Шифрование диска BitLocker является встроенной функцией безопасности в операционной системе Windows 7, которая позволяет защитить данные, хранящиеся на фиксированных и съемных дисках, а также на диске операционной системы. BitLocker позволяет защитить компьютер от "атак с выключением", которые проводятся путем отключения или обхода установленной операционной системы либо путем физического удаления жесткого диска для взлома данных автономно. Для фиксированных и съемных дисков BitLocker обеспечивает прочтение и запись данных на диск только для пользователей с требуемым паролем, учетными данными смарт-карты или при использовании диска на компьютере с защитой BitLocker и соответствующими ключами. Если в организации работают компьютеры под управлением предыдущих версий Windows, то для чтения данных защищенных съемных дисков на этих компьютерах можно использовать устройство чтения BitLocker To Go™.

Защита BitLocker на дисках операционной системы поддерживает двухфакторную проверку подлинности с помощью доверенного платформенного модуля (TPM) с персональным идентификационным номером (ПИН) или загрузочным ключом, а также однофакторную проверку подлинности с помощью ключа, хранящегося на USB-устройстве флэш-памяти, или с помощью доверенного модуля. Использование BitLocker с доверенным платформенным модулем TPM обеспечивает расширенную защиту данных и позволяет сохранить целостность загрузочных компонентов. Для этого варианта компьютер должен иметь совместимый микрочип доверенного платформенного модуля и совместимую версию BIOS. Совместимыми являются микрочипы доверенного платформенного модуля версии 1.2. Совместимая версия BIOS должна поддерживать доверенный платформенный модуль и измерение статического доверенного источника оценки в соответствии с определением организации TCG. Дополнительные сведения о спецификациях доверенного платформенного модуля см. в статье "Спецификации доверенного платформенного модуля" на веб-сайте организации TCG (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=72757).

Доверенный платформенный модуль взаимодействует с технологией защиты диска операционной системы BitLocker для обеспечения безопасности при загрузке системы. Это происходит незаметно для пользователей, а процесс входа в систему не изменяется. Однако если изменены сведения загрузки, то BitLocker переведет компьютер в режим восстановления и потребует ввода пароля или ключа восстановления для получения доступа к данным.

Данное руководство знакомит ИТ-специалистов с компонентом шифрования диска BitLocker в операционной системе Windows 7. Все эти действия выполняются только в целях тестирования. При развертывании компонентов ОС Windows Server® 2008 R2 или Windows 7 не рекомендуется ограничиваться лишь данным руководством. Ознакомьтесь со следующими разделами для понимания основополагающих сведений и действий, необходимых для начала настройки и развертывания BitLocker в своей организации.

• Сценарий 1. Включение шифрования диска BitLocker на диске операционной системы (Windows 7)
  
  
• Сценарий 2. Включение шифрования диска BitLocker на фиксированном или съемном диске (Windows 7)
  
  
• Сценарий 3. Обновление компьютера с защитой BitLocker с Windows Vista до Windows 7 (Windows 7)
  
  
• Сценарий 4. Настройка поддержки BitLocker в предыдущих версиях Windows (Windows 7)
  
  
• Сценарий 5. Настройка обязательной защиты BitLocker для дисков с данными (Windows 7)
  
  
• Сценарий 6. Настройка способов снятия блокировки дисков операционной системы, защищенных с помощью BitLocker (Windows 7)
  
  
• Сценарий 7. Настройка способов снятия блокировки фиксированных или съемных дисков, защищенных с помощью BitLocker (Windows 7)
  
  
• Сценарий 8. Настройка способов восстановления дисков, защищенных с помощью BitLocker (Windows 7)
  
  
• Сценарий 9. Настройка метода шифрования и стойкости шифра (Windows 7)
  
  
• Сценарий 10. Настройка поля идентификации BitLocker (Windows 7)
  
  
• Сценарий 11. Восстановление данных, защищенных шифрованием диска BitLocker (Windows 7)
  
  
• Сценарий 12. Отключение шифрования диска BitLocker (Windows 7)
  
  
• Сценарий 13. Блокировка диска с данными с помощью смарт-карты (Windows 7)
  
  
• Сценарий 14. Использование агента восстановления данных для восстановления дисков, защищенных с помощью BitLocker (Windows 7)
  
  
• Сценарий 15. Использование средства просмотра паролей Active Directory в BitLocker для просмотра паролей восстановления
  
  
• Сценарий 16. Использование средства восстановления BitLocker для восстановления диска
  
  

Для работы с BitLocker необходимо следующее аппаратное и программное обеспечение:

• Компьютер под управлением Windows 7 Корпоративная, Windows 7 Максимальная или Windows Server 2008 R2.
  
  

  Примечание
  Технология шифрования диска BitLocker входит в состав Windows Server 2008 R2 в качестве дополнительного компонента.

• Компьютер, отвечающий минимальным требованиям к установке Windows 7 или Windows Server 2008 R2.
  
  
• Микрочип доверенного платформенного модуля версии 1.2, включенный и настроенный для использования с BitLocker (рекомендуется на дисках операционной системы для проверки компонентов ранней загрузки и для хранения главного ключа BitLocker). Если на компьютере отсутствует доверенный платформенный модуль, то для хранения ключа BitLocker может использоваться USB-устройство флэш-памяти.
  
  
• Модуль BIOS, отвечающий требованиям компании TCG и используемый вместе с BitLocker для дисков операционной системы.
  
  
• Настройка BIOS, при которой компьютер загружается в первую очередь с жесткого диска, а не с компакт-диска или USB-устройства.
  
  

  Примечание
  Для всех действий с предоставлением ключа BitLocker на USB-устройстве флэш-памяти (например, ключа загрузки или восстановления) модуль BIOS должен поддерживать чтение USB-устройств при загрузке.

Важно

Не рекомендуется запускать отладчик ядра при включенном шифровании BitLocker, так как отладчик позволяет получить доступ к ключам шифрования и иным конфиденциальным данным. Однако отладку ядра можно включить перед включением BitLocker. Если включить отладку ядра или отладку загрузки (отладку ядра с параметром bcdedit /debug) после включения BitLocker, система будет автоматически начинать процедуру восстановления при каждой перезагрузке компьютера.

• Для получения помощи по шифрованию диска BitLocker можно выбрать один из вариантов поддержки, перечисленных на веб-сайте справки и поддержки корпорации Майкрософт (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=76619).
  
  
• Дополнительная документация по BitLocker находится в разделе Шифрование диска BitLocker (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=76553).
  
  
• Дополнительные сведения о функции управления учетными записями пользователей см. в разделе Управление учетными записями пользователей (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=66018).