Базовое развертывание BitLocker

В этом разделе, предназначенном для ИТ-специалистов, описывается использование функций шифрования диска BitLocker для защиты данных.

В следующих разделах представлены сведения о создании базового плана развертывания BitLocker в вашей организации.

  • Использование BitLocker для шифрования томов

  • Обратная совместимость

  • Использование manage-bde для шифрования томов с помощью BitLocker

  • Использование PowerShell для шифрования томов с помощью BitLocker

Использование BitLocker для шифрования томов

BitLocker обеспечивает шифрование всего тома (FVE) для томов операционной системы, а также несъемных и съемных томов. В целях поддержки полностью зашифрованных томов операционной системы BitLocker задействует незашифрованный системный том, на котором размещаются файлы, необходимые для загрузки, расшифровки и запуска операционной системы. Этот том автоматически создается во время новой установки операционных систем на стороне клиента и сервера.

В случае если диск был подготовлен как единое непрерывное пространство, для BitLocker потребуется новый том, чтобы сохранить файлы загрузки. Эти тома можно создать с помощью BdeHdCfg.exe.

Примечание  

Дополнительные сведения об использовании этого инструмента см. в разделе справки по командной строке, посвященном Bdehdcfg.

 

Шифрование BitLocker можно выполнить с помощью следующих методов.

  • Панель управления BitLocker

  • Проводник Windows

  • Интерфейс командной строки manage-bde

  • Командлеты BitLocker Windows PowerShell

Шифрование томов с помощью панели управления BitLocker

Шифрование томов с помощью панели управления BitLocker — это основной способ использования BitLocker. Панель управления BitLocker называется «Шифрование диска BitLocker». Панель управления BitLocker поддерживает шифрование операционной системы, а также съемных и несъемных томов данных. Панель управления BitLocker упорядочивает доступные диски в соответствующей категории в зависимости от того, как само устройство сообщает о себе операционной системе Windows. Только отформатированные тома с назначенными буквами дисков будут отображаться надлежащим образом в панели управления BitLocker.

Чтобы включить шифрование для тома, выберите Включить BitLocker для соответствующего диска, что приведет к инициализации мастера шифрования диска BitLocker. Параметры мастера шифрования диска BitLocker меняются в зависимости от типа тома (том операционной системы или том данных).

Том операционной системы

При запуске мастер шифрования диска BitLocker проверяет, отвечает ли компьютер требованиям BitLocker к системе для шифрования тома операционной системы. По умолчанию требования к системе включают следующие.

Требование Описание

Конфигурация оборудования

Компьютер должен соответствовать минимальным требованиям, относящимся к поддерживаемым версиям Windows.

Операционная система

BitLocker является дополнительным компонентом, который может быть установлен диспетчером сервера в Windows Server 2012 и более поздних версиях.

Аппаратный доверенный платформенный модуль (TPM)

TPM версии 1.2 или 2.0

TPM не требуется для BitLocker, однако только компьютер с модулем TPM может обеспечить дополнительную безопасность благодаря проверке целостности системы перед загрузкой и многофакторной проверке подлинности.

Конфигурация BIOS

  • Встроенное ПО BIOS или UEFI, совместимое с требованиями Trusted Computing Group (TCG).

  • Порядок загрузки должен начинаться с жесткого диска, а не с дисков USB или компакт-дисков.

  • Встроенное ПО должно иметь возможность считывания с флэш-накопителя USB при запуске.

Файловая система

Для компьютеров, которые изначально оснащены встроенным ПО UEFI, необходим хотя бы один раздел FAT32 для системного диска и один раздел NTFS для диска операционной системы.

Для компьютеров с традиционным встроенным ПО BIOS необходимо хотя бы два дисковых раздела NTFS: один для системного диска и один для диска операционной системы.

Для любого из этих видов встроенного ПО раздел системного диска должен содержать не менее 350 мегабайт (МБ) и являться активным разделом.

