Как разблокировать bitlocker не зная пароль
Перейти к содержимому

Как разблокировать bitlocker не зная пароль

  • автор:

Поиск ключа восстановления BitLocker в Windows

Если система запрашивает ключ восстановления BitLocker, приведенные ниже сведения помогут вам найти ключ восстановления и понять, почему вам предлагается его предоставить.

Важно: Служба поддержки Майкрософт не может предоставить или повторно создать потерянный ключ восстановления BitLocker.

Где найти ключ восстановления BitLocker?

BitLocker, вероятно, обеспечил безопасное резервное копирование ключа восстановления перед активацией защиты. Ключ восстановления может находиться в нескольких местах, в зависимости от того, какой параметр был выбран при активации BitLocker.

Ваш браузер не поддерживает видео. Установите Microsoft Silverlight, Adobe Flash Player или Internet Explorer 9.

Возникли проблемы при воспроизведении видео? Посмотрите его на YouTube.

    В учетной записи Майкрософт: Откройте веб-браузер на другом устройстве. Перейдите к https://account.microsoft.com/devices/recoverykey, чтобы найти ключ восстановления.

Совет: Вы можете войти в учетную запись Майкрософт на любом устройстве с доступом в Интернет, например на смартфоне.

Он должен выглядеть примерно так:

Панель ключей восстановления BitLocker в учетной записи Майкрософт.

Примечание: Если устройство было настроено или bitLocker был включен кем-то другим, ключ восстановления может находиться в учетной записи Майкрософт этого пользователя.

Совет: Во время COVID мы видели много клиентов, которые вдруг работали или посещали школу из дома, и, возможно, их попросили войти в рабочую или учебную учетную запись с личного компьютера. Если это был и ваш опыт, возможно, на вашей работе или в учебном заведении есть копия ключа восстановления BitLocker.

  • Если вам не удается найти ключ восстановления BitLocker и не удается отменить изменения изменения конфигурации, которые могли привести к его необходимости, вам потребуется сбросить устройство с помощью одного из вариантов восстановления Windows. Сброс устройства приведет к удалению всех файлов.
  • Служба поддержки Майкрософт не может предоставить или повторно создать потерянный ключ восстановления BitLocker.

Щелкните заголовки ниже для получения дополнительных сведений.

Что такое ключ восстановления BitLocker?

Ключ восстановления BitLocker — это уникальный 48-значный цифровой пароль, который можно использовать для разблокировки системы, если функция BitLocker не может другим способом точно определить, что попытка доступа к системному диску была санкционированной.

Почему система Windows запрашивает ключ восстановления BitLocker?

BitLocker — это технология шифрования Windows, которая защищает данные от несанкционированного доступа, шифруя диск и требуя одного или нескольких факторов проверки подлинности, прежде чем он разблокирует его.

Windows потребуется ключ восстановления BitLocker при обнаружении возможной несанкционированной попытки доступа к данным. Этот дополнительный шаг представляет собой меру безопасности, призванную обеспечить безопасность ваших данных. Это также может произойти, если вы вносите изменения в оборудование, встроенное ПО или программное обеспечение, которые BitLocker не может отличить от возможной атаки. В таких случаях функция BitLocker может требовать прохождение дополнительной проверки безопасности в виде предоставления ключа восстановления, даже если пользователь является авторизованным владельцем устройства. Это должно быть уверено, что человек, пытающийся разблокировать данные, действительно авторизован.

Как функция BitLocker активируется на моем устройстве?

Есть три стандартных способа активировать защиту BitLocker на вашем устройстве.

  • Ваше устройство — это современное устройство, которое соответствует определенным требованиям для автоматического включения шифрования устройства: В этом случае ключ восстановления BitLocker автоматически сохраняется в учетной записи Майкрософт перед активацией защиты.
  • Владелец или администратор личного устройства активировал BitLocker (на некоторых устройствах также называется шифрованием устройства) с помощью приложения «Параметры» или панель управления: В этом случае пользователь, активировав BitLocker, выбрал место сохранения ключа или (в случае шифрования устройства) он был автоматически сохранен в своей учетной записи Майкрософт.
  • Рабочая или учебная организация, управляющая устройством (в настоящее время или в прошлом), активировала защиту BitLocker на вашем устройстве: В этом случае у организации может быть ключ восстановления BitLocker.

