Настройка BitLocker

Чтобы настроить BitLocker, можно использовать один из следующих параметров:

Примечание.

Windows Server не поддерживает настройку BitLocker с помощью CSP или Microsoft Configuration Manager. Вместо этого используйте объект групповой политики.

Хотя многие параметры политики BitLocker можно настроить с помощью CSP и GPO, некоторые параметры доступны только с помощью одного из параметров. Чтобы узнать о параметрах политики, доступных как для CSP, так и для объекта групповой политики, ознакомьтесь с разделом Параметры политики BitLocker.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие управление BitLocker.

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Да Да Да Да

Права на лицензии на управление BitLocker предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Нет Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Параметры политики BitLocker

В этом разделе описываются параметры политики для настройки BitLocker с помощью поставщика служб конфигурации (CSP) и групповой политики (GPO).

Важно.

Большинство параметров политики BitLocker применяются при первоначальном включении BitLocker для диска. Шифрование не перезапускается при изменении параметров.

Список параметров политики

Список параметров отсортирован в алфавитном порядке и упорядочен по четырем категориям:

  • Общие параметры: параметры, применимые ко всем дискам, защищенным BitLocker
  • Диск операционной системы: параметры, применимые к диску, на котором установлена Windows
  • Фиксированные диски с данными: параметры, применимые к любым локальным дискам, кроме диска операционной системы.
  • Съемные диски с данными: параметры, применимые к любым съемным дискам

Выберите одну из вкладок, чтобы просмотреть список доступных параметров:

В следующей таблице перечислены политики BitLocker, применимые ко всем типам дисков, с указанием того, применимы ли они через поставщик служб конфигурации (CSP) и (или) групповую политику (GPO). Выберите имя политики для получения дополнительных сведений.

Имя политики CSP Объект групповой политики
Разрешить шифрование стандартных пользователей
Выбор папки по умолчанию для пароля восстановления
Выбор метода шифрования диска и надежности шифра
Настройка смены паролей восстановления
Отключение новых устройств DMA при блокировке этого компьютера
Предотвращение перезаписи памяти при перезапуске
Укажите уникальные идентификаторы для вашей организации
Требовать шифрование устройства
Проверка соответствия правилу использования сертификатов интеллектуального карта

Разрешить шифрование стандартных пользователей

С помощью этой политики можно применить политику требовать шифрование устройства для сценариев, в которых политика применяется, пока текущий вошедший в систему пользователь не имеет прав администратора.

Важно.

Чтобы разрешить стандартное шифрование пользователей, необходимо отключить параметр Разрешить предупреждение для другой политики шифрования дисков .

Путь
CSP ./Device/Vendor/MSFT/BitLocker/ AllowStandardUserEncryption
Объект групповой политики Отсутствует

Выбор папки по умолчанию для пароля восстановления

Укажите путь по умолчанию, который отображается, когда мастер настройки шифрования дисков BitLocker предлагает пользователю ввести папку, в которой нужно сохранить пароль восстановления. Можно указать полный путь или включить переменные среды целевого компьютера в путь:

  • Если путь недопустим, мастер настройки BitLocker отображает представление папок верхнего уровня компьютера.
  • Если этот параметр политики отключен или не настроен, мастер настройки BitLocker отображает представление папок верхнего уровня компьютера, когда пользователь выбирает параметр сохранения пароля восстановления в папке.

Примечание.

Этот параметр политики не запрещает пользователю сохранять пароль восстановления в другой папке.

Путь
CSP Отсутствует
Объект групповой политики Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование диска BitLocker

Выбор метода шифрования диска и надежности шифра

С помощью этой политики можно настроить алгоритм шифрования и надежность шифра ключа для фиксированных дисков с данными, дисков операционной системы и съемных дисков данных по отдельности.

Рекомендуемые параметры: XTS-AES алгоритм для всех дисков. Выбор размера ключа( 128 или 256 бит) зависит от производительности устройства. Для более высокопроизводительных жестких дисков и ЦП выберите 256-разрядный ключ, для менее производительных используйте 128.

Важно.

Размер ключа может потребоваться нормативным органам или отрасли.

Если этот параметр политики отключен или не настроен, BitLocker использует метод XTS-AES 128-bitшифрования по умолчанию .

Примечание.

Эта политика не применяется к зашифрованным дискам. Зашифрованные диски используют собственный алгоритм, который задается диском во время секционирования.

Путь
CSP ./Device/Vendor/MSFT/BitLocker/ EncryptionMethodByDriveType
Объект групповой политики Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование диска BitLocker

Настройка смены паролей восстановления

С помощью этой политики можно настроить числовую смену паролей восстановления при использовании для ОС и фиксированных дисков на Microsoft Entra присоединенных и Microsoft Entra гибридных устройствах.

Возможные значения:

  • 0: числовая смена пароля восстановления отключена
  • 1: смена пароля для числового восстановления при использовании включена для Microsoft Entra присоединенных устройств. Это также значение по умолчанию
  • 2: смена паролей для числового восстановления при использовании включена как для устройств, присоединенных к Microsoft Entra, так и для Microsoft Entra гибридных присоединенных устройств

Примечание.

Политика действует только в том случае, если идентификатор Micropsoft Entra или резервная копия Active Directory для пароля восстановления настроена на обязательный

  • Для диска ОС: включите параметр Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы.
  • Для фиксированных дисков: включите параметр "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными.
Путь
CSP ./Device/Vendor/MSFT/BitLocker/ ConfigureRecoveryPasswordRotation
Объект групповой политики Отсутствует

Отключение новых устройств DMA при блокировке этого компьютера

Если этот параметр политики включен, этот параметр политики блокирует прямой доступ к памяти (DMA) для всех портов PCI с горячей заменой до тех пор, пока пользователь не войдет в Windows.

После входа пользователя Windows перечисляет устройства PCI, подключенные к портам PCI Thunderbolt узла. Каждый раз, когда пользователь блокирует устройство, DMA блокируется на портах PCI Thunderbolt с горячим подключением без дочерних устройств, пока пользователь снова не войдет в систему.

Устройства, которые уже были перечислены при разблокировке устройства, будут продолжать работать до отключения или перезагрузки системы или режима гибернации.

Этот параметр политики применяется только в том случае, если включено шифрование BitLocker или устройства.

Важно.

Эта политика несовместима с защитой DMA ядра. Эту политику рекомендуется отключить, если система поддерживает защиту DMA ядра, так как защита DMA ядра обеспечивает более высокую безопасность системы. Дополнительные сведения о защите DMA ядра см. в разделе Защита DMA ядра.

Путь
CSP Отсутствует
Объект групповой политики Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование диска BitLocker

Предотвращение перезаписи памяти при перезапуске

Этот параметр политики используется для управления перезаписью памяти компьютера при перезапуске устройства. Секреты BitLocker включают в себя материал ключа, используемый для шифрования данных.

  • Если этот параметр политики включен, память не перезаписывается при перезагрузке компьютера. Предотвращение перезаписи памяти может повысить производительность перезапуска, но повышает риск раскрытия секретов BitLocker.
  • Если этот параметр политики отключен или не настроен, секреты BitLocker удаляются из памяти при перезагрузке компьютера.

Примечание.

Этот параметр политики применяется только в том случае, если включена защита BitLocker.

Путь
CSP Отсутствует
Объект групповой политики Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование диска BitLocker

Укажите уникальные идентификаторы для вашей организации

Этот параметр политики позволяет связать уникальные идентификаторы организации с диском, зашифрованным с помощью BitLocker. Идентификаторы хранятся в качестве поля идентификации и поля разрешенной идентификации:

  • Поле идентификации позволяет связать уникальный идентификатор организации с дисками, защищенными BitLocker. Этот идентификатор автоматически добавляется на новые диски, защищенные BitLocker, и его можно обновить на существующих дисках, защищенных BitLocker, с помощью средства настройки шифрования диска BitLocker (manage-bde.exe).
  • Поле разрешенной идентификации используется в сочетании с параметром политики Запретить доступ на запись к съемным дискам, не защищенным BitLocker , чтобы контролировать использование съемных дисков в организации. Это разделенный запятыми список полей идентификации от вашей организации или других внешних организаций. Поля идентификации на существующих дисках можно настроить с помощью manage-bde.exe.

Если этот параметр политики включен, можно настроить поле идентификации на диске, защищенном BitLocker, и любое разрешенное поле идентификации, используемое вашей организацией. Когда диск, защищенный BitLocker, подключен к другому устройству с поддержкой BitLocker, поле идентификации и поле разрешенной идентификации используются для определения того, является ли диск из другой организации.

Если этот параметр политики отключен или не настроен, поле идентификации не требуется.

Важно.

Поля идентификации необходимы для управления агентами восстановления данных на основе сертификатов на дисках, защищенных BitLocker. BitLocker управляет и обновляет агенты восстановления данных на основе сертификатов только в том случае, если поле идентификации присутствует на диске и идентично значению, настроенном на устройстве. Поле идентификации может содержать любое значение из 260 символов или меньше.

Путь
CSP ./Device/Vendor/MSFT/BitLocker/ IdentificationField
Объект групповой политики Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование диска BitLocker

Требовать шифрование устройства

Этот параметр политики определяет, требуется ли BitLocker:

Примечание.

Как правило, BitLocker следует конфигурации политики Выбор метода шифрования диска и надежности шифра . Однако этот параметр политики будет игнорироваться для самошифровки фиксированных дисков и самошифрующихся дисков ОС.

Зашифрованные фиксированные тома данных обрабатываются аналогично томам ОС, но для шифрования они должны соответствовать другим критериям:

  • Он не должен быть динамическим томом
  • Он не должен быть разделом восстановления.
  • Он не должен быть скрытым томом
  • Он не должен быть системным разделом.
  • Он не должен поддерживаться виртуальным хранилищем
  • Он не должен иметь ссылку в хранилище BCD

Примечание.

При использовании этой политики для автоматического шифрования поддерживается только полное шифрование диска. Для нефиксного шифрования тип шифрования будет зависеть от политик Принудительное шифрование диска на дисках операционной системы и Принудительное шифрование диска на фиксированных дисках с данными , настроенных на устройстве.

Путь
CSP ./Device/Vendor/MSFT/BitLocker/ RequireDeviceEncryption
Объект групповой политики Отсутствует

Проверка соответствия правилу использования сертификатов интеллектуального карта

Этот параметр политики используется для определения сертификата для использования с BitLocker путем связывания идентификатора объекта (OID) из сертификата интеллектуальной карта с диском, защищенным BitLocker. Идентификатор объекта указывается в расширенном коде использования ключа (EKU) сертификата.

BitLocker может определить, какие сертификаты могут использоваться для проверки подлинности сертификата пользователя на диске, защищенном BitLocker, путем сопоставления идентификатора объекта в сертификате с идентификатором объекта, определенным этим параметром политики. OID по умолчанию — 1.3.6.1.4.1.311.67.1.1.

Если этот параметр политики включен, идентификатор объекта, указанный в поле Идентификатор объекта, должен соответствовать идентификатору объекта в сертификате смарт-карта. Если этот параметр политики отключен или не настроен, используется OID по умолчанию.

Примечание.

Для BitLocker не требуется, чтобы у сертификата был атрибут EKU; Однако если сертификат настроен для сертификата, ему необходимо задать идентификатор объекта, соответствующий идентификатору объекта, настроенного для BitLocker.

Путь
CSP Отсутствует
Объект групповой политики Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование диска BitLocker

Соответствие BitLocker и параметрам политики

Если устройство не соответствует настроенным параметрам политики, BitLocker может быть не включен или конфигурация BitLocker может быть изменена до тех пор, пока устройство не перейдет в соответствующее состояние. Когда диск перестает соответствовать параметрам политики, допускаются только изменения в конфигурации BitLocker, которые приведут его к соответствию. Такой сценарий может произойти, например, если ранее зашифрованный диск становится несоответствующим из-за изменения параметров политики.

Если для обеспечения соответствия диска требуется несколько изменений, может потребоваться приостановить защиту BitLocker, внести необходимые изменения, а затем возобновить защиту. Такая ситуация может возникнуть, например, если съемный диск изначально настроен для разблокировки с помощью пароля, а затем параметры политики изменяются, чтобы требовать смарт-карты. В этом сценарии необходимо приостановить защиту BitLocker, удалить метод разблокировки пароля и добавить метод смарт-карта. После завершения этого процесса BitLocker соответствует параметру политики, и защита BitLocker на диске может быть возобновлена.

В других сценариях, чтобы привести диск в соответствие с изменением параметров политики, BitLocker может потребоваться отключить и расшифровать диск, а затем повторно включить BitLocker, а затем повторно зашифровать диск. Примером этого сценария является изменение метода шифрования BitLocker или надежности шифра.

Дополнительные сведения об управлении BitLocker см. в руководстве по операциям BitLocker.

Настройка серверов и управление ими

Серверы часто развертываются, настраиваются и управляются с помощью PowerShell. Рекомендуется использовать параметры групповой политики для настройки BitLocker на серверах и управления BitLocker с помощью PowerShell.

BitLocker является необязательным компонентом в Windows Server. Следуйте инструкциям в разделе Установка BitLocker на Windows Server , чтобы добавить дополнительный компонент BitLocker.

Минимальный серверный интерфейс является необходимым компонентом для некоторых средств администрирования BitLocker. При установке основных серверных компонентов необходимо сначала добавить необходимые компоненты графического интерфейса пользователя. Процедура добавления компонентов оболочки к основным серверным компонентам описана в разделах Использование компонентов по требованию с обновленными системами и исправленными образами и Обновление локального исходного носителя для добавления ролей и функций. Если сервер установлен вручную, то выбор сервера с возможностями рабочего стола является самым простым путем, так как он позволяет избежать выполнения действий по добавлению графического пользовательского интерфейса в server Core.

Центры обработки данных с подсветкой могут воспользоваться преимуществами повышенной безопасности второго фактора, избегая вмешательства пользователя во время перезагрузки, при необходимости используя сочетание BitLocker (TPM+ПИН-код) и BitLocker Network Unlock. Сетевая разблокировка BitLocker — это максимальная защита с учетом местоположения и автоматической разблокировкой в надежном расположении. Инструкции по настройке см. в разделе Сетевая разблокировка.

Дальнейшие действия

Ознакомьтесь с руководством по операциям BitLocker, чтобы узнать, как использовать различные средства для управления BitLocker и работы с ней.

Руководство по операциям BitLocker >