как узнать код bitlocker
BitLocker: использование средства просмотра пароля восстановления BitLocker
Относится к:
В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать средство просмотра пароля восстановления в BitLocker.
Средство просмотра паролей для восстановления BitLocker является необязательным средством, включенным в инструменты администрирования удаленного сервера (RSAT). Он позволяет находить и просматривать пароли восстановления BitLocker, хранимые в службах домена Active Directory (AD DS). С помощью этого средства можно восстанавливать данные на диске, зашифрованном с помощью BitLocker. Средство просмотра паролей bitLocker Active Directory является расширением для оснастки пользователей Active Directory и компьютеров Microsoft Management Console (MMC). С помощью этого средства можно просмотреть диалоговое окно свойства объекта компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker. Кроме того, вы можете щелкнуть контейнер домена правой кнопкой мыши, а затем искать пароль восстановления BitLocker на всех доменах в лесу Active Directory. Вы также можете искать пароль по идентификатору пароля (ID).
Прежде чем начать
Чтобы завершить процедуры в этом сценарии:
В следующих процедурах описываются наиболее распространенные задачи, выполняемые с помощью просмотра паролей для восстановления BitLocker.
Просмотр паролей восстановления для компьютера
Копирование паролей восстановления для компьютера
Поиск пароля восстановления с помощью ИД пароля
Поиск ключа восстановления BitLocker в Windows
Помощь и обучение по Windows 11 ожидается в ближайшее время!
Тем временем ознакомьтесь с доступными возможностями Windows 10 на вкладке Windows 10.
Если система запрашивает у вас ключ восстановления BitLocker, следующие инструкции помогут вам найти его и понять, почему ключ был запрошен.
Где найти ключ восстановления BitLocker?
Перед активацией защиты функция BitLocker обеспечивает безопасное создание резервной копии ключа восстановления. Ключ восстановления может находиться в нескольких местах, в зависимости от того, какой параметр был выбран при активации BitLocker.
В учетной записи Майкрософт: войдите в свою учетную запись Майкрософт на другом устройстве, чтобы найти ключ восстановления:
Если вы используете современное устройство, поддерживающее автоматическое шифрование устройств, ключ восстановления, скорее всего, будет находиться в вашей учетной записи Майкрософт. Дополнительные сведения см. в разделе Шифрование устройства в Windows 10.
Если устройство настроил другой пользователь или защита BitLocker была активирована другим пользователем, ключ восстановления может находиться в учетной записи Майкрософт этого пользователя.
В сохраненной распечатке: Ключ восстановления может быть на распечатке, которая была сохранена при активации BitLocker. Проверьте свои важные документы, относящиеся к компьютеру.
На USB-устройстве флэш-памяти: Подключите USB-устройство флэш-памяти к заблокированным компьютерам и следуйте инструкциям. Если ключ сохранен на устройстве флэш-памяти как текстовый файл, прочтите этот файл на другом компьютере.
В учетной Azure Active Directory учетной записи: Если ваше устройство когда-либо вписалось в организацию с помощью учетной записи электронной почты организации или учебного заведения, ключ восстановления может храниться в учетной записи Azure AD этой организации, связанной с вашим устройством. Возможно, вы сможете получить к ключу доступ самостоятельно либо вам может потребоваться обратиться к системному администратору.
Ваш системный администратор: Если устройство подключено к домену (обычно это устройство для работы или учебного заведения), попросите системного администратора получить ключ восстановления.
Что такое ключ восстановления BitLocker?
Ключ восстановления BitLocker — это уникальный 48-значный цифровой пароль, который можно использовать для разблокировки системы, если функция BitLocker не может другим способом точно определить, что попытка доступа к системному диску была санкционированной. Этот ключ может храниться в учетной записи Майкрософт, на распечатке, в сохраненном файле или в организации, управляющей устройством. Запрос ключа восстановления в таких случаях является критически важным условием защиты, при выполнении которого функция BitLocker сможет предоставить вам доступ к вашим данным.
Почему система Windows запрашивает ключ восстановления BitLocker?
