Differences

This shows you the differences between two versions of the page.

--- bitlocker [2023/04/10 16:01] – jp
+++ bitlocker [2024/11/01 09:58] (current) – jp
@@ Line 3: / Line 3: @@
 === Проблема с отсутствием опции шифрования (Device Encryption) в домашней версии Windows ===
-Если в настройках системы (Privacy and Security) отсутствует опция шифрования (урезанный bitlocker), стоит проверить, поддерживает ли компьютер функцию ''modern standby''. Сделать это можно следующей командой:
+Если в настройках системы (//Privacy and Security//) отсутствует опция шифрования (урезанный bitlocker), стоит проверить, поддерживает ли компьютер функцию ''modern standby''. Сделать это можно следующей командой:
 <code>
@@ Line 30: / Line 30: @@
    manage-bde -protectors -get C:
 :!: //Нам нужен ключ, который содержит пароль восстановления.// \\
+;#;
 {{::bl_manage_bde_key.jpg?400|}}\\
+;#;
 Выполнить:
@@ Line 58: / Line 61: @@
    Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools
 :!: После установки потребуется перезагрузка.
+----
+=== Проверить тип шифрования ===
+Начиная с 2019-го года Bitlocker по умолчанию шифрует диски программным шифрованием, т.к. с аппаратным шифрованием существует очень много проблем: к примеру, есть много уязвимостей в реализации, которая является крайне vendor-specific. Программное шифрование, в отличие от аппаратного накладывает определенный оверхед на производительность диска, а также забирает ресурсы CPU. Тем не менее, Microsoft может гарантировать консистентность данного способа шифрования.
+Проверить шифрование можно командой:
+   manage-bde -status
+В случае программного шифрования результат будет примерно таким:
+   Encryption Method:    XTS-AES 128
+Если же шифрование аппаратное результат выдаст //hardware encryption//.
+:!: //Переключиться из программного к аппаратному шифрованию без переустановки ОС не получится. Более того, обычно поддержку аппаратного шифрования требуется включать отдельно до установки ОС при помощи специальных утилит от производителей дисков (К примеру, "Magician" от Samsung).//
+----
+=== Смена пароля восстановления на компьютере, являющимся членом домена AD ===
+. Узнаём идентификатор текущего пароля восстановления и копируем его ID
+   manage-bde C: -protectors -get -type RecoveryPassword
+. Удаляем текущий пароль восстановления, используя скопированный ID. Если выполняем в PowerShell, то заключаем ID в кавычки.
+   manage-bde C: -protectors -delete -id '{3FB084AD-F8AF-4726-A6F1-EDC61CA8B75A}'
+. Добавляем новый ключ. Он будет сгенерирован автоматически и добавлен в Active Directory.
+   manage-bde C: -protectors -add -rp
+----
+**Делегирование прав для учётной записи AD к восстановлению пароля Bitlocker**
+. На нужном OU выбираем опцию //Delegate Control//.
+. Выбираем пользователя, которому делигируем парва.
+. Далее выбираем опцию //Create a custom task to delegate//.
+. В объектах выбираем //msFVE-RecoveryInformation//.
+. Отдаем право на //Full Control//.
+;#;
+{{::ad-delegate-control-highlight.png?400|}}
+;#;
+:!: Для того, чтобы в консоли //users and computers// появилась вкладка управления паролями восстановления, требуется наличие установленного компонента //RSAT: BitLocker Drive Encryption Administration Utilities//.
+Установить его из консоли можно следующим образом:
+   Add-WindowsCapability -Online -Name Rsat.BitLocker.Recovery.Tools~~~~0.0.1.0
 {{tag>Microsoft Windows PowerShell ActiveDirectory BitLocker TPM}}