bitlocker восстановить по коду ключа
Как восстановить файлы, зашифрованные BitLocker
Шифрование BitLocker, созданное компанией Microsoft всегда заставляет Вас позаботиться о создании ключа восстановления, если Вы решите воспользоваться BitLocker для одного из дисков системы. Вы можете распечатать ключ восстановления, сохранить ее в файл, или хранить его в Интернете с помощью учетной записи Microsoft. Если BitLocker диск не разблокируется автоматически, восстановление лиска с помощью ключа является единственным вариантом, который позволит Вам получить зашифрованные данные на диске.
А что делать, если ключ восстановления утрачен? Как получить доступ к жёсткому диску компьютера, если Вы забыли пароль или PIN-код? Давайте разберёмся с этой проблемой. Инструкция будет также полезна, если Вы хотите удалить шифрование BitLocker на диске или открыть его на другом компьютере. Причём, если модуля TPM нет на компьютере, то Вам потребуется ключ восстановления.
Где искать свой ключ восстановления
Если Вы не можете найти свой ключ восстановления, попытайтесь вспомнить, когда Вы настраивали BitLocker, Вам было предложено три варианта: распечатать ключ, сохранить его в файл или загрузить ключ восстановления BitLocker в Вашу учетную запись Microsoft.
Так или иначе, но Вы выбрали один из этих вариантов.
Чтобы получить ключ восстановления, который был загружен в Вашу учётную запись Microsoft, перейдите по ссылке на страницу OneDrive Ключи восстановления BitLocker и войдите в систему с той же учетной записью Microsoft, что и во время сохранения ключа. Вы увидите ключ, если загружали его. Если Вы не видите ключ, попробуйте войти с помощью другой учетной записи Microsoft.
Если есть у Вас несколько ключей восстановления, можно использовать идентификатор ключа, отображаемый на экране BitLocker на компьютере, и сопоставить его с идентификатором ключа, который появляется на веб-странице. Это поможет Вам определить правильный ключ.
Если ваш компьютер подключен к домену, обратитесь к администратору домена, чтобы получить ключ восстановления.
Компьютер не разблокируется при загрузке системы
Системные диски, зашифрованные с помощью BitLocker, обычно автоматически разблокируется при загрузке системы с помощью встроенного модуля ТРМ. Если модуль ТРМ разблокировки выходит из строя, Вы увидите экран с ошибкой BitLocker recovery, который просит Вас «Введите ключ восстановления для этого диска«. Если Вы настроили свой компьютер запрашивать пароль, PIN, USB-накопитель или смарт-карту каждый раз при загрузке, Вы увидите тот же экран разблокировки. Если Вы не знаете пароль для входа, нажмите клавишу Esc, чтобы запустить процесс восстановления BitLocker.
Введите ключ восстановления, чтобы продолжить. Это позволит разблокировать системный диск и Ваш компьютер продолжит загрузку далее в обычном режиме.
Идентификатор ключа зашифрованного диска, отображаемый в окне восстановления, поможет Вам определить правильный ключ восстановления, если у вас несколько ключей восстановления.
Разблокируем диски D, E и так далее в среде Windows
Описанный выше метод поможет Вам разблокировать системный диск и любые другие диски, которые заблокированы во время процесса загрузки системы.
Однако, Вам может понадобиться разблокировать зашифрованный BitLocker диск в самой Windows. Возможно, у Вас есть внешний диск или флешка с шифрованием BitLocker и они не открываются, или, возможно, Вы решили использовать зашифрованный BitLocker диск на другом компьютере.
Чтобы разблокировать диск, сначала подключите диск к компьютеру. Откройте панель управления и далее перейдите по адресу Система и безопасность > Шифрование диска BitLocker. Замечу, что BitLocker доступен только на профессиональных изданиях Windows.
Найдите нужный диск в окне BitLocker и нажмите ссылку Разблокировать диск рядом с ним.
Вам будет предложено ввести пароль, PIN-код или иной способ аутентификации, в зависимости что было выбрано в момент шифрования диска. Если Вы не знаете пароль или у Вас нет смарт-карты (если диск защищён ею), выберите Дополнительные параметры > Введите ключ восстановления.
Введите ключ восстановления для разблокирования диска. После ввода ключа восстановления, диск разблокируется и Вы сможете получить доступ ко всем файлам на нем. Идентификатор зашифрованного диска, отображаемый в окне восстановления, поможет Вам определить правильный ключ восстановления, если у вас несколько ключей восстановления.
Если ваш компьютер отображает ошибки BitLocker каждый раз при загрузке системы или Вам понадобилось получить доступ к диску, зашифрованному на другом компьютере, всегда нужно помнить, что получить доступ к диску можно практически всегда, если Вы знаете ключ восстановления.
BitLocker: использование средства просмотра пароля восстановления BitLocker
Область применения
В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать средство просмотра пароля восстановления в BitLocker.
Средство просмотра паролей для восстановления BitLocker является необязательным средством, включенным в инструменты администрирования удаленного сервера (RSAT). Он позволяет находить и просматривать пароли восстановления BitLocker, хранимые в службах домена Active Directory (AD DS). С помощью этого средства можно восстанавливать данные на диске, зашифрованном с помощью BitLocker. Средство просмотра паролей bitLocker Active Directory является расширением для оснастки пользователей Active Directory и компьютеров Microsoft Management Console (MMC). С помощью этого средства можно просмотреть диалоговое окно свойства объекта компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker. Кроме того, вы можете щелкнуть контейнер домена правой кнопкой мыши, а затем искать пароль восстановления BitLocker на всех доменах в лесу Active Directory. Вы также можете искать пароль по идентификатору пароля (ID).
Прежде чем начать
Чтобы завершить процедуры в этом сценарии:
В следующих процедурах описываются наиболее распространенные задачи, выполняемые с помощью просмотра паролей для восстановления BitLocker.
Просмотр паролей восстановления для компьютера
Копирование паролей восстановления для компьютера
Поиск пароля восстановления с помощью ИД пароля
Восстановление BitLocker: известные проблемы
В этой статье описываются распространенные проблемы, которые могут помешать BitLocker вести себя так, как ожидалось при восстановлении диска, или что может привести к неожиданному началу восстановления BitLocker. В статье содержится руководство по устранению этих проблем.
В этой статье «пароль восстановления» ссылается на 48-значный пароль восстановления, а «ключ восстановления» — на 32-значный ключ восстановления. Дополнительные сведения см. в дополнительных сведениях о защитниках ключей BitLocker.
Windows подсказок для несуществуемого пароля восстановления BitLocker
Windows подсказок для пароля восстановления BitLocker. Однако пароль восстановления BitLocker не был настроен.
Разрешение
В задаваемой проблеме BitLocker и Active Directory Domain Services (AD DS) решаются ситуации, которые могут привести к этому симптому, и предоставляется информация о том, как устранить проблему:
Пароль восстановления для ноутбука не был восстановлен, и ноутбук заблокирован
У вас есть Windows или Windows 10 Домашняя ноутбук, и вы должны восстановить его жесткий диск. Диск был зашифрован с помощью шифрования драйвера BitLocker. Однако пароль восстановления BitLocker не был восстановлен, и обычный пользователь ноутбука не может предоставить пароль.
Разрешение
Вы можете использовать любой из следующих методов для ручного восстановления или синхронизации существующей информации о восстановлении клиента в Интернете:
Создайте Windows инструментов управления (WMI), который будет создавать дополнительные сведения. Дополнительные сведения см. в сообщении поставщика шифрования дисков BitLocker.
В окне Командная подсказка с повышенными уровнями используйте команду manage-bde для обратного использования данных.
Например, чтобы выполнить back up all of the recovery information for the C: drive to AD DS, open an elevated Command Prompt window and run the following command:
BitLocker не управляет этим процессом резервного копирования автоматически.
Планшетные устройства не поддерживают использование manage-bde-forcerecovery для тестирования режима восстановления
У вас есть планшетное или шиферное устройство, и вы пытаетесь протестировать восстановление BitLocker, подав следующую команду:
Однако после ввода пароля восстановления устройство не может запуститься.
Причина
Планшетные устройства не поддерживают команду manage-bde-forcerecovery.
Эта проблема возникает из-за того Windows менеджер загрузки не может обрабатывать сенсорный ввод на этапе предварительной загрузки запуска. Если boot Manager обнаруживает, что устройство является планшетом, он перенаправляет процесс запуска в Windows среды восстановления (WinRE), которая может обрабатывать сенсорный ввод.
Если WindowsRE обнаруживает протектор TPM на жестком диске, он делает повторное окно PCR. Однако команда manage-bde-forcerecovery удаляет защитники TPM на жестком диске. Таким образом, WinRE не может повторно переопроверять PCRs. Этот сбой запускает бесконечный цикл восстановления BitLocker и Windows запуска.
Это поведение по дизайну для всех версий Windows.
Обходной путь
Чтобы устранить цикл перезагрузки, выполните следующие действия:
После установки обновлений прошивки UEFI или TPM на Surface BitLocker подсказок для пароля восстановления
У вас есть устройство Surface, включающее шифрование диска BitLocker. Вы обновляете прошивку TPM устройства или устанавливаете обновление, которое меняет подпись прошивки системы. Например, вы устанавливаете обновление Surface TPM (IFX).
На устройстве Surface вы испытываете один или несколько следующих симптомов:
Причина
Эта проблема возникает, если TPM устройства Surface настроен на использование значений реестра конфигурации платформы (PCR), помимо значений PCR 7 и PCR 11 по умолчанию. Например, следующие параметры могут настроить TPM следующим образом:
Устройства, поддерживают подключение к режиму ожидания (также известные как InstantGO или Always On, всегдаподключенные компьютеры), включая устройства Surface, должны использовать PCR 7 TPM. В конфигурации по умолчанию в таких системах BitLocker связывается с PCR 7 и PCR 11, если правильно настроены PCR 7 и Secure Boot. Дополнительные сведения см. в странице «О реестре конфигурации платформы (PCR)» в группе BitLocker policy Параметры).
Разрешение
Чтобы проверить значения PCR, которые используются на устройстве, откройте окно Командная подсказка и запустите следующую команду:
В этой команде операционной системы.
Чтобы устранить эту проблему и отремонтировать устройство, выполните следующие действия.
Шаг 1. Отключите защитники TPM на накопителе загрузки
Если установлено обновление TPM или UEFI, и устройство не может запуститься, даже если вы введите правильный пароль восстановления BitLocker, вы можете восстановить возможность начать с помощью пароля восстановления BitLocker и изображения восстановления Surface для удаления протекторов TPM с загрузочного диска.
Для этого выполните следующие действия:
Дополнительные сведения об использовании этой команды см. в пункте manage-bde: unlock.
После отключения протекторов TPM шифрование диска BitLocker больше не защищает ваше устройство. Чтобы повторно включить шифрование диска BitLocker, выберите Начните, введите Управление BitLockerи нажмите кнопку Ввод. Выполните действия по шифрованию диска.
Шаг 2. Использование surface BMR для восстановления данных и сброса устройства
Чтобы восстановить данные с устройства Surface, если вы не можете Windows, выполните шаги 1-5 шага 1, чтобы вернуться в окно Командная подсказка, а затем выполните следующие действия:
В командной подсказке запустите следующую команду:
В этой команде находится пароль восстановления BitLocker, полученный на шаге 1 шага 1, и является буквой диска, назначенной диску операционной системы.
После разблокировки диска используйте команду копирования или xcopy для копирования пользовательских данных на другой диск.
Дополнительные сведения об этих командах см. в Windows.
Чтобы сбросить устройство с помощью образа восстановления Surface, выполните инструкции в разделе «Как сбросить поверхность с помощью usb-накопителя восстановления» в разделе Создание и использование накопителя восстановления USB.
Шаг 3. Восстановление значений PCR по умолчанию
Чтобы предотвратить повторение этой проблемы, настоятельно рекомендуется восстановить конфигурацию безопасной загрузки по умолчанию и значения PCR.
Чтобы включить безопасную загрузку на устройстве Surface, выполните следующие действия:
Чтобы сбросить параметры PCR в TPM, выполните следующие действия:
Отключите любые объекты групповой политики, которые настраивают параметры PCR, или удалите устройство из любых групп, которые исполняют такие политики.
Подробнее: Параметры групповой политики BitLocker.
Приостановка BitLocker. Для этого откройте окно повышенной Windows PowerShell и запустите следующий cmdlet:
где это письмо, назначенное вашему диску.
Запустите следующий cmdlet:
Step 4: Suspend BitLocker during TPM or UEFI firmware updates
You can avoid this scenario when you install updates to system firmware or TPM firmware by temporarily suspending BitLocker before you apply such updates.
TPM and UEFI firmware updates may require multiple restarts while they install. To keep BitLocker suspended during this process, you must use Suspend-BitLocker and set the Reboot Count parameter to either of the following values:
To suspend BitLocker while you install TPM or UEFI firmware updates:
Чтобы повторно включить шифрование диска BitLocker, выберите Начните, введите Управление BitLockerи нажмите кнопку Ввод. Выполните действия по шифрованию диска.
После установки обновления на компьютер с поддержкой Hyper V BitLocker подсказок для пароля восстановления и возвращает 0xC0210000
У вас есть устройство, Windows 11, Windows 10 версии 1703, Windows 10, версии 1607 или Windows Server 2016. Кроме того, Hyper-V включен на устройстве. После установки затронутой версии и перезапуска устройства устройство вступает в режим восстановления BitLocker, и вы увидите код ошибки 0xC0210000.
Обходной путь
Если устройство уже находится в этом состоянии, вы можете успешно Windows после приостановки BitLocker из среды восстановления Windows (WinRE). Для этого выполните следующие действия:
Извлеките 48-значный пароль восстановления BitLocker для диска операционной системы с портала организации или из того места, где пароль был сохранен при первом включении шифрования диска BitLocker.
На экране Восстановления нажмите кнопку Ввод. При запросе введите пароль восстановления.
Если устройство запускается в (WinRE) и снова подсказывало пароль восстановления, выберите Пропустить диск.
Выберите дополнительные параметры > Устранение > проблем расширенных параметров > Командная подсказка.
В окне Командная подсказка запустите следующие команды:
Эти команды разблокировать диск, а затем приостановить BitLocker, отключив защитники TPM на диске. Последняя команда закрывает окно Командная подсказка.
Эти команды приостанавливать BitLocker для одного перезапуска устройства. Параметр -rc 1 работает только в операционной системе и не работает в среде восстановления.
Выберите пункт Продолжить. Windows начать.
После Windows откройте окно командной подсказки и запустите следующую команду:
Если вы не приостанавливали BitLocker перед запуском устройства, эта проблема повторяется.
Чтобы временно приостановить работу BitLocker перед перезапуском устройства, откройте окно командной подсказки и запустите следующую команду:
Разрешение
Чтобы устранить эту проблему, установите соответствующее обновление на затронутом устройстве:
Credential Guard/Device Guard на TPM 1.2. При каждом перезапуске BitLocker подсказывая пароль восстановления и возвращает ошибку 0xC0210000
У вас есть устройство, использующее TPM 1.2 и Windows 10, версия 1809 или Windows 11. Кроме того, устройство использует функции безопасности на основе виртуализации, такие как Device Guard и Credential Guard. Каждый раз при запуске устройства устройство вступает в режим восстановления BitLocker, и вы видите код ошибки 0xc0210000 и сообщение, напоминающее следующее.
Компьютер и устройство необходимо отремонтировать. Не удалось получить доступ к необходимому файлу, так как клавиша BitLocker была загружена неправильно.
Код ошибки 0xc0210000
Вам потребуется использовать средства восстановления. Если у вас нет средств установки (например, диска или USB-устройства), обратитесь к администратору ПК или производителю ПК и устройств.
Причина
Дополнительные сведения об этой технологии см. в Защитник Windows System Guard: как корневое доверие на основе оборудования помогает защитить Windows
Разрешение
Чтобы устранить эту проблему, сделайте одно из следующих:
FaQ управления ключами BitLocker
Область применения
Как проверить подлинность или разблокировать съемный диск данных?
Можно разблокировать съемные диски данных с помощью пароля, смарт-карты или настроить протектор SID для разблокировки диска с помощью учетных данных домена. После начала шифрования диск также можно автоматически разблокировать на определенном компьютере для определенной учетной записи пользователя. Системные администраторы могут настраивать доступные для пользователей параметры, а также сложность пароля и минимальные требования к длине. Чтобы разблокировать с помощью протектора SID, используйте Manage-bde:
В чем разница между паролем восстановления, ключом восстановления, PIN-кодом, защищенным PIN-кодом и ключом запуска?
Таблицы с перечислением и описанием элементов, таких как пароль восстановления, ключ восстановления и PIN-код, см. в разделах Средства защиты ключа BitLocker и Методы проверки подлинности BitLocker.
Где хранить пароль восстановления и ключ восстановления?
Пароль восстановления или ключ восстановления для диска операционной системы или несъемного диска с данными можно сохранить в папке, на одном или нескольких USB-устройствах, в своей учетной записи Майкрософт или распечатать.
Пароль восстановления и ключ восстановления для съемных дисков с данными можно сохранить в папке или учетной записи Майкрософт, а также распечатать. По умолчанию ключ восстановления для съемного носителя невозможно хранить на съемном носителе.
Администратор домена может дополнительно настроить групповую политику для автоматического создания паролей восстановления и хранения их в службах домена Active Directory (ADDS) для любого диска с защитой BitLocker.
Можно ли добавить дополнительный метод проверки подлинности без расшифровки диска, если включен только метод проверки подлинности на основе доверенного платформенного модуля?
С помощью программы командной строки Manage-bde.exe можно заменить режим проверки подлинности, в котором используется только доверенный платформенный модуль, на режим многофакторной проверки подлинности. Например, если для BitLocker используется только проверка подлинности с помощью доверенного платформенного модуля, и вы хотите добавить проверку подлинности с помощью ПИН-кода, выполните указанные ниже команды в командной строке с правами администратора, заменив 4–20-значный числовой ПИН-код числовым ПИН-кодом, который вы хотите использовать.
Когда следует рассматривать дополнительные метод проверки подлинности?
Благодаря использованию нового оборудования, соответствующего требованиям программы совместимости оборудования с Windows, PIN-код перестает быть критически важным средством защиты, и наличия доверенного платформенного модуля, скорее всего, будет достаточно при условии использования таких политик, как блокировка устройства. Например, в устройствах Surface Pro и Surface Book отсутствуют внешние порты DMA, через которые возможны атаки. Если используется более старое оборудование, для которого может потребоваться PIN-код, рекомендуем включать функцию улучшенные ПИН-коды, которая позволяет применять нецифровые символы, например буквы и знаки препинания, а также выбирать длину PIN-кода в зависимости от допустимого риска и способности вашего оборудования противодействовать подбору паролей, доступной для доверенных платформенных модулей на вашем компьютере.
Можно ли восстановить данные, защищенные BitLocker, если утрачены сведения, необходимые для восстановления?
Компонент BitLocker разработан так, что зашифрованный диск невозможно восстановить, минуя обязательную проверку подлинности. В режиме восстановления для разблокировки зашифрованного диска пользователю необходим пароль восстановления или ключ восстановления.
Храните сведения о восстановлении в ADDS вместе с учетной записью Майкрософт или другом безопасном расположении.
Можно ли хранить ключ восстановления на том же USB-устройстве флэш-памяти, на котором хранится ключ запуска?
Хранение обоих ключей на одном USB-устройстве флэш-памяти технически возможно, но не рекомендуется. В случае утери или кражи USB-устройства флэш-памяти с ключом запуска также теряется доступ к ключу восстановления. Кроме того, при вставке такого ключа произойдет автоматическая загрузка компьютера по ключу восстановления, даже если изменились файлы, показатели которых определяются доверенным платформенным модулем, и проверка целостности системы не будет выполнена.
Можно ли хранить ключ запуска на нескольких USB-устройствах флэш-памяти?
Да, ключ запуска компьютера можно хранить на нескольких USB-устройствах флэш-памяти. Щелкните правой кнопкой мыши диск, защищенный BitLocker, и выберите команду Управление BitLocker, чтобы открыть параметры для копирования ключей восстановления.
Можно ли хранить несколько разных ключей запуска на одном USB-устройстве флэш-памяти?
Да, на одном USB-устройстве флэш-памяти можно хранить ключи запуска BitLocker для разных компьютеров.
Можно ли создать несколько различных ключей запуска для одного компьютера?
С помощью сценариев можно создать разные ключи запуска для одного компьютера. Но для компьютеров с доверенным платформенным модулем создание разных ключей запуска не позволяет BitLocker использовать проверку целостности системы, которую выполняет этот модуль.
Можно ли создавать несколько сочетаний ПИН-кода?
Создавать несколько сочетаний ПИН-кода невозможно.
Какие ключи шифрования применяются в BitLocker? Как происходит их совместная работа?
Необработанные данные шифруются полным ключом шифрования тома, который затем шифруется основным ключом тома. Основной ключ тома, в свою очередь, шифруется при помощи одного из нескольких возможных методов в зависимости от типа проверки подлинности (с использованием предохранителей ключа или доверенного платформенного модуля) и сценариев восстановления.
Где хранятся ключи шифрования?
Полный ключ шифрования тома шифруется основным ключом тома и хранится на зашифрованном диске. Основной ключ тома шифруется подходящим предохранителем ключа и хранится на зашифрованном диске. Если защита BitLocker приостанавливается, то незащищенный ключ, которым шифруется основной ключ тома, также хранится на зашифрованном диске вместе с зашифрованным основным ключом тома.
Такая процедура хранения гарантирует, что основной ключ тома никогда не хранится без шифрования и всегда защищен, если не отключено шифрование BitLocker. Ключи также сохраняются в двух дополнительных расположениях на диске для обеспечения избыточности. Диспетчером загрузки может считывать и обрабатывать ключи.
Почему для ввода ПИН-кода или 48-значного пароля восстановления нужно использовать функциональные клавиши?
Клавиши F1–F10 имеют универсальные коды опроса, доступные в предзагрузочной среде на всех компьютерах для всех языков. Клавиши с цифрами от 0 до 9 не используются в предзагрузочной среде на всех клавиатурах.
Если используется улучшенный ПИН-код, пользователям рекомендуется выполнить дополнительную проверку системы в ходе настройки BitLocker, чтобы убедиться, что в предзагрузочной среде можно ввести правильный ПИН-код.
Как BitLocker защищает ПИН-код, снимающий блокировку диска операционной системы, от злоумышленников?
Злоумышленник может узнать ПИН-код при атаке методом подбора. Атака методом подбора выполняется с помощью автоматического средства, которое проверяет различные сочетания ПИН-кода, пока не будет найден правильный код. Для компьютеров, защищенных BitLocker, такой тип взлома, также известный как атака перебором по словарю, требует физического доступа злоумышленника к компьютеру.
Доверенный платформенный модуль обладает встроенными возможностями по выявлению таких атак и противодействию им. Так как в доверенных платформенных модулях различных изготовителей применяются различные меры противодействия взлому ПИН-кода, обратитесь к изготовителю модуля, чтобы определить, как такой модуль на компьютере противодействует взлому ПИН-кода при атаке методом подбора. После определения изготовителя доверенного платформенного модуля свяжитесь с ним, чтобы получить данные о таком модуле, которые может предоставить только его изготовитель. Большинство изготовителей экспоненциально увеличивают время блокировки интерфейса для ввода ПИН-кода с увеличением количества ошибок при его вводе. При этом каждый изготовитель имеет собственные правила в отношении сброса счетчика ошибок или уменьшения его значений.
Как определить производителя своего доверенного платформенного модуля?
Вы можете определить производителя TPM в Защитник Windows безопасности центрабезопасности устройств > **** > **** безопасности.
Как оценить механизм противодействия атакам перебором по словарю, применяемый в доверенном платформенном модуле?
Задайте изготовителю доверенного платформенного модуля следующие вопросы о механизме противодействия атакам перебором по словарю:
Можно ли изменять длину и сложность ПИН-кода с помощью групповой политики?
И да, и нет. Можно задать минимальную длину ПИН-кода в параметре групповой политики Этот параметр политики позволяет установить минимальную длину ПИН-кода для запуска и разрешить использование буквенно-цифровых ПИН-кодов, включив параметр групповой политики Этот параметр политики позволяет разрешить использование улучшенных ПИН-кодов при запуске компьютера. При этом в групповой политике невозможно задать требования к сложности ПИН-кода.