Windows 10 home bitlocker

Содержание

Шифрование жесткого диска в Windows 10: зачем это нужно и как сделать

Windows 10 home bitlocker

Безопасность данных на компьютере — одна из главных прерогатив для многих пользователей. Комплексный подход — это защитить от стороннего вмешательства весь жесткий диск.  Сделать это можно с помощью стандартного средства шифрования в Windows 10.

Зачем выполнять шифрование данных, если есть учетная запись пользователя с паролем? На самом деле это самая простая защита, которую могут сломать даже новички, четко выполняя действия определенной инструкции.

Проблема заключается в том, что злоумышленник может использовать загрузочную флешку и получить доступ к файлам и реестру операционной системы. Далее всего в несколько действий  легко узнать введенный пароль или просто отключить его и получить доступ к рабочему столу. 

Вопрос защиты файлов будет особенно важен для корпоративного сектора. Например, только в США ежегодно в аэропортах  теряются больше 600 тысяч ноутбуков.

Стоит отметить, что с помощью встроенного средства BitLocker шифруются даже флеш-накопители, поскольку они распознаются системой как отдельные тома. При необходимости можно создать виртуальный диск VHD с важными данными и шифровать его, а сам файл хранить на обычной флешке.

Шифрование всего диска действительно скажется на производительности системы, в частности, на скорости чтения/записи данных. Тесты различных пользователей показывают, что на относительно современном железе  падение скорости на SSD — не более 10%, у жестких дисков падения могут быть больше.

Например, на ноутбуке Dell Inspiron 15 7577 с процессором i7-7700HQ  и накопителем Samsung 950 Pro с 256 ГБ разница в ежедневном использовании будет практически незаметна.

Средство BitLocker использует шифрование AES 128/256. Соответственно, задействуются вычислительные ресурсы процессора. Если вы используете старые модели на 1-2 ядра, то BitLocker или аналогичный софт может ухудшить производительность.

Чип TPM (Trusted Platform Module) — это специальный модуль, в котором хранятся криптографические ключи для защиты информации. Обычно он располагается на материнской плате, но далеко не каждая модель оснащается TPM. Ключ для расшифровки логического тома выдается только  в коде загрузчика ОС, поэтому злоумышленникине смогут достать его непосредственно из жесткого диска. 

Чтобы проверить, есть ли на вашем компьютере или ноутбуке модуль TPM, в окне «Выполнить» введите команду «tpm.msc».

При наличии чипа вы увидите окно с основной информацией, включая состояние модуля и версию.

Перед использованием системы шифрования TPM модуль необходимо инициализировать по следующей инструкции:

1.  В панели управления зайдите в раздел «Шифрование диска BitLocker».

2. Напротив системного диска кликните по строке «Включить BitLocker». Система начнет проверку на соответствие конфигурации компьютера.

3. В следующем окне система предупредит пользователя, что для продолжения процесса будут выполнены два действия: активация оборудования безопасности и последующий запуск шифрования. Необходимо нажать «Далее».

4. Для включения TPM система попросит перезагрузить компьютер, поэтому нажмите соответствующую кнопку.

5. При следующей загрузке перед пользователями появится окно активации чипа TPM. Нажмите соответствующую клавишу для подтверждения (в данном случае F1).

6. Как только Windows прогрузится, мастер шифрования продолжит свою работу и предложит следующее меню с выбором места сохранения ключа восстановления.  

Данные логического тома будут зашифрованы, а для разблокировки вам придется ввести пароль от учетной записи.  При попытке войти в систему через загрузочную флешку или путем перемещения HDD в другой компьютер посторонние не смогут получить доступ к вашим данным. Ключ доступа будет надежно спрятан в TPM модуле.

https://www.youtube.com/watch?v=1hbrF3aieAI

Преимущество TPM заключается в простоте настройки и высокой безопасности — ключи хранятся в отдельной микросхеме. С другой стороны, если злоумышленники каким-либо образом узнают пароль от учетной записи, то без проблем смогут зайти в нее даже с шифрованием. 

Что делать, если при вводе команды «tpm.msc» TPM модуль не был найден? Использовать BitLocker вы сможете по-прежнему, но теперь ключ вам придется сохранять в другом месте. 

Для активации BitLocker следуйте инструкции:

1. Перейдите в меню групповых политик. В окне выполнить введите «gpedit.msc» и нажмите Enter. Необходимо открыть раздел «Конфигурация компьютера», а в нем перейти по «Административные шаблоны» и далее открыть «Компоненты Windows».

2. В компонентах найдите папку «Шифрование диска» и выберите подпункт «Диски операционной системы». Перейдите на вкладку «Стандартный» и дважды кликните ЛКМ по строке «Этот параметр позволяет настроить требования дополнительной проверки подлинности» (выделен на скриншоте).

3. Параметр необходимо перевести в состояние «Включено», а также поставить галочку в строке «Использовать BitLocker без совместимого TPM». Для сохранения изменений нажмите кнопку «Применить» и OK.

На этом настройка групповой политики завершена, и пользователи могут защититься стандартным средством шифрования BitLocker. Как и в предыдущей инструкции, вам необходимо перейти в раздел шифрования и включить BitLocker для системного или другого диска, на котором вы собираетесь зашифровать данные.

