BitLocker: использование средств шифрования диска BitLocker для управления BitLocker

  • Статья

В этой статье для ИТ-специалистов описано использование средств для управления BitLocker.

В средства шифрования диска BitLocker входят программы командной строки manage-bde и repair-bde, а также командлеты Windows PowerShell для BitLocker.

Как manage-bde, так и командлеты для BitLocker позволяют решить любую задачу, выполнимую с помощью панели управления BitLocker. Кроме того, они подойдут для автоматического развертывания и других сценариев, в которых применяются сценарии.

Repair-bde — это особое средство, предназначенное для аварийного восстановления в тех случаях, когда защищенный с помощью BitLocker диск не удается разблокировать обычным способом или с помощью агента восстановления.

  1. Manage-bde

  2. Repair-bde

  3. Командлеты для BitLocker в Windows PowerShell

Manage-bde

Manage-bde — это программа командной строки, позволяющая создавать сценарии для выполнения операций BitLocker. В manage-bde доступны дополнительные параметры, которых нет на панели управления BitLocker. Полный список параметров manage-bde см. в справочнике по manage-bde.

В manage-bde доступно меньше параметров по умолчанию, эта программа требует больше усилий для настройки BitLocker. Например, используя только команду manage-bde -on для тома данных, можно полностью зашифровать том без проверки подлинности. Несмотря на успешное выполнение этой команды, для включения защиты BitLocker на зашифрованном таким образом томе все еще требуется участие пользователя, так как для полной защиты тома необходимо добавить метод проверки подлинности. В следующих разделах представлены примеры распространенных сценариев использования manage-bde.

Использование manage-bde с томами операционной системы

Ниже перечислены примеры основных допустимых команд для томов операционной системы. В целом, используя только команду manage-bde -on <drive letter>, можно зашифровать том операционной системы с использованием доверенного платформенного модуля без ключа восстановления. Но во многих средах требуется более надежная защита, например пароли или ПИН-коды, а также возможность восстанавливать данные с помощью ключа восстановления. Рекомендуем добавить для тома операционной системы как минимум одно основное средство защиты и средство восстановления.

При использовании manage-bde рекомендуем определить состояние тома в целевой системе. Для определения состояния тома используйте следующую команду:

manage-bde -status

Эта команда возвращает список томов целевой системы, текущее состояние шифрования и тип каждого тома (том операционной системы или том данных).

Следующий пример иллюстрирует включение BitLocker на компьютере без доверенного платформенного модуля. Прежде чем приступать к шифрованию, следует создать ключ запуска для BitLocker и сохранить его на USB-накопителе. Когда вы включите BitLocker для тома операционной системы, BitLocker потребуется доступ к USB-устройству флэш-памяти для получения ключа шифрования (в этом примере буква диска E представляет USB-накопитель). Вам будет предложено перезагрузить компьютер, чтобы завершить процесс шифрования.

manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:

Примечание  

Когда шифрование будет завершено, для запуска операционной системы необходимо вставить USB-накопитель с ключом запуска.

 

В качестве альтернативы предохранителю ключа запуска на оборудовании без доверенного платформенного модуля можно использовать пароль и ADaccountorgroup для защиты тома операционной системы. В этом сценарии сначала добавляются предохранители. Это делается с помощью следующей команды:

manage-bde -protectors -add C: -pw -sid <user or group>

При использовании этой команды требуется ввести и подтвердить предохранитель пароля, прежде чем добавлять его для тома. Когда для тома включены средства защиты, можно включить BitLocker.

На компьютерах с доверенным платформенным модулем можно зашифровать том операционной системы, не задавая средства защиты, с помощью manage-bde. Для этого введите команду:

manage-bde -on C:

Том будет зашифрован, при этом в качестве средства защиты по умолчанию будет указан доверенный платформенный модуль. Если вы не уверены, доступен ли доверенный платформенный модуль, вы можете просмотреть список доступных для тома средств защиты, запустив следующую команду:

 manage-bde -protectors -get <volume>

Использование manage-bde с томами данных

Тома данных используют для шифрования тот же синтаксис, что и тома операционных систем, но при использовании томов данных не требуются средства защиты для завершения операции. Вы можете шифровать тома данных с помощью базовой команды manage-bde -on <drive letter> или сначала добавить для этих томов дополнительные средства защиты. Рекомендуем добавить для тома данных как минимум одно основное средство защиты и средство восстановления.

Распространенное средство защиты тома данных — предохранитель пароля. Приведенный ниже пример покажет, как добавить предохранитель пароля для тома, а затем включить BitLocker.

manage-bde -protectors -add -pw C:
manage-bde -on C:

Repair-bde

Вы можете столкнуться с проблемой повреждения области жесткого диска, в которой BitLocker хранит критически важные данные. Такая проблема может быть вызвана сбоем жесткого диска или неожиданным завершением работы Windows.

Средство восстановления BitLocker (Repair-bde) можно использовать для доступа к зашифрованным данным на сильно поврежденном жестком диске, зашифрованном с помощью BitLocker. Repair-bde может восстановить критически важные части диска и спасти восстановимые данные, если для расшифровки данных используется допустимый пароль восстановления или ключ восстановления. Если метаданные BitLocker на диске повреждены, у вас должна быть возможность предоставить резервную копию пакета ключей вдобавок к паролю восстановления или ключу восстановления. Резервная копия пакета ключей создается в доменных службах Active Directory (AD DS), если вы использовали параметры по умолчанию для резервного копирования в AD DS. С помощью этого пакета ключей и пароля восстановления или ключа восстановления вы можете расшифровать части защищенного BitLocker диска, если он поврежден. Каждый пакет ключей можно использовать только для диска с соответствующим идентификатором. Получить этот пакет ключей из AD DS можно с помощью средства просмотра пароля восстановления BitLocker.

Совет  

Если вы не создаете в AD DS резервные копии данных для восстановления или хотите сохранять пакеты ключей в другом месте, вы можете использовать команду manage-bde -KeyPackage, чтобы создать пакет ключей для тома.

 

Программа командной строки Repair-bde предназначена для тех случаев, когда операционная система не запускается или не удается запустить агент восстановления BitLocker. Использовать Repair-bde следует при соблюдении следующих условий:

  1. Диск зашифрован с помощью BitLocker.

  2. Windows не запускается, или не удается запустить агент восстановления BitLocker.

  3. На зашифрованном диске нет копии данных.

Примечание  

Повреждение диска может быть не связано с BitLocker. Следовательно, рекомендуем попробовать другие средства для диагностики и устранения проблемы с диском, прежде чем применять средство восстановления BitLocker. В среде восстановления Windows (Windows RE) доступны дополнительные варианты восстановления компьютеров.

 

К Repair-bde применяются следующие ограничения:

  • Программа командной строки Repair-bde не может восстановить диск, на котором произошел сбой при шифровании или расшифровке.

  • При использовании этой программы командной строки предполагается, что если диск зашифрован, то зашифрован полностью.

Дополнительные сведения об использовании repair-bde см. в статье Repair-bde.

Командлеты для BitLocker в Windows PowerShell

Командлеты Windows PowerShell позволяют администраторам по-новому работать с BitLocker. С помощью сценариев Windows PowerShell администраторы могут с легкостью встраивать параметры BitLocker в имеющиеся сценарии. В приведенном ниже списке показаны доступные командлеты BitLocker.

Имя

Параметры

Add-BitLockerKeyProtector

-ADAccountOrGroup

-ADAccountOrGroupProtector

-Confirm

-MountPoint

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-WhatIf

Backup-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Disable-BitLocker

-Confirm

-MountPoint

-WhatIf

Disable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Enable-BitLocker

-AdAccountOrGroup

-AdAccountOrGroupProtector

-Confirm

-EncryptionMethod

-HardwareEncryption

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-SkipHardwareTest

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-UsedSpaceOnly

-WhatIf

Enable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Get-BitLockerVolume

-MountPoint

Lock-BitLocker

-Confirm

-ForceDismount

-MountPoint

-WhatIf

Remove-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Resume-BitLocker

-Confirm

-MountPoint

-WhatIf

Suspend-BitLocker

-Confirm

-MountPoint

-RebootCount

-WhatIf

Unlock-BitLocker

-AdAccountOrGroup

-Confirm

-MountPoint

-Password

-RecoveryKeyPath

-RecoveryPassword

-RecoveryPassword

-WhatIf

 

Благодаря manage-bde и командлетам Windows PowerShell доступны дополнительные возможности настройки, отсутствующие на панели управления. Как и при использовании manage-bde, прежде чем запускать командлеты Windows PowerShell, пользователям необходимо учесть особенности конкретного шифруемого тома.

Для начала рекомендуем определить текущее состояние томов на компьютере. Это можно сделать с помощью командлета Get-BitLockerVolume.

Командлет Get-BitLockerVolume выводит сведения о типе тома, средствах защиты, состоянии защиты, а также другие данные.

Совет  

Иногда при использовании Get-BitLockerVolume выводятся не все средства защиты из-за недостаточного размера дисплея. Если все средства защиты для тома не отображаются, воспользуйтесь вертикальной чертой (|) в Windows PowerShell для форматирования полного списка средств защиты.

Get-BitLockerVolume C: | fl

 

Чтобы удалить существующие средства защиты перед подготовкой BitLocker для тома, воспользуйтесь командлетом Remove-BitLockerKeyProtector. Для этого необходимо удалить GUID, связанный со средством защиты.

Простой сценарий может передать выходные значения Get-BitLockerVolume по конвейеру другой переменной, как показано ниже.

$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector

Это позволяет выводить сведения в переменной $keyprotectors, чтобы определить GUID каждого средства защиты.

С помощью этих сведений вы можете удалить предохранитель ключа для определенного тома с помощью следующей команды:

Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"

Примечание  

Чтобы можно было запустить командлет для BitLocker, необходимо заключить GUID предохранителя ключа в кавычки. Убедитесь, что весь GUID, включая скобки, указан в команде.

 

Использование командлетов Windows PowerShell для BitLocker с томами операционных систем

Использовать командлеты Windows PowerShell для BitLocker можно так же, как и средство manage-bde для шифрования томов операционных систем. Windows PowerShell предоставляет пользователям свободу действий. Например, пользователь может задать нужное средство защиты в команде для шифрования тома. Ниже приведены примеры распространенных пользовательских сценариев и соответствующие командлеты Windows PowerShell для BitLocker.

В следующем примере показано, как включить BitLocker для диска операционной системы, используя только доверенный платформенный модуль:

Enable-BitLocker C:

В приведенном ниже примере добавляется одно дополнительное средство защиты, StartupKey, и пропускается тест оборудования при помощи BitLocker. В этом примере шифрование начинается сразу, без перезагрузки.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest

Использование командлетов Windows PowerShell для BitLocker с томами данных

Шифрование тома данных с помощью Windows PowerShell ничем не отличается от шифрования томов операционных систем. Перед шифрованием диска следует добавить нужные средства защиты. В следующем примере к тому E добавляется средство защиты паролем с переменной $pw в качестве пароля. Переменная $pw хранится в виде значения SecureString и содержит указанный пользователем пароль.

$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Использование учетной записи AD или предохранителя группы в Windows PowerShell

Средство защиты ADAccountOrGroup, появившееся в Windows 8 и Windows Server 2012, — предохранитель на основе ИД безопасности в Active Directory. Это средство защиты можно добавлять как к томам операционной системы, так и к томам данных. Но с его помощью невозможно разблокировать тома операционной системы в предзагрузочной среде. С этим средством защиты должен быть связан ИД безопасности группы или учетной записи домена. BitLocker может защищать поддерживающий кластеры диск, добавляя предохранитель на основе ИД безопасности для объекта имени кластера (CNO), который обеспечивает правильную отработку отказа диска на любом компьютере из кластера и разблокировку этого диска там же.

Предупреждение  

Если предохранитель ADAccountOrGroup используется для томов операционной системы, необходимо дополнительное средство защиты (например, доверенный платформенный модуль, ПИН-код или ключ восстановления).

 

Чтобы можно было добавить предохранитель ADAccountOrGroup для тома, нужно ввести доменное имя и обратную косую черту перед фактическим ИД безопасности домена или именем группы. В приведенном ниже примере учетная запись CONTOSO\Administrator добавляется для тома G в качестве средства защиты.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Пользователям, которые хотят использовать ИД безопасности для учетной записи или группы, сначала необходимо определить ИД безопасности, связанный с учетной записью. Чтобы получить определенный ИД безопасности для учетной записи пользователя в Windows PowerShell, используйте следующую команду:

Примечание  

Использование этой команды требует компонента RSAT-AD-PowerShell.

 

get-aduser -filter {samaccountname -eq "administrator"}

Совет  

Помимо указанной выше команды PowerShell, сведения о пользователе, выполнившем локальный вход, и его принадлежности к группам можно найти с помощью синтаксиса WHOAMI /ALL. Для этого не требуется использовать дополнительные компоненты.

 

В следующем примере к ранее зашифрованному тому операционной системы добавляется предохранитель ADAccountOrGroup с помощью ИД безопасности для учетной записи:

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500

Примечание  

Средства защиты на основе Active Directory обычно используются для разблокировки томов, поддерживающих отказоустойчивые кластеры.

 

Дополнительные сведения

Обзор BitLocker

Вопросы и ответы по BitLocker

Подготовка организации к использованию BitLocker: планирование и политики

BitLocker: включение сетевой разблокировки

BitLocker: развертывание в Windows Server 2012