Подготовка организации к использованию BitLocker: планирование и политики

Статья
04/01/2016

В этом разделе для ИТ-специалистов разъясняется, как планировать развертывание BitLocker.

При проектировании стратегии развертывания BitLocker определите необходимые политики и требования к конфигурации на основе бизнес-требований своей организации. Следующие разделы будут полезны при сборе сведений, которые можно использовать в процессе принятия решений о развертывании систем BitLocker и управления ими.

Аудит среды
Ключи шифрования и проверка подлинности
Конфигурации оборудования TPM
Конфигурации оборудования без TPM
Вопросы конфигурации дисков
Подготовка BitLocker
Шифрование только занятого места на диске
Вопросы доменных служб Active Directory
Поддержка FIPS для средства защиты восстановления пароля
Параметры групповой политики BitLocker

Аудит среды

Для планирования развертывания BitLocker на предприятии прежде всего необходимо изучить имеющуюся среду. Проведите неформальный аудит для определения текущих политик, процедур и аппаратной среды. Начните с рассмотрения существующих корпоративных политик безопасности, поскольку они имеют отношение к ПО для шифрования дисков. Если в вашей организации в настоящее время не используется ПО для шифрования дисков, то ни одной такой политики не будет существовать. Если ПО для шифрования дисков используется, то, возможно, необходимо изменить политики организации с учетом возможностей BitLocker.

Для документирования действующих в организации политик в отношении шифрования дисков ответьте на следующие вопросы:

Имеются ли политики для определения того, какие компьютеры будут использовать BitLocker, а какие нет?
Какие существуют политики для управления хранилищем паролей и ключей для восстановления?
Какие политики применяются для проверки удостоверений пользователей, которым необходимо выполнить восстановление BitLocker?
Какие существуют политики для управления кругом лиц, имеющих доступ к данным для восстановления в организации?
Какие существуют политики для управления списанием или выводом компьютера из эксплуатации?

Ключи шифрования и проверка подлинности

BitLocker помогает предотвратить несанкционированный доступ к данным на утерянных или украденных компьютерах путем:

шифрования всего тома операционной системы Windows на жестком диске;
проверки целостности процесса загрузки.

Доверенный платформенный модуль (TPM) — аппаратный компонент, устанавливаемый производителями на многие новые компьютеры. Совместно с BitLocker он обеспечивает защиту данных пользователей и предотвращает несанкционированный доступ к компьютеру, пока система находится вне сети.

Кроме того, BitLocker позволяет блокировать обычный процесс запуска до тех пор, пока пользователь не укажет персональный идентификационный номер (PIN) или не вставит съемное USB-устройство, например устройство флэш-памяти, содержащее ключ запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и предотвращают запуск компьютера или возобновление работы из режима гибернации, если не указан правильный PIN-код или не предоставлен ключ запуска.

На компьютерах без модуля TPM версии 1.2 или более поздней можно использовать BitLocker для шифрования тома операционной системы Windows. Однако при использовании этого варианта для запуска компьютера или возобновления его работы из режима гибернации необходимо, чтобы пользователь вставил ключ запуска USB. Кроме того, он не обеспечивает проверку целостности системы перед запуском, в отличие от BitLocker, применяемого вместе с TPM.

Средства защиты ключа BitLocker

Средство защиты ключа	Описание
Доверенный платформенный модуль	Аппаратное устройство, используемое для формирования безопасной области доверия. BitLocker поддерживает только доверенный платформенный модуль версии 1.2 и выше.
PIN-код	Вводимое пользователем числовое средство защиты ключа, которое можно использовать только в дополнение к доверенному платформенному модулю.
Улучшенный PIN-код	Вводимый пользователем буквенно-цифровой предохранитель ключа, который можно использовать только в дополнение к доверенному платформенному модулю.
Ключа запуска	Ключ шифрования, который может храниться на большинстве съемных носителей. Этот предохранитель ключа можно использовать только на компьютерах без TPM или в сочетании с TPM для более надежной безопасности.
Пароль восстановления	Номер из 48 цифр, используемый для разблокировки тома, когда он находится в режиме восстановления. Номера часто можно набирать на обычной клавиатуре. Если цифры на обычной клавиатуре не отвечают, для ввода номера всегда можно воспользоваться функциональными клавишами (F1–F10).
Ключ восстановления	Ключ шифрования, хранящийся на съемном носителе, который можно использовать для восстановления данных, зашифрованных на томе BitLocker.

