Шифрование диска BitLocker - это возможность защиты данных, доступная в Windows Server 2008 R2 и в некоторых выпусках Windows 7. Интеграция BitLocker в операционную систему противодействует угрозам кражи или уязвимости данных, защищая от потери, кражи или неправильного списания компьютеров.

Данные на потерянном или украденном компьютере уязвимы для несанкционированного доступа, выполняемого либо с помощью программного средства взлома, либо путем подключения жесткого диска компьютера к другому компьютеру. Шифрование BitLocker помогает предотвратить несанкционированный доступ к данным, повышая уровень защиты файлов и системы. Шифрование BitLocker также помогает сохранить недоступность данных при списании или повторном использовании компьютеров, защищенных с помощью шифрования BitLocker.

Шифрование BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2. Модуль TPM - это аппаратный компонент, устанавливаемый во многие современные компьютеры их производителями. Он работает вместе с шифрованием BitLocker, помогая защитить данные пользователя и гарантируя, что компьютер не был подменен, пока система была выключена.

На компьютерах без установленного доверенного платформенного модуля версии 1.2 шифрование BitLocker можно, тем не менее, использовать для шифрования диска операционной системы Windows. Но эта реализация потребует от пользователя вставлять USB-ключ запуска, чтобы запустить компьютер или вывести его из спящего режима, и не обеспечивает проверку целостности системы перед запуском, предоставляемую шифрованием BitLocker с доверенным платформенным модулем.

В дополнение к доверенному платформенному модулю, шифрование BitLocker предоставляет возможность блокировки обычного процесса запуска, пока пользователь не введет персональный идентификационный номер (ПИН) или не вставит съемное устройство, например USB-устройство флэш-памяти, содержащее ключ запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и гарантию того, что компьютер не будет запущен или выведен из спящего режима, пока не будет предоставлен правильный PIN или ключ запуска.

Проверка целостности системы

Шифрование BitLocker может использовать доверенный платформенный модуль для проверки целостности компонентов загрузки и данных конфигурации загрузки. Это помогает гарантировать, что при использовании шифрования BitLocker шифрованный диск будет доступен, только если эти компоненты не были подменены и шифрованный диск установлен в исходном компьютере.

Шифрование BitLocker помогает гарантировать целостность процесса запуска с помощью следующих действий.

  • Обеспечение способа проверки целостности корневого файла и файлов, используемых на ранних этапах загрузки, и гарантирование отсутствия враждебных изменений в этих файлах, которые могли быть выполнены, например, вирусами загрузочных секторов или средствами редактирования компонентов загрузки.

  • Улучшенная защита, противостоящая программным атакам, когда компьютер находится вне сети. Любое альтернативное программное обеспечение, которое может запустить систему, не получит доступ к ключам шифрования для диска операционной системы Windows.

  • Блокировка системы при замене файла. Если любой из контролируемых файлов был заменен, система не запустится. Это предупредит пользователя о замене, так как система не сможет быть запущена в обычном порядке. В случае блокировки системы шифрование BitLocker обеспечит простой процесс восстановления.

Требования к оборудованию, микропрограммам и программному обеспечению

Для использования BitLocker компьютер должен удовлетворять определенным требованиям.

  • Чтобы шифрование BitLocker могло использовать возможность проверки целостности системы, предоставляемую доверенным платформенным модулей, на компьютере должен быть установлен модуль версии 1.2. Если на компьютере не установлен доверенный платформенный модуль, то при включении шифрования BitLocker потребуется сохранить ключ запуска на съемном устройстве, например на USB-устройстве флэш-памяти.

  • На компьютере с модулем TPM также должна быть установлена BIOS, соответствующая спецификациям группы Trusted Computing Group (TCG). BIOS создает цепочку доверий для действий перед загрузкой операционной системы и должна включать поддержку статического корневого объекта измерения уровня доверия, определенного TCG. Для компьютера без модуля TPM соответствие BIOS спецификациям TCG не требуется.

