Данная технология предназначена для шифрования данных на съемных носителях для защиты от разглашения в случае кражи самих носителей. Для расшифровывания зашифрованных данных используется пароль или смарт-карта, а в случае если пользователь забыл пароль (потерял смарткарту), он может воспользоваться паролем восстановления данных, записанным отдельно в виде файла либо сохраненным в Active Directory.
Альтернативный метод восстановления – Data Recovery Agent, с помощью которого можно зашифровать все переносные устройства с учетом единого ключа доступа, которым впоследствии можно открыть любое зашифрованное на предприятии устройство.
Управление BitLocker To Go в корпоративной среде может быть осуществлено при помощи групповых политик.
Как это работает?
Для шифрования сменного диска достаточно нажать на его значке в окне «Мой компьютер» правой клавишей и выбрать «Включить BitLocker» (рис.1).
Рисунок 1 Включить BitLocker
Для управления BitLocker To Go можно использовать локальные групповые политики. Для этого необходимо в командной строке набрать gpedit.msc и включить консоль управления локальными групповыми политиками.
Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Шифрование диска BitLocker – Съемные диски с данными. (рис.2).
Параметры локальной групповой политики
Управление использованием BitLocker для съемных дисков
Если этот параметр задан, пользователи могут применять BitLocker для съемных дисков.
Если отключить этот параметр, пользователи не могут применять BitLocker для съемных дисков.
Настроить использование смарт-карт на съемных дисках с данными
Этот параметр политики позволяет определять возможность использования смарт-карт для проверки подлинности доступа пользователей к съемным дискам с данными, защищенными с помощью BitLocker на компьютере.
Запретить запись на съемные диски, не защищенные BitLocker
При включении этого параметра все съемные диски, не защищенные BitLocker, подключаются как доступные только для чтения. Если диск защищен с помощью BitLocker, он подключается с доступом для чтения и записи.
Разрешить доступ к съемным дискам, защищенным с помощью BitLocker, из более ранних версий Windows
Если этот параметр включен или не задан, съемные диски с данными, форматированные с файловой системой FAT можно разблокировать на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с SP3 и Windows XP с SP2, а их содержимое можно просматривать. У этих операционных систем есть доступ только для чтения к дискам, защищенным с помощью BitLocker.
Настроить использование паролей для съемных дисков с данными
Этот параметр политики определяет, требуется ли пароль для разблокировки съемных дисков с данными, защищенными с помощью Bitlocker. Если разрешить использование пароля, можно сделать его обязательном, установить требования к его сложности и задать минимальную длину пароля. Для активации параметра требований к сложности следует включить параметр групповой политики «Пароли должны соответствовать требованиям к сложности», размещенный в разделе Конфигурация компьютераПараметры WindowsПараметры безопасностиПолитики учетной записиПолитика паролей.
Выбор методов восстановления съемных дисков, защищенных с помощью BitLocker Этот параметр политики позволяет управлять восстановлением съемных дисков с данными, защищенных с помощью BitLocker, в случае отсутствия необходимых учетных данных. Этот параметр политики применяется только при включенном BitLocker.