Установка, настройка и использование Битлокер

Шифрование BitLocker

Шифрование диска Bitlocker

Битлокер — BitLocker (полное название BitLockerDrive Encryption) —  это технология шифрования диска, встроенная в операционные системы Windows Vista Ultimate/Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012 и Windows 8.

С помощью BitLocker  можно зашифровать  полностью весь носитель данных (логический диск, SD-карту, USB-брелок). При этом поддерживаются алгоритмы шифрования AES 128 и AES 256.

Вас также может заинтересовать статья «Взлом Bitlocker», в которой мы пытались разобраться возможен ли взлом шифрования дисков Windows.

Ключ восстановления  к шифру  может храниться в компьютере, на USB-устройстве или в аппаратном чипе TPM  (Trusted Platform Module, доверенный платформенный модуль). Можно также сохранить копию ключа в своей учет-ной записи Майкрософт (вот только зачем?).

ПОЯСНЕНИЕ Хранить ключ в чипе TPM можно только на тех компьютерах, где чип TPM вмонтирован в материнскую плату. Если материнская плата компьютера оснащена чипом TPM, тогда ключ может быть прочитан из него или после аутентификации с помощью USB-ключа/смарт-карты, или после ввода PIN-кода.

В самом простом случае можно аутентифицировать пользователя и по обычному паролю. Такой способ Джеймсу Бонду, конечно, не подойдет, но большинству обычных пользователей, которые хотят скрыть некоторые свои данные от  коллег или родственников, его будет вполне достаточно.

С помощью BitLocker  можно зашифровать  любой том, в том числе и загрузочный —  тот, с которого происходит загрузка Windows. Тогда пароль нужно будет вводить при загрузке (или использовать другие средства аутентификации, например, TPM).

СОВЕТ Я настоятельно не рекомендую вам шифровать загрузочный том. Во-первых, снижается производительность. На сайте technet.microsoft сообщают, что обычно снижение производительности составляет 10 %, однако в вашем конкретном случае можно ожидать большего «торможения» компьютера —  все зависит от его конфигурации. Да и шифровать, по сути, нужно далеко не все данные. Зачем шифровать те же программные файлы? В них нет ничего конфиденциального. Во-вторых, если что-то случится с Windows, боюсь, все может закончиться плачевно — форматированием тома и потерей данных.

Поэтому лучше всего зашифровать один какой-то том — отдельный логический диск, внешний USB-диск и  т. п.  А затем на этот зашифрованный диск  поместить все ваши секретные файлы. На зашифрованный диск  также можно установить и программы, требующие защиты, —  например, ту же 1С Бухгалтерию.

Такой диск вы будете подключать только при необходимости —  щелкнул двойным щелчком на значке диска, ввел пароль и получил доступ к данным.

Что можно зашифровать с помощью BitLocker?

Можно зашифровать  любой диск, кроме сетевого и оптического. Вот список поддерживаемых типов подключения дисков: USB, Firewire, SATA, SAS, ATA, IDE, SCSI, eSATA, iSCSI, Fiber Channel.

Не поддерживается шифрование томов, подключенных по Bluetooth. И хоть карта памяти мобильного телефона, подключенного к компьютеру по Bluetooth, выглядит как отдельный носитель данных, зашифровать его нельзя.

Поддерживаются файловые системы NTFS, FAT32, FAT16, ExFAT. Не поддерживаются прочие файловые системы, в том числе CDFS, NFS, DFS, LFS, программные RAID-массивы (аппаратные RAID-массивы поддерживаются).

Можно зашифровать  твердотельные накопители: (SSD-накопители, флешки, SD-карты), жесткие диски (в том числе, подключаемые по USB). Шифрование других типов дисков не поддерживается.

Шифрование диска Bitlocker

Перейдите на рабочий стол, запустите  Проводник и щелкните правой кнопкой мыши по диску, который вы хотите зашифровать. Напомню, что это может быть логический том, SD-карта, флешка, USB-диск, SSD-накопитель. Из появившегося меню выберите команду Включить BitLocker.

