Share via

Процесс восстановления BitLocker

Если устройство или диск не разблокированы с помощью настроенного механизма BitLocker, пользователи могут самостоятельно восстановить их. Если самостоятельное восстановление не является вариантом или пользователь не уверен, как действовать, служба технической поддержки должна иметь процедуры для быстрого и безопасного получения сведений о восстановлении.

В этой статье описывается процесс получения сведений о восстановлении BitLocker для Microsoft Entra присоединенных устройств, Microsoft Entra гибридных подключений и устройств, присоединенных к Active Directory. Предполагается, что читатель уже знаком с настройкой устройств для автоматического резервного копирования сведений о восстановлении BitLocker и доступных параметров восстановления BitLocker. Дополнительные сведения см. в статье Обзор восстановления BitLocker .

Самостоятельное восстановление

Пароль восстановления BitLocker и ключ восстановления для диска операционной системы или фиксированного диска данных можно сохранить на одном или нескольких USB-устройствах, распечатать, сохранить в Microsoft Entra ID или AD DS.

Совет

Рекомендуется сохранять ключи восстановления BitLocker в Microsoft Entra ID или AD DS. Таким образом администратор BitLocker или служба поддержки могут помочь пользователям в получении ключей.

Если самостоятельное восстановление включает в себя использование пароля или ключа восстановления, хранящегося на USB-устройстве флэш-памяти, пользователи должны быть предупреждены о том, чтобы не хранить USB-устройство флэш-памяти в том же месте, что и устройство, особенно во время поездки. Например, если и устройство, и элементы восстановления находятся в одной сумке, несанкционированному пользователю будет легко получить доступ к устройству. Еще одна политика, которую следует учитывать, заключается в том, чтобы пользователи обращались в службу поддержки до или после выполнения самостоятельного восстановления, чтобы можно было определить первопричину.

Ключ восстановления не может храниться ни в одном из следующих расположений:

  • Зашифрованный диск
  • Корневой каталог неустранимого диска
  • Зашифрованный том

Самостоятельное восстановление в Microsoft Entra ID

Если ключи восстановления BitLocker хранятся в Microsoft Entra ID, пользователи могут получить к ним доступ по следующему URL-адресу: https://myaccount.microsoft.com. На вкладке Устройства пользователи могут выбрать устройство Windows, которое у них есть, и выбрать параметр Просмотреть ключи BitLocker.

Примечание.

По умолчанию пользователи могут получать ключи повторной регистрации BitLocker из Microsoft Entra ID. Это поведение можно изменить с помощью параметра Запретить пользователям восстанавливать ключи BitLocker для собственных устройств. Дополнительные сведения см. в разделе Ограничение разрешений пользователей-участников по умолчанию.

Самостоятельное восстановление с помощью USB-устройства флэш-памяти

Если пользователи сохранили пароль восстановления на USB-накопителе, они могут подключить диск к заблокированным устройствам и следовать инструкциям. Если ключ был сохранен в виде текстового файла на флэш-памяти, пользователи должны использовать другое устройство для чтения текстового файла.

Восстановление службы поддержки

Если у пользователя нет возможности самостоятельного восстановления, служба технической поддержки должна быть в состоянии помочь пользователю с одним из следующих вариантов:

  • Если устройство Microsoft Entra присоединено или Microsoft Entra гибридное присоединение, сведения о восстановлении BitLocker можно получить из Microsoft Entra ID
  • Если устройство присоединено к домену, сведения о восстановлении можно получить из Active Directory.
  • Если устройство настроено для использования DRA, зашифрованный диск можно подключить к другому устройству в качестве диска данных , чтобы DRA мог разблокировать диск.

Warning

Резервное копирование пароля восстановления BitLocker в Microsoft Entra ID или AD DS может не выполняться автоматически. Устройства должны быть настроены с параметрами политики, чтобы включить автоматическое резервное копирование, как описано в статье Обзор восстановления BitLocker .

Приведенный ниже список можно использовать в качестве шаблона для создания процесса восстановления для получения пароля восстановления службой поддержки.

☑️ Шаг процесса восстановления Сведения
🔲 Проверьте удостоверение пользователя Пользователь, запрашивающий пароль восстановления, должен быть проверен как авторизованный пользователь этого устройства. Также необходимо проверить, принадлежит ли пользователю устройство, для которого пользователь предоставил имя.
🔲 Запись имени устройства Имя устройства пользователя можно использовать для поиска пароля восстановления в Microsoft Entra ID или AD DS.
🔲 Запись идентификатора ключа восстановления Идентификатор ключа восстановления можно использовать для поиска пароля восстановления в Microsoft Entra ID или AD DS. Идентификатор ключа восстановления отображается на экране восстановления перед загрузки.
🔲 Поиск пароля восстановления Найдите пароль восстановления BitLocker, используя имя устройства или идентификатор ключа восстановления из Microsoft Entra ID или AD DS.
🔲 Анализ первопричин Прежде чем предоставить пользователю пароль восстановления, необходимо собрать сведения, чтобы определить, почему требуется восстановление. Эти сведения можно использовать для анализа первопричин.
🔲 Укажите пользователю пароль восстановления. Так как пароль восстановления из 48 цифр длинный и содержит комбинацию цифр, пользователь может неправильно подозревать или вводить пароль неправильно. Консоль восстановления во время загрузки использует встроенные контрольные суммы для выявления ошибок ввода в каждом 6-значном блоке 48-значного пароля для восстановления и предоставляет пользователю возможность исправить такие ошибки.
🔲 Смена пароля восстановления Если настроена автоматическая смена паролей, Microsoft Entra присоединенные и Microsoft Entra устройства с гибридным присоединением создают новый пароль восстановления и сохраняют его в Microsoft Entra ID. Администратор также может активировать смену паролей по запросу, используя Microsoft Intune или Microsoft Configuration Manager.

Восстановление службы поддержки в Microsoft Entra ID

Существует несколько Microsoft Entra ID ролей, которые позволяют делегированным администраторам считывать пароли восстановления BitLocker с устройств в клиенте. Хотя организации часто используют существующие Microsoft Entra ID встроенные роли администратора облачных устройств или администратора службы поддержки, вы также можете создать пользовательскую роль, делегируя доступ к ключам BitLocker с помощью microsoft.directory/bitlockerKeys/key/read разрешения. Роли можно делегировать для доступа к паролям восстановления BitLocker для устройств в определенных административных единицах.

Центр администрирования Microsoft Entra позволяет администраторам получать пароли восстановления BitLocker. Дополнительные сведения о процессе см. в статье Просмотр или копирование ключей BitLocker. Другой вариант доступа к паролям восстановления BitLocker — использовать microsoft API Graph, что может быть полезно для интегрированных или сценариев решений. Дополнительные сведения об этом параметре см. в разделе Get bitlockerRecoveryKey.

В следующем примере мы используем командлет Get-MgInformationProtectionBitlockerRecoveryKey Microsoft Graph PowerShell для создания функции PowerShell, которая получает пароли восстановления из Microsoft Entra ID:

function Get-EntraBitLockerKeys{
    [CmdletBinding()]
    param (
        [Parameter(Mandatory = $true, HelpMessage = "Device name to retrieve the BitLocker keys from Microsoft Entra ID")]
        [string]$DeviceName
    )
    $DeviceID = (Get-MGDevice -filter "displayName eq '$DeviceName'").DeviceId
    if ($DeviceID){
      $KeyIds = (Get-MgInformationProtectionBitlockerRecoveryKey -Filter "deviceId eq '$DeviceId'").Id
      if ($keyIds) {
        Write-Host -ForegroundColor Yellow "Device name: $devicename"
        foreach ($keyId in $keyIds) {
          $recoveryKey = (Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId $keyId -Select "key").key
          Write-Host -ForegroundColor White " Key id: $keyid"
          Write-Host -ForegroundColor Cyan " BitLocker recovery key: $recoveryKey" 
        }
        } else {
        Write-Host -ForegroundColor Red "No BitLocker recovery keys found for device $DeviceName"
      }
    } else {
        Write-Host -ForegroundColor Red "Device $DeviceName not found"
    }
}

Install-Module Microsoft.Graph.Identity.SignIns -Scope CurrentUser -Force
Import-Module Microsoft.Graph.Identity.SignIns
Connect-MgGraph -Scopes 'BitlockerKey.Read.All' -NoWelcome

После загрузки функции ее можно использовать для получения паролей восстановления BitLocker для определенного устройства. Пример.

PS C:\> Get-EntraBitLockerKeys -DeviceName DESKTOP-53O32QI
Device name: DESKTOP-53O32QI
 Key id: 4290b6c0-b17a-497a-8552-272cc30e80d4
 BitLocker recovery key: 496298-461032-321464-595518-463221-173943-033616-139579
 Key id: 045219ec-a53b-41ae-b310-08ec883aaedd
 BitLocker recovery key: 158422-038236-492536-574783-256300-205084-114356-069773

Примечание.

Для устройств, управляемых Microsoft Intune, пароли восстановления BitLocker можно получить из свойств устройства в Центре администрирования Microsoft Intune. Дополнительные сведения см. в разделе Просмотр сведений о ключах восстановления.

Восстановление службы поддержки в доменные службы Active Directory

Чтобы экспортировать пароль восстановления из AD DS, необходимо иметь доступ на чтение к объектам, хранящимся в AD DS. По умолчанию доступ к сведениям о восстановлении BitLocker имеют только администраторы домена , но доступ может быть делегирован определенным субъектам безопасности.

Чтобы упростить получение паролей восстановления BitLocker из AD DS, можно использовать средство просмотра паролей восстановления BitLocker . Это средство входит в состав средств удаленного администрирования сервера (RSAT) и является расширением оснастки Пользователи и компьютеры Active Directory консоли управления (MMC).

С помощью средства просмотра паролей восстановления BitLocker вы можете:

  • Проверьте свойства объекта компьютера Active Directory, чтобы получить связанные пароли восстановления BitLocker.
  • Поиск пароля восстановления BitLocker в Active Directory во всех доменах в лесу Active Directory

В следующих процедурах описаны наиболее распространенные задачи, выполняемые с помощью средства просмотра паролей восстановления BitLocker.

Просмотр паролей восстановления для объекта компьютера
  1. Откройте Пользователи и компьютеры Active Directory оснастке MMC и выберите контейнер или подразделение, в котором находятся объекты-компьютеры.
  2. Щелкните правой кнопкой мыши объект computer и выберите Свойства.
  3. В диалоговом окне Свойства выберите вкладку Восстановление BitLocker , чтобы просмотреть пароли восстановления BitLocker, связанные с компьютером.
Поиск пароля восстановления с помощью идентификатора пароля
  1. В Пользователи и компьютеры Active Directory щелкните правой кнопкой мыши контейнер домена и выберите Найти пароль восстановления BitLocker.
  2. В диалоговом окне Поиск пароля восстановления BitLocker введите первые восемь символов пароля восстановления в поле Идентификатор пароля (первые 8 символов) и выберите Поиск.

Агенты восстановления данных

Если устройства настроены с помощью DRA, служба поддержки может использовать DRA для разблокировки диска. После подключения диска BitLocker к устройству с закрытым ключом сертификата DRA диск можно разблокировать с помощью manage-bde.exe команды .

Например, чтобы получить список DRA, настроенных для диска, защищенного BitLocker, используйте следующую команду:

C:\>manage-bde.exe -protectors -get D:

Volume D: [Local Disk]
All Key Protectors

    Data Recovery Agent (Certificate Based):
      ID: {3A8F7DEA-878F-4663-B149-EE2EC9ADE40B}
      Certificate Thumbprint:
        f46563b1d4791d5bd827f32265341ff9068b0c42

Если закрытый ключ сертификата с отпечатком доступен в локальном хранилище сертификатов f46563b1d4791d5bd827f32265341ff9068b0c42 , администратор может использовать следующую команду, чтобы разблокировать диск с помощью предохранителя DRA:

manage-bde -unlock D: -Certificate -ct f46563b1d4791d5bd827f32265341ff9068b0c42

Задачи после восстановления

При разблокировке тома с помощью пароля восстановления:

  • событие записывается в журнал событий
  • измерения проверки платформы сбрасываются в TPM в соответствии с текущей конфигурацией.
  • ключ шифрования освобожден и готов к шифрованию/расшифровке на лету, когда данные записываются в том и из нее.

После разблокирования тома BitLocker действует одинаково независимо от того, как был предоставлен доступ.

Если на устройстве возникает несколько событий пароля восстановления, администратор должен выполнить анализ после восстановления, чтобы определить первопричину восстановления. Затем обновите проверку платформы BitLocker, чтобы запретить ввод пароля восстановления при каждом запуске устройства.

Как определить первопричины восстановления

Если пользователю необходимо восстановить диск, важно как можно скорее определить первопричину, которая инициировала восстановление. Правильный анализ состояния компьютера и обнаружение незаконного изменения могут выявить угрозы, которые имеют более широкое влияние на безопасность предприятия.

Хотя администратор может удаленно исследовать причину восстановления в некоторых случаях, пользователю может потребоваться перенести устройство, содержащее восстановленный диск, на сайте, чтобы проанализировать первопричину. Ниже приведены некоторые вопросы, которые можно использовать для определения первопричины восстановления:

☑️ Вопрос
🔲 Какой режим защиты BitLocker настроен (TPM, TPM + ПИН-код, TPM + ключ запуска, только ключ запуска)?
🔲 Если настроен режим доверенного платформенного модуля, было ли восстановление вызвано изменением загрузочного файла?
🔲 Какой профиль PCR используется на устройстве?
🔲 Пользователь просто забыл ПИН-код или потерял ключ запуска?
🔲 Если восстановление было вызвано изменением загрузочного файла, произошло ли изменение файла загрузки из-за предполагаемого действия пользователя (например, обновление BIOS) или вредоносного программного обеспечения?
🔲 Когда пользователь в последний раз смог успешно запустить устройство и что могло произойти с устройством с тех пор?
🔲 Может ли пользователь столкнуться с вредоносным программным обеспечением или оставил устройство без присмотра с момента последнего успешного запуска?

Чтобы ответить на эти вопросы, можно использовать manage-bde.exe -status команду для просмотра текущей конфигурации и режима защиты. Проверьте журнал событий, чтобы найти события, которые помогают указать, почему было инициировано восстановление (например, если произошло изменение загрузочного файла).

Устранение первопричины

После определения причины восстановления можно сбросить защиту BitLocker, чтобы избежать восстановления при каждом запуске.

Сведения о сбросе могут отличаться в зависимости от первопричины восстановления. Если не удается определить первопричину или если устройство заразится вредоносным программным обеспечением или rootkit, служба технической поддержки должна применить лучшие политики вирусов для надлежащего реагирования.

Примечание.

Сброс профиля проверки BitLocker можно выполнить путем приостановки и возобновления работы BitLocker.

Причину

Действия

Неизвестный ПИН-код

Если пользователь забыл ПИН-код, пин-код должен быть сброшен во время входа на компьютер, чтобы предотвратить инициализацию BitLocker при каждом перезапуске компьютера.

Чтобы предотвратить непрерывное восстановление из-за неизвестного ПИН-кода, выполните приведенные далее действия.

  1. Разблокировка устройства с помощью пароля восстановления
  2. В апплете BitLocker панель управления разверните диск и выберите Изменить ПИН-код.
  3. В диалоговом окне Шифрование диска BitLocker выберите Сброс забытого ПИН-кода. Если учетная запись входа не является учетной записью администратора, необходимо указать учетные данные администратора.
  4. В диалоговом окне сброса ПИН-кода укажите и подтвердите новый ПИН-код для использования, а затем нажмите кнопку Готово.
  5. Новый ПИН-код можно использовать при следующей разблокировке диска.

Потерянный ключ запуска

Если USB-устройство флэш-памяти, содержащее ключ запуска, потеряно, его можно разблокировать с помощью ключа восстановления. Затем можно создать новый запуск с помощью PowerShell, командной строки или апплета BitLocker панель управления.

Примеры добавления предохранителей BitLocker см. в руководстве по операциям BitLocker.

Изменения файлов загрузки

Эта ошибка возникает при обновлении встроенного ПО. BitLocker следует приостановить перед внесением изменений в встроенное ПО. После завершения обновления встроенного ПО защита должна быть возобновлена. Приостановка BitLocker предотвращает переход устройства в режим восстановления. Однако если при включенной защите BitLocker происходят изменения, пароль восстановления можно использовать для разблокировки диска, а профиль проверки платформы обновляется, чтобы восстановление не произошло в следующий раз.

Примеры приостановки и возобновления защиты BitLocker см. в руководстве по операциям BitLocker.

Смена паролей

Администраторы могут настроить параметр политики, чтобы включить автоматическую смену паролей восстановления для Microsoft Entra присоединенных и Microsoft Entra гибридных присоединенных устройств.
Если включена автоматическая смена паролей восстановления, устройства автоматически сменяют пароль восстановления после использования пароля для разблокировки диска. Это позволяет предотвратить многократное использование одного и того же пароля восстановления, что может привести к риску безопасности.

Дополнительные сведения см. в статье Настройка смены паролей восстановления.

Другой вариант — инициировать смену паролей восстановления для отдельных устройств удаленно с помощью Microsoft Intune или Microsoft Configuration Manager.

Дополнительные сведения о смене паролей восстановления BitLocker с помощью Microsoft Intune или Microsoft Configuration Manager см. в следующей статье:

Средство восстановления BitLocker

Если методы восстановления, описанные ранее в этом документе, не разблокируют том, для расшифровки тома на уровне блока можно использовать средство восстановления BitLocker (repair-bde.exe). Средство использует пакет ключей BitLocker для восстановления зашифрованных данных с серьезно поврежденных дисков.

Затем восстановленные данные можно использовать для спасения зашифрованных данных, даже если правильный пароль восстановления не разблокирует поврежденный том. Рекомендуется по-прежнему сохранять пароль восстановления, так как пакет ключей нельзя использовать без соответствующего пароля восстановления.

Используйте средство восстановления в следующих условиях:

  • Диск шифруется с помощью BitLocker
  • Windows не запускается, или экран восстановления BitLocker не запускается
  • Не существует резервной копии данных, содержащихся на зашифрованном диске

Примечание.

Повреждение диска может не быть связано с BitLocker. Поэтому перед использованием средства восстановления BitLocker рекомендуется попробовать другие средства, которые помогут диагностировать и устранить проблему с диском. Среда восстановления Windows (Windows RE) предоставляет дополнительные возможности для восстановления Windows.

Для Repair-bde существуют следующие ограничения:

  • не удается восстановить диск, на который произошел сбой во время шифрования или расшифровки
  • предполагается, что если диск имеет какое-либо шифрование, то диск полностью зашифрован.

Полный список параметров см. в repair-bde.exeсправочнике по repair-bde.

Примечание.

Чтобы экспортировать пакет ключей из AD DS, необходимо иметь доступ на чтение к паролям восстановления BitLocker и пакетам ключей, хранящимся в AD DS. По умолчанию доступ к сведениям о восстановлении BitLocker имеют только администраторы домена, но доступ может быть делегирован другим пользователям.