  • BIOS системы (для компьютеров как с доверенным платформенным модулем, так и без него) должна поддерживать класс запоминающих устройств USB, включая чтение небольших файлов с USB-устройства флэш-памяти в среде до запуска операционной системы. Для получения дополнительных сведений о USB см. спецификации запоминающих устройств USB и команд запоминающих устройств UFI на веб-сайте USB (https://go.microsoft.com/fwlink/?LinkId=83120).

  • Жесткий диск должен быть разбит хотя бы на два диска.

    • Диск операционной системы (или загрузочный диск) содержит операционную систему и файлы, необходимые для ее работы, он должен быть отформатирован в файловой системе NTFS.

    • Системный диск содержит файлы, необходимые для загрузки Windows после того, как BIOS загрузит платформу. Для этого диска шифрование BitLocker не включается. Для работы шифрования BitLocker системный диск не должен быть зашифрован, он не должен являться томом операционной системы и должен быть отформатирован в файловой системе NTFS. Емкость системного диска должна быть не менее 1,5 гигабайт (ГБ).

Установка и инициализация

Шифрование BitLocker устанавливается автоматически как часть установки операционной системы. Но шифрование BitLocker недоступно, пока оно не будет включено с помощью мастера настройки BitLocker, который может быть запущен либо из панели управления, либо щелчком диска правой кнопкой мыши в проводнике.

В любой момент времени после установки и первоначальной настройки операционной системы администратор может использовать мастер настройки BitLocker для инициализации шифрования BitLocker. Процесс инициализации состоит из двух этапов:

  1. На компьютерах с доверенным платформенным модулем инициализируйте последний, используя мастер установки доверенного платформенного модуля, компонент панели управления Шифрование диска BitLocker, или выполнив скрипт, предназначенный для инициализации модуля.

  2. Настройте шифрование BitLocker. Откройте из панели управления мастер настройки шифрования BitLocker, который проведет через процесс настройки и предоставит возможность настроить дополнительные параметры проверки подлинности.

При инициализации шифрования BitLocker локальному администратору также следует создать пароль восстановления и ключ восстановления. Без пароля восстановления или ключа восстановления все данные на шифрованном диске могут оказаться недоступными в случае проблемы с диском, защищенным шифрованием BitLocker.

Примечание

Инициализация BitLocker и доверенного платформенного модуля должна выполняться участником локальной группы Администраторы компьютера.

Подробные сведения о настройке и развертывании шифрования BitLocker см. в пошаговом руководстве по шифрованию диска Windows BitLocker (https://go.microsoft.com/fwlink/?LinkID=140225).

Корпоративная реализация

Шифрование BitLocker может использовать существующую инфраструктуру доменных служб Active Directory (AD DS) организации для удаленного хранения ключей восстановления. Шифрование BitLocker предоставляет мастер для настройки и управления, а также возможности расширения и управления с помощью интерфейса WMI с поддержкой сценариев. Кроме того, шифрование BitLocker предоставляет консоль восстановления, встроенную в процесс загрузки, чтобы позволить пользователю или персоналу службы поддержки восстановить доступ к заблокированному компьютеру.

Для получения дополнительных сведений о написании сценариев для шифрования BitLocker см. Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983).

Списание и повторное использование компьютера

Сегодня многие персональные компьютеры повторно используются людьми, не являющимися первоначальными владельцами или пользователями этих компьютеров. В корпоративных сценариях компьютеры могут передаваться в другие отделы или списываться в ходе стандартного цикла обновления компьютерного оборудования.

На незашифрованных дисках данные могут остаться читаемыми даже после переформатирования диска. Чтобы уменьшить риск раскрытия данных на списанных дисках, предприятия часто используют несколько перезаписей или физическое разрушение дисков.

Шифрование BitLocker может помочь создать простой и экономичный процесс списания. Оставляя данные зашифрованными с помощью BitLocker и удаляя ключи, предприятие может навсегда устранить риск раскрытия данных. После удаления всех ключей шифрования BitLocker становится практически невозможным получить доступ к данным, шифрованным с помощью BitLocker, так как для этого потребуется взлом 128-разрядного или 256-разрядного шифрования.

