jpolisher's IT-wiki

User Tools

Site Tools

Trace: debian
bitlocker

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
bitlocker [2023/03/14 09:13] jpbitlocker [2024/11/01 09:58] (current) jp
Line 3: Line 3:
 === Проблема с отсутствием опции шифрования (Device Encryption) в домашней версии Windows === === Проблема с отсутствием опции шифрования (Device Encryption) в домашней версии Windows ===
  
-Если в настройках системы (Privacy and Security) отсутствует опция шифрования (урезанный bitlocker), стоит проверить, поддерживает ли компьютер функцию ''modern standby''. Сделать это можно следующей командой: +Если в настройках системы (//Privacy and Security//) отсутствует опция шифрования (урезанный bitlocker), стоит проверить, поддерживает ли компьютер функцию ''modern standby''. Сделать это можно следующей командой: 
  
 <code> <code>
Line 30: Line 30:
    manage-bde -protectors -get C:    manage-bde -protectors -get C:
 :!: //Нам нужен ключ, который содержит пароль восстановления.// \\  :!: //Нам нужен ключ, который содержит пароль восстановления.// \\ 
 +;#;
 {{::bl_manage_bde_key.jpg?400|}}\\ {{::bl_manage_bde_key.jpg?400|}}\\
 +;#;
 +
  
 Выполнить: Выполнить:
Line 39: Line 42:
  
 ---- ----
-Посмотреть версию TPM командой+=== Посмотреть версию TPM командой ===
  
    wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get * /format:textvaluelist.xsl    wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get * /format:textvaluelist.xsl
-{{tag>Microsoft Windows PowerShell ActiveDirectory BitLocker}}+ 
 +---- 
 +=== При каждой перезагрузке BitLocker продолжает спрашивать пароль восстановления === 
 + 
 +Решение: загрузиться в систему и запустить в консоли от имени администратора следующие команды 
 + 
 +   manage-bde –protectors –disable C: 
 +   manage-bde –protectors –enable C: 
 +:!: //Если есть проблемы, дополнительно может помочь приостановка BitLocker перед процедурой.// 
 + 
 +---- 
 +=== Опция BitLocker Recovery недоступна на контроллере домена === 
 + 
 +В этом случае нужно проверить - установлен ли компонент BitLocker на сервер и, если нет - выполнить установку. 
 + 
 +   Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools 
 +:!: После установки потребуется перезагрузка. 
 + 
 +---- 
 +=== Проверить тип шифрования === 
 + 
 +Начиная с 2019-го года Bitlocker по умолчанию шифрует диски программным шифрованием, т.к. с аппаратным шифрованием существует очень много проблем: к примеру, есть много уязвимостей в реализации, которая является крайне vendor-specific. Программное шифрование, в отличие от аппаратного накладывает определенный оверхед на производительность диска, а также забирает ресурсы CPU. Тем не менее, Microsoft может гарантировать консистентность данного способа шифрования. 
 + 
 +Проверить шифрование можно командой:  
 + 
 +   manage-bde -status 
 +В случае программного шифрования результат будет примерно таким: 
 +   Encryption Method:    XTS-AES 128 
 +Если же шифрование аппаратное результат выдаст //hardware encryption//
 + 
 +:!: //Переключиться из программного к аппаратному шифрованию без переустановки ОС не получится. Более того, обычно поддержку аппаратного шифрования требуется включать отдельно до установки ОС при помощи специальных утилит от производителей дисков (К примеру, "Magician" от Samsung).// 
 + 
 +---- 
 + 
 +=== Смена пароля восстановления на компьютере, являющимся членом домена AD === 
 + 
 +1. Узнаём идентификатор текущего пароля восстановления и копируем его ID 
 + 
 +   manage-bde C: -protectors -get -type RecoveryPassword 
 +2. Удаляем текущий пароль восстановления, используя скопированный ID. Если выполняем в PowerShell, то заключаем ID в кавычки.  
 + 
 +   manage-bde C: -protectors -delete -id '{3FB084AD-F8AF-4726-A6F1-EDC61CA8B75A}' 
 +3. Добавляем новый ключ. Он будет сгенерирован автоматически и добавлен в Active Directory.  
 + 
 +   manage-bde C: -protectors -add -rp 
 + 
 +---- 
 + 
 +**Делегирование прав для учётной записи AD к восстановлению пароля Bitlocker** 
 + 
 +1. На нужном OU выбираем опцию //Delegate Control//
 + 
 +2. Выбираем пользователя, которому делигируем парва. 
 + 
 +3. Далее выбираем опцию //Create a custom task to delegate//.  
 + 
 +4. В объектах выбираем //msFVE-RecoveryInformation//.  
 + 
 +5. Отдаем право на //Full Control//
 + 
 +;#; 
 +{{::ad-delegate-control-highlight.png?400|}} 
 +;#; 
 + 
 + 
 +:!: Для того, чтобы в консоли //users and computers// появилась вкладка управления паролями восстановления, требуется наличие установленного компонента //RSAT: BitLocker Drive Encryption Administration Utilities//
 + 
 +Установить его из консоли можно следующим образом: 
 + 
 +   Add-WindowsCapability -Online -Name Rsat.BitLocker.Recovery.Tools~~~~0.0.1.0 
 +{{tag>Microsoft Windows PowerShell ActiveDirectory BitLocker TPM}}
bitlocker.1678785219.txt.gz · Last modified: 2023/03/14 09:13 by jp