Принудительное применение политик bitlocker с помощью intune: известные проблемы

Шифрование устройств BitLocker

Начиная с Windows 8.1, Windows автоматически включает шифрование устройств BitLocker на устройствах, поддерживаюх современное режим ожидания. С Windows 11 и Windows 10 microsoft предлагает поддержку шифрования устройств BitLocker на гораздо более широком диапазоне устройств, в том числе современных standby, и устройствах, Windows 10 Домашняя выпуска или Windows 11.

Корпорация Майкрософт ожидает, что большинство устройств в будущем будут проходить тестирование, что делает шифрование устройств BitLocker широко распространенным на современных Windows устройствах. Шифрование устройств BitLocker дополнительно защищает систему, прозрачно реализуя шифрование данных на всей устройстве.

В отличие от стандартной реализации BitLocker шифрование устройств BitLocker включено автоматически, чтобы устройство всегда было защищено. В следующем списке изложено, как это происходит.

  • После завершения чистой установки Windows 11 или Windows 10 и завершения работы с выходом из окна компьютер готовится к первому использованию. В рамках этой подготовки шифрование устройств BitLocker инициализировано на диске операционной системы и фиксированных дисках данных на компьютере с четким ключом (это эквивалент стандартного приостановленного состояния BitLocker). В этом состоянии диск отображается с значоком предупреждения в Windows Explorer. Желтый значок предупреждения удаляется после создания протектора TPM и восстановления, как поясняется в следующих точках пули.
  • Если устройство не подсоединено к домену, требуется использовать учетную запись Майкрософт, которой были предоставлены права администратора на устройстве. Когда администратор использует учетную запись Майкрософт для входа, незащищенный ключ удаляется, а ключ восстановления отправляется в учетную запись Майкрософт в Интернете, создается механизм защиты TPM. Если устройству требуется ключ восстановления, пользователю порекомендуют использовать другое устройство и перейти по URL-адресу доступа к ключу восстановления, чтобы извлечь его с использованием учетных данных своей учетной записи Майкрософт.
  • Если пользователь использует для входа учетную запись домена, незащищенный ключ не удаляется до тех пор, пока пользователь не подсоединит устройство к домену и не выполнит успешное резервное копирование ключа восстановления в доменные службы Active Directory (AD DS). Необходимо включить параметр групповой политики Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Диски операционной системы и выбрать вариант Не включать BitLocker до сохранения данных восстановления в AD DS для дисков операционной системы. При такой конфигурации пароль восстановления создается автоматически, когда компьютер подключается к домену, а в AD DS создается резервная копия ключа восстановления. Затем создается механизм защиты TPM, незащищенный ключ удаляется.
  • Аналогично входу по учетной записи домена незащищенный ключ удаляется, когда пользователь входит на устройство с использованием учетной записи Azure AD. Как описано в пункте выше, пароль восстановления создается автоматически, когда пользователь проходит проверку подлинности в Azure AD. Затем выполняется резервное копирование ключа восстановления в Azure AD, создается механизм защиты TPM, незащищенный ключ удаляется.

Корпорация Майкрософт рекомендует включить шифрование устройств BitLocker в любых поддерживаемых системах, но процесс автоматического шифрования устройств BitLocker можно предотвратить, изменив следующий параметр реестра:

  • Подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
  • Значение: PreventDeviceEncryption равно True (1)
  • Тип: REG_DWORD

Администраторы могут управлять устройствами с поддержкой домена, на которые включено шифрование устройств BitLocker с помощью администрирования и мониторинга Microsoft BitLocker (MBAM). В этом случае шифрование устройств BitLocker автоматически делает доступными дополнительные параметры BitLocker. Преобразование или шифрование не требуется, и если нужно внести какие-либо изменения в конфигурацию, MBAM может осуществлять управление всем набором политик BitLocker.