Меню настройки будет немного отличаться от вышеописанного:

1. Уже на первом окне вас попросят выбрать способ разблокировки диска. Пароль аналогичен предыдущей защите, вам будет достаточно ввести его при входе в учетную запись. Более надежный способ — флешка + PIN. Для входа в систему вам придется также вставить накопитель в USB-порт, после чего ввести  пароль.  

2. Если вы указали flash-накопитель, то система предложит выбрать его. В случае с паролем вам достаточно дважды ввести его и перейти в следующее окно.

3. Пользователь должен выбрать, куда сохранить ключ восстановления. Поскольку на шифруемый диск его записать нельзя, то доступны 4 варианта: учетная запись Майкрософт, флеш-накопитель, в качестве отдельного файла на другом диске или просто распечатать.

4. Выберем «Сохранить в файл». В этом случае достаточно указать место и убедиться, что соответствующий txt файл появился по указанному пути.

5. Выберите, как будет шифроваться диск — полностью или только занятая информацией часть. Второй вариант  оптимален для новых ПК, на которых только недавно был установлен весь необходимый софт.

6. Выбор режима шифрования. Для несъемных накопителей укажите «новый», но для флешек или переносимых HDD лучше выбрать «Режим совместимости», чтобы при необходимости получить доступ к файлам на другом компьютере.

7. После завершения настроек в трее появится иконка BitLocker. Кликните по ней и подтвердите перезагрузку компьютера.

8. После перезагрузки начнется процесс шифрования, а его прогресс можно узнать из соответствующего значка в трее.

Теперь диск зашифрован и при каждом включении Windows будет просить ввести пароль BitLocker. Это относится и к съемным накопителям, если они были зашифрованы таким способом.

В разделе шифрования также появятся подробные настройки, где вы сможете удалить или сменить пароль, приостановить защиту, архивировать ключ восстановления или отключить шифрование.

Неправильный ввод пароля несколько раз приведет к блокировке, и получить доступ к диску можно будет только с помощью ключа восстановления

Самыми надежными считаются специальные смарт-карты, которые визуально выглядят как обычные флешки. Однако они имеют специальные библиотеки и отображаются отдельными устройствами в диспетчере задач. Соответственно, воспроизвести смарт-карту намного сложнее в отличие от обычной флешки-ключа. 

Если по каким-либо причинам стандартная система шифрования вас не устраивает или в вашей редакции Windows ее просто нет, то можно воспользоваться сторонним софтом.

Однако будьте осторожны. Во-первых, сторонние программы в отличие от системных средств могут ощутимо сказываться на производительности компьютера, особенно, если они не оптимизированы под конкретные ОС. Во-вторых, нет гарантий, что такой софт не имеет уязвимостей, которыми могут воспользоваться злоумышленники или даже разработчики.

BitLocker Anywhere

Популярный софт для шифрования дисков, работающий под операционными системами Windows 7/8/10 различных редакций.  У софта есть пробная версия на 15 суток, однако в ней запрещено шифровать системный раздел, поэтому пользователи смогут защитить только флешки и другие логические тома жесткого диска.

Базовая версия стоит 14,99$, а профессиональная с возможностью шифровать тома больше 2 ТБ — 19,99$.

В функционал BitLocker Anywhere входит шифрование и дешифрование дисков, создание ключей восстановления с их экспортом.

По сути, это аналог стандартному BitLocker с технической поддержкой со стороны разработчиков. Очевидный минус — в качестве защиты доступен только пароль, никаких смарт-карт или USB Flash здесь нет.  

Для шифрования достаточно выбрать диск, указать пароль, место для сохранения ключа восстановления и дождаться окончания процесса. Интерфейс на английском языке, но программой можно пользоваться даже с минимальными знаниями иностранного.

7 zip

Если вы предпочитаете создавать VHD-образы  и при необходимости подключать их к системе, то для шифрования вполне подойдет обычный архиватор 7zip.

Выберите виртуальный образ жесткого диска (формат VHD/VHDX) и нажмите «Добавить в архив». Далее в окне настроек укажите имя, пароль для шифрования и метод (желательно, AES-256).

Теперь для дешифровки вам придется ввести пароль и только потом монтировать VHD файл.

Что делать, если Windows с зашифрованным логическим диском не запускается? Это не проблема, если у вас есть необходимые данные доступа. Чтобы снять блокировку BitLocker, вам следует иметь хотя бы один из следующих элементов:

  • пароль шифрования BitLocker, который вы вводили в самом начале;
  • ключ восстановления (его предлагали сохранить на флешке, в учетной записи или распечатать);
  • USB-ключ запуска системы, если вы использовали флешку.

Если ничего этого у вас нет, то про данные можно забыть и единственный способ вернуть диск — отформатировать его. Конечно, есть специфические способы «выловить» ключ среди метаданных или дампа оперативной памяти, но и они не дают стопроцентной гарантии успеха, не говоря о сложности реализации. К этим методикам могут прибегать специализированные сервисы. 

Если Windows не прогружается, то вам необходимо запустить среду восстановления, или воспользоваться установочным диском. Если  это возможно, запустите командную строку (для стандартных средств Windows это команда Shift+F10). Теперь выполните следующие действия:

  1. Проверьте состояние зашифрованных дисков командой «manage-bde –status». Если все хорошо, то должна появиться надпись с BitLocker Drive Encryption: Volume X, где вместо Х буква зашифрованного тома. 
  2. Далее разблокируйте диск командой «manage-bde -unlock D: -pw». Вас попросят ввести пароль. 
  3. После успешной дешифровки появится соответствующее окно и можно приступить к восстановлению. 

