Как настроить шифрование BitLocker в Windows

BitLocker — это встроенный в Windows инструмент, который позволяет зашифровать весь жесткий диск для повышения безопасности. Вот как это настроить.

Когда компания TrueCrypt вызвала споры о закрытии магазина, они рекомендовали своим пользователям перейти с TrueCrypt на использование BitLocker или Veracrypt. BitLocker существует в Windows достаточно долго, чтобы считаться зрелым, и является продуктом шифрования, который обычно хорошо оценивается профессионалами в области безопасности. В этой статье мы поговорим о том, как настроить его на своем ПК.

Примечание. Для шифрования диска BitLocker и BitLocker To Go требуется версия Professional или Enterprise Windows 8 или 10 или Максимальная версия Windows 7. Однако, начиная с Windows 8.1, выпуски Windows Домашняя и Профессиональная включают функцию «Шифрование устройства» (эта функция также включена в Windows 10), которая работает аналогично. Мы рекомендуем шифрование устройства, если ваш компьютер его поддерживает, BitLocker для пользователей Pro, которые не могут использовать шифрование устройства, и VeraCrypt для пользователей домашней версии Windows, где шифрование устройства не работает.

Зашифровать все целиком. Диск или создание зашифрованного контейнера?

Во многих руководствах говорится о создании контейнера BitLocker, который работает так же, как зашифрованный контейнер, который вы можете создать с помощью таких продуктов, как TrueCrypt или Veracrypt. Это немного неправильное название, но вы можете добиться подобного эффекта. BitLocker работает, шифруя целые диски. Это может быть ваш системный диск, другой физический диск или виртуальный жесткий диск (VHD), который существует в виде файла и смонтирован в Windows.

Разница в основном семантическая. В других продуктах для шифрования вы обычно создаете зашифрованный контейнер, а затем монтируете его как диск в Windows, когда вам нужно его использовать. С помощью BitLocker вы создаете виртуальный жесткий диск, а затем шифруете его. Если вы хотите использовать контейнер, а не, скажем, шифровать существующую систему или накопитель, ознакомьтесь с нашим руководством по созданию зашифрованного файла контейнера с помощью BitLocker.

В этой статье мы собираемся чтобы сосредоточиться на включении BitLocker для существующего физического диска.

Как зашифровать диск с помощью BitLocker

Чтобы использовать BitLocker для диска, все, что вам действительно нужно нужно включить его, выбрать метод разблокировки — пароль, PIN-код и т. д. — а затем установить несколько других параметров. Однако прежде чем мы углубимся в это, вы должны знать, что для использования полнодискового шифрования BitLocker на системном диске обычно требуется компьютер с доверенным платформенным модулем (TPM) на материнской плате вашего ПК. Этот чип генерирует и хранит ключи шифрования, которые использует BitLocker. Если на вашем компьютере нет доверенного платформенного модуля, вы можете использовать групповую политику, чтобы включить использование BitLocker без доверенного платформенного модуля. Это немного менее безопасно, но все же более безопасно, чем полное отсутствие шифрования.

Вы можете зашифровать несистемный диск или съемный диск без TPM и без включения параметра групповой политики.

В этой заметке вы также должны знать, что существует два типа шифрования диска BitLocker, которые вы можете включить:

• Шифрование диска BitLocker:  Иногда его называют просто как и BitLocker, это функция «шифрования всего диска», которая шифрует весь диск. Когда ваш компьютер загружается, загрузчик Windows загружается из раздела, зарезервированного системой, и загрузчик запрашивает метод разблокировки, например пароль. Затем BitLocker расшифровывает диск и загружает Windows. В остальном шифрование прозрачно — ваши файлы выглядят так, как обычно в незашифрованной системе, но они хранятся на диске в зашифрованном виде. Вы также можете зашифровать другие диски, кроме системного.
• BitLocker To Go: вы можете зашифровать внешние диски, например USB-накопители и внешние жесткие диски, с помощью BitLocker To Go. . Вам будет предложено указать способ разблокировки, например пароль, при подключении накопителя к компьютеру. Если у кого-то нет метода разблокировки, он не сможет получить доступ к файлам на диске.

В Windows с 7 по 10 вам действительно не нужно беспокоиться о выборе сам. Windows обрабатывает все за кулисами, и интерфейс, который вы будете использовать для включения BitLocker, ничем не отличается. Если вы в конечном итоге разблокируете зашифрованный диск в Windows XP или Vista, вы увидите брендинг BitLocker to Go, поэтому мы решили, что вы должны хотя бы знать об этом.

Итак, с этим покончено. , давайте рассмотрим, как это работает на самом деле.

Шаг первый: включение BitLocker для диска

Самый простой способ включить BitLocker для диска — щелкнуть правой кнопкой мыши диск в файле Проводник, а затем выберите команду «Включить BitLocker».Если вы не видите эту опцию в контекстном меню, скорее всего, у вас нет версии Windows Pro или Enterprise, и вам нужно искать другое решение для шифрования.

Все очень просто. Появится мастер, который проведет вас через выбор нескольких вариантов, которые мы разбили на следующие разделы.

Шаг второй: выберите метод разблокировки

Первый экран, который вы В мастере «Шифрование диска BitLocker» вы можете выбрать, как разблокировать диск. Вы можете выбрать несколько различных способов разблокировки диска.

Если вы шифруете системный диск на компьютере, на котором нет TPM, вы можете разблокировать диск с помощью пароля или USB-накопителя, выполняет функцию ключа. Выберите метод разблокировки и следуйте инструкциям для этого метода (введите пароль или подключите USB-накопитель).

Если на вашем компьютере есть доверенный платформенный модуль, вы увидите дополнительные параметры для разблокировки системного диска. Например, вы можете настроить автоматическую разблокировку при запуске (когда ваш компьютер получает ключи шифрования от TPM и автоматически расшифровывает диск). Вы также можете использовать PIN-код вместо пароля или даже выбрать биометрические параметры, такие как отпечаток пальца.

Если вы шифруете несистемный диск или съемный диск, вы увидите только два варианта (будь то у вас есть TPM или нет). Вы можете разблокировать диск с помощью пароля или смарт-карты (или и того, и другого).

Шаг третий: резервное копирование ключа восстановления

BitLocker предоставляет ключ восстановления, который можно использовать для доступа к зашифрованные файлы, если вы когда-либо потеряете свой основной ключ, например, если вы забудете свой пароль или если компьютер с доверенным платформенным модулем выйдет из строя, и вам придется получить доступ к диску из другой системы.

Вы можете сохранить ключ на свой Учетная запись Microsoft, USB-накопитель, файл или даже распечатайте его. Эти параметры одинаковы независимо от того, шифруете ли вы системный или несистемный диск.

Если вы создадите резервную копию ключа восстановления в своей учетной записи Microsoft, вы сможете получить доступ к ключу позже на странице https://onedrive. live.com/recoverykey. Если вы используете другой метод восстановления, обязательно сохраните этот ключ — если кто-то получит к нему доступ, он может расшифровать ваш диск и обойти шифрование.

При желании вы также можете создать резервную копию ключа восстановления несколькими способами. Просто нажмите каждый вариант, который вы хотите использовать, по очереди, а затем следуйте инструкциям. Когда вы закончите сохранение ключей восстановления, нажмите «Далее», чтобы продолжить.

Примечание. Если вы шифруете USB или другой съемный носитель, у вас не будет возможности сохранить восстановление. ключ на USB-накопитель. Вы можете использовать любой из трех других вариантов.

Шаг четвертый: зашифровать и разблокировать диск

BitLocker автоматически шифрует новые файлы по мере их добавления, но вы должны выбрать, что произойдет с файлы в настоящее время на вашем диске. Вы можете зашифровать весь диск, включая свободное место, или просто зашифровать используемые файлы на диске, чтобы ускорить процесс. Эти параметры одинаковы независимо от того, шифруете ли вы системный или несистемный диск.

Если вы настраиваете BitLocker на новом ПК, шифруйте только используемое дисковое пространство. — это намного быстрее. Если вы настраиваете BitLocker на ПК, который используете некоторое время, вам следует зашифровать весь диск, чтобы никто не смог восстановить удаленные файлы.

Сделав выбор, нажмите кнопку «Далее».

Шаг пятый. Выберите режим шифрования (Только для Windows 10)

Если вы используете Windows 10, вы увидите дополнительный экран, позволяющий выбрать метод шифрования. Если вы используете Windows 7 или 8, перейдите к следующему шагу.

В Windows 10 появился новый метод шифрования под названием XTS-AES. Он обеспечивает повышенную целостность и производительность по сравнению с AES, используемым в Windows 7 и 8.Если вы знаете, что диск, который вы шифруете, будет использоваться только на ПК с Windows 10, выберите опцию «Новый режим шифрования». Если вы считаете, что в какой-то момент вам может понадобиться использовать диск с более старой версией Windows (особенно важно, если это съемный диск), выберите параметр «Совместимый режим».

Какой бы вариант вы ни выбрали (опять же, они одинаковы для системных и несистемных дисков), продолжайте и нажмите кнопку «Далее». Когда закончите, нажмите кнопку «Начать шифрование», а на следующем экране нажмите кнопку «Начать шифрование».

Шаг шестой: завершение

Процесс шифрования может занять от секунд до минут или даже дольше, в зависимости от размер диска, объем шифруемых данных и выбранное вами шифрование свободного места.

Если вы шифруете системный диск, вам будет предложено запустить проверку системы BitLocker. и перезагрузите вашу систему. Убедитесь, что опция выбрана, нажмите кнопку «Продолжить», а затем перезагрузите компьютер, когда появится запрос. После первой загрузки ПК Windows шифрует диск.

Если вы шифруете несистемный или съемный диск, перезапуск Windows не требуется, и шифрование начинается немедленно.

Независимо от типа диска, который вы шифруете, вы можете проверить значок BitLocker Drive Encryption на панели задач, чтобы увидеть его ход, и вы можете продолжать использовать свой компьютер, пока диски шифруются — просто он будет работать медленнее.

Разблокировка вашего диска

Если ваш системный диск зашифрован, его разблокировка зависит от выбранного вами метода (и от того, есть ли на вашем ПК TPM). Если у вас есть TPM и вы выбрали автоматическую разблокировку диска, вы не заметите ничего другого — вы просто загрузитесь прямо в Windows, как всегда. Если вы выбрали другой метод разблокировки, Windows предложит вам разблокировать диск (путем ввода пароля, подключения USB-накопителя и т. д.).

 

И если вы потеряли (или забыли) способ разблокировки, нажмите Escape на запрос на ввод ключа восстановления.

Если вы зашифровали несистемный или съемный диск, Windows предложит вам разблокировать диск при первом доступе к нему после запуска Windows (или при подключении к ваш компьютер, если это съемный диск). Введите пароль или вставьте смарт-карту, и диск должен разблокироваться, чтобы вы могли его использовать.

В проводнике зашифрованные диски отмечены золотым замком на значке (слева). Этот замок становится серым и кажется разблокированным, когда вы разблокируете диск (справа).

Вы можете управлять заблокированным диском — изменять пароль, отключать BitLocker, создавать резервную копию ключа восстановления или выполнять другие действия — из BitLocker. окно панели управления. Щелкните правой кнопкой мыши любой зашифрованный диск и выберите «Управление BitLocker», чтобы сразу перейти на эту страницу.

Как и любое другое шифрование, BitLocker добавляет некоторые накладные расходы. В официальном FAQ Microsoft по BitLocker говорится, что «обычно это накладывает однозначный процент накладных расходов на производительность.» Если шифрование важно для вас, потому что у вас есть конфиденциальные данные (например, ноутбук, полный деловых документов), повышенная безопасность стоит того, чтобы пожертвовать производительностью.