Вопросы безопасности шифрования BitLocker

Шифрование BitLocker не может защитить компьютер от всех возможных атак. Например, если у пользователей-злоумышленников или таких программ как вирусы и средства редактирования компонентов загрузки был доступ к компьютеру до его утери или кражи, они могли встроить уязвимости, которые впоследствии могут быть использованы для доступа к зашифрованным данным. Кроме того, защита BitLocker может быть скомпрометирована, если в компьютере был забыт USB-ключ запуска или не удалось сохранить в секрете ПИН или пароль входа в систему Windows.

Режим проверки подлинности только доверенным платформенным модулем является самым простым с точки зрения развертывания, управления и использования. Он также может оказаться наиболее подходящим для компьютеров, которые не обслуживаются или должны перезапускаться в необслуживаемом режиме. Но режим только с модулем TPM предлагает наименьший уровень защиты данных. Если в части организации на мобильных компьютерах используются данные, являющиеся очень важными, подумайте о развертывании на этих компьютерах шифрования BitLocker с многофакторной проверкой подлинности.

Для получения дополнительных сведений о вопросах безопасности шифрования BitLocker см. описание набора средств шифрования данных для мобильных ПК (https://go.microsoft.com/fwlink/?LinkId=85982).

Реализация шифрования BitLocker на серверах

Для серверов в совместно используемой или потенциально небезопасной среде, например в филиале, шифрование BitLocker может использоваться для шифрования диска операционной системы и дополнительных дисков данных на том же сервере.

По умолчанию шифрование BitLocker с Windows Server 2008 R2 не устанавливается. Добавьте шифрование BitLocker на странице Диспетчер сервера Windows Server 2008 R2. После установки шифрования BitLocker сервер необходимо перезапустить. С помощью WMI можно включить шифрование BitLocker удаленно.

Шифрование BitLocker поддерживается на серверах с интерфейсом EFI, использующих 64-разрядную архитектуру процессора.

Примечание

Шифрование BitLocker не поддерживает кластерные конфигурации.

Управление ключами

После шифрования и защиты диска с помощью BitLocker локальные администраторы и администраторы домена могут использовать страницу Управление шифрованием BitLocker компонента панели управления Шифрование диска BitLocker, чтобы сменить пароль разблокировки диска, снять пароль диска, добавить смарт-карту для разблокировки диска, сохранить или повторно распечатать ключ восстановления, автоматически разблокировать диск, скопировать ключи и сбросить ПИН.

Примечание

Типами ключей, используемых для компьютера, можно управлять с помощью групповой политики. Дополнительные сведения об использовании групповой политики с шифрованием BitLocker см. в руководстве по развертыванию шифрования BitLocker (https://go.microsoft.com/fwlink/?LinkID=140286 (возможно, на английском языке)).

Временное отключение защиты BitLocker

Администратору может понадобиться временно отключить шифрование BitLocker в определенных сценариях, например в следующих:

  • Перезапуск компьютера для обслуживания, не требующего участия пользователя (такого как ввод PIN или ключа запуска).

  • Обновление BIOS

  • Установка аппаратного компонента с дополнительным постоянным запоминающим устройством (ПЗУ).

  • Модернизация критических компонентов загрузки без инициации восстановления BitLocker. Примеры.

    • Установка иной версии операционной системы или другой операционной системы, которая может изменить основную загрузочную запись (MBR).

    • Изменение разбиения диска на разделы, что могло изменить таблицу разделов.

    • Выполнение других системных задач, которые могут изменить компоненты загрузки, проверяемые модулем TPM.

  • Модернизация системной платы для замены или удаления модуля TPM без инициации восстановления шифрования BitLocker.

  • Отключение или очистка модуля TPM без инициации восстановления шифрования BitLocker.

  • Перемещение диска, защищенного шифрованием BitLocker, без инициации восстановления BitLocker.

Вместе эти сценарии называются сценарием модернизации компьютера. Шифрование BitLocker можно включить или отключить с помощью компонента панели управления Шифрование диска BitLocker.

