Восстановление диска, защищенного шифрованием BitLocker, может выполнить агент восстановления данных, настроенный с использованием надлежащего сертификата. Прежде чем настраивать агент восстановления для диска, необходимо добавить агент восстановления данных из группы Политики открытого ключа либо в консоль управления групповыми политиками, либо в редактор локальных групповых политик. Необходимо также включить и настроить параметр политики Указать уникальные идентификаторы для организации, чтобы связать уникальный идентификатор с новым диском, поддерживающим шифрование BitLocker. Поля идентификации необходимы для управления агентами восстановления данных на дисках, защищенных шифрованием BitLocker. BitLocker управляет агентами восстановления данных и обновляет их только тогда, когда поле идентификации представлено на диске и соответствует значению, настроенному на компьютере.

Требования к сертификатам

Сертификат, используемый для шифрования диска с помощью BitLocker, должен соответствовать следующим требованиям к использованию ключа и расширенному использованию ключа.

  • Атрибут использования ключа должен либо не иметь значения, либо иметь значение «Шифрование ключей» или одно из следующих значений использования ключа:

    CERT_DATA_ENCIPHERMENT_KEY_USAGE

    CERT_KEY_AGREEMENT_KEY_USAGE

    CERT_KEY_ENCIPHERMENT_KEY_USAGE

  • Атрибут расширенного использования ключа должен либо не иметь значения, либо иметь одно из следующих значений:

    1.3.6.1.4.1.311.67.1.1

    Любой идентификатор объекта расширенного использования ключей, поддерживаемый центром сертификации.

По умолчанию идентификатор объекта BitLocker имеет значение 1.3.6.1.4.1.311.67.1.1. С помощью групповой политики это значение можно изменить, например, чтобы использовать существующий сертификат совместно с BitLocker. Если сертификат относится к агенту восстановления данных и используется только для восстановления данных, защищенных шифрованием BitLocker, рекомендуется задать для него также один из этих атрибутов, но это не обязательно. При добавлении агента восстановления данных на диск проверка сертификата не осуществляется.

Настройка агента восстановления данных и поля идентификации для BitLocker

В приведенных ниже процедурах описывается, как настроить агент восстановления данных и поле идентификации для BitLocker.

Для выполнения этих процедур необходимо быть, как минимум, членом группы Администраторы локальной системы.

Настройка агента восстановления данных

  1. Откройте консоль управления групповыми политиками или редактор локальных групповых политик.

  2. В дереве консоли в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики открытого ключа щелкните правой кнопкой мыши пункт Шифрование диска BitLocker.

  3. Щелкните элемент Добавить агент восстановления данных, чтобы запустить мастер добавления агента восстановления. Нажмите кнопку Далее.

  4. На странице Выбор агентов восстановления щелкните Обзор папок и выберите CER-файл, который будет использоваться в качестве агента восстановления данных. Выбранный файл импортируется и появляется в списке Агенты восстановления мастера. Можно указать несколько агентов восстановления данных. Указав все нужные агенты восстановления данных, нажмите кнопку Далее.

  5. На странице Завершение мастера добавления агента восстановления мастера отображается список агентов восстановления данных, добавляемых в групповую политику. Нажмите кнопку Готово, чтобы подтвердить выбор агентов восстановления и закрыть мастер.

После закрытия мастера агенты восстановления данных появляются в области сведений.

Настройка поля идентификации

  1. В консоли управления групповыми политиками или редакторе локальных групповых политик разверните дерево консоли до узла Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker, а затем щелкните Шифрование диска BitLocker, чтобы показать параметры политики.

  2. В области сведений дважды щелкните параметр политики Указать уникальные идентификаторы для организации.

  3. Нажмите кнопку Включить. В поле Поле идентификации BitLocker введите поле идентификации для организации.

  4. Нажмите кнопку ОК, чтобы применить и закрыть параметр политики.

Примечание

Дискам, которые были зашифрованы с помощью BitLocker до настройки поля идентификации, не назначаются агенты восстановления данных из-за отсутствия поля идентификации. Задать поле идентификации на ранее зашифрованных дисках можно с помощью инструментария управления Windows (WMI) или программы командной строки Manage-bde. При использовании утилиты Manage-bde для поля идентификации задается значение, указанное в параметре политики Указать уникальные идентификаторы для организации. Дополнительные сведения об использовании WMI или утилиты Manage-bde см. на странице http://go.microsoft.com/fwlink/?LinkId=143347 (может быть на английском языке).