- Чи можливо, що користувачам буде потрібно відновити інформацію з дисків, коли комп'ютери не підключені до домену, наприклад якщо користувач знаходиться в дорозі?
Методи відновлення BitLocker
У наведеній нижче таблиці описано методи відновлення, доступні для використання з BitLocker.
Власні параметри налаштування
Пароль відновлення (також відомий як ключ відновлення в графічному інтерфейсі і числовий пароль в засобі командного рядка Manage-bde).
Пароль відновлення - це 48-значний числовий пароль, резервну копію якого можна зберегти в доменних службах Active Directory (AD DS). Крім того, його можна надрукувати або зберегти в текстовому файлі.
Користувач може надрукувати пароль або зберегти його у файлі. Цю можливість можна відключити за допомогою групової політики.
Ключ відновлення - це 256-значний ключ, який можна зберегти на USB-флеш-пам'яті. Він не доступний за умовчанням для знімних дисків з даними. Відповідає федеральним стандартам обробки інформації (FIPS).
Користувач повинен вказати місце збереження ключа відновлення.
Агент відновлення даних
Агент відновлення даних - це відкритий ключ, який відповідно до настройками групової політики поширюється на всі захищені BitLocker пристрою. Відповідає стандартам FIPS.
Користувач не може налаштовувати агенти відновлення даних.
Для кожного типу диска, зашифрованого за допомогою BitLocker, можна налаштувати свій метод відновлення. Для одного типу дисків можна налаштувати декілька методів відновлення. У цій таблиці наведено переваги та недоліки кожного методу відновлення.
- Збереження резервної копії в AD DS неможливо.
Агент відновлення даних
- Відповідає стандартам FIPS.
- Вимагає фізичної присутності фахівців ІТ-відділу.
Вибір методів відновлення
Наступного блок-схемі представлені різні методи відновлення та критерії, які необхідно враховувати при виборі методу відновлення.
Для кожного комп'ютерного об'єкта можна зберегти такі дані відновлення:
Сорокавосьмізначний пароль відновлення, використовуваний для відновлення захищеного за допомогою BitLocker диска. Користувачі вводять цей пароль для розблокування диска, коли BitLocker переходить в режим відновлення.
З цим пакетом ключів і паролем відновлення можна розшифровувати частини серйозно пошкодженого диска, захищеного за допомогою BitLocker. Кожен пакет ключів працює тільки з тим диском, на якому він був створений. Визначити приналежність пакета диску можна за відповідним ідентифікатором BitLocker.
Коли під час включення BitLocker визначається власник TPM, хеш пароля володіння можна зберегти в AD DS. Згодом цю інформацію можна використовувати для перевизначення володіння TPM.
За замовчуванням з усіх користувачів тільки адміністратори домену можуть отримати доступ до інформації відновлення BitLocker, що зберігається в AD DS. При плануванні схеми підтримки необхідно визначити, які частини організації потребують доступу до інформації відновлення BitLocker. Використовуйте цю інформацію для визначення способу делегування відповідних прав в середовищі AD DS.
Рекомендується включити зберігання інформації відновлення BitLocker і пакетів ключів в AD DS. Додаткову інформацію про створення Active Directory і відновленні BitLocker див. У наступних джерелах.