Как разблокировать bitlocker не зная пароль
Перейти к содержимому

Как разблокировать bitlocker не зная пароль

  • автор:

Ключ восстановления BitLocker в Windows — способы посмотреть

Как посмотреть ключ восстановления BitLocker

Если диск компьютера был зашифрован с использованием BitLocker, после чего вы сбросили доверенный платформенный модуль TPM, подключили диск к другому компьютеру или просто забыли пароль, вам потребуется ввести 48-значный ключ восстановления, чтобы вновь получить доступ к диску.

В этой инструкции подробно о том, где взять ключ восстановления, а также о том, как подготовиться к тому, что в будущем он вам может потребоваться, даже если прямо сейчас проблем с открытием зашифрованного диска нет.

Ключи BitLocker в учетной записи Майкрософт

Введите ключ восстановления BitLocker

Если вы уже столкнулись с тем, что доступ к диску потерян, а при загрузке Windows 11/10 или попытке открыть диск вам сообщают «Введите ключ восстановления для этого диска», при этом вы не сохраняли ключ восстановления BitLocker куда-либо, имеет смысл попробовать выполнить следующие действия:

Ключи восстановления BitLocker в учетной записи Майкрософт

  1. С любого устройства, например, другого компьютера или смартфона, зайдите на страницу https://account.microsoft.com/devices/recoverykey с использованием вашей учетной записи Майкрософт, которая использовалась (если это так) на компьютере с зашифрованным диском.
  2. В списке ключей восстановления найдите тот, ИД которого совпадает с идентификатором ключа восстановления на экране запроса.
  3. В соответствующем столбце вы увидите ключ восстановления, который потребуется ввести для разблокировки доступа к диску.

Это сработает лишь в том случае, если ключ был сохранен в учетную запись Майкрософт (действие по умолчанию при шифровании диска).

Иначе ситуация усложняется. Доступ к данным на диске вы, по всей видимости, не получите и придется отформатировать его, чтобы размещать данные или установить операционную систему при отсутствии ключа восстановления и выполнении одного их следующих условиях:

  • Если вы столкнулись с проблемой после сброса доверенного платформенного модуля TPM
  • В ситуации, когда разблокировка диска потребовалась после его переноса на другой компьютер и вы не можете снова установить его на изначальном компьютере
  • Диск был переведен в режим восстановления каким-либо другим способом (например, с помощью команды manage-bde -forcerecovery)

Способы сохранить ключи BitLocker пока доступ к диску имеется

Если какие-то из ваших дисков зашифрованы BitLocker, но вы не озаботились тем, чтобы сохранить ключи восстановления (либо шифрование было включено после покупки ноутбука в магазине), рекомендую сохранить их до того, как они понадобятся.

Базовый способ сохранения ключа восстановления BitLocker:

  1. Нажмите правой кнопкой мыши по зашифрованному диску и выберите пункт «Управление BitLocker».
  2. Раскройте нужный раздел, например, «Диск операционной системы» и нажмите «Архивировать ключ восстановления». Архивировать ключ восстановления BitLocker
  3. Выберите одну из опций: сохранить в учетную запись Майкрософт, Сохранить в файл (сохранить потребуется не на тот же диск, который зашифрован) или Напечатать ключ восстановления. Выбор места сохранения ключа восстановления
  4. В зависимости от выбранного способа вам потребуется либо указать место сохранения файла, либо выбрать принтер для печати, возможно — войти с учетной записью Майкрософт. Например, при печати в PDF, документ будет иметь следующий вид: Распечатанный ключ восстановления BitLocker

Вы можете использовать несколько способов сохранения ключа восстановления, просто запустив архивацию повторно: например, сначала сохранить в учетную запись Майкрософт, а затем — напечатать или сохранить в файл.

Ещё одна возможность — получение ключа восстановления BitLocker в командной строке:

  1. Запустите командную строку от имени администратора.
  2. Введите команду (изменив букву диска при необходимости)

manage-bde -protectors C: -get

Получение ключа восстановления в командной строке

  • Вы увидите ключ восстановления в поле «Пароль».
  • Учитывайте, что сработает это лишь в том случае, если на момент выполнения команды доступ к диску имеется, иначе вы получите сообщение об ошибке «Этот диск заблокирован программой шифрования диска BitLocker».

    Если у вас остаются вопросы, касающиеся шифрования BitLocker, вы можете задать их в комментариях ниже, я постараюсь помочь.

    А вдруг и это будет интересно:

    • Лучшие бесплатные программы для Windows
    • Как разрешить обычному пользователю запускать программу от имени Администратора без ввода пароля
    • Как выйти из полноэкранного режима в Windows
    • Как включить компактный вид панели быстрых настроек Windows 11
    • Шрифты в интерфейсе Chrome стали более жирными и размытыми — как исправить?
    • Msftconnecttest.com — что это и как исправить возможные ошибки
    • Windows 11
    • Windows 10
    • Android
    • Загрузочная флешка
    • Лечение вирусов
    • Восстановление данных
    • Установка с флешки
    • Настройка роутера
    • Всё про Windows
    • В контакте
    • Одноклассники

      german 21.01.2024 в 11:04

    • Dmitry 21.01.2024 в 11:06
    • Dmitry 16.02.2024 в 16:20

    Как включить пароль BitLocker и почему после шифрования он может не запрашиваться

    Как включить пароль или ПИН-код для BitLocker

    Если зашифровать системный раздел диска Windows 10 с помощью BitLocker без модуля TPM, то уже на этапе подготовки шифрования вам будет предложен метод разблокировки с помощью пароля, который можно будет выбрать, указать пароль, который потребуется вводить всякий раз ещё до загрузки системы.

    Однако, если ваш ноутбук или компьютер оснащён модулем TPM, такой вариант предложен не будет: диск будет успешно зашифрован, но запрос пароля появляться не будет: ключи, необходимые для разблокирования будут храниться в соответствующем чипе вашего устройства. При желании это поведение можно изменить и сделать так, чтобы пароль (или, точнее, ПИН-код, который может содержать не только цифры) запрашивался каждый раз при включении как дополнительная мера защиты.

    Включение запроса ПИН-кода (пароля) для зашифрованного системного диска Windows 10

    Прежде чем приступить, учитывайте: все описанные далее действия удобнее выполнять ещё до начала шифрования. Вы можете поступить одним из следующих способов:

    manage-bde -protectors -add c: -TPMAndPIN

    Сам порядок действий для включения пароля (ПИН-кода) при использовании TPM (доверенного платформенного модуля) будет состоит из следующих шагов:

    1. Нажмите клавиши Win+R на клавиатуре (клавиша Win — это клавиша с эмблемой Windows), введите gpedit.msc и нажмите Enter для запуска редактора локальной групповой политики.
    2. В редакторе локальной групповой политики перейдите к разделу Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Шифрование диска BitLocker — Диски операционной системы. Политики BitLocker для дисков операционной системы
    3. Найдите пункт «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске», дважды нажмите по нему и установите «Включено». Разрешить ПИН-код для BitLocker при использовании TPM
    4. В поле «Настройка ПИН-кода запуска доверенного платформенного модуля» установите «Разрешить ПИН-код запуска с доверенным платформенным модулем», примените настройки.
    5. Если вы не хотите ограничиваться ПИН-кодом из цифр, в том же разделе редактора локальной групповой политики включите параметр «Этот параметр политики позволяет разрешить использование улучшенных ПИН-кодов при запуске компьютера» и примените настройки.

    После того, как описанные шаги были проделаны, вы можете снова запустить шифрование диска BitLocker (правый клик по диску в проводнике — включить BitLocker) и задать использование ПИН-кода для расшифровки, либо включить ПИН-код уже после выполнения шифрования: заходим в управление BitLocker в контекстном меню диска и нажимаем «Изменение способа разблокировки диска при загрузке», там же можно изменить ПИН-код.

    Управление BitLocker в Windows 10

    Если вы забудете ПИН-код, то для расшифровки тома BitLocker потребуется ввести ключ восстановления, сохранить или распечатать который пользователю предлагается при первоначальном шифровании раздела диска.