Примечание

Шифрование устройств BitLocker использует 128-битный метод шифрования XTS-AES. Если требуется использовать другой метод шифрования и/или силу шифра, сначала необходимо настроить и расшифровать устройство (если уже зашифровано). После этого можно применить различные параметры BitLocker.

Как задействовать BitLocker, если на компьютере нет TPM

Наличие Trusted Platform Module является важнейшим условием работы Битлокера. Но что делать, если ваш компьютер не оснащен данным модулем, но вы используете Windows 10 Pro? К счастью, даже в такой ситуации можно зашифровать накопитель. Но выполняется операция в соответствии с совершенно другим алгоритмом:

  • Зажмите клавиши «Win» + «R», чтобы открыть окно «Выполнить».
  • Введите запрос «gpedit.msc» и нажмите «Enter». Так мы запустим Редактор групповой политики, где активируется BitLocker на компьютере без TPM.

Перейдите в директорию, расположенную по пути «Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Шифрование диска BitLocker/Диски операционной системы».

В корневой папке найдите параметр «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске», а затем откройте его двойным щелчком ЛКМ.

Установите значение «Включено», а также отметьте галочкой пункт «Разрешить использование BitLocker».

Нажмите на кнопку «Применить» для сохранения настроек.

После изменения настроек можно закрыть Редактор и быть уверенным, что файлы компьютера надежно защищены от посягательств со стороны злоумышленников.

Автоматическое шифрование устройств BitLocker

Функция автоматического шифрования устройств BitLocker использует технологию шифрования диска BitLocker для автоматического шифрования внутренних дисков после того, как пользователь завершит работу по готовности (OOBE) на современных устройствах с поддержкой резервного или хсти.

Примечание. Автоматическое шифрование устройств BitLocker запускается во время работы в рамках встроенного интерфейса (OOBE). однако защита включена (активируется) только после входа пользователей с учетной записью майкрософт или учетной записью Azure Active Directory . До этого момента защита приостанавливается и данные не защищаются. Автоматическое шифрование устройств BitLocker не включено с локальными учетными записями. в этом случае BitLocker можно включить вручную с помощью панели управления BitLocker.

Как найти потерянный ключ восстановления

Ключ восстановления создается после первого использования программы BitLocker для каждого выбранного диска. Он предоставляет доступ к сокрытым данным. Ключ также можно использовать для разблокировки зашифрованных на съемном устройстве (например, на внешнем жестком диске или USB-накопителе) с помощью BitLocker To Go файлов и папок, если по какой-то причине вы забыли пароль или компьютер не может получить доступ к диску.

Файл .BEK может хранится на флешке или в компьютере, в месте, где мы сохранили его при шифровании диска

Ключ восстановления Bitlocker выглядит следующим образом (он хранится в файле .BEK с именем Bitlocker+Recovery+Key+4C2392DC-60A8-4B98-95AA-6A91D2191EB4.BEK).

Ключ восстановления Bitlocker

Чтобы убедиться в правильности ключа восстановления, сравните начало указанного выше идентификатора со значением аналогичного в зашифрованном томе Bitlocker.

Как/Где найти потерянный ключ восстановления Bitlocker?

Способ возвращения потерянного ключа зависит от настроенных вами параметров входа в систему:

1. Если вы используете локальную учетную запись, тогда войдите как администратор.

2. Пользователи учетной записи Microsoft должны проверить следующие места:

  • аккаунт Microsoft в Интернете. Чтобы получить ключ восстановления, перейдите в свою учетную запись и получите его оттуда;
  • сохраненная копия ключа восстановления. Возможно, вы храните его в качестве файла, на флешке или в бумажном виде.

Как обеспечить поддержку доверенного платформенного модуля в BIOS на компьютере?How do I obtain BIOS support for the TPM on my computer?

