Для чего нужен bitlocker

Шифрование Bitlocker

Для чего нужен bitlocker

StockSoft 3 октября 2020

        BitLocker, это функция безопасности, которая интегрируется в операционную систему и предотвращает получение информации посторонними лицами в случае утери, кражи или банального доступа к компьютеру без вашего присмотра защиты личных данных на жёстком диске с помощью шифрования, при условии отсутствия пароля учетной записи и ключа шифрования у злоумышленника. Данная возможность доступна на операционных системах Windows 10 (Pro, Enterprise, и Education).

    Windows 8 и 8.1 (Pro и> Enterprise).

    Windows 7 и Vista (Ultimate и Enterprise).

    Windows Server 2008 или более новые версии.

  1. Bitlocker по умолчанию требует наличие модуля TPM (Trusted Platform Module) на материнской плате, который устанавливается производителями далеко не на всех моделях, также данный модуль можно приобрести и установить самостоятельно в соответствующий разъем с маркировкой TPM (он располагается рядом с портами для подключения лицевой панели USB).

  2. BitLocker может сохранять зашифрованный ключ в TPM, что намного надежнее, чем хранить его на жестком диске компьютера.

    TPM чип предоставит ключ шифрования только после проверки конфигурации компьютера (завладеть самим диском или его копией и подключить его к другому компьютеру в целях кражи данных не принесет успеха).

     При отсутствии данного TPM модуля, BitLocker выдаст следующую ошибку:

  3. Есть возможность шифрования диска без данного модуля, для этого Вам нужно обладать правами администратора на компьютере и после перейти в Редактор локальной группы политики безопасности нажав клавиши Windows + R или в окне поиска на Панели управления ввести Выполнить, затем в открытом окне ввести команду gpedit.msc

  4. Для запуска BitLocker (на примере windows 10) нужно перейти в Конфигурацию компьютера > Административные шаблоны > Компонент Windows > Шифрование диска BitLocker>Диски операционной системы, и в правой части окна дважды нажмите на Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.

  5. В открывшимся окне выберите Включено и поставьте галочку Разрешить использование BitLocker без совместимого доверенного платформенного модуля и нажмите OK.

  6. После всех настроек осталось перейти в Этот компьютер и нажав правой кнопкой мыши на диск, который хотите зашифровать, включить BitLocker.

  7. Вам предложат создать пароль для разблокировки диска при включении компьютера, который будет требоваться при каждом запуске компьютера.

  8. Необходимо выбрать способ резервного сохранения ключа восстановления в случае проблем с разблокировкой диска (лучше всего распечатать на принтере и хранить в надежном месте).

  9. Ключ восстановления, это длинный шифр, состоящий из 8 групп по 6 цифр в каждой (если забудете пароль BitLocker илиподключите диск к другому устройству, то обязательно потребуется ключ восстановления и в случае его утери расшифровать диск не получится).

  10. Пример ключа восстановления в распечатанном виде:

  11. Укажите, какую часть диска хотите зашифровать (весь диск или занятое место).

  12. Режим шифрования.

  13. Поставьте галочку «Запустить проверку BitLocker».

  14. Для начала шифрования диска потребуется перезагрузка компьютера.

  15. После перезагрузки компьютера может появиться окно, в котором нужно ввести пароль BitLocker.

  16. Когда запустится рабочий стол, Windows начнет шифрование диска в фоновом режиме, скорость которого в первую очередь зависит от установленного накопителя.

  17. Защищенные с помощью BitLocker диски имеют специальную иконку в виде замочка.

  18. Нажав правой кнопкой мышки на зашифрованном диске и выбрав Управление BitLocker, у вас откроется панель управления, где можно сменить/удалить пароль, архивировать ключ восстановления или отключить шифрование диска.

  19. Примечание: После разблокировки одного из дисков, доступ к нему возможен без пароля до следующей перезагрузки компьютера. Для ручной блокировки не перезагружая устройство, нужно открыть командную строку от имени администратора и ввести команду manage-bde.exe -lock Х

    Где, диск Х (диск, который нужно заблокировать)

Источник: https://stocksoft.ru/blog/shifrovanie-bitlocker/

BitLocker: что такое и как его разблокировать?

Для чего нужен bitlocker

Многие пользователи с выходом операционной системы Windows 7 столкнулись с тем, что в ней появилась непонятная служба BitLocker. Многим остается только догадываться, что такое BitLocker. Давайте на конкретных примерах проясним ситуацию. Также мы рассмотрим вопросы, которые касаются того, насколько целесообразно задействование данного компонента или его полное отключение.

Служба BitLocker: для чего она нужна

Если разобраться как следует, то можно сделать вывод, что BitLocker представляет собой полностью автоматизированное универсальное средство шифрования данных, которые хранятся на жестком диске.

Что представляет собой BitLocker на жестком диске? Это обычная служба, которая без участия пользователя позволяет защитить папки и файлы путем их шифрования и создания специального текстового ключа, который обеспечивает доступ к документам.

В тот момент, когда пользователь работает под своей учетной записью, он даже не догадывается о том, что данные являются зашифрованными. Вся информация отображается в читабельном виде и доступ к папкам и файлам для пользователя не заблокирован.

Иначе говоря, такое средство защиты рассчитано только на те ситуации, при которых к компьютерному терминалу осуществляется несанкционированный доступ при попытке вмешательства извне.

Вопросы криптографии и паролей

Если говорить о том, что собой представляет BitLocker Windows 7 или в системах более высокого ранга, необходимо отметить такой неприятный факт: в случае утери пароля на вход многие пользователи не смогут не только зайти в систему, но и выполнить некоторые действия по просмотру документов, которые ранее были доступны, по перемещению, копированию и так далее. Но на этом проблемы не заканчиваются. Если как следует разобраться с вопросом, что собой представляет BitLocker Windows 8 и 10, то особых различий здесь нет. Можно отметить только более усовершенствованную технологию криптографии. Проблема здесь заключается в другом. Все дело в том, что сама по себе служба способна работать в двух режимах, сохраняя ключи дешифрации или на жестком диске, или на съемном USB-носителе. Отсюда напрашивается вполне логичный вывод: пользователь при наличии сохраненного ключа на винчестере без проблем получает доступ ко всей информации, которая на нем хранится. Когда ключ сохраняется на флэш-накопителе, проблема намного серьезнее. В принципе можно увидеть зашифрованный диск или раздел, а вот считать информацию никак не получится. К тому же, если уж говорить о том, что собой представляет BitLocker Windows 10 и систем более ранних версий, то необходимо отметить тот факт, что служба интегрируется в контекстные меню любого типа, которые вызываются путем правого клика мыши. Многих пользователей это просто раздражает. Не будем раньше времени забегать вперед и рассмотрим все основные аспекты, которые связаны с работой данного компонента, а также с целесообразностью его деактивации и использования.

Методика шифрования съемных носителей и дисков

Самое странное заключается в том, что в различных системах и их модификациях по  умолчанию служба BitLocker Windows 10 может находиться как в активном, так и в пассивном режиме. В Windows 7 она по умолчанию включена, в Windows 8 и Windows 10 иногда требуется ручное включение. Что же касается шифрования, то здесь ничего нового не изобрели.

Обычно используется та же самая технология AES на основе открытого ключа, что чаще всего применяется в корпоративных сетях. Поэтому если ваш компьютерный терминал с соответствующей операционной системой подключен к локальной сети, вы можете быть полностью уверены в том, что используемая политика безопасности и защиты информации подразумевает активацию данной службы.

Даже обладая правами администратора, ничего изменить вы не сможете.

Включение службы BitLocker Windows 10, в том случае, если она была деактивирована

Прежде чем приступать к решению вопроса, связанного с BitLocker Windows 10, необходимо рассмотреть процесс ее включения и настройки. Шаги по деактивации необходимо будет осуществлять в обратном порядке. Включение шифрования простейшим способом осуществляется из «Панели управления» путем выбора раздела шифрования диска.

Данный способ может использоваться только в том случае, если сохранение ключа не должно выполняться на съемный носитель. Если заблокирован несъемный носитель, то придется искать другой вопрос о службе BitLocker Windows 10: как отключить данный компонент? Это делается достаточно просто.

При условии, что ключ находится на съемном носителе, для расшифровки дисков и дисковых разделов необходимо вставить его в соответствующий порт, а после этого перейти к разделу системы безопасности «Панели управления». После этого находим пункт шифрования BitLocker, а затем рассматриваем носители и диски, на которых установлена защита.

Внизу будет находиться гиперссылка, предназначенная для отключения шифрования. Необходимо нажать на нее. При условии распознавания ключа будет активирован процесс дешифрования. Вам останется только дождаться завершения его выполнения.

Настройка компонентов шифровальщиков: проблемы

Что же касается вопроса настройки, то здесь не обойдется без головной боли. Прежде всего, стоит отметить, что система предлагает зарезервировать под свои нужды не менее 1,5 Гб. Во-вторых, необходимо настраивать разрешения файловой системы NTFS, например, уменьшать размер тома.

Для того чтобы заниматься такими вещами, следует сразу отключить данный компонент, поскольку большинству пользователей он не нужен. Даже те, у кого данная служба по умолчанию задействована в настройках, не всегда знают, что с ней нужно делать, и нужна ли она вообще.

И зря… На локальном компьютере можно защитить с ее помощью данные даже при условии полного отсутствия антивирусного программного обеспечения.

Как отключить BitLocker: начальный этап

Прежде всего, необходимо использовать в «Панели управления» указанный ранее пункт. Названия полей отключения службы в зависимости от модификации системы могут изменяться.

На выбранном накопителе может быть выбрана строка приостановки защиты или указание на отключение службы BitLocker. Но суть не в этом.

Следует обратить особое внимание на тот момент, что необходимо полностью отключить обновление BIOS и загрузочных файлов системы. Иначе процесс дешифровки может занять довольно продолжительное время.

Контекстное меню

Это одна сторона медали, которая связана со службой BitLocker. Что собой представляет данная служба, должно быть уже понятно. Оборотная сторона состоит в том, чтобы изолировать дополнительные меню от присутствия в них ссылок на данную службу. Для этого необходимо еще раз взглянуть на BitLocker.

Как убрать все ссылки на службу из контекстного меню? Да очень просто… При выделении нужного файла в «Проводнике» используем раздел сервиса и редактирования контекстного меню, переходим к настройкам, а после этого используем настройки команд и упорядочиваем их.

Далее необходимо указать значение «Панели управления» и найти в списке соответствующих элементов панелей и команд нужную и удалить ее. Затем в редакторе реестра необходимо зайти на ветку HKCR и найти раздел ROOT Directory Shell, развернуть его и удалить нужный элемент путем нажатия на клавишу Del или при помощи команды удаления из меню правого клика.

Это последнее, что касается BitLocker. Как его отключить, вам должно быть уже понятно. Но не стоит обольщаться раньше времени. Эта служба все равно будет работать в фоновом режиме, хотите вы этого или нет.

Заключение

Необходимо добавить, что это далеко не все, что можно сказать о системном компоненте шифрования BitLocker. Мы уже разобрались, что собой представляет BitLocker. Также вы узнали, как можно отключить и удалить команды меню.

Вопрос заключается в другом: стоит ли отключать BitLocker. Здесь можно дать один совет: в корпоративной сети вообще не стоит деактивировать данный компонент.

Но если речь идет о домашнем компьютерном терминале, то почему бы и нет.

Источник: http://computerologia.ru/bitlocker-chto-takoe-i-kak-ego-razblokirovat/

Технология BitLocker: задачи, особенности, применение

Для чего нужен bitlocker

Термин BitLocker достаточно часто встречаются в Сети, особенно, после появления операционной системы Windows Vista – первой, в которой использовалась данная технология.

Информация об этом методе может оказаться полезной для всех, кому важна защита содержимого дисков компьютера.

Однако тем, кто никогда его не применял, следует сначала узнать о некоторых особенностях шифрования – алгоритме, ключах, особенностях проверки и восстановления данных.

Рис. 1. Технология Битлокер позволяет защитить не отдельные файлы, а целые разделы (тома).

Предпосылки к появлению

Главной задачей технологии BitLocker, разработка которой началась в начале 2000-х годов, стала защита данных от оффлайновых атак такого типа:

  • загрузки компьютера с операционной системы, установленной на флешке;
  • снятия с ПК накопителя и его установка на другом устройстве;
  • восстановления стёртых с диска сведений.

Любой из этих вариантов позволяет воспользоваться информацией, даже если изначально она была защищена с помощью паролей и ограничений доступа.

Брандмауэры и антивирусы помогают спасти конфиденциальные сведения только, если ими пытаются завладеть удалённо.

Против физических атак (пользователя с отвёрткой или флешкой) практически бесполезна любая защита, кроме BitLocker.

Рис. 2. Задача технологии – защита данных от прямой (оффлайновой), а не сетевой атаки.

До появления технологии основными способами спрятать информацию от посторонних были установка определённых уровней доступа к файлам и каталогам для каждого пользователя.

Однако обойти такую защиту было сравнительно несложно даже без физического доступа – достаточно установки других драйверов файловой системы или самостоятельного повышения прав.

В то время как более надёжного полнодискового шифрования до появления Windows Vista в серии этих операционных систем не было.

Принцип действия технологии

В задачи BitLocker входит шифрование целого тома в операционной системе и проверка целостности загрузочных компонентов на компьютерах с совместимыми доверенными платформенными модулями.

Причём, для использования всех возможностей технологии на материнской плате компьютера должен быть установлен криптопроцессор TPM и совместимый с ним BIOS.

Однако есть возможность применять её и на вычислительных системах без такого процессора и интерфейса.

Шифрование выполняется для всего тома, что является ключевым аспектом в защите ценных сведений – в первую очередь, для компьютеров и ноутбуков крупных компаний и предприятий.

Хотя таких технологий существует три:

  • RMS применяется для ограничения доступа, прежде всего, к документам;
  • EFS позволяет шифровать и отдельные файлы, и целые каталоги;
  • И только BitLocker даёт возможность шифрования сразу всей информации на защищаемом с её помощью томе – включая реестр, файлы подкачки и операционной системы.

Не подлежат шифрованию с помощью BitLocker только метаданные томов и два вида секторов – загрузочные и повреждённые.

В первую очередь, потому что хранящаяся в них информация не является уникальной или ценной.

Во-вторых, потому что защиты тех данных, которые шифруются, уже достаточно для защиты «оффлайновых атак», подразумевающих обход стандартных технологий.

Применяемый алгоритм

Технология работает на базе алгоритма со 128-битным ключом.

При необходимости, длина увеличивается вдвое – до 256 бит, делая вероятность взлома практически «нулевой».

Для увеличения разрядности ключей применяются групповые политики или поставщик инструментария управления WMI.

Среди других особенностей алгоритма стоит выделить:

  • все сектора тома шифруются отдельно, а их номера частично влияют на вид ключей;
  • два зашифрованных сектора, содержащие идентичную информацию, выглядят по-разному;
  • при малейших изменениях информации зашифрованные данные меняются ещё сильнее.

Всё это полностью исключает возможность подбора какого-либо дешифрующего алгоритма.

Даже попытки зашифровывать какие-то сведения и сравнивать с защищёнными данными будут обречены на неудачу.

Единственный реально действующий способ восстановления данных доступен только пользователю, имеющему оригинальный ключ.

Ключи шифрования

Архитектура ключей достаточно непростая и не совсем понятная не сталкивавшимся с ней ранее пользователям.

Разобраться в их особенностях можно попробовать, рассмотрев отдельно каждую ступень защиты:

  • Ключ FVEK применяется для шифрования целого тома и расположен среди его метаданных. Это одновременно и повышает уровень защиты, и увеличивает продолжительность процесса.
  • Для шифрования FVEK используется другой ключ, VMK, который, в свою очередь, защищён другими предохранителями. По умолчанию, главной защитой является встроенный модуль TPM. Дополнительным предохранителем выступает создаваемый при шифровании пароль.
  • Повысить уровень защиты можно, пользуясь не только чипом TPM, но и объединённым с ним числовым PIN-кодом или сохраняемым на флешке частичным ключом. Если криптопроцессор на компьютере отсутствует, BitLocker полностью сохраняет предохранитель на USB-накопитель.

Технология оставляет возможность отключить шифрование без расшифровки защищённой информации.

В такой ситуации защиту VMK обеспечивает только новый и незашифрованный предохранитель ключа. С его помощью система получает доступ к информации так же, как если бы она не подвергалась шифрованию.

Запустившаяся система ищет подходящие предохранители в криптопроцессоре или на USB-накопителях.

Если их там не оказывается, запрос ключа отправляется пользователю.

После обнаружения или ввода предохранителя Windows расшифровывает сначала VMK, затем FVEK, и только потом расшифровывается защищённая информация.

Проверка целостности компонентов

Главной опасностью других технологий защиты всегда была необходимость оставлять незашифрованными компоненты, выполняющие начальную стадию загрузки.

Изменяя их код (создавая rootkit), злоумышленники способны получить доступ к информации на диске. Причём, информация может оставаться зашифрованной – но вероятность её расшифровки, благодаря такому взлому, резко возрастает.

Предотвратить такую ситуацию помогает технология BitLocker.

Полное шифрование обеспечивает целостность системы и предотвращает запуск Windows при обнаружении изменений отвечающих за загрузку компонентов.

Принцип контроля следующий:

  • Наличие криптопроцессора TPM позволяет компьютеру проверять запускаемый код с подсчётом значений хэша и сохранения в специальных регистрах PCR.
  • Получить обратно информацию можно только в том случае, если текущие значения PCR совпадают с теми, которые были на момент создания ключей.
  • Получается, что для расшифровки может использоваться только тот конкретный модуль TPM, который применяли для шифрования. Такая технология называется также «запечатывание» ключа и гарантирует практически стопроцентную защиту.

Следует знать: При отсутствии криптопроцессора допускается выполнять шифрование без сохранения ключей в TPM. Однако для этого обязательно понадобится внешний USB-носитель, а проверка целостности системы становится невозможной.

Процесс шифрования

Приступая к шифрованию, следует знать, что процесс достаточно долгий – время зависит от объёма защищаемой информации и мощности аппаратной части компьютера.

Впрочем, беспокоиться о потере информации и необходимости начинать сначала при случайном выключении ПК не стоит.

Даже в этом случае шифрование начнётся сначала при следующем запуске операционной системы.

Кроме того, следует учитывать такие особенности процедуры:

  • шифрование позволяет пользоваться компьютером для решения других задач – правда, до тех пор, пока оно не завершилось, на ПК вряд ли получиться запустить что-то более серьёзное, чем офисное приложение или браузер;
  • зашифрованные диски работают немного медленнее – примерно на 10%;
  • узнать о том, что процедуру можно запустить на конкретном ПК, можно в свойствах выбранного диска – одним из пунктов меню, открывающегося кликом правой кнопки мыши, будет «Включить BitLocker».

Для шифровки чаще всего пользуются криптографическими токенами – специальными устройствами, которое также называют электронными ключами.

Для примера можно взять модель Рутокен ЭЦП PKI – обеспечивающий двухфакторную идентификацию USB-ключ.

Подготовка к работе

Перед использованием токен следует подготовить к работе.

В большинстве случаев настройка устройства выполняется автоматически, при первом же подключении к компьютеру с Windows.

Для моделей типа ЭЦП PKI загружается специальная библиотека Aktiv Rutoken minidriver.

Рис. 3. Загрузка библиотек.

Наличие драйверов для электронного ключа можно проверить, включив «Диспетчер устройств».

Если они не установились, в списке оборудования при подключении токена будет появляться неизвестный элемент.

Для нормальной работы устройства следует загрузить и установить подходящие драйвера.

Рис. 4. Криптографический токен в списке подключённых устройств.

Шифрование данных

Перед началом процесса следует убедиться, что на криптографическом токене находится сертификат и ключи RSA 2048.

После этого действия занимающегося шифрованием пользователя должны быть такими:

  • Выбрать диск и в его свойствах найти «Включить BitLocker».

Рис. 5. Начало процесса шифрования – выбор диска и включение технологии.

  • Установить флажок на нужном пункте – в данном случае, на использовании смарт-карты.

Рис. 6. Выбор способа восстановления данных.

  • Выбрать способ сохранения ключа – например, его печать. Листок с напечатанным кодом для расшифровки рекомендуется хранить в безопасном месте – например, в сейфе.
  • Установить режим шифрования.
  • Запустить процесс, после завершения которого система обычно требует перезагрузки.

Рис. 7. Ход процесса шифрования.

Иконки зашифрованных дисков изменяются, а при попытке их открыть система запрашивает установку токенов и ввода ПИН-кодов.

При отсутствии электронного ключа доступ к данным будет закрыт.

Восстановление зашифрованной информации

Используя для защиты информации шифрование, следует предусмотреть возможность восстановления данных при отсутствии криптографического ключа.

Тем более что для дисков и томов, зашифрованных достаточно давно и не используемых на протяжении определённого времени, вероятность потери токена оказывается настолько высокой, что технология позволяет обойтись обычным кодом.

Это, в какой-то степени, снижает защищённость системы, зато снижает риск утратить доступ к своей же информации.

Если USB-ключ имеется в наличии, зашифрованные разделы открываются практически автоматически – после ввода ПИН-кода.

При отсутствии ключа от пользователя требуется ввести уже другую информацию.

Если при шифровании выбиралась печать кода на принтере, доступ откроется только после ручного ввода 48 символов.

Рис. 8. Листок с напечатанным ключом для восстановления данных.

Важно: Сэкономить время на вводе кода и избежать его потери поможет хранение сведений в файле – естественно, на другом, незашифрованном диске, на флешке или в сети. Одним из надёжных способов сохранить пароль является служба Active Directory.

Технология BitLocker является одним из лучших способов защитить конфиденциальную информацию от оффлайновых атак, научиться пользоваться которым достаточно просто.

С другой стороны, у такой системы защиты есть и определённые недостатки – от необходимости наличия на компьютере TPM-модуля и возможности потери криптографического ключа до использования дополнительных мер безопасности.

К ним относят ещё две технологии, EFS и RMS, которые по отдельности уступают BitLocker, но вместе с ней позволяют избежать угрозы от всех остальных попыток несанкционированного доступа.

Источник

Источник: https://pomogaemkompu.temaretik.com/1496982800141125742/tehnologiya-bitlocker-zadachi-osobennosti-primenenie/

Шифрование жесткого диска в Windows 10: зачем это нужно и как сделать

Для чего нужен bitlocker

Безопасность данных на компьютере — одна из главных прерогатив для многих пользователей. Комплексный подход — это защитить от стороннего вмешательства весь жесткий диск.  Сделать это можно с помощью стандартного средства шифрования в Windows 10.

Зачем выполнять шифрование данных, если есть учетная запись пользователя с паролем? На самом деле это самая простая защита, которую могут сломать даже новички, четко выполняя действия определенной инструкции.

Проблема заключается в том, что злоумышленник может использовать загрузочную флешку и получить доступ к файлам и реестру операционной системы. Далее всего в несколько действий  легко узнать введенный пароль или просто отключить его и получить доступ к рабочему столу. 

Вопрос защиты файлов будет особенно важен для корпоративного сектора. Например, только в США ежегодно в аэропортах  теряются больше 600 тысяч ноутбуков.

Стоит отметить, что с помощью встроенного средства BitLocker шифруются даже флеш-накопители, поскольку они распознаются системой как отдельные тома. При необходимости можно создать виртуальный диск VHD с важными данными и шифровать его, а сам файл хранить на обычной флешке.

Шифрование всего диска действительно скажется на производительности системы, в частности, на скорости чтения/записи данных. Тесты различных пользователей показывают, что на относительно современном железе  падение скорости на SSD — не более 10%, у жестких дисков падения могут быть больше.

Например, на ноутбуке Dell Inspiron 15 7577 с процессором i7-7700HQ  и накопителем Samsung 950 Pro с 256 ГБ разница в ежедневном использовании будет практически незаметна.

Средство BitLocker использует шифрование AES 128/256. Соответственно, задействуются вычислительные ресурсы процессора. Если вы используете старые модели на 1-2 ядра, то BitLocker или аналогичный софт может ухудшить производительность.

Чип TPM (Trusted Platform Module) — это специальный модуль, в котором хранятся криптографические ключи для защиты информации. Обычно он располагается на материнской плате, но далеко не каждая модель оснащается TPM. Ключ для расшифровки логического тома выдается только  в коде загрузчика ОС, поэтому злоумышленникине смогут достать его непосредственно из жесткого диска. 

Чтобы проверить, есть ли на вашем компьютере или ноутбуке модуль TPM, в окне «Выполнить» введите команду «tpm.msc».

При наличии чипа вы увидите окно с основной информацией, включая состояние модуля и версию.

Перед использованием системы шифрования TPM модуль необходимо инициализировать по следующей инструкции:

1.  В панели управления зайдите в раздел «Шифрование диска BitLocker».

2. Напротив системного диска кликните по строке «Включить BitLocker». Система начнет проверку на соответствие конфигурации компьютера.

3. В следующем окне система предупредит пользователя, что для продолжения процесса будут выполнены два действия: активация оборудования безопасности и последующий запуск шифрования. Необходимо нажать «Далее».

4. Для включения TPM система попросит перезагрузить компьютер, поэтому нажмите соответствующую кнопку.

5. При следующей загрузке перед пользователями появится окно активации чипа TPM. Нажмите соответствующую клавишу для подтверждения (в данном случае F1).

6. Как только Windows прогрузится, мастер шифрования продолжит свою работу и предложит следующее меню с выбором места сохранения ключа восстановления.  

Данные логического тома будут зашифрованы, а для разблокировки вам придется ввести пароль от учетной записи.  При попытке войти в систему через загрузочную флешку или путем перемещения HDD в другой компьютер посторонние не смогут получить доступ к вашим данным. Ключ доступа будет надежно спрятан в TPM модуле.

https://www.youtube.com/watch?v=OLk4UKmgDDY

Преимущество TPM заключается в простоте настройки и высокой безопасности — ключи хранятся в отдельной микросхеме. С другой стороны, если злоумышленники каким-либо образом узнают пароль от учетной записи, то без проблем смогут зайти в нее даже с шифрованием. 

Что делать, если при вводе команды «tpm.msc» TPM модуль не был найден? Использовать BitLocker вы сможете по-прежнему, но теперь ключ вам придется сохранять в другом месте. 

Для активации BitLocker следуйте инструкции:

1. Перейдите в меню групповых политик. В окне выполнить введите «gpedit.msc» и нажмите Enter. Необходимо открыть раздел «Конфигурация компьютера», а в нем перейти по «Административные шаблоны» и далее открыть «Компоненты Windows».

2. В компонентах найдите папку «Шифрование диска» и выберите подпункт «Диски операционной системы». Перейдите на вкладку «Стандартный» и дважды кликните ЛКМ по строке «Этот параметр позволяет настроить требования дополнительной проверки подлинности» (выделен на скриншоте).

3. Параметр необходимо перевести в состояние «Включено», а также поставить галочку в строке «Использовать BitLocker без совместимого TPM». Для сохранения изменений нажмите кнопку «Применить» и OK.

На этом настройка групповой политики завершена, и пользователи могут защититься стандартным средством шифрования BitLocker. Как и в предыдущей инструкции, вам необходимо перейти в раздел шифрования и включить BitLocker для системного или другого диска, на котором вы собираетесь зашифровать данные.

Меню настройки будет немного отличаться от вышеописанного:

1. Уже на первом окне вас попросят выбрать способ разблокировки диска. Пароль аналогичен предыдущей защите, вам будет достаточно ввести его при входе в учетную запись. Более надежный способ — флешка + PIN. Для входа в систему вам придется также вставить накопитель в USB-порт, после чего ввести  пароль.  

2. Если вы указали flash-накопитель, то система предложит выбрать его. В случае с паролем вам достаточно дважды ввести его и перейти в следующее окно.

3. Пользователь должен выбрать, куда сохранить ключ восстановления. Поскольку на шифруемый диск его записать нельзя, то доступны 4 варианта: учетная запись Майкрософт, флеш-накопитель, в качестве отдельного файла на другом диске или просто распечатать.

4. Выберем «Сохранить в файл». В этом случае достаточно указать место и убедиться, что соответствующий txt файл появился по указанному пути.

5. Выберите, как будет шифроваться диск — полностью или только занятая информацией часть. Второй вариант  оптимален для новых ПК, на которых только недавно был установлен весь необходимый софт.

6. Выбор режима шифрования. Для несъемных накопителей укажите «новый», но для флешек или переносимых HDD лучше выбрать «Режим совместимости», чтобы при необходимости получить доступ к файлам на другом компьютере.

7. После завершения настроек в трее появится иконка BitLocker. Кликните по ней и подтвердите перезагрузку компьютера.

8. После перезагрузки начнется процесс шифрования, а его прогресс можно узнать из соответствующего значка в трее.

Теперь диск зашифрован и при каждом включении Windows будет просить ввести пароль BitLocker. Это относится и к съемным накопителям, если они были зашифрованы таким способом.

В разделе шифрования также появятся подробные настройки, где вы сможете удалить или сменить пароль, приостановить защиту, архивировать ключ восстановления или отключить шифрование.

Неправильный ввод пароля несколько раз приведет к блокировке, и получить доступ к диску можно будет только с помощью ключа восстановления

Самыми надежными считаются специальные смарт-карты, которые визуально выглядят как обычные флешки. Однако они имеют специальные библиотеки и отображаются отдельными устройствами в диспетчере задач. Соответственно, воспроизвести смарт-карту намного сложнее в отличие от обычной флешки-ключа. 

Если по каким-либо причинам стандартная система шифрования вас не устраивает или в вашей редакции Windows ее просто нет, то можно воспользоваться сторонним софтом.

Однако будьте осторожны. Во-первых, сторонние программы в отличие от системных средств могут ощутимо сказываться на производительности компьютера, особенно, если они не оптимизированы под конкретные ОС. Во-вторых, нет гарантий, что такой софт не имеет уязвимостей, которыми могут воспользоваться злоумышленники или даже разработчики.

BitLocker Anywhere

Популярный софт для шифрования дисков, работающий под операционными системами Windows 7/8/10 различных редакций.  У софта есть пробная версия на 15 суток, однако в ней запрещено шифровать системный раздел, поэтому пользователи смогут защитить только флешки и другие логические тома жесткого диска.

Базовая версия стоит 14,99$, а профессиональная с возможностью шифровать тома больше 2 ТБ — 19,99$.

В функционал BitLocker Anywhere входит шифрование и дешифрование дисков, создание ключей восстановления с их экспортом.

По сути, это аналог стандартному BitLocker с технической поддержкой со стороны разработчиков. Очевидный минус — в качестве защиты доступен только пароль, никаких смарт-карт или USB Flash здесь нет.  

Для шифрования достаточно выбрать диск, указать пароль, место для сохранения ключа восстановления и дождаться окончания процесса. Интерфейс на английском языке, но программой можно пользоваться даже с минимальными знаниями иностранного.

7 zip

Если вы предпочитаете создавать VHD-образы  и при необходимости подключать их к системе, то для шифрования вполне подойдет обычный архиватор 7zip.

Выберите виртуальный образ жесткого диска (формат VHD/VHDX) и нажмите «Добавить в архив». Далее в окне настроек укажите имя, пароль для шифрования и метод (желательно, AES-256).

Теперь для дешифровки вам придется ввести пароль и только потом монтировать VHD файл.

Что делать, если Windows с зашифрованным логическим диском не запускается? Это не проблема, если у вас есть необходимые данные доступа. Чтобы снять блокировку BitLocker, вам следует иметь хотя бы один из следующих элементов:

  • пароль шифрования BitLocker, который вы вводили в самом начале;
  • ключ восстановления (его предлагали сохранить на флешке, в учетной записи или распечатать);
  • USB-ключ запуска системы, если вы использовали флешку.

Если ничего этого у вас нет, то про данные можно забыть и единственный способ вернуть диск — отформатировать его. Конечно, есть специфические способы «выловить» ключ среди метаданных или дампа оперативной памяти, но и они не дают стопроцентной гарантии успеха, не говоря о сложности реализации. К этим методикам могут прибегать специализированные сервисы. 

Если Windows не прогружается, то вам необходимо запустить среду восстановления, или воспользоваться установочным диском. Если  это возможно, запустите командную строку (для стандартных средств Windows это команда Shift+F10). Теперь выполните следующие действия:

  1. Проверьте состояние зашифрованных дисков командой «manage-bde –status». Если все хорошо, то должна появиться надпись с BitLocker Drive Encryption: Volume X, где вместо Х буква зашифрованного тома. 
  2. Далее разблокируйте диск командой «manage-bde -unlock D: -pw». Вас попросят ввести пароль. 
  3. После успешной дешифровки появится соответствующее окно и можно приступить к восстановлению. 

Если пароль не известен, то можно использовать ключ восстановления, напечатав в командной строке:

repair-bde F: G: -rp 481385-559146-955173-133053-357710-316682-137633-983682 –Force

В этом случае поврежденные данные с диска F будут перекопированы на диск G, при этом последний должен быть по объему больше диска F. Ключ восстановления — это 48-цифровой код, который и печатается в этой команде.

Для flash-ключа формата «.bek», который в данном примере находится на флешке I, используется следующая строка:

repair-bde F: G: -rk I:\3F449834-943D-5677-1596-62C36BA53564.BEK –Force

Перед открытием расшифрованного диска обязательно выполните проверку на ошибки стандартной командой Chkdsk.

Источник: https://club.dns-shop.ru/blog/t-107-jestkie-diski/36971-shifrovanie-jestkogo-diska-v-windows-10-zachem-eto-nujno-i-kak-sd/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.