Требования к аппаратно зашифрованному диску (необязательно)

Использовать аппаратно зашифрованный диск в качестве загрузочного можно только в том случае, если этот диск не инициализирован и к нему не применены никакие средства обеспечения безопасности. Кроме того, система всегда должна загружаться с использованием версии собственной архитектуры UEFI 2.3.1 и выше, а CSM (при наличии) следует отключить.

 

После первоначальной настройки пользователь должен ввести пароль для этого тома. Если том не проходит первоначальную настройку для использования BitLocker, появляется диалоговое окно с сообщением об ошибке, где указано, какие действия необходимо предпринять.

После создания для тома надежного пароля создается ключ восстановления. Мастер шифрования диска BitLocker запросит указать место для сохранения этого ключа. Ключ восстановления BitLocker — это специальный ключ, который можно создать при первом включении шифрования диска BitLocker для каждого зашифрованного диска. Ключ восстановления можно использовать, чтобы получить доступ к компьютеру, если диск, на котором установлена ОС Windows (диск операционной системы), зашифрован с помощью шифрования диска BitLocker и BitLocker определяет состояние, которое не дает ему разблокировать диск при запуске компьютера. Ключ восстановления также можно использовать для получения доступа к файлам и папкам на съемном диске с данными (например, внешнем жестком диске или флэш-накопителе USB), который зашифрован с помощью BitLocker To Go, если по какой-либо причине вы забыли пароль или компьютер не может получить доступ к диску.

Следует сохранить ключ восстановления, напечатав его, сохранив на съемном носителе или сохранив в виде файла в сетевой папке, на своем диске OneDrive или любом другом незашифрованном диске компьютера. Невозможно сохранить ключ восстановления в корневом каталоге несъемного диска, а также в зашифрованном томе. Невозможно сохранить ключ восстановления съемного диска с данными (например, флэш-накопителя USB) на съемном носителе. В идеале следует хранить ключ восстановления отдельно от компьютера. После создания ключа восстановления можно использовать панель управления BitLocker для создания дополнительных копий.

Если ключ восстановления системы был надлежащим образом сохранен, мастер шифрования диска BitLocker попросит пользователя выбрать способ шифрования диска. Есть два варианта.

  • Шифровать только занятое место на диске: шифруются только те места диска, где записаны данные

  • Шифровать весь диск: шифруется весь том, включая свободное пространство

Рекомендуется использовать для дисков с малым объемом данных вариант шифрования только занятого места, а для дисков с данными или с операционными системами — шифрование всего диска.

Примечание  

Удаленные файлы воспринимаются файловой системой как свободное место, которое не зашифровано при использовании шифрования только занятого места. До их полного стирания или перезаписи удаленные файлы содержат сведения, которые могут быть восстановлены с помощью распространенных инструментов восстановления данных.

 

После выбора типа шифрования и нажатия кнопки Далее пользователь может запустить проверку системы BitLocker (выбрана по умолчанию), которая проверит возможность BitLocker получить надлежащий доступ к ключам восстановления и шифрования до начала шифрования тома. Рекомендуется выполнить эту проверку системы до начала шифрования. Если проверка системы не выполнена и произошла ошибка при попытке запуска операционной системы, то, чтобы запустить Windows, пользователю придется ввести ключ восстановления.

После завершения проверки системы (если она была выбрана) мастер шифрования диска BitLocker перезагрузит компьютер для запуска шифрования. При перезагрузке пользователь должен ввести пароль, выбранный для загрузки с тома операционной системы. Просмотреть состояние шифрования можно в системной области уведомлений или в панели управления BitLocker.

Пока шифрование не завершено, единственными доступными параметрами для управления BitLocker являются изменение пароля, защищающего том операционной системы, резервное копирование ключа восстановления и отключение BitLocker.

Том данных

Шифрование томов данных с помощью интерфейса панели управления BitLocker работает аналогично шифрованию томов операционной системы. Пользователь выбирает пункт Включить BitLocker на панели управления, чтобы запустить мастер шифрования диска BitLocker.

В отличие от томов операционной системы томам данных не нужно проходить никакие проверки конфигурации для продолжения работы мастера. При запуске мастера отображаются доступные методы проверки подлинности для разблокировки диска. Доступные варианты: пароль и смарт-карта, а также параметр автоматически разблокировать этот диск на этом компьютере. По умолчанию последний параметр отключен, однако он способен разблокировать том данных без пользовательского ввода, если разблокирован том операционной системы.

