• Статья
  • Чтение занимает 31 мин

Относится к:

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

В этой статье для ИТ-специалистов описывается, как восстановить ключи BitLocker из AD DS.

Организации могут использовать сведения о восстановлении BitLocker, сохраненные в службах домена Active Directory (AD DS), для доступа к данным, защищенным BitLocker. Рекомендуется создать модель восстановления для BitLocker при планировании развертывания BitLocker.

В этой статье предполагается, что вы понимаете, как настроить AD DS для автоматического восстановления bitLocker и какие типы данных восстановления сохраняются в AD DS.

В этой статье не сообщается, как настроить AD DS для хранения данных о восстановлении BitLocker.

Что такое восстановление BitLocker?

Восстановление BitLocker — это процесс восстановления доступа к диску с защитой BitLocker в случае невозможного нормального разблокирования диска. В сценарии восстановления у вас есть следующие параметры для восстановления доступа к диску:

  • Пользователь может предоставить пароль восстановления. Если ваша организация позволяет пользователям печатать или хранить пароли восстановления, пользователь может ввести 48-значный пароль восстановления, который он распечатал или хранил на USB-диске или с учетной записью Microsoft Online. (Сохранение пароля восстановления с учетной записью Microsoft Online разрешено только в том случае, если BitLocker используется на компьютере, который не является членом домена).
  • Агент восстановления данных может использовать свои учетные данные для разблокировки диска. Если диск является диском операционной системы, диск должен быть установлен в качестве диска данных на другом компьютере для агента восстановления данных, чтобы разблокировать его.
  • Администратор домена может получить пароль восстановления от AD DS и использовать его для разблокировки диска. Хранение паролей восстановления в AD DS рекомендуется предоставлять ИТ-специалистам возможность получения паролей восстановления для дисков в организации при необходимости. Этот метод требует включить этот метод восстановления в параметре Групповой политики BitLocker Выберите способ восстановления дисков операционной системы с защитой BitLocker, расположенных в конфигурации компьютераАдминистративные шаблоныWindows КомпонентыBitLocker Drive EncryptionOperating System Drives в редакторе локальной групповой политики. Подробнее: Параметры групповой политики BitLocker.

Что вызывает восстановление BitLocker?

В следующем списке приводятся примеры определенных событий, из-за чего BitLocker вступает в режим восстановления при попытке запустить диск операционной системы:

  • На пк, которые используют шифрование диска BitLocker или на таких устройствах, как планшеты или телефоны, которые используют шифрование устройств BitLocker только при обнаружении атаки, устройство немедленно перезагружается и вступает в режим восстановления BitLocker. Чтобы воспользоваться этой функцией, администраторы **** могут установить пороговое значение групповой политики блокировки учетной записи компьютера в параметре Computer ConfigurationWindows ПараметрыSecurity ПараметрыLocal PoliciesSecurity Options in the Local Group Policy Editor. Или они могут использовать политику MaxFailedPasswordAttempts Exchange ActiveSync (также настраиваемую через Microsoft Intune),чтобы ограничить количество попыток сбойного пароля перед переходом устройства в блокировку устройства.

  • На устройствах с TPM 1.2 изменение порядка загрузки BIOS или прошивки вызывает восстановление BitLocker. Однако устройства с TPM 2.0 не запускают восстановление BitLocker в этом случае. TPM 2.0 не считает изменение порядок загрузки устройства прошивки угрозой безопасности, так как загрузчик загрузки ОС не скомпрометирован.

  • Наличие диска или DVD-диска перед жестким диском в порядке загрузки BIOS, а затем вставка или удаление cd или DVD.

  • Невыполнение загрузки с сетевого диска перед загрузкой с жесткого диска.

  • Стыковка или отстыковка портативного компьютера. В некоторых случаях (в зависимости от производителя компьютера и BIOS) состояние стыковки портативного компьютера является частью системного измерения и должно быть последовательным для проверки состояния системы и разблокирования BitLocker. Поэтому, если портативный компьютер подключен к док-станции при включенной bitLocker, его также может потребоваться подключать к док-станции, когда она будет разблокирована. И наоборот, если портативный компьютер не подключен к док-станции при включении BitLocker, его может потребоваться отключить от станции док-станции, когда она будет разблокирована.

  • Изменения в таблице разделов NTFS на диске, включая создание, удаление или изменение размера основного раздела.

  • Ввод личного идентификационный номер (PIN-код) неправильно слишком много раз, чтобы была активирована логика борьбы с молотком TPM. Логика борьбы с забитым кодом — это программное или аппаратное обеспечение, которые увеличивают сложность и стоимость грубой атаки на ПИН-код, не принимая записи ПИН-кода до тех пор, пока не пройдет определенное время.

  • Отключение поддержки чтения USB-устройства в среде предварительной загрузки из прошивки BIOS или UEFI, если вы используете USB-ключи вместо TPM.

  • Отключение, отключение, отключение или очистка TPM.

  • Обновление критически важных компонентов раннего запуска, таких как обновление прошивки BIOS или UEFI, приводит к изменению связанных измерений загрузки.

  • Забыть ПИН-код при включенной проверке подлинности ПИН-кода.

  • Обновление прошивки ROM параметра.

  • Обновление прошивки TPM.

  • Добавление или удаление оборудования; например, вставка новой карты на компьютере, включая некоторые беспроводные карты PCMIA.

  • Удаление, вставка или полная разрядка батареи Smart Battery в портативном компьютере.

  • Изменения в записи загрузки на диске.

  • Изменения в диспетчере загрузки на диске.

  • Сокрытие TPM от операционной системы. Некоторые параметры BIOS или UEFI можно использовать для предотвращения переоценки TPM в операционную систему. При реализации этот параметр может сделать TPM скрытым от операционной системы. Когда TPM скрыт, безопасный запуск BIOS и UEFI отключен, и TPM не отвечает на команды из любого программного обеспечения.

  • Использование другой клавиатуры, которая неправильно вводит ПИН-код или карта клавиатуры которой не соответствует карте клавиатуры, принятой средой предварительной загрузки. Эта проблема может предотвратить ввод расширенных ПИН-данных.

  • Изменение регистров конфигурации платформы (PCRs), используемых профилем проверки TPM. Например, в том числе PCR[1] bitLocker будет измерять большинство изменений параметров BIOS, в результате чего BitLocker вступает в режим восстановления даже при изменении параметров BIOS без загрузки.

    Примечание

    На некоторых компьютерах есть параметры BIOS, которые пропускают измерения для определенных PCR,например PCR[2]. Изменение этого параметра в BIOS приведет к тому, что BitLocker вступает в режим восстановления, так как измерение PCR будет другим.

  • Перемещение диска с защитой BitLocker в новый компьютер.

  • Обновление материнской платы до новой с помощью нового TPM.

  • Потеря usb-флеш-накопителя, содержащего ключ запуска при включенной проверке подлинности ключа запуска.

  • Сбой самопроверки TPM.

  • Наличие прошивки BIOS, UEFI или компонента ROM параметра, не соответствующего соответствующим соответствующим стандартам группы доверенных вычислений для клиентского компьютера. Например, неустойка в измерениях TPM может записывать волатильные данные (например, время), что приводит к различным измерениям на каждом запуске и вызывает запуск BitLocker в режиме восстановления.

  • Изменение авторизации использования корневого ключа хранилища TPM на ненулевую.

    Примечание

    Процесс инициализации TPM BitLocker задает значение авторизации использования до нуля, поэтому другой пользователь или процесс должны явно изменить это значение.

  • Отключение проверки целостности кода или включение подписи тестов на Windows boot manager (Bootmgr).

  • Нажатие клавиши F8 или F10 во время процесса загрузки.

  • Добавление или удаление надстройки (например, видео или сетевых карт) или обновление прошивки на надстройки.

  • Использование горячего ключа BIOS во время процесса загрузки для изменения порядка загрузки на что-то другое, кроме жесткого диска.

Примечание

Перед началом восстановления рекомендуется определить причину восстановления. Это может помочь предотвратить повторение проблемы в будущем. Например, если вы определите, что злоумышленник изменил компьютер, получив физический доступ, можно создать новые политики безопасности для отслеживания физических участников. После использования пароля восстановления для восстановления доступа к компьютеру BitLocker повторно использует ключ шифрования к текущим значениям измеренных компонентов.

В запланированных сценариях, таких как известные обновления оборудования или прошивки, можно избежать инициации восстановления, временно приостановив защиту BitLocker. Так как приостановка BitLocker оставляет диск полностью зашифрованным, администратор может быстро возобновить защиту BitLocker после завершения запланированной задачи. Использование приостановки и возобновления также повторное использование ключа шифрования без необходимости ввода ключа восстановления.

Примечание

Если приостановка BitLocker автоматически возобновляет защиту при перезагрузке компьютера, если только не задано количество перезагрузок с помощью средства командной строки manage-bde.

Если для обслуживания программного обеспечения требуется перезапуск компьютера, а вы используете двух факторов проверку подлинности, можно включить разблокировку сети BitLocker для предоставления дополнительного фактора проверки подлинности, если на компьютерах нет локального пользователя для предоставления дополнительного метода проверки подлинности.

Восстановление описано в контексте незапланированного или нежелательных поведения, но для управления управлением доступом можно также вызвать восстановление как предполагаемый производственный сценарий. Например, при передиске настольных или портативных компьютеров в другие отделы или сотрудники предприятия можно принудить BitLocker к восстановлению перед тем, как компьютер будет передан новому пользователю.

Тестирование восстановления

Перед созданием тщательного процесса восстановления BitLocker рекомендуется проверить, как работает процесс восстановления как для конечных пользователей (людей, которые звонят в вашу справку для пароля восстановления), так и для администраторов (людей, которые помогают конечному пользователю получить пароль восстановления). Команда -forcerecovery manage-bde — это простой способ пройти процесс восстановления до того, как пользователи столкнутся с ситуацией восстановления.

Принудительное восстановление для локального компьютера:

  1. Выберите кнопку Начните, введите cmd в поле Начните поиск, щелкните правой кнопкой мыши **cmd.exe, **а затем выберите Выполнить в качестве администратора.
  2. В командной подсказке введите следующую команду и нажмите кнопку Ввод:manage-bde -forcerecovery <BitLockerVolume>

Принудительное восстановление удаленного компьютера:

  1. На экране Начните введите **cmd.exe, **а затем выберите Выполнить в качестве администратора.

  2. В командной подсказке введите следующую команду и нажмите кнопку ENTER: manage-bde -ComputerName <RemoteComputerName> -forcerecovery <BitLockerVolume>

    Примечание

    Восстановление, срабатываемая при нескольких перезапусках, сохраняется до тех пор, пока пользователь не добавит протектора TPM или не -forcerecovery приостановит защиту. При использовании современных устройств ожидания (например, устройств Surface) этот параметр не рекомендуется, так как BitLocker придется разблокировать и отключить вручную из среды WinRE, прежде чем осмий сможет загрузиться -forcerecovery снова. Дополнительные сведения см. в выпуске BitLocker Troubleshooting: Continuous reboot loop with BitLocker recovery on a slate device.

Планирование процесса восстановления

При планировании процесса восстановления BitLocker сначала проконсультируйтесь с текущей практикой организации по восстановлению конфиденциальной информации. Например: как ваше предприятие обрабатывает потерянные Windows паролей? Как ваша организация выполняет сброс ПИН-кода смарт-карт? С помощью этих методов и связанных с ними ресурсов (людей и средств) можно сформулировать модель восстановления BitLocker.

Организации, которые используют шифрование дисков BitLocker и BitLocker To Go для защиты данных на большом количестве компьютеров и съемных дисков с операционной системой Windows 11, Windows 10, Windows 8 или Windows 7 операционных систем и Windows Чтобы перейти, следует рассмотреть вопрос об использовании средства администрирования и мониторинга Microsoft BitLocker (MBAM) версии 2.0, которая включена в пакет оптимизации рабочего стола Майкрософт (MDOP) для Microsoft Software Assurance. MBAM упрощает развертывание и управление реализацией BitLocker и позволяет администраторам обеспечить и отслеживать шифрование для операционной системы и фиксированных дисков. MBAM подсказывает пользователю перед шифрованием фиксированных дисков. MBAM также управляет ключами восстановления для фиксированных и съемных дисков, что упрощает управление восстановлением. MBAM можно использовать в рамках развертывания microsoft System Center или в качестве отдельного решения. Дополнительные сведения см. в веб-сайте Microsoft BitLocker Administration and Monitoring.

После начала восстановления BitLocker пользователи могут использовать пароль восстановления для разблокирования доступа к зашифрованным данным. Рассмотрите методы самостоятельного восстановления и восстановления паролей для организации.

При определении процесса восстановления необходимо:

  • Ознакомьтесь с тем, как получить пароль восстановления. См.:

    • Самостоятельное восстановление
    • Восстановление пароля

  • Определите ряд действий для после восстановления, включая анализ причин восстановления и сброс пароля восстановления. См.:

    • Анализ после восстановления

Самостоятельное восстановление

В некоторых случаях у пользователей может быть пароль восстановления в распечатке или флеш-накопителе USB, и они могут самостоятельно восстанавливаться. Мы рекомендуем вашей организации создать политику самостоятельного восстановления. Если самолечение включает использование пароля или ключа восстановления, хранимых на флеш-накопителе USB, пользователям следует предупредить о том, что не следует хранить флеш-накопитель USB в том же месте, что и компьютер, особенно во время поездок, например, если компьютер и элементы восстановления находятся в одной сумке, то несанкционированному пользователю легко получить доступ к компьютеру. Еще одна политика, которую следует учитывать, — связаться с helpdesk пользователями до или после самостоятельного восстановления, чтобы можно было определить корневую причину.

Восстановление пароля

Если у пользователя нет пароля восстановления в распечатке или на флеш-накопителе USB, пользователю необходимо будет получить пароль восстановления из источника в Интернете. Если компьютер является членом домена, пароль восстановления может быть восстановлен до AD DS. Однако это не происходит по умолчанию. Необходимо настроить соответствующие параметры групповой политики до включения BitLocker на компьютере. Параметры групповой политики BitLocker можно найти в редакторе локальной групповой политики или консоли управления групповой политикой (GPMC) под конфигурацией компьютераАдминистративные шаблоныWindows компонентыBitLocker Drive Encryption. В следующих параметрах политики определяются методы восстановления, которые можно использовать для восстановления доступа к диску с защитой BitLocker, если метод проверки подлинности не удается использовать.

  • Выберите, как можно восстановить диски операционной системы с защитой BitLocker
  • Выберите, как можно восстановить фиксированные диски с защитой BitLocker
  • Выберите, как можно восстановить съемные диски с защитой BitLocker

В каждой из этих политик выберите сохранить сведения о восстановлении BitLocker в службы домена Active Directory, а затем выберите сведения о восстановлении BitLocker для хранения в службах домена Active Directory (AD DS). Выберите не включите BitLocker до тех пор, пока сведения о восстановлении не будут храниться в поле AD DS, если вы хотите запретить пользователям включить BitLocker, если компьютер не подключен к домену, а резервное копирование данных о восстановлении BitLocker для диска с AD DS не удастся.

Примечание

Если компьютеры являются частью группы, пользователям рекомендуется сохранить пароль восстановления BitLocker с помощью учетной записи Microsoft Online. Рекомендуется иметь в Интернете копию пароля восстановления BitLocker, чтобы убедиться, что вы не потеряете доступ к данным в случае необходимости восстановления.

Средство просмотра паролей bitLocker для пользователей и компьютеров Active Directory позволяет администраторам домена просматривать пароли восстановления BitLocker для определенных объектов компьютера в Active Directory.

Следующий список можно использовать в качестве шаблона для создания собственного процесса восстановления для восстановления пароля. В этом примере используется средство просмотра паролей bitLocker для пользователей и компьютеров Active Directory.

  • Запись имени компьютера пользователя
  • Проверка удостоверения пользователя
  • Найдите пароль восстановления в AD DS
  • Сбор сведений для определения причин восстановления
  • Дайте пользователю пароль восстановления

Запись имени компьютера пользователя

Вы можете использовать имя компьютера пользователя, чтобы найти пароль восстановления в AD DS. Если пользователь не знает имя компьютера, попросите его прочитать первое **** слово метки диска в пользовательском интерфейсе ввода пароля шифрования bitLocker Drive. Это имя компьютера, когда был включен BitLocker и, вероятно, является текущим именем компьютера.

Проверка удостоверения пользователя

Убедитесь, что запрашивает пароль восстановления действительно авторизованный пользователь этого компьютера. Кроме того, может потребоваться убедиться, что компьютер с именем пользователя принадлежит пользователю.

Найдите объект Computer с совпадающий именем в AD DS. Так как имена объектов Computer перечислены в глобальном каталоге AD DS, вы должны иметь возможность найти объект, даже если у вас есть много доменный лес.

Несколько паролей восстановления

Если несколько паролей восстановления хранятся под компьютерным объектом в AD DS, имя информационного объекта для восстановления BitLocker включает дату создания пароля.

Если в любое время вы не знаете, какой пароль предоставить, или если вы думаете, что предоставляете неправильный пароль, попросите пользователя прочитать восемь код паролей символов, отображающийся на консоли восстановления.

Так как код пароля — это уникальное значение, связанное с каждым паролем восстановления, хранимым в AD DS, при запуске запроса с помощью этого ID будет находиться правильный пароль для разблокировки зашифрованного тома.

Сбор сведений для определения причин восстановления

Прежде чем предоставить пользователю пароль восстановления, необходимо собрать любую информацию, которая поможет определить, почему было необходимо восстановление, чтобы проанализировать корневую причину во время анализа после восстановления. Дополнительные сведения об анализе после восстановления см. в публикации Post-recovery analysis.

Дайте пользователю пароль восстановления

Так как пароль восстановления составляет 48 цифр, пользователю может потребоваться записать пароль, записав его или введя его на другом компьютере. Если вы используете MBAM, пароль восстановления будет восстановлен после его восстановления из базы данных MBAM, чтобы избежать рисков безопасности, связанных с неконтролируемым паролем.

Примечание

Так как 48-значный пароль восстановления длинный и содержит комбинацию цифр, пользователь может ошибться или неправильно напечатать пароль. Консоль восстановления во время загрузки использует встроенные номера проверок для обнаружения ошибок ввода в каждом 6-значном блоке 48-значного пароля восстановления и предоставляет пользователю возможность исправить такие ошибки.

Анализ после восстановления

Когда том разблокирован с помощью пароля восстановления, событие записляется в журнал событий и измерения проверки платформы сбрасываются в TPM, чтобы соответствовать текущей конфигурации. Разблокировка тома означает, что ключ шифрования был выпущен и готов к шифрованию на лету при записи данных в том и расшифровке на лету при считывке данных из тома. После разблокирования тома BitLocker ведет себя одинаково независимо от того, как был предоставлен доступ.

Если вы заметили, что на компьютере повторно разблокирован пароль восстановления, может потребоваться, чтобы администратор выполнял анализ после восстановления, чтобы определить корневую причину проверки платформы BitLocker и обновить ее, чтобы пользователю больше не было необходимости вводить пароль восстановления каждый раз, когда компьютер запускается. См.:

  • Определение первопричины восстановления
  • Обновление защиты BitLocker

Определение первопричины восстановления

Если пользователю необходимо восстановить диск, важно как можно скорее определить причину, которая инициировала восстановление. Правильное анализ состояния компьютера и обнаружение фальсификации могут выявить угрозы, которые имеют более широкие последствия для безопасности предприятия.

Хотя администратор может удаленно исследовать причину восстановления в некоторых случаях, конечному пользователю может потребоваться принести компьютер, содержащий восстановленный диск на сайте, чтобы проанализировать корневую причину далее.

Просмотрите и ответьте на следующие вопросы для организации:

  1. Какой режим защиты BitLocker действует (TPM, TPM + PIN, TPM + клавиша запуска, только ключ запуска)? Какой профиль PCR используется на компьютере?
  2. Пользователь просто забыл ПИН-код или потерял ключ запуска? Если маркер был потерян, где может быть маркер?
  3. Если режим TPM вступил в силу, было ли восстановление вызвано изменением файла загрузки?
  4. Если восстановление было вызвано изменением файла загрузки, было ли изменение предполагаемым действием пользователя (например, обновление BIOS) или вызвано вредоносным программным обеспечением?
  5. Когда последний раз пользователь мог успешно запустить компьютер и что могло произойти с компьютером с тех пор?
  6. Может ли пользователь столкнуться с вредоносным программным обеспечением или оставить компьютер без присмотра после последнего успешного запуска?

Чтобы помочь вам ответить на эти вопросы, используйте средство командной строки BitLocker для просмотра текущего режима конфигурации и защиты (например, manage-bde-status). Сканируйте журнал событий, чтобы найти события, которые помогают указать, почему было начато восстановление (например, если файл загрузки изменился). Обе эти возможности можно выполнять удаленно.

Устранение первопричины

После того как вы определили, что вызвало восстановление, можно сбросить защиту BitLocker и избежать восстановления на каждом запуске.

Сведения об этом сбросе могут отличаться в зависимости от первопричины восстановления. Если вы не можете определить корневую причину, или если вредоносное программное обеспечение или корневой набор могли заразить компьютер, helpdesk следует применить политики вирусов, которые будут применяться в лучших практиках, чтобы соответствующим образом реагировать.

Примечание

Вы можете выполнить сброс профиля проверки BitLocker, приостановив и повторно приостановив BitLocker.

  • Неизвестный ПИН-код
  • Потерянный ключ запуска
  • Изменения файлов загрузки

Неизвестный ПИН-код

Если пользователь забыл ПИН-код, необходимо сбросить ПИН-код во время входа на компьютер, чтобы предотвратить восстановление BitLocker при каждом перезапуске компьютера.

Чтобы предотвратить дальнейшее восстановление из-за неизвестного ПИН-кода

  1. Разблокировать компьютер с помощью пароля восстановления.
  2. Сброс ПИН-кода:
    1. Щелкните правой кнопкой мыши диск и выберите ПИН-код изменения.
    2. В диалоговом окну Шифрование диска BitLocker выберите Сброс забытого ПИН-кода. Если вы не вошли в систему с учетной записью администратора, в это время укай административные учетные данные.
    3. В диалоговом окну сброса ПИН-кода предостановите и подтвердите использование нового ПИН-кода, а затем выберите Finish.
  3. Новый ПИН-код будет применяться при разблокирование диска в следующий раз.

Потерянный ключ запуска

Если вы потеряли usb-флеш-накопитель, содержащий ключ запуска, необходимо разблокировать диск с помощью ключа восстановления, а затем создать новый ключ запуска.

Чтобы предотвратить продолжение восстановления из-за потерянного ключа запуска

  1. Войдите в качестве администратора на компьютер с потерянным ключом запуска.
  2. Откройте управление BitLocker.
  3. Выберите клавишу Дубликатзапуска, вставьте чистый USB-диск, на котором вы собираетесь написать ключ, а затем выберите Сохранить.

Изменения файлов загрузки

Эта ошибка может возникнуть при обновлении прошивки. В качестве наилучшей практики следует приостановить работу BitLocker перед внесением изменений в прошивку, а затем возобновить защиту после завершения обновления. Это действие не позволяет компьютеру ходить в режим восстановления. Однако если при защите BitLocker были внесены изменения, войдите на компьютер с помощью пароля восстановления, и профиль проверки платформы будет обновлен, чтобы восстановление не произошло в следующий раз.

Windows RE и шифрование устройств BitLocker

Windows среды восстановления (RE) можно использовать для восстановления доступа к диску, защищенного шифрованием устройств BitLocker. Если компьютер не может загрузиться после двух сбоев, запуск восстановления автоматически начнется. При запуске восстановления запуска автоматически из-за сбоев загрузки выполняется только ремонт операционной системы и файлов драйвера при условии, что журналы загрузки или любые доступные точки аварийного сброса в определенный поврежденный файл. В Windows 8.1 и более поздних версиях устройства, которые включают прошивку для поддержки определенных измерений TPM для PCR[7] TPM могут проверить, что Windows RE является надежной операционной средой, и разблокировать любые диски, защищенные bitLocker, если Windows RE не были изменены. Если среда Windows RE изменена, например отключена TPM, диски будут заблокированы до тех пор, пока не будет предоставлен ключ восстановления BitLocker. Если восстановление запуска не может работать автоматически с компьютера и вместо этого Windows RE запускается вручную с диска восстановления, необходимо предоставлять ключ восстановления BitLocker для разблокировки защищенных дисков BitLocker.

Экран восстановления BitLocker

Во время восстановления BitLocker Windows отображать настраиваемые сообщения восстановления и подсказки, которые определяют, откуда можно получить ключ. Эти улучшения могут помочь пользователю во время восстановления BitLocker.

Настраиваемые сообщения восстановления

Параметры групповой политики BitLocker в Windows 10, версии 1511 или Windows 11 позволит настроить настраиваемое сообщение восстановления и URL-адрес на экране восстановления BitLocker, который может включать адрес портала восстановления самообслужировки BitLocker, внутреннего веб-сайта ИТ или номера телефона для поддержки.

Эта политика может быть настроена **** с помощью GPO в соответствии с административными шаблонами конфигурации компьютера Windows компоненты > **** > **** > BitLocker Drive EncryptionOperating System Drive Настрой сообщение о восстановлении перед загрузкой и > **** > URL-адрес.

Его также можно настроить с помощью управления мобильными устройствами Intune (MDM) в CSP BitLocker: * <LocURI> ./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage </LocURI> *

Настраиваемый URL-адрес.

Пример настраиваемого экрана восстановления:

Настраиваемый экран восстановления BitLocker.

Подсказки ключа восстановления BitLocker

Метаданные BitLocker были улучшены в Windows 10 версии 1903 или Windows 11, чтобы включить сведения о том, когда и где был восстановлен ключ восстановления BitLocker. Эта информация не подвергается воздействию через пользовательский интерфейс или какой-либо общедоступный API. Он используется только экраном восстановления BitLocker в виде подсказок, чтобы помочь пользователю найти ключ восстановления тома. Подсказки отображаются на экране восстановления и ссылаются на расположение, где был сохранен ключ. Подсказки отображаются на современном (синем) и устаревшем (черном) экране восстановления. Это относится как к экрану восстановления диспетчера загрузки, так и к экрану разблокировки WinRE.

Настраиваемый экран восстановления BitLocker.

Важно!

Мы не рекомендуем печатать ключи восстановления или сохранять их в файле. Вместо этого используйте резервное копирование Active Directory или облачное резервное копирование. Облачное резервное копирование включает Azure Active Directory (Azure AD) и Учетную запись Майкрософт.

Существуют правила, регулирующие, какой подсказка отображается во время восстановления (в порядке обработки):

  1. Всегда отображать настраиваемое сообщение восстановления, если оно настроено (с помощью GPO или MDM).
  2. Всегда отображаем общие подсказки: «Дополнительные сведения перейдите в https://aka.ms/recoverykeyfaq «.
  3. Если в томе существует несколько ключей восстановления, приоритизуем последний созданный (и успешно отлаживаться) ключ восстановления.
  4. Приоритизация ключей с успешной резервной копией по клавишам, которые никогда не были резервного копирования.
  5. Приоритеты подсказок резервного копирования в следующем порядке для удаленных местоположений резервного копирования: Microsoft Account > Azure AD > Active Directory.
  6. Если ключ был напечатан и сохранен для файла, отобразить комбинированную подсказку «Ища распечатку или текстовый файл с ключом», а не два отдельных подсказки.
  7. Если для одного ключа восстановления было выполнено несколько резервных копий одного типа (удаление или локальное), приоритизуем информацию резервного копирования с последней датой резервного копирования.
  8. Нет конкретного подсказки для ключей, сохраненных в локальном Active Directory. В этом случае будет отображаться настраиваемое сообщение (если настроено) или общее сообщение «Обратитесь в службу поддержки организации».
  9. Если на диске присутствуют два ключа восстановления, но успешно восстановлен только один, система запросит клавишу, которая была восстановлена, даже если другой ключ более новый.

Пример 1 (один ключ восстановления с одной резервной копией)

Настраиваемый URL-адрес Да
Сохранено в учетной записи Майкрософт Да
Сохранено в Azure AD Нет
Сохранено в Active Directory Нет
Напечатано Нет
Сохранено для файла Нет

Результат: Отображается подсказка для учетной записи Майкрософт и настраиваемый URL-адрес.

Пример 1 настраиваемого экрана восстановления BitLocker.

Пример 2 (один ключ восстановления с одной резервной копией)

Настраиваемый URL-адрес Да
Сохранено в учетной записи Майкрософт Нет
Сохранено в Azure AD Нет
Сохранено в Active Directory Да
Напечатано Нет
Сохранено для файла Нет

Результат: Отображается только настраиваемый URL-адрес.

Пример 2 настраиваемого экрана восстановления BitLocker.

Пример 3 (один ключ восстановления с несколькими резервными копиями)

Настраиваемый URL-адрес Нет
Сохранено в учетной записи Майкрософт Да
Сохранено в Azure AD Да
Сохранено в Active Directory Нет
Напечатано Да
Сохранено для файла Да

Результат: Отображается только подсказка учетной записи Майкрософт.

Пример 3 настраиваемого экрана восстановления BitLocker.

Пример 4 (несколько паролей восстановления)

Настраиваемый URL-адрес Нет
Сохранено в учетной записи Майкрософт Нет
Сохранено в Azure AD Нет
Сохранено в Active Directory Нет
Напечатано Нет
Сохранено для файла Да
Creation time (время создания) 1PM
ИД ключа A564F193
Настраиваемый URL-адрес Нет
Сохранено в учетной записи Майкрософт Нет
Сохранено в Azure AD Нет
Сохранено в Active Directory Нет
Напечатано Нет
Сохранено для файла Нет
Creation time (время создания) 3PM
ИД ключа T4521ER5

Результат: Отображается только подсказка для успешно отламываемой клавиши, даже если это не самый последний ключ.

Пример 4 настраиваемого экрана восстановления BitLocker.

Пример 5 (несколько паролей восстановления)

Настраиваемый URL-адрес Нет
Сохранено в учетной записи Майкрософт Да
Сохранено в Azure AD Да
Сохранено в Active Directory Нет
Напечатано Нет
Сохранено для файла Нет
Creation time (время создания) 1PM
ИД ключа 99631A34
Настраиваемый URL-адрес Нет
Сохранено в учетной записи Майкрософт Нет
Сохранено в Azure AD Да
Сохранено в Active Directory Нет
Напечатано Нет
Сохранено для файла Нет
Creation time (время создания) 3PM
ИД ключа 9DF70931

Результат: Отображается подсказка для последнего ключа.

Пример 5 настраиваемого экрана восстановления BitLocker.

Использование дополнительных сведений о восстановлении

Помимо 48-значного пароля восстановления BitLocker в Active Directory хранятся другие типы данных восстановления. В этом разделе описывается, как можно использовать эту дополнительную информацию.

Пакет ключей BitLocker

Если методы восстановления, рассмотренные ранее в этом документе, не разблокируют объем, можно использовать средство BitLocker Repair для расшифровки тома на уровне блока. Средство использует пакет ключей BitLocker для восстановления зашифрованных данных с сильно поврежденных дисков. Вы можете использовать эти восстановленные данные для спасения зашифрованных данных даже после того, как правильный пароль восстановления не смог разблокировать поврежденный том. Рекомендуется сохранить пароль восстановления. Пакет ключей нельзя использовать без соответствующего пароля восстановления.

Примечание

Чтобы использовать пакет ключей BitLocker, необходимо использовать средство ремонта BitLocker Repair-bde.

Пакет ключей BitLocker не сохранен по умолчанию. Чтобы сохранить пакет вместе с паролем восстановления в AD **** DS, необходимо выбрать пароль восстановления резервного копирования и параметр пакета ключей в параметрах групповой политики, которые контролируют метод восстановления. Вы также можете экспортировать пакет ключей из рабочего тома. Дополнительные сведения об экспорте пакетов ключей см. в материале Retrieving the BitLocker Key Package.

Сброс паролей восстановления

Недействительный пароль восстановления после его использования. Это также должно быть сделано, если по какой-либо причине необходимо намеренно признать недействительным существующий пароль восстановления.

Пароль восстановления можно сбросить двумя способами:

  • Использование manage-bde. С помощью manage-bde можно удалить старый пароль восстановления и добавить новый пароль восстановления. Процедура определяет команду и синтаксис для этого метода.
  • Запустите сценарий. Можно запустить сценарий для сброса пароля без расшифровки тома. Пример сценария в процедуре иллюстрирует эту функцию. Пример скрипта создает новый пароль восстановления и аннулирует все другие пароли.

Чтобы сбросить пароль восстановления с помощью manage-bde:

  1. Удаление предыдущего пароля восстановления

    Manage-bde –protectors –delete C: –type RecoveryPassword

  2. Добавление нового пароля восстановления

    Manage-bde –protectors –add C: -RecoveryPassword

  3. Получите ID нового пароля восстановления. С экрана скопируйте код пароля восстановления.

    Manage-bde –protectors –get C: -Type RecoveryPassword

  4. Восстановление нового пароля восстановления в AD DS.

    Manage-bde –protectors –adbackup C: -id {EXAMPLE6-5507-4924-AA9E-AFB2EB003692}

    Предупреждение

    Необходимо включить скобки в строку ID.

Чтобы запустить сценарий примера пароля восстановления:

  1. Сохраните следующий пример сценария в файле VBScript. Например: ResetPassword.vbs.

  2. В командной подсказке введите команду, аналогичную следующему примеру сценария:

    cscript ResetPassword.vbs

    Важно!

    Этот пример сценария настроен для работы только для тома C. Сценарий необходимо настроить так, чтобы он совпадал с объемом, в котором необходимо протестировать сброс пароля.

Примечание

Для управления удаленным компьютером можно указать имя удаленного компьютера, а не имя локального компьютера.

Чтобы сбросить пароли восстановления, можно использовать следующий пример сценария для создания файла VBScript.

' Target drive letter
strDriveLetter = "c:"
' Target computer name
' Use "." to connect to the local computer
strComputerName = "."
' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------
strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!" _
                 & strComputerName _
                 & "rootcimv2SecurityMicrosoftVolumeEncryption"


On Error Resume Next 'handle permission errors
Set objWMIService = GetObject(strConnectionStr)
If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If
On Error GoTo 0
strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)
If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If
' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next
' objVolume is now our found BitLocker-capable disk volume
' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------
' Add a new recovery password, keeping the ID around so it doesn't get deleted later
' ----------------------------------------------------------------------------------
nRC = objVolume.ProtectKeyWithNumericalPassword("Recovery Password Refreshed By Script", , sNewKeyProtectorID)
If nRC <> 0 Then
WScript.Echo "FAILURE: ProtectKeyWithNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Removes the other, "stale", recovery passwords
' ----------------------------------------------------------------------------------
nKeyProtectorTypeIn = 3 ' type associated with "Numerical Password" protector
nRC = objVolume.GetKeyProtectors(nKeyProtectorTypeIn, aKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Delete those key protectors other than the one we just added.
For Each sKeyProtectorID In aKeyProtectorIDs
If sKeyProtectorID <> sNewKeyProtectorID Then
nRC = objVolume.DeleteKeyProtector(sKeyProtectorID)
If nRC <> 0 Then
WScript.Echo "FAILURE: DeleteKeyProtector on ID " & sKeyProtectorID & " failed with return code 0x" & Hex(nRC)
WScript.Quit -1
Else
' no output
'WScript.Echo "SUCCESS: Key protector with ID " & sKeyProtectorID & " deleted"
End If
End If
Next
WScript.Echo "A new recovery password has been added. Old passwords have been removed."
' - some advanced output (hidden)
'WScript.Echo ""
'WScript.Echo "Type ""manage-bde -protectors -get " & strDriveLetter & " -type recoverypassword"" to view existing passwords."

Ирисовка пакета ключей BitLocker

Вы можете использовать два метода для получения пакета ключей, как описано в использовании дополнительных данных восстановления:

  • Экспорт ранее сохраненного пакета ключей из AD DS. Необходимо иметь доступ к паролям восстановления BitLocker, хранимым в AD DS.
  • Экспорт нового пакета ключей из незапертого тома с защитой BitLocker. Необходимо иметь локальный доступ администратора к рабочему тому, прежде чем будет нанесен какой-либо ущерб.

В следующем примере скрипт экспортирует все ранее сохраненные пакеты ключей из AD DS.

Чтобы запустить сценарий выборки ключей для ирисовки пакета:

  1. Сохраните следующий пример сценария в файле VBScript. Например: GetBitLockerKeyPackageADDS.vbs.

  2. В командной подсказке введите команду, аналогичную следующему примеру сценария:

    cscript GetBitLockerKeyPackageADDS.vbs -?

Вы можете использовать следующий пример сценария для создания файла VBScript для получения пакета ключей BitLocker из AD DS:

' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------
Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackageADDS [Path To Save Key Package] [Optional Computer Name]"
   Wscript.Echo "If no computer name is specified, the local computer is assumed."
   Wscript.Echo
   Wscript.Echo "Example: GetBitLockerKeyPackageADDS E:bitlocker-ad-key-package mycomputer"
   WScript.Quit
End Sub
' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------
Set args = WScript.Arguments
Select Case args.Count
  Case 1
    If args(0) = "/?" Or args(0) = "-?" Then
    ShowUsage
    Else
      strFilePath = args(0)
      ' Get the name of the local computer
      Set objNetwork = CreateObject("WScript.Network")
      strComputerName = objNetwork.ComputerName
    End If

  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else
      strFilePath = args(0)
      strComputerName = args(1)
    End If
  Case Else
    ShowUsage
End Select
' --------------------------------------------------------------------------------
' Get path to Active Directory computer object associated with the computer name
' --------------------------------------------------------------------------------
Function GetStrPathToComputer(strComputerName)
    ' Uses the global catalog to find the computer in the forest
    ' Search also includes deleted computers in the tombstone
    Set objRootLDAP = GetObject("LDAP://rootDSE")
    namingContext = objRootLDAP.Get("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com
    strBase = "<GC://" & namingContext & ">"

    Set objConnection = CreateObject("ADODB.Connection")
    Set objCommand = CreateObject("ADODB.Command")
    objConnection.Provider = "ADsDSOOBject"
    objConnection.Open "Active Directory Provider"
    Set objCommand.ActiveConnection = objConnection
    strFilter = "(&(objectCategory=Computer)(cn=" &  strComputerName & "))"
    strQuery = strBase & ";" & strFilter  & ";distinguishedName;subtree"
    objCommand.CommandText = strQuery
    objCommand.Properties("Page Size") = 100
    objCommand.Properties("Timeout") = 100
    objCommand.Properties("Cache Results") = False
    ' Enumerate all objects found.
    Set objRecordSet = objCommand.Execute
    If objRecordSet.EOF Then
      WScript.echo "The computer name '" &  strComputerName & "' cannot be found."
      WScript.Quit 1
    End If
    ' Found object matching name
    Do Until objRecordSet.EOF
      dnFound = objRecordSet.Fields("distinguishedName")
      GetStrPathToComputer = "LDAP://" & dnFound
      objRecordSet.MoveNext
    Loop
    ' Clean up.
    Set objConnection = Nothing
    Set objCommand = Nothing
    Set objRecordSet = Nothing
End Function
' --------------------------------------------------------------------------------
' Securely access the Active Directory computer object using Kerberos
' --------------------------------------------------------------------------------
Set objDSO = GetObject("LDAP:")
strPathToComputer = GetStrPathToComputer(strComputerName)
WScript.Echo "Accessing object: " + strPathToComputer
Const ADS_SECURE_AUTHENTICATION = 1
Const ADS_USE_SEALING = 64 '0x40
Const ADS_USE_SIGNING = 128 '0x80
' --------------------------------------------------------------------------------
' Get all BitLocker recovery information from the Active Directory computer object
' --------------------------------------------------------------------------------
' Get all the recovery information child objects of the computer object
Set objFveInfos = objDSO.OpenDSObject(strPathToComputer, vbNullString, vbNullString, _
                                   ADS_SECURE_AUTHENTICATION + ADS_USE_SEALING + ADS_USE_SIGNING)
objFveInfos.Filter = Array("msFVE-RecoveryInformation")
' Iterate through each recovery information object and saves any existing key packages
nCount = 1
strFilePathCurrent = strFilePath & nCount
For Each objFveInfo in objFveInfos
   strName = objFveInfo.Get("name")
   strRecoveryPassword = objFveInfo.Get("msFVE-RecoveryPassword")
   strKeyPackage = objFveInfo.Get("msFVE-KeyPackage")
   WScript.echo
   WScript.echo "Recovery Object Name: " + strName
   WScript.echo "Recovery Password: " + strRecoveryPassword
   ' Validate file path
   Set fso = CreateObject("Scripting.FileSystemObject")
   If (fso.FileExists(strFilePathCurrent)) Then
 WScript.Echo "The file " & strFilePathCurrent & " already exists. Please use a different path."
WScript.Quit -1
   End If
   ' Save binary data to the file
   SaveBinaryDataText strFilePathCurrent, strKeyPackage

   WScript.echo "Related key package successfully saved to " + strFilePathCurrent
   ' Update next file path using base name
   nCount = nCount + 1
   strFilePathCurrent = strFilePath & nCount
Next
'----------------------------------------------------------------------------------------
' Utility functions to save binary data
'----------------------------------------------------------------------------------------
Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")

  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)

  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function
Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function
WScript.Quit

В следующем примере скрипт экспортирует новый пакет ключей из разблокированного зашифрованного тома.

Чтобы запустить сценарий выборки ключей для ирисовки пакета:

  1. Сохраните следующий пример сценария в файле VBScript. Например: GetBitLockerKeyPackage.vbs

  2. Откройте командную подсказку администратора и введите команду, аналогичную следующему примеру сценария:

    cscript GetBitLockerKeyPackage.vbs -?

' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------
Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackage [VolumeLetter/DriveLetter:] [Path To Save Key Package]"
   Wscript.Echo
   Wscript.Echo "Example: GetBitLockerKeyPackage C: E:bitlocker-backup-key-package"
   WScript.Quit
End Sub
' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------
Set args = WScript.Arguments
Select Case args.Count
  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else
      strDriveLetter = args(0)
      strFilePath = args(1)
    End If
  Case Else
    ShowUsage
End Select
' --------------------------------------------------------------------------------
' Other Inputs
' --------------------------------------------------------------------------------
' Target computer name
' Use "." to connect to the local computer
strComputerName = "."
' Default key protector ID to use. Specify "" to let the script choose.
strDefaultKeyProtectorID = ""
' strDefaultKeyProtectorID = "{001298E0-870E-4BA0-A2FF-FC74758D5720}"  ' sample
' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------
strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!" _
                 & strComputerName _
                 & "rootcimv2SecurityMicrosoftVolumeEncryption"


On Error Resume Next 'handle permission errors
Set objWMIService = GetObject(strConnectionStr)
If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If
On Error GoTo 0
strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)
If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If
' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next
' objVolume is now our found BitLocker-capable disk volume
' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------
' Collect all possible valid key protector ID's that can be used to get the package
' ----------------------------------------------------------------------------------
nNumericalKeyProtectorType = 3 ' type associated with "Numerical Password" protector
nRC = objVolume.GetKeyProtectors(nNumericalKeyProtectorType, aNumericalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
nExternalKeyProtectorType = 2 ' type associated with "External Key" protector
nRC = objVolume.GetKeyProtectors(nExternalKeyProtectorType, aExternalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Get first key protector of the type "Numerical Password" or "External Key", if any
' ----------------------------------------------------------------------------------
if strDefaultKeyProtectorID = "" Then
' Save first numerical password, if exists
If UBound(aNumericalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aNumericalKeyProtectorIDs(0)
End If
' No numerical passwords exist, save the first external key
If strDefaultKeyProtectorID = "" and UBound(aExternalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aExternalKeyProtectorIDs(0)
End If
' Fail case: no recovery key protectors exist.
If strDefaultKeyProtectorID = "" Then
WScript.Echo "FAILURE: Cannot create backup key package because no recovery passwords or recovery keys exist. Check that BitLocker protection is on for this drive."
WScript.Echo "For help adding recovery passwords or recovery keys, type ""manage-bde -protectors -add -?""."
WScript.Quit -1
End If
End If
' Get some information about the chosen key protector ID
' ----------------------------------------------------------------------------------
' is the type valid?
nRC = objVolume.GetKeyProtectorType(strDefaultKeyProtectorID, nDefaultKeyProtectorType)
If Hex(nRC) = "80070057" Then
WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " is not valid."
WScript.Echo "This ID value may have been provided by the script writer."
ElseIf nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorType failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' what's a string that can be used to describe it?
strDefaultKeyProtectorType = ""
Select Case nDefaultKeyProtectorType
  Case nNumericalKeyProtectorType
      strDefaultKeyProtectorType = "recovery password"
  Case nExternalKeyProtectorType
      strDefaultKeyProtectorType = "recovery key"
  Case Else
      WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " does not refer to a valid recovery password or recovery key."
      WScript.Echo "This ID value may have been provided by the script writer."
End Select
' Save the backup key package using the chosen key protector ID
' ----------------------------------------------------------------------------------
nRC = objVolume.GetKeyPackage(strDefaultKeyProtectorID, oKeyPackage)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyPackage failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Validate file path
Set fso = CreateObject("Scripting.FileSystemObject")
If (fso.FileExists(strFilePath)) Then
WScript.Echo "The file " & strFilePath & " already exists. Please use a different path."
WScript.Quit -1
End If
Dim oKeyPackageByte, bKeyPackage
For Each oKeyPackageByte in oKeyPackage
  'WScript.echo "key package byte: " & oKeyPackageByte
  bKeyPackage = bKeyPackage & ChrB(oKeyPackageByte)
Next
' Save binary data to the file
SaveBinaryDataText strFilePath, bKeyPackage
' Display helpful information
' ----------------------------------------------------------------------------------
WScript.Echo "The backup key package has been saved to " & strFilePath & "."
WScript.Echo "IMPORTANT: To use this key package, the " & strDefaultKeyProtectorType & " must also be saved."
' Display the recovery password or a note about saving the recovery key file
If nDefaultKeyProtectorType = nNumericalKeyProtectorType Then
nRC = objVolume.GetKeyProtectorNumericalPassword(strDefaultKeyProtectorID, sNumericalPassword)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
WScript.Echo "Save this recovery password: " & sNumericalPassword
ElseIf nDefaultKeyProtectorType = nExternalKeyProtectorType Then
WScript.Echo "The saved key file is named " & strDefaultKeyProtectorID & ".BEK"
WScript.Echo "For help re-saving this external key file, type ""manage-bde -protectors -get -?"""
End If
'----------------------------------------------------------------------------------------
' Utility functions to save binary data
'----------------------------------------------------------------------------------------
Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")

  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)

  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function
Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function

См. также

  • Обзор BitLocker