    А вдруг и это будет интересно:

    • Лучшие бесплатные программы для Windows
    • Как разрешить обычному пользователю запускать программу от имени Администратора без ввода пароля
    • Как выйти из полноэкранного режима в Windows
    • Как включить компактный вид панели быстрых настроек Windows 11
    • Шрифты в интерфейсе Chrome стали более жирными и размытыми — как исправить?
    • Msftconnecttest.com — что это и как исправить возможные ошибки
    • Windows 11
    • Windows 10
    • Android
    • Загрузочная флешка
    • Лечение вирусов
    • Восстановление данных
    • Установка с флешки
    • Настройка роутера
    • Всё про Windows
    • В контакте
    • Одноклассники

      Владимир 02.01.2022 в 14:31

    • Dmitry 04.01.2022 в 08:34

    Поиск ключа восстановления BitLocker в Windows

    Если система запрашивает ключ восстановления BitLocker, приведенные ниже сведения помогут вам найти ключ восстановления и понять, почему вам предлагается его предоставить.

    Важно: Служба поддержки Майкрософт не может предоставить или повторно создать потерянный ключ восстановления BitLocker.

    Где найти ключ восстановления BitLocker?

    BitLocker, вероятно, обеспечил безопасное резервное копирование ключа восстановления перед активацией защиты. Ключ восстановления может находиться в нескольких местах, в зависимости от того, какой параметр был выбран при активации BitLocker.

    Ваш браузер не поддерживает видео. Установите Microsoft Silverlight, Adobe Flash Player или Internet Explorer 9.

    Возникли проблемы при воспроизведении видео? Посмотрите его на YouTube.

      В учетной записи Майкрософт: Откройте веб-браузер на другом устройстве. Перейдите к https://account.microsoft.com/devices/recoverykey, чтобы найти ключ восстановления.

    Совет: Вы можете войти в учетную запись Майкрософт на любом устройстве с доступом в Интернет, например на смартфоне.

    Он должен выглядеть примерно так:

    Панель ключей восстановления BitLocker в учетной записи Майкрософт.

    Примечание: Если устройство было настроено или bitLocker был включен кем-то другим, ключ восстановления может находиться в учетной записи Майкрософт этого пользователя.

    Совет: Во время COVID мы видели много клиентов, которые вдруг работали или посещали школу из дома, и, возможно, их попросили войти в рабочую или учебную учетную запись с личного компьютера. Если это был и ваш опыт, возможно, на вашей работе или в учебном заведении есть копия ключа восстановления BitLocker.

    • Если вам не удается найти ключ восстановления BitLocker и не удается отменить изменения изменения конфигурации, которые могли привести к его необходимости, вам потребуется сбросить устройство с помощью одного из вариантов восстановления Windows. Сброс устройства приведет к удалению всех файлов.
    • Служба поддержки Майкрософт не может предоставить или повторно создать потерянный ключ восстановления BitLocker.

    Щелкните заголовки ниже для получения дополнительных сведений.

    Что такое ключ восстановления BitLocker?

    Ключ восстановления BitLocker — это уникальный 48-значный цифровой пароль, который можно использовать для разблокировки системы, если функция BitLocker не может другим способом точно определить, что попытка доступа к системному диску была санкционированной.

    Почему система Windows запрашивает ключ восстановления BitLocker?

    BitLocker — это технология шифрования Windows, которая защищает данные от несанкционированного доступа, шифруя диск и требуя одного или нескольких факторов проверки подлинности, прежде чем он разблокирует его.

    Windows потребуется ключ восстановления BitLocker при обнаружении возможной несанкционированной попытки доступа к данным. Этот дополнительный шаг представляет собой меру безопасности, призванную обеспечить безопасность ваших данных. Это также может произойти, если вы вносите изменения в оборудование, встроенное ПО или программное обеспечение, которые BitLocker не может отличить от возможной атаки. В таких случаях функция BitLocker может требовать прохождение дополнительной проверки безопасности в виде предоставления ключа восстановления, даже если пользователь является авторизованным владельцем устройства. Это должно быть уверено, что человек, пытающийся разблокировать данные, действительно авторизован.

    Как функция BitLocker активируется на моем устройстве?

    Есть три стандартных способа активировать защиту BitLocker на вашем устройстве.

    • Ваше устройство — это современное устройство, которое соответствует определенным требованиям для автоматического включения шифрования устройства: В этом случае ключ восстановления BitLocker автоматически сохраняется в учетной записи Майкрософт перед активацией защиты.
    • Владелец или администратор личного устройства активировал BitLocker (на некоторых устройствах также называется шифрованием устройства) с помощью приложения «Параметры» или панель управления: В этом случае пользователь, активировав BitLocker, выбрал место сохранения ключа или (в случае шифрования устройства) он был автоматически сохранен в своей учетной записи Майкрософт.
    • Рабочая или учебная организация, управляющая устройством (в настоящее время или в прошлом), активировала защиту BitLocker на вашем устройстве: В этом случае у организации может быть ключ восстановления BitLocker.

    Статьи по теме

    • Резервное копирование ключа восстановления BitLocker
    • Шифрование устройств в Windows
    • Параметры восстановления в Windows 10

    Обзор восстановления BitLocker

    Восстановление BitLocker — это процесс, с помощью которого можно восстановить доступ к диску, защищенному BitLocker, если диск не разблокируется с помощью механизма разблокировки по умолчанию.

    В этой статье описаны сценарии, запускающие восстановление BitLocker, настройка устройств для сохранения сведений о восстановлении и параметры восстановления доступа к заблокированному диску.

    Сценарии восстановления BitLocker

    В следующем списке приведены примеры распространенных событий, которые приводят к переходу устройства в режим восстановления BitLocker при запуске Windows.

    • Слишком много раз ввод неправильного ПИН-кода
    • Отключение поддержки чтения USB-устройства в среде предварительной загрузки из встроенного ПО BIOS или UEFI при использовании usb-ключей вместо доверенного платформенного модуля
    • Наличие компакт-диска или DVD-диска перед жестким диском в порядке загрузки BIOS (как правило, с виртуальными машинами)
    • Закрепление или отстыковка портативного компьютера
    • Изменения в таблице разделов NTFS на диске
    • Изменения в диспетчере загрузки
    • Отключение, отключение, отключение или очистка доверенного платформенного модуля
    • Сбой самотестировщика доверенного платформенного модуля
    • Обновление материнской платы до новой с помощью нового доверенного платформенного модуля
    • Обновление критически важных компонентов раннего запуска, таких как обновление встроенного ПО BIOS или UEFI
    • Скрытие доверенного платформенного модуля из операционной системы
    • Изменение регистров конфигурации платформы (PCR), используемых профилем проверки доверенного платформенного модуля
    • Перемещение диска, защищенного BitLocker, на новый компьютер
    • На устройствах с TPM 1.2 изменение порядка загрузки BIOS или встроенного ПО

    В рамках процесса восстановления BitLocker рекомендуется определить, что вызвало переход устройства в режим восстановления. Анализ первопричин может помочь предотвратить возникновение проблемы в будущем. Например, если вы определили, что злоумышленник изменил устройство, получив физический доступ, можно реализовать новые политики безопасности для отслеживания физического присутствия.

    В запланированных сценариях, таких как известное обновление оборудования или встроенного ПО, можно избежать инициации восстановления, временно приостановив защиту BitLocker. При приостановке BitLocker диск остается полностью зашифрованным, и администратор может быстро возобновить защиту BitLocker после завершения запланированной задачи. При использовании приостановки и возобновления также повторно выполняется повторное выполнение ключа шифрования без необходимости ввода ключа восстановления.

    В случае приостановки BitLocker автоматически возобновляет защиту при перезагрузке устройства, если только не указано количество перезагрузок с помощью PowerShell или средства командной manage-bde.exe строки. Дополнительные сведения о приостановке BitLocker см. в руководстве по операциям BitLocker.

    Восстановление описывается в контексте незапланированного или нежелательного поведения. Однако восстановление также может быть вызвано как предполагаемый рабочий сценарий, например для управления доступом. При повторном развертывании устройств в других отделах или сотрудниках организации BitLocker можно принудительно выполнить восстановление, прежде чем устройство будет доставлено новому пользователю.

    Параметры восстановления BitLocker

    В сценарии восстановления могут быть доступны следующие параметры восстановления доступа к диску в зависимости от параметров политики, применяемых к устройствам:

    • Пароль восстановления: 48-значный номер, используемый для разблокировки тома в режиме восстановления. Пароль восстановления можно сохранить в виде текстового файла, распечатать или сохранить в Microsoft Entra ID или Active Directory. Пользователь может указать пароль восстановления, если он доступен

    Снимок экрана: экран восстановления BitLocker по умолчанию с запросом ввода пароля восстановления.

    • Ключ восстановления: ключ шифрования, хранящийся на съемных носителях, который можно использовать для восстановления данных, зашифрованных на томе BitLocker. Имя файла имеет формат .bek . Для диска ОС ключ восстановления можно использовать для получения доступа к устройству, если BitLocker обнаруживает условие, которое не позволяет разблокировать диск при запуске устройства. Ключ восстановления также можно использовать для получения доступа к фиксированным дискам с данными и съемным дискам, зашифрованным с помощью BitLocker, если по какой-либо причине пароль забыт или устройство не может получить доступ к диску.

    Снимок экрана: экран восстановления BitLocker с запросом на подключение USB-накопителя с помощью ключа восстановления.

    • Пакет ключей: ключ расшифровки, который можно использовать со средством восстановления BitLocker для восстановления критически важных частей диска и восстановления данных. С помощью пакета ключей и пароля восстановления или ключа восстановления можно расшифровать части поврежденного диска, защищенного BitLocker. Каждый пакет ключей работает только для диска с соответствующим идентификатором диска. Пакет ключей не создается автоматически и может быть сохранен в файле или в доменные службы Active Directory. Пакет ключей не может храниться в Microsoft Entra ID
    • Сертификат агента восстановления данных. Агент восстановления данных (DRA) — это тип сертификата, который связан с субъектом безопасности Active Directory и может использоваться для доступа к любым зашифрованным дискам BitLocker, настроенным с соответствующим открытым ключом. Dra могут использовать свои учетные данные для разблокировки диска. Если диск является диском ОС, диск должен быть подключен как диск данных на другом устройстве, чтобы DRA разблокировал его.

    Пароль восстановления и ключ восстановления могут быть предоставлены пользователями в панель управления апплете (для данных и съемных дисков) или на экране восстановления перед загрузки. Рекомендуется настроить параметры политики для настройки экрана восстановления перед загрузкой, например путем добавления настраиваемого сообщения, URL-адреса и контактных данных службы поддержки. Дополнительные сведения см. в статье Экран восстановления BitLocker перед загрузки.

    При планировании процесса восстановления BitLocker сначала ознакомьтесь с текущими рекомендациями организации по восстановлению конфиденциальной информации. Пример:

    ☑️ Вопрос
    �� Как организация обрабатывает потерянные или забытые пароли?
    �� Как организация выполняет сброс ПИН-кода интеллектуального карта?
    �� Разрешено ли пользователям сохранять или извлекать сведения о восстановлении для принадлежащих им устройств?
    �� Сколько вы хотите, чтобы пользователи участвовали в процессе настройки BitLocker? Вы хотите, чтобы пользователи взаимодействовали с процессом, молчали или и то, и другое?
    �� Где хранить ключи восстановления BitLocker?
    �� Включить смену паролей восстановления?

    Ответы на вопросы помогают определить лучший процесс восстановления BitLocker для организации и соответствующим образом настроить параметры политики BitLocker. Например, если в организации есть процесс сброса паролей, аналогичный процесс можно использовать для восстановления BitLocker. Если пользователям запрещено сохранять или извлекать сведения о восстановлении, организация может использовать агенты восстановления (DRA) или автоматически создавать резервные копии данных.

    Следующие параметры политики определяют методы восстановления, которые можно использовать для восстановления доступа к диску, защищенному BitLocker.

    • Выберите способы восстановления дисков операционной системы с защитой BitLocker
    • Выберите способы восстановления фиксированных дисков с защитой BitLocker
    • Выберите, как можно восстановить съемные диски с защитой BitLocker

    В каждой из этих политик выберите Сохранить сведения о восстановлении BitLocker, чтобы доменные службы Active Directory, а затем выберите сведения о восстановлении BitLocker для хранения в AD DS. Используйте параметр Не включать BitLocker до тех пор, пока сведения о восстановлении не будут сохранены в AD DS, чтобы запретить пользователям включать BitLocker, если только резервное копирование сведений о восстановлении BitLocker для диска Microsoft Entra ID или AD DS не будет выполнено.

    Пароль восстановления BitLocker

    Чтобы восстановить BitLocker, пользователь может использовать пароль восстановления, если он доступен. Пароль восстановления BitLocker уникален для устройства, на который он был создан, и его можно сохранить разными способами. В зависимости от настроенных параметров политики пароль восстановления может быть следующим:

    • Сохранено в Microsoft Entra ID для Microsoft Entra присоединено
    • Сохранено в AD DS для устройств, присоединенных к Active Directory
    • Сохранено в текстовом файле
    • Напечатано

    Доступ к паролю восстановления позволяет владельцу разблокировать том, защищенный BitLocker, и получить доступ ко всем его данным. Поэтому для организации важно установить процедуры для управления доступом к паролям восстановления и обеспечить их безопасное хранение отдельно от устройств, которые они защищают.

    Ключ восстановления BitLocker можно сохранить в учетной записи Майкрософт пользователя. Этот параметр доступен для устройств, не являющихся членами домена и использующих учетную запись Майкрософт. Хранение пароля восстановления в учетной записи Майкрософт — это рекомендуемый по умолчанию метод хранения ключей восстановления для устройств, которые не Microsoft Entra присоединены или присоединены к Active Directory.

    Резервное копирование пароля восстановления должно быть настроено до включения BitLocker, но также может выполняться после шифрования, как описано в руководстве по операциям BitLocker.
    Предпочтительная методология резервного копирования в организации заключается в автоматическом хранении сведений о восстановлении BitLocker в центральном расположении. В зависимости от требований организации сведения о восстановлении могут храниться в Microsoft Entra ID, AD DS или файловых ресурсах.

    Рекомендуется использовать следующие методы резервного копирования BitLocker:

    • Для устройств, присоединенных к Microsoft Entra, сохраните ключ восстановления в Microsoft Entra ID
    • Для устройств, присоединенных к Active Directory, сохраните ключ восстановления в AD DS.

    Нет автоматического способа хранения ключа восстановления для съемных запоминающих устройств в Microsoft Entra ID или AD DS. Однако для этого можно использовать PowerShell или manage.bde.exe команду . Дополнительные сведения и примеры см. в руководстве по операциям BitLocker.

    Агенты восстановления данных

    DrA можно использовать для восстановления дисков ОС, фиксированных дисков данных и съемных дисков с данными. Однако при использовании для восстановления дисков ОС диск операционной системы должен быть подключен к другому устройству в качестве диска данных , чтобы DRA мог разблокировать диск. Агенты восстановления данных добавляются на диск при его шифровании и могут быть обновлены после шифрования.

    Преимущество использования DRA вместо восстановления пароля или ключа заключается в том, что DRA выступает в качестве ключа master для BitLocker. С помощью DRA можно восстановить любой том, защищенный политикой, без необходимости находить определенный пароль или ключ для каждого отдельного тома.

    Чтобы настроить dra для устройств, присоединенных к домену Active Directory, необходимо выполнить следующие действия.

    1. Получите сертификат DRA. Следующие атрибуты использования ключей и расширенные атрибуты использования ключа проверяются BitLocker перед использованием сертификата.
      1. Если атрибут использования ключа присутствует, он должен быть следующим:
        • CERT_DATA_ENCIPHERMENT_KEY_USAGE
        • CERT_KEY_AGREEMENT_KEY_USAGE
        • CERT_KEY_ENCIPHERMENT_KEY_USAGE
      2. Если атрибут расширенного использования ключа (EKU) присутствует, он должен иметь один из следующих значений:
        • Как указано в параметре политики или по умолчанию 1.3.6.1.4.1.311.67.1.1
        • Любой идентификатор объекта EKU, поддерживаемый центром сертификации (ЦС)
      • Выберите способы восстановления дисков операционной системы с защитой BitLocker
      • Выберите способы восстановления фиксированных дисков с защитой BitLocker
      • Выберите, как можно восстановить съемные диски с защитой BitLocker

      Сведения о восстановлении BitLocker, хранящиеся в Microsoft Entra ID

      Сведения о восстановлении BitLocker для Microsoft Entra присоединенных устройств можно хранить в Microsoft Entra ID. Преимущество хранения паролей восстановления BitLocker в Microsoft Entra ID заключается в том, что пользователи могут легко получать пароли для устройств, назначенных им, из Интернета, не обращаясь в службу поддержки.

      Доступ к паролям восстановления также можно делегировать службе поддержки, чтобы упростить сценарии поддержки.

      Сведения о пароле восстановления BitLocker, хранящиеся в Microsoft Entra ID, являются типом bitlockerRecoveryKey ресурса. Ресурс можно получить из Центр администрирования Microsoft Entra, центра администрирования Microsoft Intune (для устройств, зарегистрированных в Microsoft Intune), с помощью PowerShell или Microsoft Graph. Дополнительные сведения см. в разделе Тип ресурса bitlockerRecoveryKey.

      Сведения о восстановлении BitLocker, хранящиеся в AD DS

      Сведения о восстановлении BitLocker для устройства, присоединенного к домену Active Directory, можно хранить в AD DS. Сведения хранятся в дочернем объекте самого объекта компьютера. Каждый объект восстановления BitLocker содержит пароль восстановления и другие сведения о восстановлении. Под каждым объектом компьютера может существовать несколько объектов восстановления BitLocker, так как с томом с поддержкой BitLocker может быть несколько паролей восстановления.

      Имя объекта восстановления BitLocker включает глобальный уникальный идентификатор (GUID) и сведения о дате и времени для фиксированной длины 63 символов. Синтаксис : .

      Active Directory ведет журнал всех паролей восстановления для объекта компьютера. Старые ключи восстановления не удаляются из AD DS автоматически, если не удаляется объект компьютера.

      Общее имя (cn) для объекта восстановления BitLocker — ms-FVE-RecoveryInformation . Каждый ms-FVE-RecoveryInformation объект имеет следующие атрибуты:

      Имя атрибута Описание
      ms-FVE-RecoveryPassword Пароль восстановления из 48 цифр, используемый для восстановления тома диска, зашифрованного BitLocker.
      ms-FVE-RecoveryGuid GUID, связанный с паролем восстановления BitLocker. В режиме восстановления BitLocker идентификатор GUID отображается пользователю, чтобы можно было найти правильный пароль восстановления для разблокировки тома. Guid также включается в имя объекта восстановления.
      ms-FVE-VolumeGuid GUID, связанный с томом диска, поддерживаемым BitLocker. Хотя пароль (хранящийся в ms-FVE-RecoveryGuid ) уникален для каждого пароля восстановления, идентификатор тома является уникальным для каждого тома, зашифрованного BitLocker.
      ms-FVE-KeyPackage Ключ шифрования BitLocker тома, защищенный соответствующим паролем восстановления. С помощью этого пакета ключей и пароля восстановления (хранящегося в ms-FVE-RecoveryPassword ), части тома, защищенного BitLocker, можно расшифровать, если диск поврежден. Каждый пакет ключей работает только для тома с соответствующим идентификатором тома (хранится в ms-FVE-VolumeGuid ). Средство восстановления BitLocker можно использовать для использования пакета ключей.

      Дополнительные сведения об атрибутах BitLocker, хранящихся в AD DS, см. в следующих статьях:

      • Атрибут ms-FVE-KeyPackage
      • Атрибут ms-FVE-RecoveryPassword

      Пакет ключей BitLocker не сохраняется по умолчанию. Чтобы сохранить пакет вместе с паролем восстановления в AD DS, в политике, которая управляет методом восстановления, необходимо выбрать параметр политики Резервное копирование пароля восстановления и пакета ключей . Пакет ключей также можно экспортировать из рабочего тома.

      Если сведения о восстановлении не создаются в AD DS или вы хотите сохранить пакет ключей в альтернативном расположении, используйте следующую команду, чтобы создать пакет ключей для тома:

      manage-bde.exe -KeyPackage C: -id -path

      Файл с форматом BitLocker Key Package >.KPG имени создается по указанному пути.

      Чтобы экспортировать новый пакет ключей из разблокированного, защищенного BitLocker тома, локальный администратор должен получить доступ к рабочему тому, прежде чем произойдет повреждение тома.

      Дальнейшие действия

      Узнайте, как получить сведения о восстановлении BitLocker для устройств, присоединенных к Microsoft Entra, Microsoft Entra с гибридным присоединением и присоединенных к Active Directory устройств, а также как восстановить доступ к заблокированным дискам.

      Обратная связь

      Были ли сведения на этой странице полезными?

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *