Содержание

Управление BitLocker

Управление BitLocker

BitLocker – встроенная в операционную систему Windows технология шифрования. Kaspersky Endpoint Security позволяет контролировать и управлять Bitlocker с помощью Kaspersky Security Center. BitLocker шифрует логический том. Шифрование съемных дисков с помощью BitLocker невозможно. Подробнее о BitLocker см. в документации Microsoft.

BitLocker обеспечивает безопасность хранения ключей доступа с помощью доверенного платформенного модуля. Доверенный платформенный модуль (англ. Trusted Platform Module, TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины. Использование TPM является самым безопасным способом хранения ключей доступа BitLocker, так как TPM позволяет проверять целостность операционной системы. На компьютерах без TPM вы также можете зашифровать диски. При этом ключ доступа будет зашифрован паролем. Таким образом, BitLocker использует следующие способы аутентификации:

TPM.
TPM и PIN-код.
Пароль.

После шифрования диска BitLocker создает мастер-ключ. Kaspersky Endpoint Security отправляет мастер-ключ в Kaspersky Security Center, чтобы вы имели возможность восстановить доступ к диску, если пользователь, например, забыл пароль.

Если пользователь самостоятельно зашифровал диск с помощью BitLocker, Kaspersky Endpoint Security отправит информацию о шифровании диска в Kaspersky Security Center. При этом Kaspersky Endpoint Security не отправит мастер-ключ в Kaspersky Security Center, и восстановить доступ к диску с помощью Kaspersky Security Center будет невозможно. Для корректной работы BitLocker c Kaspersky Security Center расшифруйте диск и зашифруйте диск повторно с помощью политики. Расшифровать диск вы можете локально или с помощью политики.

После шифрования системного жесткого диска для загрузки операционной системы пользователю нужно пройти процедуру аутентификации BitLocker. После прохождения процедуры аутентификации BitLocker будет доступен вход в систему. BitLocker не поддерживает технологию единого входа (SSO).

Если вы используете групповые политики для Windows, выключите управление BitLocker в параметрах политики. Параметры политики для Windows могут противоречить параметрам политики Kaspersky Endpoint Security. При шифровании диска могут возникнуть ошибки.

В этом разделе

Запуск шифрования диска BitLocker

Расшифровка жесткого диска, защищенного BitLocker

Восстановление доступа к диску, защищенному BitLocker

Приостановка защиты BitLocker для обновления программного обеспечения

В начало

Запуск шифрования диска BitLocker

Перед запуском полнодискового шифрования рекомендуется убедиться в том, что компьютер не заражен. Для этого запустите полную проверку или проверку важных областей компьютера. Выполнение полнодискового шифрования на компьютере, зараженном руткитом, может привести к неработоспособности компьютера.

Для работы BitLocker на компьютерах под управлением операционной системы Windows для серверов может потребоваться установить компонент шифрования диска BitLocker. Установите компонент средствами операционной системы (мастер добавления ролей и компонентов). Подробнее об установке компонента шифрования диска BitLocker см. в документации Microsoft.

Как запустить шифрование диска BitLocker через Консоль администрирования (MMC)

Откройте Консоль администрирования Kaspersky Security Center.
В дереве консоли выберите папку Политики.
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне политики выберите Шифрование данных → Полнодисковое шифрование.
В раскрывающемся списке Технология шифрования выберите элемент Шифрование диска BitLocker.
В раскрывающемся списке Режим шифрования выберите элемент Шифровать все жесткие диски.
Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой выполнялось шифрование.
Настройте дополнительные параметры шифрования диска BitLocker (см. таблицу ниже).
Сохраните внесенные изменения.

Как запустить шифрование диска BitLocker через Web Console и Cloud Console

В главном окне Web Console выберите Устройства → Политики и профили политик.
Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
Выберите закладку Параметры программы.
Перейдите в раздел Шифрование данных → Полнодисковое шифрование.
В блоке Управление шифрованием выберите элемент Шифрование диска BitLocker.
Перейдите по ссылке Шифрование диска BitLocker.
Откроется окно с параметрами шифрования диска BitLocker.
В раскрывающемся списке Режим шифрования выберите элемент Шифровать все жесткие диски.
Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой выполнялось шифрование.
Настройте дополнительные параметры шифрования диска BitLocker (см. таблицу ниже).
Сохраните внесенные изменения.

Вы можете контролировать процесс шифрования или расшифровки диска на компьютере пользователя с помощью инструмента Мониторинг шифрования. Вы можете запустить инструмент Мониторинг шифрования из главного окна приложения.

Окно со списком дисков, на которых запущено шифрование. Отображаются технология шифрования, статус и идентификатор диска.

Мониторинг шифрования

После применения политики в зависимости от настроек аутентификации приложение покажет следующие запросы:

Только TPM. Участие пользователя не требуется. Диск будет зашифрован после перезагрузки компьютера.
TPM + PIN / Пароль. При наличии модуля TPM, появится окно запроса PIN-кода. При отсутствии модуля TPM, появится окно запроса пароля для предзагрузочной аутентификации.
Только пароль. Появится окно запроса пароля для предзагрузочной аутентификации.

Если в операционной системе включен режим совместимости с Федеральным стандартом обработки информации (FIPS), то в операционных системах Windows 8, а также в более ранних версиях появится окно запроса на подключение запоминающего устройства для сохранения файла ключа восстановления. Вы можете сохранять несколько файлов ключей восстановления на одном запоминающем устройстве.

После установки пароля или PIN-кода BitLocker запросит перезагрузку компьютера для завершения шифрования диска. Далее пользователю нужно пройти процедуру аутентификации BitLocker. После прохождения процедуры аутентификации BitLocker нужно выполнить вход в систему. После загрузки операционной системы BitLocker завершит шифрование диска.

При отсутствии доступа к ключам шифрования пользователь может запросить у администратора локальной сети организации ключ восстановления (если ключ восстановления не был сохранен ранее на запоминающем устройстве или был утерян).

Параметры компонента Шифрование диска BitLocker

Параметр	Описание
Включить использование проверки подлинности BitLocker, требующей предзагрузочного ввода с клавиатуры на планшетах	Флажок включает / выключает использование аутентификации, требующей ввода данных в предзагрузочной среде, даже если у платформы отсутствует возможность предзагрузочного ввода (например, у сенсорных клавиатур на планшетах). Сенсорная клавиатура планшетов недоступна в предзагрузочной среде. Для прохождения аутентификации BitLocker на планшетах пользователю необходимо подключить, например, USB-клавиатуру. Если флажок установлен, то использование аутентификации, требующей предзагрузочного ввода, разрешено. Рекомендуется использовать этот параметр только для устройств, у которых во время предварительной загрузки, помимо сенсорных клавиатур, имеются альтернативные средства ввода данных, например, USB-клавиатура. Если флажок снят, шифрование диска BitLocker на планшетах невозможно.
Использовать аппаратное шифрование (ОС Windows 8 и выше)	Если флажок установлен, то приложение применяет аппаратное шифрование. Это позволяет увеличить скорость шифрования и сократить использование ресурсов компьютера.
Шифровать только занятое пространство (сокращает время шифрования)	Флажок включает / выключает функцию, ограничивающую область шифрования только занятыми секторами жесткого диска. Это ограничение позволяет сократить время шифрования. Включение / выключение функции Шифровать только занятое пространство (сокращает время шифрования) после запуска шифрования не изменяет этого параметра до тех пор, пока жесткие диски не будут расшифрованы. Требуется установить или снять флажок до начала шифрования. Если флажок установлен, то шифруется только та часть жесткого диска, которая занята файлами. Kaspersky Endpoint Security зашифровывает новые данные автоматически по мере их добавления. Если флажок снят, то шифруется весь жесткий диск, в том числе остатки удаленных и отредактированных ранее файлов. Данную функцию рекомендуется применять для новых жестких дисков, данные которых не редактировались и не удалялись. Если вы применяете шифрование на уже используемом жестком диске, рекомендуется зашифровать весь жесткий диск. Это гарантирует защиту всех данных – даже удаленных, но потенциально восстанавливаемых. По умолчанию флажок снят.
Способ аутентификации	Только пароль (ОС Windows 8 и выше) Если выбран этот вариант, Kaspersky Endpoint Security запрашивает у пользователя пароль при обращении к зашифрованному диску. Этот вариант действия может быть выбран, если не используется доверенный платформенный модуль (TPM). Доверенный платформенный модуль (TPM) Если выбран этот вариант, BitLocker использует доверенный платформенный модуль (TPM). Доверенный платформенный модуль (англ. Trusted Platform Module, TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины. Для компьютеров под управлением операционных систем Windows 7 и Windows Server 2008 R2 доступно только шифрование с использованием модуля TPM. Если модуль TPM не установлен, шифрование BitLocker невозможно. Использование пароля на этих компьютерах не поддерживается. Устройство, оснащенное доверенным платформенным модулем, может создавать ключи шифрования, которые могут быть расшифрованы только с его помощью. Доверенный платформенный модуль шифрует ключи шифрования собственным корневым ключом хранилища. Корневой ключ хранилища хранится внутри доверенного платформенного модуля. Это обеспечивает дополнительную степень защиты ключей шифрования от попыток взлома. Этот вариант действия выбран по умолчанию. Вы можете установить дополнительную защиту для доступа к ключу шифрования и зашифровать ключ паролем или PIN: Использовать PIN для TPM. Если флажок установлен, пользователь может использовать PIN-код для получения доступа к ключу шифрования, который хранится в доверенном платформенном модуле (TPM). Если флажок снят, пользователю запрещено использовать PIN-код. Для получения доступа к ключу шифрования пользователь использует пароль. Доверенный платформенный модуль (TPM), если он недоступен, то пароль. Если флажок установлен, то при отсутствии доверенного платформенного модуля (TPM) пользователь может получить доступ к ключам шифрования с помощью пароля. Если флажок снят и модуль TPM недоступен, то полнодисковое шифрование не запускается. Для выбранного способа аутентификации необходимо настроить требования к паролю или PIN-коду: Минимальная длина PIN-а (символов). Минимальная длина пароля (символов). Ограничить срок действия пароля / PIN-а для TPM (дни). Использовать расширенный PIN (с буквами и цифрами). Расширенный PIN-код кроме цифр позволяет использовать другие символы: заглавные и строчные латинские буквы, специальные символы и пробел.
Автоматически пересоздавать ключ восстановления (дни)	Автоматическое обновление пароля для восстановления доступа к диску, защищенному BitLocker. Если флажок установлен, задайте срок действия пароля ключа восстановления. Эта функция позволяет исключить повторное использование пароля ключа восстановления.

В начало

Расшифровка жесткого диска, защищенного BitLocker

Пользователь может самостоятельно расшифровать диск средствами операционной системы (функция Выключение BitLocker). После этого Kaspersky Endpoint Security предложит зашифровать диск повторно. Kaspersky Endpoint Security будет предлагать зашифровать диск пока вы не включите расшифровку дисков в политике.

Как расшифровать жесткий диск, защищенный BitLocker, через Консоль администрирования (MMC)

Откройте Консоль администрирования Kaspersky Security Center.
В дереве консоли выберите папку Политики.
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне политики выберите Шифрование данных → Полнодисковое шифрование.
В раскрывающемся списке Технология шифрования выберите элемент Шифрование диска BitLocker.
В раскрывающемся списке Режим шифрования выберите элемент Расшифровывать все жесткие диски.
Сохраните внесенные изменения.

Как расшифровать жесткий диск, защищенный BitLocker, через Web Console и Cloud Console

В главном окне Web Console выберите Устройства → Политики и профили политик.
Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
Выберите закладку Параметры программы.
Перейдите в раздел Шифрование данных → Полнодисковое шифрование.
Выберите технологию Шифрование диска BitLocker и перейдите по ссылке для настройки параметров.
Откроются параметры шифрования.
В раскрывающемся списке Режим шифрования выберите элемент Расшифровывать все жесткие диски.
Сохраните внесенные изменения.

Мониторинг шифрования

В начало

Восстановление доступа к диску, защищенному BitLocker

Если пользователь забыл пароль доступа к жесткому диску, зашифрованному BitLocker, нужно запустить процедуру восстановления ("Запрос - Ответ").

Если в операционной системе включен режим совместимости с Федеральным стандартом обработки информации (FIPS), то для операционных систем Windows 8, а также в более ранних версий, файл ключа восстановления был сохранен на съемный диск перед шифрованием. Для восстановления доступа к диску вставьте съемный диск и следуйте инструкциям на экране.

Восстановление доступа к жесткому диску, зашифрованному BitLocker, состоит из следующих этапов:

Пользователь сообщает администратору идентификатор ключа восстановления (см. рис. ниже).
Администратор проверяет идентификатор ключа восстановления в свойствах компьютера в Kaspersky Security Center. Идентификатор, который предоставил пользователь, должен соответствовать идентификатору, который отображается в свойствах компьютера.
Если идентификаторы ключа восстановления совпадают, администратор сообщает пользователю ключ восстановления или передает файл ключа восстановления.
Файл ключа восстановления используется для компьютеров под управлением следующих операционных систем:
- Windows 7;
- Windows 8;
- Windows Server 2008;
- Windows Server 2011;
- Windows Server 2012.
Для остальных операционных систем используется ключ восстановления.

Для исключения повторного использования пароля ключа восстановления вы можете настроить автоматическое обновление пароля в параметрах политики.
Пользователь вводит ключ восстановления и получает доступ к жесткому диску.

Восстановление доступа к жесткому диску, зашифрованному BitLocker

Восстановление доступа к системному диску

Для запуска процедуры восстановления пользователю нужно на этапе предзагрузочной аутентификации нажать клавишу Esc.

Как просмотреть ключ восстановления для системного диска, зашифрованного BitLocker, в Консоли администрирования (MMC)

Откройте Консоль администрирования Kaspersky Security Center.
В дереве консоли выберите папку Управляемые устройства.
На закладке Устройства выделите компьютер пользователя, запросившего восстановление доступа к зашифрованным данным, и по правой клавише мыши откройте контекстное меню.
В контекстном меню выберите пункт Предоставление доступа в офлайн-режиме.
В открывшемся окне выберите закладку Доступ к системному диску с защитой BitLocker.
Запросите у пользователя идентификатор ключа восстановления, указанный в окне ввода пароля BitLocker, и сравните его с идентификатором в поле Идентификатор ключа восстановления.
Если идентификаторы не совпадают, то этот ключ не подходит для восстановления доступа к указанному системному диску. Убедитесь, что имя выбранного компьютера совпадает с именем компьютера пользователя.

В результате вам будет доступен ключ восстановления или файл ключа восстановления, который нужно будет передать пользователю.

Окно с ключом восстановления доступа к зашифрованному системному диску.

Восстановление доступа к диску, зашифрованному с помощью BitLocker

Как просмотреть ключ восстановления для системного диска, зашифрованного BitLocker, в Web Console и Cloud Console

В главном окне Web Console выберите Устройства → Управляемые устройства.
Установите флажок рядом с именем компьютера, доступ к диску которого вы хотите восстановить.
Нажмите на кнопку Предоставить доступ к устройству в автономном режиме.
В открывшемся окне выберите раздел BitLocker.
Проверьте идентификатор ключа восстановления. Идентификатор, который предоставил пользователь, должен соответствовать идентификатору, который отображается в параметрах компьютера.
Если идентификаторы не совпадают, то этот ключ не подходит для восстановления доступа к указанному системному диску. Убедитесь, что имя выбранного компьютера совпадает с именем компьютера пользователя.
Нажмите на кнопку Получить ключ.

После загрузки операционной системы Kaspersky Endpoint Security предложит пользователю сменить пароль или PIN-код. После установки нового пароля или PIN-кода BitLocker создаст новый мастер-ключ и отправит ключ в Kaspersky Security Center. В результате ключ восстановления и файл ключа восстановления будут обновлены. Если пользователь не сменил пароль, при следующей загрузке операционной системы вы можете использовать старый ключ восстановления.

На компьютерах под управлением Windows 7 сменить пароль или PIN-код невозможно. После ввода ключа восстановления и загрузки операционной системы Kaspersky Endpoint Security не предложит пользователю сменить пароль или PIN-код. Таким образом, установить новый пароль или PIN-код невозможно. Проблема связана с особенностями операционной системы. Для продолжения работы вам нужно перешифровать жесткий диск.

Восстановление доступа к несистемному диску

Для запуска процедуры восстановления пользователю нужно в окне предоставления доступа к диску перейти по ссылке Забыли пароль. После получения доступа к зашифрованному диску пользователь может включить автоматическую разблокировку диска при аутентификации Windows в параметрах BitLocker.

Как просмотреть ключ восстановления для несистемного диска, зашифрованного BitLocker, в Консоли администрирования (MMC)

Откройте Консоль администрирования Kaspersky Security Center.
В дереве Консоли администрирования выберите папку Дополнительно → Шифрование и защита данных → Зашифрованные жесткие диски.
В рабочей области выберите зашифрованное устройство, для которого вы хотите создать файл ключа доступа, и в контекстном меню устройства выберите пункт Получить доступ к устройству в Kaspersky Endpoint Security для Windows.
Запросите у пользователя идентификатор ключа восстановления, указанный в окне ввода пароля BitLocker, и сравните его с идентификатором в поле Идентификатор ключа восстановления.
Если идентификаторы не совпадают, то этот ключ не подходит для восстановления доступа к указанному диску. Убедитесь, что имя выбранного компьютера совпадает с именем компьютера пользователя.
Передайте пользователю ключ, указанный в поле Ключ восстановления.

Восстановление доступа к диску, зашифрованному с помощью BitLocker

Как просмотреть ключ восстановления для несистемного диска, зашифрованного BitLocker, в Web Console и Cloud Console

В главном окне Web Console выберите Операции → Шифрование и защита данных → Зашифрованные жесткие диски.
Установите флажок рядом с именем компьютера, доступ к диску которого вы хотите восстановить.
Нажмите на кнопку Предоставить доступ к устройству в автономном режиме.
Запустится мастер предоставления доступа к устройству.
Следуйте указаниям мастера предоставления доступа к устройству:
1. Выберите плагин Kaspersky Endpoint Security для Windows.
2. Проверьте идентификатор ключа восстановления. Идентификатор, который предоставил пользователь, должен соответствовать идентификатору, который отображается в параметрах компьютера.
  Если идентификаторы не совпадают, то этот ключ не подходит для восстановления доступа к указанному системному диску. Убедитесь, что имя выбранного компьютера совпадает с именем компьютера пользователя.
3. Нажмите на кнопку Получить ключ.

В начало

Приостановка защиты BitLocker для обновления программного обеспечения

Обновление операционной системы, установка пакетов обновлений операционной системы или обновление другого программного обеспечения с включенной защитой BitLocker имеет ряд особенностей. При установке обновлений может потребоваться перезагрузить компьютер несколько раз. После каждой перезагрузки пользователю необходимо проходить аутентификацию BitLocker. Для корректной установки обновлений вы можете временно выключить аутентификацию BitLocker. При этом диск остается зашифрованным и пользователь имеет доступ к данным после входа в систему. Для управления аутентификацией BitLocker предназначена задача Управление защитой BitLocker. С помощью задачи вы можете установить количество перезагрузок компьютера, для которых не требуется аутентификация BitLocker. Таким образом, после установки обновлений и завершении работы задачи Управление защитой BitLocker аутентификация BitLocker будет автоматически включена. Вы можете включить аутентификацию BitLocker в любой момент.

Как приостановить защиту BitLocker в Консоли администрирования (MMC)

Откройте Консоль администрирования Kaspersky Security Center.
В дереве консоли выберите папку Задачи.
Откроется список задач.
Нажмите на кнопку Новая задача.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Выбор типа задачи

Выберите Kaspersky Endpoint Security для Windows (12.6) → Управление защитой BitLocker.

Шаг 2. Управление защитой BitLocker

Настройте параметры аутентификации BitLocker. Для приостановки защиты BitLocker выберите Временно разрешить пропуск аутентификации BitLocker и установите количество перезагрузок без аутентификации BitLocker (1-15 раз). Если требуется, установите дату и время срока действия задачи. В указанный срок задача автоматически будет выключена и при перезагрузке компьютера пользователю нужно будет проходить аутентификацию BitLocker.

Шаг 3. Выбор устройств, которым будет назначена задача

Выберите компьютеры, на которых будет выполнена задача. Доступны следующие способы:

Назначить задачу группе администрирования. В этом случае задача назначается компьютерам, входящим в ранее созданную группу администрирования.
Выбрать компьютеры, обнаруженные в сети Сервером администрирования, – нераспределенные устройства. В набор устройств вы можете включать как устройства в группах администрирования, так и нераспределенные устройства.
Задать адреса устройств вручную или импортировать из списка. Вы можете задавать NetBIOS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

Шаг 4. Определение названия задачи

Введите название задачи, например, Обновление до Windows 10.

Шаг 5. Завершение создания задачи

Завершите работу мастера. Если требуется, установите флажок Запустить задачу после завершения работы мастера. Вы можете следить за ходом выполнения задачи в свойствах задачи.

Как приостановить защиту BitLocker в Web Console

В главном окне Web Console выберите Устройства → Задачи.
Откроется список задач.
Нажмите на кнопку Добавить.

Запустится мастер создания задачи. Следуйте его указаниям.

Шаг 1. Настройка основных параметров задачи

Настройте основные параметры задачи:

В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (12.6).
В раскрывающемся списке Тип задачи выберите Управление защитой BitLocker.
В поле Название задачи введите короткое описание, например, Обновление до Windows 10.
В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.

Шаг 2. Управление защитой BitLocker

Шаг 3. Завершение создание задачи

Завершите работу мастера. В списке задач отобразится новая задача.

Для выполнения задачи установите флажок напротив задачи и нажмите на кнопку Запустить.

В результате после выполнения задачи при следующей перезагрузке компьютера BitLocker не будет запрашивать аутентификацию пользователя. После каждой перезагрузки компьютера Kaspersky Endpoint Security формирует событие о перезагрузке компьютера без аутентификации BitLocker и указывает количество оставшихся перезагрузок. Далее Kaspersky Endpoint Security отправляет событие в Kaspersky Security Center для контроля администратором. Также вы можете узнать количество оставшихся перезагрузок в консоли Kaspersky Security Center в папке Управляемые устройства в описании статуса устройства.

Окно со списком устройств, на которых запущено шифрование BitLocker. Отображаются технология шифрования, статус и идентификатор диска.

Список управляемых устройств

По истечении заданного количества перезагрузок компьютера или срока действия задачи аутентификация BitLocker будет автоматически включена. Для доступа к данным пользователю нужно пройти процедуру аутентификации BitLocker.

На компьютерах под управлением Windows 7 в BitLocker отсутствует возможность подсчета количества перезагрузок компьютера. Подсчет перезагрузок на компьютерах под управлением Windows 7 выполняет Kaspersky Endpoint Security. Таким образом, для автоматического включения аутентификации BitLocker после каждой перезагрузки должен быть выполнен запуск Kaspersky Endpoint Security.

Для досрочного включения аутентификации BitLocker откройте свойства задачи Управление защитой BitLocker и установите значение Запрашивать пароль каждый раз.

В начало