Для модернизации компьютера с включенным шифрованием BitLocker необходимо выполнить следующие действия.

  1. Временно отключите шифрование BitLocker, переведя его в отключенный режим.

  2. Модернизируйте систему или BIOS.

  3. Включите обратно шифрование BitLocker.

Принудительный перевод шифрования BitLocker в режим отключения сохраняет диск зашифрованным, но главный ключ диска будет зашифрован симметричным ключом, сохраненным на жестком диске в незашифрованном виде. Доступность этого незашифрованного ключа нивелирует защиту данных, предоставляемую шифрованием BitLocker, но гарантирует последующие успешные запуски компьютера без дальнейшего участия пользователя. При повторном включении шифрования BitLocker незашифрованный ключ удаляется с диска и защита BitLocker включается обратно. Кроме того, главный ключ диска выдается и шифруется заново.

Перемещение зашифрованного диска (то есть физического диска) на другой компьютер с включенным шифрованием BitLocker не требует никаких дополнительных действий, так как ключ, защищающий главный ключ диска, хранится на диске в незашифрованном виде.

Внимание!

Предоставление доступа к главному ключу диска даже на короткое время опасно, так как взломщик может получить доступ к главному ключу диска и полному ключу шифрования диска, пока доступ к этим ключам открыт из-за использования незашифрованного ключа.

Подробные сведения об отключении шифрования BitLocker см. в пошаговом руководстве по шифрованию диска Windows BitLocker (https://go.microsoft.com/fwlink/?LinkID=140225).

Восстановление системы

Ряд сценариев может инициировать процесс восстановления, например:

  • Перемещение диска, защищенного шифрованием BitLocker, на новый компьютер.

  • Установка новой системной платы с новым модулем TPM.

  • Отключение, запрещение или очистка модуля TPM.

  • Обновление BIOS

  • Обновление дополнительного ПЗУ.

  • Модернизация критических компонентов загрузки, приводящих к невыполнению проверки целостности системы.

  • Забывание PIN при включенной проверки подлинности с помощью PIN.

  • Потеря флэш-диска USB, содержащего ключ запуска, при включенной проверки подлинности с помощью ключа запуска.

Администратор может также инициировать восстановление как механизм управления доступом (например, при повторном развертывании компьютера). Администратор может решить заблокировать зашифрованный диск и потребовать, чтобы пользователи получили данные восстановления BitLocker для снятия блокировки с диска.

Настройка восстановления

С помощью групповой политики ИТ-администратор может выбрать методы восстановления, являющиеся обязательными, запрещенными или необязательными для пользователей, включивших шифрование BitLocker. Пароль восстановления может храниться в доменных службах Active Directory, и администратор может сделать эту возможность обязательной, запрещенной или необязательной для каждого пользователя компьютера. Кроме того, данные восстановления могут храниться на флэш-диске USB.

Пароль восстановления

Пароль восстановления - это случайно созданное число из 48 цифр, которое может быть создано в процессе настройки шифрования BitLocker. Если компьютер переходит в режим восстановления, пользователю будет предложено ввести этот пароль с помощью функциональных клавиш (F0-F9). После включения шифрования BitLocker паролем восстановления можно управлять и его можно копировать. Использование страницы Управление шифрованием BitLocker компонента панели управления Шифрование диска BitLocker позволяет напечатать пароль восстановления или сохранить его в файл для последующего использования.

Администратор домена может настроить групповую политику, чтобы после включения шифрования BitLocker автоматически создавать пароли восстановления и сохранять их в доменных службах Active Directory. Администратор домена может также предпочесть запретить шифрованию BitLocker шифровать диск, если компьютер не подключен к сети и резервное копирование пароля восстановления в службах AD DS невозможно.

Ключ восстановления

Ключ восстановления может быть создан при настройке шифрования BitLocker и сохранен на флэш-диске USB, после включения шифрования BitLocker возможно управление этим ключом и его копирование. Если компьютер переходит в режим восстановления, пользователю будет предложено вставить ключ восстановления в компьютер.


Содержание