Шифрование BitLocker
Команда включения шифрования BitLocker

Первым делом вас спросят, как вы будете снимать блокировку с зашифрованного диска: с помощью пароля или смарт-карты. Нужно выбрать один из вариантов (или оба: тогда будут задействованы и пароль, и смарт-карта), иначе кнопка  Далее не станет активной.

bitlocker windows 8
Как будем снимать блокировку Bitlocker ?

На следующем шаге вам будет предложено создать резервную копию ключа
восстановления.

настройка BitLocker
Архивация ключа восстановления
ПОЯСНЕНИЕ Ключ восстановления используется для разблокировки диска в случае, когда вы забыли пароль или потеряли смарт-карту. Отказаться от создания ключа восстановления нельзя. И это правильно, потому что, приехав из отпуска, свой пароль к зашифрованному диску я-таки забыл. Эта же ситуация может повториться и у вас. Поэтому выбираем один из предложенных способов архивирования ключа восстановления.
  • Сохранение ключа в учетную запись Майкрософта. Этот способ я не рекомендую: нет соединения с Интернетом — получить свой ключ не получится.
  • Сохранение в файл —  оптимальный способ. Файл с ключом восстановления будет записан на рабочий стол.
bitlocker как включить
Сохранение ключа восстановления на рабочем столе
  • Сами понимаете, его оттуда следует перенести в более надежное место, на-пример на флешку. Также желательно его переименовать, чтобы по имени файла не было сразу понятно, что это как раз тот самый ключ. Можно открыть этот файл (позже вы увидите, как он выглядит) и скопировать сам ключ восстановления в какой-то файл, чтобы только вы знали, что это за строка и в каком файле она находится. Оригинальный файл с ключом восстановления лучше потом удалить. Так будет надежнее.
  • Распечатка ключа восстановления —  идея довольно дикая, разве что потом вы поместите этот лист бумаги в сейф и закроете на семь замков.

Теперь нужно определить, какую часть диска требуется шифровать.

bitlocker encryption
Какую часть диска нужно зашифровать?

Можно зашифровать  только занятое место, а можно —  сразу весь диск. Если ваш диск практически пуст, то намного быстрее зашифровать  только занятое место. Рассмотрим варианты:

  • пусть на флешке в 16 Гбайт имеется всего 10 Мбайт данных. Выберите первый вариант, и диск будет зашифрован мгновенно. Новые же файлы, записываемые на флешку, будут шифроваться «на лету», т. е. автоматически;
  • второй вариант подойдет, если на диске много файлов, и он почти полностью заполнен. Впрочем, для той же 16-гигабайтной флешки, но заполненной до 15 Гбайт, разница во времени шифрования по первому или второму варианту будет практически неразличима (что 15 Гбайт, что 16 —  будут шифроваться
    практически одно и то же время);
  • однако если на диске мало данных, а вы выбрали второй вариант, то шифрование будет длиться мучительно долго по сравнению с первым способом.

Итак, осталось только нажать кнопку  Начать шифрование.

шифрование диска bitlocker windows 7
Шифрование диска программой Битлокер

Дождаться, пока диск будет зашифрован. Не выключайте питание компьютера и не перезагружайте его до тех пор, пока шифрование не завершится —  об этом вы получите соответствующее сообщение.

Если произойдет сбой питания, то шифрование при запуске Windows будет продолжено с того самого момента, где оно было остановлено. Так написано на сайте Майкрософт. Верно ли это для системного диска, я не проверял —  не захотелось рисковать.

Работа с зашифрованным диском

В Проводнике Windows зашифрованный диск  помечен значком замка: у заблокированного диска замок закрыт, у разблокированного — открыт.

Заблокированный и разблокированный диски

Свежеподключенный зашифрованный диск  заблокирован, и чтобы его разблокировать,  следует щелкнуть по нему двойным щелчком. Если вы выбрали только защиту паролем, понадобится ввести этот пароль, а если была выбрана и смарт-карта, то для успешной аутентификации и разблокировки диска нужно еще вставить и ее.

bitlocker как разблокировать

После разблокировки с зашифрованным диском вы можете работать так же, как с обычным.

Теперь рассмотрим ситуацию, когда вы забыли пароль или потеряли смарт-карту.

bitlocker забыл пароль
Bitlocker: Забыл пароль, что делать?

Откройте файл, содержащий ключ восстановления и скопируйте содержащийся там ключ в буфер обмена.

Как восстановить пароль BitLocker
Как восстановить пароль BitLocker

Нажмите в окне ввода пароля кнопку Дополнительные параметры.

восстановление пароля BitLocker
Восстановление пароля BitLocker

Выберите в открывшемся окне команду Введите ключ восстановления.

шифрование битлокер

Вам останется только вставить в соответствующее поле ключ восстановления из буфера обмена.

Рассмотрим еще две ситуации: изменение пароля BitLocker  и управление зашифрованным диском.

Щелкните правой кнопкой на разблокированном зашифрованном диске и найдите в открывшемся контекстном меню команды Изменить пароль BitLocker и Управление BitLocker.

Открыть BitLocker
Открыть BitLocker

Первая команда, как вы уже догадались, позволяет изменить пароль для разблокировки зашифрованного диска. Процедура смены пароля обычная: нужно ввести старый пароль, новый пароль и его подтверждение.

Смена пароля для разблокировки зашифрованного диска
Смена пароля для разблокировки зашифрованного диска

Выберите теперь команду  Управление BitLocker. В открывшемся окне вы увидите список как незашифрованных, так и зашифрованных дисков.

Управление зашифрованным диском Bitlocker
Управление зашифрованным диском BitLocker

Для зашифрованного диска доступны следующие команды:

  • Архивировать ключ восстановления —  если вы потеряли файл с ключом восстановления, вы можете сделать его копию в любой момент (естественно, пока вы еще помните пароль разблокировки);
  • Сменить пароль — с этой командой вы уже знакомы;
  • Удалить пароль —  удаляет пароль, но перед этим нужно выполнить команду  Добавить смарт-карту. Иначе, если удалить пароль, то как потом будет осуществляться доступ к зашифрованному диску?
  • Добавить смарт-карту —  добавляет смарт-карту, которая будет использоваться для разблокировки диска. Если раньше был добавлен пароль, то  для разблокировки диска теперь понадобятся и смарт-карта, и пароль.
    Если хотите использовать только лишь смарт-карту, тогда добавьте ее, а потом удалите пароль;
  • Включить автоматическую разблокировку —  позволяет включить автоматическую разблокировку диска на этом компьютере;
  • Отключить BitLocker —  отключает шифрование. После этого данные на диске не будут зашифрованными, и вводить пароль для разблокирования диска более не понадобится.

Команда  Администрирование доверенного платформенного модуля  позволяет управлять TPM-чипом, если таковой имеется в вашем компьютере. У меня его не оказалось, поэтому вместо консоли управления я увидел сообщение о том, что TPM-чип не найден.

ВНИМАНИЕ! Чип TPM, если он в компьютере имеется, сначала нужно включить через BIOS SETUP. Изучите документацию по материнской плате, чтобы узнать, как это сделать. Если читать документацию не с руки, ищите в BIOS SETUP параметры, связанные с TPM, например: TPM Security, TPM Activation. Эти параметры нужно включить (значения Enabled, On,Activated и т. п.). Названия параметров и значений могут отличаться в зависимости от используемой BIOS.

Если вам необходимо быстро и легко скрыть и зашифровать папку или файл. Я вам могу посоветовать использовать программу AxCrypt, про которую мы подробно рассказывали в статье «Как поставить пароль на папку».

ВКонтакте
OK
Telegram
WhatsApp
Viber

2 комментария

  1. uzer

    Хотите верте — хотите нет, но сегодня у меня USB диск запароленный BitLocker открылся простым автозапуском без пароля. Установлена система Windows7Sp1x64 с последними обновлениями Convenience Rollup по апрель 2016 и с заплаткой от WannaCrypt 2017г.
    После перезагрузке Windows — USB диск опять оказался запаролен BitLocker.
    Годом раньше такое же произошло с флеш накопителем от Silicon Power — BitLocker открылся автозапуском в windows XP.
    Спешу сообщить об этом всем!

    • Олег

      у меня как то WinSrv 2008 Datacentr сам разблокировал диск Битлокер и подмонитровал шару после хард ресета
      хотя мне кажется эта фича такая была))

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *