Windows Vista. Для профессионалов Клименко Роман
Обратите внимание на кнопку Подробно окна Дополнительные атрибуты. По умолчанию она неактивна, но если вы зашифруете файл и опять откроете это окно, то сможете воспользоваться этой кнопкой, чтобы отобразить окно Пользовательский доступ к. С помощью этого окна можно добавить пользователей, которые смогут открывать данный зашифрованный файл. По умолчанию его можете открывать только вы (так как в атрибутах файла присутствуют сведения о ключе только для вашей учетной записи). Однако если вы нажмете кнопку Добавить данного окна, то сможете выбрать файл сертификата других пользователей, которые смогут открывать этот зашифрованный файл. А с помощью кнопки Удалить можно удалить добавленных ранее пользователей.
Обратите также внимание на кнопку Архивация ключей, которая активируется при выборе из списка одного из пользователей. С ее помощью можно отобразить окно Мастер экспорта сертификатов, позволяющее экспортировать сертификат выбранного пользователя в файл.
Программа cipher.exeЕсли же вы захотите использовать программу командной строки cipher.ехе, то заметите, что ее возможности несколько расширились, а параметры изменились.
Как и раньше, основной синтаксис программы следующий: cipher [/Е | /В /С] /S:<путь к каталогу> – <дополнительные параметры> <файл, каталог или шаблон>. С помощью данного синтаксиса можно выполнить шифрование (параметр /Е), дешифровку (/D) или просмотреть состояние объектов (/С), удовлетворяющих шаблону и расположенных в каталоге, указанном в параметре /S. Дополнительных параметров теперь всего два (раньше было пять): /В и /Н. Если указан параметр /В, то при ошибке в процессе шифрования файлов программа прекратит свою работу (по умолчанию она продолжает шифрование, просто пропуская проблемный файл). А с помощью параметра /Н можно определить, будут ли отображаться скрытые и системные файлы.
Дополнительные возможности программы
Никуда не исчезли и следующие дополнительные варианты синтаксиса программы.
• Cipher – отображает сведения о состоянии файлов и каталогов, расположенных в данной папке.
• Cipher /К – создает новый ключ шифрования для текущего пользователя.
• Cipher /R:<путь и имя файла> – создает новый ключ шифрования пользователя и сертификат агента восстановления EFS. После этого созданная информация записывается в два файла с указанным вами именем, но с разными расширениями: PFX (содержит ключ и сертификат агента восстановления) и CER (содержит только сертификат агента восстановления).
После того как вы введете данную команду, перед вами отобразится запрос с просьбой ввода пароля, который будет защищать файл с расширением PFX. Затем введенный вами пароль нужно ввести еще раз – для подтверждения.
• Cipher /U /N – отображает список всех зашифрованных файлов, расположенных на вашем жестком диске. Если вы не укажете параметр /N, то также будет изменен ключ шифрования для найденных файлов (если вы его только что изменили).
• Cipher /W:<путь к папке> – удаляет всю информацию в неиспользуемом дисковом пространстве на указанном томе.
• Cipher /R:<путь и имя ЕFS-файла> <путь и имя файла архива>– архивирует сертификат EFS и ключ шифрования в файл с указанным именем.
Новые возможности программы
Но, кроме этого, программа командной строки cipher.ехе обзавелась и новыми вариантами синтаксиса.
• Cipher /Y – отображает набросок текущего сертификата EFS для вашего компьютера.
• Cipher /ADDUSER [/CERTHASH:<x3in сертификата> | /CERTFILE:<путь к файлу сертификата> – ] /S:<путь к каталогу> – <дополнительные параметры> <файл, каталог или шаблон> – добавляет нового пользователя, которому разрешено открывать данный зашифрованный файл.
• Cipher /REMOVEUSER /CERTHASH:<хэш сертификата> /S:<путь к каталогу> – <дополнительные параметры> <файл, каталог или шаблон> – удаляет пользователя из списка пользователей, которым разрешено открывать данный зашифрованный файл.