После выбора требуемого метода проверки подлинности и нажатия кнопки Далее мастер предлагает варианты сохранения ключа восстановления. Эти параметры не отличаются от параметров, применимых к томам операционной системы.

При сохранении ключа восстановления нажатие кнопки Далее в мастере приведет к отображению доступных параметров шифрования. Эти параметры не отличаются от параметров для томов операционной системы: шифровать только занятое место на диске и полное шифрование диска. Если шифруемый том является новым или пустым, рекомендуется выбрать шифрование только занятого места.

После выбора метода шифрования появляется последний экран подтверждения, после чего начинается шифрование. Выбор пункта Начать шифрование приведет к запуску процесса шифрования.

Состояние шифрования отображается в области уведомлений или в панели управления BitLocker.

Параметр OneDrive

Появился новый параметр сохранения ключа восстановления BitLocker на диске OneDrive. Для применения этого параметра требуется, чтобы компьютер не являлся членом домена, а пользователь должен использовать свою учетную запись Майкрософт. Пользователи с локальными учетными записями не могут использовать OneDrive. Использование OneDrive — это рекомендуемый по умолчанию метод хранения ключа восстановления, предназначенный для компьютеров, которые не подключены к домену.

Пользователи могут проверить правильность сохранения ключа восстановления, найдя на своем диске OneDrive папку BitLocker, которая создается автоматически во время сохранения. Папка содержит два файла: readme.txt и ключ восстановления. Пользователи, которые сохраняют несколько паролей восстановления на своем диске OneDrive, могут определить нужный по имени файла. Идентификатор ключа восстановления добавляется в конец имени файла.

Использование BitLocker в проводнике Windows

Проводник Windows позволяет запустить мастер шифрования диска BitLocker, щелкнув правой кнопкой том и выбрав пункт Включить BitLocker. Этот параметр доступен на клиентских компьютерах по умолчанию. На серверах сначала необходимо установить компоненты BitLocker и «Возможности рабочего стола», после чего появится соответствующая возможность. После выбора пункта Включить BitLocker мастер будет работать точно так же, как при запуске с панели управления BitLocker.

Обратная совместимость

В следующей таблице показана матрица совместимости для систем, на которых был включен BitLocker и которые затем были подключены к другой версии Windows.

Таблица 1. Перекрестная совместимость для зашифрованных томов Windows 10, Windows 8.1, Windows 8 и Windows 7

Тип шифрования

Windows 10 и Windows 8.1

Windows 8

Windows 7

Полное шифрование в Windows 8

Представляется как полностью зашифрованный

Н/Д

Представляется как полностью зашифрованный

Шифрование только занятого места в Windows 8

Представляется как шифрование в режиме записи

Н/Д

Представляется как полностью зашифрованный

Полностью зашифрованный том из Windows 7

Представляется как полностью зашифрованный

Представляется как полностью зашифрованный

Н/Д

Частично зашифрованный том из Windows 7

Windows 10 и Windows 8.1 выполнит шифрование независимо от политики

Windows 8 выполнит шифрование независимо от политики

Н/Д

 

Шифрование томов с использованием интерфейса командной строки manage-bde

Manage-bde — это средство командной строки, позволяющее создавать сценарии для выполнения операций BitLocker. Manage-bde предоставляет дополнительные параметры, не отображаемые в панели управления BitLocker. Полный перечень параметров см. в разделе Manage-bde.

Manage-bde предоставляет более широкие возможности для настройки BitLocker. Это означает, что использовать синтаксис командной строки нужно с осторожностью. Также, вероятно, потребуется дополнительная настройка со стороны пользователя. Например, используя только команду manage-bde -on для тома данных, можно полностью зашифровать том без проверки подлинности. Несмотря на то что команда была успешно выполнена, для включения защиты BitLocker на зашифрованном таким образом томе тем не менее потребуется участие пользователя, так как для полной защиты тома необходимо добавить метод проверки подлинности.

Пользователи командной строки должны определить подходящий синтаксис для конкретной ситуации. Следующий раздел посвящен общему шифрованию томов операционной системы и томов данных.

Том операционной системы

Ниже перечислены примеры простых команд для томов операционной системы. В целом, используя только команду manage-bde -on <drive letter>, можно зашифровать том операционной системы с помощью доверенного платформенного модуля без ключа восстановления. Тем не менее, во многих средах требуется более надежная защита, например пароли или ПИН-коды, а также возможность восстанавливать данные с помощью ключа восстановления.

Определение состояния тома

При использовании manage-bde рекомендуется определить состояние тома в целевой системе. Для проверки состояния тома используйте следующую команду.

manage-bde -status

Эта команда возвращает список томов целевой системы, где указаны текущее состояние шифрования и тип каждого тома (том операционной системы или диск с данными). С помощью этой информации пользователи могут определить оптимальный метод шифрования для своей среды.

Включение BitLocker без модуля TPM

Предположим, необходимо включить BitLocker на компьютере без микросхемы TPM. Чтобы надлежащим образом включить BitLocker для тома операционной системы, необходимо использовать флэш-накопитель USB в качестве ключа загрузки (в этом примере — диск с буквой E). Сначала необходимо создать ключ загрузки, необходимый для BitLocker, используя для этого параметр –protectors, и сохранить его на USB-диске E, после чего запустить процесс шифрования. Необходимо перезагрузить компьютер при появлении соответствующего требования, чтобы завершить процедуру шифрования.

manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:

Включение BitLocker только с модулем TPM

Можно шифровать том операционной системы без определения в manage-bde каких-либо средств защиты. Это можно сделать с помощью следующей команды.

manage-bde -on C:

Том будет зашифрован с использованием доверенного платформенного модуля в качестве средства защиты. Если пользователь не уверен, какое средство защиты следует использовать для модуля, он может использовать параметр -protectors в manage-bde для отображения перечня средств. Для этого используйте следующую команду.

 manage-bde -protectors -get <volume>

Подготовка BitLocker с двумя средствами защиты

Другой пример: пользователь оборудования без модуля TPM желает добавить пароль и средство защиты на основе SID к тому операционной системы. В этом случае пользователь сначала добавляет средство защиты. Это можно сделать с помощью следующей команды.

manage-bde -protectors -add C: -pw -sid <user or group>

Для этой команды требуется указать, а затем подтвердить средство защиты, прежде чем добавлять его к тому. После включения средств защиты для тома пользователю нужно просто включить BitLocker.

Том данных

Тома данных используют для шифрования тот же синтаксис, что и тома операционных систем, но для выполнения операции не требуются средства защиты. Шифрование томов данных можно выполнить с помощью базовой команды manage-bde -on <drive letter> или сначала добавить к тому средства защиты. Рекомендуется добавить к тому с данными как минимум одно основное средство защиты и средство восстановления.

Включение BitLocker с паролем

Распространенным средством защиты тома с данными является средство защиты паролем. В приведенном ниже примере мы добавим средство защиты паролем к тому и включим BitLocker.

manage-bde -protectors -add -pw C:
manage-bde -on C:

Использование manage-bde для шифрования томов с помощью BitLocker

Шифрование томов с использованием командлетов BitLocker Windows PowerShell

Командлеты Windows PowerShell предоставляют альтернативный способ работы с BitLocker. С помощью сценариев Windows PowerShell администраторы могут с легкостью встраивать параметры BitLocker в имеющиеся сценарии. В приведенном ниже списке показаны доступные командлеты BitLocker.

