Шифрования диска BitLocker является функций безопасности впервые введеные в Windows Vista Ultimate и Enterprise editions, а затем включены во все редакции Windows Server 2008.

BitLocker выполняет ряд функций в зависимости от аппаратного обеспечения системы, на котором работает Windows Server 2008 . На самом базовом уровне, BitLocker шифрует все тома диска таким образом, чтобы файлы операционной системы и пользовательские данные, содержащиеся на диске не могут быть доступны, если диск потерян или украден. Кроме того, ключ записывается на флэш-накопитель USB в процессе конфигурации BitLocker. Этот флэш-драйв должен быть вставлен в порт USB на компьютере при запуске системы, для того чтобы получить доступ к системе.



При использовании в сочетании с компьютерной системой, которая имеет Trusted Platform Module (TPM), вместе с Trusted Computing Group (TCG) совместимый BIOS, BitLocker также предоставляет дополнительные возможности, включая проверку целостности файлов загрузки до запуска системы. Кроме того, поддержка TPM также предоставляет возможность
указать PIN, который должен быть введен на старте системы в дополнение с флэш-драйвом , содержащего ключ !



Необходимые требования


К сожалению шифрования диска BitLocker не поддерживается на всех системах. Необходимые требования для использования
BitLocker:

* Не менее 1,5 ГБ свободного места на диске (нераспределенные или доступные для перераспределения из существующих разделов).

* BIOS, который поддерживает очистку оперативной памяти при перезагрузке.

Хотя не обязательно использовать BitLocker, чтобы воспользоваться полным спектром защиты особенностей BitLocker , но следующие дополнительные требования также необходимы:

* Trusted Platform Module
(TPM) Chip

* Trusted Computing Group BI


Включение шифрования диска BitLocker


Первым шагом в настройке шифрования диска BitLocker предполагается включение этой функции в Windows Server 2008. Это
выполняется с помощью Server Manager.
Чтобы получить доступ к Server Manager откройте меню "Пуск" и выберите Server Manager или нажмите на значок Server
Manager на панели задач. В иерархическом древе расположенном в левой панели Server Manager выберите компоненты (Features) . После выбора Server Manager отображает состояние текущей конфигурации компонентов и
предоставляет систему для добавления и удаления компонентов. На следующем рисунке показано что в Server Manager ещё нет установленных компонентов:

Чтобы добавить функцию BitLocker, начните нажав на добавление новых компонентов, опцию для вызова мастера новых возможностей , как показано ниже.

Выберите вариант "шифрования диска BitLocker" и нажмите на кнопку Далее. В открывшемся окне подтверждения убедитесь, что вы хотите включить поддержку BitLocker, нажав на кнопку "Установить". Мастер будет работать в процессе установки. Количество времени необходимого для выполнения этой задачи будет различаться в зависимости от скорости системы . Общий прогресс можно отслеживать с помощью индикатора на экране отображаемого процесса .
После завершения процесса установки необходимо будет перезагрузить систему для осуществления изменений .
После перезагрузки завершится "Мастер установки" и вызовет перезагрузку для завершение окончательных этапов процесса установки функции. После завершения, нажмите на кнопку "Закрыть" для выхода из мастера.


Создание разделов для шифрования диска BitLocker


Шифрования диска BitLocker требует, чтобы было два раздела на жестком диске. Первый раздел называется системным томом, и содержит информацию не зашифрованной загрузки. Второй раздел называется томом операционной системы. Это том , который будет зашифрован и содержит операционную систему и данные пользователя.
Том системы должен быть не менее 1.5GB по размерам и должен быть создан прежде чем вы приступить к процессу BitLocker Drive Encryption. Этот том может быть создан либо путем использования не распределенного пространства на диске, принимая пространство из существующего тома, а также загрузочные файлы могут быть объединены в другом существующем томе (за исключением томов операционной системы). Для того чтобы облегчить процесс создания системного тома Microsoft предоставляет инструмент под названием Driver BitLocker Preparation Tool. Этот инструмент может быть загружен с сайта компании Microsoft.
После того как инструмент был загружен и установлен он должен появиться в Пуск-> Аксессуары-> System Tools-> BitLocker-> BitLocker Drive Preparation Tool. Само средство устанавливается в качестве исполняемого% ProgramFiles% \ BitLocker \ BdeHdCfg.exe. Инструмент может либо быть запущен в качестве графического инструмента или же из командной строки с различными параметрами командной строки , для выполнения требуемых задач.
Чтобы получить список доступных параметров командной строки, запустить программу с ключом -? параметр командной строки:

Код:
bdehdcfg -?

Для получения информации о существующей конфигурации диска, запустите команду BdeHdCfg.exe-driveinfo из командной строки:

Код:
bdehdcfg -driveinfo
BitLocker Drive Preparation Tool
Copyright (C) 2006-2007 Microsoft Corporation.

Initializing, please wait...

VALID TARGETS  SIZE (MB)  COMMANDS      MAX SHRINK  TARGET DETAILS
-------------  ---------  ------------  ----------  -----------------
   C:              16381  shrink              8140  Windows server

Однако этот вывод подсказывает нам, что единственным вариантом для этого диска заключается в уменьшении диска C: объем и максимальная сумма, на которую он может быть сокращён.
1.5GBлюбого незанятого пространство на диске может быть отнесено к системному тому с буквой 'S:', используя следующую команду:

Код:
bdehdcfg -target unallocated -newdriveletter s: -size 1500

Кроме того, за счет свободного пространства существующих томов возложенных на системный том . Это называется исполняющим разбиением . На практике томы уменьшились, а в виде нового тома, созданный из освободившегося пространства . В целях выполнения разбиения успешного том, из которого пространство должно быть удалено , и должны иметь 10% свободного пространства, оставшихся после 1.5GB разбиения . Следующая команда отщипнет 1.5GB от диска C > том с буквой 'S:'

Код:
bdehdcfg -target c: shrink -newdriveletter s: -size 1500
BitLocker Drive Preparation Tool
Copyright (C) 2006-2007 Microsoft Corporation.

Initializing, please wait...

New active drive S: will be created from 1500 MB of free space on drive C:
Do you want to continue? (Y/N):

Shrinking drive C: - Done.

Creating new active drive S: - Done.

Preparing drive for BitLocker - Done.

You must restart your computer to apply these changes.

Before restarting, save any open files and close all programs.

В итоге , другие разделы операционной системы существующие загрузочные файлы могут быть объединены в этот раздел. После завершения слияния раздел должен быть назначен в качестве активного раздела. Этот процесс может быть достигнут с использованием варианта слияния. Например, следующая команда выполнит слияние загрузки файлов на диске D:

Код:
bdehdcfg -target d: merge

После того как был создан системный том , нужно перезагрузить систему

 

Код:
shutdown -r
 
Включение BitLocker Drive Encryption

После того как системный том был создан и система была перезагружена , следующий шаг заключается в
обеспечении поддержки BitLocker. Готовности системы, а также возможность включить поддержку BitLocker контролируются с панели управления (Пуск-> Панель управления>BitLocker Drive Encryption.
 
Если система, под управлением Windows Server 2008 имеет поддержку TPM дисков подходящих для шифрования BitLocker будет указан вместе с параметром, чтобы активировать шифрование. Если, с другой стороны, аппаратные средства не имеют поддержки TPM выводится предупреждающее сообщение:
Код:
A TPM was not found. A TPM is required to turn on BitLocker. 
If your computer has a TPM, then contact the computer manufacturer for a BitLocker-compatible BIOS
Так же система TPM проверить в системом BIOS, чтобы убедиться, что он включен. Также убедитесь, что TPM включена в Trusted Platform Module Management Console. Если система не имеет TPM можно использовать BitLocker, но нужно будет изменить групповую политику, чтобы иметь поддержку BitLocker в отсутствии TPM.
Изменение групповой политики для BitLocker
Параметры групповой политики для BitLocker может быть установлены либо в локальной групповой политике или же в Active Directory Group Policy. Параметры политики позволят BitLocker использовать без TPM. Кроме того, настройки можно изменить конфигурацией BitLocker для систем, которые имеют TPM.
Чтобы получить доступ к политике настройки BitLocker локального компьютера, откройте редактор групповых политик, меню "Пуск">run> gpedit.msc и нажмите клавишу ВВОД. Затем , выберите Политика "Локальный компьютер" -> Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> BitLocker Drive Encryption. Включите дополнительные параметры запуска вызвав диалоговое окно "Свойства:
Чтобы включить BitLocker без поддержки TPM выберите "Включено" (Enabled) и "Разрешить" (Allow) BitLocker без TPM , затем применить (Apply) эти изменения.

Для систем с BitLocker-совместимых TPM и ряд других вариантов которые контролируются , пользователи обязаны создать TPM загрузки ключей или PIN автозагрузки. Обратите внимание, что запуск ключей и PIN-коды
являются взаимоисключающими. Если система требует ключа запуска то контакты должны быть аннулированы, и наоборот.

Выполнение шифрования и генерация ключей

Настало время для выполнения шифрования. Откройте панель управления BitLocker, как описано выше и нажмите на
ссылку " Включить" BitLocker и диск будет зашифрован. В появившемся диалоговом окне будет предупреждение , что BitLocker шифрование снижает производительность и вы можете отменить операцию. Чтобы продолжить, выберите пункт "Выполнить BitLocker Drive Encryption".

Следующий экран, это экран предпочтений запуска набора BitLocker . Будет предоставлять выбор , то есть имеет ли главная система TPM или нет.

На следующем рисунке показано что на экране система без TPM, и предоставляет возможность использовать BitLocker с USB Flash диска содержащего ключ запуска:
 
 
Выберите нужную опцию, чтобы перейти к следующему шагу. Если с помощью ключа запуска вставить USB устройство в порт USB, когда будет предложено сделать это то нажмите кнопку "Сохранить" , чтобы сохранить ключ запуска на устройство.

Далее, процесс установки будет просить Вас сохранить ключ восстановления. Это будет необходимо, чтобы разблокировать систему, если BitLocker обнаруживает проблему с целостности системы (как правило, если данные на диске был подделаны , когда система была выключена):
 
Не сохраняйте пароль восстановления на том же устройстве USB в качестве ключа
запуска, используйте другое USB устройство. Рекомендуется создать несколько
копий пароля , также можно сохранить файл в папку и распечатать данный документ
. После того как пароль для восстановления был сохранён , нажмите кнопку
"Далее". Убедитесь, что система BitLocker выполнила все необходимые
действия и проверка переключения установлена, нажмите "Продолжить", чтобы начать
процесс шифрования. Система будет перезагружена в течении
процесса шифрования , с указанием диалога в индикатором прогресса.


После того как процесс шифрования выполнен , ключ запуска или
PIN (в зависимости от конфигурации) будет необходим при следующим старте
системы !


Регенерация BitLocker ключей запуска и паролей
восстановления


Для регенерации ранее сгенерировано ключа запуска
и восстановления пароля введите шифрования диска BitLocker Control Panel
(Start -> Control Panel -> Security -> шифрования диска BitLocker)
и нажмите кнопку "Управление" BitLocker "Ключи".
В результате экран предоставит параметры дублирования для восстановления пароля
и повторяющиеся ключа запуска. Восстановление ключ может быть записан на диске
USB или папки. Запуске ключ должен быть сохранен в памяти
устройств.


Выключение BitLocker Drive Encryption

Шифрования диска BitLocker может быть запрещена, либо на временной или постоянной основе. Чтобы
временно отключить шифрование откройте BitLocker в панели управления (Пуск -> Панель управления -> Security -> шифрования диска BitLocker) и выберите "Выключить шифрования диска BitLocker" на нужном томе и выберите "Отключить шифрования диска BitLocker" в открывшемся окне.

Чтобы отключить BitLocker и расшифровки системного тома, повторите эти шаги, выбирая Расшифровать том, когда просили, чтобы указать уровень расшифровки.

To turn off BitLocker and decrypt a system volume repeat the above steps, selecting Decrypt the volume when asked to
specify the level of decryption.

Для того чтобы выключить и расшифровать системный том , повторите шаги указанные выше , выбрав "Расшифровать системный том определив уровень расшифровки .

You have no rights to post comments

Яндекс.Метрика