• Cipher /REKEY <файл, каталог или шаблон> – заново шифрует указанные шаблоном файлы, используя текущий ключ шифрования файлов пользователя.
Создание сертификата шифрованияРасположение: %systemroot%\system32\rekeywiz.ехе.
Мы уже рассмотрели несколько способов создания EFS-сертификата для текущего пользователя и помещение его в файл. Однако это еще не все способы создания сертификата. Для этого также можно воспользоваться специальным мастером операционной системы Windows Vista, который называется Шифрующая файловая система EFS. Данный мастер можно вызвать либо с помощью программы rekeywiz.ехе, либо с помощью ссылки Управление сертификатами шифрования файлов, отображаемой в мастере Учетные записи пользователей, открыть который можно с помощью одноименного значка папки Панель управления.
Особенностью использования данного мастера является то, что вы можете указать способ хранения создаваемого файла сертификата. Можно выбрать либо хранение сертификата на жестком диске компьютера, либо хранение на смарт-карте, либо хранение в центре сертификации домена Active Directory.
После того как вы выберете место хранения сертификата, нужно будет указать имя файла (если файл сертификата будет храниться на компьютере), а также пароль.
И последним шагом мастера будет указание разделов диска, зашифрованные файлы и каталоги которых будут заново перезашифрованы с использованием нового сертификата (если с помощью мастера Шифрующая файловая система EFS вы создавали новый сертификат пользователя, а не выбрали на первом шаге мастера один из старых сертификатов).
Работа с агентами восстановленияКак было сказано выше, сведения об агентах восстановления заносятся в поле DRF шифруемого файла. Но как же можно добавить нового агента восстановления? Для этого нужно воспользоваться командой Добавить агент восстановления данных контекстного меню раздела Конфигурация компьютера Конфигурация Windows Параметры безопасности Политики открытого ключа Шифрующая файловая система EFS оснастки gpedit.msc. После выбора данной команды перед вами отобразится Мастер добавления агента восстановления, первым шагом которого будет выбор CER-файла агента восстановления, добавляемого в систему. После этого перед вами появится информация о файле, и после нажатия кнопки Готово новый агент восстановления будет создан. Теперь пользователь, CER-файл которого был добавлен в качестве агента восстановления, сможет расшифровыать любые зашифрованные файлы любого пользователя данной операционной системы.
Напомним, что CER-файл, необходимый для добавления агента восстановления, создается соответствующим пользователем с помощью команды cipher /R: <путь к каталогу и имя СЕЯ-файла>.
Настройка системы шифрования EFSКак и другие компоненты операционной системы Windows Vista, параметры системы шифрования можно изменить либо с помощью стандартных окон операционной системы, либо непосредственно с помощью реестра.
Настройка с помощью оснастки gpedit.msc
Оснастка gpedit.msc содержит специальный подраздел Конфигурация компьютера Конфигурация Windows Параметры безопасности Политики открытого ключа Шифрующая файловая система EFS. С помощью команды Свойства контекстного меню данного подраздела можно отобразить окно Свойства: Шифрующая файловая система (EFS), позволяющее настроить основные параметры работы шифрования EFS. Данное окно состоит всего из двух вкладок, с помощью которых можно редактировать значения параметров ветви реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies \Microsoft\Windows NT\CurrentVersion\EFS. Большинство элементов данного окна редактируют биты параметра REG_DWORD-типа Ef sOptions.
• Общие – сразу же обратите внимание на переключатель Шифрование файлов с помощью шифрующей файловой системы (EFS). Пока данный переключатель не будет установлен в положение Разрешить, параметры, изменяемые с помощью окна Свойства: Шифрующая файловая система (EFS), активными не будут. После того как вы сделаете все параметры окна активными, можно изменить настройки EFS, устанавливаемые с помощью следующих флажков:
– Шифровать содержимое папки «Документы» пользователя – указывает, что содержимое каталога Документы пользовательского профиля должно автоматически шифроваться;
– Требовать смарт-карту для EFS – определяет, разрешено ли шифровать содержимое смарт-карт с помощью EFS;
– Создать кэшируемый пользовательский ключ из смарт-карты – указывает, будут ли создаваться пользовательские ключи шифрования, поддерживающие хранение зашифрованных данных на смарт-картах;
– Включить шифрование файла подкачки – определяет, будет ли шифроваться содержимое файла подкачки;
– Отображать уведомления об архивации ключа при создании или изменении пользовательского ключа – указывает, будет ли отображаться уведомление в области уведомлений при создании или изменении пользовательского ключа шифрования.
На вкладке Общие также присутствует поле Сертификаты, которое позволяет указать, разрешено ли EFS создавать пользовательские сертификаты, а также указать размер ключа, используемого при шифровании алгоритмом RSA. Размер ключа хранится в параметре REG_DWORD-типа RsaKeyLength.
• Кэш – позволяет определить события, при которых кэш, содержащий расшифрованный FEK, будет очищаться. По умолчанию операционная система Windows Vista помещает сгенерированный FEK в специальный кэш, чтобы не генерировать его при каждом выполнении процесса шифрования (генерация FEK является сложной и ресурсоемкой операцией).
Можно указать очистку кэша при блокировке сеанса, а также после истечения определенного времени, в течение которого операция шифрования больше не выполнялась. Время, после истечения которого кэш будет очищен, хранится в параметре REG_DWORD-типа CacheTimeout.
Настройка параметров шифрования с помощью реестра
После того как вы зашифруете каталог или файл, его название станет зеленого цвета. Вы можете и сами указать цвет, который примет название зашифрованного файла. Для этого достаточно воспользоваться параметром REGBI NARY-типа AltEncryptionColor, расположенным в ветви реестра HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Explorer. Он имеет следующий формат: RGB 0, где R, G и В представляют собой красную, зеленую и синюю компоненты цвета, на которые отводится по одному байту параметра. Операционная система также позволяет вообще отключить изменение цвета зашифрованных файлов. Для этого вам не понадобится знание реестра. Достаточно снять флажок Отображать сжатые или зашифрованные файлы NTFSflpyrnM цветом в поле Дополнительные параметры вкладки Вид окна Свойства папки. Данное окно можно вызвать с помощью одноименной команды меню Упорядочить любой папки.
По умолчанию операционная система Windows Vista автоматически шифрует все файлы и каталоги, перемещаемые в уже зашифрованный каталог. Чтобы отключить такое поведение операционной системы, нужно параметру REGDWORD-типа NoEncryptOnMove, расположенному в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, присвоить значение 1.
Можно также полностью отключить подсистему EFS на данном компьютере. Для этого достаточно присвоить значение 1 параметру REGDWORD-типа Ntf s-DisableEncrypt ion ветви системного реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\FileSystem. Данный параметр можно изменить и с помощью программы командной строки fsutil.ехе, которую мы рассмотрели в разд. 7.3.Работа с механизмом BitLocker Drive Encryption
Нововведением операционной системы Windows Vista является мастер Шифрование диска BitLocker, доступ к которому можно получить с помощью одноименного значка папки Панель управления. Данный мастер позволяет зашифровать не отдельный файл, а весь раздел диска, после чего на лету расшифровывать его содержимое, если к содержимому данного диска обращается аутентифицированный пользователь. Шифрование содержимого диска выполняется с помощью 128– или 256-разрядного алгоритма шифрования Advanced Encryption Standard (AES). При этом вы можете пользоваться как знакомым по предыдущим операционным системам Windows способом шифрования файлов и папок на основе файловой системы EFS, так и механизмом Шифрование диска BitLocker. Например, файлы и папки на разделах диска, которые не являются загрузочными, можно шифровать с помощью EFS, а загрузочный раздел – с помощью механизма Шифрование диска BitLocker. При этом, поскольку ключи шифрования EFS хранятся на загрузочном разделе, безопасность их хранения будет повышена.
Работа мастера Шифрование диска BitLocker тесно связана с чипом ТРМ, однако вы можете использовать его и на компьютерах, не имеющих данного чипа. В этом случае необходимо использовать USB-носитель.
Примечание
По умолчанию использование BitLocker на компьютерах без чипа ТРМ запрещено. Однако это можно изменить с помощью специальной групповой политики. Данная политика будет описана ниже.
Основное окно мастера состоит из списка разделов жесткого диска компьютера, напротив которых отображается информация о том, зашифровано ли содержимое данного раздела. Если мастер Шифрование диска BitLocker может выполнить шифрование содержимого данного раздела, то под ним отображается ссылка Включить BitLocker. После выбора этой ссылки перед вами отобразится мастер Шифрование диска BitLocker, представленный на рис. 7.4. В операционной системе Windows Vista с помощью мастера Шифрование диска BitLocker можно выполнить шифрование только загрузочного раздела операционной системы, хотя с помощью сценариев можно зашифровать и другие разделы.
Рис. 7.4. Мастер шифрования содержимого раздела диска
Мастер содержит следующие возможности.
• Запрашивать USB-ключ запуска при запуске – если вы решили зашифровать содержимое раздела, то необходимо воспользоваться данной кнопкой, чтобы сохранить загрузочный ключ (он будет запрашиваться при попытке запуска операционной системы, если вы шифруете загрузочный раздел) на USB-носителе, который нужно будет выбрать из списка USB-носителей, подключенных к компьютеру.
После того как вы нажмете кнопку Сохранить, загрузочный ключ будет сохранен на USB-носителе, а вам будет предложено установить пароль восстановления. Пароль восстановления создается автоматически (вы его не вводите), а вы можете также сохранить его на USB-носителе или в папке, отобразить на экране либораспечатать на принтере.
Это последний шаг мастера шифрования выбранного раздела диска. После того как вы сохраните пароль восстановления и нажмете кнопку Зашифровать, начнется процесс шифрования раздела диска. Учтите, что в случае большого объема раздела диска процесс шифрования может занять много времени (шифруются не только используемые кластеры раздела диска, а полностью весь раздел диска, независимо от того, сколько места на нем используется). Также учтите, что для работы механизма Шифрование диска BitLocker операционная система обязательно создает дополнительный раздел объемом 1,5 Гбайт.
• Запрашивать PIN-код при запуске – позволяет установить загрузочный PIN.
• Использовать BitLocker без дополнительных ключей – разрешает отключить механизм использования загрузочного ключа или ПИН-кода при выполнении загрузки с зашифрованного раздела.
Программа fveupdate.exeРасположение: %systemroot%\system32\fveupdate.ехе.
В операционной системе Windows Vista присутствует программа командной строки, предназначенная для работы с механизмом Шифрование диска BitLocker и чипом ТРМ. К сожалению, ее параметры недокументированны, поэтому для их работы необходимо, чтобы механизм Шифрование диска BitLocker был включен, а на материнской плате присутствовал чип ТРМ.
Данная программа имеет следующие параметры, выполняющие запрос на обслуживание.
• /memtest – программы memtest.ехе.
• /bootmgr – загрузочного меню.
• /windowsbootenvironment – программ загрузки операционной системы winload.ехе и winresume.ехе.
Работа с WMIДля работы с BitLocker можно также использовать новый класс репозитария управления CIM. Он содержит обширный набор методов, которые предоставляют доступ к основным возможностям работы механизма Шифрование диска BitLocker. Он находится в пространстве имен \\. \root\cimv2\Security\ MicrosoftVolumeEncryption и называется Win32_EncryptableVolume. Класс поддерживает следующие свойства.
• DevicelD, тип: string – является ключевым. Оно определяет уникальный идентификатор раздела.
• DriveLetter, тип: string – содержит букву раздела, который описывается данным экземпляром класса.
• PersistentVolumelD, тип: string – хранит постоянный идентификатор раздела.
Данный класс также поддерживает следующие методы.
• ClearAllAutoUnlockKeys – очищает все ключи разблокировки.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• Decrypt – расшифровывает зашифрованный файл.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• DeleteKeyProtector – удаляет ключ защиты.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемые параметры: нет.
• DeleteKeyProtectors – удаляет ключи защиты.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• DisableAutoUnlock – запрещает выполнение автоматической разблокировки.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• DisableKeyProtectors – запрещает ключи защиты.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• EnableAutoUnlock – разрешает выполнение автоматической разблокировки.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемые параметры: нет.
• EnableKeyProtectors – разрешает ключи защиты.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• Encrypt – шифрует файл.
Входящий параметр: определяет метод шифрования, имеет тип uint32. Возвращаемые параметры: нет.
• GetConversionStatus – возвращает статус конверсии файла.
Входящие параметры: нет.
Возвращаемые параметры:
– определяет статус конверсии, имеет тип uint32;
– определяет процент шифрования, имеет тип uint32.
• GetEncryptionMethod – возвращает используемый метод шифрования.
Входящие параметры: нет.
Возвращаемый параметр: определяет метод шифрования, имеет тип uint32.
• GetExternalKeyFileName – возвращает путь к файлу, содержащему внешний ключ.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемый параметр: строковый параметр, определяющий путь к файлу.
• GetExternalKeyFromFile – возвращает внешний ключ, полученный из файла.
Входящий параметр: строковый параметр, определяющий путь к файлу.
Возвращаемые параметры: массив параметров типа uint8, определяющих внешний ключ.
• GetKeyProtectorExternalKey – возвращает ключ защиты для внешнего ключа.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемые параметры: массив параметров типа uint8, определяющих внешний ключ.
• GetKeyProtectorFriendlyName – возвращает имя ключа защиты.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемый параметр: строковый параметр, определяющий имя ключа защиты.
• GetKeyProtectorNumericalPassword – возвращает пароль ключа защиты.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемый параметр: строковый параметр, определяющий пароль ключа защиты.
• GetKeyProtectorPlatf ormValidationProf Не – возвращает платформы аутентификации профиля, поддерживаемые ключом защиты.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемый параметр: массив параметров типа uint8, определяющих платформы аутентификации профиля.
• GetKeyProtectors – возвращает ключи защиты.
Входящий параметр: определяет тип ключа защиты, имеет тип uint32.
Возвращаемый параметр: массив строковых параметров, определяющий идентификаторы метки ключа защиты.
• GetKeyProtectorType – возвращает тип ключа защиты.
Входящий параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
Возвращаемый параметр: определяет тип ключа защиты, имеет тип uint32.
• GetLockStatus – возвращает статус блокировки.
Входящие параметры: нет.
Возвращаемый параметр: определяет статус блокировки, имеет тип uint32.
• GetProtectionStatus – возвращает статус защиты.
Входящие параметры: нет.
Возвращаемый параметр: определяет статус защиты, имеет тип uint32.
• IsAutoUnlockEnabled – указывает, разрешена ли автоматическая разблокировка.
Входящие параметры: нет.
Возвращаемые параметры:
– определяет, разрешена ли автоматическая разблокировка, имеет тип boolean;
– строковый параметр, определяющий идентификатор метки ключа защиты.
• IsAutoUnlockKeyStored – указывает, разрешена ли автоматическая разблокировка хранилища ключей.
Входящие параметры: нет.
Возвращаемый параметр: определяет, разрешена ли автоматическая разблокировка хранилища ключей, имеет тип boolean.
• IsKeyProtectorAvailable – определяет, разрешен ли ключ защиты.
Входящий параметр: определяет тип ключа защиты, имеет тип uint32.
Возвращаемый параметр: определяет, разрешен ли ключ защиты, имеет тип boolean.
• IsNumericalPasswordValid – указывает, является ли пароль истинным.
Входящий параметр: содержит пароль, имеет тип uint32.
Возвращаемый параметр: определяет, является ли пароль истинным, имеет тип boolean.
• Lock – выполняет блокировку.
Входящий параметр: определяет, будет ли выполняться принудительная блокировка, имеет тип boolean.
Возвращаемые параметры: нет.
• PauseConversion – приостанавливает конверсию.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• ProtectKeyWithExternalKey – ключ защиты с внешним ключом.
Входящие параметры:
– строковый параметр, определяющий имя;
– массив параметров типа uint8, определяющих внешний ключ.
Возвращаемый параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
• ProtectKeyWithNumericalPassword – ключ защиты с паролем.
Входящие строковые параметры, определяющие:
– имя;
– пароль.
Возвращаемый параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
• ProtectKeyWithTPM – ключ защиты с ТРМ.
Входящие параметры:
– строковый параметр, определяющий имя;
– массив параметров типа uint8, определяющих платформы, поддерживаемые профилем.
Возвращаемый параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
• ProtectKeyWithTPMAndPIN – ключ защиты с ТРМ и ПИН-код.
Входящие параметры:
– строковый параметр, определяющий имя;
– массив параметров типа uint8, определяющих платформы, поддерживаемые профилем;
– строковый параметр, определяющий ПИН-код.
Возвращаемый параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
• ProtectKeyWithTPMAndStartupKey – ключ защиты с ТРМ и загрузочным ключом.
Входящие параметры:
– строковый параметр, определяющий имя;
– массив параметров типа uint8, определяющих платформы, поддерживаемые профилем;
– массив параметров типа uint8, определяющих внешний ключ.
Возвращаемый параметр: строковый параметр, определяющий идентификатор метки ключа защиты.
• ResumeConversion – продолжает конверсию.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• SaveExternalKeyToFile – сохраняет внешний ключ в файле.
Входящие строковые параметры, определяющие:
– идентификатор метки ключа защиты;
– путь к файлу. Возвращаемые параметры: нет.
• UnlockWithExternalKey – выполняет разблокировку на основе внешнего ключа.
Входящие параметры: массив параметров типа uint8, определяющих внешний ключ.
Возвращаемые параметры: нет.
• UnlockWithNumericalPassword – выполняет разблокировку на основе пароля.
Входящий параметр: строковый параметр, определяющий пароль.
Возвращаемые параметры: нет.
Групповые политикиПараметры работы механизма шифрования Шифрование диска BitLocker можно настроить с помощью групповых политик файла VolumeEncryption. admx, расположенных в подразделе Конфигурация компьютера Административные шаблоны Компоненты Windows Шифрование диска BitLocker.
Данные политики изменяют значения следующих параметров типа REGDWORD, расположенных в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\FVE.
• ActiveDirectoryBackup – если значение данного параметра равно 1, то будет разрешено выполнять архивирование важных данных механизма BitLocker (пароль восстановления, различные идентификационные данные и ключ шифрования) на контроллер домена. Архивирование данных BitLocker на контроллере домена позволяет повысить отказоустойчивость механизма шифрования.
• RequireActiveDirectoryBackup – при установке значения этого параметра равным 1 перед выполнением шифрования система должна выполнить архивирование данных BitLocker на контроллере домена. Если архивирование данных не будет выполнено, то шифрование данных будет отменено.
• ActiveDirectorylnf oToStore – если значение данного параметра равно 1, то на контроллере домена будет архивироваться вся дополнительная информация, необходимая для восстановления. Если значение равно 2, то на контроллере домена будет архивироваться только пароль восстановления.
• Def aultRecoveryFolderPath – имеет тип REG_EXPAND_SZ. Параметр содержит путь к папке для сохранения паролей восстановления по умолчанию.
• UseRecoveryDrive – если значение данного параметра равно 1, то перед шифрованием необходимо сохранить ключ шифрования на съемном носителе. Это позволяет повысить отказоустойчивость механизма шифрования.
• UseRecoveryPassword – при установке значения этого параметра равным 1 перед шифрованием необходимо указать пароль шифрования и сохранить его. Это позволяет повысить отказоустойчивость механизма шифрования.
• EnableNonTPM – если значение данного параметра равно 1, то использование механизма BitLocker на компьютерах без чипа ТРМ будет разрешено.
• UsePartialEncryptionKey – при установке значения этого параметра равным О ТРМ при запуске компьютера не будет требовать предъявления «флэшки», содержащей ключ запуска. Если значение равно 1, то значение параметра Use PIN должно быть равно 0.