Общие сведения о шифровании диска BitLocker

Шифрование BitLocker может использовать доверенный платформенный модуль для проверки целостности компонентов загрузки и данных конфигурации загрузки. Это помогает гарантировать, что при использовании шифрования BitLocker шифрованный диск будет доступен, только если эти компоненты не были подменены и шифрованный диск установлен в исходном компьютере.

Шифрование BitLocker помогает гарантировать целостность процесса запуска с помощью следующих действий.

• Обеспечение способа проверки целостности корневого файла и файлов, используемых на ранних этапах загрузки, и гарантирование отсутствия враждебных изменений в этих файлах, которые могли быть выполнены, например, вирусами загрузочных секторов или средствами редактирования компонентов загрузки.
  
  
• Улучшенная защита, противостоящая программным атакам, когда компьютер находится вне сети. Любое альтернативное программное обеспечение, которое может запустить систему, не получит доступ к ключам шифрования для диска операционной системы Windows.
  
  
• Блокировка системы при замене файла. Если любой из контролируемых файлов был заменен, система не запустится. Это предупредит пользователя о замене, так как система не сможет быть запущена в обычном порядке. В случае блокировки системы шифрование BitLocker обеспечит простой процесс восстановления.
  
  

Для использования BitLocker компьютер должен удовлетворять определенным требованиям.

• Чтобы шифрование BitLocker могло использовать возможность проверки целостности системы, предоставляемую доверенным платформенным модулей, на компьютере должен быть установлен модуль версии 1.2. Если на компьютере не установлен доверенный платформенный модуль, то при включении шифрования BitLocker потребуется сохранить ключ запуска на съемном устройстве, например на USB-устройстве флэш-памяти.
  
  
• На компьютере с модулем TPM также должна быть установлена BIOS, соответствующая спецификациям группы Trusted Computing Group (TCG). BIOS создает цепочку доверий для действий перед загрузкой операционной системы и должна включать поддержку статического корневого объекта измерения уровня доверия, определенного TCG. Для компьютера без модуля TPM соответствие BIOS спецификациям TCG не требуется.
  
  
• BIOS системы (для компьютеров как с доверенным платформенным модулем, так и без него) должна поддерживать класс запоминающих устройств USB, включая чтение небольших файлов с USB-устройства флэш-памяти в среде до запуска операционной системы. Для получения дополнительных сведений о USB см. спецификации запоминающих устройств USB и команд запоминающих устройств UFI на веб-сайте USB (https://go.microsoft.com/fwlink/?LinkId=83120).
  
  
• Жесткий диск должен быть разбит хотя бы на два диска.
  
  
  • Диск операционной системы (или загрузочный диск) содержит операционную систему и файлы, необходимые для ее работы, он должен быть отформатирован в файловой системе NTFS.
    
    
  • Системный диск содержит файлы, необходимые для загрузки Windows после того, как BIOS загрузит платформу. Для этого диска шифрование BitLocker не включается. Для работы шифрования BitLocker системный диск не должен быть зашифрован, он не должен являться томом операционной системы и должен быть отформатирован в файловой системе NTFS. Емкость системного диска должна быть не менее 1,5 гигабайт (ГБ).
    
    

Шифрование BitLocker устанавливается автоматически как часть установки операционной системы. Но шифрование BitLocker недоступно, пока оно не будет включено с помощью мастера настройки BitLocker, который может быть запущен либо из панели управления, либо щелчком диска правой кнопкой мыши в проводнике.

В любой момент времени после установки и первоначальной настройки операционной системы администратор может использовать мастер настройки BitLocker для инициализации шифрования BitLocker. Процесс инициализации состоит из двух этапов:

1. На компьютерах с доверенным платформенным модулем инициализируйте последний, используя мастер установки доверенного платформенного модуля, компонент панели управления Шифрование диска BitLocker, или выполнив скрипт, предназначенный для инициализации модуля.
   
   
2. Настройте шифрование BitLocker. Откройте из панели управления мастер настройки шифрования BitLocker, который проведет через процесс настройки и предоставит возможность настроить дополнительные параметры проверки подлинности.
   
   

При инициализации шифрования BitLocker локальному администратору также следует создать пароль восстановления и ключ восстановления. Без пароля восстановления или ключа восстановления все данные на шифрованном диске могут оказаться недоступными в случае проблемы с диском, защищенным шифрованием BitLocker.

	Примечание
	Инициализация BitLocker и доверенного платформенного модуля должна выполняться участником локальной группы Администраторы компьютера.

Подробные сведения о настройке и развертывании шифрования BitLocker см. в пошаговом руководстве по шифрованию диска Windows BitLocker (https://go.microsoft.com/fwlink/?LinkID=140225).

Шифрование BitLocker может использовать существующую инфраструктуру доменных служб Active Directory (AD DS) организации для удаленного хранения ключей восстановления. Шифрование BitLocker предоставляет мастер для настройки и управления, а также возможности расширения и управления с помощью интерфейса WMI с поддержкой сценариев. Кроме того, шифрование BitLocker предоставляет консоль восстановления, встроенную в процесс загрузки, чтобы позволить пользователю или персоналу службы поддержки восстановить доступ к заблокированному компьютеру.

Для получения дополнительных сведений о написании сценариев для шифрования BitLocker см. Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983).

Сегодня многие персональные компьютеры повторно используются людьми, не являющимися первоначальными владельцами или пользователями этих компьютеров. В корпоративных сценариях компьютеры могут передаваться в другие отделы или списываться в ходе стандартного цикла обновления компьютерного оборудования.

На незашифрованных дисках данные могут остаться читаемыми даже после переформатирования диска. Чтобы уменьшить риск раскрытия данных на списанных дисках, предприятия часто используют несколько перезаписей или физическое разрушение дисков.

Шифрование BitLocker может помочь создать простой и экономичный процесс списания. Оставляя данные зашифрованными с помощью BitLocker и удаляя ключи, предприятие может навсегда устранить риск раскрытия данных. После удаления всех ключей шифрования BitLocker становится практически невозможным получить доступ к данным, шифрованным с помощью BitLocker, так как для этого потребуется взлом 128-разрядного или 256-разрядного шифрования.

Шифрование BitLocker не может защитить компьютер от всех возможных атак. Например, если у пользователей-злоумышленников или таких программ как вирусы и средства редактирования компонентов загрузки был доступ к компьютеру до его утери или кражи, они могли встроить уязвимости, которые впоследствии могут быть использованы для доступа к зашифрованным данным. Кроме того, защита BitLocker может быть скомпрометирована, если в компьютере был забыт USB-ключ запуска или не удалось сохранить в секрете ПИН или пароль входа в систему Windows.

Режим проверки подлинности только доверенным платформенным модулем является самым простым с точки зрения развертывания, управления и использования. Он также может оказаться наиболее подходящим для компьютеров, которые не обслуживаются или должны перезапускаться в необслуживаемом режиме. Но режим только с модулем TPM предлагает наименьший уровень защиты данных. Если в части организации на мобильных компьютерах используются данные, являющиеся очень важными, подумайте о развертывании на этих компьютерах шифрования BitLocker с многофакторной проверкой подлинности.

Для получения дополнительных сведений о вопросах безопасности шифрования BitLocker см. описание набора средств шифрования данных для мобильных ПК (https://go.microsoft.com/fwlink/?LinkId=85982).

Для серверов в совместно используемой или потенциально небезопасной среде, например в филиале, шифрование BitLocker может использоваться для шифрования диска операционной системы и дополнительных дисков данных на том же сервере.

По умолчанию шифрование BitLocker с Windows Server 2008 R2 не устанавливается. Добавьте шифрование BitLocker на странице Диспетчер сервера Windows Server 2008 R2. После установки шифрования BitLocker сервер необходимо перезапустить. С помощью WMI можно включить шифрование BitLocker удаленно.

Шифрование BitLocker поддерживается на серверах с интерфейсом EFI, использующих 64-разрядную архитектуру процессора.

	Примечание
	Шифрование BitLocker не поддерживает кластерные конфигурации.

После шифрования и защиты диска с помощью BitLocker локальные администраторы и администраторы домена могут использовать страницу Управление шифрованием BitLocker компонента панели управления Шифрование диска BitLocker, чтобы сменить пароль разблокировки диска, снять пароль диска, добавить смарт-карту для разблокировки диска, сохранить или повторно распечатать ключ восстановления, автоматически разблокировать диск, скопировать ключи и сбросить ПИН.

	Примечание
	Типами ключей, используемых для компьютера, можно управлять с помощью групповой политики. Дополнительные сведения об использовании групповой политики с шифрованием BitLocker см. в руководстве по развертыванию шифрования BitLocker (https://go.microsoft.com/fwlink/?LinkID=140286 (возможно, на английском языке)).

Администратору может понадобиться временно отключить шифрование BitLocker в определенных сценариях, например в следующих:

• Перезапуск компьютера для обслуживания, не требующего участия пользователя (такого как ввод PIN или ключа запуска).
  
  
• Обновление BIOS
  
  
• Установка аппаратного компонента с дополнительным постоянным запоминающим устройством (ПЗУ).
  
  
• Модернизация критических компонентов загрузки без инициации восстановления BitLocker. Примеры.
  
  
  • Установка иной версии операционной системы или другой операционной системы, которая может изменить основную загрузочную запись (MBR).
    
    
  • Изменение разбиения диска на разделы, что могло изменить таблицу разделов.
    
    
  • Выполнение других системных задач, которые могут изменить компоненты загрузки, проверяемые модулем TPM.
    
    
• Модернизация системной платы для замены или удаления модуля TPM без инициации восстановления шифрования BitLocker.
  
  
• Отключение или очистка модуля TPM без инициации восстановления шифрования BitLocker.
  
  
• Перемещение диска, защищенного шифрованием BitLocker, без инициации восстановления BitLocker.
  
  

Вместе эти сценарии называются сценарием модернизации компьютера. Шифрование BitLocker можно включить или отключить с помощью компонента панели управления Шифрование диска BitLocker.

Для модернизации компьютера с включенным шифрованием BitLocker необходимо выполнить следующие действия.

1. Временно отключите шифрование BitLocker, переведя его в отключенный режим.
   
   
2. Модернизируйте систему или BIOS.
   
   
3. Включите обратно шифрование BitLocker.
   
   

Принудительный перевод шифрования BitLocker в режим отключения сохраняет диск зашифрованным, но главный ключ диска будет зашифрован симметричным ключом, сохраненным на жестком диске в незашифрованном виде. Доступность этого незашифрованного ключа нивелирует защиту данных, предоставляемую шифрованием BitLocker, но гарантирует последующие успешные запуски компьютера без дальнейшего участия пользователя. При повторном включении шифрования BitLocker незашифрованный ключ удаляется с диска и защита BitLocker включается обратно. Кроме того, главный ключ диска выдается и шифруется заново.

Перемещение зашифрованного диска (то есть физического диска) на другой компьютер с включенным шифрованием BitLocker не требует никаких дополнительных действий, так как ключ, защищающий главный ключ диска, хранится на диске в незашифрованном виде.

	Внимание!
	Предоставление доступа к главному ключу диска даже на короткое время опасно, так как взломщик может получить доступ к главному ключу диска и полному ключу шифрования диска, пока доступ к этим ключам открыт из-за использования незашифрованного ключа.

Подробные сведения об отключении шифрования BitLocker см. в пошаговом руководстве по шифрованию диска Windows BitLocker (https://go.microsoft.com/fwlink/?LinkID=140225).

Ряд сценариев может инициировать процесс восстановления, например:

• Перемещение диска, защищенного шифрованием BitLocker, на новый компьютер.
  
  
• Установка новой системной платы с новым модулем TPM.
  
  
• Отключение, запрещение или очистка модуля TPM.
  
  
• Обновление BIOS
  
  
• Обновление дополнительного ПЗУ.
  
  
• Модернизация критических компонентов загрузки, приводящих к невыполнению проверки целостности системы.
  
  
• Забывание PIN при включенной проверки подлинности с помощью PIN.
  
  
• Потеря флэш-диска USB, содержащего ключ запуска, при включенной проверки подлинности с помощью ключа запуска.
  
  

Администратор может также инициировать восстановление как механизм управления доступом (например, при повторном развертывании компьютера). Администратор может решить заблокировать зашифрованный диск и потребовать, чтобы пользователи получили данные восстановления BitLocker для снятия блокировки с диска.