Статьи по теме

  • Резервное копирование ключа восстановления BitLocker
  • Шифрование устройств в Windows
  • Параметры восстановления в Windows 10

Советы по разблокировке BitLocker без пароля и ключа восстановления

Предположим, вы забыли свой пароль BitLocker или, что еще хуже, свой ключ восстановления на диске. Что бы вы сделали? В этом руководстве вы узнаете, как разблокировать BitLocker без пароля и ключа восстановления, чтобы знать, что делать, сталкиваясь с такой проблемой.

В этой статье:

Как разблокировать BitLocker без пароля?

При шифровании диска Windows вам передается текстовый файл, содержащий код под названием Ключ восстановления, который вы сохранили в своей системе. Сохранение этого файла является необходимым шагом в шифровании диска, чтобы впоследствии вы могли найти этот файл с помощью простого поиска в системе.

Если вы забыли пароль к заблокированному диску, вы можете использовать этот код чтобы получить доступ к диску следующим образом:

  • Шаг 1. Нажмите дважды, чтобы открыть окно пароля, или нажмите правой кнопкой мыши и выберите Разблокировать диск.

выберите разблокировать диск

  • Шаг 2. Нажмите Дополнительные параметры.

нажмите дополнительные параметры

  • Шаг 3. В открывшемся окне вы увидите два варианта. Нажмите Ввести ключ восстановления.

Меньше параметров: Открывает и закрывает параметры в окне в виде сворачивания.

Введите ключ восстановления: Вы можете ввести свой код восстановления в это поле.

введите ключ восстановления

  • Шаг 4. Чтобы разблокировать BitLocker, скопируйте код, который вы ранее сохранили, в текстовый файл и введите его в качестве ключа восстановления.

скопируйте код

Если вы забудете пароль BitLocker, у вас должен быть доступ к ключу восстановления, чтобы иметь возможность разблокировать диск BitLocker. Этот код восстановления был сохранен в вашей системе как текстовый файл, поскольку диск был зашифрован. Если у вас нет доступа к этому коду, вы не сможете расшифровать свой диск с помощью метода, упомянутого выше, и вам нужно сразу перейти к разделу, как разблокировать BitLocker без ключа восстановления в этом руководстве.

  • Шаг 5. Наконец, нажмите Разблокировать. Диск Windows будет разблокирован, и затем вы можете получить к нему доступ.

нажмите разблокировать

Что следует учитывать при попытке разблокировать BitLocker с помощью ключа восстановления:

  • У вас должен быть доступ к файлу, содержащему ключ восстановления.
  • Если у вас нет этот код, вы можете найти файл с именем ключ восстановления BitLocker.txt.
  • После расшифровки диск разблокируется и больше не будет запрашивать пароль при входе в систему. Если вы должны повысить уровень безопасности после расшифровки, рекомендуется установить другой пароль. Но на этот раз постарайтесь запомнить его.

Как разблокировать BitLocker без пароля и ключа восстановления?

Если вы потеряли не только пароль BitLocker, но и ключ восстановления, разблокировать диск BitLocker без потери всех данных не получится. Вам необходимо отформатировать зашифрованные диски, чтобы удалить BitLocker.

Узнайте больше: Как найти ключ восстановления BitLocker?

1. Отформатируйте жесткий диск или USB-накопитель, чтобы разблокировать BitLocker

В Windows для форматирования диска необходимо сначала подключить запоминающее устройство к системе. Убедитесь, что USB-кабель или USB-порт не повреждены, а затем выполните следующие действия:

  1. Подождите, пока Windows обнаружит диск.
  2. Нажмите и удерживайте Win + E, чтобы запустить Проводник.
  3. Нажмите Этот компьютер на боковой панели.
  4. Нажмите правой кнопкой мыши диск и выберите Форматировать.
  5. Вы можете выбрать формат диска в раскрывающемся меню Файловая система во всплывающем окне.
  6. В Метке тома введите название диска.
  7. Чтобы быстро отформатировать диск установите флажок Быстрое форматирование.
  8. Наконец, нажмите Пуск.

отформатировать диск в windows

2. Чтобы разблокировать BitLocker отформатируйте USB-Накопитель с помощью CMD

Форматирование флэшки займет некоторое время, в зависимости от емкости накопителя и объема хранимой на нем информации. Чтобы отформатировать флешку с помощью CMD, вам необходимо выполнить следующие шаги:

  1. Запустите Командную строку от имени Запуск от имени администратора.
  2. После запуска Командной строки введите команду diskpart и нажмите клавишу ввода.

(Обратите внимание, что форма подсказки автоматически изменится после ввода этой команды и нажатия клавиши ввода.)

введите команду diskpart

  1. Чтобы отобразить список дисков в вашей системе введите команду listdisk.

(Убедитесь, что флэшка USB подключен к системе.)

войти в listdisk

  1. Проверьте, какой номер связан с вашим USB-накопителем.

(Например, здесь цифра 2 — это флешка. Затем вам необходимо ввести команду selectdisk 2.)

Определите номер диска вашей флешки из списка и введите его.

проверить номер, связанный с флешкой

  1. Введите команду clean и подождите, пока все на диске будет удалено.
  2. Когда вы используете эту команду для привода или диска, любой раздел или том на диске будет отформатирован. Вот так простое слово в Diskpart полностью удаляет все разделы на диске и форматирует его.

введите команду очистки

  1. Как только вы увидите в нижней строке этой команды сообщение Удалось очистить диск, это означает, что данные с флешки были полностью удалены, а накопитель отформатирован.
  2. Теперь введите create partition primary и нажмите клавишу ввода.

команда create partition primary

  1. После того, как diskpart успешно создаст указанный раздел, format fs = ntfs и нажмите войти.
  2. Этот процесс может занять несколько минут, в зависимости от емкости вашего USB-накопителя, так как это будет выполняться в обычном, а не в Быстром формате. Если вы хотите, чтобы это было сделано быстрее, используйте быструю команду format fs=ntfs вместо format fs=ntfs

введите и введите format fs=ntfs

  1. Теперь вам нужно назначить букву диска тому разделу, который вы создали, а затем отформатировали.
  2. Для этого введите команду assign и войдите.

введите команду assign

  1. Следуя вышеперечисленным командам, вы можете отформатировать жесткий диск компьютера, внешний жесткий диск или любое другое запоминающее устройство, а также флешки.

3. Разблокируйте диск BitLocker без пароля и ключа восстановления на Mac

Вот как отформатировать и разблокировать диск BitLocker, если вы используете Mac:

  1. Запустите Дисковую утилиту. Перейдите в Приложения > Утилиты или нажмите Команда + Пробел и введите Disk Utility.
  2. После открытия Дисковой утилиты слева вы увидите список доступных дисков. Выберите диск, который необходимо отформатировать. Обратите внимание, что все его содержимое диска будет удалено при форматировании.

выберите нужный диск для форматирования

  1. Из четырех вариантов в главном окне нажмите Стереть.

Дисковая утилита автоматически выберет формат для вас. Этот формат может быть APFS или, в зависимости от текущего формата диска, а также от того, используете ли вы macOS High Sierra или более старую версию операционной системы, это может быть Mac OS Extended (с журналированием). Если вы хотите использовать другой формат, нажмите Форматирование, чтобы открыть всплывающее окно. В зависимости от того, как вы планируете использовать отформатированный диск, выберите формат, который соответствует вашим потребностям.

выберите подходящий формат

  1. Следующим шагом будет присвоение название диску. Название может быть каким угодно, но рекомендуется выбрать конкретное название, описывающее содержимое диска.
  2. Нажмите Параметры безопасности. Откроется другое окно, в котором вы сможете выбрать способ форматирования диска с помощью ползунка от Самый быстрый до Наиболее безопасный. Это важный этап, если вы хотите убедиться, чтобы все текущие файлы на диске будут удалены.
  3. Самый быстрый удаляя лишние данные, очищает данные диска, но исходные файлы остаются нетронутыми, хотя и остаются скрытыми. Это означает, что вы или кто-то другой можете легко восстановить файлы с помощью программа для восстановления данных, что не обязательно является хорошей идеей. Переместите ползунок ко второму варианту, где указано, что Этот параметр записывает один проход нулей по всему диску. Эта опция перезапишет весь диск.
  4. Для дополнительной безопасности продолжайте перемещать ползунок вправо. Следующий шаг дает вам возможность перезаписать диск три раза. Переместите ползунок в нижнюю часть ползунка до параметра Наиболее безопасный, что приведет к перезаписи диска семь раз. Но вам придется долго (в зависимости от размера диска) ждать, пока он станет доступен для повторного использования.