BitLocker — это технология шифрования Windows, которая защищает данные от несанкционированного доступа путем шифрования диска и отображения запроса на прохождение одного или нескольких этапов проверки подлинности, прежде чем BitLocker сможет разблокировать устройство. Она включается как при обычном использовании Windows, так и при попытке несанкционированного доступа. При обнаружении небезопасного состояния, которым может быть попытка несанкционированного доступа к данным, система Windows запрашивает ключ восстановления BitLocker. Этот дополнительный шаг представляет собой меру безопасности, призванную обеспечить безопасность ваших данных. Внесение изменений определенного характера в оборудование, встроенное ПО и программное обеспечение может приводить к возникновению состояний, которые функция BitLocker не может отличить от возможной атаки. В таких случаях функция BitLocker может требовать прохождение дополнительной проверки безопасности в виде предоставления ключа восстановления, даже если пользователь является авторизованным владельцем устройства. Это позволяет системе защиты абсолютно точно убедиться в том, что попытка разблокировки устройства выполняется полномочным пользователем.
Как функция BitLocker активируется на моем устройстве?
Есть три стандартных способа активировать защиту BitLocker на вашем устройстве.
Ваше устройство — это современное устройство, отвечающее определенным требованиям для автоматического обеспечения шифрования устройства. В этом случае ключ восстановления BitLocker автоматически будет сохранен в вашей учетной записи Майкрософт перед активацией защиты.
Владелец или администратор устройства активировал защиту BitLocker (на некоторых устройствах — шифрование устройств) с помощью приложения Параметры или панели управления: В этом случае пользователь, активировав BitLocker, выбирает, где сохранить ключ, или (в случае шифрования устройства) он автоматически сохраняется в учетной записи Майкрософт.
Организация, управляющая устройством (в настоящее время или в прошлом) активированной защитой BitLocker на вашем устройстве: В этом случае у организации может быть ключ восстановления BitLocker.
Защита BitLocker всегда активируется пользователем (или от его имени), у которого есть полные права доступа к вашему устройству на уровне администратора независимо от того, кто является этим пользователем — вы, другой человек или организация, управляющая вашим устройством. В ходе настройки функции BitLocker автоматически создается ключ восстановления во время активации защиты.
Если вам не удается найти запрашиваемый ключ восстановления BitLocker и вы не можете отменить внесенные в конфигурацию изменения, которые могли стать причиной запроса ключа, необходимо выполнить сброс устройства с помощью одного из параметров восстановления Windows 10. Сброс устройства приведет к удалению всех файлов.
Руководство по восстановлению BitLocker
Относится к:
В этой статье для ИТ-специалистов описывается, как восстановить ключи BitLocker из AD DS.
Организации могут использовать сведения о восстановлении BitLocker, сохраненные в службах домена Active Directory (AD DS), для доступа к данным, защищенным BitLocker. Рекомендуется создать модель восстановления для BitLocker при планировании развертывания BitLocker.
В этой статье предполагается, что вы понимаете, как настроить AD DS для автоматического восстановления bitLocker и какие типы данных восстановления сохраняются в AD DS.
В этой статье не сообщается, как настроить AD DS для хранения данных о восстановлении BitLocker.
Что такое восстановление BitLocker?
Восстановление BitLocker — это процесс восстановления доступа к диску с защитой BitLocker в случае невозможного нормального разблокирования диска. В сценарии восстановления у вас есть следующие параметры для восстановления доступа к диску:
Что вызывает восстановление BitLocker?
В следующем списке приводятся примеры определенных событий, из-за чего BitLocker вступает в режим восстановления при попытке запустить диск операционной системы:
На пк, которые используют шифрование диска BitLocker или на таких устройствах, как планшеты или телефоны, которые используют шифрование устройств BitLocker только при обнаружении атаки, устройство немедленно перезагружается и вступает в режим восстановления BitLocker. Чтобы воспользоваться этой функцией, администраторы **** могут установить пороговое значение групповой политики блокировки учетной записи компьютера в параметре \Computer Configuration\\Windows Параметры\Security Параметры\Local Policies\\Security Options in the Local Group Policy Editor. Или они могут использовать политику MaxFailedPasswordAttempts Exchange ActiveSync (также настраиваемую через Microsoft Intune),чтобы ограничить количество попыток сбойного пароля перед переходом устройства в блокировку устройства.