Имя

Параметры

Add-BitLockerKeyProtector

-ADAccountOrGroup

-ADAccountOrGroupProtector

-Confirm

-MountPoint

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-WhatIf

Backup-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Disable-BitLocker

-Confirm

-MountPoint

-WhatIf

Disable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Enable-BitLocker

-AdAccountOrGroup

-AdAccountOrGroupProtector

-Confirm

-EncryptionMethod

-HardwareEncryption

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-SkipHardwareTest

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-UsedSpaceOnly

-WhatIf

Enable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Get-BitLockerVolume

-MountPoint

Lock-BitLocker

-Confirm

-ForceDismount

-MountPoint

-WhatIf

Remove-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Resume-BitLocker

-Confirm

-MountPoint

-WhatIf

Suspend-BitLocker

-Confirm

-MountPoint

-RebootCount

-WhatIf

Unlock-BitLocker

-AdAccountOrGroup

-Confirm

-MountPoint

-Password

-RecoveryKeyPath

-RecoveryPassword

-RecoveryPassword

-WhatIf

 

Как и manage-bde, командлеты Windows PowerShell обеспечивают больше возможностей настройки, чем панель управления. Как и в случае manage-bde, пользователям необходимо учитывать конкретные потребности шифруемого тома, прежде чем выполнять командлеты Windows PowerShell.

Для начала рекомендуется определить текущее состояние томов на компьютере. Это можно сделать с помощью командлета тома Get-BitLocker. Результат работы этого командлета отображает сведения о типе тома, средствах защиты, состоянии защиты и другие полезные сведения.

Иногда при использовании Get-BitLockerVolume выводятся не все средства защиты из-за недостатка свободного пространства. Если отображаются не все средства защиты, можно использовать конвейерную команду Windows PowerShell (|) для форматирования всего списка средств защиты.

Примечание  

В случае использования более четырех средств защиты для тома конвейерная команда может выйти за пределы видимой области экрана. Если тома имеют более четырех средств защиты, воспользуйтесь методом, описанным в следующем разделе, чтобы создать список всех средств защиты по идентификатору средства.

 

Get-BitLockerVolume C: | fl

Если необходимо удалить существующие средства защиты перед подготовкой BitLocker в томе, можно использовать командлет Remove-BitLockerKeyProtector. Для этого необходимо удалить GUID, связанный со средством защиты.

Простой сценарий может передавать значения, возвращенные каждым командлетом Get-BitLockerVolume, в другую переменную, как показано ниже.

$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector

Таким образом можно отобразить сведения в переменной $keyprotectors для определения GUID для каждого средства защиты.

С помощью этой информации можно удалить средство защиты ключа для определенного тома, воспользовавшись следующей командой.

Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"

Примечание  

Для выполнения командлета BitLocker необходимо заключить GUID средства защиты ключа в кавычки. Убедитесь, что весь GUID вместе со скобками включен в команду.

 

Том операционной системы

Использование командлетов BitLocker для Windows PowerShell аналогично работе со средством manage-bde для шифрования томов операционных систем. Windows PowerShell предоставляет пользователям широкие возможности. Например, пользователь может добавить нужное средство защиты в рамках команды для шифрования тома. Ниже приведены примеры распространенных пользовательских сценариев и действий по их выполнению с помощью командлетов BitLocker для Windows PowerShell.

Чтобы включить BitLocker только со средством защиты TPM, выполните следующие действия. Это можно сделать с помощью следующей команды.

Enable-BitLocker C:

В приведенном ниже примере добавляется одно средство защиты, средства защиты StartupKey и пропускается проверка оборудования BitLocker. В этом примере шифрование начинается сразу, без перезагрузки.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest

Том данных

Шифрование тома с данными с помощью Windows PowerShell ничем не отличается от шифрования томов операционных систем. Перед шифрованием диска следует добавить нужные средства защиты. В следующем примере к тому E добавляется средство защиты паролем с переменной $pw в качестве пароля. Переменная $pw хранится в виде значения SecureString и содержит указанный пользователем пароль. Наконец, начинается шифрование.

$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Использование средства защиты SID в Windows PowerShell

ADAccountOrGroup — это средство защиты Active Directory на основе SID. Это средство защиты можно добавлять как к томам операционных систем, так и к дискам с данными, хотя оно не разблокирует тома операционных систем в предзагрузочной среде. С этим средством защиты должен быть связан SID учетной записи или группы домена. BitLocker может защищать поддерживающий кластеры диск, добавляя средство защиты на основе SID для имени кластера (CNO), обеспечивающее правильную отработку отказа на диске и его разблокировку любым компьютером из кластера.

Предупреждение  

Средство защиты на основе SID требует использования дополнительного средства защиты (например, TPM, ПИН-кода, ключа восстановления и т. д.) при использовании с томами операционной системы.

 

Чтобы добавить средство защиты ADAccountOrGroup к тому, перед фактическим идентификатором SID домена или имени группы следует указать домен и обратную косую черту. В приведенном ниже примере учетная запись CONTOSO\Administrator добавляется в качестве средства защиты к тому G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Пользователям, которые хотят использовать SID учетной записи или группы, сначала необходимо определить SID, связанный с учетной записью. Чтобы получить SID учетной записи пользователя в Windows PowerShell, используйте следующую команду.

get-aduser -filter {samaccountname -eq "administrator"}

Примечание  

Для использования этой команды необходим компонент RSAT-AD-PowerShell.

 

Совет  

Помимо указанной выше команды Windows PowerShell, сведения о локальном пользователе и его группах можно найти с помощью команды WHOAMI /ALL. Для этого не требуется использовать дополнительные компоненты.

 

В приведенном ниже примере пользователь решает добавить средство защиты на основе SID домена к ранее зашифрованному тому операционной системы. Пользователь знает SID учетной записи или группы, которую желает добавить, поэтому использует следующую команду.

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

Примечание  

Средства защиты на основе Active Directory обычно используются для разблокировки томов, поддерживающих отказоустойчивый кластер.

 

Использование PowerShell для шифрования томов с помощью BitLocker

Проверка состояния BitLocker

Чтобы проверить состояние BitLocker определенного тома, администраторы могут просмотреть состояние диска в средстве панели управления BitLocker, в проводнике Windows, с помощью средства командной строки manage-bde или с использованием командлетов Windows PowerShell. Каждый вариант характеризуется различными уровнями детализации и простотой использования. Мы рассмотрим каждый из доступных методов в следующем разделе.

Проверка состояния BitLocker из панели управления

Проверка состояния BitLocker из панели управления — это самый распространенный метод, используемый большинством пользователей. После открытия состояние каждого тома отображается рядом с описанием тома и буквой диска. Ниже приведены доступные значения состояния, которые возвращаются панелью управления.

Состояние

Описание

Включено

BitLocker включен для тома

Отключено

BitLocker не включен для тома

Приостановлено

BitLocker приостановлен и не защищает том

Ожидание активации

BitLocker включен с пустым ключом средства защиты, поэтому для полной защиты требуются дополнительные действия

 

Если диск предварительно подготовить к работе с помощью BitLocker, состояние «Ожидание активации» отображается вместе с желтым восклицательным знаком у тома E. Это состояние означает, что при шифровании тома использовалось только пустое средство защиты. В этом случае том не будет защищен, и для обеспечения его полной защиты следует просто добавить ключ безопасности. Для добавления соответствующего средства защиты ключа администраторы могут использовать панель управления, средство manage-bde или интерфейсы WMI API. После завершения панель управления будет обновлена для отображения нового состояния.

С помощью панели управления администраторы могут включить BitLocker для запуска мастера шифрования диска BitLocker, а также добавить средство защиты, такое как ПИН-код, для тома операционной системы (или пароль, если модуль TPM отсутствует) или средство защиты в виде пароля или смарт-карты для защиты тома данных.

Перед изменением состояния тома отображается окно безопасности диска. Выбор варианта Активировать BitLocker приведет к завершению процесса шифрования.

После завершения активации средства защиты BitLocker отображается уведомление о завершении.

Проверка состояния BitLocker с помощью manage-bde

Администраторы, предпочитающие интерфейс командной строки, могут использовать команду manage-bde для проверки состояния тома. Manage-bde может предоставить больше сведений о томе, чем средства графического пользовательского интерфейса панели управления. Например, manage-bde может показать используемую версию BitLocker, тип шифрования и средства защиты, связанные с томом.

Чтобы проверить состояние тома с помощью manage-bde, используйте следующую команду.

manage-bde -status <volume>

Примечание  

Если буква тома связана с командой -status, отображается состояние всех томов на компьютере.

 

Проверка состояния BitLocker с помощью Windows PowerShell

Команды Windows PowerShell представляют собой другой способ опроса состояния BitLocker для томов. Как и manage-bde, командная строка Windows PowerShell характеризуется возможностью проверки состояния тома на удаленном компьютере.

Использование командлета Get-BitLockerVolume позволяет показать текущее состояние BitLocker для каждого тома в системе. Чтобы получить более подробные сведения по определенному тому, воспользуйтесь следующей командой.

Get-BitLockerVolume <volume> -Verbose | fl

Эта команда отображает сведения о методе шифрования, типе тома, средствах защиты ключа и т. д.

Подготовка BitLocker во время развертывания операционной системы

Администраторы могут включить BitLocker перед развертыванием операционной системы в среде предварительной установки Windows. Это можно сделать с помощью созданного случайным образом пустого ключа, который применяется к отформатированному тому с последующим шифрованием тома до запуска установки Windows. Если для шифрования используется параметр «Только занятое место на диске», который описан далее в этом документе, этот шаг занимает всего несколько секунд и хорошо подходит для стандартного развертывания.

Расшифровка томов BitLocker

Расшифровка томов удаляет с томов BitLocker и все связанные с ним средства защиты. Расшифровку следует применять, только если защита больше не нужна. Расшифровка BitLocker не должна применяться в качестве меры по устранению неполадок. BitLocker можно удалить с тома с помощью панели управления BitLocker, manage-bde или командлетов Windows PowerShell. Ниже мы подробнее рассмотрим каждый из этих методов.

Расшифровка томов с помощью панели управления BitLocker

Расшифровка BitLocker с помощью панели управления выполняется с использованием мастера. Панель управления можно вызвать в проводнике Windows или открыть ее напрямую. После открытия панели управления BitLocker пользователь должен выбрать параметр «Отключить BitLocker», чтобы начать соответствующий процесс.

После этого следует выбрать вариант «Продолжить» в диалоговом окне подтверждения. После подтверждения отключения BitLocker начинается процесс расшифровки диска с отображением состояния в панели управления.

Панель управления не сообщает о ходе выполнения расшифровки, однако ход выполнения отображается в области уведомлений на панели задач. Выбор значка в области уведомлений приведет к открытию модального диалогового окна с индикатором хода выполнения.

После завершения расшифровки состояние диска будет обновлено в панели управления, и диск будет готов к шифрованию.

Расшифровка томов с использованием интерфейса командной строки manage-bde

Расшифровка томов с помощью manage-bde достаточно проста. Преимущество расшифровки с использованием manage-bde заключается в том, что для запуска процесса не требуется подтверждения пользователя. Manage-bde использует команду -off для запуска процесса шифрования. Пример команды расшифровки

manage-bde -off C:

Эта команда отключает средства защиты на время расшифровки тома и удаляет все средства защиты после расшифровки. При необходимости проверить состояние расшифровки можно воспользоваться следующей командой.

manage-bde -status C:

Расшифровка томов с использованием командлетов BitLocker Windows PowerShell

Расшифровка с использованием командлетов Windows PowerShell не отличается сложностью, как и использование manage-bde. Дополнительное преимущество Windows PowerShell заключается в возможности расшифровки нескольких дисков за один проход. В приведенном ниже примере у пользователя имеется три зашифрованных тома, которые необходимо расшифровать.

С помощью команды Disable-BitLocker он может удалить все средства защиты и снять шифрование одновременно без необходимости ввода дополнительных команд. Ниже показан пример этой команды.

DisableBitLocker

Если пользователь не захотел указывать каждую точку подключения по отдельности, использование параметра -MountPoint для массива может привести к циклическому выполнению однострочной команды без необходимости в дополнительном пользовательском вводе. Пример команды:

Disable-BitLocker -MountPoint E:,F:,G:

См. также

Подготовка организации к использованию BitLocker: планирование и политики

Руководство по восстановлению BitLocker

BitLocker: как включить сетевую разблокировку

Обзор BitLocker