Як виконувати відновлення дисків із захистом bitlocker

  • Чи можливо, що користувачам буде потрібно відновити інформацію з дисків, коли комп'ютери не підключені до домену, наприклад якщо користувач знаходиться в дорозі?
  • Чи прийнятно для організації то, що для отримання доступу до захищеного BitLocker диску для відновлення інформації потрібно фізична присутність користувача за комп'ютером?
  • Чи необхідно надати всім користувачам організації можливість зберігати власні ключі відновлення або за зберігання ключів відновлення повинні нести відповідальність ІТ-фахівці?

    Методи відновлення BitLocker

    У наведеній нижче таблиці описано методи відновлення, доступні для використання з BitLocker.

    Власні параметри налаштування

    Пароль відновлення (також відомий як ключ відновлення в графічному інтерфейсі і числовий пароль в засобі командного рядка Manage-bde).

    Пароль відновлення - це 48-значний числовий пароль, резервну копію якого можна зберегти в доменних службах Active Directory (AD DS). Крім того, його можна надрукувати або зберегти в текстовому файлі.

    Користувач може надрукувати пароль або зберегти його у файлі. Цю можливість можна відключити за допомогою групової політики.

    Ключ відновлення - це 256-значний ключ, який можна зберегти на USB-флеш-пам'яті. Він не доступний за умовчанням для знімних дисків з даними. Відповідає федеральним стандартам обробки інформації (FIPS).

    Користувач повинен вказати місце збереження ключа відновлення.

    Агент відновлення даних

    Агент відновлення даних - це відкритий ключ, який відповідно до настройками групової політики поширюється на всі захищені BitLocker пристрою. Відповідає стандартам FIPS.

    Користувач не може налаштовувати агенти відновлення даних.

    Для кожного типу диска, зашифрованого за допомогою BitLocker, можна налаштувати свій метод відновлення. Для одного типу дисків можна налаштувати декілька методів відновлення. У цій таблиці наведено переваги та недоліки кожного методу відновлення.

    • Збереження резервної копії в AD DS неможливо.
  • Користувачі можуть зберігати USB-диски разом з комп'ютером.
  • Якщо ключ для розблокування диска операційної системи зберігається з комп'ютером, захист стає марною.
  • USB-диски можна втратити.
  • Якщо користувач втрачає USB-диск з ключем відновлення, він більш не володіє методом відновлення системи.

    Агент відновлення даних

    • Відповідає стандартам FIPS.
  • Застосовується до дисків автоматично.
    • Вимагає фізичної присутності фахівців ІТ-відділу.
  • Для відновлення диска необхідно використовувати закритий ключ.
  • Диск операційної системи повинен бути встановлений на іншому комп'ютері під керуванням Windows 7 в якості диска даних.

    Вибір методів відновлення

    Наступного блок-схемі представлені різні методи відновлення та критерії, які необхідно враховувати при виборі методу відновлення.

    Для кожного комп'ютерного об'єкта можна зберегти такі дані відновлення:

    Сорокавосьмізначний пароль відновлення, використовуваний для відновлення захищеного за допомогою BitLocker диска. Користувачі вводять цей пароль для розблокування диска, коли BitLocker переходить в режим відновлення.

    З цим пакетом ключів і паролем відновлення можна розшифровувати частини серйозно пошкодженого диска, захищеного за допомогою BitLocker. Кожен пакет ключів працює тільки з тим диском, на якому він був створений. Визначити приналежність пакета диску можна за відповідним ідентифікатором BitLocker.

    Коли під час включення BitLocker визначається власник TPM, хеш пароля володіння можна зберегти в AD DS. Згодом цю інформацію можна використовувати для перевизначення володіння TPM.

    За замовчуванням з усіх користувачів тільки адміністратори домену можуть отримати доступ до інформації відновлення BitLocker, що зберігається в AD DS. При плануванні схеми підтримки необхідно визначити, які частини організації потребують доступу до інформації відновлення BitLocker. Використовуйте цю інформацію для визначення способу делегування відповідних прав в середовищі AD DS.

    Рекомендується включити зберігання інформації відновлення BitLocker і пакетів ключів в AD DS. Додаткову інформацію про створення Active Directory і відновленні BitLocker див. У наступних джерелах.

    Схожі статті