Как работает bitlocker windows 10
Перейти к содержимому

Как работает bitlocker windows 10

  • автор:

Шифрование дисков BitLocker в Windows 10 для изготовителей оборудования

Шифрование диска BitLocker обеспечивает автономные данные и защиту операционной системы, гарантируя, что диск не изменен, пока операционная система находится в автономном режиме. Шифрование диска BitLocker использует TPM (дискретный или встроенное ПО), которое поддерживает статический корневой каталог измерения доверия, определенный группой доверенных вычислений.

Требования к оборудованию шифрования дисков BitLocker

Шифрование диска BitLocker использует системную секцию, отдельную от секции Windows. Системный раздел BitLocker должен соответствовать следующим требованиям.

  • Системный раздел BitLocker настраивается в качестве активной секции.
  • Системный раздел BitLocker не должен быть зашифрован.
  • В системном разделе BitLocker должно быть не менее 250 МБ свободного места, выше и за пределами любого пространства, используемого необходимыми файлами. Этот дополнительный системный раздел можно использовать для размещения среды восстановления Windows (RE) и средств OEM (предоставляемых OEM), пока секция по-прежнему соответствует требованиям 250 МБ свободного места.

Автоматическое шифрование устройств BitLocker

Автоматическое шифрование устройств BitLocker использует технологию шифрования дисков BitLocker для автоматического шифрования внутренних дисков после того, как пользователь завершит работу с интерфейсом Out Of Box (OOBE) на современном резервном или совместимом с HSTI оборудовании.

Автоматическое шифрование устройств BitLocker начинается во время встроенного интерфейса (OOBE). Однако защита включена (вооружена) только после входа пользователей с помощью учетной записи Майкрософт или учетной записи Azure Active Directory. До этого защита приостановлена и данные не защищены. Автоматическое шифрование устройств BitLocker не включено с локальными учетными записями, в этом случае BitLocker можно включить вручную с помощью панель управления BitLocker.

Требования к оборудованию для автоматического шифрования устройств BitLocker

Автоматическое шифрование устройств BitLocker включено, если:

  • Устройство содержит TPM (доверенный модуль платформы), TPM 1.2 или TPM 2.0.
  • Безопасная загрузка UEFI включена. Дополнительные сведения см. в статье «Безопасная загрузка «.
  • Безопасная загрузка платформы включена
  • Защита прямого доступа к памяти (DMA) включена

Следующие тесты должны пройти до включения автоматического шифрования устройств BitLocker в Windows 10. Если вы хотите создать оборудование, поддерживающее эту возможность, необходимо убедиться, что устройство проходит эти тесты.

  1. TPM: устройство должно включать TPM с поддержкой PCR 7. См. статью System.Fundamentals.TPM20.TPM20.
    • Если наличие расширяемых карта приводит к загрузке драйверов OROM UEFI BIOS UEFI во время загрузки, BitLocker не будет использовать привязку PCR7.
    • Если вы работаете на устройстве, которое не привязывается к PCR7 и Bitlocker, нет недостатков безопасности, так как BitLocker по-прежнему является безопасным при использовании обычного профиля PCR UEFI (0,2 4,11).
    • Любой дополнительный хэш ЦС (даже Windows Prod CA) до окончательного начального ЦС Windows Prod не позволит BitLocker использовать PCR7. Это не имеет значения, если дополнительные хэш или хэши находятся из ЦС UEFI (ака. Microsoft 3-й стороннего ЦС) или другого ЦС.
  2. Безопасная загрузка: включена безопасная загрузка UEFI. См. статью System.Fundamentals.Firmware.UEFISecureBoot.
  3. Современные требования к резервному режиму или проверка HSTI . Это требование выполняется одним из следующих условий:
    • Реализованы современные требования к резервному режиму. К ним относятся требования к безопасной загрузке UEFI и защите от несанкционированного DMA.
    • Начиная с Windows 10 версии 1703, это требование можно выполнить с помощью теста HSTI:
      1. Самостоятельное тестирование безопасной загрузки платформы (или дополнительные самозаверяемые тесты, настроенные в реестре), должно сообщаться HSTI, как реализовано и передано.
      2. Кроме Thunderbolt, HSTI должен сообщать о не разрешенных шинах DMA.
      3. Если громболт присутствует, HSTI должен сообщить, что Thunderbolt настроен безопасно (уровень безопасности должен быть SL1 — «Авторизация пользователя» или выше).

      Если выполнены указанные выше требования, Сведения о системе указывает, что система поддерживает автоматическое шифрование устройств BitLocker. Эта функция доступна в Windows 10 версии 1703 или более поздней. Вот как проверка Сведения о системе.

      1. Нажмите кнопку » Пуск» и введите сведения о системе
      2. Щелкните правой кнопкой мыши приложение Сведения о системе и нажмите кнопку «Открыть как Администратор istrator«. Разрешите приложению вносить изменения на устройство, нажав кнопку «Да«. Для просмотра параметров шифрования на некоторых устройствах могут потребоваться повышенные разрешения.
      3. В сводке по системе см. раздел «Поддержка шифрования устройств». Значение будет состоянием, если устройство зашифровано или нет, причины, по которым оно отключено.