Методы проверки подлинности BitLocker

Метод проверки подлинности	Требуется взаимодействие с пользователем	Описание
Только TPM	Нет	TPM проверяет компоненты, загружаемые на ранних этапах.
TPM + PIN-код	Да	TPM проверяет компоненты, загружаемые на ранних этапах. Для продолжения процесса запуска, а также перед разблокировкой диска пользователь должен ввести правильный PIN-код. В целях защиты PIN-кода от атак методом перебора модуль TPM перейдет в режим блокировки, если неверный PIN-код введен несколько раз подряд. Число повторных попыток, которые после которого активируется режим блокировки, можно изменить.
TPM + сетевой ключ	Нет	TPM успешно проверил компоненты, загружаемые на ранних этапах, и получил действительный зашифрованный сетевой ключ от сервера WDS. Этот метод проверки подлинности обеспечивает автоматическое разблокирование томов операционной системы при перезагрузке системы, обеспечивая при этом многофакторную проверку подлинности.
TPM + ключ запуска	Да	TPM успешно проверил компоненты, загружаемые на ранних этапах, и вставлено USB-устройство флэш-памяти с ключом запуска.
Только ключ запуска	Да	Пользователь получает запрос вставить USB-устройство флэш-памяти с ключом восстановления и/или запуска, и перезагрузить компьютер.

Будут ли поддерживаться компьютеры без TPM версии 1.2 или выше?

Определение, будет ли в вашей среде обеспечена поддержка компьютеров, не имеющих TPM версии 1.2 или выше. Если вы решили обеспечить поддержку BitLocker на компьютерах этого типа, то для загрузки системы пользователю необходимо использовать ключ запуска USB. Для этого требуются дополнительные процессы поддержки аналогично многофакторной проверке подлинности.

В каких областях вашей организации требуется базовый уровень защиты данных?

Метод проверки подлинности с использованием только доверенного платформенного модуля обеспечит наиболее прозрачное взаимодействие с пользователем для организаций, которым в соответствии с политиками безопасности требуется базовый уровень защиты данных. Он имеет самую низкую совокупную стоимость владения. Метод с использованием только доверенного платформенного модуля также может быть более подходящим для компьютеров, работающих автоматически, или компьютеров, которым требуется автоматическая перезагрузка.

Однако метод проверки подлинности с использованием только доверенного платформенного модуля обеспечивает самый низкий уровень защиты данных. Этот метод проверки подлинности защищает от атак, изменяющих компоненты, загружаемые на ранних этапах. Однако на уровень защиты может повлиять наличие уязвимых мест в аппаратном обеспечении или в компонентах, которые загружаются на ранних этапах. Методы многофакторной проверки подлинности BitLocker значительно повышают общий уровень защиты данных.

Каким областям вашей организации требуется более высокий уровень защиты данных?

Если в вашей организации имеются области, в которых данные, хранящиеся на компьютерах пользователей, считаются в высокой степени конфиденциальными, рассмотрим рекомендации по развертыванию BitLocker с многофакторной проверкой подлинности в таких системах. Требование ввести PIN-код значительно повышает уровень защиты системы. Также можно использовать функцию сетевой разблокировки BitLocker, чтобы эти компьютеры можно было автоматически разблокировать при подключении к доверенной проводной сети, которая может предоставить ключ сетевой разблокировки.

Какой метод многофакторной проверки подлинности является предпочтительным в вашей организации?

Отличия защиты с использованием методов многофакторной проверки подлинности нелегко выразить количественно. Учитывайте влияние каждого метода проверки подлинности на работу службы технической поддержки, образование пользователей, производительность пользователей и процессы управления автоматизированными системами.

Конфигурации оборудования TPM

В своем плане развертывания укажите, какие аппаратные платформы на базе TPM будут поддерживаться. Документируйте аппаратные модули от выбранного вами изготовителя оборудования, чтобы их конфигурацию можно было тестировать и поддерживать. Оборудование TPM требует особого подхода на всех этапах планирования и развертывания.

Состояния наличия TPM

Из каждого из этих состояний наличия TPM модуль TPM может перейти в другое состояние (например, из выключенного во включенное состояние). Состояния не исключают друг друга.

