Kā iestatīt BitLocker ar TPM, PIN un tīkla atbloķēšanu operētājsistēmā Windows 11

Datu drošība ir prioritāte uzņēmumiem un individuāliem lietotājiem, kas vēlas aizsargāt gan datoros glabātās informācijas integritāti, gan konfidencialitāti. Windows 11Pateicoties uzlabotajām šifrēšanas funkcijām, piemēram, BitLocker, tas nodrošina iespēju aizsargāt piekļuvi diskiem, izmantojot dažādas autentifikācijas metodes, apvienojot TPM robustumu. (Drošās platformas modulis), PIN verifikācija un ekskluzīvā sistēma Tīkla atbloķēšana tīkla atbloķēšanai.

Ja vēlaties uzzināt, kā konfigurēt BitLocker, lai pilnībā izmantotu šīs aizsardzības iespējas, īpaši iespēju vienlaikus izmantot TPM, sāknēšanas PIN kodu un atļaut automātisku atbloķēšanu, izmantojot korporatīvo tīklu, šeit ir visdetalizētākā un visaptverošākā pašlaik pieejamā rokasgrāmata, kas ir pielāgota spāņu valodai un atjaunināta ar visu nozarē pieejamo tehnisko un funkcionālo informāciju.

Kas ir BitLocker un kādas ir tā priekšrocības?

BitLocker ir visaptveroša disku šifrēšanas funkcija, kas iekļauta Professional un Enterprise izdevumos. Windows. Tā galvenais mērķis ir aizsargāt datus nozaudēšanas, zādzības vai neatļautas fiziskas piekļuves datoram gadījumā. Visu diska saturu var šifrēt, novēršot piekļuvi informācijai pat tad, ja disks tiek izņemts un pievienots citam datoram.

TPM integrācija nodrošina papildu drošību, droši uzglabājot šifrēšanas atslēgas un citus autentifikācijas noslēpumus, novēršot brutāla spēka uzbrukumus vai tiešu fizisku piekļuvi. Iespēja pievienot sāknēšanas PIN vēl vairāk pastiprina aizsardzību pret iekšējiem un ārējiem draudiem. Turklāt tīkla atbloķēšanas režīms ļauj iekārtām automātiski startēties, kad tās ir savienotas ar korporatīvo tīklu un noteiktiem serveriem, vienkāršojot pārvaldību uzņēmumu vidēs ar masveida datoru izvietošanu.

Kāpēc TPM, PIN un tīkla atbloķēšanu lietot kopā?

TPM, PIN un tīkla atbloķēšanas kombinācija nodrošina padziļinātu aizsardzību un perfektu līdzsvaru starp drošību un pārvaldāmību. TPM nodrošina, ka atslēgas nekad neatstāj aparatūru; PIN kodam nepieciešama fiziska mijiedarbība lai atbloķētu aprīkojumu – ideāli piemērots pārnēsājamas un datori koplietošanas birojos – un Tīkla atbloķēšana automatizē sāknēšanas procesu drošos korporatīvajos tīklosbez lietotāja iejaukšanās, atvieglojot attālinātu administrēšanu, atjauninājumus un tehnisko atbalstu.

Šī pieeja ir visdrošākā uzņēmumiem ar datoru parku un ir arī ļoti ieteicama pieredzējušiem lietotājiem, kuri uztraucas par savu personas datu vai datoru, kuros ir sensitīva informācija, aizsardzību.

Priekšnosacījumi: aparatūras, programmatūras un infrastruktūras apsvērumi

Pirms varat iespējot un izmantot visas BitLocker funkcijas, jums ir jāatbilst vairākām prasībām attiecībā uz Windows 11 aparatūru, programmaparatūru, tīklu un konfigurāciju. Lūk, viss nepieciešamais:

• Ar Windows 11 saderīgs dators Pro, Enterprise vai Education izdevumā.
• TPM 2.0 modulis ir aktivizēts no BIOS/UEFI. Dažas ierīces ļauj strādāt bez TPM, taču tas ir mazāk droši un prasa vairāk manuālu darbību.
• Administratora piekļuve operētājsistēmā.
• Korporatīvais tīkls ar iespējotu DHCP vismaz vienā tīkla adapterī (vēlams, integrētajā).
• Windows Server ar instalētām un konfigurētām Windows izvietošanas pakalpojumu (WDS) lomām un tīkla atbloķēšanas līdzekli.
• Publiskās atslēgas infrastruktūra nepieciešamo sertifikātu ģenerēšanai un nodrošināšanai (var būt uzņēmuma sertificēšanas iestāde vai pašparakstīti sertifikāti).
• Atļaujas modificēt grupas politikas (GPO) domēna vidē.
• Ir ieteicams, lai gan tas nav absolūti nepieciešams, izmantot Active Directory. glabāšana atkopšanas atslēgas apdrošināšanu un pārvaldības vienkāršošanu.

BitLocker iespējošana un konfigurēšana: sākotnējās darbības un sākotnējie iestatījumi

BitLocker aktivizēšanas procesu operētājsistēmā Windows 11 var veikt no vadības paneļa, iestatījumiem vai izmantojot papildu rīkus (PowerShell, līnija komandas (izmantojot manage-bde.exe vai automatizētus skriptus, izmantojot GPO). Šeit mēs aplūkojam visbiežāk sastopamās procedūras:

1. Piekļuve no izvēlnes Sākt un vadības paneļa: Windows meklēšanas joslā varat meklēt “BitLocker” vai “Pārvaldīt BitLocker” vai arī vadības panelī dodieties uz sadaļu “Sistēma un drošība” un pēc tam uz “BitLocker diska šifrēšana”.
2. Piekļuve no failu pārlūka: Ar peles labo pogu noklikšķiniet uz diska, kuru vēlaties šifrēt, un atlasiet “Ieslēgt BitLocker”. Tas palaidīs vadītu vedni, lai izvēlētos atbloķēšanas metode un atkopšanas iespējas.
3. Paplašināta piekļuve, izmantojot PowerShell: Ja process ir jāautomatizē vairākos datoros vai dodat priekšroku komandrindai, varat izmantot BitLocker specifiskas cmdlet, piemēram, Enable-BitLocker, Add-BitLockerKeyProtector un citas.

Aizsardzības opcijas: tikai TPM, TPM + PIN, TPM + USB atslēga un papildu kombinācijas

BitLocker nodrošina vairākas autentifikācijas metodes, lai atbloķētu sistēmas disku:

• Tikai TPM: Caurspīdīga palaišana, piemērota iekārtām, kas atrodas stingrā fiziskā kontrolē.
• TPM + PIN: Lai startētu sistēmu Windows, jāievada ciparu kods no 6 līdz 20 cipariem.
• TPM + startēšanas atslēga (USB): Startēšanas laikā ir nepieciešams ievietot īpašu USB zibatmiņas disku.
• TPM + PIN + USB atslēga (pēc izvēles): Divu faktoru apvienojums, maksimāla drošība.
• Bez TPM (“saderība”): Var izmantot paroli vai USB atslēgu, taču ar mazākām integritātes un drošības garantijām.

PIN opcija ir ļoti ieteicama klēpjdatoriem un datoriem, kurus var atstāt bez uzraudzības, savukārt USB startēšanas atslēga ir praktiska ierobežotās vidēs vai kā tīkla papildinājums.

Datu atkopšanas stratēģijas: atslēgas, paroles un droša glabāšana

Pirms BitLocker ieslēgšanas ir jāizvēlas, kā saglabāt atkopšanas atslēgu. Ir ļoti svarīgi glabāt šo atslēgu drošā vietā, jo tās pazaudēšana var nozīmēt neatgriezenisku piekļuves zaudēšanu jūsu datiem.

• Saglabāt savā Microsoft kontāPraktiski individuāliem lietotājiem vai maziem uzņēmumiem.
• Saglabāt pakalpojumā Active DirectoryIdeāli piemērots organizācijām, jo ​​ļauj administratoriem viegli atgūt atslēgas domēnam pievienotiem datoriem.
• Saglabāt USB zibatmiņā, izdrukāt uz papīra vai saglabāt ārējā bezsaistes failā.

Atkopšanas politikas var ieviest, izmantojot GPO, lai pieprasītu dublēšanu pakalpojumā Active Directory un bloķētu šifrēšanu, līdz tiek pārbaudīts, vai atslēga ir pareizi saglabāta.

Papildu iestatījumu tehniskā informācija: Grupu politikas un šifrēšanas algoritmi

BitLocker drošība un pārvaldība lielā mērā balstās uz grupu politikām (GPO), kuras var rediģēt failā “gpedit.msc” vai serveru grupas politikas pārvaldības konsolē. Starp atbilstošākajām iespējām ir:

• Definējiet šifrēšanas metodi un atslēgas garumu (XTS-AES 128 vai 256 biti), ieteicams 256 bitu mūsdienu datoros un 128 bitu vecākās ierīcēs.
• Lai aizsargātu operētājsistēmas disku, startēšanas laikā ir nepieciešama papildu autentifikācija: Šeit varat piespiest PIN koda, USB atslēgu vai abu izmantošanu kopā ar TPM.
• Atļaut tīkla atbloķēšanu: Pieejams tikai domēnam pievienotiem datoriem ar nepieciešamo infrastruktūru.
• Politika par atkopšanas atslēgu glabāšanu pakalpojumā Active Directory.
• Atkopšanas iespējas PIN/paroles nozaudēšanas gadījumā.
• Konfigurējiet pielāgotus brīdinājumus un ziņojumus pirms sāknēšanas ekrānam.

Šo politiku konfigurēšana ir būtiska, lai izveidotu drošu vidi un atvieglotu centralizētu administrēšanu lielās organizācijās.

Tīkla atbloķēšana: drošība un automatizācija startēšanas laikā

Tīkla atbloķēšana ir funkcija, kas paredzēta situācijām, kad ierīcēm ir jāstartē bez lietotāja iejaukšanās, bet uzticamā korporatīvajā tīklā. Tas ir īpaši noderīgi atjauninājumu ieviešanai, nakts apkopes veikšanai vai serveru un galddatoru palaišanai bez personāla klātbūtnes.

Kā tas strādā? Pēc palaišanas klients nosaka tīkla atbloķēšanas vairoga klātbūtni un izmanto UEFI DHCP protokolu, lai sazinātos ar WDS serveri. Izmantojot drošu sesiju, ierīce saņem atslēgu, kas apvienojumā ar TPM saglabāto atslēgu ļauj atšifrēt disku un turpināt palaišanu. Ja tīkla atbloķēšana nav pieejama, klientam tiks lūgts ievadīt PIN kodu vai tiks izmantota cita konfigurēta atbloķēšanas metode.

Tīkla atbloķēšanas ieviešanas prasības:

• WDS serveris tīklā ar pareizi instalētu un konfigurētu BitLocker tīkla atbloķēšanas lomu.
• Vismaz 509 bitu X.2048 RSA sertifikāts tīkla atslēgas šifrēšanai, ko izdevusi iekšējā publiskās atslēgas infrastruktūra (CA) vai kas ir pašparakstīts.
• Grupas politika (GPO), kas izplata tīkla atbloķēšanas sertifikātu klientiem.
• Klienta UEFI programmaparatūrai ir jāatbalsta DHCP un tai jābūt pareizi konfigurētai, lai startētu vietējā režīmā.

Tīkla atbloķēšana tiek atbalstīta tikai domēnam pievienotos datoros, tā nav pieejama personālajiem datoriem vai datoriem ārpus uzņēmuma vides.

Praktiska iestatīšana: tīkla atbloķēšanas instalēšana, izvietošana un validēšana

1. Windows izvietošanas pakalpojumu (WDS) lomas instalēšana: No servera pārvaldnieka vai PowerShell (Install-WindowsFeature WDS-Deployment).
2. Instalējiet tīkla atbloķēšanas funkciju WDS serverī: (Install-WindowsFeature BitLocker-NetworkUnlock).
3. Sertifikātu infrastruktūras konfigurēšana: Izveidojiet piemērotu sertifikāta veidni tīkla atbloķēšanai uzņēmuma sertifikācijas iestādē (CA), ievērojot oficiālos ieteikumus (aprakstošs nosaukums, atbalsts privātās atslēgas eksportēšanai, OID 1.3.6.1.4.1.311.67.1.1 paplašinājuma izmantošana utt.).
4. Izsniegt un eksportēt sertifikātu: Eksportējiet .cer (publiskās atslēgas) un .pfx (privātās atslēgas) failus un uzmanīgi tos izplatiet.
5. Importējiet sertifikātu WDS serverī: Vietējā datora sertifikātu konsoles mapē “BitLocker diska šifrēšanas tīkla atbloķēšana”.
6. Izplatīt sertifikātu starp klientiem: Izmantojot GPO, importējiet .cer sertifikātu atbilstošajos grupas politikas iestatījumos.
7. Konfigurējiet GPO uz “Atļaut tīkla atbloķēšanu startēšanas laikā” un pieprasiet PIN blakus TPM: Iestatiet arī politiku “Pieprasīt TPM startēšanas PIN”, piespiežot kombinēt PIN un tīkla atbloķēšanas izmantošanu.
8. Pārliecinieties, vai politika sasniedz klientus un vai viņi restartējas, lai izmaiņas tiktu lietotas.
9. Pārbaudiet tīkla ielādi (izmantojot Ethernet kabeli) un automātisko autentifikāciju, izmantojot tīkla atbloķēšanu.

Bieži sastopamo problēmu novēršana un drošības paraugprakse

BitLocker iestatīšana ar tīkla atbloķēšanu nav bez iespējamām problēmām. Šeit ir sniegti galvenie ieteikumi un problēmu novēršanas darbības:

• Pārliecinieties, vai jūsu primārais tīkla adapteris atbalsta DHCP un vai tam ir iespējots.
• Pārbaudiet UEFI programmaparatūras saderību (versija, vietējais režīms, bez CSM).
• Pārbaudiet, vai WDS pakalpojums ir palaists un darbojas pareizi.
• Apstiprina sertifikātu publicēšanu un derīgumu serverī un klientos. Pārbauda gan sertifikātu konsoli, gan reģistru (FVE_NKP atslēga).
• Pārliecinieties, vai grupas politikas ir pareizi lietotas vēlamajām organizatoriskajām vienībām.
• Pārbauda BitLocker un WDS notikumu žurnālus, lai atrastu kļūdu ziņojumus vai brīdinājumus.

Noteikti regulāri dublējiet atkopšanas atslēgas un uzraugiet izmaiņas datora aparatūrā vai programmaparatūrā, jo tās var izraisīt nepieciešamību ievadīt atkopšanas atslēgu pat tad, ja esat konfigurējis tīkla sāknēšanu.

Fiksētu un noņemamu datu disku šifrēšanas iespējas

BitLocker ne tikai aizsargā sistēmas disku, bet arī nodrošina pilnīgu aizsardzību fiksētiem datu diskiem un noņemamiem diskiem (BitLocker To Go). No grupas politikām varat definēt īpašas politikas katram sējuma tipam:

• Piespiedu šifrēšana pirms rakstīšanas piekļuves atļaušanas.
• Definējiet šifrēšanas algoritmu katram diska tipam.
• Kontrolējiet paroļu vai viedkaršu izmantošanu datu atbloķēšanai.
• Paslēpt vai parādīt atkopšanas opcijas iestatīšanas vednī.

Noņemamiem diskiem varat liegt rakstīšanas piekļuvi ierīcēm, kas konfigurētas citā organizācijā, izmantojot unikālus identifikatorus, kas iestatīti jūsu domēna politikās.

Vispārīga pārvaldība un darbības: BitLocker apturēšana, atsākšana, atiestatīšana un atspējošana

BitLocker ikdienas pārvaldība ietver funkcijas, kas ļauj īslaicīgi apturēt aizsardzību, atsākt aizsardzību, mainīt aizsardzības (PIN, parole, atkopšanas atslēga), atiestatīt atslēgas un atspējot šifrēšanu, ja nepieciešams.

• BitLocker apturēšana: Noderīgi pirms aparatūras izmaiņām, BIOS/programmatūras atjauninājumiem vai apkopes. No vadības paneļa vai komandrindas (PowerShell vai manage-bde.exe).
• Restartējiet BitLocker: Kad apkope ir pabeigta, ir svarīgi atkārtoti aktivizēt aizsardzību, izmantojot to pašu izvēlni vai komandu.
• Atiestatīt PIN kodu vai paroli: Ja aizmirstat PIN kodu, varat to atiestatīt, izmantojot atkopšanas atslēgu. Komanda manage-bde -changepin X ļauj mainīt PIN kodu tieši no komandrindas.
• Atspējot BitLocker: Šī opcija uzsāk datu atšifrēšanas procesu. Tā jāizmanto tikai tad, ja aizsardzība vairs nav nepieciešama vai organizatoriskām prasībām.
• Atgūšana pēc pazaudētām akreditācijas datiem: Ja pazaudējat PIN kodu vai paroli, atkopšanai ir nepieciešama 48 ciparu atkopšanas atslēga, kas ir saglabāta tiešsaistē vai uz papīra.

Automatizācija un skriptēšana: PowerShell un manage-bde.exe

Masveida izvietošanu un papildu pārvaldības uzdevumus var vienkāršot, izmantojot PowerShell skriptus vai komandu manage-bde.exe.

Piemēram:

• Iespējojiet BitLocker ar TPM un PIN aizsargu:
• $SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force; Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector
• Pārbaudiet BitLocker statusu:
• manage-bde.exe -status C:
• Pārvaldiet galvenos aizsargus:
• manage-bde.exe -protectors -add -sid <usuario o grupo>
• Noņemt aizsargus:
• manage-bde.exe -protectors -delete C: -type TPMandPIN

Apsvērumi par veiktspēju, saderību un labāko praksi

BitLocker ir optimizēts, lai samazinātu veiktspējas ietekmi uz mūsdienu datoriem, īpaši izmantojot XTS-AES 256 bitu un aparatūras paātrinātu šifrēšanu.

• Pilnīga diska šifrēšana vecākos datoros patērē vairāk laika un resursu; Tikai izmantotās vietas šifrēšana ir ātrāka un piemērotāka jaunām instalācijām.
• Saderības režīms ļauj šifrēt diskus un izmantot tos vecākās sistēmās, bet ar zemāku drošības līmeni.
• TPM, PIN un tīkla atbloķēšanas kombinācija ne tikai maksimāli palielina aizsardzību, bet arī atvieglo centralizētu pārvaldību lielās organizācijās.
• Vienmēr glabājiet atkopšanas atslēgas drošā sistēmā un pārbaudiet atkopšanas atslēgas pirms BitLocker ieviešanas plašā mērogā.