BitLocker — шифрование жесткого диска или внешнего USB диска в Windows


Как включить BitLocker

Битлокер — BitLocker (полное название BitLockerDrive Encryption) — это программа для шифрования диска, встроенная в операционные системы Windows. Ее можно использовать в Windows 7 (Ultimate);
профессиональная, корпоративная версия Windows 8, 8.1 (Enterprise), Windows 10 (Pro, Enterprise, Education) или Windows 11.
Для запуска BitLocker:

  • откройте “Панель управления / Control Panel”;
  • перейдите в “Систему и безопасность / All Control Panel Items”;
  • выберите “Шифрование диска с помощью BitLocker / BitLocker Drive Encryption”.

Вы также можете открыть Проводник Windows / Windows Explorer и кликнуть правой кнопкой мыши на системном диске, любом логическом разделе или диске съемного устройства и выбрать пункт меню “Включить BitLocker / Turn on BitLocker” для включение шифрования.

Если вы в своей системе преобразовали диски в динамические, то они не могут быть зашифрованы с помощью BitLocker. Посмотреть режим работы ваших дисков можно в “Управлении дисками / Disk management”

Если опции “Включить BitLocker / Turn on BitLocker” нет в меню, значит у вас версия Windows, которая не поддерживает данную функцию.

 

Использование BitLocker при отсутствии TPM модуля

Шифрование диска с BitLocker по умолчанию требует наличие модуля TPM на компьютере для безопасности диска с операционной системой. TPM (англ. Trusted Platform Module; рус. совместимого доверенного платформенного модуля) — это микросхема в материнской плате, хранящая криптографические ключи для защиты информации.
Хранить ключи шифрования с помощью этого микрочипа надежнее, чем просто на жестком диске. Суть в том, что TPM предоставляет ключ шифрования только после проверки состояния компьютера. Микрочип «убеждается», что дешифрование запускают именно на вашем ПК, а не на каком-нибудь другом. Таким образом, даже если злоумышленник достанет жесткий диск с вашего ПК или создаст его образ, он не сможет расшифровать его на другом компьютере.
Однако ТРМ есть не в каждом ПК.
Чтобы проверить, есть ли модуль TPM:

  • откройте “Диспетчера устройств / Device manager”;
  • найдите “ Устройства безопасности / Security Devices”;
  • если есть микросхема TPM, вы должны увидеть “Trusted Platform Module”.

Так же это можно посмотреть в окне “Выполнить / Run” введите команду “tpm.msc”.

При наличии чипа вы увидите окно с основной информацией, включая состояние модуля и версию.

Если на вашем компьютере отсутствует Trusted Platform Module (TPM), то при включении BitLocker вы увидите сообщение:
“Это устройство не может использовать доверенный платформенный модуль (TPM). Администратор должен задать параметр – Разрешить использовать BitLocker без совместимого TPM” в политике – Обязательная дополнительная проверка подлинности при запуске для томов ОС.

Важное предостережение о ТРМ!

Вы должны понимать, что хранение ключа шифрования с использованием только модуля TPM защитит ваши данные в случае, если в чужие руки попадет только ваш диск или образ вашего диска. Если в руки злоумышленника попадет весь ваш компьютер, то расшифровка диска будет возможна, так как и зашифрованый диск, и модуль TPM, встроеный в ваш компьютер, будут в руках злоумышленника. Мы рекомендуем всегда использовать дополнительное требование введения PIN пароля для расшифровки ваших дисков.
Преимущество TPM заключается в простоте настройки и высокой безопасности — ключи хранятся в отдельной микросхеме. С другой стороны, если злоумышленники каким-либо образом узнают пароль от учетной записи, то без проблем смогут зайти в нее даже с шифрованием. Остерегайтесь утечки паролей.

 

Как зашифровать диск при отсутствии ТРМ модуля

Чтобы зашифровать диск без модуля TPM, необходимо обладать правами администратора. Вы должны открыть редактор “Локальной группы политики безопасности / Local Group Policy Editor” и изменить необходимый параметр:

  • нажмите клавишу Windows + R;
  • введите gpedit.msc и нажмите Enter;
  • перейдите в Политика “Локальный компьютер / Local Computer Policy”;
  • “Конфигурация компьютера / Computer Configuration”;
  • “Административные шаблоны / Administrative Templates”;
  • “Компоненты Windows / Windows Components”;
  • “Шифрование диска BitLocker / BitLocker Drive Encryption”;
  • “Диски операционной системы / Operating System Drives”;
  • дважды кликните на параметре “Этот параметр политики позволяет настроить требование дополнительной
  • проверки подлинности при запуске / Require additional authentication at startup”;
  • измените значение на “Включено / Enabled” и проверьте наличие галочки на параметре “Разрешить
  • использование BitLocker без совместимого TPM / Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive)”;
  • нажмите ОК.

 

Дополнительные возможности настройки BitLocker при наличии ТРМ модуля

Если в вашем компьютере имеется модуль TPM и мы хотим управлять расширеными возможностями безопасности, такие, как дополнительный ввод пароля при загрузке системы или использование съемного ключа в виде флэшки, сделайте следующие настройки.

Данные настройки разрешают или запрещают использование дополнительных способов защиты при создании шифрованого диска.

 

Этапы шифрования

В первую очередь при запуске BitLocker вам понадобится выбрать, что именно вы будете шифровать.
Доступно два типа шифрования BitLocker:

  1. Для логического раздела — можно зашифровать загрузочный диск с операционной системой Windows и/или все другие внутренние диски компьютера. Если зашифровать системный диск, в компьютер нельзя будет зайти без разблокировки, например, по паролю. Процесс шифрования / дешифрования проходит на лету, на скорость загрузки Windows не влияет. Также можно зашифровать другие диски в компьютере. Пароль для доступа необходимо будет ввести при первом обращении к такому диску.
  2. Для внешних устройств — можно зашифровать флешки, внежние жесткие диски. После этого доступ к ним будет возможен только по паролю.

 

Выбираем метод разблокировки

Когда определились с тем, что именно будете шифровать, необходимо также указать способ разблокировки диска при запуске. Например, с помощью ввода пароля или через специальную USB флешку, которая работает как ключ.

Если компьютер оснащен TPM микрочипом, вам будут доступны дополнительные опции. Например, вы можете настроить автоматическую разблокировку при загрузке. Компьютер будет обращаться за паролем к TPM модулю и автоматически расшифрует диск. Тогда никаких паролей вводить не надо. Но для повышения уровня безопасности рекомендуем настроить использование пин-кода при загрузке.

Выберите ваш предпочитаемый способ разблокировки и следуйте инструкции для дальнейшей настройки.

 

Сохраните ключ восстановления в надежное место

Перед шифрованием диска BitLocker предоставит вам ключ восстановления. Этот ключ разблокирует зашифрованный диск в случае утери вашего пароля. Пригодится на случай, если вы потеряете пароль или USB флешку, используемую в качестве ключа, или TPM модуль перестанет функционировать.
Ключ восстановления генерируется системой автоматически и выглядит примерно так:
 

284262-467071-398948-050468-082753-598631-442772-178398

Если вы сохраните ключ восстановления в ваш аккаунт Microsoft, то сможете получить доступ к нему позже по адресу – https://onedrive.live.com/recoverykey. Однако мы не рекомендуем хранить какую-либо конфиденциальную информацию, ключи шифрования, ключи восстановления и аккаунты на сетевых сервисах Microsoft.
Убедитесь в безопасности хранения ключа! Если кто-то им завладеет, то сможет расшифровать диск и получить доступ к вашим файлам. Имеет смысл сохранить несколько копий ключа в разных местах, так как, если у вас не будет ключа и что-то случиться с вашим основным методом разблокировки, ваши зашифрованные файлы будут утеряны навсегда.

 

Выбираем область шифрования диска

После включения BitLocker будет автоматически шифровать новые файлы по мере их добавления или изменения, но вы можете выбрать как поступить с файлами, которые уже присутствуют на вашем диске. Вы можете зашифровать только занятое сейчас место или весь диск целиком.
Шифрование только использованного места на диске проходит быстрее, но в таком случае, если злоумышленники получат доступ к вашему ПК, то с помощью специальных программ смогут восстановить файлы, которые вы раньше удаляли через Корзину.
Шифрование всего диска проходит дольше, зато никто не сможет восстановить уже удаленные вами файлы. Мы рекомендуем выбрать именно такой вариант.

 

Выбираем режим шифрования BitLocker (только Windows 10)

В Windows 10 появился новый метод шифрования – XTS-AES. Он обеспечивает улучшенную целостность и производительность по сравнению с AES, используемым в Windows 7 и 8. Если вы знаете, что диск, который вы шифруете, будет использоваться только на ПК с Windows 10, перейдите и выберите вариант “Новый режим шифрования”. Если вы считаете, что вам может понадобиться использовать диск со старой версией Windows в какой-то момент (особенно важно, если это съемный диск), выберите вариант “Совместимый режим”.

 

Как проходит процесс шифрования

Шифрования может занять от нескольких секунд до нескольких минут или даже дольше, в зависимости от размера диска, количества данных, которые вы шифруете, и того, хотите ли вы шифровать свободное пространство.
Если вы шифруете системный диск, вам будет предложено запустить проверку BitLocker и перезагрузить систему. Нажмите кнопку “Продолжить / Next”, а затем перезагрузите компьютер. После того, как компьютер загрузится в первый раз, Windows зашифрует диск.

