Отключение Bitlocker
- Разблокируйте диск (обязательное условие, без которого доступ к управлению ограничен).
- Нажмите «Отключить Bitlocker».
- Подтвердите свои действия в новом диалоговом окне и дождитесь окончания процедуры.
- После этого вы получите доступ к «незашифрованным данным».
Совет! Если вы потеряли доступ к заблокированным файлам флешки, но желаете и далее ее эксплуатировать — сделайте форматирование.
Если компьютер потерян или украден, пароль не защитит данные. Вору даже не нужно заходить в систему — он просто удалит жесткий диск и подключит его к другому компьютеру.
Однако, если данные зашифрованы, их практически невозможно извлечь.
Итак, что можно защитить:
- клиентов от кражи личных данных;
- бизнес от требований, связанных с нарушениями конфиденциальности;
- репутацию.
Microsoft BitLocker обеспечивает простое шифрование данных дисков на компьютере. Таким образом, вы можете оставаться защищенным, если устройство или диск потеряны, или украдены.
Для начала сделайте следующее:
- перед выполнением любого из последующих методов проведите резервное копирование системы;
- проверьте, поддерживает ли Windows шифрование устройств.
Большинство ПК с версией системы 8.1 и выше (но не все) способны шифровать устройства. В основном новые компьютеры под управлением Windows 10 имеют эту функцию.
При входе в качестве администратора BitLocker шифрует только ваш диск.
Ключ восстановления загружается на серверы Microsoft. Он поможет восстановить важные файлы, если вы забудете пароль или не сможете зайти в систему.
Чтобы узнать, поддерживает ли ваш компьютер шифрование устройств, выполните следующие действия:
Шаг 1. Откройте приложение «Параметры» с помощью клавиш «Win+I».
Шаг 2. Выберите «Система», а затем перейдите на вкладку «О программе».
Шаг 3. Найдите раздел «Шифрования устройства» в нижней части окна. Если вы ничего не нашли, значит компьютер не поддерживает эту функцию. В ином случае вы увидите раздел, как на скриншоте ниже.
Отказ в доступе. Не удалось резервное копирование сведений о авторизации владельцев TPM в службы домена Active Directory. Код ошибки: 0x80070005
У вас есть среда, которая применяет режим «Не вставлять BitLocker» до тех пор, пока сведения о восстановлении не будут храниться в политике DS AD. Вы пытаетесь включить шифрование диска BitLocker на компьютере с Windows 7, но операция не выполняется. Вы получаете сообщение, похожее на «Отказано в доступе» или «Недостаточные права».
Причина
TPM не имеет достаточных разрешений для контейнера TPM Devices в службе домена Active Directory (AD DS). Поэтому данные о восстановлении BitLocker не удалось выполнить в AD DS, а шифрование диска BitLocker не удалось запустить.
Эта проблема, как представляется, ограничивается компьютерами, которые запускают версии Windows, которые являются более ранними Windows 10.
Разрешение
Чтобы убедиться, что вы правильно определили эту проблему, используйте один из следующих методов:
- Отключите политику или удалите компьютер из домена. Затем попробуйте снова включить шифрование диска BitLocker. Теперь операция должна быть успешной.
- Используйте средства отслеживания LDAP и сети для изучения обменов LDAP между клиентом и контроллером домена AD DS для определения причины ошибки «Отказано в доступе» или «Недостаточные права». В этом случае следует увидеть ошибку, когда клиент пытается получить доступ к своему объекту в контейнере CN=TPM Devices,DC= <domain> ,DC=com.
-
Чтобы просмотреть сведения tPM для пострадавшего компьютера, откройте окно с повышенным Windows PowerShell и запустите следующую команду:
В этой команде ComputerName — это имя затронутого компьютера.
-
Чтобы устранить проблему, используйте средство dsacls.exe, чтобы убедиться, что список управления доступом msTPM-TPMInformationForComputer предоставляет разрешения на чтение и записи в NTAUTHORITY/SELF.
Принципы работы
BitLocker шифрует том, а не физический диск. Том может занимать часть диска, а может включать в себя массив из нескольких дисков. Для работы BitLocker’у в случае шифрования системного диска потребуется два NTFS-тома, один для ОС и один для загрузочной части. Последний должен быть не менее 1,5 Гб, и не будет зашифрован. Начиная с Windows Vista SP1 появилась возможность шифровать несистемные тома. После создания разделов необходимо инициализировать TPM-модуль в ПК, где он есть, и активировать BitLocker. В Windows 7 появился BitLocker To Go, позволяющий шифровать сменные носители, а также снижены требования для загрузочной части, для неё достаточно 100 Мб. При установке Windows 7 на пустой диск загрузочный раздел создаётся автоматически.
Событие с кодом 854: WinRE не настроенEvent ID 854: WinRE is not configured
Сведения о событии похожи на приведенные ниже.The event information resembles the following:
ПричинаCause
Среда восстановления Windows (WinRE) — это минимальная операционная система Windows, основанная на среде предварительной установки Windows (Windows PE).Windows Recovery Environment (WinRE) is a minimal Windows operating system that is based on Windows Preinstallation Environment (Windows PE). В WinRE есть несколько средств, с помощью которых администратор может восстановить или сбросить Windows и диагностировать проблемы с Windows.WinRE includes several tools that an administrator can use to recover or reset Windows and diagnose Windows issues. Если устройство не может запустить обычную операционную систему Windows, устройство пытается запустить WinRE.If a device cannot start the regular Windows operating system, the device tries to start WinRE.
Процесс подготовки включает шифрование диска BitLocker на диске операционной системы на этапе подготовки Windows PE.The provisioning process enables BitLocker Drive Encryption on the operating system drive during the Windows PE phase of provisioning. Это действие гарантирует, что диск защищен до установки полной операционной системы.This action makes sure that the drive is protected before the full operating system is installed. Процесс подготовки также создает системный раздел для WinRE для использования в случае сбоя системы.The provisioning process also creates a system partition for WinRE to use if the system crashes.
Если программа WinRE недоступна на устройстве, подготовка прекратится.If WinRE is not available on the device, provisioning stops.
РазрешениеResolution
Вы можете устранить эту проблему, проверив конфигурацию разделов диска, состояние WinRE и конфигурацию загрузчика Windows.You can resolve this issue by verifying the configuration of the disk partitions, the status of WinRE, and the Windows Boot Loader configuration. Для этого выполните указанные ниже действия.To do this, follow these steps.
Процедуры, описанные в этом разделе, зависят от разделов диска по умолчанию, которые Windows настраивает во время установки.The procedures described in this section depend on the default disk partitions that Windows configures during installation. В Windows 10 автоматически создается раздел восстановления, содержащий файл WinRE. wim.Windows 10 automatically creates a recovery partition that contains the Winre.wim file. Конфигурация раздела будет выглядеть примерно так:The partition configuration resembles the following.
Чтобы проверить конфигурацию разделов диска, откройте окно командной строки с повышенными привилегиями и выполните указанные ниже команды.To verify the configuration of the disk partitions, open an elevated Command Prompt window, and run the following commands:
Если состояние любого из томов не является работоспособным или раздел восстановления отсутствует, возможно, потребуется переустановить Windows.If the status of any of the volumes is not healthy or if the recovery partition is missing, you may have to reinstall Windows. Перед тем как это сделать, проверьте конфигурацию образа Windows, который вы используете для подготовки.Before you do this, check the configuration of the Windows image that you are using for provisioning. Убедитесь, что на изображении используется правильная конфигурация диска.Make sure that the image uses the correct disk configuration. Настройка изображения должна выглядеть следующим образом (этот пример относится к диспетчеру конфигураций конечных точек Microsoft).The image configuration should resemble the following (this example is from Microsoft Endpoint Configuration Manager).
Действие 2: Проверка состояния WinREStep 2: Verify the status of WinRE
Чтобы проверить состояние WinRE на устройстве, откройте окно командной строки с повышенными привилегиями и выполните следующую команду:To verify the status of WinRE on the device, open an elevated Command Prompt window and run the following command:
Результат этой команды будет выглядеть примерно так:The output of this command resembles the following.
Если состояние Windows RE не включено, выполните следующую команду, чтобы включить ее.If the Windows RE status is not Enabled, run the following command to enable it:
Создать ключ восстановления
Когда процесс будет завершен, он предложит нам несколько вариантов сохранения ключа восстановления в если мы забудем пароль. Мы можем снова сгенерировать этот ключ из меню конфигурации, которое появляется рядом с зашифрованным диском в диалоговом окне «Активировать BitLocker».
Этот ключ может понадобиться нам, если Windows обнаружит какой-либо тип аномалии в зашифрованном диске при выполнении с ним какого-либо процесса. Но он также будет запрашивать его, если мы каким-то образом используем зашифрованный диск или USB, и мы не помним пароль.
У нас будет несколько вариантов сохранения ключа восстановления.
- Счетом Microsoft : вы можете сохранить ключ восстановления в OneDrive, да, раньше нам приходилось входить в систему с учетной записью Microsoft. Мы можем получить доступ к нашему паролю BitLocker по адресу https://onedrive.live.com/recoverykey .
- USB флэш-накопитель : мы можем сохранить ключ на флешке, но он не зашифрован.
- В файле : мы можем создать текстовый файл, в котором у нас будет ключ.
- Распечатать ключ восстановления : мы можем распечатать ключ и оставить его на бумаге, когда он нам понадобится.
Для пользователей Windows 10 Professional: BitLocker
К сожалению, не все устройства поддерживают встроенную услугу шифрования. В таких ситуациях на помощь приходит универсальное приложение BitLocker, которое способно с легкостью шифровать любые накопители — даже съемные USB-устройства. Хоть оно и является стандартной программой WIndows 10, Microsoft по прежнему ограничивают его функционал в зависимости от приобретенной версии: профессиональная, корпоративная или образовательная.
Обычно для использования Bitlocker Windows может потребовать наличие TPM (Trusted Platform Module — аппаратное обеспечение, которое поддерживают большинство современных ПК, приобретается отдельно). Тем не менее существует функция, позволяющая использовать приложение без необходимости покупки TPM. Для этого понадобится использовать Flash-накопитель в качестве “ключа запуска”. Он обязан присутствовать при каждой загрузке BitLocker.
Отличительной особенностью BitLocker является возможность шифрования всего диска. Это говорит, что вам больше не нужно выбирать каждый отдельный файл и обрабатывать его. Достаточно указать диск или раздел, чтобы приложение начало выполнять свои обязанности. Любые новые файлы, которые вы создадите, попадают под один уровень защиты, поэтому нет никакого риска забыть зашифровали вы свежий файл или нет.
Если вы пользуетесь Windows 10 Professional и хотите подключить BitLocker, воспользуйтесь приведенной ниже инструкцией:
1. Откройте меню Пуск.
2. В диалоговом окне введите BitLocker. Запустите приложение
3. Подключите услугу BitLocker.
Если у вас не куплена Windows 10 Professional, но вы по прежнему заинтересованы в использовании шифрования, настоятельно рекомендуем улучшить версию Home до Professional. Сделать это можно открыв Настройки > Обновление и безопасность > Активация > Перейти в магазин. Купив улучшенную версию Windows, вы получите полный доступ к шифрованию BitLocker.
Как включить шифрование диска Microsoft BitLocker без модуля TPM
Модуль TPM — это тип аппаратной защиты данных, обеспечиваемый микрочипом, встроенным в компьютер. Шифрование диска Microsoft Windows BitLocker — это программная функция защиты данных, доступная в версиях Windows Vista Ultimate и Enterprise, которая предназначена для работы с TPM.
BitLocker шифрует данные на жестком диске, а затем сохраняет ключи шифрования на TPM. BitLocker можно также использовать без TPM, перенастроив параметры BitLocker по умолчанию. Тогда BitLocker будет сохранять ключи шифрования на отдельном флэш-накопителе USB, который необходимо вставлять перед каждым запуском компьютера.
Изменение групповой политики для использования BitLocker без модуля TPM
- Нажмите Пуск, затем введите gpedit.msc.
- Нажмите на gpedit.msc. Откроется окно Редактор объектов групповой политики (рис. 1).
- На левой панели в разделе Конфигурация компьютера дважды нажмите Административные шаблоны. Отобразятся подпапки Административные шаблоны.
- Дважды нажмите Компоненты Windows.
- Выберите Шифрование диска BitLocker. Параметры Шифрования диска BitLocker будут отображены на правой панели.
- Дважды нажмите пункт Настройка панели управления: включить дополнительные параметры запуска на правой панели. Появится окно Настройка панели управления: включить дополнительные параметры запуска (рис. 2).
Рис. 2. Настройка панели управления
- Установите переключатель в положение Включено.
- Нажмите кнопку Применить, затем нажмите кнопку OK. Окно Настройка панели управления: включить дополнительные параметры запуска закроется.
- Закройте окно Редактора объектов групповой политики. Групповая политика для BitLocker была изменена.
Применение изменений групповой политики с помощью gpupdate.exe /force
- Нажмите Пуск и введите gpupdate.exe /force.
- Нажмите ENTER. Будут применены все изменения групповой политики. Процесс может занять несколько минут.
Настройка шифрования диска BitLocker с помощью флэш-накопителя USB
Для выполнения следующих действий потребуется флэш-накопитель USB. Этот флэш-накопитель необходимо будет вставлять при каждом запуске компьютера.
- Вставьте флэш-накопитель USB в порт компьютера.
- Нажмите Пуск, затем введите bitlocker.
- Выберите Шифрование диска BitLocker.
- Нажмите Включить BitLocker на томе операционной системы.
- На странице Установка параметров запуска BitLocker нажмите, чтобы выбрать параметр Требовать USB-ключ запуска при каждом запуске.
- Выберите расположение флэш-накопителя USB и нажмите Сохранить.
Откроется страница Сохранение пароля восстановления со следующими вариантами:
- Сохранить пароль на USB-накопителе. Сохраняет пароль на флэш-накопителе USB.
- Сохранить пароль в папке. Сохраняет пароль на сетевом диске или в другом месте.
- Напечатать пароль. Печатает пароль.
Рекомендуется сохранять пароль в нескольких местах, а не на зашифрованном жестком диске. Пароль восстановления необходим, если диск перемещен на другой компьютер или если внесены изменения в информацию о запуске системы.
Этот пароль восстановления уникален для данного конкретного шифрования BitLocker и не может использоваться для восстановления данных из любого другого сеанса шифрования BitLocker.
- Нажмите Сохранить пароль на USB-накопителе и нажмите Далее. Откроется страница Шифрование выбранного тома диска.
- Убедитесь, что установлен флажок Выполнить проверку системы BitLocker, и нажмите Продолжить.
- Нажмите Перезагрузить сейчас. После завершения шифрования компьютер перезагрузится.
Можно отслеживать текущее состояние завершения шифрования тома диска, если навести курсор мыши на значок шифрования диска BitLocker на панели инструментов в нижней части экрана или нажать на всплывающую подсказку шифрования.
К сожалению, наша система обратной связи в настоящее время не работает. Повторите попытку позже.
Функция шифрования в Windows 10
Одной из дополнительных функций, которые получаете с установкой версии Windows 10 Pro, в отличие от Home, является BitLocker. Она позволяет шифровать данные на жестком диске так, чтобы никто не смог получить к ним доступ без ввода пароля.
Если кто-то извлечет диск из вашего компьютера и попытается получить доступ к нему на другом, содержимое будет нечитаемым. Это полезный инструмент, чтобы уберечь личные данные от сторонних глаз, но есть недостатки и требования, которые должны знать перед активацией функции:
- BitLocker снижает производительность, особенно при использовании программного шифрования.
- Если забудете пароль, то не сможете получить доступ к своим файлам.
- Для лучшей защиты используется ключ запуска TPM.
- Следует также знать, что существует альтернатива BitLocker: SSD с полным шифрованием диска. Содержимое шифруется автоматически.
Как правило, шифрование не активировано по умолчанию, поэтому может потребоваться скачать программное обеспечение производителя (например, Samsung Magician). При установке программа может запросить форматирование диска, тогда нужно сохранить на другой носитель данные, а если этот системный раздел С, то и переустановить Windows.
Включение шифрования BitLocker в домашней редакции Windows
Любые мои попытки обойти ограничения Windows 10 Домашняя и зашифровать диск BitLocker-ом только встроенными средствами системы, а таковые присутствуют, например, в PowerShell, не увенчались успехом (правда, есть не самые удобные «обходные» пути, о которых в конце материала).
Однако, существуют сторонние программы, позволяющие включать шифрование BitLocker для дисков. К сожалению, ни одна из них не является бесплатной, но первая из описываемых программ полностью функциональна в течение первых 15 дней использования (чего хватит, чтобы зашифровать диски, а работать с ними можно будет и без этой программы). Интересно, что обе рассматриваемых утилиты имеют версии для Mac OS и Linux: если вам нужно работать с дисками, зашифрованными BitLocker в этих системах, имейте в виду.
BitLocker Anywhere
Самая известная программа для включения шифрования на компьютерах с Windows, где рассматриваемая функция отсутствует — Hasleo BitLocker Anywhere. Она бесплатна в течение первых 15 дней использования (но в пробной версии не поддерживает шифрование системных разделов диска).
После загрузки и установки программы для шифрования достаточно выполнить следующие шаги:
- Нажмите правой кнопкой мыши по разделу диска, который нужно зашифровать и выберите пункт меню «Turn on BitLocker».
- В следующем окне укажите и подтвердите пароль для шифрования и расшифровки. Две отметки ниже позволяют включить шифрование только занятого пространства (быстрее, вновь помещаемые данные будут шифроваться автоматически), а также включить режим совместимости (существуют разные версии шифрования BitLocker, с включенным режимом совместимости, вероятнее всего, диск можно будет расшифровать на любом компьютере с поддержкой функции).
- Следующее окно предлагает сохранить ключ восстановления (Save to a file) или распечатать его (Print the recovery key). Он пригодится в случае, если вы забыли пароль (а иногда оказывается полезным и при сбоях файловой системы на диске).
- В завершение придется лишь дождаться окончания процесса шифрования уже имеющихся данных на диске — не закрывайте программу, пока не увидите кнопку Finish внизу справа. На SSD это будет быстрее, на HDD может оказаться необходимым подождать более продолжительное время.
В целом программа работает исправно, и, судя по всему, также умеет шифровать и системный раздел диска (но не смог проверить за неимением ключа) — следующий рассматриваемый продукт этого не умеет. С помощью неё же вы можете и снять шифрование с диска (помните о 15 днях), а работать с таким диском, вводить пароль и разблокировать его можно и без программы — шифрование и расшифровка при работе с данными на диске будут выполняться «на лету» средствами домашней редакции Windows 10.
И эта и следующая рассматриваемая программа добавляют пункты для шифрования/дешифрования и блокировки в контекстное меню дисков в проводнике.
Скачать Hasleo BitLocker Anywhere можно с официального сайта https://www.easyuefi.com/bitlocker-anywhere/bitlocker-anywhere-home.html
M3 BitLocker Loader
M3 BitLocker Loader — утилита, очень похожая на рассмотренную выше. Из особенностей: не может включить шифрование в пробной версии (вы можете лишь ознакомиться с интерфейсом программы), а также не умеет работать с системным разделом диска.
В остальном использование программы мало чем отличается: нажимаем Encrypt у раздела, который нужно зашифровать и проходим все шаги: ввод пароля, сохранение ключа восстановления, ожидание завершения шифрования BitLocker.
Скачать M3 BitLocker Loader можно с официального сайта: https://www.m3datarecovery.com/bitlocker-windows-home/
Шифрование флешки — BitLocker To Go
С появлением в Windows 7 технологии BitLocker To Go стало возможным шифровать флешки, карты памяти и внешние жесткие диски. Это очень удобно так как флешку потерять гораздо легче чем ноутбук и нетбук.
Через поиск или пройдя по пути
Пуск > Панель управления > Система и безопасность > Шифрование диска BitLocker
открываем окошко управления. Вставляете флешку которую нужно зашифровать и в разделе BitLocker To Go включаем шифрование для нужного USB накопителя
Необходимо выбрать способ снятия блокировки диска. Выбор не большой или пароль или сим-карта с ПИН-кодом. Сим-карты выпускаются специальными отделами в больших корпорациях. Воспользуемся простым паролем.
Устанавливаем галочку использовать пароль для снятия блокировки диска и два раза вводим пароль. По умолчанию минимальная длинна пароля составляет 8 символов (можно поменять в групповых политиках). Нажимаем Далее
Выбираем как будем сохранять ключ восстановления. Надежно, наверное, будет напечатать его. Сохраняем и нажимаем Далее
Нажимаем Начать шифрование и защищаем свои данные
Время шифрования зависит от емкости флешки, заполненности ее информацией, мощности вашего процессора и скорости обмена данными с компьютером
На емких флешках или внешних жестких диска эта процедура может затянуться на долго. По идее процесс можно закончить на другом компьютере. Для этого ставите шифрование на паузу и правильно извлекаете накопитель. Вставляете ее в другой компьютер разблокируете введя пароль и шифрование продолжится автоматически.
Теперь при установки флешки в компьютер появится окошко ниже с просьбой ввести пароль
Если вы доверяете этому компьютеру и не хотите постоянно вводить пароль устанавливаете галочку В дальнейшем автоматически снимать блокировку с этого компьютера и нажимаете Разблокировать. На этот компьютере вам больше не придется вводить пароль для этой флешки.
Для того что бы информацией на зашифрованном USB-накопителе можно было воспользоваться на компьютерах под управлением ОС Windows Vista или Windows XP флешку нужно отформатировать в файловую систему FAT32. В этих операционных системах возможно будет разблокировать флешку только введя пароль и информация будет доступна только для чтения. Запись информации не доступна.
Windows
le class=»article» data-id=»114094836851″>
Функция шифрования диска BitLocker позволяет уберечь ваши данные в случае утери компьютера. Чтобы получить данные с вашего диска, потребуется ввести пароль, даже если диск будет извлечен из компьютера и будет подключен к другому.
Также можно включить шифрование и для внешних дисков.
Функция работает только в следующих версиях Windows:
— Pro, Enterprise, и Education версии Windows 10;
— Pro и Enterprise версии Windows 8 и 8.1;
— Ultimate и Enterprise версии Windows Vista и Windows 7;
— Windows Server 2008 или более новая версия.
По умолчанию, для работы BitLocker требуется наличие специального модуля TPM на материнской плате вашего компьютера.
Однако, можно использовать функцию шифрования и без него.
Обратите внимание, что процесс шифрования может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена. Включение BitLocker
Включение BitLocker.
1. Нажмите на клавиатуре клавиши Windows + R.
2. В новом окне введите gpedit.msc и нажмите ОК.
3. В левой части нового окна Редактор локальной групповой политки выберите Конфигурация Компьютера > Административные шаблоны > Компонент Windows.
В правой части окна дважды щелкните по Шифрование диска BitLocker.
4. Дважды щелкните по Диски операционной системы.
5. Дважды щелкните по Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.
6. В новом окне выберите пункт Включено, поставьте галочку напротив Разрешить использование BitLocker без совместимого доверенного платформенного модуля и нажмите OK.
7. Закройте окно Редактор локальной групповой политки.
8. Нажмите правой кнопкой мыши по значку Windows и выберите Панель управления.
9. Выберите значок Шифрование диска BitLocker.
10. Выберите Включить BitLocker.
11. Дождитесь окончания проверки и нажмите Далее.
12. Ознакомьтесь с предупреждениями и нажмите Далее.
Обратите внимание, что в случае утери пароля, вы также не сможете получить доступ к данным на диске, поэтому рекомендуется сделать резервную копию самых важных документов
13. Начнется процесс подготовки, во время которого нельзя выключать компьютер. В ином случае загрузочный раздел может быть поврежден и Windows не сможет быть загружена.
14. Нажмите кнопку Далее.
15. Укажите пароль, который будет использоваться для разблокировки диска при включении компьютера и нажмите кнопку Далее. Рекомендуется, чтобы он отличался от пароля пользователя на компьютере.
16. Выберите, каким образом требуется сохранить ключ восстановления. Этот ключ поможет вам получить доступ к диску, если вы забудете пароль от диска. После чего нажмите Далее.
Предлагается несколько вариантов восстановления (в этом варианте ключ был распечатан):
— Сохранить в вашу учетную запись Майкрософт — если на компьютере осуществлен вход в личную запись Microsoft, то в случае утери пароля можно будет разблокировать диск с помощью учетной записи Microsoft;
— Сохранить в файл — ключ будет сохранен в текстовом документе.
— Напечатать ключ восстановления — ключ будет распечатан на указанном принтере.
Ключ рекомендуется хранить отдельно от компьютера.
17. Для надежности рекомендуется выбрать шифрование всего диска. Нажмите Далее.
18. Выберите Новый режим шифрования и нажмите Далее.
19. Поставьте галочку напротив Запустить проверку системы BitLocker и нажмите Продолжить.
20. Появится уведомление о том, что требуется перезагрузить компьютер, а в панели уведомлений — значок BitLocker. Перезагрузите компьютер.
21. Сразу после перезагрузки у вас появится окно ввода пароля. Введите пароль, который вы указывали при включении шифрования, и нажмите Enter.
22. Шифрование начнется сразу после загрузки Windows. Нажмите на значок BitLocker в панели уведомлений, чтобы увидеть прогресс.
Обратите внимание, что шифрование может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена. Отключение BitLocker
Отключение BitLocker.
1. Нажмите на значок BitLocker в правом нижнем углу.
2. Выберите Управление BitLocker.
3. Выберите Отключить BitLocker.
4. В новом окне нажмите Отключить BitLocker.
5. Процесс дешифровки также может занять продолжительное время, в зависимости от размера диска. В это время вы можете пользоваться компьютером как обычно, настраивать ничего не потребуется.
Как включить шифрование данных на жестком диске?
Прежде чем приступить к процессу шифрованию томов на жестком диске, важно учесть, что эта процедура займет какое-то время. Ее продолжительность будет зависеть от количества информации на жестком диске
Если в процессе шифрования или расшифровки компьютер выключится или перейдет в режим гибернации, то эти процессы возобновятся с места остановки при следующем запуске Windows.
Даже в процессе шифрования системой Windows можно будет пользоваться, но, вряд ли она сможет порадовать вас своей производительностью. В итоге, после шифрования, производительность дисков снижается примерно на 10%.
Если BitLocker доступен в вашей системе, то при клике правой кнопкой на названии диска, который необходимо зашифровать, в открывшемся меню отобразится пункт Turn on BitLocker.
На серверных версиях Windows необходимо добавить роль BitLocker Drive Encryption.
Приступим к настройке шифрования несистемного тома и защитим ключ шифрования с помощью криптографического токена.
Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI.
I. Подготовим Рутокен ЭЦП PKI к работе.
В большинстве нормально настроенных системах Windows, после первого подключения Рутокен ЭЦП PKI автоматически загружается и устанавливается специальная библиотека для работы с токенами производства компании «Актив» — Aktiv Rutoken minidriver.
Процесс установки такой библиотеки выглядит следующим образом.
Наличие библиотеки Aktiv Rutoken minidriver можно проверить через Диспетчер устройств.
Если загрузки и установки библиотеки по каким-то причинам не произошло, то следует установить комплект Драйверы Рутокен для Windows.
II. Зашифруем данные на диске с помощью BitLocker.
Щелкнем по названию диска и выберем пункт Turn on BitLocker.
Если вы пользуетесь службой Certificate Authority в домене Windows, то в шаблоне сертификата должна присутствовать область применения сертификата «Disk Encryption» (подробнее про настройку Certificate Authority в первой части нашего цикла статей про безопасность Windows домена).
Если у вас нет домена или вы не можете изменить политику выдачи сертификатов, то можно воспользоваться запасным путем, с помощью самоподписанного сертификата, подробно про то как выписать самому себе самоподписанный сертификат описано здесь. Теперь установим соответствующий флажок.
На следующем шаге выберем способ сохранения ключа восстановления (рекомендуем выбрать Print the recovery key).
Бумажку с напечатанным ключом восстановления необходимо хранить в безопасном месте, лучше в сейфе.
Далее выберем, какой режим шифрования будет использоваться, для дисков, уже содержащих какие-то ценные данные (рекомендуется выбрать второй вариант).
На следующем этапе запустим процесс шифрования диска. После завершения этого процесса может потребоваться перезагрузить систему.
При включении шифрования иконка зашифрованного диска изменится.
И теперь, когда мы попытаемся открыть этот диск, система попросит вставить токен и ввести его PIN-код.
Развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструмента WMI или сценариев Windows PowerShell. Способ реализации сценариев будет зависеть от среды. Команды для BitLocker в Windows PowerShell описаны в статье.
Требования
Первое требование — наличие необходимой версии ОС. Как правило, BitLocker поддерживает Windows Pro или Ultimate, например:
- Windows Vista и Windows 7: Enterprise и Ultimate;
- выпуски Windows 8 и 8.1: Pro и Enterprise;
- выпуски Windows 10: Pro, Enterprise и Education.
Если вы используете домашнюю Windows, стоит рассмотреть обновление до версии Pro.
Ваш ПК должен поддерживать Trusted Platform Module (TPM). Его имеют многие ПК, предназначенные для бизнеса (например, Dell Precision и Optiplex, серия Lenovo ThinkCenter, HP Pro и Elite). Кстати, вы можете использовать BitLocker даже без TPM.
Для использования BitLocker компьютер должен иметь модуль Trusted Platform Module
Также проверьте следующие требования:
- BIOS должен поддерживать TPM или USB-устройства. В противном случае, чтобы получить последнее обновление прошивки вам нужно посетить сайт производителя;
- жесткий диск должен содержать два раздела: системный с необходимыми файлами для запуска Windows и раздел с операционной системой. Оба из них должны быть отформатированы под файловую систему NTFS;
- процесс шифрования всего жесткого диска не сложен, но отнимает много времени;
- следите за тем, чтобы компьютер был подключен к источнику бесперебойного питания на протяжении всего рабочего процесса.