дополнительная безопасность

  1. Нажмите Стереть и подождите, пока содержимое диска будет очищено и диск будет готов к использованию. Индикатор выполнения показывает, где находится форматирование вашего диска и сколько времени займет завершение процесса.

нажмите стереть

Заключительное слово

Не знать, как разблокировать BitLocker без пароля и ключа восстановления, может быть довольно сложно. Хорошей новостью является то, что с помощью ключа восстановления вы можете разблокировать диск BitLocker, если вы забыли пароль. Плохая новость заключается в том, что если у вас нет доступа к ключу восстановления, единственное другое решение — просто отформатировать весь диск.

Как разблокировать BitLocker Windows 10

Функция BitLocker впервые появилась в Vista максимальной и корпоративной редакций, а затем успешно была унаследована всеми последующими версиями операционной системы Windows. BitLocker представляет собой средство шифрования данных на локальном диске, а также службу, обеспечивающую защиту этих данных без непосредственного участия пользователя. В Windows 10 BitLocker поддерживает шифрование с использованием алгоритма AES 128 и AES 256, для защиты данных служба может использовать работающий в связке с данными учётной записи текстовый пароль, а также специальный набор данных, хранящийся на внешнем устройстве — так называемой смарт-карте или токене, которые, между прочим, также используют защиту паролем, в роли которого выступает пин-код.

↑ Как разблокировать BitLocker Windows 10

При активации BitLocker перед процедурой шифрования создаётся идентификатор и ключ восстановления — строка из 48-символов, с помощью которой можно разблокировать доступ к зашифрованному тому в случае утере утери пароля или смарт-карты. После того как том будет заблокирован, получить к нему доступ можно будет только подключив к ПК токен и введя его PIN-код или введя обычный пароль либо воспользовавшись ключом восстановления, если токен или пароль были утеряны. Процедура проста и не требует никаких технических навыков. Кликните дважды по заблокированному разделу, а когда в верхнем правом углу появится приглашение вести пароль, нажмите в окошке «Дополнительные параметры» → «Введите ключ восстановления». Скопируйте из файла «Ключ восстановления BitLocker» 48-значный ключ, вставьте его в соответствующее поле и, убедившись, что первые восемь символов ID ключа совпадают с первыми восьмью символами идентификатора ключа в файле «Ключ восстановления BitLocker», нажмите «Разблокировать». Раздел будет разблокирован точно так же, как если бы вы ввели пароль или воспользовались токеном. Если вы зашифровали системный том, на экране ввода пароля нужно будет нажать клавишу ECS и ввести в ключ восстановления.

↑ Как разблокировать BitLocker, если система не загружается

До этого мы имели дело с работающей системой, но давайте представим, что по какой-то причине Windows не может загрузиться, а получить доступ к данным нужно. В этом случае можно воспользоваться спасательным диском на базе WinPE, тем же WinPE 10-8 Sergei Strelec, о котором мы уже не раз писали. Всё очень просто. Загрузившись с диска, выполняем те же действия, что и в рабочей Windows: кликаем дважды по зашифрованному диску, жмём «Дополнительные параметры» → «Введите ключ восстановления», вводим ключ и нажимаем «Разблокировать». В другом спасательном диске — AdminPE для разблокировки BitLocker в контекстном меню предусмотрена опция «Разблокировать, используя ключ восстановления».

↑ Можно ли взломать BitLocker

Да, можно, но для этого вам всё равно понадобятся ключи шифрования, для извлечения которых хакеры пользуются уязвимостями, которые оставила в криптографической система сама Microsoft, сознательно пойдя на компромисс между надёжностью и удобством. Например, если ваш ПК присоединён к домену, ключи BitLocker автоматически отправляются в Active Directory на случай их утери. Кстати, получение копий ключей из учётной записи или Active Directory является основным способом взлома BitLocker. А ещё открытые копии ключей сохраняются в оперативной памяти компьютера, а значит и в файле дампа ОЗУ, и в файле гибернации, из которых их также можно извлечь, получив физический доступ к жёсткому диску. Получается так, что каким бы ни был надёжным сам алгоритм шифрования, весь результат его работы нивелируется организацией работы с ключами. Поэтому пользоваться BitLocker есть смысл только вместе с другими механизмами безопасности, в частности, с шифрованной файловой системой и службой управления правами доступа.

tagsКлючевые слова

Рекомендуем другие статьи по данной теме

Обзор восстановления BitLocker

Восстановление BitLocker — это процесс, с помощью которого можно восстановить доступ к диску, защищенному BitLocker, если диск не разблокируется с помощью механизма разблокировки по умолчанию.

В этой статье описаны сценарии, запускающие восстановление BitLocker, настройка устройств для сохранения сведений о восстановлении и параметры восстановления доступа к заблокированному диску.

Сценарии восстановления BitLocker

В следующем списке приведены примеры распространенных событий, которые приводят к переходу устройства в режим восстановления BitLocker при запуске Windows.

  • Слишком много раз ввод неправильного ПИН-кода
  • Отключение поддержки чтения USB-устройства в среде предварительной загрузки из встроенного ПО BIOS или UEFI при использовании usb-ключей вместо доверенного платформенного модуля
  • Наличие компакт-диска или DVD-диска перед жестким диском в порядке загрузки BIOS (как правило, с виртуальными машинами)
  • Закрепление или отстыковка портативного компьютера
  • Изменения в таблице разделов NTFS на диске
  • Изменения в диспетчере загрузки
  • Отключение, отключение, отключение или очистка доверенного платформенного модуля
  • Сбой самотестировщика доверенного платформенного модуля
  • Обновление материнской платы до новой с помощью нового доверенного платформенного модуля
  • Обновление критически важных компонентов раннего запуска, таких как обновление встроенного ПО BIOS или UEFI
  • Скрытие доверенного платформенного модуля из операционной системы
  • Изменение регистров конфигурации платформы (PCR), используемых профилем проверки доверенного платформенного модуля
  • Перемещение диска, защищенного BitLocker, на новый компьютер
  • На устройствах с TPM 1.2 изменение порядка загрузки BIOS или встроенного ПО

В рамках процесса восстановления BitLocker рекомендуется определить, что вызвало переход устройства в режим восстановления. Анализ первопричин может помочь предотвратить возникновение проблемы в будущем. Например, если вы определили, что злоумышленник изменил устройство, получив физический доступ, можно реализовать новые политики безопасности для отслеживания физического присутствия.

В запланированных сценариях, таких как известное обновление оборудования или встроенного ПО, можно избежать инициации восстановления, временно приостановив защиту BitLocker. При приостановке BitLocker диск остается полностью зашифрованным, и администратор может быстро возобновить защиту BitLocker после завершения запланированной задачи. При использовании приостановки и возобновления также повторно выполняется повторное выполнение ключа шифрования без необходимости ввода ключа восстановления.

В случае приостановки BitLocker автоматически возобновляет защиту при перезагрузке устройства, если только не указано количество перезагрузок с помощью PowerShell или средства командной manage-bde.exe строки. Дополнительные сведения о приостановке BitLocker см. в руководстве по операциям BitLocker.

Восстановление описывается в контексте незапланированного или нежелательного поведения. Однако восстановление также может быть вызвано как предполагаемый рабочий сценарий, например для управления доступом. При повторном развертывании устройств в других отделах или сотрудниках организации BitLocker можно принудительно выполнить восстановление, прежде чем устройство будет доставлено новому пользователю.

Параметры восстановления BitLocker

В сценарии восстановления могут быть доступны следующие параметры восстановления доступа к диску в зависимости от параметров политики, применяемых к устройствам:

  • Пароль восстановления: 48-значный номер, используемый для разблокировки тома в режиме восстановления. Пароль восстановления можно сохранить в виде текстового файла, распечатать или сохранить в Microsoft Entra id или Active Directory. Пользователь может указать пароль восстановления, если он доступен

Снимок экрана: экран восстановления BitLocker по умолчанию с запросом ввода пароля восстановления.