      Применение обновлений встроенного ПО к устройствам

      Помимо выполнения тестов HLK, изготовители оборудования должны тестировать обновления встроенного ПО с включенной функцией BitLocker. Чтобы запретить устройствам запускать восстановление без необходимости, следуйте приведенным ниже рекомендациям, чтобы применить обновления встроенного ПО:

      1. Приостановка BitLocker (требуется для устройств, привязанных к PCR[07], только если обновление встроенного ПО изменяет политику безопасной загрузки)
      2. Примените обновление
      3. Перезапустите устройство.
      4. Возобновление BitLocker

      Обновление встроенного ПО должно требовать от устройства приостановки Bitlocker только в течение короткого времени, и устройство должно перезапустить как можно скорее. BitLocker можно приостановить программным способом непосредственно перед завершением работы с помощью метода DisableKeyProtectors в инструментарии управления Windows (WMI).

      Обнаружена не разрешенная шина или устройства DMA

      Это Сведения о системе состояние в службе поддержки шифрования устройств означает, что Windows обнаружила по крайней мере одну потенциальную внешнюю шину DMA или устройство, которое может представлять угрозу DMA.

      Чтобы устранить эту проблему, обратитесь к IHV, чтобы определить, не имеет ли это устройство внешних портов DMA. При подтверждении IHV, что шина или устройство имеет только внутреннюю DMA, изготовитель оборудования может добавить его в список разрешенных.

      Чтобы добавить шину или устройство в разрешенный список, необходимо добавить значение в раздел реестра. Для этого сначала необходимо взять на себя владение разделом реестра AllowedBuses . Выполните следующие действия:

      1. Перейдите к разделу реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses .
      2. Щелкните правой кнопкой мыши раздел реестра и выберите «Разрешения». .
      3. Нажмите кнопку «Дополнительно«, щелкните ссылку «Изменить » в поле «Владелец» , введите имя учетной записи пользователя, нажмите кнопку «Проверить имена», а затем нажмите кнопку «ОК» три раза, чтобы закрыть все диалоговые окна разрешений.
      4. Щелкните правой кнопкой мыши раздел реестра и снова выберите «Разрешения».
      5. Нажмите кнопку «Добавить. «, добавьте учетную запись пользователя, нажмите кнопку «Проверить имена», а затем нажмите кнопку «ОК». Затем выберите поле проверка box в разделе «Разрешить полный доступ». Затем нажмите кнопку ОК.

      Затем под ключом AllowedBuses добавьте пары имен и значений строки (REG_SZ) для каждой помеченной шины DMA, которая определяется как безопасная:

      • Ключ: описание понятного имени /устройства
      • Значение: PCI\VEN_ID&DEV_ID.

      Убедитесь, что идентификаторы соответствуют выходным данным теста HLK. Например, если у вас есть безопасное устройство с понятным именем Contoso PCI Express Root Port, идентификатор поставщика 1022 и идентификатор устройства 157C, вы создадите запись реестра с именем Contoso PCI Express Root Port как REG_SZ тип данных в: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

      Где значение = «PCI\VEN_1022&DEV_157C»

      Отключение автоматического шифрования устройств BitLocker

      Изготовители оборудования могут отключить шифрование устройств и вместо этого реализовать собственную технологию шифрования на устройстве. Чтобы отключить автоматическое шифрование устройств BitLocker, можно использовать автоматический файл и задать значение PreventDeviceEncryption значение True.

      Кроме того, можно обновить раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker :

      Значение: PreventDeviceEncryption равно True (1).

      Устранение неполадок тестов BitLocker HLK

      Рекомендуемые предварительные требования

      Триаж гораздо проще, если вы знаете следующие фрагменты сведений об устройстве под тестом:

      1. Спецификация TPM (например, 1.2, 2.0)
      2. Профиль PCR BitLocker (например, 7, 11 или 0, 2, 4, 11)
      3. Независимо от того, является ли компьютер AOAC или AOAC (например, устройства Surface являются компьютерами AOAC)

      Эта информация рекомендуется, но не требуется для выполнения трех операций.

      Проблемы С HLK BitLocker обычно связаны с одной из следующих проблем: неправильное толкование результатов теста или проблемы привязки PCR7.

      Неправильное понимание результатов теста

      Тест HLK состоит из нескольких этапов тестирования. Некоторые этапы тестирования могут завершиться ошибкой, не влияя на успешность или сбой общего теста. Дополнительные сведения о интерпретации страницы результатов см. здесь. Если некоторые шаги теста завершились неудачно, но общий тест проходит (как указано зеленым проверка рядом с именем теста), остановите здесь. Тест успешно выполнен, и для вашей части не требуется никаких действий.

      Screenshot of the failing test. The item Is A O A C is selected.

      1. Убедитесь, что вы выполняете правильный тест на компьютере. Щелкните правой кнопкой мыши любой шаг неудачного тестового > журнала > сборщика инфраструктуры>, просмотрите внутри RUNTIMEBLOCK.xml для элемента IsAOAC. Если IsAOAC=true и выполняется тест, отличный от AOAC, игнорируйте сбой и не выполняйте этот тест на компьютере. При необходимости обратитесь к служба поддержки Майкрософт команде за errata для передачи плейлиста.
      2. Определите, применяется ли фильтр к тесту. HLK может автоматически предлагать фильтр для неправильно сопоставленного теста. Фильтр отображается как зеленый проверка знак внутри круга рядом с тестом. (Обратите внимание, что некоторые фильтры могут показать, что последующие шаги теста завершились сбоем или были отменены.) Изучите расширенные сведения о фильтре, разверив шаг теста с помощью специального значка. Если фильтр не учитывает сбой теста, остановится здесь.

      Screenshot of filters

      Проблемы PCR7

      Распространенная проблема BitLocker, связанная с двумя тестами PCR7, является неудачной привязкой к PCR7.

      Screenshot of the error message in H L K logs.

      1. Найдите сообщение об ошибке в журналах HLK. Разверните шаг тестового сбоя и изучите журнал Te.wtl. (Вы также можете получить доступ к этому журналу, щелкнув правой кнопкой мыши журналы > задач тестового шага > Te.wtl) Продолжить выполнение действий, если вы видите эту ошибку:
      2. Запустите msinfo32 от имени администратора и проверка конфигурацию безопасной загрузки или PCR7. Тест должен выполняться с помощью безопасной загрузки. Если привязка PCR7 не поддерживается, выполните соответствующий тест HLK устаревшей версии PCR. Если привязка PCR7 невозможна, выполните действия, описанные ниже.
      3. Проверьте журналы ошибок. Щелкните правой кнопкой мыши файлы тестовой задачи > «Дополнительные файлы». Как правило, проблема привязки PCR7 является результатом неправильных измерений в PCR7.
        1. Журналы событий. Журнал Microsoft-BitLocker-Management содержит ценные сведения об ошибках о том, почему PCR7 нельзя использовать. Тест HLK BitLocker должен выполняться только на компьютере с установленным BitLocker. Журналы событий должны быть проверка на компьютере, создающего их.
        2. Измеряемые журналы загрузки. Их также можно найти в C:\Windows\Logs\MeasuredBoot
      4. Анализ журнала измеряемой загрузки с помощью ТБ SLogGenerator.exe или эквивалента. На контроллере HLK ТБ SLogGenerator.exe находится в каталоге тестов HLK, где установлен HLK, например C:\Program Files (x86)\Windows Kits\10\Hardware Lab Kit\Test\amd64\nttest\BASETEST\ngscb\ТБ SLogGenerator.exe».
        1. ТБ SLogGenerator.exe -lf > загрузки OutputLog.txt
        2. В OutputLog.txt найдите «PCR[07]» и проверьте измерения, перечисленные в порядке. Первое измерение должно выглядеть примерно так:

      Screenshot of the measurements list in Output Log dot t x t.

      BitLocker ожидает определенный статический корень измерений доверия статических корней измерений доверия в PCR7, а любые варианты этих измерений часто запрещают привязку к PCR7. Следующие значения должны измеряться (в порядке и без лишних измерений между) в PCR7:

      • Содержимое переменной SecureBoot
      • Содержимое переменной PK
      • Содержимое переменной KEK
      • Содержимое переменной EFI_IMAGE_SECURITY_DATABASE (DB)
      • Содержимое переменной EFI_IMAGE_SECURITY_DATABASE1 (DBX)
      • (необязательно, но общие EV_SEPARATOR)
      • Записи в EFI_IMAGE_SECURITY_DATABASE, которые используются для проверки драйверов EFI или приложений загрузки EFI в пути загрузки. BitLocker ожидает только одну запись здесь.

      Распространенные проблемы с измеренным журналом загрузки:

      • Режим отладки UEFI в
      • Отсутствующие переменные PK или KEK: измерение PK/KEK не имеет данных (например, 4 байта 0)
      • Недоверенная подпись ЦС UEFI

      Некоторые измеренные проблемы загрузки, такие как запуск в режиме отладки UEFI, могут быть устранены тестировщиком. Для других проблем может потребоваться errata, в этом случае вы должны обратиться к группе служба поддержки Майкрософт для получения рекомендаций.

      См. также

      Включение шифрования устройства

      Шифрование помогает защитить данные на устройстве, чтобы доступ к ним могли получать только те пользователи, которые имеют на это разрешение. Если шифрование устройства недоступно на вашем устройстве, возможно, вам удастся включить стандартное шифрование BitLocker.

      Включение шифрования устройства

      1. Войдите в Windows под учетной записью администратора (возможно, потребуется выйти из системы и снова войти в нее для переключения учетных записей). Дополнительные сведения см. в разделе Создание локальной учетной записи или учетной записи администратора в Windows.
      2. Выберите Пуск >Параметры >Конфиденциальность и безопасность >Шифрование устройства. Если пункт Шифрование устройства отсутствует, эта функция недоступна. Возможно, удастся использовать вместо этого стандартное шифрование BitLocker. Откройте «Шифрование устройства» в параметрах.
      3. Если Шифрование устройства отключено, включите его.

      Включение стандартного шифрования BitLocker

      1. Войдите в Windows на своем устройстве под учетной записью администратора (возможно, потребуется выйти из системы и снова войти в нее для переключения учетных записей). Дополнительные сведения см. в разделе Создание локальной учетной записи или учетной записи администратора в Windows.
      2. В поле поиска на панели задач введите Управление BitLocker, а затем выберите необходимый результат из списка. Или выберите Пуск >Параметры >Конфиденциальность и безопасность >Шифрование устройства >Шифрование диска BitLocker.

      Хотите узнать больше и выяснить, поддерживает ли ваше устройство шифрование устройства? См. раздел Шифрование устройства в Windows.

      Шифрование помогает защитить данные на устройстве, чтобы доступ к ним могли получать только те пользователи, которые имеют на это разрешение. Если шифрование устройства недоступно на вашем устройстве, возможно, вам удастся включить стандартное шифрование BitLocker. (Обратите внимание, что BitLocker не поддерживается в выпуске Windows 10 Домашняя.)

      Включение шифрования устройства

      1. Войдите в Windows под учетной записью администратора (возможно, потребуется выйти из системы и снова войти в нее для переключения учетных записей). Дополнительные сведения см. в разделе Создание локальной учетной записи или учетной записи администратора в Windows.
      2. Нажмите кнопку Пуск и выберите Параметры >Обновление и безопасность >Шифрование устройства. Если пункт Шифрование устройства отсутствует, эта функция недоступна. Возможно, удастся использовать вместо этого стандартное шифрование BitLocker. Откройте «Шифрование устройства» в параметрах.
      3. Если шифрование устройства отключено, выберите Включить.

      Включение стандартного шифрования BitLocker

      1. Войдите в Windows на своем устройстве под учетной записью администратора (возможно, потребуется выйти из системы и снова войти в нее для переключения учетных записей). Дополнительные сведения см. в разделе Создание локальной учетной записи или учетной записи администратора в Windows.
      2. В поле поиска на панели задач введите Управление BitLocker, а затем выберите необходимый результат из списка. Или нажмите кнопку Пуск и в разделе Система Windows выберите Панель управления. На панели управления выберите Система и безопасность, а затем в разделе Шифрование диска BitLocker выберите Управление BitLocker.

      Хотите узнать больше и выяснить, поддерживает ли ваше устройство шифрование устройства? См. раздел Шифрование устройства в Windows.

      Полное руководство по шифрованию диска BitLocker

      BitLocker Drive Encryption или просто BitLocker — это программа для шифрования, которое Microsoft представила для защиты данных пользователей. Он легко интегрируется с операционной системой и не позволяет хакерам и киберпреступникам похитить или просмотреть данные, хранящиеся на диске.

      что такое bitlocker

      С помощью BitLocker вы можете использовать 128-битные или 256-битные ключи шифрования AES. Он также объединяет технологию шифрования на диске с уникальными функциями управления ключами.

      Поддерживаемая ОС — Windows

      Впервые Windows выпустила BitLocker для Windows Vista в 2007 году. Он получил значительное обновление для Windows 10, включающее улучшения в технологии шифрования, съемные диски с данными, обновленные настройки групповой политики и многое другое. Обновления были применены к Windows 10, 11 и Server 2016 и высшим версиям.

      BitLocker совместим с:

      • Windows Vista и Windows 7: Максимальная и Корпоративная версии
      • Windows 8 и 8.1: Профессиональная и Корпоративная версии
      • Windows 10 и 11: Профессиональная, Корпоративная и Образовательная версии

      Системные требования

      В дополнение к соответствующей версии и выпуску Windows для запуска BitLocker необходимы следующие системные требования:

      • TPM 1.2 или более поздней версии: Если на вашем компьютере не установлен Trusted Platform Module 1.2 или более поздней версии, вам потребуется сохранить ключ запуска на флэш-накопителе или съемном жестком диске.
      • Прошивка BIOS или UEFI: компьютеру требуется одна из этих прошивок, совместимая с Trusted Computing Group (TCG), для обеспечения надежной цепочки доверия при загрузке системы. Если на компьютере нет TPM и вы используете флэш-память или внешний жесткий диск, он не обязательно должен быть совместимым с BIOS или UEFI.
      • Несколько разделов на жестком диске: На жестком диске должно быть как минимум два свободных диска. Одной из них является файловая система NTFS, в которой хранится ОС и поддерживаются файлы. Второй диск — это место, где расположены файлы, необходимые для загрузки Windows. BitLocker не будет работать на этом диске, не должен быть зашифрован и требует форматирования FAT32 для устройств UEFI или NTFS для компьютеров с прошивкой IOS. После установки BitLocker объем системного диска должен быть не менее 350 МБ, из них 250 МБ свободного места.

      Как использовать BitLocker?

      BitLocker — это программа простое в использовании, интегрированное с Windows Vista и выше. Вы можете получить к нему доступ через Панель управления Система и безопасность, а затем щелкните параметр Управление BitLocker.

      как получить доступ к bitLocker

      Откроется окно BitLocker, чтобы начать нажмите ссылку «Включить BitLocker», чтобы продолжить вам потребуются права администратора на компьютере. Система просканирует ваш компьютер, чтобы убедиться, что он совместим, а затем предложит вам два варианта шифрования ваших данных:

      1. Только занятое место на диске: Это более быстрый вариант, идеально подходящий для новых компьютеров или жестких дисков.
      2. Свободное место на диске: Этот параметр шифрует весь диск. Хотя это занимает немного больше времени, это лучший вариант для старых компьютеров и жестких дисков.

      выбрать режим шифрования bitlocker

      Как только шифрование будет завершено, данные в системе и любые данные, которые будут храниться в будущем, будут защищены. Ключ расшифровки BitLocker хранится на устройстве, что позволяет вам загружать компьютер как обычно, хотя есть возможность запрашивать пароль во время предварительной загрузки.

      BitLocker имеет функцию под названием BitLocker to Go, которую можно использовать для шифрования внешних жестких дисков и USB-накопителей.

      Часто задаваемые вопросы о BitLocker

      1. Почему при использовании BitLocker требуется два раздела?

      Чтобы успешно шифровать и защищать данные устройства, BitLocker нужны определенные компоненты на отдельных дисках. Загрузочный диск содержит операционную систему и вспомогательные файлы и должен быть отформатирован в файловой системе NTFS. Второй диск не может быть зашифрован, но содержит важные компоненты, такие как файлы, необходимые для загрузки Windows. Он не только должен отличаться от загрузочного диска, но также должен быть отформатирован в FAT32 или NTFS, в зависимости от прошивки.

      1. Какие доверенные платформенные модули (TPM) поддерживает BitLocker?

      На вашем компьютере должен быть установлен TPM 1.2 или более поздней версии для запуска BitLocker. Кроме того, если у вас есть совместимый TPM, вам также потребуется микропрограмма Trusted Computing Group (TCG), например BIOS или UEFI.

      1. Как проверить, есть ли на моем компьютере TPM?

      Шаг 1: В Windows 10 и выше откройте приложение «Безопасность Windows» и щелкните поле «Безопасность устройства».

      открыть приложение безопасности windows

      Шаг 2: Если у вас есть TPM, он будет указан в разделе Процессор безопасности. Щелкните ссылку Сведения о процессоре безопасности, чтобы просмотреть номер версии TPM.

      tpm указан в обработчике безопасности

      Шаг 3: Здесь вы увидите характеристики вашего TPM. Если это 1.2 или выше, вы можете без проблем запустить BitLocker.

      проверить спецификации tpm

      В более старых версиях Windows откройте инструмент TPM MMC (tpm.msc), и вы увидите статус TPM в разделе «Состояние». Другой вариант — запустить PowerShell и запустить поиск Get-TPM. Это покажет вам характеристики вашего TPM. Обратите внимание, что вам нужны права администратора для запуска поиска PowerShell.

      1. Будет ли BitLocker работать в операционной системе без TPM?

      Да, если на вашем компьютере нет TPM, вы все равно можете включить BitLocker с помощью USB-накопителя, если у вас есть ключ запуска. Компьютеру все равно потребуется прошивка IOS или UEFI, так как они нужны для активации загрузочной среды с USB.

      Иногда может понадобиться удалить шифрование BitLocker.

      1. Как получить поддержку BIOS для TPM на моем компьютере?

      Вам нужно будет связаться с производителем, если на вашем ПК нет прошивки BIOS. Отправьте запрос на загрузочную прошивку BIOS или UEFI, совместимую с Trusted Computing Group (TCG), которая отвечает минимальным требованиям для работы с BitLocker.

      1. Какой уровень доступа требуется для использования BitLocker?

      Для включения, выключения или изменения параметров конфигурации BitLocker в операционной системе вам необходим доступ к сети или системному администратору. Если вы используете BitLocker to Go на съемном диске, любой обычный пользователь имеет доступ к его включению, отключению и изменению параметров конфигурации.

      1. Каков оптимальный порядок загрузки компьютеров с шифрованием BitLocker?

      При настройке порядка запуска для вашего ПК вы должны убедиться, что жесткий диск является первым компонентом, который должен запускаться. После этого вы можете разрешить запуск других дисков, таких как внешние или съемные жесткие диски, а затем — обычного приложения и программ.

      Часть 2. Как работает BitLocker?

      BitLocker работает с TPM (Доверенным Платформенным Модулем) для защиты данных операционной системы или на съемном жестком диске с помощью надежного шифрования. Он создает уникальный и неуязвимый ключ восстановления для вашего жесткого диска. Без ключа и его конкретного PIN-кода вы не сможете получить доступ к данным. Вы также можете создать ключ восстановления в качестве резервной копии на тот случай, если вы потеряете или забудете пароль. Рекомендуется хранить этот ключ в надежном месте, а не на компьютере.

      Режимы шифрования

      BitLocker предлагает три различных режима шифрования на выбор:

      1. Прозрачный режим работы: BitLocker подключается к оборудованию TPM, чтобы создать прозрачный пользовательский интерфейс. После его установки ничего особенного не делая вы можете загрузить компьютер. Ключ шифрования хранится в TPM и расшифровывает операционную систему и код загрузчика только в том случае, если в файлы ранней загрузки не вносились изменения. Все это происходит в фоновом режиме и не требует никаких действий.
      2. Режим USB-ключа: на USB-накопителе хранится ключ шифрования. Операционная система не загрузится, если вы не подключите USB-диск к компьютеру.
      3. Режим аутентификации пользователя: Перед загрузкой компьютера необходимо ввести учетные данные для аутентификации, например PIN-код или пароль, чтобы расшифровать ОС и получить доступ к своим данным.

      Многочисленные алгоритмы шифрования

      Ваши данные зашифрованы с помощью Advanced Encryption Standard (AES). У вас есть возможность использовать 128-битную или 256-битную версию, которая определяет длину ключа шифрования. Оба варианта невероятно мощны и безопасны, и их почти невозможно взломать.

      Если вы используете BitLocker в Windows 10 или выше, вы можете выбрать еще более сложное шифрование, известное как алгоритм шифрования XTS-AES.

      Предохранители ключей BitLocker

      Неважно, сколько бит в шифровании, если ключ не защищен. BitLocker использует следующие меры безопасности для защиты ключа восстановления.

