BitLocker
Проблема с отсутствием опции шифрования (Device Encryption) в домашней версии Windows
Если в настройках системы (Privacy and Security) отсутствует опция шифрования (урезанный bitlocker), стоит проверить, поддерживает ли компьютер функцию modern standby. Сделать это можно следующей командой:
powercfg /a
Нужно обратить внимание на параметр “S0” (будет написано - поддерживает или нет). Если нет - шифрование в домашней версии использовать не получится.
Управление BitLocker
Посмотреть - какие провайдеры используются для расшифровки конкретного диска:
manage-bde c: -protectors -get
Или при помощи PowerShell:
Get-BitLockerVolume -MountPoint "C:"
Бэкап ключей BitLocker в AD
Из оболочки CMD.
Просмотреть нужный ID:
manage-bde -protectors -get C:
Нам нужен ключ, который содержит пароль восстановления.
Выполнить:
manage-bde -protectors -adbackup С: -id {1BA82AC7-3722-4464-9689-074B9CA36098}
Или при помощи PowerShell:
$KEY = Get-BitLockerVolume -MountPoint "C:" Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $KEY.KeyProtector[1].KeyProtectorId.ToString()
Посмотреть версию TPM командой
wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get * /format:textvaluelist.xsl
При каждой перезагрузке BitLocker продолжает спрашивать пароль восстановления
Решение: загрузиться в систему и запустить в консоли от имени администратора следующие команды
manage-bde –protectors –disable C: manage-bde –protectors –enable C:
Если есть проблемы, дополнительно может помочь приостановка BitLocker перед процедурой.
Опция BitLocker Recovery недоступна на контроллере домена
В этом случае нужно проверить - установлен ли компонент BitLocker на сервер и, если нет - выполнить установку.
Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools
После установки потребуется перезагрузка.
Проверить тип шифрования
Начиная с 2019-го года Bitlocker по умолчанию шифрует диски программным шифрованием, т.к. с аппаратным шифрованием существует очень много проблем: к примеру, есть много уязвимостей в реализации, которая является крайне vendor-specific. Программное шифрование, в отличие от аппаратного накладывает определенный оверхед на производительность диска, а также забирает ресурсы CPU. Тем не менее, Microsoft может гарантировать консистентность данного способа шифрования.
Проверить шифрование можно командой:
manage-bde -status
В случае программного шифрования результат будет примерно таким:
Encryption Method: XTS-AES 128
Если же шифрование аппаратное результат выдаст hardware encryption.
Переключиться из программного к аппаратному шифрованию без переустановки ОС не получится. Более того, обычно поддержку аппаратного шифрования требуется включать отдельно до установки ОС при помощи специальных утилит от производителей дисков (К примеру, “Magician” от Samsung).
Смена пароля восстановления на компьютере, являющимся членом домена AD
1. Узнаём идентификатор текущего пароля восстановления и копируем его ID
manage-bde C: -protectors -get -type RecoveryPassword
2. Удаляем текущий пароль восстановления, используя скопированный ID. Если выполняем в PowerShell, то заключаем ID в кавычки.
manage-bde C: -protectors -delete -id '{3FB084AD-F8AF-4726-A6F1-EDC61CA8B75A}'
3. Добавляем новый ключ. Он будет сгенерирован автоматически и добавлен в Active Directory.
manage-bde C: -protectors -add -rp
Делегирование прав для учётной записи AD к восстановлению пароля Bitlocker
1. На нужном OU выбираем опцию Delegate Control.
2. Выбираем пользователя, которому делигируем парва.
3. Далее выбираем опцию Create a custom task to delegate.
4. В объектах выбираем msFVE-RecoveryInformation.
5. Отдаем право на Full Control.
Для того, чтобы в консоли users and computers появилась вкладка управления паролями восстановления, требуется наличие установленного компонента RSAT: BitLocker Drive Encryption Administration Utilities.
Установить его из консоли можно следующим образом:
Add-WindowsCapability -Online -Name Rsat.BitLocker.Recovery.Tools~~~~0.0.1.0