  • Ключ восстановления: ключ шифрования, хранящийся на съемных носителях, который можно использовать для восстановления данных, зашифрованных на томе BitLocker. Имя файла имеет формат .bek . Для диска ОС ключ восстановления можно использовать для получения доступа к устройству, если BitLocker обнаруживает условие, которое не позволяет разблокировать диск при запуске устройства. Ключ восстановления также можно использовать для получения доступа к фиксированным дискам с данными и съемным дискам, зашифрованным с помощью BitLocker, если по какой-либо причине пароль забыт или устройство не может получить доступ к диску.

Снимок экрана: экран восстановления BitLocker с запросом на подключение USB-накопителя с помощью ключа восстановления.

  • Пакет ключей: ключ расшифровки, который можно использовать со средством восстановления BitLocker для восстановления критически важных частей диска и восстановления данных. С помощью пакета ключей и пароля восстановления или ключа восстановления можно расшифровать части поврежденного диска, защищенного BitLocker. Каждый пакет ключей работает только для диска с соответствующим идентификатором диска. Пакет ключей не создается автоматически и может быть сохранен в файле или в доменные службы Active Directory. Пакет ключей не может храниться в идентификаторе Microsoft Entra
  • Сертификат агента восстановления данных. Агент восстановления данных (DRA) — это тип сертификата, который связан с субъектом безопасности Active Directory и может использоваться для доступа к любым зашифрованным дискам BitLocker, настроенным с соответствующим открытым ключом. Dra могут использовать свои учетные данные для разблокировки диска. Если диск является диском ОС, диск должен быть подключен как диск данных на другом устройстве, чтобы DRA разблокировал его.

Пароль восстановления и ключ восстановления могут быть предоставлены пользователями в панель управления апплете (для данных и съемных дисков) или на экране восстановления перед загрузки. Рекомендуется настроить параметры политики для настройки экрана восстановления перед загрузкой, например путем добавления настраиваемого сообщения, URL-адреса и контактных данных службы поддержки. Дополнительные сведения см. в статье Экран восстановления BitLocker перед загрузки.

При планировании процесса восстановления BitLocker сначала ознакомьтесь с текущими рекомендациями организации по восстановлению конфиденциальной информации. Пример:

☑️ Вопрос
�� Как организация обрабатывает потерянные или забытые пароли?
�� Как организация выполняет сброс ПИН-кода интеллектуального карта?
�� Разрешено ли пользователям сохранять или извлекать сведения о восстановлении для принадлежащих им устройств?
�� Сколько вы хотите, чтобы пользователи участвовали в процессе настройки BitLocker? Вы хотите, чтобы пользователи взаимодействовали с процессом, молчали или и то, и другое?
�� Где хранить ключи восстановления BitLocker?
�� Включить смену паролей восстановления?

Ответы на вопросы помогают определить лучший процесс восстановления BitLocker для организации и соответствующим образом настроить параметры политики BitLocker. Например, если в организации есть процесс сброса паролей, аналогичный процесс можно использовать для восстановления BitLocker. Если пользователям запрещено сохранять или извлекать сведения о восстановлении, организация может использовать агенты восстановления (DRA) или автоматически создавать резервные копии данных.

Следующие параметры политики определяют методы восстановления, которые можно использовать для восстановления доступа к диску, защищенному BitLocker.

  • Выберите способы восстановления дисков операционной системы с защитой BitLocker
  • Выберите способы восстановления фиксированных дисков с защитой BitLocker
  • Выберите, как можно восстановить съемные диски с защитой BitLocker

В каждой из этих политик выберите Сохранить сведения о восстановлении BitLocker, чтобы доменные службы Active Directory, а затем выберите сведения о восстановлении BitLocker для хранения в AD DS. Используйте параметр Не включать BitLocker до тех пор, пока сведения о восстановлении не будут сохранены в AD DS, чтобы запретить пользователям включать BitLocker, если резервное копирование сведений о восстановлении BitLocker для диска Microsoft Entra идентификатора или AD DS не будет выполнено.

Пароль восстановления BitLocker

Чтобы восстановить BitLocker, пользователь может использовать пароль восстановления, если он доступен. Пароль восстановления BitLocker уникален для устройства, на который он был создан, и его можно сохранить разными способами. В зависимости от настроенных параметров политики пароль восстановления может быть следующим:

  • Сохранено в идентификаторе Microsoft Entra для Microsoft Entra присоединения
  • Сохранено в AD DS для устройств, присоединенных к Active Directory
  • Сохранено в текстовом файле
  • Напечатано

Доступ к паролю восстановления позволяет владельцу разблокировать том, защищенный BitLocker, и получить доступ ко всем его данным. Поэтому для организации важно установить процедуры для управления доступом к паролям восстановления и обеспечить их безопасное хранение отдельно от устройств, которые они защищают.

Ключ восстановления BitLocker можно сохранить в учетной записи Майкрософт пользователя. Этот параметр доступен для устройств, не являющихся членами домена и использующих учетную запись Майкрософт. Хранение пароля восстановления в учетной записи Майкрософт — это рекомендуемый по умолчанию метод хранения ключей восстановления для устройств, которые не Microsoft Entra присоединены или присоединены к Active Directory.

Резервное копирование пароля восстановления должно быть настроено до включения BitLocker, но также может выполняться после шифрования, как описано в руководстве по операциям BitLocker.
Предпочтительная методология резервного копирования в организации заключается в автоматическом хранении сведений о восстановлении BitLocker в центральном расположении. В зависимости от требований организации сведения о восстановлении могут храниться в Microsoft Entra id, AD DS или файловых ресурсах.

Рекомендуется использовать следующие методы резервного копирования BitLocker:

  • Для устройств, присоединенных к Microsoft Entra, сохраните ключ восстановления в Microsoft Entra идентификаторе.
  • Для устройств, присоединенных к Active Directory, сохраните ключ восстановления в AD DS.

Нет автоматического способа хранения ключа восстановления для съемных запоминающих устройств в Microsoft Entra id или AD DS. Однако для этого можно использовать PowerShell или manage.bde.exe команду . Дополнительные сведения и примеры см. в руководстве по операциям BitLocker.

Агенты восстановления данных

DrA можно использовать для восстановления дисков ОС, фиксированных дисков данных и съемных дисков с данными. Однако при использовании для восстановления дисков ОС диск операционной системы должен быть подключен к другому устройству в качестве диска данных , чтобы DRA мог разблокировать диск. Агенты восстановления данных добавляются на диск при его шифровании и могут быть обновлены после шифрования.

Преимущество использования DRA вместо восстановления пароля или ключа заключается в том, что DRA выступает в качестве ключа master для BitLocker. С помощью DRA можно восстановить любой том, защищенный политикой, без необходимости находить определенный пароль или ключ для каждого отдельного тома.

Чтобы настроить dra для устройств, присоединенных к домену Active Directory, необходимо выполнить следующие действия.

  1. Получите сертификат DRA. Следующие атрибуты использования ключей и расширенные атрибуты использования ключа проверяются BitLocker перед использованием сертификата.
    1. Если атрибут использования ключа присутствует, он должен быть следующим:
      • CERT_DATA_ENCIPHERMENT_KEY_USAGE
      • CERT_KEY_AGREEMENT_KEY_USAGE
      • CERT_KEY_ENCIPHERMENT_KEY_USAGE
    2. Если атрибут расширенного использования ключа (EKU) присутствует, он должен иметь один из следующих значений:
      • Как указано в параметре политики или по умолчанию 1.3.6.1.4.1.311.67.1.1
      • Любой идентификатор объекта EKU, поддерживаемый центром сертификации (ЦС)
    • Выберите способы восстановления дисков операционной системы с защитой BitLocker
    • Выберите способы восстановления фиксированных дисков с защитой BitLocker
    • Выберите, как можно восстановить съемные диски с защитой BitLocker

    Сведения о восстановлении BitLocker, хранящиеся в идентификаторе Microsoft Entra

    Сведения о восстановлении BitLocker для Microsoft Entra присоединенных устройств можно хранить в Microsoft Entra идентификаторе. Преимущество хранения паролей восстановления BitLocker в Microsoft Entra идентификаторе заключается в том, что пользователи могут легко получать пароли для устройств, назначенных им, из Интернета, не обращаясь в службу поддержки.

    Доступ к паролям восстановления также можно делегировать службе поддержки, чтобы упростить сценарии поддержки.

    Сведения о пароле восстановления BitLocker, хранящиеся в идентификаторе Microsoft Entra, являются типом bitlockerRecoveryKey ресурса. Ресурс можно получить из центра администрирования Microsoft Entra, центра администрирования Microsoft Intune (для устройств, зарегистрированных в Microsoft Intune), с помощью PowerShell или Microsoft Graph. Дополнительные сведения см. в разделе Тип ресурса bitlockerRecoveryKey.

    Сведения о восстановлении BitLocker, хранящиеся в AD DS

    Сведения о восстановлении BitLocker для устройства, присоединенного к домену Active Directory, можно хранить в AD DS. Сведения хранятся в дочернем объекте самого объекта компьютера. Каждый объект восстановления BitLocker содержит пароль восстановления и другие сведения о восстановлении. Под каждым объектом компьютера может существовать несколько объектов восстановления BitLocker, так как с томом с поддержкой BitLocker может быть несколько паролей восстановления.

    Имя объекта восстановления BitLocker включает глобальный уникальный идентификатор (GUID) и сведения о дате и времени для фиксированной длины 63 символов. Синтаксис : .

    Active Directory ведет журнал всех паролей восстановления для объекта компьютера. Старые ключи восстановления не удаляются из AD DS автоматически, если не удаляется объект компьютера.

    Общее имя (cn) для объекта восстановления BitLocker — ms-FVE-RecoveryInformation . Каждый ms-FVE-RecoveryInformation объект имеет следующие атрибуты:

    Имя атрибута Описание
    ms-FVE-RecoveryPassword Пароль восстановления из 48 цифр, используемый для восстановления тома диска, зашифрованного BitLocker.
    ms-FVE-RecoveryGuid GUID, связанный с паролем восстановления BitLocker. В режиме восстановления BitLocker идентификатор GUID отображается пользователю, чтобы можно было найти правильный пароль восстановления для разблокировки тома. Guid также включается в имя объекта восстановления.
    ms-FVE-VolumeGuid GUID, связанный с томом диска, поддерживаемым BitLocker. Хотя пароль (хранящийся в ms-FVE-RecoveryGuid ) уникален для каждого пароля восстановления, идентификатор тома является уникальным для каждого тома, зашифрованного BitLocker.
    ms-FVE-KeyPackage Ключ шифрования BitLocker тома, защищенный соответствующим паролем восстановления. С помощью этого пакета ключей и пароля восстановления (хранящегося в ms-FVE-RecoveryPassword ), части тома, защищенного BitLocker, можно расшифровать, если диск поврежден. Каждый пакет ключей работает только для тома с соответствующим идентификатором тома (хранится в ms-FVE-VolumeGuid ). Средство восстановления BitLocker можно использовать для использования пакета ключей.

    Дополнительные сведения об атрибутах BitLocker, хранящихся в AD DS, см. в следующих статьях:

    • Атрибут ms-FVE-KeyPackage
    • Атрибут ms-FVE-RecoveryPassword

    Пакет ключей BitLocker не сохраняется по умолчанию. Чтобы сохранить пакет вместе с паролем восстановления в AD DS, в политике, которая управляет методом восстановления, необходимо выбрать параметр политики Резервное копирование пароля восстановления и пакета ключей . Пакет ключей также можно экспортировать из рабочего тома.

    Если сведения о восстановлении не создаются в AD DS или вы хотите сохранить пакет ключей в альтернативном расположении, используйте следующую команду, чтобы создать пакет ключей для тома:

    manage-bde.exe -KeyPackage C: -id -path

    Файл с форматом BitLocker Key Package >.KPG имени создается по указанному пути.

    Чтобы экспортировать новый пакет ключей из разблокированного, защищенного BitLocker тома, локальный администратор должен получить доступ к рабочему тому, прежде чем произойдет повреждение тома.

    Дальнейшие действия

    Узнайте, как получить сведения о восстановлении BitLocker для устройств, присоединенных к Microsoft Entra, Microsoft Entra с гибридным присоединением и присоединенных к Active Directory устройств, а также как восстановить доступ к заблокированным дискам.

    Обратная связь

    Были ли сведения на этой странице полезными?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *