль восстановления после его использования. Это также должно быть сделано, если по какой-либо причине необходимо намеренно признать недействительным существующий пароль восстановления.
Пароль восстановления можно сбросить двумя способами:
Чтобы сбросить пароль восстановления с помощью manage-bde:
Удаление предыдущего пароля восстановления
Добавление нового пароля восстановления
Получите ID нового пароля восстановления. С экрана скопируйте код пароля восстановления.
Восстановление нового пароля восстановления в AD DS.
Необходимо включить скобки в строку ID.
Чтобы запустить сценарий примера пароля восстановления:
Сохраните следующий пример сценария в файле VBScript. Например: ResetPassword.vbs.
В командной подсказке введите команду, аналогичную следующему примеру сценария:
cscript ResetPassword.vbs
Этот пример сценария настроен для работы только для тома C. Сценарий необходимо настроить так, чтобы он совпадал с объемом, в котором необходимо протестировать сброс пароля.
Для управления удаленным компьютером можно указать имя удаленного компьютера, а не имя локального компьютера.
Чтобы сбросить пароли восстановления, можно использовать следующий пример сценария для создания файла VBScript.
Ирисовка пакета ключей BitLocker
Вы можете использовать два метода для получения пакета ключей, как описано в использовании дополнительных данных восстановления:
В следующем примере скрипт экспортирует все ранее сохраненные пакеты ключей из AD DS.
Чтобы запустить сценарий выборки ключей для ирисовки пакета:
Сохраните следующий пример сценария в файле VBScript. Например: GetBitLockerKeyPackageADDS.vbs.
В командной подсказке введите команду, аналогичную следующему примеру сценария:
Вы можете использовать следующий пример сценария для создания файла VBScript для получения пакета ключей BitLocker из AD DS:
В следующем примере скрипт экспортирует новый пакет ключей из разблокированного зашифрованного тома.
Чтобы запустить сценарий выборки ключей для ирисовки пакета:
Сохраните следующий пример сценария в файле VBScript. Например: GetBitLockerKeyPackage.vbs
Откройте командную подсказку администратора и введите команду, аналогичную следующему примеру сценария:
