Similar presentations:
Шифрование диска BitLocker
1.
BitLocker2.
• Шифрование диска BitLocker — это функция защиты данных,которая интегрируется в операционную систему и
предотвращает угрозы хищения данных или раскрытия
информации на потерянных, украденных или неправильно
выведенных из эксплуатации компьютерах.
3.
TPM• Доверенный платформенный модуль (TPM)
используется для повышения безопасности
компьютера. Он используется такими
службами, как шифрование диска
BitLocker, Windows Hello и другие, для
безопасного создания и хранения
криптографических ключей, а также для
подтверждения того, что операционная
система и встроенное ПО на вашем
устройстве соответствуют указанным
сведениям и не были изменены.
• Как правило, это отдельная микросхема на
системной плате, хотя стандарт TPM 2.0
позволяет изготовителям, например Intel
или AMD, встраивать возможности
доверенного платформенного модуля в
набор микросхем.
4.
• Чтобы узнать, есть ли доверенный платформенныймодуль на вашем компьютере с Windows
10, выберите Пуск > Параметры > Обновление и
безопасность > Безопасность Windows > Безопасность
устройства. Если он у вас есть, на экране будет отрезок
Процессор безопасности.
5.
Практическое применение BitLocker• Данные на потерянном или украденном компьютере
уязвимы к несанкционированному доступу в результате
программной атаки или передачи жесткого диска на другой
компьютер. BitLocker помогает предотвратить
несанкционированный доступ к данным, усиливая защиту
файлов и системы. Кроме того, BitLocker помогает сделать
данные недоступными при выводе из эксплуатации
защищенных при помощи этого компонента компьютеров
или передаче таких компьютеров другим пользователям.
6.
В средствах удаленного администрированиясервера есть еще два инструмента, с помощью
которых можно управлять BitLocker:
• Средство просмотра паролей восстановления BitLocker.
Средство просмотра паролей восстановления BitLocker
позволяет находить и просматривать пароли
восстановления для шифрования дисков BitLocker,
резервные копии которых созданы в доменных службах
Active Directory (AD DS)
• Средства шифрования диска BitLocker. В средства
шифрования диска BitLocker входят программы командной
строки manage-bde и repair-bde, а также командлеты
Windows PowerShell для BitLocker. Как manage-bde, так и
командлеты для BitLocker позволяют решить любую задачу,
выполнимую с помощью панели управления BitLocker.
7.
Базовое развертывание BitLockerИспользование BitLocker для шифрования
томов
• BitLocker обеспечивает полное шифрование для томов
операционной системы, а также фиксированных и съемных
дисков данных. Для поддержки полностью зашифрованных
дисков операционной системы BitLocker использует
незашифрованный системный раздел для файлов,
необходимых для загрузки, расшифровки и загрузки
операционной системы. Этот том создается автоматически
при новой установке клиентских и серверных операционных
систем.
8.
Шифрование BitLocker можно выполнить спомощью следующих методов:
•Панель управления BitLocker
•Проводник Windows
•manage-bde Интерфейс командной строки
•Командлеты Windows PowerShell BitLocker
9.
Шифрование томов с помощью панелиуправления BitLocker
• Шифрование томов с помощью панели управления BitLocker (выберите
"Пуск ", " Введите Bitlocker", "Управление BitLocker") — это количество
пользователей, которые будут использовать BitLocker. Имя панели
управления BitLocker — Шифрование диска BitLocker. Панель
управления BitLocker поддерживает шифрование операционной
системы, фиксированных данных и съемных томов данных. Панель
управления BitLocker будет упорядочивать доступные диски в
соответствующей категории в зависимости от того, как устройство
сообщает о себе в Windows. В applet панели управления BitLocker
правильно отображаются только форматированные тома с
назначенными буквами дисков.
• Чтобы начать шифрование тома, выберите "Включить BitLocker " для
соответствующего диска, чтобы инициализировать мастер шифрования
дисков BitLocker. Параметры мастера шифрования дисков BitLocker
зависят от типа тома (том операционной системы или тома данных).
10.
Шифрование томов с помощьюинтерфейса командной строки managebde
• Manage-bde — это служебная программа командной строки,
которую можно использовать для создания скриптов для операций
BitLocker. Manage-bde предлагает дополнительные параметры,
которые не отображаются на панели управления BitLocker.
• Manage-bde предлагает множество более широких вариантов
настройки BitLocker. Поэтому использование синтаксиса команды
может потребовать от пользователя осторожности и, возможно,
последующей настройки. Например, использование только команды
manage-bde -on на томе данных полностью зашифрует том без
каких-либо средств защиты проверки подлинности. Зашифрованный
таким образом том по-прежнему требует, чтобы взаимодействие с
пользователем включит защиту BitLocker, даже если команда
успешно выполнена, так как для полной защиты тома необходимо
добавить метод проверки подлинности.
11.
Определение состояния тома• При использовании manage-bde рекомендуется определить состояние
тома в целевой системе. Чтобы определить состояние тома,
используйте следующую команду:
manage-bde -status
• Эта команда возвращает тома на целевом объекте, текущее состояние
шифрования и тип тома (операционная система или данные) для
каждого тома. Используя эти сведения, пользователи могут
определить оптимальный метод шифрования для своей среды.
12.
Включение BitLocker с паролемПрежде чем приступить, учитывайте: все описанные далее действия удобнее
выполнять ещё до начала шифрования. Вы можете поступить одним из следующих
способов:
• Если системный диск уже зашифрован, то сначала расшифровать его. Для этого вы
можете нажать правой кнопкой мыши по диску, выбрать пункт контекстного меню
«Управление BitLocker», а затем «Отключить BitLocker», подтвердить расшифровку и
дождаться завершения процесса.
• Не расшифровывая диск. Перед этим настоятельно рекомендую сохранить ключ
восстановления BitLocker в учетной записи Майкрософт или где-либо ещё, сделать
это можно, открыв контекстное меню диска и выбрав пункт «Управление BitLocker»,
а затем — «Архивировать ключ восстановления». Далее командную строку от
имени администратора и ввести команду
• manage-bde -protectors -add c: -TPMAndPIN
• В результате выполнения вам предложат задать ПИН-код, который в дальнейшем
будет запрашиваться при включении. Однако, этот подход не всегда срабатывает, а
даже в случае успеха, управление ПИН-кодом в разделе «Управление BitLocker»
диска может быть недоступным.
13.
Сам порядок действий для включенияпароля (ПИН-кода) при использовании
TPM (доверенного платформенного
модуля) будет состоит из следующих шагов:
1.Нажмите клавиши Win+R на клавиатуре (клавиша Win — это клавиша с
эмблемой Windows), введите gpedit.msc и нажмите Enter для запуска
редактора локальной групповой политики.
2.В редакторе локальной групповой политики перейдите к разделу
Конфигурация компьютера — Административные шаблоны —
Компоненты Windows — Шифрование диска BitLocker — Диски
операционной системы.
14.
15.
Найдите пункт «Этот параметр политики позволяет настроитьтребование дополнительной проверки подлинности при запуске»,
дважды нажмите по нему и установите «Включено».
16.
1.Вполе
«Настройка
ПИН-кода
запуска
доверенного
платформенного модуля» установите «Разрешить ПИН-код
запуска с доверенным платформенным модулем», примените
настройки.
2.Если вы не хотите ограничиваться ПИН-кодом из цифр, в том же
разделе редактора локальной групповой политики включите
параметр «Этот параметр политики позволяет разрешить
использование улучшенных ПИН-кодов при запуске компьютера»
и примените настройки.
17.
• После того, как описанные шаги были проделаны, вы можете снова запуститьшифрование диска BitLocker (правый клик по диску в проводнике —
включить BitLocker) и задать использование ПИН-кода для расшифровки,
либо включить ПИН-код уже после выполнения шифрования: заходим в
управление BitLocker в контекстном меню диска и нажимаем «Изменение
способа разблокировки диска при загрузке», там же можно изменить ПИНкод.
18.
• Если вы забудете ПИН-код, то для расшифровки тома BitLockerпотребуется ввести ключ восстановления, сохранить или
распечатать который пользователю предлагается при
первоначальном шифровании раздела диска.