Обзор BitLocker
Применимо к:Windows Server 2012, Windows 8
В этом разделе приводится общий обзор BitLocker, а также список новых и измененных функций, системные требования, практическое применение и нерекомендуемые функции.Кроме того, в нем приводятся ссылки на дополнительные ресурсы, которые помогут вам узнать больше о работе BitLocker.
Возможно, вы имели в виду...
Описание компонента
Шифрование диска BitLocker — это функция защиты данных в операционной системе, которая впервые появилась в Windows Vista.В последующих выпусках операционной системы продолжалось повышение безопасности за счет защиты BitLocker, благодаря чему операционная система стала предоставлять защиту BitLocker большему числу дисков и устройств.Интегрированная в операционную систему, функция BitLocker обеспечивает защиту от хищения и раскрытия данных, находившихся на потерянных, украденных или неправильно списанных компьютерах.Manage-bde — это программа командной строки, которую также можно использовать для выполнения задач на компьютере, связанном с BitLocker.При установке дополнительного компонента BitLocker на сервер также необходимо установить функцию Enhanced Storage, которая используется для поддержки аппаратного шифрования дисков.На серверах можно установить такую дополнительную функцию BitLocker, как сетевая разблокировка BitLocker.Компьютеры под управлением Windows RT, Windows RT 8.1, или Windows 8.1 могут быть защищены с помощью шифрования устройств — настраиваемой версии BitLocker.
Шифрование BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или выше.Модуль TPM — это аппаратный компонент, устанавливаемый во многие современные компьютеры их производителями.Он работает вместе с шифрованием BitLocker, помогая защитить данные пользователя и гарантируя, что компьютер не был подменен, пока система была выключена.
На компьютерах без установленного доверенного платформенного модуля версии 1.2 или выше шифрование BitLocker можно, тем не менее, использовать для шифрования диска операционной системы Windows.Однако при этом пользователь должен вставить USB-ключ запуска для запуска компьютера или выхода из режима гибернации.В операционной системе Windows 8 использование пароля тома операционной системы — это еще одна возможность защиты тома операционной системы на компьютерах без доверенного платформенного модуля.В обоих случаях не проводится проверка целостности системы перед запуском, предлагаемая функцией BitLocker с доверенным платформенным модулем.
В дополнение к доверенному платформенному модулю шифрование BitLocker предоставляет возможность блокировки обычного процесса запуска, пока пользователь не введет персональный идентификационный номер (PIN-код) или не вставит съемное устройство, например USB-устройство флэш-памяти, содержащее ключ запуска.Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и гарантию того, что компьютер не будет запущен или выведен из режима гибернации, пока не будет предоставлен правильный PIN-код или ключ запуска.
Практическое применение
Данные на потерянном или украденном компьютере уязвимы для несанкционированного доступа, выполняемого либо с помощью программного средства взлома, либо путем подключения жесткого диска компьютера к другому компьютеру.Шифрование BitLocker помогает предотвратить несанкционированный доступ к данным, повышая уровень защиты файлов и системы.Шифрование BitLocker также помогает сохранить недоступность данных при списании или повторном использовании компьютеров, защищенных с помощью шифрования BitLocker.
В составе средств удаленного администрирования сервера есть два дополнительных средства управления BitLocker.
Средство просмотра пароля восстановления BitLocker.Средство просмотра пароля восстановления BitLocker позволяет найти и просмотреть пароли восстановления для шифрования диска BitLocker, резервные копии которых были сохранены в доменных службах Active Directory (AD DS).Это средство используется для восстановления данных, хранящихся на диске, зашифрованном с помощью BitLocker.Средство просмотра паролей восстановления BitLocker представляет собой расширение оснастки Microsoft Management Console (MMC) "Active Directory — пользователи и компьютеры".
С его помощью можно изучить диалоговое окно Свойства объекта компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker.Кроме того, можно щелкнуть правой кнопкой мыши контейнер домена и выполнить поиск пароля восстановления BitLocker по всем доменам леса службы каталогов Active Directory.Чтобы просматривать пароли восстановления, пользователь должен являться администратором домена или обладать разрешениями, делегированными администратором домена.
Средства шифрования диска BitLocker.Средства шифрования диска BitLocker включают в себя программы командной строки manage-bde и repair-bde, а также командлеты BitLocker для Windows PowerShell.Команду manage-bde и командлеты BitLocker можно использовать для выполнения любой задачи, которая решается с помощью панели управления BitLocker, а также для автоматического развертывания и других сценариев.Команда repair-bde предназначена для сценариев аварийного восстановления, в которых диск с защитой BitLocker нельзя разблокировать обычным способом или с помощью консоли восстановления.
Новые и измененные функции
В следующей таблице приводятся новые и измененные функциональные возможности BitLocker в Windows 8 и Windows Server 2012.Изучите Новые возможности BitLocker.
Компонент или функция |
Windows 7 |
Windows 8 и Windows Server 2012 |
|---|---|---|
Сброс пароля или PIN-кода BitLocker |
Для сброса PIN-кода BitLocker на диске операционной системы и пароля BitLocker на несъемном или съемном диске с данными требуются права администратора. |
Обычные пользователи могут сбросить PIN-код и пароль BitLocker на дисках операционной системы, несъемных или съемных дисках с данными. |
Шифрование диска |
При включении функции BitLocker выполняется шифрование всего диска. |
При включенной функции BitLocker можно зашифровать весь диск или только используемое пространство на диске.В дальнейшем дисковое пространство будет шифроваться по мере использования. |
Поддержка зашифрованного диска оборудования |
Не имеет собственной поддержки BitLocker. |
BitLocker может поддерживать жесткие диски с эмблемой Windows, зашифрованные производителем. |
Разблокировка с помощью ключа шифрования для обеспечения двухфакторной проверки подлинности |
Недоступен.Для выполнения двухфакторной проверки подлинности было необходимо физическое присутствие за компьютером. |
Новый тип предохранителя позволяет использовать особый ключ шифрования, чтобы снять блокировку и пропустить запрос на ввод ПИН-кода при перезагрузке компьютеров в доверенной проводной сети.Таким образом можно обслуживать удаленные компьютеры, которые защищены ПИН-кодом, в нерабочее время. При этом обеспечивается двухфакторная проверка подлинности без необходимости физического присутствия за компьютером. Однако при отсутствии подключения к доверенной сети проверка подлинности пользователя по-прежнему требуется. |
Защита кластеров |
Недоступен. |
Windows Server 2012 включает поддержку BitLocker для общих томов кластера Windows и отказоустойчивых кластеров Windows, которые выполняются в домене, сформированным контроллером домена Windows Server 2012 с включенной службой центра распространения ключей Kerberos. |
Связывание предохранителя ключа BitLocker с учетной записью Active Directory |
Недоступен. |
Позволяет привязать предохранитель ключа BitLocker к учетной записи пользователя, группы или компьютера в Active Directory.Предохранитель ключа можно использовать для разблокировки томов данных с защитой BitLocker, когда пользователь выполнил вход в систему или компьютер, используя правильные учетные данные. |
Удаленные или устаревшие функциональные возможности
Параметр Diffuser больше невозможно добавить в алгоритм шифрования AES.
Параметр групповой политики «Настройка профиля проверки TPM» не рекомендуется использовать в Windows 8 и Windows Server 2012.Он был заменен характерными для системы политиками для компьютеров BIOS и UEFI.
Параметр –tpm больше не поддерживается manage-bde.
Требования к системе
Требования BitLocker к аппаратному обеспечению
Чтобы использовать в BitLocker возможность проверки целостности системы, которая предоставляется доверенным платформенным модулем, на компьютере должен быть установлен модуль версии 1.2 или 2.0.В противном случае для включения BitLocker потребуется сохранить ключ запуска на съемном устройстве — например, на USB-устройстве флэш-памяти.
На компьютере с доверенным платформенным модулем также должна быть установлена BIOS, соответствующая спецификациям организации TCG, или встроенное ПО UEFI.BIOS или встроенное ПО UEFI устанавливают цепочку сертификатов для действий, выполняемых перед загрузкой операционной системы, и должны поддерживать статический корень измерения доверия, определенный организацией TCG.Для компьютера без доверенного платформенного модуля соответствие встроенного ПО спецификациям организации TCG не требуется.
BIOS системы или встроенное ПО UEFI (для компьютеров как с доверенным платформенным модулем, так и без него) должны поддерживать класс запоминающих устройств для USB, включая чтение небольших файлов с USB-устройства флэш-памяти в среде до запуска операционной системы.Подробнее о USB см. в спецификациях запоминающих устройств для USB, передающих только массивы данных, и команд для запоминающих устройств, инициализация которых считается небезопасной (UFI), на веб-сайте USB.
Жесткий диск должен быть разделен хотя бы на два диска.
Диск операционной системы (или загрузочный диск) содержит операционную систему и файлы, необходимые для ее работы.Он должен быть отформатирован в файловой системе NTFS.
Этот системный диск содержит файлы, необходимые для загрузки Windows после того, как встроенное ПО загрузит платформу.BitLocker на этом диске не включается.Для работы BitLocker необходимо, чтобы системный диск не был зашифрован и не содержал операционную систему. На компьютерах, использующих встроенное ПО на основе UEFI, он должен быть отформатирован в файловой системе FAT32, а на компьютерах, использующих встроенное ПО BIOS, — в файловой системе NTFS.Рекомендованный размер системного диска составляет приблизительно 350 МБ.После включения BitLocker на системном диске должно быть приблизительно 250 МБ свободного пространства.
При установке на новый компьютер Windows автоматически создаст разделы, необходимые для BitLocker.
Содержание библиотеки
Новые возможности BitLocker для Windows 8 и Windows Server 2012 [перенаправлено]
BitLocker: Используйте средства шифрования диска BitLocker для управления BitLocker
BitLocker: Используйте средство просмотра пароля восстановления BitLocker
Защиту кластера общего тома и сетей хранения данных с помощью BitLocker