Если вы выбрали шифрование съемного устройства, диск будет зашифрован без требования перезагрузки системы. Главное, не отсоединяйте съемное устройство во время шифрования.
Независимо от типа диска, который вы шифруете, вы можете увидеть на панели задач в системном трее значок шифрования диска BitLocker, и увидеть прогресс.

Вы можете продолжать использовать свой компьютер во время шифрования дисков – но он будет работать чуть медленнее, особенно если это диск операционной системы.
После завершения шифрования в контекстном меню “Проводника / Explorer” появятся новые пункты: изменение пароля и быстрый переход к настройкам BitLocker.

 

Включаем компьютер с зашифрованным диском

После перезагрузки компьютера вы увидите экран со строкой для ввода пароля BitLocker, ПИН кода или предложение вставить USB ключ.

Нажмите Escape, если вы не можете выполнить разблокировку. Вам будет предложено ввести ключ восстановления.

 

Подключаем к ПК зашифрованную флешку / внешний диск

Когда вы подсоедините зашифрованную флешку или внешний диск к компьютеру, при первом обращении к зашифрованному диску будет запрашиваться пароль для разблокировки.

Защищенные BitLocker диски имеют специальную иконку в Windows проводнике.

 

Управление зашифрованными дисками

Вы можете управлять защищенными дисками в окне контрольной панели BitLocker – изменить пароль, выключить BitLocker, сделать резервную копию ключа восстановления и другие действия. Нажмите правой кнопкой мышки на зашифрованном диске и выберите «Включить BitLocker» для перехода в панель управления.

 

Как отключить или приостановить BitLocker в Windows 10

Зачем отключать BitLocker?

Допустим, вы зашифровали свой диск с помощью текущего ПК с Windows 7, а теперь приобрели новый ПК с Windows 10. Вы хотите установить старый зашифрованный жесткий диск на новый компьютер. Однако, когда вы пытаетесь получить доступ к диску, Windows 10 просит вас отключить BitLocker или не распознает ваш пароль.
BitLocker также плохо взаимодействует с другими программами шифрования загрузочных областей, например VeraCrypt и не допускает возможность выбора загружаемой системы при наличии насколькиз операционных систем, установленых на компьютере.
Если эти неприятности заставили вас пересмотреть использование BitLocker, мы расскажем, как отключить его в Windows 10.

 

Снятие шифрования BitLocker с диска или флешки

В проводнике нажмите правой кнопкой мыши по зашифрованному и разблокированному диску, выберите пункт “Управление BitLocker”.

Откроется окно BitLocker Drive Encryption, здесь вы увидите список всех своих дисков. Рядом с диском будет параметр “Отключить BitLocker / Turn off Bitlocker”. Выберите его и продолжайте следовать инструкциям мастера настройки.

 

Как приостановить BitLocker из панели управления

Возможность приостановить защиту на системном диске позволяет отключить запрос на введение пароля при перезагрузке компьютера. Это удобно при установке обновлений, требующих перезагрузки системы. Приостановить защиту можно из панели управления BitLocker на одну или сразу несколько перезагрузок.
Откройте “Панель управления / Control Panel” и перейдите в “Систему и безопасность / All Control Panel Items” – “Шифрование диска с помощью BitLocker / BitLocker Drive Encryption”. В BitLocker Drive Encryption вы увидите, что зашифрованные вами диски будут иметь возможность “Приостановить защиту / Suspend protection“.

 

Будет ли компьютер тормозить после шифрования?

Как и любое шифрование BitLocker дополнительно нагружает системные ресурсы. Официальная справка Microsoft по BitLocker говорит следующее “Как правило дополнительная нагрузка составляет менее 10%”.
Тесты различных пользователей показывают, что на относительно современном железе падение скорости на дисках SSD — не более 10%, у дисков HDD падения могут быть больше.

 

Search
Latest Articles
26 Mar 2024
Все про экспорт истории в Telegram
26 Mar 2024
Что такое супергруппы в Telegram
19 Feb 2024
Как пользоваться Телеграмом в Беларуси
02 Feb 2024
Самоудаляющиеся сообщения в Telegram
28 Jan 2024
Приложения для создания скрытых пространств в телефоне
Most Popular
10 Oct 2022
Как вывести из строя релейный шкаф на ЖД
11 Jul 2022
Что такое ID в Telegram и для чего он нужен
11 Nov 2022
Досмотр телефона на границе: что делать?
16 Nov 2023
Что проверять и чистить в соцсетях и мессенджерах на тему политики
06 Apr 2022
P-Telegram — что такое и как установить
Cyber Security
Physical Security