Если пароль не известен, то можно использовать ключ восстановления, напечатав в командной строке:

repair-bde F: G: -rp 481385-559146-955173-133053-357710-316682-137633-983682 –Force

В этом случае поврежденные данные с диска F будут перекопированы на диск G, при этом последний должен быть по объему больше диска F. Ключ восстановления — это 48-цифровой код, который и печатается в этой команде.

Для flash-ключа формата «.bek», который в данном примере находится на флешке I, используется следующая строка:

repair-bde F: G: -rk I:\3F449834-943D-5677-1596-62C36BA53564.BEK –Force

Перед открытием расшифрованного диска обязательно выполните проверку на ошибки стандартной командой Chkdsk.

Источник: https://club.dns-shop.ru/blog/t-107-jestkie-diski/36971-shifrovanie-jestkogo-diska-v-windows-10-zachem-eto-nujno-i-kak-sd/

How to Enable BitLocker on Windows 10 Home With Step-by-Step Instructions?

Windows 10 home bitlocker

I have Windows 10 Home edition, not Professional edition. Is there any way to install BitLocker on Windows 10 Home, or do I have to upgrade to Windows 10 Professional?

Windows 8 and Windows 8.1 before it, Windows 10 still doesn't make BitLocker drive encryption available to users of its Home version.

While you can't use BitLocker on Windows 10 Home, there are several options to enable BitLocker drive encryption feature. Let's look at how you can encrypt your drive in Windows 10 Home.

1. M3 BitLocker Loader for Windows

M3 BitLocker Loader for Windows is an application that lets you turn on the BitLocker drive encryption in Windows 10 Home. You can use this app to activate it for both hard drives and USB flash drives.

Free Download
Windows Version

If you want to access BitLocker encrypted drive on your Mac, you can use M3 BitLocker Loader for Mac on that platform.

Step 1: Download M3 BitLocker Loader for Windows on your PC and install the app.

Step 2: Launch the M3 BitLocker Loader for Windows app.

Step 3: Choose the drive that you want to encrypt with BitLocker from the list of drives M3 BitLocker Loader for Windows identifies on your PC.

If you have only one C: drive and want to protect your personal files, read our article: How to protect your personal files on C: drive?

Step 4: Click Encrypt beside the drive you're working with.

Step 5: Enter the password you want to use to encrypt your drive and click Next.

Step 6: Save the recovery key as a backup in case you ever forget your password and click Next.

Step 7: Activate BitLocker encryption on the drive you selected in Windows 10 Home.

2. Upgrade Your PC to Windows 10 Professional

One of the differences between Windows 10 Home and Windows 10 Professional is BitLocker support. Windows 10 Pro provides access to BitLocker drive encryption without any additional software.

Upgrading to Pro lets you activate the feature but at $99 USD, it's a fairly steep cost to do so.

3. Turn on Device Encryption in Windows 10 Home

The device encryption feature in Windows 10 Home also lets you protect your files. It's similar to BitLocker in as much as it lets you protect your data from access by unauthorized individuals but there are some differences between the two features.

The main difference is that all versions of Windows 10 (Home, Pro, Education, and Enterprise) support device encryption where only Pro, Education, and Enterprise offer BitLocker encryption. BitLocker provides you with more tools for managing your encrypted drives that device encryption does.

To use the device encryption feature in Windows 10 Home, there are two requirements:

1. Trusted Platform Module (TPM) has to be enabled.

2. You need a PC with a Unified Extensible Firmware Interface (UEFI) type of firmware.

To turn on device encryption on your drive, use the following steps:

Step 1: Open Settings in Windows by clicking on Start and then the “gear” icon

Step 2: Click on Update & Security.

Step 3: Click on the Device encryption item. If you don't see Device encryption in the Update & Security section of Settings, it most ly means your computer doesn't support one of the two requirements.

Step 4: In the “Devices encryption” section of Settings, click the button labeled “Turn on” to activate it

4. Encrypt Your Drive on Another Computer Running Windows 10 Pro

Windows 10 Home doesn't provide the ability to encrypt your drives with BitLocker but it can unlock and access drives that have already been encrypted. If you connect your drive to a computer running Windows 10 Professional, Enterprise, or Education, you can turn on BitLocker and then reconnect it to your Windows 10 Home machine.

How to Unlock a BitLocker-Encrypted Drive in Windows 10 Home

As we noted, Windows 10 Home can unlock and read a drive encrypted with BitLocker. M3 BitLocker Loader for Windows also provides this feature if you're using it.

Follow these steps to unlock a BitLocker encrypted drive:

Step 1: Open “This PC” (or My Computer) and right-click on the BitLocker encrypted drive in the list. You can also do the same thing in the Disk Management app.

Step 2: Click Unlock on the menu that appears when you right-click.

Step 3: Enter the password that you created when you encrypted the drive on that PC.

If you've forgotten or don't have the password but have the recovery key that you saved during the encryption process, click on “More options” then “Enter recovery key”.

Enter the 48-digit BitLocker recovery key to unlock BitLocker encrypted drive.

If you have forgotten the recovery key, cracking BitLocker password is the only way.

If You Want to Use BitLocker, Windows 10 Home Isn't the Question

As you can see, using BitLocker in Windows 10 Home is possible even though Microsoft doesn't support it directly. Data encryption is a critical factor in keeping your data safe.

Use the information in this article to take advantage of BitLocker without having to shell out extra money to upgrade to a more expensive version of Windows 10.

Related articles:

Источник: https://www.m3datarecovery.com/bitlocker-windows-home/bitlocker-windows-10-home.html

Служба BitLocker – где скачать, как настроить и как отключить

Windows 10 home bitlocker

Вы задумывались над вопросом: как защитить информацию, находящуюся на HDD? Оказывается, для этого не обязательно устанавливать дополнительный софт. Поможет специальная служба BitLocker, встроенная в Windows 7 и выше. Рассмотрим подробнее как это работает.

Что это такое

BitLocker (Битлокер) — это технология которая защищает информацию при помощи шифрования разделов HDD. Это служба Windows которая самостоятельно защищает директории и файлы путем шифрования, создавая текстовый ключ TPM.
TPM — криптопроцессор в котором расположены ключи, защищающие доступ к информации. Используется для:

  1. Защиты информации, копирования данных;
  2. Аутентификации.

Как работает

Оказывается, компьютер обрабатывает зашифрованную информацию, отображающуюся в читабельном виде. Доступ к ней не заблокирован. Защита сработает при попытке извне получить доступ к информации.
Технология основана на шифровании при помощи алгоритма AES 128 и 256. Для хранения ключей самый простой способ — пароль.

Особенности

Можно зашифровать любой HDD (кроме сетевого), информацию с SD-карты, флешки. Ключ восстановления шифра сохраняется на ПК, сменном носителе или чипе TPM. Процесс шифрования занимает продолжительное время. Зависит от мощности ПК и объема информации на HDD. При шифровании система сможет работать с меньшей производительностью.

В современных ОС эта технологи поддерживается. Поэтому BitLocker скачать для Windows 7 и более поздних версий не понадобятся. Она доступна совершенно бесплатно.

Шифрование диска Windows 10 если на плате установлен модуль TPM

  1. Открываем «Мой компьютер», выбираем HDD, который будем шифровать. Далее, как на скриншоте;
  2. Пропишите надежный пароль.

    При включении ПК ОС спросит его для расшифровки информации;

  3. Определитесь со способом сохранения резервной копии: учетная записи Microsoft, распечатать, скопировать на флешку;
  4. Определитесь что шифровать: весь HDD, свободное место.

    Рекомендую выбирать весь диск;

  5. После завершения работы перезагрузите ПК, пропишите пароль.

Если появится сообщение про ошибку, где говорится о разрешении запуска службы без TPM, значит на плате его нет. Рассмотрим, что предпринять.

BitLocker Windows 10, как включить без TPM

Для шифрования диска BitLocker выполните последовательность таких действий:

  1. Нажмите «Win+R», далее пропишите «gpedit.msc»;
  2. Переходим как на скриншоте;
  3. Нажмите «Диски»;
  4. Далее, как на скриншоте;
  5. Выберите «Включено»;
  6. Закройте редактор;
  7. Нажмите «Пуск»-«Программы»-«Служебные»-«Панель управления»;
  8. Кликните по ссылке «Шифрование»;
  9. Далее «Включить»;
  10. Подождите пока закончится проверка;
  11. При утере пароля доступ к информации будет закрыт, поэтому создайте резервную копию;
  12. Запустится процесс подготовки. Не выключайте ПК, иначе загрузочный раздел может повредиться и Windows не загрузится;
  13. Кликните «Далее»;
  14. Пропишите пароль, который будете использовать для разблокировки. Рекомендую сделать его не таким как при входе в систему;
  15. Определите, способ сохранения ключа. Он используется для доступа к диску, если вы забудете пароль. Его сохраните в: запись Майкрософт, текстовый документ, запишите на бумаге;

    Сохраните его отдельно от ПК.

  16. Рекомендую выбрать шифрование всего диска. Это надежнее. Нажмите «Далее»;
  17. Выберите «Новый режим»;
  18. Отметьте чекбокс напротив пункта «Запустить проверку»;
  19. В системном трее появится значок BitLocker и уведомление, что нужно перезагрузить ПК;
  20. Далее появится окно для ввода пароля. Пропишите тот, что указывали при шифровании;
  21. Шифрование запустится после загрузки системы. Нажмите значок в системном трее чтобы посмотреть сколько процентов работы выполнено;

Как отключить BitLocker Windows 10

  1. Кликните на значок в системном трее;
  2. Нажмите ссылку «Управление»;
  3. Далее «Отключить»;

BitLocker Windows 7 как включить

Многие пользователи спросят: как BitLocker скачать для Windows 7? Оказывается, ничего загружать не нужно. Так же как и для Windows десятой серии. Служба активируется в системе. Действия, аналогичные описанным выше.

BitLocker to Go

Технология используется для шифрования информации на съемных носителях: SD- картах, внешних HDD, USB-устройств. Защищает информацию от кражи носителя.
Устройство определяется системой автоматически. Для расшифровывания человеку остается прописать учетные данные для разблокировки.

Технология снимает защиту если пользовать знает логин, пароль или ключ восстановления. Применяется для защиты всех файлов, находящихся на носителе. BitLocker скачать можно с официального сайта Microsoft.
Для шифрования используйте действия, описанные выше.

В локальных групповых политиках, отметьте опции как на скриншоте.

BitLocker Windows 10 как разблокировать

Чтобы разблокировать данные, используется пароль или ключ восстановления. При шифровании, пароль создается обязательно. Находим ключ восстановления, далее выполните последовательность таких действий:

  1. Нажмите на носителе правой кнопкой мышки, далее «Разблокировать»;
  2. Справа вверху откроется окно, куда пропишите пароль. Кликните по ссылке «Дополнительные параметры»;
  3. Кликните по ссылке «Ввести ключ»;
  4. Пропишите 48-значный ключ, далее «Разблокировать».

Если BitLocker заблокировал диск, а ключ утерян, откатите систему к созданной ранее точке восстановления. Если ее нет, откатите систему до начального состояния. Для этого перейдите: «Параметры» (Win+I)-«Обновление»-«Восстановление»-«Начать».

Вывод

Мы рассмотрели, как включить BitLocker в Windows 10. Используйте описанные выше способы, чтобы обезопасить данные. Главное — запомните пароль. Он используется, даже если извлечь HDD из одного ПК и подключить к другому.

Источник: https://public-pc.com/bitlocker-gde-skachat-kak-nastroit-i-kak-otklyuchit/

Установка и настройка шифрования BitLocker в Windows10

Windows 10 home bitlocker

Если на компьютере установлен Windows 10 Pro или Enterprise, то сможете использовать функцию BitLocker, которая шифрует данные на жестком диске. Узнаем подробнее, как ее настроить.

Функция шифрования в Windows 10

Одной из дополнительных функций, которые получаете с установкой версии Windows 10 Pro, в отличие от Home, является BitLocker. Она позволяет шифровать данные на жестком диске так, чтобы никто не смог получить к ним доступ без ввода пароля.

Если кто-то извлечет диск из вашего компьютера и попытается получить доступ к нему на другом, содержимое будет нечитаемым. Это полезный инструмент, чтобы уберечь личные данные от сторонних глаз, но есть недостатки и требования, которые должны знать перед активацией функции:

  1. BitLocker снижает производительность, особенно при использовании программного шифрования.
  2. Если забудете пароль, то не сможете получить доступ к своим файлам.
  3. Для лучшей защиты используется ключ запуска TPM.
  4. Следует также знать, что существует альтернатива BitLocker: SSD с полным шифрованием диска. Содержимое шифруется автоматически.

Как правило, шифрование не активировано по умолчанию, поэтому может потребоваться скачать программное обеспечение производителя (например, Samsung Magician). При установке программа может запросить форматирование диска, тогда нужно сохранить на другой носитель данные, а если этот системный раздел С, то и переустановить Windows.

Нужен ли ключ TPM для BitLocker?

Ключ не обязателен, BitLocker будет использовать программный метод, который не так безопасен.

Программный режим снижает производительность чтения и записи. При аппаратном шифровании нужно подключать USB устройство с ключом и вводить пароль при каждой загрузке компьютера. При использовании ключа нужно, чтобы BIOS поддерживал загрузку с USB устройств.

Чтобы проверить соответствует ли ваш компьютер требованиям BitLocker в Windows 10 версии 1803 и выше – откройте Центр безопасности Защитника Windows, выберите вкладку Безопасность устройства.

Чтоб включить защиту откройте Панель управления и перейдите в раздел Шифрование диска BitLocker.

Выберите диск из списка, на котором хранится личная информация и кликните на ссылку «Включить BitLocker».

Еще способ включить шифрование – открыть Проводник, перейти на вкладку «Этот компьютер» и кликнуть правой кнопкой мыши на любом жестком диске.

После следуйте инструкциям на экране, чтобы настроить дисковую защиту.

Если диск уже достаточно заполнен, процесс займет много времени

После активации защиты появится значок замка на диске в Проводнике.

Аппаратное или программное шифрование

Функция поддерживает оба метода. Если включить аппаратное шифрование TPM, то можно зашифровать весь диск.

Когда решили зашифровать том (то есть один или несколько разделов), воспользуйтесь программным шифрованием. Можно использовать программный метод, если компьютер не соответствует требованиям BitLocker.

Что делать, если мой компьютер несовместим с BitLocker

Если вместо запуска мастера установки на экране видите уведомление, подобное приведенному ниже, то его можно обойти.

Уведомление не обязательно означает, что оборудование несовместимо. Может быть не включены соответствующие параметры в BIOS. Откройте Bios / UEFI найдите параметр TPM, и убедитесь, что включен.

Если компьютер собран на материнской плате AMD, то параметр находится в разделе PSP. Это Платформа Безопасности Процессора, интегрированная в сам процессорный чип, например, Ryzen, который имеет модуль безопасности вместо TPM.

Обратите внимание, в январе 2018 было обнаружено, что AMD PSP имеет брешь в безопасности, поэтому обновления микрокода (доставляются через обновления безопасности Windows) отключены. В этом случае не сможете использовать аппаратный режим.

При активации программного режима, при котором снижается производительность чтения / записи, воспользуйтесь редактором локальных групповых политик.

