BitLockerBitLocker

Область примененияApplies to

  • Windows 10Windows10

В этой статье представлен общий обзор BitLocker, включая список требований к системе, а также сведения об устаревших функциях и практическом применении.This topic provides a high-level overview of BitLocker, including a list of system requirements, practical applications, and deprecated features.

Обзор BitLockerBitLocker overview

Шифрование диска BitLocker — это функция защиты данных, которая интегрируется в операционную систему и предотвращает угрозы хищения данных или раскрытия информации на потерянных, украденных или неправильно выведенных из эксплуатации компьютерах.BitLocker Drive Encryption is a data protection feature that integrates with the operating system and addresses the threats of data theft or exposure from lost, stolen, or inappropriately decommissioned computers.

BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или выше.BitLocker provides the most protection when used with a Trusted Platform Module (TPM) version 1.2 or later. Доверенный платформенный модуль — это аппаратный компонент, который производители устанавливают на многих новых компьютерах.The TPM is a hardware component installed in many newer computers by the computer manufacturers. Совместно с BitLocker он обеспечивает защиту данных пользователей и предотвращает несанкционированный доступ к компьютеру, пока система находится вне сети.It works with BitLocker to help protect user data and to ensure that a computer has not been tampered with while the system was offline.

На компьютерах без доверенного платформенного модуля версии 1.2 или более поздней все равно можно зашифровать диск операционной системы Windows с помощью BitLocker.On computers that do not have a TPM version 1.2 or later, you can still use BitLocker to encrypt the Windows operating system drive. Но при такой реализации пользователь должен вставить USB-накопитель с ключом запуска, чтобы запустить компьютер или вывести его из режима гибернации.However, this implementation will require the user to insert a USB startup key to start the computer or resume from hibernation. В Windows 8 и более поздних версий вы можете с помощью пароля защитить том операционной системы на компьютере без доверенного платформенного модуля.Starting with Windows 8, you can use an operating system volume password to protect the operating system volume on a computer without TPM. Ни один из этих вариантов не обеспечивает проверку целостности системы перед запуском, которая возможна при использовании BitLocker вместе с доверенным платформенным модулем.Both options do not provide the pre-startup system integrity verification offered by BitLocker with a TPM.

В дополнение к возможностям доверенного платформенного модуля компонент BitLocker позволяет блокировать обычный процесс запуска до тех пор, пока пользователь не введет ПИН-код или не вставит съемное устройство (например, USB-накопитель) с ключом запуска.In addition to the TPM, BitLocker offers the option to lock the normal startup process until the user supplies a personal identification number (PIN) or inserts a removable device, such as a USB flash drive, that contains a startup key. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и предотвращают запуск компьютера или его выведение из режима гибернации, если не указан правильный ПИН-код или не предоставлен ключ запуска.These additional security measures provide multifactor authentication and assurance that the computer will not start or resume from hibernation until the correct PIN or startup key is presented.

Практическое применениеPractical applications

Данные на потерянном или украденном компьютере уязвимы к несанкционированному доступу в результате программной атаки или передачи жесткого диска на другой компьютер.Data on a lost or stolen computer is vulnerable to unauthorized access, either by running a software-attack tool against it or by transferring the computer's hard disk to a different computer. BitLocker помогает предотвратить несанкционированный доступ к данным, усиливая защиту файлов и системы.BitLocker helps mitigate unauthorized data access by enhancing file and system protections. Кроме того, BitLocker помогает сделать данные недоступными при выводе из эксплуатации защищенных при помощи этого компонента компьютеров или передаче таких компьютеров другим пользователям.BitLocker also helps render data inaccessible when BitLocker-protected computers are decommissioned or recycled.

В средствах удаленного администрирования сервера есть еще два инструмента, с помощью которых можно управлять BitLocker.There are two additional tools in the Remote Server Administration Tools, which you can use to manage BitLocker.

  • Средство просмотра паролей восстановления BitLocker.BitLocker Recovery Password Viewer. Средство просмотра паролей восстановления BitLocker позволяет находить и просматривать пароли восстановления для шифрования дисков BitLocker, резервные копии которых созданы в доменных службах Active Directory (AD DS).The BitLocker Recovery Password Viewer enables you to locate and view BitLocker Drive Encryption recovery passwords that have been backed up to Active Directory Domain Services (AD DS). С помощью этого средства можно восстанавливать данные на диске, зашифрованном с помощью BitLocker.You can use this tool to help recover data that is stored on a drive that has been encrypted by using BitLocker. Средство просмотра паролей восстановления BitLocker — дополнение к оснастке "Пользователи и компьютеры Active Directory" для консоли управления (MMC).The BitLocker Recovery Password Viewer tool is an extension for the Active Directory Users and Computers Microsoft Management Console (MMC) snap-in. С помощью этого средства можно изучить диалоговое окно Свойства объекта-компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker.By using this tool, you can examine a computer object's Properties dialog box to view the corresponding BitLocker recovery passwords. Кроме того, вы можете щелкнуть контейнер домена правой кнопкой мыши, а затем искать пароль восстановления BitLocker на всех доменах в лесу Active Directory.Additionally, you can right-click a domain container and then search for a BitLocker recovery password across all the domains in the Active Directory forest. Просматривать пароли восстановления может администратор домена или пользователь, которому этот администратор делегировал соответствующие разрешения.To view recovery passwords, you must be a domain administrator, or you must have been delegated permissions by a domain administrator.

  • Средства шифрования диска BitLocker.BitLocker Drive Encryption Tools. В средства шифрования диска BitLocker входят программы командной строки manage-bde и repair-bde, а также командлеты Windows PowerShell для BitLocker.BitLocker Drive Encryption Tools include the command-line tools, manage-bde and repair-bde, and the BitLocker cmdlets for Windows PowerShell. Как manage-bde, так и командлеты для BitLocker позволяют решить любую задачу, выполнимую с помощью панели управления BitLocker. Кроме того, они подойдут для автоматического развертывания и других сценариев, в которых применяются сценарии.Both manage-bde and the BitLocker cmdlets can be used to perform any task that can be accomplished through the BitLocker control panel, and they are appropriate to use for automated deployments and other scripting scenarios. Программа командной строки repair-bde предназначена для аварийного восстановления в тех случаях, когда защищенный с помощью BitLocker диск не удается разблокировать обычным способом или с помощью агента восстановления.Repair-bde is provided for disaster recovery scenarios in which a BitLocker protected drive cannot be unlocked normally or by using the recovery console.

Новые и измененные функцииNew and changed functionality

Чтобы узнать о новых возможностях BitLocker для Windows10, таких как поддержка алгоритма шифрования XTS-AES, ознакомьтесь с разделом BitLocker в разделе "новые возможности Windows 10".To find out what's new in BitLocker for Windows10, such as support for the XTS-AES encryption algorithm, see the BitLocker section in "What's new in Windows 10."  

Системные требованияSystem requirements

Требования BitLocker к аппаратному обеспечениюBitLocker has the following hardware requirements:

Для использования BitLocker для проверки целостности системы, обеспечиваемой доверенным платформенным модулем (TPM), на компьютере должен быть установлен доверенный платформенный модуль версии 1.2 или более поздней.For BitLocker to use the system integrity check provided by a Trusted Platform Module (TPM), the computer must have TPM1.2 or later. Если на вашем компьютере не установлен доверенный платформенный модуль, то для включения BitLocker необходимо сохранить ключ запуска на съемном устройстве, например USB-устройстве флэш-памяти.If your computer does not have a TPM, enabling BitLocker requires that you save a startup key on a removable device, such as a USB flash drive.

На компьютере с TPM также должно быть встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG.A computer with a TPM must also have a Trusted Computing Group (TCG)-compliant BIOS or UEFI firmware. Встроенное ПО BIOS или UEFI устанавливает цепочку сертификатов перед запуском операционной системы и должно предусматривать поддержку метода SRTM (Static Root of Trust Measurement), описанного в спецификации TCG.The BIOS or UEFI firmware establishes a chain of trust for the pre-operating system startup, and it must include support for TCG-specified Static Root of Trust Measurement. Для компьютера без TPM не требуется встроенное ПО, отвечающее стандартам организации TCG.A computer without a TPM does not require TCG-compliant firmware.

Встроенное ПО BIOS или UEFI системы (для компьютеров с TPM и без него) должно поддерживать класс запоминающих устройств для USB, а также считывание небольших файлов с USB-устройства флэш-памяти в среде до запуска операционной системы.The system BIOS or UEFI firmware (for TPM and non-TPM computers) must support the USB mass storage device class, including reading small files on a USB flash drive in the pre-operating system environment.

Важно!

В Windows 7 вы можете зашифровать диск с ОС без TPM и флэш-накопителя USB.From Windows 7, you can encrypt an OS drive without a TPM and USB flash drive. Для выполнения этой процедуры воспользуйтесь подсказкой: BitLocker без TPM или USB.For this procedure, see Tip of the Day: Bitlocker without TPM or USB.

Примечание

Доверенный платформенный модуль 2,0 не поддерживается в режимах Legacy и CSM в BIOS.TPM 2.0 is not supported in Legacy and CSM Modes of the BIOS. Устройства с доверенным платформенным модулем 2,0 должны иметь режим BIOS, настроенный как собственный UEFI.Devices with TPM 2.0 must have their BIOS mode configured as Native UEFI only. Параметры модуля поддержки Legacy и совместимости (CSM) должны быть отключены.The Legacy and Compatibility Support Module (CSM) options must be disabled. Для дополнительной защиты включите функцию безопасной загрузки.For added security Enable the Secure Boot feature.

Установленная операционная система на оборудовании в устаревшем режиме будет прерывать загрузку операционной системы при смене режима BIOS на UEFI.Installed Operating System on hardware in legacy mode will stop the OS from booting when the BIOS mode is changed to UEFI. Используйте средство MBR2GPT перед изменением режима BIOS, чтобы подготовить операционную систему и диск для поддержки UEFI.Use the tool MBR2GPT before changing the BIOS mode which will prepare the OS and the disk to support UEFI.

Жесткий диск должен быть разбит как минимум на два диска.The hard disk must be partitioned with at least two drives:

  • Диск операционной системы (или загрузочный диск), который содержит операционную систему и ее вспомогательные файлы.The operating system drive (or boot drive) contains the operating system and its support files. Он должен быть отформатирован с использованием файловой системы NTFS.It must be formatted with the NTFS file system.
  • Системный диск, который содержит файлы, необходимые для загрузки Windows после того, как встроенное ПО подготовит системное оборудование.The system drive contains the files that are needed to load Windows after the firmware has prepared the system hardware. На этом диске не включается BitLocker.BitLocker is not enabled on this drive. Чтобы работал компонент BitLocker, системный диск не должен быть диском операционной системы. Кроме того, он должен быть отформатирован с использованием файловой системы FAT32 на компьютерах с UEFI (или с использованием файловой системы NTFS на компьютерах с BIOS).For BitLocker to work, the system drive must not be encrypted, must differ from the operating system drive, and must be formatted with the FAT32 file system on computers that use UEFI-based firmware or with the NTFS file system on computers that use BIOS firmware. Рекомендуемый размер системного диска — около 350 МБ.We recommend that system drive be approximately 350 MB in size. После включения BitLocker должно остаться примерно 250 МБ свободного дискового пространства.After BitLocker is turned on it should have approximately 250 MB of free space.

При установке Windows на новом компьютере автоматически создадутся разделы, необходимые для BitLocker.When installed on a new computer, Windows will automatically create the partitions that are required for BitLocker.

При установке необязательного компонента BitLocker на сервере вам также потребуется установить компонент Enhanced Storage, который используется для поддержки аппаратно зашифрованных дисков.When installing the BitLocker optional component on a server you will also need to install the Enhanced Storage feature, which is used to support hardware encrypted drives.

В этом разделеIn this section

СтатьяTopic ОписаниеDescription
Общие сведения о функции шифровании устройств BitLocker в Windows 10Overview of BitLocker Device Encryption in Windows 10 В этом разделе для ИТ-специалистов представлен обзор способов, которыми BitLocker и шифрование устройств помогают защитить данные на устройствах под управлением Windows 10.This topic for the IT professional provides an overview of the ways that BitLocker Device Encryption can help protect data on devices running Windows 10.
Вопросы и ответы по BitLockerBitLocker frequently asked questions (FAQ) В этой статье, предназначенной для ИТ-специалистов, даются ответы на часто задаваемые вопросы, касающиеся требований использования, обновления, развертывания и администрирования, а также политик управления ключами для BitLocker.This topic for the IT professional answers frequently asked questions concerning the requirements to use, upgrade, deploy and administer, and key management policies for BitLocker.
Подготовка организации к использованию BitLocker: планирование и политикиPrepare your organization for BitLocker: Planning and policies В этой статье, предназначенной для ИТ-специалистов, рассказывается, как планировать развертывание BitLocker.This topic for the IT professional explains how can you plan your BitLocker deployment.
Базовое развертывание BitLockerBitLocker basic deployment В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать функции шифрования диска BitLocker для защиты данных.This topic for the IT professional explains how BitLocker features can be used to protect your data through drive encryption.
BitLocker: развертывание на сервере Windows ServerBitLocker: How to deploy on Windows Server В этой статье рассказывается о том, как развертывать BitLocker на Windows Server.This topic for the IT professional explains how to deploy BitLocker on Windows Server.
BitLocker: включение сетевой разблокировкиBitLocker: How to enable Network Unlock В этой статье, предназначенной для ИТ-специалистов, рассказывается, как работает сетевая разблокировка BitLocker и как ее настроить.This topic for the IT professional describes how BitLocker Network Unlock works and how to configure it.
BitLocker: использование средств шифрования диска BitLocker для управления BitLockerBitLocker: Use BitLocker Drive Encryption Tools to manage BitLocker В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать средства для управления BitLocker.This topic for the IT professional describes how to use tools to manage BitLocker.
BitLocker: использование средства просмотра пароля восстановления BitLockerBitLocker: Use BitLocker Recovery Password Viewer В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать средство просмотра пароля восстановления в BitLocker.This topic for the IT professional describes how to use the BitLocker Recovery Password Viewer.
Параметры групповой политики BitLockerBitLocker Group Policy settings В этой статье для ИТ-специалистов рассказывается о функциях, расположении и действии всех параметров групповой политики, используемых для управления BitLocker.This topic for IT professionals describes the function, location, and effect of each Group Policy setting that is used to manage BitLocker.
Параметры данных конфигурации загрузки и BitLockerBCD settings and BitLocker В этой статье, предназначенной для ИТ-специалистов, описаны параметры данных конфигурации загрузки, которые используются в BitLocker.This topic for IT professionals describes the BCD settings that are used by BitLocker.
Руководство по восстановлению BitLockerBitLocker Recovery Guide В этой статье, предназначенной для ИТ-специалистов, рассказывается, как восстановить ключи BitLocker из ADDS.This topic for IT professionals describes how to recover BitLocker keys from AD DS.
Защита BitLocker от атак с использованием предзагрузочной средыProtect BitLocker from pre-boot attacks Это подробное руководство поможет вам понять условия использования предварительной проверки подлинности для устройств под управлением Windows10, Windows 8,1, Windows 8 и Windows 7. и когда он может быть безопасно исключен из конфигурации устройства.This detailed guide will help you understand the circumstances under which the use of pre-boot authentication is recommended for devices running Windows10, Windows 8.1, Windows 8, or Windows 7; and when it can be safely omitted from a device’s configuration.
Устранение неполадок BitLockerTroubleshoot BitLocker В этом руководстве описаны ресурсы, которые помогут вам устранить проблемы с BitLocker, и предлагаются решения для некоторых распространенных проблем с BitLocker.This guide describes the resources that can help you troubleshoot BitLocker issues, and provides solutions for several common BitLocker issues.
Защита общих томов кластера и сетей хранения данных с помощью технологии BitLockerProtecting cluster shared volumes and storage area networks with BitLocker В этой статье, предназначенной для ИТ-специалистов, рассказывается, как защитить общие тома кластеров и сети хранения данных с помощью BitLocker.This topic for IT pros describes how to protect CSVs and SANs with BitLocker.
Включение безопасной загрузки и шифрования устройства BitLocker в Windows 10 IoT БазоваяEnabling Secure Boot and BitLocker Device Encryption on Windows 10 IoT Core В этом разделе описывается, как использовать BitLocker в Windows 10 IoT БазоваяThis topic covers how to use BitLocker with Windows 10 IoT Core