ключ восстановления bitlocker что такое
Поиск ключа восстановления BitLocker в Windows
Если система запрашивает у вас ключ восстановления BitLocker, следующие инструкции помогут вам найти его и понять, почему ключ был запрошен.
Где найти ключ восстановления BitLocker?
Перед активацией защиты функция BitLocker обеспечивает безопасное создание резервной копии ключа восстановления. Ключ восстановления может находиться в нескольких местах, в зависимости от того, какой параметр был выбран при активации BitLocker.
В учетной записи Майкрософт: войдите в свою учетную запись Майкрософт на другом устройстве, чтобы найти ключ восстановления. Если вы используете современное устройство, поддерживающее автоматическое шифрование устройств, ключ восстановления, скорее всего, будет находиться в вашей учетной записи Майкрософт. Дополнительные см. в этойWindows.
Примечание: Если устройство настроил другой пользователь или защита BitLocker была активирована другим пользователем, ключ восстановления может находиться в учетной записи Майкрософт этого пользователя.
На распечатке: Возможно, вы распечатали ключ восстановления при активации BitLocker. Проверьте свои важные документы, относящиеся к компьютеру.
На USB-устройстве флэш-памяти: Подключите USB-устройство флэш-памяти к заблокированным компьютерам и следуйте инструкциям. Если ключ сохранен на устройстве флэш-памяти как текстовый файл, прочтите этот файл на другом компьютере.
В Azure Active Directory учетной записи: Если ваше устройство когда-либо вписалось в организацию с помощью учетной записи электронной почты организации или учебного заведения, ключ восстановления может храниться в учетной записи Azure AD этой организации, связанной с вашим устройством. Возможно, вы сможете получить к ключу доступ самостоятельно либо вам может потребоваться обратиться к системному администратору.
Ваш системный администратор: Если ваше устройство подключено к домену (обычно это устройство для работы или учебного заведения), попросите системного администратора получить ключ восстановления.
Что такое ключ восстановления BitLocker?
Ключ восстановления BitLocker — это уникальный 48-значный цифровой пароль, который можно использовать для разблокировки системы, если функция BitLocker не может другим способом точно определить, что попытка доступа к системному диску была санкционированной.
Почему система Windows запрашивает ключ восстановления BitLocker?
BitLocker — это технология Windows, которая защищает ваши данные от несанкционированного доступа путем шифрования диска и требует проверки подлинности, прежде чем она будет разблокирована.
Windows может потребоваться ключ восстановления BitLocker, если обнаружена несанкционированная попытка доступа к данным. Этот дополнительный шаг представляет собой меру безопасности, призванную обеспечить безопасность ваших данных. Это также может произойти при внесении изменений в оборудование, программное обеспечение или программное обеспечение, которое BitLocker не может отличить от возможной атаки. В таких случаях функция BitLocker может требовать прохождение дополнительной проверки безопасности в виде предоставления ключа восстановления, даже если пользователь является авторизованным владельцем устройства. Это необходимо для уверенности в том, что человек, который пытается разблокировать данные, действительно имеет право.
Как функция BitLocker активируется на моем устройстве?
Есть три стандартных способа активировать защиту BitLocker на вашем устройстве.
Ваше устройство — это современное устройство, отвечающее определенным требованиям для автоматического обеспечения шифрования устройства. В этом случае ключ восстановления BitLocker автоматически сохранен в учетной записи Майкрософт перед активацией защиты.
Владелец или администратор устройства активировал защиту BitLocker (шифрование устройств на некоторых устройствах) с помощью приложения Параметры или панели управления: В этом случае пользователь, активировав BitLocker, выбирает, где сохранить ключ, или (в случае шифрования устройства) он автоматически сохраняется в учетной записи Майкрософт.
Организация, управляющая устройством (в настоящее время или в прошлом) активированной защитой BitLocker на вашем устройстве: В этом случае у организации может быть ключ восстановления BitLocker.
Защита BitLocker всегда активируется пользователем (или от его имени), у которого есть полные права доступа к вашему устройству на уровне администратора независимо от того, кто является этим пользователем — вы, другой человек или организация, управляющая вашим устройством. Для настройки BitLocker необходимо создать ключ восстановления во время активации.
BitLocker: использование средства просмотра пароля восстановления BitLocker
Область применения
В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать средство просмотра пароля восстановления в BitLocker.
Средство просмотра паролей для восстановления BitLocker является необязательным средством, включенным в инструменты администрирования удаленного сервера (RSAT). Он позволяет находить и просматривать пароли восстановления BitLocker, хранимые в службах домена Active Directory (AD DS). С помощью этого средства можно восстанавливать данные на диске, зашифрованном с помощью BitLocker. Средство просмотра паролей bitLocker Active Directory является расширением для оснастки пользователей Active Directory и компьютеров Microsoft Management Console (MMC). С помощью этого средства можно просмотреть диалоговое окно свойства объекта компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker. Кроме того, можно щелкнуть правой кнопкой мыши контейнер домена, а затем найти пароль для восстановления BitLocker во всех доменах в лесу Active Directory. Вы также можете искать пароль по идентификатору пароля (ID).
Прежде чем начать
Чтобы завершить процедуры в этом сценарии:
В следующих процедурах описываются наиболее распространенные задачи, выполняемые с помощью просмотра паролей для восстановления BitLocker.
Просмотр паролей восстановления для компьютера
Копирование паролей восстановления для компьютера
Поиск пароля восстановления с помощью ИД пароля
Microsoft Surface 2 запрашивает ключ восстановления BitLocker при перезагрузке устройства
Проблемы
При использовании устройства Microsoft Surface 2, вам будет предложено ввести ключ восстановления BitLocker после включения или перезагрузки устройства или выхода устройства из состояния сна. Эти сообщения могут быть случайные или они могут появляться каждый раз при попытке восстановления работы устройства. Примечание. Эти сообщения, связанные с BitLocker, только видимых симптомов. Эта проблема не влияет на систему любым другим способом.
Решение
Чтобы устранить эту проблему, установите обновление, которое теперь доступна для устройства Microsoft Surface 2.
Сведения об обновлении
Получение обновления
Центр обновления Windows
Это обновление доступно в Центре обновления Windows. Примечание. Эта проблема не влияет на Pro 2 Microsoft Surface. Данное обновление относится только к 2 RT Microsoft Surface.
Предварительные условия
Для установки этого обновления не требуется выполнения никаких условий.
Требование к перезапуску
Может потребоваться перезагрузка устройства Microsoft Surface 2 после установки этого обновления.
Сведения о замене обновлений
Это обновление не заменяет ранее выпущенное обновление.
Дополнительная информация
Для получения ключа восстановления BitLocker, если у вас его доступным, выполните следующие действия.
Откройте веб-обозреватель надежные окна на другом компьютере или мобильном устройстве.
Перейдите на веб-сайте Windows.
Вход с использованием того же имени учетной записи Microsoft и пароль, используемые Microsoft Surface 2 устройства.
FaQ управления ключами BitLocker
Область применения
Как проверить подлинность или разблокировать съемный диск данных?
Можно разблокировать съемные диски данных с помощью пароля, смарт-карты или настроить протектор SID для разблокировки диска с помощью учетных данных домена. После начала шифрования диск также можно автоматически разблокировать на определенном компьютере для определенной учетной записи пользователя. Системные администраторы могут настраивать доступные для пользователей параметры, а также сложность пароля и минимальные требования к длине. Чтобы разблокировать с помощью протектора SID, используйте Manage-bde:
В чем разница между паролем восстановления, ключом восстановления, PIN-кодом, защищенным PIN-кодом и ключом запуска?
Таблицы с перечислением и описанием элементов, таких как пароль восстановления, ключ восстановления и PIN-код, см. в разделах Средства защиты ключа BitLocker и Методы проверки подлинности BitLocker.
Где хранить пароль восстановления и ключ восстановления?
Пароль восстановления или ключ восстановления для диска операционной системы или несъемного диска с данными можно сохранить в папке, на одном или нескольких USB-устройствах, в своей учетной записи Майкрософт или распечатать.
Пароль восстановления и ключ восстановления для съемных дисков с данными можно сохранить в папке или учетной записи Майкрософт, а также распечатать. По умолчанию ключ восстановления для съемного носителя невозможно хранить на съемном носителе.
Администратор домена может дополнительно настроить групповую политику для автоматического создания паролей восстановления и хранения их в службах домена Active Directory (ADDS) для любого диска с защитой BitLocker.
Можно ли добавить дополнительный метод проверки подлинности без расшифровки диска, если включен только метод проверки подлинности на основе доверенного платформенного модуля?
С помощью программы командной строки Manage-bde.exe можно заменить режим проверки подлинности, в котором используется только доверенный платформенный модуль, на режим многофакторной проверки подлинности. Например, если для BitLocker используется только проверка подлинности с помощью доверенного платформенного модуля, и вы хотите добавить проверку подлинности с помощью ПИН-кода, выполните указанные ниже команды в командной строке с правами администратора, заменив 4–20-значный числовой ПИН-код числовым ПИН-кодом, который вы хотите использовать.
Когда следует рассматривать дополнительные метод проверки подлинности?
Благодаря использованию нового оборудования, соответствующего требованиям программы совместимости оборудования с Windows, PIN-код перестает быть критически важным средством защиты, и наличия доверенного платформенного модуля, скорее всего, будет достаточно при условии использования таких политик, как блокировка устройства. Например, в устройствах Surface Pro и Surface Book отсутствуют внешние порты DMA, через которые возможны атаки. Если используется более старое оборудование, для которого может потребоваться PIN-код, рекомендуем включать функцию улучшенные ПИН-коды, которая позволяет применять нецифровые символы, например буквы и знаки препинания, а также выбирать длину PIN-кода в зависимости от допустимого риска и способности вашего оборудования противодействовать подбору паролей, доступной для доверенных платформенных модулей на вашем компьютере.
Можно ли восстановить данные, защищенные BitLocker, если утрачены сведения, необходимые для восстановления?
Компонент BitLocker разработан так, что зашифрованный диск невозможно восстановить, минуя обязательную проверку подлинности. В режиме восстановления для разблокировки зашифрованного диска пользователю необходим пароль восстановления или ключ восстановления.
Храните сведения о восстановлении в ADDS вместе с учетной записью Майкрософт или другом безопасном расположении.
Можно ли хранить ключ восстановления на том же USB-устройстве флэш-памяти, на котором хранится ключ запуска?
Хранение обоих ключей на одном USB-устройстве флэш-памяти технически возможно, но не рекомендуется. В случае утери или кражи USB-устройства флэш-памяти с ключом запуска также теряется доступ к ключу восстановления. Кроме того, при вставке такого ключа произойдет автоматическая загрузка компьютера по ключу восстановления, даже если изменились файлы, показатели которых определяются доверенным платформенным модулем, и проверка целостности системы не будет выполнена.
Можно ли хранить ключ запуска на нескольких USB-устройствах флэш-памяти?
Да, ключ запуска компьютера можно хранить на нескольких USB-устройствах флэш-памяти. Щелкните правой кнопкой мыши диск, защищенный BitLocker, и выберите команду Управление BitLocker, чтобы открыть параметры для копирования ключей восстановления.
Можно ли хранить несколько разных ключей запуска на одном USB-устройстве флэш-памяти?
Да, на одном USB-устройстве флэш-памяти можно хранить ключи запуска BitLocker для разных компьютеров.
Можно ли создать несколько различных ключей запуска для одного компьютера?
С помощью сценариев можно создать разные ключи запуска для одного компьютера. Но для компьютеров с доверенным платформенным модулем создание разных ключей запуска не позволяет BitLocker использовать проверку целостности системы, которую выполняет этот модуль.
Можно ли создавать несколько сочетаний ПИН-кода?
Создавать несколько сочетаний ПИН-кода невозможно.
Какие ключи шифрования применяются в BitLocker? Как происходит их совместная работа?
Необработанные данные шифруются полным ключом шифрования тома, который затем шифруется основным ключом тома. Основной ключ тома, в свою очередь, шифруется при помощи одного из нескольких возможных методов в зависимости от типа проверки подлинности (с использованием предохранителей ключа или доверенного платформенного модуля) и сценариев восстановления.
Где хранятся ключи шифрования?
Полный ключ шифрования тома шифруется основным ключом тома и хранится на зашифрованном диске. Основной ключ тома шифруется подходящим предохранителем ключа и хранится на зашифрованном диске. Если защита BitLocker приостанавливается, то незащищенный ключ, которым шифруется основной ключ тома, также хранится на зашифрованном диске вместе с зашифрованным основным ключом тома.
Такая процедура хранения гарантирует, что основной ключ тома никогда не хранится без шифрования и всегда защищен, если не отключено шифрование BitLocker. Ключи также сохраняются в двух дополнительных расположениях на диске для обеспечения избыточности. Диспетчером загрузки может считывать и обрабатывать ключи.
Почему для ввода ПИН-кода или 48-значного пароля восстановления нужно использовать функциональные клавиши?
Клавиши F1–F10 имеют универсальные коды опроса, доступные в предзагрузочной среде на всех компьютерах для всех языков. Клавиши с цифрами от 0 до 9 не используются в предзагрузочной среде на всех клавиатурах.
Если используется улучшенный ПИН-код, пользователям рекомендуется выполнить дополнительную проверку системы в ходе настройки BitLocker, чтобы убедиться, что в предзагрузочной среде можно ввести правильный ПИН-код.
Как BitLocker защищает ПИН-код, снимающий блокировку диска операционной системы, от злоумышленников?
Злоумышленник может узнать ПИН-код при атаке методом подбора. Атака методом подбора выполняется с помощью автоматического средства, которое проверяет различные сочетания ПИН-кода, пока не будет найден правильный код. Для компьютеров, защищенных BitLocker, такой тип взлома, также известный как атака перебором по словарю, требует физического доступа злоумышленника к компьютеру.
Доверенный платформенный модуль обладает встроенными возможностями по выявлению таких атак и противодействию им. Так как в доверенных платформенных модулях различных изготовителей применяются различные меры противодействия взлому ПИН-кода, обратитесь к изготовителю модуля, чтобы определить, как такой модуль на компьютере противодействует взлому ПИН-кода при атаке методом подбора. После определения изготовителя доверенного платформенного модуля свяжитесь с ним, чтобы получить данные о таком модуле, которые может предоставить только его изготовитель. Большинство изготовителей экспоненциально увеличивают время блокировки интерфейса для ввода ПИН-кода с увеличением количества ошибок при его вводе. При этом каждый изготовитель имеет собственные правила в отношении сброса счетчика ошибок или уменьшения его значений.
Как определить производителя своего доверенного платформенного модуля?
Вы можете определить производителя TPM в Защитник Windows безопасности центрабезопасности устройств > **** > **** безопасности.
Как оценить механизм противодействия атакам перебором по словарю, применяемый в доверенном платформенном модуле?
Задайте изготовителю доверенного платформенного модуля следующие вопросы о механизме противодействия атакам перебором по словарю:
Можно ли изменять длину и сложность ПИН-кода с помощью групповой политики?
И да, и нет. Можно задать минимальную длину ПИН-кода в параметре групповой политики Этот параметр политики позволяет установить минимальную длину ПИН-кода для запуска и разрешить использование буквенно-цифровых ПИН-кодов, включив параметр групповой политики Этот параметр политики позволяет разрешить использование улучшенных ПИН-кодов при запуске компьютера. При этом в групповой политике невозможно задать требования к сложности ПИН-кода.
Запрашивается ключ восстановления BitLocker после установки обновлений прошивки Surface UEFI или TPM на устройстве Surface
Данная статья содержит сведения о том, как отключить параметры безопасности или понизить уровень безопасности компьютера. Указанные изменения позволяют обойти определенную проблему. Прежде чем вносить эти изменения, рекомендуется оценить риски, связанные с ними в конкретной среде. При реализации этого метода обхода примите все необходимые дополнительные меры для защиты своей системы.
Проблемы
Вы столкнулись с одним или несколькими из следующих симптомов на устройстве Surface:
При запуске вам предложено ввести ключ восстановления BitLocker, вы ввели правильный ключ восстановления, но Windows не запускается.
Вы загружаетесь непосредственно в настройки системы Surface Unified Extensible Firmware Interface (UEFI).
Ваше устройство Surface находится в бесконечном цикле перезагрузки.
Причина
Это может произойти в следующих случаях:
BitLocker включен и настроен на использование значений регистра конфигурации платформы (PCR), отличных от значений по умолчанию PCR 7 и PCR 11, например, когда:
Безопасная загрузка выключена.
Значения PCR были четко определены, например, в рамках групповой политики.
Вы устанавливаете обновление прошивки, которое обновляет прошивку устройства TPM или изменяет подпись системной прошивки. Например, вы устанавливаете обновление Surface dTPM (IFX).
Примечание Проверить значения PCR, которые используются на устройстве, можно, запустив следующую команду из командной строки с повышенными привилегиями:
Примечание PCR 7 является требованием для устройств, которые поддерживают режим ожидания с подключением (также известный как InstantGO или Always On, Always Connected PC), в том числе устройства Surface. На таких системах, если TPM с PCR 7 и Secure Boot правильно настроены, BitLocker связывается с PCR 7 и PCR 11 по умолчанию. Для получения дополнительной информации см. «О реестре конфигурации платформы (PCR)» в разделе Параметры групповой политики BitLocker.
Обходной путь
Шифрование диска BitLocker помогает защитить конфиденциальную информацию организации путем шифрования данных. Это обходное решение для временного отключения BitLocker может подвергнуть риску данные. Корпорация Майкрософт не рекомендует использовать этот метод, но в случае необходимости его можно применить на свой собственный риск. В случае использования данного обходного решения полагайтесь на свой опыт и знания.
Способ 1. Приостановка BitLocker во время обновления прошивки TPM или UEFI
Вы можете избежать этого сценария при установке обновлений для системной прошивки или прошивки TPM, временно приостановив BitLocker перед применением обновлений к прошивке TPM или UEFI с помощью Suspend-BitLocker.
Примечание TPM и UEFI могут потребовать нескольких перезагрузок во время установки. Таким образом, приостановка BitLocker должна быть осуществлена через Suspend-BitLocker cmdlet и с помощью параметра Reboot Count, чтобы указать число перезагрузок, превышающее 2, для приостановки BitLocker во время процесса обновления прошивки. Счетчик перезагрузки, равный 0, приостановит BitLocker на неопределенный срок, пока BitLocker не будет возобновлен с помощью командлета PowerShell Resume-BitLocker или другого механизма.
Приостановка BitLocker для установки обновлений прошивки TPM или UEFI:
Начните административную сессию PowerShell.
Введите следующую команду и нажмите клавишу ВВОД:
где C: — диск, назначенный вашему диску
Установите драйвер устройства Surface и обновления прошивки.
После успешной установки обновлений прошивки возобновите BitLocker с помощью командлета Resume-BitLocker следующим образом:
Способ 2. Включение безопасной загрузки и восстановление значений PCR по умолчанию
Мы настоятельно рекомендуем восстановить по умолчанию рекомендуемую конфигурацию значений Secure Boot и PCR после приостановки BitLocker, чтобы предотвратить ввод BitLocker Recovery при применении будущих обновлений к прошивке TPM или UEFI.
Для включения безопасной загрузки на устройстве Surface с включенным BitLocker:
Приостановите BitLocker с помощью командлета Suspend-BitLocker, как описано в способе 1.
Перейдите на вкладку Безопасность.
Нажмите Изменение конфигурации в разделе «Безопасная загрузка».
Выберите только Microsoft и нажмите OK.
Выберите Выход, а затем Перезагрузить для перезагрузки устройства.
Возобновите BitLocker с помощью командлета Resume-BitLocker, как описано в способе 1.
Чтобы изменить значения PCR, используемые для проверки шифрования диска BitLocker:
Отключите любые групповые политики, которые настраивают PCR, или удалите устройство из любых групп, к которым применяются такие политики. Для получения дополнительной информации смотрите «Варианты развертывания» в Справочнике по групповой политике BitLocker.
Приостановите BitLocker с помощью командлета Suspend-BitLocker, как описано в способе 1.
Возобновите BitLocker с помощью командлета Resume-BitLocker, как описано в способе 1.
Способ 3. Удаление устройств защиты с загрузочного диска
Если вы установили обновление TPM или UEFI и устройство не может загрузиться, даже при введении правильного ключа восстановления BitLocker, вы можете восстановить возможность загрузки с помощью ключа восстановления BitLocker и образа восстановления Surface для удаления устройств защиты BitLocker с загрузочного диска.
Чтобы удалить устройства защиты с загрузочного диска с помощью ключа восстановления BitLocker:
Получите ключ восстановления BitLocker с go.microsoft.com/fwlink/p/?LinkId=237614, или если BitLocker управляется другими средствами, такими как Microsoft BitLocker Administration and Monitoring(MBAM), свяжитесь с администратором.
С другого компьютера загрузите образ восстановления Surface с Загрузить образ восстановления для Surface и создайте диск восстановления USB.
Загрузка с образа диска восстановления USB для Surface.
Выберите язык операционной системы, когда вам будет предложено.
Выберите раскладку клавиатуры.
Выберите Устранение неполадок.
Выберите Дополнительные параметры.
Выберите Командная строка.
Выполните следующие команды:
где C: — это диск, назначенный вашему диску, а — ваш ключ восстановления BitLocker, полученный на шаге 1.
Примечание Для получения дополнительной информации об использовании этой команды, см. статью из документации Майкрософт Manage-bde: unlock.
Когда вам будет предложено, введите ключ восстановления BitLocker, полученный на шаге 1.
Примечание После отключения устройств защиты BitLocker загрузочном диске, ваше устройство больше не будет защищено шифрованием диска BitLocker. Для повторного включения BitLocker, выберите Пуск, введите Управление BitLocker и нажмите ВВОД, чтобы запустить приложение панели управления шифрованием диска BitLocker, затем проследуйте инструкциям по шифрованию диска.
Способ 4. Восстановление данных и сброс устройства с помощью Surface Bare Metal Recovery (BMR)
Для восстановления данных с устройства Surface, если вы не можете загрузить Windows:
Получите ключ восстановления BitLocker с https://go.microsoft.com/fwlink/p/?LinkId=237614, или если BitLocker управляется другими средствами, такими как Microsoft BitLocker Administration and Monitoring (MBAM), обратитесь к администратору.
С другого компьютера загрузите образ восстановления Surface с Загрузить образ восстановления для Surface и создайте диск восстановления USB.
Загрузка с образа диска восстановления USB для Surface.
Выберите язык операционной системы, когда вам будет предложено.
Выберите раскладку клавиатуры.
Выберите Устранение неполадок.
Выберите Дополнительные параметры.
Выберите Командная строка.
Выполните следующую команду:
где C: — это диск, назначенный вашему диску, а — ваш ключ восстановления BitLocker, полученный на шаге 1.
После разблокировки диска используйте команды copy или xcopy для копирования данных пользователей на другой диск.
Примечание Для получения дополнительной информации об этих командах, см. Справочник по параметрам командной строки Windows.
Чтобы сбросить устройство с помощью образа восстановления Surface: Следуйте инструкциям в «Как выполнить сброс настроек Surface с помощью USB-накопителя восстановления» в разделе Создание и использование USB-накопителя восстановления.