Запросите у изготовителя компьютера встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG и следующим требованиям:Contact the computer manufacturer to request a Trusted Computing Group (TCG)-compliant BIOS or UEFI boot firmware that meets the following requirements:

  • соответствие стандартам TCG для клиентского компьютера;It is compliant with the TCG standards for a client computer.
  • наличие механизма защищенного обновления, предотвращающего установку вредоносного встроенного ПО для BIOS или загрузочного ПО на компьютер.It has a secure update mechanism to help prevent a malicious BIOS or boot firmware from being installed on the computer.

Как включить BitLocker на устройстве с TPM

В вашем устройстве есть TPM, поэтому следующая часть проста и понятна.

  1. Откройте проводник и перейдите к диску, который нужно зашифровать с помощью BitLocker.

Щелкните диск правой кнопкой мыши и выберите Включить BitLocker.

Может появиться сообщение о запуске BitLocker с индикатором выполнения. Пусть закончится.

  1. Вам будет предложено выбрать, как вы хотите разблокировать этот диск. Есть 2 варианта; Используйте пароль, чтобы разблокировать диск, или Используйте мою смарт-карту, чтобы разблокировать диск. Если устройство используется в бизнесе, возможно, у вас есть смарт-карта, и вы хотите ее использовать. Если нет, выберите пароль. Создайте надежный и надежный пароль.

Пароль потребуется только в том случае, если диск будет удален с этого устройства и установлен на другом устройстве. В противном случае TPM будет обрабатывать ввод пароля, обеспечивая бесперебойную работу зашифрованного диска со всем остальным.

Теперь он спрашивает, как вы хотите сделать резервную копию ключа восстановления?

Есть 4 варианта:

  • Сохраните в своей учетной записи Microsoft: если вы используете учетную запись Microsoft для входа на устройство, это самый простой способ. Это то, что используется в этом примере.
  • Сохранить на USB-накопитель: если выбран этот метод, используйте для этой цели только USB-накопитель. Не пытайтесь хранить на этой флешке другие вещи.
  • Сохранить в файл: при выборе этого метода не сохраняйте файл на зашифрованном диске. Сохраните его на другой диск или в облачное хранилище.
  • Распечатайте ключ восстановления: выбор этого метода означает, что распечатанный ключ требует надежного хранения, защищенного от пожара, кражи и наводнения. Когда ключ понадобится, его нужно будет ввести вручную.

В зависимости от выбранного метода могут быть некоторые дополнительные шаги, но все методы в конечном итоге приведут к следующему экрану.

На этом шаге предлагается выбрать, какую часть вашего диска следует зашифровать. Это может сбивать с толку. Если на диске ничего не шифруется, выберите «Зашифровать только используемое дисковое пространство». Это очень быстро.

Все, что будет добавлено на диск после этого, будет автоматически зашифровано. Если на диске уже есть файлы и папки, выберите «Зашифровать весь диск», чтобы все они были зашифрованы немедленно. Затем выберите «Далее».

Следующий экран может не отображаться в зависимости от используемой версии Windows

Важно найти время, чтобы прочитать и понять его

Подводя итог, если кто-нибудь когда-нибудь вытащит диск из этого устройства и вставит его в любую версию Windows до Windows 10 версии 1511, диск не будет работать. Большинство людей никогда этого не сделает, поэтому большинство выберет Новый режим шифрования, а затем нажмите Далее.

Шифрование — серьезное дело, и что-то может пойти не так. Вот почему процесс спросит в последний раз: готовы ли вы зашифровать этот диск? Если да, выберите Начать шифрование.

Когда BitLocker завершит шифрование диска, вернитесь в проводник

Обратите внимание, что на значке диска теперь есть разблокированный замок. Это означает, что диск зашифрован, но готов к приему файлов

Если замок был заблокирован, вам нужно будет ввести пароль для доступа к нему.

Защита перед запуском

Перед Windows необходимо полагаться на функции безопасности, реализованные в составе оборудования и прошивки устройства, в том числе TPM и Secure Boot. К счастью, многие современные компьютеры имеют TPM и безопасную загрузку.

Доверенный платформенный модуль

Доверенный модуль платформы (TPM) — это микрочип, предназначенный для предоставления базовых функций, связанных с безопасностью, в первую очередь с ключами шифрования. На некоторых платформах TPM можно также реализовать как часть безопасного прошивки. BitLocker связывает ключи шифрования с TPM, чтобы убедиться, что компьютер не был подделан во время отключения системы. Дополнительные сведения о TPM см. в модуле Trusted Platform Module.

UEFI и безопасная загрузка

Объединенный extensible Интерфейс прошивки (UEFI) — это программируемые среды загрузки, которая инициализирует устройства и запускает загрузщик операционной системы.

Спецификация UEFI определяет процесс проверки подлинности выполнения прошивки под названием Secure Boot. Secure Boot блокирует ненарушаемую прошивку и загрузчики (подписанные или неподписаные) от возможности запуска в системе.

По умолчанию BitLocker обеспечивает защиту целостности для безопасной загрузки с помощью измерения PCR TPM. Несанкционированное прошивка EFI, приложение загрузки EFI или загрузщик не могут запустить и приобрести ключ BitLocker.

BitLocker и сброс атак

Чтобы защититься от вредоносных атак сброса, BitLocker использует решение TCG Reset Attack Mitigation, также известное как mor bit (Запрос перезаписи памяти), перед извлечением ключей в память.

Примечание

Это не защищает от физических атак, когда злоумышленник открывает дело и атакует оборудование.

Проблемы настройки компонентов шифровальщика

Что касается настройки, тут без головной боли не обойтись. Во-первых, система предлагает резервировать не менее 1,5 Гб под свои нужды. Во-вторых, нужно настраивать разрешения файловой системы NTFS, уменьшать размер тома и т. д. Чтобы не заниматься такими вещами, лучше сразу отключить данный компонент, ведь большинству пользователей он просто не нужен. Даже все те, у кого эта служба задейстована в настройках по умолчанию, тоже не всегда знают, что с ней делать, нужна ли она вообще. А зря. Защитить данные на локальном компьютере с ее помощью можно даже при условии отсутствия антивирусного ПО.

Windows

le class=»article» data-id=»114094836851″>

Функция шифрования диска BitLocker позволяет уберечь ваши данные в случае утери компьютера. Чтобы получить данные с вашего диска, потребуется ввести пароль, даже если диск будет извлечен из компьютера и будет подключен к другому.

Также можно включить шифрование и для внешних дисков.

Функция работает только в следующих версиях Windows:

— Pro, Enterprise, и Education версии Windows 10;

— Pro и Enterprise версии Windows 8 и 8.1;

— Ultimate и Enterprise версии Windows Vista и Windows 7;

— Windows Server 2008 или более новая версия.

По умолчанию, для работы BitLocker требуется наличие специального модуля TPM на материнской плате вашего компьютера.

Однако, можно использовать функцию шифрования и без него.

Обратите внимание, что процесс шифрования может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена. Включение BitLocker

Включение BitLocker.

1. Нажмите на клавиатуре клавиши Windows + R.

2. В новом окне введите gpedit.msc и нажмите ОК.

3. В левой части нового окна Редактор локальной групповой политки выберите Конфигурация Компьютера > Административные шаблоны > Компонент Windows.

В правой части окна дважды щелкните по Шифрование диска BitLocker.

4. Дважды щелкните по Диски операционной системы.

5. Дважды щелкните по Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.

6. В новом окне выберите пункт Включено, поставьте галочку напротив Разрешить использование BitLocker без совместимого доверенного платформенного модуля и нажмите OK.

7. Закройте окно Редактор локальной групповой политки.

8. Нажмите правой кнопкой мыши по значку Windows и выберите Панель управления.

9. Выберите значок Шифрование диска BitLocker.

10. Выберите Включить BitLocker.

11. Дождитесь окончания проверки и нажмите Далее.

12. Ознакомьтесь с предупреждениями и нажмите Далее.

Обратите внимание, что в случае утери пароля, вы также не сможете получить доступ к данным на диске, поэтому рекомендуется сделать резервную копию самых важных документов

13. Начнется процесс подготовки, во время которого нельзя выключать компьютер. В ином случае загрузочный раздел может быть поврежден и Windows не сможет быть загружена.

14. Нажмите кнопку Далее.

15. Укажите пароль, который будет использоваться для разблокировки диска при включении компьютера и нажмите кнопку Далее. Рекомендуется, чтобы он отличался от пароля пользователя на компьютере.

16. Выберите, каким образом требуется сохранить ключ восстановления. Этот ключ поможет вам получить доступ к диску, если вы забудете пароль от диска. После чего нажмите Далее.

Предлагается несколько вариантов восстановления (в этом варианте ключ был распечатан):

— Сохранить в вашу учетную запись Майкрософт — если на компьютере осуществлен вход в личную запись Microsoft, то в случае утери пароля можно будет разблокировать диск с помощью учетной записи Microsoft;

— Сохранить в файл — ключ будет сохранен в текстовом документе.

— Напечатать ключ восстановления — ключ будет распечатан на указанном принтере.

Ключ рекомендуется хранить отдельно от компьютера.

17. Для надежности рекомендуется выбрать шифрование всего диска. Нажмите Далее.

18. Выберите Новый режим шифрования и нажмите Далее.

19. Поставьте галочку напротив Запустить проверку системы BitLocker и нажмите Продолжить.

20. Появится уведомление о том, что требуется перезагрузить компьютер, а в панели уведомлений — значок BitLocker. Перезагрузите компьютер.

21. Сразу после перезагрузки у вас появится окно ввода пароля. Введите пароль, который вы указывали при включении шифрования, и нажмите Enter.

22. Шифрование начнется сразу после загрузки Windows. Нажмите на значок BitLocker в панели уведомлений, чтобы увидеть прогресс.

Обратите внимание, что шифрование может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена. Отключение BitLocker

Отключение BitLocker.

1. Нажмите на значок BitLocker в правом нижнем углу.

2. Выберите Управление BitLocker.

3. Выберите Отключить BitLocker.

4. В новом окне нажмите Отключить BitLocker.

5. Процесс дешифровки также может занять продолжительное время, в зависимости от размера диска. В это время вы можете пользоваться компьютером как обычно, настраивать ничего не потребуется.

Event ID 851: Свяжитесь с производителем для инструкций по обновлению BIOS

Сведения о событии похожи на следующие:

Причина

Устройство должно иметь унифицированный extensible Firmware Interface (UEFI) BIOS. Шифрование диска Silent BitLocker не поддерживает устаревшую BIOS.

Разрешение

Чтобы проверить режим BIOS, используйте приложение Сведения о системе. Для этого выполните следующие действия:

  1. Выберите Начнитеи введите msinfo32 в поле Поиска.

  2. Убедитесь, что параметр РЕЖИМ BIOS является UEFI, а не устаревшим.

  3. Если параметр РЕЖИМ BIOS является устаревшим, необходимо переключить BIOS в режим UEFI или EFI. Действия для этого являются специфическими для устройства.

    Примечание

    Если устройство поддерживает только режим Legacy, вы не можете использовать Intune для управления шифрованием устройств BitLocker на устройстве.

Как отключить Bitlocker в Windows 10

BitLocker — это дискретный метод защиты ваших данных от несанкционированного доступа. Отключение этой функции не приведет к удалению каких-либо файлов, но все же рекомендуется хранить резервные копии файлов.

Вы можете отключить BitLocker в Windows 10 разными способами, например, с помощью настроек, панели управления, поля поиска Windows или через PowerShell и командную строку. Ниже приведены шаги, которые необходимо предпринять при использовании каждого из этих методов для отключения BitLocker.

На некоторых сайтах предлагается отключить службу BitLocker Windows или использовать групповую политику для отключения BitLocker, но эти методы на самом деле не работают и могут привести к неправильной настройке и ошибкам.

Как отключить BitLocker в Windows 10 через поиск Windows

Инструмент поиска Windows позволяет выполнять узкий поиск для поиска определенных элементов в проводнике, меню «Пуск» или меню «Настройки». Отсюда вы также можете выполнять поиск в Интернете, не открывая браузер, и получать доступ к файлам или приложениям, которые вы используете чаще всего.

Если вы хотите отключить BitLocker, вы можете легко сделать это через окно поиска Windows.

  1. Войдите на свой компьютер, используя учетную запись администратора, введите «Управление BitLocker» в поле поиска Windows, а затем выберите его из списка результатов.
  1. Затем выберите Отключить BitLocker.

Как отключить BitLocker в Windows 10 через меню настроек

Меню настроек Windows содержит основные настройки, которые вы можете использовать для внесения изменений в приложение на вашем ПК. Вот как отключить BitLocker через меню настроек.

  1. Выберите Пуск> Настройки.
  1. В окне «Настройки» выберите «Система».
  1. Выберите «О программе» в левом нижнем углу, найдите раздел «Связанные параметры» на правой панели и выберите «Параметры BitLocker».

Примечание. Если вы по-прежнему не видите вкладку, это означает, что на вашем компьютере нет BitLocker.

  1. Затем выберите Отключить BitLocker.
  1. При появлении запроса снова выберите Отключить BitLocker. BitLocker зашифрует ваш жесткий диск, после чего Windows предложит вам ввести пароль, прежде чем функция будет отключена.

Как удалить BitLocker в Windows 10 через панель управления

Панель управления Windows 10 содержит настройки, которые контролируют практически все, что касается внешнего вида и работы Windows. Вот как отключить BitLocker через панель управления.

  1. Откройте панель управления из меню «Пуск» или введите «Панель управления» в поле поиска и выберите ее в результатах поиска.
  1. Выберите Система и безопасность.
  1. Затем выберите Шифрование диска BitLocker> Управление BitLocker.
  1. Выберите ссылку Отключить BitLocker.
  1. Появится всплывающее окно с сообщением: Ваш диск будет расшифрован. Это может занять много времени, но вы можете продолжать использовать свой компьютер во время процесса дешифрования. Выберите Отключить BitLocker, чтобы подтвердить действие.

Примечание. Если BitLocker зашифровал один жесткий диск, он начнет процесс расшифровки для этого диска. Если есть разные диски, вам нужно выбрать диск, для которого вы хотите отключить BitLocker.

Как отключить BitLocker с помощью PowerShell и командной строки

Наконец, если у вас возникли проблемы с использованием графического интерфейса пользователя или вы можете получить доступ только к инструментам командной строки, вы можете отключить BitLocker с помощью PowerShell или командной строки. Обязательно запускайте оба инструмента от имени администратора.

Для PowerShell команда приведена ниже, но вы замените X буквой зашифрованного диска.

Отключить Bitlocker –MountPoint «X:»

Состояние тома должно быть «Полностью зашифровано», а состояние защиты — «Выкл.».

Если вы используете командную строку, вам сначала понадобится ключ восстановления, который вы сохранили в своей учетной записи Microsoft или в файле при первой установке BitLocker. Обычно это набор из восьми чисел, каждое из которых состоит из шести цифр, разделенных тире. После этого вам нужно будет ввести следующую команду, заменив X буквой диска на вашем ПК:

manage-bde -unlock X: -RecoveryPassword Recovery-Key

Обратите внимание, что это разблокирует диск, но не отключает BitLocker полностью. Если вы хотите полностью отключить его, используйте эту команду:. управление-bde -off X:

управление-bde -off X:

Если вы хотите снова включить BitLocker позже, обратитесь к нашему руководству о том, как настроить полное шифрование диска в Windows с помощью BitLocker.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Мой редактор ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: