Uruchamianie Szyfrowania dysków funkcją BitLocker

Przed uruchomieniem szyfrowania całego dysku zalecane jest upewnienie się, że komputer nie jest zainfekowany. W tym celu uruchom zadanie Pełne skanowanie lub Skanowanie obszarów krytycznych. Wykonanie szyfrowania całego dysku na komputerze, który jest zainfekowany rootkitem, może spowodować, że komputer przestanie działać.

Aby użyć Szyfrowania dysków funkcją BitLocker na komputerach z systemem operacyjnym Windows dla serwerów, może być wymagana instalacja komponentu Szyfrowanie dysków funkcją BitLocker. Zainstaluj komponent za pomocą narzędzi systemu operacyjnego (Kreator dodawania ról i komponentów). Więcej informacji o instalowaniu szyfrowania dysków funkcją BitLocker można znaleźć w dokumentacji firmy Microsoft.

Jak uruchomić szyfrowanie dysków funkcją BitLocker za pomocą Konsoli administracyjnej (MMC)?

Jak uruchomić szyfrowanie dysków funkcją BitLocker za pośrednictwem konsoli Web Console i Cloud Console?

Możesz użyć narzędzia Monitor szyfrowania, aby kontrolować szyfrowanie dysku lub proces deszyfrowania na komputerze użytkownika. Możesz uruchomić narzędzie Monitor szyfrowania z poziomu okna głównego aplikacji.

Po zastosowaniu zasady aplikacja wyświetli następujące zapytania w zależności od ustawień uwierzytelniania:

Jeśli w systemie operacyjnym komputera jest włączona funkcja zgodności ze standardami FIPS (Federal Information Processing Standard), wówczas w systemie Windows 8 i wcześniejszych wersjach będzie wyświetlane okno z żądaniem podłączenia urządzenia magazynującego w celu zapisania pliku klucza odzyskiwania. Możesz zapisać kilka plików kluczy odzyskiwania na jednym urządzeniu magazynującym.

Po ustawieniu hasła lub kodu PIN funkcja BitLocker poprosi o ponowne uruchomienie komputera w celu dokończenia szyfrowania. Następnie użytkownik musi przejść procedurę uwierzytelniania funkcją BitLocker. Po procedurze uwierzytelnienia użytkownik musi zalogować się do systemu. Po załadowaniu systemu operacyjnego funkcja BitLocker zakończy szyfrowanie.

Jeśli nie ma dostępu do kluczy szyfrowania, użytkownik może poprosić administratora sieci lokalnej o dostarczenie klucza odzyskiwania (jeśli klucz odzyskiwania nie został wcześniej zapisany na urządzeniu magazynującym lub został utracony).

Ustawiania modułu Szyfrowania dysków funkcją BitLocker

Parametr

Opis

Włącz korzystanie z uwierzytelniania BitLocker wymagającego wprowadzania danych z klawiatury przed uruchomieniem na tabletach

To pole włącza / wyłącza korzystanie z uwierzytelniania wymagającego wprowadzenia danych przed rozruchem nawet wtedy, gdy platforma nie oferuje takiej możliwości (na przykład klawiatury dotykowe na tabletach).

Ekran dotykowy komputerów typu tablet nie jest dostępny w środowisku wykonawczym przed uruchomieniem systemu. Aby zakończyć uwierzytelnianie funkcji BitLocker na komputerach typu tablet, użytkownik musi, na przykład, podłączyć klawiaturę USB.

Jeśli pole jest zaznaczone, użycie uwierzytelniania wymagającego wprowadzenia danych przed rozruchem jest dozwolone. Zalecane jest korzystanie z tego ustawienia tylko na urządzeniach, na których znajdują się alternatywne narzędzia do wprowadzania danych przed rozruchem, na przykład klawiatura USB będąca dodatkiem do klawiatury dotykowej.

Jeśli pole jest odznaczone, szyfrowanie dysków funkcją BitLocker nie jest możliwe na tabletach.

Użyj szyfrowania sprzętowego (dla systemu operacyjnego Windows 8 i nowszych)

Jeśli pole jest zaznaczone, aplikacja stosuje szyfrowanie sprzętu. Umożliwia to przyspieszenie szyfrowania i zużycie mniejszej ilości zasobów.

Szyfruj tylko zajętą przestrzeń dysku (dla systemu operacyjnego Windows 8 i nowszych)

To pole włącza/wyłącza opcję ograniczającą obszar szyfrowania tylko do zajmowanych sektorów dysku twardego. To ograniczenie pozwala na skrócenie czasu szyfrowania.

Włączenie lub wyłączenie funkcji Szyfruj tylko zajętą przestrzeń dysku (redukuje czas szyfrowania) po rozpoczęciu szyfrowania nie powoduje zmodyfikowania tego ustawienia, aż do odszyfrowania dysków twardych. Przed rozpoczęciem szyfrowania należy zaznaczyć lub odznaczyć to pole.

Jeśli pole jest zaznaczone, zostaną zaszyfrowane tylko te obszary dysku twardego, które są zajęte przez pliki. Kaspersky Endpoint Security automatycznie szyfruje nowe dane po ich dodaniu.

Jeśli pole jest odznaczone, cały dysk twardy jest szyfrowany, w tym fragmenty wcześniej usuniętych i zmodyfikowanych plików.

Ta opcja jest zalecana dla nowych dysków twardych, których dane nie zostały zmodyfikowane ani usunięte. Jeśli stosujesz szyfrowanie na dysku twardym, który jest już w użyciu, zalecane jest zaszyfrowanie całego dysku twardego. Zapewni to ochronę wszystkich danych, także tych usuniętych, które potencjalnie można odzyskać.

Domyślnie pole to nie jest zaznaczone.

Ustawienia uwierzytelniania

Użyj hasła (dla systemu operacyjnego Windows 8 i nowszych)

Jeśli ta opcja jest zaznaczona, Kaspersky Endpoint Security wyświetli pytanie o wprowadzenie hasła podczas próby uzyskania dostępu do zaszyfrowanego dysku.

Ta opcja może zostać wybrana, gdy moduł TPM nie jest używany.

Używaj modułu TPM (Trusted Platform Module)

Jeśli ta opcja jest zaznaczona, BitLocker korzysta z modułu TPM (Trusted Platform Module).

Moduł TPM (Trusted Platform Module) to mikroczip zaprojektowany do zapewnienia podstawowych funkcji związanych z bezpieczeństwem (na przykład, do przechowywania kluczy szyfrowania). Trusted Platform Module jest zazwyczaj instalowany w płycie głównej komputera i komunikuje się z wszystkimi pozostałymi komponentami systemu za pośrednictwem magistrali sprzętowej.

Dla komputerów działających pod kontrolą systemu Windows 7 lub Windows Server 2008 R2 dostępne jest tylko szyfrowanie przy użyciu modułu TPM. Jeśli moduł TPM nie jest zainstalowany, szyfrowanie funkcją BitLocker nie jest możliwe. Użycie hasła na tych komputerach nie jest obsługiwane.

Urządzenie posiadające moduł Trusted Platform Module może tworzyć klucze szyfrowania, które mogą zostać odszyfrowane tylko z pomocą urządzenia. TPM szyfruje klucze szyfrowania, korzystając z własnych kluczy głównych magazynowania. Klucz główny magazynowania jest przechowywany w Trusted Platform Module. Zapewnia to dodatkowy poziom ochrony przed próbami zhakowania kluczy szyfrowania.

To ustawienie jest wybrane domyślnie.

Możesz ustawić dodatkową warstwę ochrony dostępu do klucza szyfrowania i zaszyfrować klucz z hasłem lub kodu PIN:

  • Użyj kodu PIN dla TPM. Jeśli to pole jest zaznaczone, użytkownik może użyć kodu PIN do uzyskania dostępu do klucza szyfrowania przechowywanego w Trusted Platform Module (TPM).

    Jeśli to pole jest odznaczone, użytkownicy nie mogą korzystać z kodów PIN. Aby uzyskać dostęp do klucza szyfrowania, użytkownik musi wprowadzić hasło.

    Możesz zezwolić użytkownikowi na użycie rozszerzonego kodu PIN. Rozszerzony kod PIN umożliwia używanie innych znaków jako dodatku do znaków numerycznych: dużych i małych liter alfabetu łacińskiego, znaków specjalnych i spacji.

  • Używaj modułu TPM (Trusted Platform Module); jeśli jest niedostępny - używaj hasła. Jeśli pole jest zaznaczone, użytkownik może użyć hasła w celu uzyskania dostępu do kluczy szyfrowania, gdy moduł Trusted Platform Module (TPM) jest niedostępny.

    Jeśli pole wyboru zostanie odznaczone, a TPM nie jest dostępny, szyfrowanie całego dysku nie rozpocznie się.

Przejdź do góry