На устройствах с TPM 1.2 изменение порядка загрузки BIOS или прошивки вызывает восстановление BitLocker. Однако устройства с TPM 2.0 не запускают восстановление BitLocker в этом случае. TPM 2.0 не считает изменение порядок загрузки устройства прошивки угрозой безопасности, так как загрузчик загрузки ОС не скомпрометирован.
Наличие диска или DVD-диска перед жестким диском в порядке загрузки BIOS, а затем вставка или удаление cd или DVD.
Невыполнение загрузки с сетевого диска перед загрузкой с жесткого диска.
Стыковка или отстыковка портативного компьютера. В некоторых случаях (в зависимости от производителя компьютера и BIOS) состояние стыковки портативного компьютера является частью системного измерения и должно быть последовательным для проверки состояния системы и разблокирования BitLocker. Поэтому, если портативный компьютер подключен к док-станции при включенной bitLocker, его также может потребоваться подключать к док-станции, когда она будет разблокирована. И наоборот, если портативный компьютер не подключен к док-станции при включении BitLocker, его может потребоваться отключить от станции док-станции, когда она будет разблокирована.
Изменения в таблице разделов NTFS на диске, включая создание, удаление или изменение размера основного раздела.
Ввод личного идентификационный номер (PIN-код) неправильно слишком много раз, чтобы была активирована логика борьбы с молотком TPM. Логика борьбы с забитым кодом — это программное или аппаратное обеспечение, которые увеличивают сложность и стоимость грубой атаки на ПИН-код, не принимая записи ПИН-кода до тех пор, пока не пройдет определенное время.
Отключение поддержки чтения USB-устройства в среде предварительной загрузки из прошивки BIOS или UEFI, если вы используете USB-ключи вместо TPM.
Отключение, отключение, отключение или очистка TPM.
Обновление критически важных компонентов раннего запуска, таких как обновление прошивки BIOS или UEFI, приводит к изменению связанных измерений загрузки.
Забыть ПИН-код при включенной проверке подлинности ПИН-кода.
Обновление прошивки ROM параметра.
Обновление прошивки TPM.
Добавление или удаление оборудования; например, вставка новой карты на компьютере, включая некоторые беспроводные карты PCMIA.
Удаление, вставка или полная разрядка батареи Smart Battery в портативном компьютере.
Изменения в записи загрузки на диске.
Изменения в диспетчере загрузки на диске.
Сокрытие TPM от операционной системы. Некоторые параметры BIOS или UEFI можно использовать для предотвращения переоценки TPM в операционную систему. При реализации этот параметр может сделать TPM скрытым от операционной системы. Когда TPM скрыт, безопасный запуск BIOS и UEFI отключен, и TPM не отвечает на команды из любого программного обеспечения.
Использование другой клавиатуры, которая неправильно вводит ПИН-код или карта клавиатуры которой не соответствует карте клавиатуры, принятой средой предварительной загрузки. Эта проблема может предотвратить ввод расширенных ПИН-данных.
Изменение регистров конфигурации платформы (PCRs), используемых профилем проверки TPM. Например, в том числе PCR[1] bitLocker будет измерять большинство изменений параметров BIOS, в результате чего BitLocker вступает в режим восстановления даже при изменении параметров BIOS без загрузки.
На некоторых компьютерах есть параметры BIOS, которые пропускают измерения для определенных PCR,например PCR[2]. Изменение этого параметра в BIOS приведет к тому, что BitLocker вступает в режим восстановления, так как измерение PCR будет другим.
Перемещение диска с защитой BitLocker в новый компьютер.
Обновление материнской платы до новой с помощью нового TPM.
Потеря usb-флеш-накопителя, содержащего ключ запуска при включенной проверке подлинности ключа запуска.
Сбой самопроверки TPM.
Наличие прошивки BIOS, UEFI или компонента ROM параметра, не соответствующего соответствующим соответствующим стандартам группы доверенных вычислений для клиентского компьютера. Например, неустойка в измерениях TPM может записывать волатильные данные (например, время), что приводит к различным измерениям на каждом запуске и вызывает запуск BitLocker в режиме восстановления.
Изменение авторизации использования корневого ключа хранилища TPM на ненулевую.
Процесс инициализации TPM BitLocker задает значение авторизации использования до нуля, поэтому другой пользователь или процесс должны явно изменить это значение.
Отключение проверки целостности кода или включение подписи тестов на Windows boot manager (Bootmgr).
Нажатие клавиши F8 или F10 во время процесса загрузки.
Добавление или удаление надстройки (например, видео или сетевых карт) или обновление прошивки на надстройки.
Использование горячего ключа BIOS во время процесса загрузки для изменения порядка загрузки на что-то другое, кроме жесткого диска.
Перед началом восстановления рекомендуется определить причину восстановления. Это может помочь предотвратить повторение проблемы в будущем. Например, если вы определите, что злоумышленник изменил компьютер, получив физический доступ, можно создать новые политики безопасности для отслеживания физических участников. После использования пароля восстановления для восстановления доступа к компьютеру BitLocker повторно использует ключ шифрования к текущим значениям измеренных компонентов.
В запланированных сценариях, таких как известные обновления оборудования или прошивки, можно избежать инициации восстановления, временно приостановив защиту BitLocker. Так как приостановка BitLocker оставляет диск полностью зашифрованным, администратор может быстро возобновить защиту BitLocker после завершения запланированной задачи. Использование приостановки и возобновления также повторное использование ключа шифрования без необходимости ввода ключа восстановления.
Если приостановка BitLocker автоматически возобновляет защиту при перезагрузке компьютера, если только не задано количество перезагрузок с помощью средства командной строки manage-bde.
Если для обслуживания программного обеспечения требуется перезапуск компьютера, а вы используете двух факторов проверку подлинности, можно включить разблокировку сети BitLocker для предоставления дополнительного фактора проверки подлинности, если на компьютерах нет локального пользователя для предоставления дополнительного метода проверки подлинности.
Восстановление описано в контексте незапланированного или нежелательных поведения, но для управления управлением доступом можно также вызвать восстановление как предполагаемый производственный сценарий. Например, при передиске настольных или портативных компьютеров в другие отделы или сотрудники предприятия можно принудить BitLocker к восстановлению перед тем, как компьютер будет передан новому пользователю.
Тестирование восстановления
Принудительное восстановление для локального компьютера:
Принудительное восстановление удаленного компьютера:
На экране Начните введите **cmd.exe, **а затем выберите Выполнить в качестве администратора.
Планирование процесса восстановления
При планировании процесса восстановления BitLocker сначала проконсультируйтесь с текущей практикой организации по восстановлению конфиденциальной информации. Например: как ваше предприятие обрабатывает потерянные Windows паролей? Как ваша организация выполняет сброс ПИН-кода смарт-карт? С помощью этих методов и связанных с ними ресурсов (людей и средств) можно сформулировать модель восстановления BitLocker.
Организации, которые используют шифрование дисков BitLocker и BitLocker To Go для защиты данных на большом количестве компьютеров и съемных дисках с Windows 11, Windows 10, Windows 8 или Windows 7 операционных систем и Windows go следует рассмотреть возможность использования версии 2.0 средства администрирования и мониторинга Microsoft BitLocker (MBAM), который входит в пакет оптимизации рабочего стола Майкрософт для Microsoft Software Assurance. MBAM упрощает развертывание и управление реализацией BitLocker и позволяет администраторам обеспечить и отслеживать шифрование для операционной системы и фиксированных дисков. MBAM подсказывает пользователю перед шифрованием фиксированных дисков. MBAM также управляет ключами восстановления для фиксированных и съемных дисков, что упрощает управление восстановлением. MBAM можно использовать в рамках развертывания microsoft System Center или в качестве отдельного решения. Дополнительные сведения см. в веб-сайте Microsoft BitLocker Administration and Monitoring.
После начала восстановления BitLocker пользователи могут использовать пароль восстановления для разблокирования доступа к зашифрованным данным. Рассмотрите методы самостоятельного восстановления и восстановления паролей для организации.
При определении процесса восстановления необходимо:
Ознакомьтесь с тем, как получить пароль восстановления. См.:
Определите ряд действий для после восстановления, включая анализ причин восстановления и сброс пароля восстановления. См.:
Самостоятельное восстановление
В некоторых случаях у пользователей может быть пароль восстановления в распечатке или флеш-накопителе USB, и они могут самостоятельно восстанавливаться. Мы рекомендуем вашей организации создать политику самостоятельного восстановления. Если самолечение включает использование пароля или ключа восстановления, хранимых на флеш-накопителе USB, пользователям следует предупредить о том, что не следует хранить флеш-накопитель USB в том же месте, что и компьютер, особенно во время поездок, например, если компьютер и элементы восстановления находятся в одной сумке, то несанкционированному пользователю легко получить доступ к компьютеру. Еще одна политика, которую следует учитывать, — связаться с helpdesk пользователями до или после самостоятельного восстановления, чтобы можно было определить корневую причину.
Восстановление пароля
Если у пользователя нет пароля восстановления в распечатке или на флеш-накопителе USB, пользователю необходимо будет получить пароль восстановления из источника в Интернете. Если компьютер является членом домена, пароль восстановления может быть восстановлен до AD DS. Однако это не происходит по умолчанию. Необходимо настроить соответствующие параметры групповой политики до включения BitLocker на компьютере. Параметры групповой политики BitLocker можно найти в редакторе локальной групповой политики или консоли управления групповой политикой (GPMC) под конфигурацией компьютера\Административные шаблоны\Windows компоненты\BitLocker Drive Encryption. В следующих параметрах политики определяются методы восстановления, которые можно использовать для восстановления доступа к диску с защитой BitLocker, если метод проверки подлинности не удается использовать.
В каждой из этих политик выберите сохранить сведения о восстановлении BitLocker в службы домена Active Directory, а затем выберите сведения о восстановлении BitLocker для хранения в службах домена Active Directory (AD DS). Выберите не включите BitLocker до тех пор, пока сведения о восстановлении не будут храниться в поле AD DS, если вы хотите запретить пользователям включить BitLocker, если компьютер не подключен к домену, а резервное копирование данных о восстановлении BitLocker для диска с AD DS не удастся.
Если компьютеры являются частью группы, пользователям рекомендуется сохранить пароль восстановления BitLocker с помощью учетной записи Microsoft Online. Рекомендуется иметь в Интернете копию пароля восстановления BitLocker, чтобы убедиться, что вы не потеряете доступ к данным в случае необходимости восстановления.
Средство просмотра паролей bitLocker для пользователей и компьютеров Active Directory позволяет администраторам домена просматривать пароли восстановления BitLocker для определенных объектов компьютера в Active Directory.
Следующий список можно использовать в качестве шаблона для создания собственного процесса восстановления для восстановления пароля. В этом примере используется средство просмотра паролей bitLocker для пользователей и компьютеров Active Directory.
Запись имени компьютера пользователя
Вы можете использовать имя компьютера пользователя, чтобы найти пароль восстановления в AD DS. Если пользователь не знает имя компьютера, попросите его прочитать первое **** слово метки диска в пользовательском интерфейсе ввода пароля шифрования bitLocker Drive. Это имя компьютера, когда был включен BitLocker и, вероятно, является текущим именем компьютера.
Проверка удостоверения пользователя
Убедитесь, что запрашивает пароль восстановления действительно авторизованный пользователь этого компьютера. Кроме того, может потребоваться убедиться, что компьютер с именем пользователя принадлежит пользователю.
Найдите пароль восстановления в AD DS
Найдите объект Computer с совпадающий именем в AD DS. Так как имена объектов Computer перечислены в глобальном каталоге AD DS, вы должны иметь возможность найти объект, даже если у вас есть много доменный лес.
Несколько паролей восстановления
Если несколько паролей восстановления хранятся под компьютерным объектом в AD DS, имя информационного объекта для восстановления BitLocker включает дату создания пароля.
Если в любое время вы не знаете, какой пароль предоставить, или если вы думаете, что предоставляете неправильный пароль, попросите пользователя прочитать восемь код паролей символов, отображающийся на консоли восстановления.
Так как код пароля — это уникальное значение, связанное с каждым паролем восстановления, хранимым в AD DS, при запуске запроса с помощью этого ID будет находиться правильный пароль для разблокировки зашифрованного тома.
Сбор сведений для определения причин восстановления
Прежде чем предоставить пользователю пароль восстановления, необходимо собрать любую информацию, которая поможет определить, почему было необходимо восстановление, чтобы проанализировать корневую причину во время анализа после восстановления. Дополнительные сведения об анализе после восстановления см. в публикации Post-recovery analysis.
Дайте пользователю пароль восстановления
Так как пароль восстановления составляет 48 цифр, пользователю может потребоваться записать пароль, записав его или введя его на другом компьютере. Если вы используете MBAM, пароль восстановления будет восстановлен после его восстановления из базы данных MBAM, чтобы избежать рисков безопасности, связанных с неконтролируемым паролем.
Так как 48-значный пароль восстановления длинный и содержит комбинацию цифр, пользователь может ошибться или неправильно напечатать пароль. Консоль восстановления во время загрузки использует встроенные номера проверок для обнаружения ошибок ввода в каждом 6-значном блоке 48-значного пароля восстановления и предоставляет пользователю возможность исправить такие ошибки.
Анализ после восстановления
Когда том разблокирован с помощью пароля восстановления, событие записляется в журнал событий и измерения проверки платформы сбрасываются в TPM, чтобы соответствовать текущей конфигурации. Разблокировка тома означает, что ключ шифрования был выпущен и готов к шифрованию на лету при записи данных в том и расшифровке на лету при считывке данных из тома. После разблокирования тома BitLocker ведет себя одинаково независимо от того, как был предоставлен доступ.
Если вы заметили, что на компьютере повторно разблокирован пароль восстановления, может потребоваться, чтобы администратор выполнял анализ после восстановления, чтобы определить корневую причину проверки платформы BitLocker и обновить ее, чтобы пользователю больше не было необходимости вводить пароль восстановления каждый раз, когда компьютер запускается. См.:
Определение первопричины восстановления
Если пользователю необходимо восстановить диск, важно как можно скорее определить причину, которая инициировала восстановление. Правильное анализ состояния компьютера и обнаружение фальсификации могут выявить угрозы, которые имеют более широкие последствия для безопасности предприятия.
Хотя администратор может удаленно исследовать причину восстановления в некоторых случаях, конечному пользователю может потребоваться принести компьютер, содержащий восстановленный диск на сайте, чтобы проанализировать корневую причину далее.
Просмотрите и ответьте на следующие вопросы для организации:
Чтобы помочь вам ответить на эти вопросы, используйте средство командной строки BitLocker для просмотра текущего режима конфигурации и защиты (например, manage-bde-status). Сканируйте журнал событий, чтобы найти события, которые помогают указать, почему было начато восстановление (например, если файл загрузки изменился). Обе эти возможности можно выполнять удаленно.
Устранение первопричины
После того как вы определили, что вызвало восстановление, можно сбросить защиту BitLocker и избежать восстановления на каждом запуске.
Сведения об этом сбросе могут отличаться в зависимости от первопричины восстановления. Если вы не можете определить корневую причину, или если вредоносное программное обеспечение или корневой набор могли заразить компьютер, helpdesk следует применить политики вирусов, которые будут применяться в лучших практиках, чтобы соответствующим образом реагировать.
Вы можете выполнить сброс профиля проверки BitLocker, приостановив и повторно приостановив BitLocker.
Неизвестный ПИН-код
Если пользователь забыл ПИН-код, необходимо сбросить ПИН-код во время входа на компьютер, чтобы предотвратить восстановление BitLocker при каждом перезапуске компьютера.
Чтобы предотвратить дальнейшее восстановление из-за неизвестного ПИН-кода
Потерянный ключ запуска
Если вы потеряли usb-флеш-накопитель, содержащий ключ запуска, необходимо разблокировать диск с помощью ключа восстановления, а затем создать новый ключ запуска.
Чтобы предотвратить продолжение восстановления из-за потерянного ключа запуска
Изменения файлов загрузки
Эта ошибка может возникнуть при обновлении прошивки. В качестве наилучшей практики следует приостановить работу BitLocker перед внесением изменений в прошивку, а затем возобновить защиту после завершения обновления. Это действие не позволяет компьютеру ходить в режим восстановления. Однако если при защите BitLocker были внесены изменения, войдите на компьютер с помощью пароля восстановления, и профиль проверки платформы будет обновлен, чтобы восстановление не произошло в следующий раз.
Windows RE и шифрование устройств BitLocker
Windows Среда восстановления (RE) может использоваться для восстановления доступа к диску, защищенного шифрованием устройств BitLocker. Если компьютер не может загрузиться после двух сбоев, запуск восстановления автоматически начнется. При запуске восстановления запуска автоматически из-за сбоев загрузки выполняется только ремонт операционной системы и файлов драйвера при условии, что журналы загрузки или любые доступные точки аварийного сброса в определенный поврежденный файл. В Windows 8.1 и более поздних версиях устройства, которые включают прошивку для поддержки определенных измерений TPM для PCR[7] TPM могут проверить, что Windows RE является надежной операционной средой, и разблокировать любые диски, защищенные bitLocker, если Windows RE не были изменены. Если среда Windows RE изменена, например отключена TPM, диски будут заблокированы до тех пор, пока не будет предоставлен ключ восстановления BitLocker. Если восстановление запуска не может работать автоматически с компьютера и вместо этого Windows RE запускается вручную с диска восстановления, необходимо предоставлять ключ восстановления BitLocker для разблокировки защищенных дисков BitLocker.
Экран восстановления BitLocker
Во время восстановления BitLocker Windows отображать настраиваемые сообщения восстановления и подсказки, которые определяют, откуда можно получить ключ. Эти улучшения могут помочь пользователю во время восстановления BitLocker.
Настраиваемые сообщения восстановления
Параметры групповой политики BitLocker в Windows 10, версии 1511 или Windows 11 позволит настроить настраиваемое сообщение восстановления и URL-адрес на экране восстановления BitLocker, который может включать адрес портала восстановления самообслужировки BitLocker, внутреннего веб-сайта ИТ или номера телефона для поддержки.
Эта политика может быть настроена **** с помощью GPO в соответствии с административными шаблонами конфигурации компьютера Windows компоненты > **** > **** > BitLocker Drive EncryptionOperating System Drive Настрой сообщение о восстановлении перед загрузкой и > **** > URL-адрес.
Пример настраиваемого экрана восстановления:
Подсказки ключа восстановления BitLocker
Метаданные BitLocker были улучшены в Windows 10 версии 1903 или Windows 11, чтобы включить сведения о том, когда и где был восстановлен ключ восстановления BitLocker. Эта информация не подвергается воздействию через пользовательский интерфейс или какой-либо общедоступный API. Он используется только экраном восстановления BitLocker в виде подсказок, чтобы помочь пользователю найти ключ восстановления тома. Подсказки отображаются на экране восстановления и ссылаются на расположение, где был сохранен ключ. Подсказки отображаются на современном (синем) и устаревшем (черном) экране восстановления. Это относится как к экрану восстановления диспетчера загрузки, так и к экрану разблокировки WinRE.
Мы не рекомендуем печатать ключи восстановления или сохранять их в файле. Вместо этого используйте резервное копирование Active Directory или облачное резервное копирование. Облачное резервное копирование включает Azure Active Directory (Azure AD) и Учетную запись Майкрософт.
Существуют правила, регулирующие, какой подсказка отображается во время восстановления (в порядке обработки):
Пример 1 (один ключ восстановления с одной резервной копией)
| Настраиваемый URL-адрес | Да |
|---|---|
| Сохранено в учетной записи Майкрософт | Да |
| Сохранено в Azure AD | Нет |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено для файла | Нет |
Результат: Отображается подсказка для учетной записи Майкрософт и настраиваемый URL-адрес.
Пример 2 (один ключ восстановления с одной резервной копией)
| Настраиваемый URL-адрес | Да |
|---|---|
| Сохранено в учетной записи Майкрософт | Нет |
| Сохранено в Azure AD | Нет |
| Сохранено в Active Directory | Да |
| Напечатано | Нет |
| Сохранено для файла | Нет |
Результат: Отображается только настраиваемый URL-адрес.
Пример 3 (один ключ восстановления с несколькими резервными копиями)
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетной записи Майкрософт | Да |
| Сохранено в Azure AD | Да |
| Сохранено в Active Directory | Нет |
| Напечатано | Да |
| Сохранено для файла | Да |
Результат: Отображается только подсказка учетной записи Майкрософт.
Пример 4 (несколько паролей восстановления)
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетной записи Майкрософт | Нет |
| Сохранено в Azure AD | Нет |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено для файла | Да |
| Creation time (время создания) | 1PM |
| ИД ключа | A564F193 |
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетной записи Майкрософт | Нет |
| Сохранено в Azure AD | Нет |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено для файла | Нет |
| Creation time (время создания) | 3PM |
| ИД ключа | T4521ER5 |
Результат: Отображается только подсказка для успешно отламываемой клавиши, даже если это не самый последний ключ.
Пример 5 (несколько паролей восстановления)
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетной записи Майкрософт | Да |
| Сохранено в Azure AD | Да |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено для файла | Нет |
| Creation time (время создания) | 1PM |
| ИД ключа | 99631A34 |
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетной записи Майкрософт | Нет |
| Сохранено в Azure AD | Да |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено для файла | Нет |
| Creation time (время создания) | 3PM |
| ИД ключа | 9DF70931 |
Результат: Отображается подсказка для последнего ключа.
Использование дополнительных сведений о восстановлении
Помимо 48-значного пароля восстановления BitLocker в Active Directory хранятся другие типы данных восстановления. В этом разделе описывается, как можно использовать эту дополнительную информацию.
Пакет ключей BitLocker
Если методы восстановления, рассмотренные ранее в этом документе, не разблокируют объем, можно использовать средство BitLocker Repair для расшифровки тома на уровне блока. Средство использует пакет ключей BitLocker для восстановления зашифрованных данных с сильно поврежденных дисков. Вы можете использовать эти восстановленные данные для спасения зашифрованных данных даже после того, как правильный пароль восстановления не смог разблокировать поврежденный том. Рекомендуется сохранить пароль восстановления. Пакет ключей нельзя использовать без соответствующего пароля восстановления.
Чтобы использовать пакет ключей BitLocker, необходимо использовать средство ремонта BitLocker Repair-bde.
Пакет ключей BitLocker не сохранен по умолчанию. Чтобы сохранить пакет вместе с паролем восстановления в AD **** DS, необходимо выбрать пароль восстановления резервного копирования и параметр пакета ключей в параметрах групповой политики, которые контролируют метод восстановления. Вы также можете экспортировать пакет ключей из рабочего тома. Дополнительные сведения об экспорте пакетов ключей см. в материале Retrieving the BitLocker Key Package.
Сброс паролей восстановления
Недействительный пароль восстановления после его использования. Это также должно быть сделано, если по какой-либо причине необходимо намеренно признать недействительным существующий пароль восстановления.
Пароль восстановления можно сбросить двумя способами:
Чтобы сбросить пароль восстановления с помощью manage-bde:
Удаление предыдущего пароля восстановления
Добавление нового пароля восстановления
Получите ID нового пароля восстановления. С экрана скопируйте код пароля восстановления.
Восстановление нового пароля восстановления в AD DS.
Необходимо включить скобки в строку ID.
Чтобы запустить сценарий примера пароля восстановления:
Сохраните следующий пример сценария в файле VBScript. Например: ResetPassword.vbs.
В командной подсказке введите команду, аналогичную следующему примеру сценария:
cscript ResetPassword.vbs
Этот пример сценария настроен для работы только для тома C. Сценарий необходимо настроить так, чтобы он совпадал с объемом, в котором необходимо протестировать сброс пароля.
Для управления удаленным компьютером можно указать имя удаленного компьютера, а не имя локального компьютера.
Чтобы сбросить пароли восстановления, можно использовать следующий пример сценария для создания файла VBScript.
Ирисовка пакета ключей BitLocker
Вы можете использовать два метода для получения пакета ключей, как описано в использовании дополнительных данных восстановления:
В следующем примере скрипт экспортирует все ранее сохраненные пакеты ключей из AD DS.
Чтобы запустить сценарий выборки ключей для ирисовки пакета:
Сохраните следующий пример сценария в файле VBScript. Например: GetBitLockerKeyPackageADDS.vbs.
В командной подсказке введите команду, аналогичную следующему примеру сценария:
Вы можете использовать следующий пример сценария для создания файла VBScript для получения пакета ключей BitLocker из AD DS:
В следующем примере скрипт экспортирует новый пакет ключей из разблокированного зашифрованного тома.
Чтобы запустить сценарий выборки ключей для ирисовки пакета:
Сохраните следующий пример сценария в файле VBScript. Например: GetBitLockerKeyPackage.vbs
Откройте командную подсказку администратора и введите команду, аналогичную следующему примеру сценария: