Призначення: Windows 7
У цьому розділі описується використання агента відновлення даних для відновлення даних, які розташовані на диску, захищеному за допомогою технології BitLocker. Агенти відновлення даних - це особи, чиї сертифікати інфраструктури відкритого ключа (PKI) використовувалися для створення запобіжника ключа BitLocker, що дозволяє їм використовувати свої облікові дані для розблокування дисків, захищених BitLocker. Агенти відновлення даних можуть використовуватися для відновлення дисків операційної системи, фіксованих дисків і знімних дисків, захищених технологією BitLocker. У той же час, якщо доведеться дисків операційної системи вони повинні бути змонтовані на іншому комп'ютері в якості дисків даних, щоб дати можливість агенту відновлення даних розблокувати їх. Агенти відновлення даних додаються до диска при шифруванні і можуть оновлюватися після завершення шифрування.
Дії перед початком роботи
Необхідні умови для виконання цієї інструкції:
- Необхідна наявність облікових даних адміністратора.
Виконайте наступні дії для включення самозаверяющіх сертифікатів в BitLocker.
Включення самозаверяющіх сертифікатів в BitLocker
Натисніть кнопку Пуск. введіть regedit у полі Пошук програм і файлів. клацніть regedit.exe правою кнопкою миші, а потім виберіть пункт Запуск із правами адміністратора. Якщо відобразиться діалогове вікно Служба захисту користувачів підтвердіть дію і натисніть кнопку Так.
Введіть SelfSignedCertificates. а потім натисніть клавішу ENTER, щоб створити значення ключа SelfSignedCertificates.
Клацніть правою кнопкою миші елемент SelfSignedCertificates і виберіть команду Змінити.
Це дозволить використовувати самозаверяющіе сертифікати в BitLocker.
Отримання самозаверяющего сертифіката для перевірки BitLocker і агентів відновлення даних
ProviderName = "Microsoft Smart Card Key Storage Provider"
Збережіть файл з ім'ям bldracert.txt.
Натисніть кнопку Пуск. введіть cmd в полі Пошук програм і файлів. клацніть cmd.exe правою кнопкою миші, а потім виберіть пункт Запуск із правами адміністратора. Якщо відобразиться діалогове вікно Служба захисту користувачів підтвердіть дію і натисніть кнопку Так.
У відповідь на запит на збереження файлу введіть ім'я файлу і натисніть кнопку Зберегти.
Експорт сертифіката BitLocker DRA
Натисніть кнопку Пуск. а потім введіть certmgr.msc. щоб відкрити оснастку сертифікатів.
У дереві консолі розгорніть вузол Особисті і виберіть пункт Сертифікати.
Двічі клацніть сертифікат BitLockerDRA. щоб відобразити вікно його властивостей.
Перейдіть на вкладку Відомості. а потім натисніть кнопку Копіювати в файл. щоб запустити майстер експорту сертифікатів.
На сторінці Майстер експорту сертифікатів натисніть кнопку Далі.
На сторінці Експорт закритого ключа встановіть прапорець Ні, не експортувати закритий ключ. а потім натисніть кнопку Далі.
На сторінці Формат експортованого файлу виберіть значення Файли в DER-кодуванні x.509 (.CER). а потім натисніть кнопку Далі.
На сторінці Ім'я експортованого файлу натисніть кнопку Огляд. щоб відкрити діалогове вікно Зберегти як. У полі Ім'я файлу введіть BitLockerDRA. В поле Тип файлу виберіть пункт Файли в DER-кодуванні X.509 (.CER). а потім натисніть кнопку Зберегти для повернення на сторінку Ім'я експортованого файлу. Поле Ім'я файлу на сторінці майстра тепер має містити шлях до файлу BitLockerDRA.cer в бібліотеці документів. Натисніть кнопку "Далі .
На сторінці Завершення майстра експорту сертифікатів перевірте правильність всіх даних, що відображаються і натисніть кнопку Готово.
Після експорту сертифіката відобразиться вікно майстра експорту сертифікатів з повідомленням Експорт виконаний успішно. Щоб закрити вікно майстра, натисніть кнопку Закрити.
Додавання агента відновлення даних BitLocker і розблокування диска
Натисніть кнопку Пуск. введіть gpedit.msc в полі Пошук програм і файлів. а потім натисніть клавішу Enter.
Якщо відобразиться діалогове вікно Служба захисту користувачів підтвердіть дію і натисніть кнопку Так.
У дереві консолі відкрийте вузол Політика локального комп'ютера \ Конфігурація комп'ютера \ Конфігурація Windows \ Параметри безпеки \ Політики відкритого ключа. правою кнопкою миші елемент Шифрування диска BitLocker. а потім клацніть елемент Додати агент відновлення даних для запуску майстра додавання агентів.
На сторінці Вибір агентів відновлення натисніть кнопку Огляд папки для вибору файлу BitLockerDRA.cer. експортованого на попередньому етапі. Якщо експорт сертифікатів не був потрібен, так як інфраструктура PKI з необхідними сертифікатами вже розгорнуто, натисніть кнопку Огляд каталогу. щоб вибрати сертифікат в доменних службах Active Directory.
У відповідь на запит на установку сертифіката натисніть кнопку Так. Ці дії можна повторювати кілька разів для додавання кількох агентів відновлення даних. Після вказівки всіх необхідних агентів відновлення даних натисніть кнопку Далі.
На сторінці Завершення роботи майстра агентів відновлення натисніть кнопку Готово. щоб додати агент відновлення даних.
Якщо параметри групової політики не налаштовані на вказівку поля ідентифікації BitLocker, виконайте дії, зазначені в розділі Сценарій 10. Налаштування поля ідентифікації BitLocker (Windows 7) перед продовженням роботи з цим розділом.
Зашифруйте диск з даними згідно з вказівками розділу Сценарій 2. Включення шифрування диска BitLocker на фіксованому або знімному диску (Windows 7). Щоб агент відновлення даних міг розблокувати диск, поле ідентифікації BitLocker має бути включено і має збігатися з полем, зазначеним для організації.
Щоб перевести диск в їхній заблокований статус для перевірки агента відновлення даних, натисніть кнопку Пуск. перейдіть до пункту Усі програми. виберіть пункт Стандартні. правою кнопкою миші елемент Командний рядок. а потім виберіть пункт Запуск із правами адміністратора. Якщо відобразиться діалогове вікно Служба захисту користувачів підтвердіть дію і натисніть кнопку Так. Введіть наступну команду, замінюючи Том буквою блокується диска, захищеного BitLocker:
Чи не закривайте вікно командного рядка.
Після блокування диска його можна розблокувати за допомогою агента відновлення даних. По-перше, необхідна наявність відбитка сертифіката агента відновлення даних. Для отримання відбитка необхідно ввести в командному рядку наступну команду, замінюючи Том буквою разблокіруемий диска, захищеного BitLocker:
Відображаються певні для диска запобіжники ключа. Знайдіть запобіжник ключа, певний як Агент відновлення даних (на основі сертифікатів). і запишіть відбиток сертифіката.
Щоб розблокувати диск, введіть наступну команду, замінюючи ОтпечатокСертіфіката на відбиток сертифіката агента відновлення даних, записаний на попередньому кроці:
Після виконання дій цього розділу для BitLocker будуть призначені агенти відновлення даних, які можуть використовуватися для розблокування диска, захищеного BitLocker.