Как отключить BitLocker в Windows 10
Если вам потребовалось отключить BitLocker для диска (HDD и SSD) или флешки в Windows 10 — сделать это очень просто, при условии, что вы можете получить доступ к нему, можете открыть содержимое — знаете пароль или имеете другой путь способ разблокировки.
В этой инструкции подробно о методах снять шифрование BitLocker с диска Windows 10. В случае, если открыть содержимое диска нет возможности, доступ отсутствует, ключей восстановления тоже нет, к сожалению, единственный метод отключение BitLocker — форматирование этого диска с потерей данных.
Снятие шифрования BitLocker с диска или флешки
Сначала про отдельный момент, касающийся некоторых ноутбуков и ПК с предустановленной Windows 10. На них может быть по умолчанию включена функция «Шифрование устройства», которая отключается не так же, как включенное вами вручную шифрование BitLocker. Если системный диск был зашифрован при покупке, то для отключения шифрования выполните следующие шаги (не на любом компьютере с Windows 10 есть такие пункты):
- Зайдите в Параметры — Обновление и безопасность.
- В меню слева выберите «Шифрование устройства» и отключите шифрование устройства.
- Также пункт «Шифрование устройства» можно найти в Параметры — Система — О системе.
В случае, если требуется отключить BitLocker для диска или флешки, шаги будут следующими:
- В проводнике нажмите правой кнопкой мыши по зашифрованному и разблокированному диску, выберите пункт «Управление BitLocker». Также в параметры BitLocker можно попасть через Панель управления — Шифрование BitLocker.
- Найдите ваш диск в списке и нажмите «Отключить BitLocker» (требуются права администратора на компьютере).
- Подтвердите отключение BitLocker.
Учитывайте, что процесс расшифровки диска и снятия BitLocker может занять продолжительное время, вплоть до нескольких часов, особенно для медленных и заполненных HDD — не запускайте процесс на ноутбуке от батареи или на ПК, если его в ближайшее время потребуется выключить.
Отключение BitLocker — видео инструкция
Надеюсь, материал был полезен. Если же остались вопросы — задавайте в комментариях, я постараюсь помочь.
Источник
Руководство по восстановлению BitLocker
Относится к:
- Windows 10
- Windows 11
- Windows Server 2016 и более поздние версии
В этой статье, предназначенной для ИТ-специалистов, рассказывается, как восстановить ключи BitLocker из ADDS.
Для доступа к данным, защищенным BitLocker, организации могут использовать сведения о восстановлении BitLocker, сохраненные в службах домена Active Directory (AD DS). Модель восстановления для BitLocker рекомендуется создать уже при планировании развертывания BitLocker.
Эта статья исходит из того, что вы понимаете, как настроить AD DS для автоматического резервирования информации о восстановления BitLocker и какие типы сведений для восстановления хранятся в AD DS.
В статье подробно не рассматривается настройка AD DS для хранения данных восстановления BitLocker.
Что такое восстановление BitLocker?
Восстановление BitLocker — это процесс восстановления доступа к диску с защитой BitLocker в тех случаях, когда нормальное разблокирование диска невозможно. В сценарии восстановления у вас есть следующие возможности восстановить доступ к диску:
- Пароль для восстановления может предоставить пользователь. Если ваша организация позволяет пользователям распечатывать или сохранять пароли восстановления, пользователь может ввести 48-значный пароль восстановления, распечатанный или сохраненный на USB-носителе или в Интернете под учетной записью Майкрософт. (Сохранение пароля восстановления в Интернете под учетной записью Майкрософт разрешено только в том случае, если BitLocker используется на компьютере, не являющемся членом домена).
- Агент по восстановлению данных может использовать свои учетные данные для разблокировки диска. Если диск содержит операционную систему, он должен быть установлен в качестве накопителя данных на другом компьютере, чтобы агент по восстановлению данных смог разблокировать его.
- Администратор домена может получить пароль восстановления из AD DS и разблокировать диск с его помощью. Рекомендуется хранить пароли восстановления в AD DS, чтобы дать ИТ-специалистам возможность при необходимости получать пароли восстановления для дисков в организации. В этом случае требуется включить такой способ восстановления в параметре Групповой политики BitLockerВыбрать способ восстановления дисков операционной системы с защитой BitLocker, расположенном в разделе Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Диск с операционной системой в Редакторе локальных групповых политик. Подробнее: Параметры групповой политики BitLocker.
Почему запускается восстановление BitLocker?
В следующем списке приводятся примеры определенных событий, которые могут спровоцировать переход BitLocker в режим восстановления при попытке запустить диск операционной системы:
На ПК, использующих шифрование диска BitLocker или на таких устройствах, как планшеты или телефоны, использующих Шифрование устройств BitLocker только при обнаружении атаки, устройство немедленно перезагрузится и перейдет в режим восстановления BitLocker. Чтобы воспользоваться этими возможностями, администраторы могут установить Интерактивный вход в систему: Пороговое значение блокировки учетной записи компьютера в разделе \Конфигурация компьютера\Параметры Windows\Настройки безопасности\Местные политики\Параметры безопасности в Редакторе локальных групповых политик. Или можно использовать политику MaxFailedPasswordAttempts Exchange ActiveSync (также настраиваемую через Microsoft Intune), чтобы ограничить количество попыток введения неправильного пароля, после превышения которого устройство блокируется.
На устройствах с доверенным платформенным модулем (TPM) 1.2 изменение порядка загрузки в BIOS или прошивке вызывает восстановление BitLocker. Однако устройства с TPM 2.0 в этом случае не запускают восстановление BitLocker. TPM 2.0 не считает изменение порядка загрузки устройства в прошивке угрозой безопасности, так как загрузчик операционной системы при этом не скомпрометирован.
Если в порядке загрузки в BIOS дисковод для компакт-дисков или DVD указан перед жестким диском, а затем компакт-диск или DVD-диск вставлен в дисковод или вынут из него.
Если не удалось загрузиться с сетевого диска перед загрузкой с жесткого диска.
При стыковка или отстыковка портативного компьютера. В некоторых случаях (в зависимости от производителя компьютера и BIOS) состояние стыковки портативного компьютера является частью системных замеров и должно соответствовать требованиям, чтобы можно было удостоверить состояние системы и разблокировать BitLocker. Поэтому, если портативный компьютер подключен к стыковочному узлу при включенном BitLocker, его также, возможно, потребуется подключать к стыковочному узлу, когда он будет разблокирован. И наоборот, если портативный компьютер не подключен к стыковочному узлу при включении BitLocker, его, возможно,потребуется отключить от стыковочного узла после разблокировки.
Изменения в таблице разделов NTFS на диске, включая создание, удаление или изменение размера основного раздела.
Если слишком много раз был неправильно введен личный идентификационный номер (PIN-код) и в результате активировалась логика противодействия подбору паролей доверенного платформенного модуля (TPM). Логика противодействия подбору паролей — это заложенный в программное или аппаратное обеспечение метод, повышающий сложность и стоимость атаки методом подбора ПИН-кода. После нескольких неудачных попыток он на определенное время перестает принимать ввод ПИН-кода.
Отключение поддержки считывания USB-устройства из прошивки BIOS или UEFI в предзагрузочной среде, если вместо TPM используются USB-ключи.
Выключение, деактивация или очистка доверенного платформенного модуля (TPM).
Обновление критически важных компонентов начала запуска, таких как обновление прошивки BIOS или UEFI, приводит к изменению связанных измеряемых параметров загрузки.
Забыт ПИН-код при включенной проверке подлинности ПИН-кода.
Обновление прошивки дополнительного ПЗУ.
Обновление прошивки доверенного платформенного модуля (TPM).
Добавление или удаление оборудования, например вставка в компьютер новой карты, включая некоторые беспроводные карты PCMIA.
Удаление, вставка или полная разрядка батареи Smart Battery в портативном компьютере.
Изменения в основной загрузочной записи на диске.
Изменения в диспетчере загрузки на диске.
Скрыть доверенный платформенный модуль (TPM) от операционной системы. Можно использовать некоторые параметры BIOS или UEFI можно использовать, чтобы предотвратить перечисление TPM в операционную систему. При реализации этого параметра он может скрыть TPM от операционной системы. При скрытом TPM безопасный запуск BIOS и UEFI отключен, и TPM не реагирует на команды из любых программ.
Не удается ввести правильный ПИН-код при использовании другой клавиатуры или карта такой клавиатуры не соответствует карте клавиатуры, ожидаемой в предзагрузочной среде. Эта проблема может помешать вводу расширенных ПИН-кодов.
Изменение регистров конфигурации платформы (PCR), используемых профилем проверки TPM. Например, если включить PCR[1], BitLocker будет измерять большинство изменений настроек BIOS, в результате чего BitLocker войдет в режим восстановления даже при изменении некритичных для загрузки настроек BIOS.
На некоторых компьютерах есть настройки BIOS, которые пропускают измерение параметров для определенных PCR, например PCR[2]. Изменение этой настройки в BIOS приведет к тому, что BitLocker войдет в режим восстановления, так как измерение PCR будет отличаться.
Перемещение диска с защитой BitLocker в новый компьютер.
Обновление материнской платы с помощью нового TPM.
Потеря флэш-накопителя USB с ключом запуска при включенной проверке подлинности ключа запуска.
Обнаружение ошибки при самопроверке TPM.
Если прошивка BIOS, UEFI или компонента дополнительного ПЗУ не соответствуют применимым стандартам Группы доверенных компьютеров для клиентского компьютера. Например, несоответствующая требованиям реализация может привести к записи неустойчивых данных (например, времени) в замерах TPM, что приводит к тому, что замеры будут отличаться при каждом запуске и спровоцирует запуск BitLocker в режиме восстановления.
Изменение авторизации использования корневого ключа TPM на ненулевое значение.
Процесс инициализации TPM BitLocker обнуляет значение авторизации использования, поэтому другой пользователь или другой процесс, вероятно, специально изменили значение этого параметра.
Если отключена проверка целостности кода или включен тестовый вход в Windows Boot Manager (Bootmgr).
Если нажать клавиши F8 или F10 во время процесса загрузки.
Добавлены или удалены дополнительные карты (например, видео или сетевые карты) или обновлена прошивка на дополнительных картах.
Используется горячая клавиша BIOS в процессе загрузки, чтобы изменить порядок загрузки с жесткого диска на другой носитель.
Прежде чем начинать восстановление рекомендуется определить причину восстановления. Это поможет предотвратить повторение проблемы в будущем. Например, если окажется, что злоумышленник изменил компьютер, получив физический доступ к нему, можно создать новые политики безопасности для отслеживания физического присутствия пользователей. После того, как пароль восстановления будет использован для восстановления доступа к компьютеру, BitLocker повторно запечатает ключ шифрования к текущим значениям замеряемых компонентов.
При запланированных сценариях, таких как плановые обновления оборудования или прошивки, можно избежать восстановления, временно приостановив действие защиты BitLocker. Так как приостановка BitLocker оставляет диск полностью зашифрованным, администратор может быстро возобновить действие защиты BitLocker, как только завершится плановая задача. Использование приостановки и возобновления также повторно запечатывает ключ шифрования, не требуя вводить ключ восстановления.
Если приостановленный BitLocker автоматически возобновит защиту при перезагрузке компьютера, если только не задано количество перезагрузок с помощью средства командной строки manage-bde.
Если для обслуживания программного обеспечения требуется перезапустить компьютер, а вы используете двухфакторную проверку подлинности пользователя, можно включить разблокировку сети BitLocker, чтобы обеспечить дополнительный фактор проверки подлинности, если у компьютеров нет локального пользователя, который мог бы предоставить дополнительный метод проверки подлинности.
Восстановление описано в контексте незапланированного или нежелательных поведения, но восстановление также могло быть спровоцировано в рамках планового производственного сценария с целью управления контроля за доступом. Например, при передаче настольных или портативных компьютеров в другие отделы или другим сотрудникам можно принудить BitLocker к восстановлению перед передачей компьютера новому пользователю.
Тестировать восстановление
Перед созданием полноценного процесса восстановления BitLocker рекомендуется протестировать работу процесса восстановления как для конечных пользователей (пользователей, обращающихся в службу поддержки организации за паролем восстановления), так и для администраторов (людей, помогающих конечным пользователям получить пароль для восстановления). Команда -forcerecovery в manage-bde — простой способ пошагово пройти процесс восстановления до того, как пользователи столкнутся с ситуацией, где требуется восстановление.
Чтобы спровоцировать восстановление на локальном компьютере, выполните следующие шаги.
- Выберите кнопку Пуск, введите cmd в поле Поиск в Пуске, щелкните правой кнопкой мыши по cmd.exe, а затем выберите Выполнить с правами администратора.
- Введите в командной строке следующую команду и нажмите клавишу Ввод: manage-bde -forcerecovery
Чтобы принудительно восстановить удаленный компьютер, выполните следующие шаги.
На экране «Пуск» введите cmd.exe, а затем выберите Выполнить с правами администратора.
Введите в командной строке следующую команду и нажмите клавишу Ввод: manage-bde -ComputerName -forcerecovery
Восстановление, спровоцированное -forcerecovery , возобновляется при нескольких перезапусках, пока пользователь не добавит защитник TPM или не приостановит защиту. При использовании современных устройств с режимом ожидания (например, устройств Surface) использовать параметр -forcerecovery не рекомендуется, так как BitLocker придется разблокировать и отключать вручную из среды WinRE, прежде чем операционная система сможет загрузиться снова. Дополнительные сведения см. в Устранение неполадок с BitLocker: Непрекращающийся цикл перезагрузки при использовании восстановления BitLocker на устройстве Slate.
Как спланировать процесс восстановления
При планировании процесса восстановления с BitLocker сначала ознакомьтесь с существующими рекомендациями вашей организации по восстановлению конфиденциальной информации. Например: как ваше предприятие обрабатывает потерянные пароли для Windows? Как ваша организация сбрасывает ПИН-код смарт-карт? Эти рекомендации и связанные с ними ресурсы (специалисты и технические средства) помогут сформулировать модель восстановления с BitLocker.
Организациям, которые используют шифрование дисков BitLocker Drive Encryption и BitLocker To Go для защиты данных на большом количестве компьютеров и съемных дисков с операционными системами Windows 11, Windows 10, Windows 8 или Windows 7 операционных систем и Windows to Go, следует обратить внимание на средства администрирования и мониторинга Microsoft BitLocker (MBAM) версии 2.0, которые включены в пакет оптимизации рабочего стола Майкрософт (MDOP) для Microsoft Software Assurance. MBAM упрощает развертывание и управление реализацией BitLocker и позволяет администраторам обеспечивать и отслеживать шифрование для операционной системы и фиксированных дисков. MBAM уведомляет пользователя перед шифрованием фиксированных дисков. MBAM также управляет ключами восстановления для фиксированных и съемных дисков, что облегчает контроль за восстановлением данных. MBAM можно использовать комплексно при развертывании Microsoft System Center или в качестве отдельного решения. Дополнительные сведения см. на сайте Microsoft BitLocker Administration and Monitoring.
После начала восстановления с BitLocker пользователи могут использовать пароль для восстановления, чтобы разблокировать доступ к зашифрованным данным. Изучите способы как самостоятельного восстановления данных, так и извлечения паролей для восстановления данных для организации.
Чтобы определить процесс восстановления, необходимо:
Научиться извлекать пароль для восстановления. См. раздел:
Определить последовательность действий после восстановления, в том числе анализ причин восстановления и сброс пароля восстановления. См. раздел:
Самостоятельное восстановление
В некоторых случаях у пользователей может быть пароль восстановления в распечатке или на флэш-накопителе USB, и они могут провести восстановление самостоятельно. Мы рекомендуем вашей организации создать политику самостоятельного восстановления. Если самостоятельное восстановление включает в себя использование пароля или ключа для восстановления, сохраненных на флэш-накопителе USB, пользователей необходимо предупредить о том, что не следует хранить флэш-накопитель USB в том же месте, где находится компьютер, особенно во время поездок. Например, если компьютер и элементы восстановления находятся в одной сумке, то несанкционированному пользователю будет легко получить доступ к такому компьютеру. Следует обдумать введение еще одной политики. Согласно ей пользователи должны обращаться в службу поддержки до или после самостоятельного восстановления, чтобы можно было определить его первопричину.
Извлечение пароля для восстановления
Если у пользователя нет пароля для восстановления данных в распечатке или на флэш-накопителе USB, пользователю придется получить пароль для восстановления из источника в Интернете. Если компьютер является членом домена, пароль восстановления может быть восстановлен до AD DS. Однако это не делается по умолчанию. Для этого необходимо настроить соответствующие параметры групповой политики еще до включения BitLocker на компьютере. Параметры групповой политики BitLocker можно найти в редакторе локальных групповых политик или на консоли управления групповыми политиками (GPMC) в разделе Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска с BitLocker. Следующие параметры политики определяют способы восстановления, которые можно использовать для восстановления доступа к диску с защитой BitLocker, если не удается использовать метод проверки подлинности.
- Выберите способы восстановления дисков операционной системы с защитой BitLocker
- Выберите способы восстановления фиксированных дисков с защитой BitLocker
- Выберите, как можно восстановить съемные диски с защитой BitLocker
В каждой из этих политик выберите Сохранить сведения о восстановлении с BitLocker в доменных службах Active Directory, а затем — какие сведения о восстановлении с BitLocker будут сохранены в доменных службах Active Directory (AD DS). Поставьте флажок на Не включать BitLocker до тех пор, пока сведения о восстановлении не будут сохранены в AD DS, если требуется запретить пользователям включать BitLocker, когда компьютер не подключен к домену, а резервное копирование данных о восстановлении с BitLocker для диска с AD DS не производится.
Если компьютеры входят в рабочую группу, пользователям рекомендуется сохранить пароль для восстановления с BitLocker в Интернете в учетной записи Майкрософт. Рекомендуется хранить копию пароля восстановления для BitLocker в Интернете, чтобы гарантировать доступ к данным, ели потребуется восстановление.
Средство просмотра паролей BitLocker для пользователей и компьютеров Active Directory позволяет администраторам домена просматривать пароли восстановления с BitLocker для определенных компьютерных объектов в Active Directory.
Можно использовать следующий список в качестве шаблона при создании собственного процесса восстановления для получения пароля на восстановление. В этом примере процесса используется средство просмотра паролей BitLocker для пользователей и компьютеров Active Directory.
Запишите имя компьютера пользователя
Найти пароль восстановления в AD DS можно по имени компьютера пользователя. Если пользователь не знает имени компьютера, попросите его прочитать первое слово Метки диска в пользовательском интерфейсе Ввода пароля BitLocker для шифрования накопителя. Таким было имя компьютера, когда был активирован BitLocker и, вероятно, текущее имя компьютера такое же.
Проверьте удостоверение пользователя
Убедитесь, что человек, запрашивающий пароль восстановления, — действительно авторизованный пользователь этого компьютера. Кроме того, возможно, следует убедиться, что компьютер с именем, предоставленным пользователем, действительно принадлежит этому пользователю.
Найдите пароль восстановления в AD DS
Найдите объект «Компьютер» с совпадающим именем в AD DS. Так как имена компьютерных объектов перечислены в глобальном каталоге AD DS, найти объект не должно составить большого труда, даже если у вас сформировался многодоменный лес.
Несколько паролей для восстановления
Если под компьютерным объектом в AD DS хранится несколько паролей для восстановления, имя информационного объекта для восстановления с BitLocker включает дату создания пароля.
Если в какой-то момент вы не уверены, какой пароль предоставить, или если считаете, что выдаете неправильный пароль, попросите пользователя прочитать восьмизначный ИД пароля, выводимый на консоли восстановления.
Так как код пароля — это уникальное значение, связанное с каждым паролем восстановления, хранящимся в AD DS, при запуске запроса с этим ID будет находиться правильный пароль для разблокировки зашифрованного тома.
Соберите сведения, чтобы выявить причины восстановления
Прежде чем предоставить пользователю пароль для восстановления, необходимо собрать любую информацию, которая поможет определить, почему потребовалось восстановление, чтобы проанализировать первопричину проблемы во время анализа события после восстановления. Дополнительные сведения об анализе после восстановления данных см. в разделе Анализ после восстановления данных.
Передайте пользователю пароль для восстановления
Так как пароль для восстановления состоит из 48 цифр, пользователю, возможно, потребуется записать его на бумагу занести его в другой компьютер. Если вы используете MBAM, пароль восстановления будет генерироваться заново после его восстановления из базы данных MBAM, чтобы избежать рисков для безопасности в связи с неконтролируемым паролем.
Так как 48-значный пароль для восстановления длинный и содержит комбинацию цифр, пользователь может неправильного его расслышать или неправильно записать (напечатать). Консоль восстановления во время загрузки использует встроенные контрольные суммы для выявления ошибок ввода в каждом 6-значном блоке 48-значного пароля для восстановления и предоставляет пользователю возможность исправить такие ошибки.
Анализ после восстановления
Когда том разблокирован с помощью пароля восстановления, событие записывается в журнал событий и замеры параметров проверки платформы сбрасываются в TPM, чтобы соответствовать текущей конфигурации. Разблокировка тома означает, что ключ шифрования был выпущен и готов к шифрованию «на лету» при записи данных в том и к расшифровке «на лету» при считывании данных из тома. После разблокирования тома BitLocker действует одинаково независимо от того, как был предоставлен доступ.
Если вы заметили, что на компьютере повторно разблокирован пароль восстановления, может потребоваться, чтобы администратор выполнял анализ после восстановления, чтобы определить первопричину проверки восстановления о обновил проверку платформы BitLocker, чтобы пользователю не приходилось вводить пароль для восстановления каждый раз при запуске компьютера. См. раздел:
Как определить первопричины восстановления
Если пользователю необходимо восстановить диск, важно как можно скорее определить первопричину, спровоцировавшую восстановление. Надлежащий анализ состояния компьютера и выявление несанкционированных изменений могут выявить существенные угрозы безопасности предприятия в целом.
Хотя в некоторых случаях администратор может удаленно исследовать причину восстановления, конечному пользователю, возможно, придется принести компьютер, содержащий восстановленный диск в офис для углубленного анализа первопричины.
Проанализируйте и ответьте на следующие вопросы об организации:
- Какой режим защиты BitLocker действует (TPM, TPM + ПИН-код, TPM + ключ запуска, только ключ запуска)? Какой профиль PCR используется в компьютере?
- Пользователь просто забыл ПИН-код или потерял ключ запуска? Если маркер был потерян, где он может быть?
- Если действовал режим TPM, было ли восстановление вызвано изменением файла загрузки?
- Если восстановление было вызвано изменением файла загрузки, было ли изменение сознательным действием пользователя (например, при обновлении BIOS) или было вызвано вредоносной программой?
- Когда пользователю удалось успешно запустить компьютер последний раз и что могло произойти с компьютером с тех пор?
- Мог ли пользователь столкнуться с вредоносным программным обеспечением или оставить компьютер без присмотра после последнего успешного запуска?
Чтобы помочь вам ответить на эти вопросы, просмотрите текущий режим конфигурации и защиты со средством командной строки BitLocker (например, manage-bde-status). Просмотрите журнал событий, чтобы найти события, которые могут указывать, почему произошло восстановление (например, изменился файл загрузки). Обе эти возможности доступны удаленно.
Устранение первопричины
После того как вы определили, что вызвало восстановление, можно сбросить защиту BitLocker, чтобы не повторять восстановление при каждом запуске.
Параметры такого сброса могут отличаться в зависимости от первопричины восстановления. Если вы не можете выявить первопричину, или если вредоносная программа или пакет программ rootkit могли заразить компьютер, службе поддержки следует отреагировать, применив оптимальные передовые политики по борьбе с вирусами.
Вы можете произвести сброс профиля проверки BitLocker, приостановив и вновь запустив BitLocker.
Неизвестный ПИН-код
Если пользователь забыл ПИН-код, необходимо сбросить ПИН-код, когда вы вошли в учетную запись в компьютере, чтобы не позволить BitLocker начинать восстановление при каждом перезапуске компьютера.
Чтобы предотвратить дальнейшее восстановление из-за неизвестного ПИН-кода
- Разблокируйте компьютер, введя пароль для восстановления.
- Сброс ПИН-кода:
- Щелкните правой кнопкой мыши по диску и выберите Изменить ПИН-код.
- В диалоговом окне Шифрование диска BitLocker выберите Сброс забытого ПИН-кода. Если вы не вошли в систему с учетной записью администратора ранее, введите учетные данные администратора сейчас.
- В диалоговом окну сброса ПИН-кода введите и подтвердите новый выбранный ПИН-код, а затем выберите Готово.
- Новый ПИН-код понадобится при следующем разблокировании диска.
Потерянный ключ запуска
Если вы потеряли флэш-накопитель USB, содержащий ключ запуска, придется разблокировать диск с помощью ключа восстановления, а затем создать новый ключ запуска.
Чтобы предотвратить постоянное восстановление из-за потерянного ключа запуска
- Войдите с учетной записью администратора в компьютер с потерянным ключом запуска.
- Откройте «Управление BitLocker».
- Выберите Сделать дубликат ключа запуска, вставьте чистый USB-диск, на котором вы собираетесь записать ключ, а затем выберите Сохранить.
Изменения файлов загрузки
Эта ошибка может возникнуть после обновления прошивки. В качестве оптимального действия мы рекомендуем приостановить работу BitLocker перед внесением изменений в прошивку, а затем вновь включить защиту после завершения обновления. Это действие не позволяет компьютеру входить в режим восстановления. Однако если изменения были внесены при включенной защите BitLocker, войдите в компьютер с помощью пароля восстановления, и профиль проверки платформы будет обновлен, и в следующий раз восстановление производиться не будет.
Среда восстановления Windows и шифрование устройств с BitLocker
Среду восстановления Windows (Windows RE) можно использовать для восстановления доступа к диску, защищенного Шифрованием устройств с BitLocker. Если компьютер не может загрузиться после двух сбоев, восстановление пуска начнется автоматически. При автоматическом запуске восстановления пуска из-за сбоев загрузки выполняется только ремонт операционной системы и файлов драйверов при условии, что журналы загрузки или любые доступные точки аварийного сброса данных указывают на определенный поврежденный файл. В Windows 8.1 и более поздних версиях, устройства с прошивкой для поддержки определенных замеров TPM для PCR[7] TPM могут проверять, что среда восстановления Windows является надежной операционной средой, и разблокировать любые диски, защищенные BitLocker, если среда восстановления Windows не была изменена. Если среда восстановления Windows изменена, например отключена TPM, диски будут заблокированы до тех пор, пока не будет предоставлен ключ восстановления BitLocker. Если восстановление пуска не запускается автоматически с компьютера, а вместо этого среда восстановления Windows вручную запускается с диска восстановления, потребуется ключ восстановления BitLocker, чтобы разблокировать диски, защищенные BitLocker.
Экран восстановления BitLocker
Во время восстановления с BitLocker Windows может показывать настраиваемые сообщения о восстановлении и подсказки, которые определяют, откуда можно получить ключ. Эти улучшения помогут пользователю при восстановлении с BitLocker.
Настраиваемые сообщения о восстановлении
Параметры групповой политики BitLocker в Windows 10, версии 1511 и Windows 11 позволит установить настраиваемое сообщение о восстановлении и URL-адрес на экране восстановления BitLocker, который может включать адрес портала самостоятельного восстановления с BitLocker, внутреннего веб-сайта службы ИТ или номер телефона технической поддержки.
Эта политика может быть настроена с помощью GPO в разделе Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски с операционной системой > Настроить сообщение о восстановлении и URL-адрес перед загрузкой.
Его также можно настроить с помощью управления мобильными устройствами Intune (MDM) в CSP BitLocker: ./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage
Пример настраиваемого экрана восстановления:
Подсказки ключа восстановления BitLocker
Метаданные BitLocker были расширены в Windows 10 версии 1903 и в Windows 11. В них были внесены сведения о том, когда и где была сделана резервная копия ключа для восстановления с BitLocker. Эта информация не раскрывается через пользовательский интерфейс или какой-либо общедоступный API. Она используется только экраном восстановления BitLocker в виде подсказок, чтобы помочь пользователю найти ключ восстановления тома. Подсказки, которые выводятся на экране восстановления, указывают расположение, в котором был сохранен ключ. Подсказки выводятся как на новом (синем), так и на устаревшем (черном) экране восстановления. Это относится как к экрану восстановления диспетчера загрузки, так и к экрану разблокировки WinRE.
Мы не рекомендуем распечатывать ключи восстановления или сохранять их в файле. Вместо этого используйте резервное копирование Active Directory или облачное резервное копирование. Облачное резервное копирование включает Azure Active Directory (Azure AD) и учетную запись Майкрософт.
Определенные правила определяют, какая подсказка выводится во время восстановления (в порядке обработки):
- Всегда показывать настраиваемое сообщение о восстановлении, если оно было настроено (с помощью GPO или MDM).
- Всегда показывать общие подсказки: «Дополнительные сведения см. в https://aka.ms/recoverykeyfaq».
- Если в томе есть несколько ключей восстановления, приоритет имеет последний из созданных (и успешно скопированный) ключ восстановления.
- Предоставляйте приоритет ключам с успешной резервной копией перед ключами, резервное копирование которых не проводилось.
- Предоставляйте приоритет подсказкам удаленных местоположений резервного копирования в следующем порядке: Учетная запись Майкрософт > Azure AD > Active Directory.
- Если ключ был распечатан и сохранен в файл, нужно выводить комбинированную подсказку «Ищите распечатку или текстовый файл с ключом», а не две отдельные подсказки.
- Если было сделано несколько резервных копий одного типа (удаленные либо локальные) одного ключа восстановления, предоставьте приоритет информации о резервном копировании с самой недавней датой резервного копирования.
- Для ключей, сохраненных в локальной Active Directory, конкретной подсказки нет. В этом случае будет показано настраиваемое сообщение (если оно настроено) или универсальное сообщение «Обратитесь в службу поддержки организации».
- Если на диске есть два ключа восстановления, но резервная копия была успешно создана только для одного, система запросит ключ, у которого есть резервная копия, даже если другой ключ новее.
Пример 1 (один ключ восстановления с одной резервной копией)
| Настраиваемый URL-адрес | Да |
|---|---|
| Сохранено в учетную запись Майкрософт | Да |
| Сохранено в Azure AD | Нет |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено в файл | Нет |
Результат: выводятся подсказка для учетной записи Майкрософт и настраиваемый URL-адрес.
Пример 2 (один ключ восстановления с одной резервной копией)
| Настраиваемый URL-адрес | Да |
|---|---|
| Сохранено в учетную запись Майкрософт | Нет |
| Сохранено в Azure AD | Нет |
| Сохранено в Active Directory | Да |
| Напечатано | Нет |
| Сохранено в файл | Нет |
Результат: выводится только настраиваемый URL-адрес.
Пример 3 (один ключ восстановления с несколькими резервными копиями)
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетную запись Майкрософт | Да |
| Сохранено в Azure AD | Да |
| Сохранено в Active Directory | Нет |
| Напечатано | Да |
| Сохранено в файл | Да |
Результат: выводится только подсказка учетной записи Майкрософт.
Пример 4 (несколько паролей восстановления)
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетную запись Майкрософт | Нет |
| Сохранено в Azure AD | Нет |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено в файл | Да |
| Creation time (время создания) | 13:00 |
| ИД ключа | A564F193 |
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетную запись Майкрософт | Нет |
| Сохранено в Azure AD | Нет |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено в файл | Нет |
| Creation time (время создания) | 15:00 |
| ИД ключа | T4521ER5 |
Результат: выводится только подсказка для успешно сделанной резервной копии ключа, даже если это не самый недавний ключ.
Пример 5 (несколько паролей восстановления)
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетную запись Майкрософт | Да |
| Сохранено в Azure AD | Да |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено в файл | Нет |
| Creation time (время создания) | 13:00 |
| ИД ключа | 99631A34 |
| Настраиваемый URL-адрес | Нет |
|---|---|
| Сохранено в учетную запись Майкрософт | Нет |
| Сохранено в Azure AD | Да |
| Сохранено в Active Directory | Нет |
| Напечатано | Нет |
| Сохранено в файл | Нет |
| Creation time (время создания) | 15:00 |
| ИД ключа | 9DF70931 |
Результат: выводится подсказка для самого недавнего ключа.
Использование дополнительных сведений о восстановлении
Помимо 48-значного пароля восстановления BitLocker в Active Directory хранятся другие типы сведений для восстановления. В этом разделе описывается, как можно использовать такую дополнительную информацию.
Пакет ключей BitLocker
Если способы восстановления, рассмотренные ранее в этом документе, не разблокируют том, можно использовать средство BitLocker Repair для расшифровки тома на уровне блокировки. Средство восстанавливает зашифрованные данные с сильно поврежденных дисков с помощью пакета ключей BitLocker. Затем можно использовать эти восстановленные данные для восстановления зашифрованных данных даже после того, как правильный пароль восстановления не смог разблокировать поврежденный том. Тем не менее, рекомендуется сохранить пароль восстановления. Пакет ключей нельзя использовать без соответствующего пароля восстановления.
Чтобы использовать пакет ключей BitLocker, необходимо использовать средство ремонта BitLocker repair-bde.
Пакет ключей BitLocker по умолчанию не сохраняется. Чтобы сохранить пакет вместе с паролем восстановления в AD DS, необходимо выбрать вариант Пароль восстановления резервной копии и пакет ключей в параметрах групповой политики, которые контролируют способ восстановления. Можно также экспортировать пакет ключей из рабочего тома. Дополнительные сведения об экспорте пакетов ключей см. в Извлечение пакета ключей для BitLocker.
Сброс паролей восстановления
Отмените пароль восстановления после того, как он был предоставлен и использован. Существующий пароль восстановления также отменяется, если возникла необходимость намеренно отменить его по какой бы то ни было причине.
Пароль восстановления можно сбросить двумя способами:
- Через manage-bde: С помощью manage-bde можно удалить старый пароль восстановления и добавить новый. Процедура определяет команду и синтаксис для этого способа.
- Запустите сценарий. Можно запустить сценарий для сброса пароля без расшифровки тома. Эту функцию иллюстрирует пример сценария в процедуре. Образец скрипта создает новый пароль восстановления и отменяет все прочие пароли.
Чтобы сбросить пароль восстановления через manage-bde:
Удалите предыдущий пароль восстановления
Добавьте новый пароль восстановления
Получите ИД нового пароля восстановления. С экрана скопируйте ИД пароля восстановления.
Сделайте резервную копию нового пароля для восстановления в AD DS.
В строке ИД необходимо включить скобки.
Чтобы запустить образец сценария для восстановления пароля:
Сохраните следующий пример сценария в файле VBScript. Например: ResetPassword.vbs.
В командной строке введите команду, аналогичную следующему примеру сценария:
cscript ResetPassword.vbs
Этот образец сценария настроен для работы только с томом C. Сценарий необходимо настроить так, чтобы он совпадал с томом, для которого необходимо протестировать сброс пароля.
Чтобы управлять удаленным компьютером можно указать имя удаленного компьютера вместо локального.
Чтобы сбросить пароли восстановления, можно использовать следующий образец сценария для создания файла VBScript.
Извлечение пакета ключей BitLocker
Для извлечения пакета ключей можно использовать два способа, как описано в разделе Использование дополнительных сведений о восстановлении:
- Экспортировать ранее сохраненный пакет ключей из AD DS. Необходимо иметь доступ для чтения к паролям восстановления BitLocker, хранящимся в AD DS.
- Экспортировать новый пакет ключей из незапертого тома с защитой BitLocker. Необходимо иметь локальный доступ администратора к рабочему до возникновения повреждений.
Следующий образец скрипта экспортирует все ранее сохраненные пакеты ключей из AD DS.
Чтобы запустить образец сценария для восстановления пакета ключей, выполните следующие шаги.
Сохраните следующий пример сценария в файле VBScript. Например: GetBitLockerKeyPackageADDS.vbs.
В командной строке введите команду, аналогичную следующему примеру сценария:
cscript GetBitLockerKeyPackageADDS.vbs -?
Можно использовать следующий образец сценария, чтобы создать файл VBScript для извлечения пакета ключей BitLocker из AD DS:
Следующий образец скрипта экспортирует новый пакет ключей из разблокированного зашифрованного тома.
Чтобы запустить образец сценария для восстановления пакета ключей, выполните следующие шаги.
Сохраните следующий пример сценария в файле VBScript. Например: GetBitLockerKeyPackage.vbs
Откройте командную строку администратора и введите команду, аналогичную следующему примеру скрипта:
Источник