Нажмите сочетание клавиш Windows+R, введите команду gpedit.msc.

В левой панели перейдите по пути:

Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Шифрование диска BitLocker — Диски операционной системы.

В правой части окна кликните дважды на пункте «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске». В открывшемся окне установите значение «Включить» и отметьте «Разрешить использование BitLocker без совместимого TPM».

Источник: http://InstComputer.ru/win10/bitlocker-windows-10.html

Автоматическое шифрование BitLocker в Windows 10

Windows 10 home bitlocker

BitLocker позиционируется как средство шифрования в профессиональных и корпоративных изданиях. Однако эта технология уже много лет работает и в домашних изданиях под псевдонимом «шифрование устройства», о чем владельцы современных ноутбуков, планшетов и гибридов 2-в-1 могут и не подозревать.

Тайным знанием это не является, поскольку за прошедшие шесть лет функцию более-менее задокументировали. Однако существуют технические, терминологические и маркетинговые дымовые завесы. Я буду их рассеивать с помощью сведений из разных официальных источников, своей практики и тестов читателей.

Шифрование устройства vs. Шифрование BitLocker

В статье базы знаний KB4502379 Microsoft проводит границу между терминами и доступностью этих видов шифрования. Из текста выводы получаются такие:

  • шифрование устройства доступно во всех изданиях, а шифрование BitLocker – только в Pro и выше
  • оба вида шифрования доступны только на поддерживаемых устройствах

При этом не уточняется, какие устройства поддерживаются для каждого вида шифрования. Равно как явно не говорится, что в обоих случаях используется одна и та же технология BitLocker.

Несмотря на путаницу, я прямо в заголовке статьи ввел еще и свой термин — автоматическое шифрование BitLocker. Он наиболее точно отражает технологию и процесс, которые в совокупности Microsoft нарекла термином шифрование устройства.

Шифрование BitLocker, несмотря на оговорку в MS KB, фактически поддерживается на любых устройствах. Да, чип TPM обеспечивает аппаратную защиту, но BitLocker может работать и без него – при запуске требуется пароль или ключ на флэшке.

А вот с устройствами, подходящими для автоматического шифрования, все сложнее…

Устройства с поддержкой автоматического шифрования

Я мог бы сразу дать ссылку на требования, но так неинтересно 🙂 Тем более, что по ходу дела появляется возможность покопаться в истории вопроса, терминологии и сведениях о системе.

В официальном сравнении изданий Windows 10 есть упоминание InstantGo/AOAC/HSTI с отсылкой в статью KB4028713, которая этих терминов не разъясняет. Давайте разбираться!

Modern Standby

Режим Modern Standby (он же InstantGo, он же Connected Standby, он же AOAC, он же режим ожидания с подключением, он же Элла Кацнельбоген 🙂 впервые появился в планшетах во времена Windows 8. Шифрование устройства увидело свет позже, в Windows 8.1, но работало лишь при аппаратной поддержке этого режима.

В Windows 8.x такие устройства вместо стандартного сна уходили в режим пониженного энергопотребления, при этом оставаясь подключенными к сети (отсюда, например, и AOAC — Always On, Always Connected). В Windows 10 режим эволюционировал — так, сетевым картам теперь необязательно поддерживать подключение.

В классификации режимов электропитания Modern Standby называется S0 Low Power Idle. Посмотреть все поддерживаемые режимы своего ПК вы можете командой:

powercfg -availablesleepstates

На картинке вывод команды на Surface Go. Заодно обратите внимание на полное русское название режима.

В документации для ИТ-специалистов говорится, что в Windows 10 существенно расширился спектр устройств с поддержкой шифрования. Занятно, что тут оно называется шифрование устройства BitLocker 😉

With Windows 10, Microsoft offers BitLocker Device Encryption support on a much broader range of devices, including those that are Modern Standby, and devices that run Windows 10 Home edition.

Формулировка подразумевает, что поддерживаются не только устройства с Modern Standby, но подробностей не раскрывает. На самом деле это ограничение никуда не делось, просто аппаратные требования к поддержке режима изменились. Сетевые карты я упомянул выше, а из прочего интересно включение в спецификацию HDD, в т.ч. в конфигурациях SSD + HDD или SSHD.

HSTI

Hardware Security Testability Specification, HSTI – это набор тестов, проверяющих конфигурацию устройства на соответствие требованиям безопасности Microsoft. Устройства должны создаваться так, чтобы Windows могла опросить их и определить состояние безопасности аппаратной и программной платформы.

В свою очередь, документация для ОЕМ-изготовителей объясняет, каким образом эти тесты связаны с шифрованием устройства.

Компьютер должен соответствовать требованиям Modern Standby. А начиная с Windows 10 1703 изготовители могут проверить это по результатам теста HSTI.

Помимо Modern Standby требуются чип TPM 1.2 или 2.0, а также включенные UEFI Secure Boot, Platform Secure Boot (Boot Integrity) и Direct Memory Access.

Как проверить поддержку шифрования на своем устройстве

В ПараметрыОбновление и безопасность в самом низу предусмотрен раздел Шифрование устройства. Если его нет, технология не поддерживается. Соответственно, в этом случае параметры умалчивают о причине, а статьи базы знаний не объясняют, как ее определить.

Покровы срывает встроенное приложение «Сведения о системе». Запустите msinfo32 от имени администратора и прокрутите вниз до строки Поддержка шифрования устройства (Device Encryption Support).

Там может быть длинный список, но наверняка вы найдете в нем отсутствие TPM и/или провал теста HSTI вкупе с несоответствием требованиям Modern Standby. На моем уже не новом ноутбуке Thinkpad с TPM сообщение такое:

Reasons for failed automatic device encryption: PCR7 binding is not supported, Hardware Security Test Interface failed and device is not Modern Standby, Un-allowed DMA capable bus/device(s) detected.

Как работает автоматическое шифрование устройства

Процесс описан в уже упомянутой документации для ИТ-специалистов. Для шифрования нужно поддерживаемое устройство и один вход в Windows с административным аккаунтом, связанным с учетной записью Microsoft (MSA).

Во время чистой установки по окончании этапа OOBE шифрование раздела с ОС и прочих несъемных дисков инициализируется с незащищенным ключом и приостанавливается. Если войти с локальной учетной записью, в графическом интерфейсе на диске отображается предупреждающий значок, а в параметрах — сообщение, что нужно войти с MSA (на картинке Windows 8.1).

Когда администратор с MSA выполняет первый вход, шифрование активируется и защищается TPM, а 48-значный пароль восстановления сохраняется в OneDrive (в домене – в AD DS).

Все это происходит незаметно, и думаю, многие домашние пользователи даже не подозревают, что их устройство зашифровано. Правда, некоторые люди внезапно узнают о шифровании, когда им требуется войти в среду восстановления!

Потому что приходится вводить пароль восстановления BitLocker, чтобы расшифровать раздел с Windows. Сам раздел с Windows RE не шифруется, иначе в среду невозможно было бы загрузиться без установочной флэшки.

Предотвратить инициализацию шифрования при установке системы можно путем внесения изменений в реестр. Из документации непонятно, работает ли параметр файла ответов PreventDeviceEncryption в Windows 10. Однако должна сработать команда в setupcomplete.cmd.

reg add “HKLM\SYSTEM\CurrentControlSet\Control\BitLocker” /v PreventDeviceEncryption /t REG_DWORD /d 1

Управление автоматическим шифрованием в домашних изданиях

В упомянутой выше KB4028713 утверждается, что BitLocker отсутствует в домашних изданиях. Действительно, в них нет ключевых элементов графического интерфейса. Так, при включенном шифровании устройства в классической панели управления раздел BitLocker позволяет лишь архивировать 48-значный пароль для восстановления.

Однако отсутствие GUI компенсируется консолью. Для этого в командной строке есть manage-bde, а в PowerShell – набор командлетов.

Команды ниже последовательно выводят статус шифрования, приостанавливают его и возобновляют.

Get-BitLockerVolume -MountPoint “C:” Suspend-BitLocker -MountPoint “C:” -RebootCount 0 Resume-BitLocker -MountPoint “C:”

По моей просьбе их любезно выполнил на планшете Surface Go с домашним изданием участник чата @winsiders Александр. Обратите внимание, как меняется статус защиты (третья команда на картинку не попала).

Знание этого нюанса домашних изданий может пригодиться даже в системах, где шифрование BitLocker не поддерживается. Вот пример специалиста, который ходит чинить чужие ПК. Любимый инструментарий он принес с собой на внешнем диске, который для надежности зашифровал BitLocker.

ПК оказался с домашним изданием, и компьютерный мастер впал в ступор, не обнаружив в панели управления нужных элементов. В итоге узнал про консольные средства 🙂

Впрочем, ограничение домашних изданий не позволяет шифровать тома с помощью BitLocker.

Мое мнение о шифровании Windows

Я приветствую автоматическое шифрование устройств с Windows и принимаю аппаратные требования к этой технологии – они обеспечивают должный уровень защиты и внятный UX. Однако в эпоху зашифрованных смартфонов в каждом кармане маркетинговое ограничение домашних изданий Windows в этой сфере выглядят нелепо. Опытным пользователям хватило бы и консольных средств.

Зашифрованный том с паролем при запуске лучше, чем незашифрованный.

Microsoft, очевидно, уже перевернула страницу, реализовав технологию для современных устройств. Но если Modern Standby теперь вполне доступен, то TPM – де-факто атрибут бизнес-линеек. Им не комплектуются устройства в нижнем ценовом сегменте, а в среднем еще надо поискать (для начала попробуйте найти в популярных магазинах и агрегаторах фильтр по TPM).

Между тем, дома вполне можно извлечь пользу из шифрования. Например, с его помощью вы можете блокировать несанкционированный доступ со стороны домашних кулхацкеров. А в случае кражи или потери устройства на порядок повышается конфиденциальность.

Благодаря шифрованию значительно затрудняется доступ злоумышленника к вашим файлам, а зачастую – еще и к переписке в мессенджерах и аккаунтам в интернете.

Владельцам изданий Pro и выше ничто не мешает использовать BitLocker. Для его включения в домашних изданиях даже есть утилиты, но доверять неподдерживаемым решениям в такой области нельзя. Лучше использовать сторонние программы типа VeraCrypt.

Дискуссия и опрос

В обсуждениях шифрования Windows, как правило, всплывают два тезиса, которые я бы хотел предвосхитить.

  • Мифический бэкдор в BitLocker. В отсутствие доказательств тезис остается на уровне теории заговора. Все просто – если вы не доверяете реализации Microsoft, используйте стороннюю.
  • Отсутствие важных данных на ПК. Здесь нередко недооценивается важность. Любой аккаунт мессенджера или соцсети мошенники могут использовать против ваших родственников и знакомых, чтобы развести их на деньги.

С выбором из пунктов опроса, касающихся BitLocker, поможет командлет Get-BitLockerVolume. При включенном шифровании в свойстве KeyProtector помимо прочего всегда фигурирует Recovery Password — тот самый 48-значный пароль восстановления, который в GUI и документации упорно именуют ключом. И да, его можно вывести этим же командлетом.

Источник: http://www.outsidethebox.ms/19600/

Как включить шифрование диска BitLocker в Windows 10

Windows 10 home bitlocker

Функция шифрования диска BitLocker позволяет уберечь ваши данные в случае утери компьютера. Чтобы получить данные с вашего диска, потребуется ввести пароль, даже если диск будет извлечен из компьютера и будет подключен к другому.

Также можно включить шифрование и для внешних дисков.

Функция работает только в следующих версиях Windows:

– Pro, Enterprise, и Education версии Windows 10;

– Pro и Enterprise версии Windows 8 и 8.1;

– Ultimate и Enterprise версии Windows Vista и Windows 7;

– Windows Server 2008 или более новая версия.

По умолчанию, для работы BitLocker требуется наличие специального модуля TPM на материнской плате вашего компьютера.

Однако, можно использовать функцию шифрования и без него.

Обратите внимание, что процесс шифрования может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена.

Включение BitLocker.

1. Нажмите на клавиатуре клавиши Windows + R.

2. В новом окне введите gpedit.msc и нажмите ОК.

3. В левой части нового окна Редактор локальной групповой политки выберите Конфигурация Компьютера > Административные шаблоны > Компонент Windows.

В правой части окна дважды щелкните по Шифрование диска BitLocker.

4. Дважды щелкните по Диски операционной системы.

5. Дважды щелкните по Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.

6. В новом окне выберите пункт Включено, поставьте галочку напротив Разрешить использование BitLocker без совместимого доверенного платформенного модуля и нажмите OK.

7. Закройте окно Редактор локальной групповой политки.

8. Нажмите правой кнопкой мыши по значку Windows и выберите Панель управления.

9. Выберите значок Шифрование диска BitLocker.

10. Выберите Включить BitLocker.

11. Дождитесь окончания проверки и нажмите Далее.

12. Ознакомьтесь с предупреждениями и нажмите Далее.

Обратите внимание, что в случае утери пароля, вы также не сможете получить доступ к данным на диске, поэтому рекомендуется сделать резервную копию самых важных документов.

13. Начнется процесс подготовки, во время которого нельзя выключать компьютер. В ином случае загрузочный раздел может быть поврежден и Windows не сможет быть загружена.

14. Нажмите кнопку Далее.

15. Укажите пароль, который будет использоваться для разблокировки диска при включении компьютера и нажмите кнопку Далее. Рекомендуется, чтобы он отличался от пароля пользователя на компьютере.

16. Выберите, каким образом требуется сохранить ключ восстановления. Этот ключ поможет вам получить доступ к диску, если вы забудете пароль от диска. После чего нажмите Далее.

Предлагается несколько вариантов восстановления (в этом варианте ключ был распечатан):

– Сохранить в вашу учетную запись Майкрософт – если на компьютере осуществлен вход в личную запись Microsoft, то в случае утери пароля можно будет разблокировать диск с помощью учетной записи Microsoft;

– Сохранить в файл – ключ будет сохранен в текстовом документе.

– Напечатать ключ восстановления – ключ будет распечатан на указанном принтере.

Ключ рекомендуется хранить отдельно от компьютера.

17. Для надежности рекомендуется выбрать шифрование всего диска. Нажмите Далее.

18. Выберите Новый режим шифрования и нажмите Далее.

19. Поставьте галочку напротив Запустить проверку системы BitLocker и нажмите Продолжить.

20. Появится уведомление о том, что требуется перезагрузить компьютер, а в панели уведомлений – значок BitLocker. Перезагрузите компьютер.

21. Сразу после перезагрузки у вас появится окно ввода пароля. Введите пароль, который вы указывали при включении шифрования, и нажмите Enter.

22. Шифрование начнется сразу после загрузки Windows. Нажмите на значок BitLocker в панели уведомлений, чтобы увидеть прогресс.

Обратите внимание, что шифрование может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена.

Отключение BitLocker.

1. Нажмите на значок BitLocker в правом нижнем углу.

2. Выберите Управление BitLocker.

3. Выберите ОтключитьBitLocker.

4. В новом окне нажмите ОтключитьBitLocker.

5. Процесс дешифровки также может занять продолжительное время, в зависимости от размера диска. В это время вы можете пользоваться компьютером как обычно, настраивать ничего не потребуется.

Источник: https://help.shortcut.ru/hc/ru/articles/114094836851-%D0%9A%D0%B0%D0%BA-%D0%B2%D0%BA%D0%BB%D1%8E%D1%87%D0%B8%D1%82%D1%8C-%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%B4%D0%B8%D1%81%D0%BA%D0%B0-BitLocker-%D0%B2-Windows-10

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.