Состояние	Описание
Включено	Большинство функций TPM доступны. TPM можно включить и отключить несколько раз за период загрузки при принятии права владения.
Отключено	TPM ограничивает большинство операций. Исключения: предоставление сведений о возможностях модуля TPM, расширение и сброс функций реестра конфигурации платформы (PCR), выполнение хэширования и базовая инициализация. В течение периода загрузки модуль TPM может включаться и выключаться несколько раз.
Активирован	Большинство функций TPM доступны. TPM можно активировать и деактивировать только через физическое присутствие, которое требует перезагрузки.
Деактивирован	То же, что и отключенное состояние, за исключением того, что в деактивированном и включенном состоянии можно вступать во владение. TPM можно активировать и деактивировать только через физическое присутствие, которое требует перезагрузки.
Имеющий владельца	Большинство функций TPM доступны. TPM имеет ключ подтверждения и корневой ключ хранилища; владелец располагает данными авторизации владельца.
Не имеющий владельца	TPM не имеет корневого ключа хранилища и может содержать или не содержать ключ подтверждения.

Важно

BitLocker может использовать TPM, находящийся только в следующих состояниях: включен, активирован или имеет владельца. Все операции доступны, когда TPM находится в этом состоянии и только когда он в этом состоянии.

Состояние TPM существует независимо от операционной системы компьютера. Когда TPM включен, активирован и имеет владельца, состояние TPM сохраняется при переустановке операционной системы.

Ключи подтверждения

Чтобы TPM мог быть использован BitLocker, модуль должен содержать ключ подтверждения, представляющий собой пару ключей RSA. Закрытая часть пары ключей находится внутри TPM, никогда не раскрывается и недоступна за пределами TPM. Если TPM не содержит ключ подтверждения, BitLocker вынудит TPM автоматически сформировать его в рамках процесса установки BitLocker.

Ключ подтверждения может быть создан в различные моменты жизненного цикла TPM, но только один раз за весь срок эксплуатации TPM. Если ключ подтверждения для TPM не существует, его необходимо создать, чтобы можно было вступить во владение TPM.

Подробные сведения о доверенном платформенном модуле и организации TCG см. в статье «Trusted Computing Group: технические характеристики доверенного платформенного модуля (TPM)» (https://go.microsoft.com/fwlink/p/?linkid=69584).

Конфигурации оборудования без TPM

Устройства, не имеющие TPM, все же можно защитить путем шифрования диска. Для рабочих пространств Windows To Go можно реализовать защиту BitLocker с помощью пароля на запуск, а на компьютерах без доверенного платформенного модуля можно использовать ключ запуска.

Используйте следующие вопросы для определения проблем, которые могут повлиять на развертывание в конфигурации без TPM.

Имеются ли правила в отношении сложности паролей?
Выделен ли бюджет на USB-устройства флэш-памяти для каждого из этих компьютеров?
Поддерживают ли существующие устройства, в которых нет TPM, USB-устройства во время загрузки?

Протестируйте отдельные аппаратные платформы помощью функции проверки системы BitLocker при включении BitLocker. Проверка системы обеспечит возможность BitLocker прочесть данные восстановления и ключи шифрования с USB-устройства перед шифрованием тома. Компакт-диски и диски DVD нельзя использовать в качестве устройства хранения блока. Их также нельзя использовать для хранения материалов для восстановления BitLocker.

Вопросы конфигурации дисков

Для правильной работы BitLocker требуется определенная конфигурация дисков. BitLocker требуется два раздела, отвечающие следующим требованиям.

Раздел с операционной системой содержит операционную систему и ее вспомогательные файлы. Он должен быть отформатирован в файловую систему NTFS
Системный раздел (или загрузочный раздел) содержит файлы, которые необходимы для загрузки Windows после того, как встроенное ПО BIOS или UEFI подготовит аппаратные компоненты системы. BitLocker не включен на этом разделе. Для работы BitLocker системный раздел не должен быть зашифрован, при этом на нем не должна находиться операционная система. На платформах UEFI системный раздел необходимо форматировать в файловую систему FAT32. На платформах BIOS системный раздел необходимо форматировать в файловую систему NTFS. Его размер должен быть не менее 350 МБ.

Программа установка Windows автоматически настраивает диски компьютера для обеспечения поддержки шифрование BitLocker.

Среда восстановления Windows (Windows RE) представляет собой расширяемую платформу восстановления на основе среды предварительной установки Windows (Windows PE). Когда не удается загрузить компьютер, Windows автоматически переходит в эту среду, а средство восстановления при загрузке в среде восстановления Windows автоматизирует процедуру диагностики и исправления копии Windows, которая не загружается. Windows RE также содержит драйверы и средства, необходимые для разблокировки тома, защищенного BitLocker, путем предоставления ключа или пароля восстановления. Для использования Windows RE совместно с BitLocker образ загрузки среды восстановления Windows должен находиться на томе, который не защищен BitLocker.

Windows RE также можно использовать с других загрузочных носителей (а не только с локального жесткого диска). Если вы решили не устанавливать среду восстановления Windows на локальный жесткий диск компьютера, защищенного BitLocker, для восстановления можно будет воспользоваться другими способами загрузки, например службами развертывания Windows, компакт-диском или USB-устройством флэш-памяти.

Подготовка BitLocker

В Windows Vista и Windows 7 функция BitLocker подготавливается после установки для системы и томов данных с помощью интерфейса командной строки manage-bde или интерфейса пользователя панели управления. В более новых операционных системах BitLocker можно легко подготовить еще до установки операционной системы. Для подготовки требуется, чтобы компьютер был оборудован TPM.

Чтобы проверили состояние BitLocker определенного тома, администраторы могут посмотреть на состояние диска в приложении панели управления BitLocker или в проводнике Widnows. Состояние «Ожидает активации» с желтым значком с восклицательным знаком означает, что диск был подготовлен для BitLocker. Это состояние означает, что при шифровании тома использовалось только простое средство защиты. В этом случае том не будет защищен, и, чтобы обеспечить его полную защиту, следует просто добавить ключ безопасности. Для добавления соответствующего предохранителя ключа администраторы могут воспользоваться функциями панели управления, командой manage-bde или API-интерфейсами WMI, после чего состояние тома будет обновлено.

При использовании параметров панели управления администраторы могут включить BitLocker и выполнить действия в мастере для добавления такого средства защиты, как PIN-код к тому операционной системы (или пароля в случае отсутствии TPM) либо пароля или смарт-карты к тому данных. В этом случае перед изменением состояния тома открывается окно безопасности диска.

Администраторы могут включить BitLocker перед развертыванием операционной системы в среде предварительной установки Windows (WinPE). Это делается с помощью средства защиты созданного случайным образом пустого ключа, которое применяется к отформатированному тому, с последующим шифрованием тома до запуска установки Windows. Если для шифрования используется параметр «Только занятое место на диске», на выполнение этого действия требуется всего несколько секунд, поэтому оно отлично подходит для внедрения в стандартные процессы развертывания.

Шифрование только занятого места на диске

Мастер установки BitLocker предоставляет администраторам возможность выбрать метод шифрования только занятого места на диске или полного шифрования при включении BitLocker для тома. Администраторы могут использовать новый параметр групповой политики BitLocker для включения шифрования только занятого места на диске или полного шифрования диска.

При запуске мастера установки BitLocker необходимо выбрать метод проверки подлинности (для томов данных можно выбрать пароль и смарт-карту). После того как метод будет выбран, а ключ восстановления сохранен, мастер предложит выбрать тип шифрования диска: только занятое место на диске или шифрование всего диска.

Только занятое место на диске означает, что будет зашифрована только часть диска, содержащая данные. Незанятое место останется незашифрованным. Благодаря этому процесс шифрования выполняется гораздо быстрее, особенно на новых компьютерах и дисках с данными. Если включить BitLocker, выбрав этот метод, часть диска, занятого данными, будет постоянно шифроваться по мере добавления данных, поэтому на диске никогда не будет незашифрованных данных.

Полное шифрование диска означает, что весь диск будет зашифрован, независимо от того, хранятся ли на нем данные или нет. Это полезно для дисков, назначение которых было изменено, и они могут содержать остатки данных от предыдущего варианта использования.

Вопросы доменных служб Active Directory

BitLocker интегрируется с доменными службами Active Directory (AD DS) для обеспечения централизованного управления ключами. По умолчанию в Active Directory не сохраняется никакая информация для восстановления. Администраторы могут настроить параметры групповой политики, чтобы включить резервное копирование данных восстановления BitLocker или доверенного платформенного модуля. Перед тем как настраивать эти параметры, убедитесь, что для выполнения резервного копирования были предоставлены права доступа.

По умолчанию администраторы домена являются единственными пользователями, которые получат доступ к данным восстановления BitLocker. При планировании процесса поддержки определите, каким частям вашей организации необходим доступ к данным восстановления BitLocker. Используйте эти данные для определения того, как соответствующие права будут делегированы в вашей среде AD DS.

Рекомендуется требовать резервное копирование в AD DS данных восстановления как для доверенного платформенного модуля, так и для BitLocker. Реализовать это можно путем настройки приведенных далее параметров групповой политики для компьютеров, защищенных BitLocker.

Параметр групповой политики BitLocker	Конфигурация
Шифрование диска BitLocker: включение резервного копирования BitLocker в доменные службы Active Directory	Требование резервного копирования данных BitLocker (пароли и пакеты ключей) в AD DS
Службы доверенного платформенного модуля: включение резервного копирования TPM в доменные службы Active Directory	Требование резервного копирования TPM в AD DS

Следующие данные восстановления будут сохранены для каждого объекта компьютера.

Пароль восстановления

Пароль восстановления, состоящий из 48 цифр, используемый для восстановления защищенного BitLocker тома. Пользователи вводят этот пароль для разблокировки тома при переходе BitLocker в режим восстановления.
Данные пакета ключа

С помощью этого пакета ключа и пароля восстановления вы сможете расшифровать части тома, защищенного BitLocker, если диск сильно поврежден. Каждый пакет ключа будет работать только с томом, для которого он был создан, что можно определить по соответствующему идентификатору тома.
Хэш пароля авторизации владельца TPM

При вступлении во владение TPM можно сформировать хэш пароля владельца и сохранить его в AD DS. Затем эти сведения можно будет использовать для сброса владельца TPM.

Начиная с Windows 8 изменение способа сохранения значения авторизации владельца TPM было внедрено в схему AD DS. Значение авторизации владельца TPM теперь сохраняется в отдельном объекте, который привязывается к объекту-компьютеру. Это значение сохранялось как свойство в самом объекте-компьютере для схем по умолчанию Windows Server 2008 R2 и более поздних версий.

Чтобы воспользоваться этой интеграцией, вам необходимо обновить свои контроллеры домена до Windows Server 2012 или расширить схему Active Directory и настраивать объекты групповой политики специально для BitLocker.

Примечание

Учетная запись, которую вы используете для обновления схемы Active Directory, должна входить в группу администраторов схемы.

Контроллеры домена Windows Server 2012 располагают схемой по умолчанию для резервного копирования сведений об авторизации владельца TPM в отдельном объекте. Если контроллер домена не обновлен до Windows Server 2012, необходимо расширить схему для поддержки этого изменения.

Поддержка компьютеров под управлением Windows 8 и более поздних версий, которые управляются контроллером домена Windows 2008 или Windows Server 2003

Есть два расширения схемы, которые можно скопировать и добавить в свою схему AD DS.

TpmSchemaExtension.ldf

Это расширение схемы обеспечивает согласованность со схемой Windows Server 2012. После реализации этого изменения сведения об авторизации владельца TPM сохраняются в отдельном объекте TPM, связанном с соответствующим объектом-компьютером. Обновить объект TPM может только объект-компьютер, создавший его. Это означает, что никакие последующие обновления объектов TPM нельзя будет произвести в сценариях с двойной загрузкой или сценариях, в которых образ компьютера создается заново, в результате чего создается новые объекты-компьютеры AD. Для поддержки таких сценариев было создано это обновление схемы.
TpmSchemaExtensionACLChanges.ldf

Это обновление схемы изменяет списки управления доступом объекта TPM, делая их менее строгими, с тем чтобы любая последующая операционная система, которая вступает во владение объектом-компьютером, могла обновить значение авторизации владельца в AD DS. Однако это решение менее безопасно, так как теперь любой компьютер в домене может обновить OwnerAuth объекта TPM (хотя он не может прочесть OwnerAuth), в результате чего DOS-атаки можно производить из пределов организации. Рекомендованное средство смягчения этого риска заключается в регулярном резервном копировании объектов TPM и включении аудита для отслеживания изменений этих объектов.

Чтобы скачать расширения схемы, см. раздел Расширения схемы AD DS для поддержки резервного копирования TPM.

Если у вас имеется контроллер домена Windows Server 2012 в вашей среде, расширения схемы уже на своем месте, не требующие обновления.

Внимание

Для настройки объектов групповой политики с целью резервного копирования информации TPM и BitLocker в AD DS как минимум на одном из контроллеров домена в лесу должна работать ОС Windows Server 2008 R2 или старше.

Если резервное копирование значения авторизации владельца TPM в Active Directory включается в среде, где нет необходимых расширений схемы, выполнить подготовку TPM не удастся и TPM останется в состоянии «Не готов» для компьютеров, работающих под управлением Windows 8 и более поздних версий.

Установка правильных разрешений в AD DS

Для успешной инициализации TPM с тем, чтобы включить BitLocker, требуется задать правильные разрешения для учетной записи SELF в AD DS для атрибута ms-TPMOwnerInformation. В следующей процедуре подробно описано, как правильно задать эти разрешения для BitLocker.

Откройте Пользователи и компьютеры Active Directory.
Выберите подразделение, содержащее учетные записи компьютеров, в которых будет включен BitLocker.
Щелкните правой кнопкой мыши подразделения и выберите Делегировать управление, чтобы открыть мастер Делегирование управления.
Нажмите кнопку Далее, чтобы перейти на страницу Пользователи или группы, а затем нажмите кнопку Добавить.
В диалоговом окне Выбор пользователей, компьютеров или групп введите SELF в качестве имени объекта, а затем нажмите кнопку ОК. После того как объект проверен, снова откроется страница мастера Пользователи или группы, в списке которой будет значиться учетная запись SELF. Нажмите кнопку Далее.
На странице Делегируемые задачи выберите Создать особую задачу для делегирования, затем нажмите кнопку Далее.
На странице Тип объекта Active Directory выберите Только следующими объектами в этой папке, а затем установите флажок Объекты-компьютеры и нажмите кнопку Далее.
На странице Разрешения в разделе Отобразить эти разрешения установите флажки Общие разрешения, Разрешения для свойств и Разрешения для создания или удаления дочерних объектов. Прокрутите вниз список Разрешения и установите флажки Записывать msTPM-OwnerInformation и Записывать msTPM-TpmInformationForComputer, затем нажмите кнопку Далее.
Нажмите кнопку Finish, чтобы применить параметры разрешений.

Поддержка FIPS для средства защиты восстановления пароля

Функция, впервые представленная в Windows Server 2012 R2 и Windows 8.1, которая позволяет пользоваться всеми возможностями BitLocker режиме FIPS.

Примечание

В федеральном стандарте обработки информации США (FIPS) определены требования в отношении безопасности и возможности взаимодействия для компьютерных систем, которые используются федеральным правительством США. В стандарте FIPS 140 приведены утвержденные алгоритмы шифрования. В стандарте 140 также установлены требования в отношении формирования ключей и управления ключами. В Национальном институте стандартов и технологий США (NIST) для определения того, соответствует ли определенная реализация криптографического алгоритма стандарту FIPS 140, используется программа проверки криптографических модулей (CMVP). Реализация алгоритма шифрования считается соответствующей стандарту FIPS 140, только если она была отправлена на проверку NIST и прошла ее. Алгоритм, который не отправлялся на проверку, не может считаться соответствующим FIPS, даже если при его использовании формируются такие же данные, как при использовании такого же алгоритма, прошедшего проверку.

До выхода этих поддерживаемых версий Windows, когда система работала в режиме FIPS, BitLocker не позволял создавать или использовать пароли для восстановления, вынуждая пользователя использовать ключи для восстановления. Дополнительные сведения об этих проблемах см. в статье службы поддержки kb947249.

Но на компьютерах, работающих под управлением этих поддерживаемых систем, на которых включен BitLocker, действуют следующие правила.

Средства защиты пароля для восстановления, соответствующие FIPS, можно создавать, когда Windows находится в режиме FIPS. Эти средства защиты используют алгоритм NIST SP800-132 FIPS 140.
Пароли для восстановления, созданные в режиме FIPS в Windows 8.1, можно отличить от паролей для восстановления, созданных в других системах.
Снятие блокировки восстановления с помощью соответствующего FIPS алгоритма, основанного на средстве защиты пароля для восстановления, работает во всех случаях, которые в настоящее время поддерживаются в отношении паролей для восстановления.
Когда пароли для восстановления, соответствующие FIPS, снимают блокировку с томов, к томам предоставляется доступ для чтения и записи даже при работе в режиме FIPS.
Средства защиты пароля для восстановления, совместимые с FIPS, можно экспортировать и сохранить в AD при работе в режиме FIPS.

Параметры групповой политики BitLocker в отношении паролей для восстановления работают одинаково для всех версий Windows, которые поддерживают BitLocker, как в режиме FIPS, так и без него.

Однако использовать пароли для восстановления, сформированные в системе, которая работала в режиме FIPS, для систем, более ранних, чем Windows Server 2012 R2 и Windows 8.1, нельзя. Пароли для восстановления, созданные в Windows Server 2012 R2 и Windows 8.1, несовместимы с BitLocker, работающем в операционных системах, более ранних, чем Windows Server 2012 R2 и Windows 8.1. Поэтому вместо них следует использовать ключи восстановления.