      • TPM: TPM защищает корень доверия, защищая ключ восстановления BitLocker .
      • PIN: Создайте безопасный числовой PIN-код, который нужно ввести во время предварительной загрузки. Это работает вместе с TPM.
      • Расширенный PIN-код: Чтобы разблокировать ключ, пользователь должен ввести буквенно-цифровой PIN-код. Это работает вместе с TPM.
      • Ключ запуска: Загрузите ключ шифрования на съемный жесткий диск или USB-накопитель. Для работы ключа запуска не требуется TPM.
      • Пароль восстановления: Создайте 48-значный код для доступа к вашим данным, когда компьютер находится в режиме восстановления. Вы можете ввести пароль восстановления, используя функциональные клавиши F1–F10, если ваша цифровая клавиатура не работает в режиме восстановления.
      • Ключ восстановления: Загрузите ключ восстановления на внешний или съемный диск. Его можно использовать для восстановления зашифрованных данных с любого тома BitLocker. Есть несколько способов найти ключ восстановления, например, в вашей учетной записи Microsoft, на USB-накопителе или у системного администратора.

      Часть 3: Разница между BitLocker и система шифрования данных (EFS)

      И BitLocker, и Шифрованная Файловая Система (EFS) — это безопасные инструменты, разработанные Microsoft для шифрования и защиты данных, хранящихся на вашем компьютере. Хотя обе программы используют надежное шифрование, который работает по-разному.

      EFS требует, чтобы вы просматривали свои файлы и папки и добавляли их в очередь шифрования по одному. Это полезно, если вы хотите защитить только определенные файлы, хотя для каждого файла вам необходимо настроить дополнительные параметры.

      шифрование файловой системы efs шифрование файлов или папок

      BitLocker — это программа для полного шифрования диска, позволяющая создать диск BitLocker. Он автоматически зашифрует весь жесткий диск или операционную систему, и вы можете просто запустить его в фоновом режиме. EFS требует, чтобы вы просматривали свои файлы и папки и по одному добавляли их в очередь шифрования.

      bitlocker зашифровывает жесткие диски

      Еще одно существенное отличие состоит в том, что BitLocker работает с TPM, а EFS не требует специального оборудования, что делает его более доступным для старых компьютеров.

      BitLocker интегрирован с Windows, что делает его невероятно простым в настройке и использовании это. EFS — это скорее функция файловой системы NTFS, и для ее правильной настройки требуется дополнительная настройка.

      Две программы шифрования могут работать вместе, что обеспечивает невероятно надежную защиту данных.

      Часть 4: Безопасность данных BitLocker — насколько безопасен BitLocker?

      Насущный вопрос: может ли опытный хакер или киберпреступник получить доступ к вашим данным даже с помощью 128- или 256-битного шифрования AES, ключей безопасности, TPM и средств защиты от любого доступа к вашим данным?

       безопасен ли bitlocker

      По словам источника в Microsoft, в BitLocker нет преднамеренной уязвимости бэкдора. Это означает, что государственные учреждения или правоохранительные органы не могут заставить Microsoft или системного администратора предоставить им доступ к пользовательским данным.

      Известные проблемы безопасности

      Хотя официальной уязвимости к бэкдору нет, ни одна система не защищена на 100%. В начале 2008 года группа исследователей онлайн-безопасности опубликовала отчет об «атаке с холодной загрузкой». Для хакеров это способ обойти полное шифрование диска, которое предоставляет BitLocker, путем загрузки ОС со съемного диска, подключенного к другому компьютеру и другой операционной системе. Затем они смогли сбросить содержимое предзагрузочной памяти на новый диск и получить доступ к данным.

      Профессор Принстонского университета опубликовал статью с двумя рекомендациями по защите данных.

      1. Выключите компьютер, если вы не можете его физически контролировать. Это полное выключение, а не просто перевод устройства в режим сна.
      2. Всегда настраивайте программу шифрования таким образом, чтобы она загружалась только с паролем, который владелец устройства вводит вручную.

      В ноябре 2015 года Microsoft выпустила обновление, закрывающее основную уязвимость. Некоторые хакеры обнаружили способ обойти процесс аутентификации ключа шифрования с помощью вредоносного центра распространения ключей Kerberos. Чтобы эта атака сработала, хакеру необходим физический доступ к компьютеру, он должен быть частью сетевого домена и не иметь защиты PIN-кода или USB-накопителя.

      Потеря данных

      потерянные данные с зашифрованных дисков Bitlocker

      Одна из основных проблем, которые могут возникнуть при работе с BitLocker, является непреднамеренное удаление или потеря ваших данных. Наиболее распространенная причина потери данных BitLocker — случайное форматирование жесткого диска, USB-накопителя или других внешних дисков. Вы должны найти способ восстановить файлы с дисков, зашифрованных BitLocker, иначе данные, хранящиеся в зашифрованной среде, будут для вас практически потеряны. Другая форма потери данных — потеря пароля и ключа восстановления. Есть несколько методов, которые можно использовать для разблокировки BitLocker без пароля или ключа восстановления.

      Заключительные идеи

      BitLocker для вас, если вы ищете простое в использовании и надежное решение для защиты данных на жестком диске. Программа для полного шифрования диска интегрируется с Windows Vista и более поздними версиями при наличии TPM 1.2+. Предусмотрено несколько мер безопасности, включая 48-значный код восстановления, чтобы гарантировать, что никакие неавторизованные пользователи не смогут получить доступ к вашим данным без разрешения.

      Обзор BitLocker

      BitLocker — это функция безопасности Windows, которая обеспечивает шифрование для целых томов, устраняя угрозы кражи или раскрытия данных с потерянных, украденных или неправильно списанных устройств.

      Практическое применение

      Данные на потерянном или украденном устройстве уязвимы для несанкционированного доступа либо путем запуска программного средства атаки на него, либо путем передачи жесткого диска устройства на другое устройство. BitLocker помогает снизить несанкционированный доступ к данным, повышая защиту файлов и систем, делая данные недоступными, когда устройства, защищенные BitLocker, выводятся из эксплуатации или перезапускаются.

      BitLocker и TPM

      BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM), который является общим аппаратным компонентом, установленным на устройствах Windows. TPM работает с BitLocker, чтобы убедиться, что устройство не было изменено, пока система находится в автономном режиме.

      Помимо доверенного платформенного модуля BitLocker может блокировать обычный процесс запуска, пока пользователь не вставляет личный идентификационный номер (ПИН-код) или не вставляет съемные устройства, содержащие ключ запуска. Эти меры безопасности обеспечивают многофакторную проверку подлинности и гарантию того, что устройство не сможет запустить или возобновить режим гибернации до тех пор, пока не будет представлен правильный ПИН-код или ключ запуска.

      На устройствах без доверенного платформенного модуля BitLocker по-прежнему можно использовать для шифрования диска операционной системы. Эта реализация требует, чтобы пользователь:

      • используйте ключ запуска, который представляет собой файл, хранящийся на съемном диске, который используется для запуска устройства, или при возобновлении режима гибернации
      • используйте пароль. Этот параметр не является безопасным, так как он подвержен атакам методом подбора, так как логика блокировки паролей отсутствует. Таким образом, параметр пароля не рекомендуется и отключен по умолчанию.

      Оба варианта не обеспечивают предварительную проверку целостности системы, предлагаемую BitLocker с доверенным платформенный платформенный модуль.

      Экран предварительной загрузки BitLocker с ключом запуска:

      Экран предварительной загрузки BitLocker с ПИН-кодом:

      Экран предварительной загрузки BitLocker с паролем:

      Снимок экрана: экран предварительной загрузки BitLocker с запросом на ввод ключа запуска.

      Снимок экрана: экран предварительной загрузки BitLocker с запросом на ввод ПИН-кода.

      Снимок экрана: экран предварительной загрузки BitLocker с запросом на ввод пароля.

      Системные требования

      BitLocker имеет следующие требования:

      • Чтобы BitLocker использовал проверка целостности системы, предоставляемые доверенным платформенный платформенный модуль, устройство должно иметь TPM 1.2 или более поздние версии. Если на устройстве нет доверенного платформенного модуля, сохранение ключа запуска на съемном диске является обязательным при включении BitLocker.
      • Устройство с TPM также должно иметь встроенное ПО BIOS или UEFI, совместимое с группой доверенных вычислений (TCG). Встроенное ПО BIOS или UEFI устанавливает цепочку доверия для запуска предварительной загрузки и должно включать поддержку указанного TCG статического корня измерения доверия. Компьютеру без доверенного платформенного модуля не требуется встроенное ПО, совместимое с TCG
      • Встроенное ПО системы BIOS или UEFI (для TPM и устройств, не относящихся к TPM) должно поддерживать класс запоминающего устройства USB и чтение файлов на USB-накопителе в среде предварительной загрузки.

      Примечание. TPM 2.0 не поддерживается в режимах модулей поддержки прежних версий и совместимости (CSM) BIOS. На устройствах с TPM 2.0 необходимо выбрать в BIOS режим «Только UEFI». Параметры «Legacy» и «CSM» необходимо отключить. Чтобы обеспечить дополнительную безопасность, включите функцию безопасной загрузки . Установленная операционная система на оборудовании в устаревшем режиме останавливает загрузку ОС при изменении режима BIOS на UEFI. Используйте средство mbr2gpt.exe перед изменением режима BIOS, который подготавливает ОС и диск к поддержке UEFI.

      • Диск операционной системы (или загрузочный диск) содержит ос и файлы поддержки. Он должен быть отформатирован с помощью файловой системы NTFS.
      • Системный диск содержит файлы, необходимые для загрузки, расшифровки и загрузки операционной системы. Решение BitLocker не включено на этом диске. Для работы BitLocker системный диск:
        • не должен быть зашифрован
        • должен отличаться от диска операционной системы
        • должна быть отформатирована с помощью файловой системы FAT32 на компьютерах, использующих встроенное ПО на основе UEFI, или файловой системы NTFS на компьютерах, использующих встроенное ПО BIOS.
        • Рекомендуется иметь размер около 350 МБ. После включения BitLocker у него должно быть примерно 250 МБ свободного места.

        При установке на новом устройстве Windows автоматически создает разделы, необходимые для BitLocker.

        Если диск был подготовлен в виде одного непрерывного пространства, BitLocker требует новый том для хранения загрузочных файлов. BdeHdCfg.exe может создать том. Дополнительные сведения об использовании средства см. в разделе Bdehdcfg в справочнике по Command-Line.

        При установке дополнительного компонента BitLocker на сервере необходимо установить функцию расширенного хранилища . Эта функция используется для поддержки аппаратных зашифрованных дисков.

        Требования к выпуску и лицензированию Windows

        В следующей таблице перечислены выпуски Windows, в которых поддерживается включение BitLocker:

        Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
        Да Да Да Да

        Лицензионные права на включение BitLocker предоставляются следующими лицензиями:

        Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
        Да Да Да Да Да

        Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

        Требования к лицензированию для включения BitLocker отличаются от требований к лицензированию для управления BitLocker. Дополнительные сведения см. в руководстве по настройке BitLocker.

        Шифрование устройства

        Шифрование устройств — это функция Windows, которая обеспечивает простой способ автоматического включения шифрования BitLocker на некоторых устройствах. Шифрование устройств доступно во всех версиях Windows, и для этого требуется, чтобы устройство соответствовало требованиям безопасности современного режима ожидания или HSTI. Для шифрования устройства не могут быть доступны внешние порты, которые разрешают доступ к DMA.

        При шифровании устройства шифруются только диск ОС и фиксированные диски, а не внешние или USB-диски.

        В отличие от стандартной реализации BitLocker шифрование устройства включается автоматически, поэтому устройство защищено всегда. После завершения чистой установки Windows и завершения работы с готовым интерфейсом устройство подготавливается к первому использованию. В рамках этой подготовки шифрование устройства инициализируется на диске ОС и фиксированных дисках с данными на компьютере с четким ключом, эквивалентным стандартному состоянию приостановки BitLocker. В этом состоянии диск отображается со значком предупреждения в Windows Обозреватель. Желтый значок предупреждения удаляется после создания предохранителя доверенного платформенного модуля и создания резервной копии ключа восстановления.

        • Если устройство Microsoft Entra присоединено или присоединено к домену Active Directory, чистый ключ удаляется после успешного резервного копирования ключа восстановления до Microsoft Entra идентификатора или доменные службы Active Directory (AD DS). Для резервного копирования ключа восстановления необходимо включить следующие параметры политики. Выберите способ восстановления дисков операционной системы, защищенных BitLocker.
          • Для устройств, присоединенных к Microsoft Entra: пароль восстановления создается автоматически, когда пользователь проходит проверку подлинности для Microsoft Entra идентификатора, затем создается резервная копия ключа восстановления до Microsoft Entra идентификатора, создается предохранитель доверенного платформенного модуля и удаляется чистый ключ.
          • Для устройств, присоединенных к AD DS: пароль восстановления создается автоматически при присоединении компьютера к домену. Затем создается резервная копия ключа восстановления в AD DS, создается предохранитель доверенного платформенного модуля и удаляется чистый ключ.

          По умолчанию XTS-AES 128-bit для шифрования устройства используется метод шифрования. Если вы настроите параметр политики для использования другого метода шифрования, можно использовать страницу состояние регистрации, чтобы устройство не начало шифрования с помощью метода по умолчанию. BitLocker имеет логику, которая не начинает шифроваться до окончания запуска OOBE после завершения этапа настройки устройства страницы состояния регистрации. Эта логика дает устройству достаточно времени для получения параметров политики BitLocker перед началом шифрования.

          Если требуется другой метод шифрования и (или) надежность шифра, но устройство уже зашифровано, сначала его необходимо расшифровать, прежде чем можно будет применить новый метод шифрования и (или) надежность шифра. После расшифровки устройства можно применить различные параметры BitLocker.

          Если устройство изначально не имеет права на шифрование устройства, но затем вносятся изменения, которые приводят к тому, что устройство будет соответствовать требованиям (например, если включить безопасную загрузку), шифрование устройства автоматически включает BitLocker, как только оно обнаруживает его.

          Вы можете проверка, соответствует ли устройство требованиям к шифрованию устройства, в приложении «Сведения о системе» ( msinfo32.exe ). Если устройство соответствует требованиям, сведения о системе отображают строку со следующим текстом:

          Элемент Значение
          Поддержка шифрования устройств Соответствует предварительным требованиям

          Разница между Шифрованием BitLocker и устройства

          • Шифрование устройства автоматически включает BitLocker на устройствах, соответствующих шифрованию, с ключом восстановления автоматически создается резервная копия до Microsoft Entra идентификатора, AD DS или учетной записи Майкрософт пользователя.
          • Шифрование устройства добавляет параметр шифрования устройства в приложение «Параметры», который можно использовать для включения или выключения шифрования устройства.
            • В пользовательском интерфейсе параметров не отображается шифрование устройства, пока шифрование не будет завершено

            Снимок экрана: приложение

            Если шифрование устройства отключено, оно больше не будет автоматически включаться в будущем. Пользователь должен включить его вручную в разделе Параметры.

            Отключение шифрования устройства

            Рекомендуется сохранять шифрование устройств в любых системах, которые его поддерживают. Однако вы можете предотвратить автоматическое шифрование устройств, изменив следующий параметр реестра:

            Путь Имя Тип Значение
            HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker PreventDeviceEncryption REG_DWORD 0x1

            Дополнительные сведения о шифровании устройств см. в разделе Требования к оборудованию для шифрования устройств BitLocker.

            Дальнейшие действия

            Узнайте о технологиях и функциях для защиты от атак на ключ шифрования BitLocker:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *