Как работает bitlocker windows 10

Как зашифровать диск с помощью BitLocker в Windows 10

Windows 10 редакций Профессиональная и Корпоративная имеют встроенную утилиту BitLocker, позволяющую надежно зашифровать содержимое диска (в том числе системного) или внешнего накопителя (об этом в отдельной инструкции: Как поставить пароль на флешку и зашифровать её содержимое). Конечно, для этого можно использовать и сторонние средства, например, VeraCrypt, но в большинстве случаев можно рекомендовать встроенную утилиту шифрования.

В этой инструкции о том, как зашифровать диск с помощью BitLocker. Пример приводится для системного раздела диска, но суть остается неизменной и при необходимости шифрования других дисков. Вы также можете создать виртуальный жесткий диск и зашифровать его — таким образом вы получите защищенный файловый контейнер с возможностью его резервного копирования в облаке и на различных накопителях, переноса на другие компьютеры. Также может быть интересным: Шифрование BitLocker в Windows 10 Домашняя.

Процесс шифрования SSD или жесткого диска с помощью BitLocker

Процедура шифрования дисков с помощью BitLocker — не слишком сложная задача, потребуется выполнить следующие простые шаги:

1. В проводнике выберите диск, который требуется зашифровать, нажмите по нему правой кнопкой мыши и выберите пункт «Включить BitLocker».
2. Если вы увидите сообщение о том, что «Это устройство не может использовать доверенный платформенный модуль TPM», значит вы хотите зашифровать системный диск, а модуль TPM на компьютере отсутствует или отключен. Проблема решаема, об этом здесь: Как включить BitLocker без TPM.
3. После короткой проверки дисков вы увидите предложение настроить тип разблокировки: вставить USB-устройство флэш-памяти (обычную флешку) или ввести пароль. Я в своей практике использую пункт «Введите пароль». Предложение с вводом пароля может не появиться, в этом случае обратите внимание на инструкцию Как включить пароль BitLocker на ноутбуках и компьютерах с TPM.
4. Если вы также будете использовать разблокировку с помощью пароля, введите и подтвердите ваш пароль. Настоятельно рекомендую записать его, если есть вероятность забыть заданный пароль (в противном случае вы можете полностью потерять доступ к данным). Нажмите «Далее».
5. Вам будет предложено сохранить ключ для восстановления доступа к диску, зашифрованному BitLocker. Вы можете сохранить ключ в различные расположения на своё усмотрение. Вне зависимости от того, какой вариант вы выберите, настоятельно рекомендую серьезно отнестись к этому шагу (и не сохранять ключ на тот же диск, который шифруется): сбои питания, ошибки файловой системы могут приводить к проблемам с доступом к зашифрованному диску просто по паролю и ключ восстановления действительно помогает получить доступ к данным. Я лично на своем основном компьютере столкнулся с таким дважды за последние 5 лет и был очень благодарен сам себе за то, что у меня есть ключ восстановления — оба раза он помог.
6. Следующий этап — выбор, какую часть диска шифровать. Для большинства пользователей подойдет вариант «Шифровать только занятое место на диске» (в этом случае будут зашифрованы все файлы, которые уже есть на диске и автоматически будет шифроваться всё, что в дальнейшем на него записывается). Второй вариант шифрует и свободное пространство. Что это дает? Например, если у вас на этом диске ранее были очень секретные данные, а потом они были удалены, есть вероятность их восстановления с помощью соответствующих программ для восстановления данных. После шифрования свободного пространства восстановить удаленные данные не получится (во всяком случае без разблокировки доступа к диску).
7. В последних версиях Windows 10 вам также предложат выбрать режим шифрования. Если вы планируете отключать диск и подключать его в других версиях Windows 10 и 8.1, выберите режим совместимости. Иначе можно оставить «Новый режим шифрования».
8. В следующем окне оставьте включенным пункт «Запустить проверку BitLocker» и нажмите «Продолжить».
9. Вы увидите уведомление о том, что шифрование диска будет выполнено после перезагрузки компьютера. Выполните перезагрузку.
10. В случае, если вы шифровали системный диск, то перед запуском Windows 10 вам нужно будет ввести заданный пароль BitLocker для разблокировки диска (или подключить USB-накопитель, если ключ создавался на нем).
11. После запуска Windows 10 будет выполнено шифрование накопителя в соответствии с заданными настройками (в области уведомлений появится соответствующий значок, а при его открытии — окно с прогрессом шифрования). Вы можете пользоваться компьютером пока идет шифрование пространства на диске.
12. Если шифровался системный диск, то он сразу будет вам доступен (поскольку пароль был введен на предыдущем шаге). Если шифровался не системный раздел диска или внешний накопитель, при открытии этого диска в проводнике вас попросят ввести пароль для доступа к данным.
13. По завершении процесса, продолжительность которого зависит от занятого места на диске и скорости его работы (на HDD медленнее, на SSD быстрее), вы получите зашифрованный диск.

Все данные, которые вы будете на него записывать, шифруются «на лету» и так же расшифровываются. Для не системных дисков вы в любой момент можете использовать контекстное меню для его блокировки (чтобы другой человек за этим же компьютером не мог открыть его содержимого).

Доступ к зашифрованному системному диску есть всегда, пока запущена система (иначе бы она не смогла работать).

Если остались какие-либо вопросы на тему шифрования с помощью BitLocker — спрашивайте в комментариях, я постараюсь ответить.

Скрытые возможности Windows. Как BitLocker поможет защитить данные?

По мнению специалистов, именно кража ноутбука является одной из основных проблем в сфере информационной безопасности (ИБ).

В отличие от других угроз ИБ, природа проблем «украденный ноутбук» или «украденная флешка» довольно примитивна. И если стоимость исчезнувших устройств редко превышает отметку в несколько тысяч американских долларов, то ценность сохраненной на них информации зачастую измеряется в миллионах.

По данным Dell и Ponemon Institute, только в американских аэропортах ежегодно пропадает 637 тысяч ноутбуков. А представьте сколько пропадает флешек, ведь они намного меньше, и выронить флешку случайно проще простого.

Когда пропадает ноутбук, принадлежащий топ-менеджеру крупной компании, ущерб от одной такой кражи может составить десятки миллионов долларов.

Как защитить себя и свою компанию?

Мы продолжаем цикл статей про безопасность Windows домена. В первой статье из цикла мы рассказали про настройку безопасного входа в домен, а во второй — про настройку безопасной передачи данных в почтовом клиенте:

В этой статье мы расскажем о настройке шифрования информации, хранящейся на жестком диске. Вы поймете, как сделать так, чтобы никто кроме вас не смог прочитать информацию, хранящуюся на вашем компьютере.

Мало кто знает, что в Windows есть встроенные инструменты, которые помогают безопасно хранить информацию. Рассмотрим один из них.

Наверняка, кто-то из вас слышал слово «BitLocker». Давайте разберемся, что же это такое.

Что такое BitLocker?

BitLocker (точное название BitLocker Drive Encryption) — это технология шифрования содержимого дисков компьютера, разработанная компанией Microsoft. Она впервые появилась в Windows Vista.

С помощью BitLocker можно было шифровать тома жестких дисков, но позже, уже в Windows 7 появилась похожая технология BitLocker To Go, которая предназначена для шифрования съемных дисков и флешек.

BitLocker является стандартным компонентом Windows Professional и серверных версий Windows, а значит в большинстве случаев корпоративного использования он уже доступен. В противном случае вам понадобится обновить лицензию Windows до Professional.

Как работает BitLocker?

Эта технология основывается на полном шифровании тома, выполняемом с использованием алгоритма AES (Advanced Encryption Standard). Ключи шифрования должны храниться безопасно и для этого в BitLocker есть несколько механизмов.

Самый простой, но одновременно и самый небезопасный метод — это пароль. Ключ получается из пароля каждый раз одинаковым образом, и соответственно, если кто-то узнает ваш пароль, то и ключ шифрования станет известен.

Чтобы не хранить ключ в открытом виде, его можно шифровать либо в TPM (Trusted Platform Module), либо на криптографическом токене или смарт-карте, поддерживающей алгоритм RSA 2048.

TPM — микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования.

Модуль TPM, как правило, установлен на материнской плате компьютера, однако, приобрести в России компьютер со встроенным модулем TPM весьма затруднительно, так как ввоз устройств без нотификации ФСБ в нашу страну запрещен.

Использование смарт-карты или токена для снятия блокировки диска является одним из самых безопасных способов, позволяющих контролировать, кто выполнил данный процесс и когда. Для снятия блокировки в таком случае требуется как сама смарт-карта, так и PIN-код к ней.

Схема работы BitLocker:

1. При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома — FVEK (full volume encryption key). Им шифруется содержимое каждого сектора. Ключ FVEK хранится в строжайшей секретности.
2. FVEK шифруется при помощи ключа VMK (volume master key). Ключ FVEK (зашифрованный ключом VMK) хранится на диске среди метаданных тома. При этом он никогда не должен попадать на диск в расшифрованном виде.
3. Сам VMK тоже шифруется. Способ его шифрования выбирает пользователь.
4. Ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится на криптографической смарт-карте или токене. Аналогичным образом это происходит и с TPM.
   К слову, ключ шифрования системного диска в BitLocker нельзя защитить с помощью смарт-карты или токена. Это связано с тем, что для доступа к смарт-картам и токенам используются библиотеки от вендора, а до загрузки ОС, они, понятное дело, не доступны.
   Если нет TPM, то BitLocker предлагает сохранить ключ системного раздела на USB-флешке, а это, конечно, не самая лучшая идея. Если в вашей системе нет TPM, то мы не рекомендуем шифровать системные диски.
   И вообще шифрование системного диска является плохой идеей. При правильной настройке все важные данные хранятся отдельно от системных. Это как минимум удобнее с точки зрения их резервного копирования. Плюс шифрование системных файлов снижает производительность системы в целом, а работа незашифрованного системного диска с зашифрованными файлами происходит без потери скорости.
5. Ключи шифрования других несистемных и съемных дисков можно защитить с помощью смарт-карты или токена, а также TPM.
   Если ни модуля TPM ни смарт-карты нет, то вместо SRK для шифрования ключа VMK используется ключ сгенерированный на основе введенного вами пароля.

При запуске с зашифрованного загрузочного диска система опрашивает все возможные хранилища ключей — проверяет наличие TPM, проверяет USB-порты или, если необходимо, запрашивает пользователя (что называется восстановлением). Обнаружение хранилища ключа позволяет Windows расшифровать ключ VMK, которым расшифровывается ключ FVEK, уже которым расшифровываются данные на диске.

Каждый сектор тома шифруется отдельно, при этом часть ключа шифрования определяется номером этого сектора. В результате два сектора, содержащие одинаковые незашифрованные данные, будут в зашифрованном виде выглядеть по-разному, что сильно затруднит процесс определения ключей шифрования путем записи и расшифровки заранее известных данных.

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления.

Для аварийных случаев (пользователь потерял токен, забыл его PIN-код и т.д.) BitLocker на последнем шаге предлагает создать ключ восстановления. Отказ от его создания в системе не предусмотрен.

Как включить шифрование данных на жестком диске?

Прежде чем приступить к процессу шифрованию томов на жестком диске, важно учесть, что эта процедура займет какое-то время. Ее продолжительность будет зависеть от количества информации на жестком диске.

Если в процессе шифрования или расшифровки компьютер выключится или перейдет в режим гибернации, то эти процессы возобновятся с места остановки при следующем запуске Windows.

Даже в процессе шифрования системой Windows можно будет пользоваться, но, вряд ли она сможет порадовать вас своей производительностью. В итоге, после шифрования, производительность дисков снижается примерно на 10%.

Если BitLocker доступен в вашей системе, то при клике правой кнопкой на названии диска, который необходимо зашифровать, в открывшемся меню отобразится пункт Turn on BitLocker.

На серверных версиях Windows необходимо добавить роль BitLocker Drive Encryption.

Приступим к настройке шифрования несистемного тома и защитим ключ шифрования с помощью криптографического токена.

Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI.

I. Подготовим Рутокен ЭЦП PKI к работе.

В большинстве нормально настроенных системах Windows, после первого подключения Рутокен ЭЦП PKI автоматически загружается и устанавливается специальная библиотека для работы с токенами производства компании «Актив» — Aktiv Rutoken minidriver.

Процесс установки такой библиотеки выглядит следующим образом.

Наличие библиотеки Aktiv Rutoken minidriver можно проверить через Диспетчер устройств.

Если загрузки и установки библиотеки по каким-то причинам не произошло, то следует установить комплект Драйверы Рутокен для Windows.

II. Зашифруем данные на диске с помощью BitLocker.

Щелкнем по названию диска и выберем пункт Turn on BitLocker.

Как мы говорили ранее, для защиты ключа шифрования диска будем использовать токен.
Важно понимать, что для использования токена или смарт-карты в BitLocker, на них должны находиться ключи RSA 2048 и сертификат.

Если вы пользуетесь службой Certificate Authority в домене Windows, то в шаблоне сертификата должна присутствовать область применения сертификата «Disk Encryption» (подробнее про настройку Certificate Authority в первой части нашего цикла статей про безопасность Windows домена).

Если у вас нет домена или вы не можете изменить политику выдачи сертификатов, то можно воспользоваться запасным путем, с помощью самоподписанного сертификата, подробно про то как выписать самому себе самоподписанный сертификат описано здесь.
Теперь установим соответствующий флажок.

На следующем шаге выберем способ сохранения ключа восстановления (рекомендуем выбрать Print the recovery key).

Бумажку с напечатанным ключом восстановления необходимо хранить в безопасном месте, лучше в сейфе.

Далее выберем, какой режим шифрования будет использоваться, для дисков, уже содержащих какие-то ценные данные (рекомендуется выбрать второй вариант).

На следующем этапе запустим процесс шифрования диска. После завершения этого процесса может потребоваться перезагрузить систему.

При включении шифрования иконка зашифрованного диска изменится.

И теперь, когда мы попытаемся открыть этот диск, система попросит вставить токен и ввести его PIN-код.

Развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструмента WMI или сценариев Windows PowerShell. Способ реализации сценариев будет зависеть от среды. Команды для BitLocker в Windows PowerShell описаны в статье.

Как восстановить данные, зашифрованные BitLocker, если токен потеряли?

Если вы хотите открыть зашифрованные данные в Windows

Для этого понадобится ключ восстановления, который мы распечатали ранее. Просто вводим его в соответствующее поле и зашифрованный раздел откроется.

Если вы хотите открыть зашифрованные данные в системах GNU/Linux и Mac OS X

Для этого необходима утилита DisLocker и ключ восстановления.

Утилита DisLocker работает в двух режимах:

• FILE — весь раздел, зашифрованный BitLocker, расшифровывается в файл.
• FUSE — расшифровывается только тот блок, к которому обращается система.

Для примера мы будем использовать операционную систему Linux и режим утилиты FUSE.

В последних версиях распространенных дистрибутивов Linux, пакет dislocker уже входит в состав дистрибутива, например, в Ubuntu, начиная с версии 16.10.

Если пакета dislocker по каким-то причинам не оказалось, тогда нужно скачать утилиту DisLocker и скомпилировать ее:

Откроем файл INSTALL.TXT и проверим, какие пакеты нам необходимо доустановить.

В нашем случае необходимо доустановим пакет libfuse-dev:

Приступим к сборке пакета. Перейдем в папку src и воспользуемся командами make и make install:

Когда все скомпилировалось (или вы установили пакет) приступим к настройке.

Перейдем в папку mnt и создадим в ней две папки:

• Encrypted-partition— для зашифрованного раздела;
• Decrypted-partition — для расшифрованного раздела.

Найдем зашифрованный раздел. Расшифруем его с помощью утилиты и переместим его в папку Encrypted-partition:

Выведем на экран список файлов, находящихся в папке Encrypted-partition:

Введем команду для монтирования раздела:

Для просмотра расшифрованного раздела перейдем в папку Encrypted-partition.

Резюмируем

Включить шифрование тома при помощи BitLocker очень просто. Все это делается без особых усилий и бесплатно (при условии наличия профессиональной или серверной версии Windows, конечно).

Для защиты ключа шифрования, которым шифруется диск, можно использовать криптографический токен или смарт-карту, что существенно повышает уровень безопасности.

Руководство по использованию шифрования BitLocker в Windows 10 Pro/Enterprise

Проблема защиты данных в случае физической утраты компьютера или внешнего носителя (флешки) особенно актуальна для мобильных пользователей, число которых непрерывно растет.

С момента выпуска Windows Vista компания Microsoft представила новую функцию безопасности под названием BitLocker Drive Encryption. В составе Windows 7 была представлена функция BitLockerToGoдляпортативныхустройствхранения, таких как флэш-накопители и SD-карты.

В случае если вы используете Windows 10, для использования шифрования вам необходимо использовать версию Pro или Enterprise. Почему Microsoft не сделает это стандартной функцией во всех версиях операционной системы, все еще непонятно, учитывая, что шифрование данных является одним из наиболее эффективных способов обеспечения безопасности. Если вы используете Windows 10 Home, вам нужно выполнить Easy Upgrade до Windows 10 Pro, чтобы провести обновление.

Что такое шифрование?

Шифрование — это способ сделать читаемую информацию неузнаваемой для неавторизованных пользователей. Если вы отправите зашифрованный документ Word другу, ему сначала потребуется его расшифровать. Windows 10 включает в себя различные типы технологий шифрования: шифрованнуюфайловуюсистему(EFS) и шифрование диска BitLocker.

Что вы должны знать и сделать заранее

· Шифрование всего вашего жесткого диска может быть долгим процессом. Я настоятельно рекомендую перед включением BitLocker сделать резервную копию всего компьютера , особенно, если у вас нет источника резервного питания, а во время шифрования произойдет отключение .

· Начиная с версии 1809 для шифрования используется новый более безопасный стандарт, которым вы можете воспользоваться, но обратите внимание, что он совместим только с системами Windows 10 1809 и выше.

· Если вы используете Windows 10 на более старом компьютере без чипа Trusted Platform Module (TPM 1.2), вы не сможете настроить BitLocker. Пожалуйста, помните об этом. Как выйти из этой ситуации, мы рассмотрим ниже в этой статье.

Включение шифрования диска BitLocker в Windows 10

Нажмите Проводник>Этоткомпьютер. Затем щелкните правой кнопкой мыши системный диск, на котором установлена Windows 10, затем нажмите «ВключитьBitLocker».

Рисунок 1 Включить BitLocker

Введите пароль, чтобы разблокировать диск; это будет важный тест, чтобы убедиться, что вы можете загрузить систему, если вы потеряли ключ восстановления.

Рисунок 2 Создание пароля расшифровки диска

Выберите способ резервного копирования ключа восстановления, вы можете использовать свою учетную запись Microsoft, если она у вас есть, сохранить его на флэш-накопителе USB, сохранить в другом месте, кроме локального диска, или распечатать копию.

Рисунок 3 Сохранить ключ восстановления

У вас есть два варианта шифрования локального диска, если это новый компьютер, только что извлеченный из коробки, используйте только Шифровать использованное местонадиске. Если он уже используется, выберите второй вариант Зашифроватьвесьдиск. Поскольку я уже использовал этот компьютер, я воспользуюсь вторым вариантом. Обратите внимание, что это займет некоторое время, особенно если это большой диск. Убедитесь, что ваш компьютер работает от ИБП в случае сбоя питания.

Рисунок 4 Шифровать весь диск

Если вы используете Windows 10 November Update, он включает более надежный режим шифрования под названием XTS-AES, обеспечивающий дополнительную поддержку целостности с улучшенным алгоритмом. Если это жесткий диск, выберите эту опцию.

Рисунок 5 Выбор режима шифрования

Когда вы будете готовы к шифрованию, нажмите «Продолжить».

Рисунок 6 Проверка системы до начала шифрования

Перезагрузите компьютер при появлении соответствующего запроса.

Помните тот пароль, который вы создали ранее? Сейчас самое время ввести его.

Рисунок 7 Ввод пароля

После входа в Windows 10 вы заметите, что ничего особенного не происходит. Щелкните правой кнопкой мыши на системном диске и выберите «УправлениеBitLocker».

Рисунок 8 Управление BitLocker

Вы увидите текущее состояние.Это займет некоторое время, поэтому вы можете продолжать пользоваться компьютером, пока шифрование выполняется в фоновом режиме, и вы получите уведомление, когда оно будет завершено.

Когда шифрование BitLocker завершено, вы можете использовать компьютер как обычно. Любой контент, записываемый на такой диск, будет защищен.

Если в любой момент вы захотите приостановить шифрование, вы можете сделать это с помощью элемента панели управления шифрованием BitLocker. Нажмите на ссылку Приостановить. Данные, созданные в режиме ожидания, не шифруются. Рекомендуется приостанавливать шифрование BitLocker при обновлении Windows, изменении прошивки компьютера или внесении изменений в оборудование.

Устранение неполадок при установке BitLocker

Если при попытке установить BitLocker появляется следующая ошибка, это, вероятно, означает, что ваш компьютер не поддерживает микросхему Trusted Platform Module (1.2).

Рисунок 9 Ваш компьютер не оборудован Trusted Platform Module

На самом деле, прежде чем идти дальше в групповые политики, рекомендую вначале зайти в BIOS и проверить, а включена ли там поддержка ТРМ. В моем случае решение было именно таким.

Если же ваш компьютер действительно не оборудован ТРМ, то в групповой политике вы сможете задать исключение. Для этого нажмите клавиши Windows+R, а затем введите gpedit.msc и нажмите Enter. Выберите Административные шаблоны – Компоненты Windows – Шифрование BitLocker – Диски операционной системы.

Рисунок 10 Редактор групповой политики

Выберите параметр «Этот параметр позволяет настроить требование дополнительной проверки подлинности при запуске»

Рисунок 11 Разрешить шифрование без ТРМ

Щелкните правой кнопкой мыши « Требоватьдополнительнуюаутентификациюпризапуске»инажмите « Изменить».

Выберите «Включено»,а затем установите флажок, чтобы разрешить BitLocker без совместимого доверенного платформенного модуля в разделе «Параметры».

Подтвердите изменения

Нажмите Пуск, затем введите:gpforce.exe/update,чтобы убедиться, что изменения вступили в силу. Я также рекомендовал бы перезагрузить компьютер после выполнения этой команды.

Рисунок 12 Обновление политики

Помните, что вы также можете шифровать флэш-диски и SD-диски.

BitLocker: AES-XTS (новый тип шифрования)

Bitlocker использует AES (Advanced Encryption Standard)для шифрования данных на дисках. AES — это блочный шифр(в отличие от потокового шифра), который делит простой текст на блоки одинакового размера и затем шифрует каждый блок отдельно. Если данные больше, чем размер блока, они должны быть разделены. Проще всего, данные разделяются на отдельные блоки, а последний блок расширяется битами заполнения. Это самый простой метод преобразования, называемый режимом электронной кодовой книги (ECB), который можно легко перевернуть (одинаковые блоки открытого текста всегда генерируют одинаковые зашифрованные блоки).

Вот почему математики разработали несколько других, более безопасных и менее предсказуемых блочных режимов, называемых «режимами работы блочного шифра», таких как CBC, XTS, LRW, CFB, CCM, OFB и OCB. Общая концепция этих режимов состоит в том, чтобы ввести рандомизацию незашифрованных данных на основе дополнительного ввода (вектора инициализации).

В BitLockerAES работает в 2 режимах:

1.CBC— цепочка зашифрованных блоков (CBC) — в этом режиме открытый текст текущего блока передается XOR с зашифрованным текстом предыдущего блока перед шифрованием. Это дает уверенность в том, что одни и те же данные в разных секторах будут давать разные результаты после шифрования. Первый блок в этом режиме получит случайный вектор инициализации (IV). Режим CBC для Bitlocker был введен в Windows Vista.2.XTS— основанный на XEX режим твик-кодовой книги — в этом режиме мы по-прежнему выполняем функцию XOR между блоками, но также добавляем дополнительный твик-ключ для улучшения перестановки. Этот ключ настройки может быть адресом сектора или комбинацией адреса сектора и его индекса. Режим XTS для Bitlocker был введен в Windows 10 (сборка 1511).

Оба режима поддерживают длину ключа 128 и 256 бит.

Выбор этих двух может быть проконтролирован через объект групповой политики в разделе Конфигурация компьютера Административные шаблоны Компоненты Windows Шифрование диска BitLocker Выберите метод шифрования диска и надежность шифра:

Рисунок 13 Выбор режима шифрования

Для версии Windows 10 1511 и выше мы можем выбрать разные алгоритмы для каждого типа диска (ОС, диск с данными, съемный диск с данными):

Рисунок 14 Выбор алгоритма шифрования

Примечание: в Windows 7 был также AES CBC с Elephant Diffuser, который был удален в Windows 8.

Вышеуказанная конфигурация алгоритмов для Windows 10 (сборка 1511) хранится как REG_DWORDс:

HKLM SOFTWARE Policies Microsoft FVE

Диски с операционной системой: EncryptionMethodWithXtsOs

Фиксированные диски данных: EncryptionMethodWithXtsFdv

Съемные диски с данными: EncryptionMethodWithXtsRdv

Возможные значения:

AES-CBC 128bit — значение 3

AES-CBC 128bit — значение 4

AES-XTS 128bit — значение 6

AES-XTS 256 бит — значение 7

Тип шифрования для Windows 8 и Windows 10 (ранее 1511) сохраняется как REG_DWORDв:

HKLM SOFTWARE Policies Microsoft FVE

AES CBC 128 бит — значение 3

AES CBC 256bit — значение 4

Тип шифрования для Windows Vista и Windows 7 сохраняется как REG_DWORDв:

HKLM SOFTWARE Policies Microsoft FVE

AES CBC 128 бит — значение 3

AES CBC 256bit — значение 4

AES CBC 128 бит с рассеивателем — значение 1

AES CBC 256 бит с диффузором — значение 2

Так в чем же режим безопасности XTS лучше, чем CBC? Если мы говорим о Bitlocker, мы ясно видим преимущество в производительности:

Начальное время шифрования тома 10 ГБ

Режим AES:	время шифрования:
CBC 128bit	11м 49с
CBC 256bit	11м 44с
XTS 128bit	11м 15 с
XTS 256bit	11м 16с

Ваш индивидуальный тест может отличаться, поскольку производительность шифрования Bitlocker зависит от нескольких факторов, таких как: тип диска (SSD / HDD), прошивка, рабочая нагрузка и многое другое.

Вместе с тем необходимо отметить, что далеко не всегда вы можете доверять BitLocker для шифрования вашего SSD в Windows 10. Почему? Увы, причина достаточно проста.

Некоторые SSD объявляют о поддержке «аппаратного шифрования». Если вы включите BitLocker в Windows, Microsoft доверяет вашему SSD и ничего не делает. Но исследователи обнаружили, что многие твердотельные накопители выполняют шифрование просто ужасно, а это означает, что BitLocker не обеспечивает безопасное шифрование.

Microsoft выпустила уведомление по безопасности об этой проблеме. И сегодня для того чтобы проверить используете ли вы аппаратное или программное шифрование вам необходимо сделать следующее:

1. Запустите файл manage-bde.exe -statusиз командной строки с повышенными привилегиями.
2. Если ни один из перечисленных дисков не отображает «Аппаратное шифрование» для поля «Метод шифрования», то это устройство использует программное шифрование и не подвержено уязвимостям, связанным с самошифрованием вашего диска.

Рисунок 15 Сведения о шифровании томов

Для дисков, которые зашифрованы с использованием уязвимой формы аппаратного шифрования, вы можете уменьшить уязвимость, переключившись на программное шифрование с помощью Bitlocker с групповой политикой.

Примечание. После того, как диск был зашифрован с использованием аппаратного шифрования, для переключения на программное шифрование на этом диске потребуется сначала его дешифрование, а затем повторное шифрование с использованием программного шифрования. Если вы используете шифрование диска BitLocker, изменение значения групповой политики для принудительного использования только программного шифрования недостаточно для повторного шифрования существующих данных.

Увы, но многие твердотельные накопители не выполняют шифрование должным образом

Это вывод из новой статьи исследователей из Radbound University. Они пересмотрели микропрограммы многих твердотельных накопителей и обнаружили множество проблем с «аппаратным шифрованием», обнаруженным во многих твердотельных накопителях.

Исследователи протестировали диски Crucial и Samsung, но нет гарантии, что у других производителей нет серьезных проблем с шифрованием.

Например, Crucial MX300 по умолчанию содержит пустой мастер-пароль. Да, все верно — у него мастер-пароль не установлен, и этот пустой пароль дает доступ к ключу шифрования, который шифрует ваши файлы.

Как заставить BitLocker использовать только программное шифрование?

Конфигурация компьютера Административные шаблоны Компоненты Windows Шифрование диска BitLocker Фиксированные диски с данными

Дважды щелкните параметр «Этот параметр политики позволяет настроить использование аппаратного шифрования для несъемных дисков с данными» на правой панели.

Рисунок 16 Использование аппаратного шифрования

Выберите опцию «Отключено» и нажмите «ОК».

Если у вас использовалось аппаратное шифрование, то вы должны расшифровать и повторно зашифровать диск после того, как это изменение вступит в силу.

Почему BitLocker доверяет твердотельным накопителям?

При наличии аппаратного шифрования, процесс шифрования может происходить быстрее, чем используя программное шифрование. Таким образом, если SSD имеет надежную аппаратную технологию шифрования, использование SSD приведет к повышению производительности.

К сожалению, оказывается, что многим производителям твердотельных накопителей нельзя доверять. Мы не можем быть уверены в правильной реализации шифрования.

В идеальном мире аппаратно-ускоренное шифрование безусловно лучше. Это одна из причин, почему Apple включает чип безопасности T2 на своих новых Mac . Чип T2 использует аппаратно-ускоренный механизм шифрования для быстрого шифрования и дешифрования данных, хранящихся на внутреннем SSD Mac.

Но ваш ПК с Windows не использует подобную технологию — у него есть SSD от производителя, который, вероятно, не слишком много думал о безопасности. И это не плохо.

Еще один часто задаваемый вопрос, а не является ли нарушением приватности хранение ключей шифрования BitLocker в облаке?

В последнее время масса публикаций о конфиденциальности в Windows 10 заполонила Интернет. Microsoft обвиняют в нарушении конфиденциальности, в хранении в облаке ключей шифрования, в отслеживании географических координат нахождения смартфона (планшета) и т. д. Проблема же главным образом в том, что пользователи не читают документацию и тем более не готовы настраивать параметры конфиденциальности. Хотя есть данные, что Windows 10 может отправлять в Microsoft некоторые сведения о пользователе и при включенном в настройках конфиденциальности запрете.

Для сравнения, iOS пока позволяет только частично управлять приватностью, а Android вообще шлёт всё, не учитывая пожелания пользователей на этот счёт (не считая варианта «не пользоваться», конечно).

Что касается ключей шифрования BitLocker, то на самом деле в облаке Microsoft хранятся не ключи шифрования, а ключ для расшифровки в том случае, если по какой-то причине вы не можете расшифровать диск стандартным способом. Единственный сценарий, для которого этот ключ понадобится, это если вас остановят на границе и потребуют расшифровать ваш диск. Если вы подозреваете Microsoft в краже ваших данных, то BitLocker от такого сценария не спасёт в любом случае, ведь когда ОС включена, он ничего не защищает.

При шифровании вам предлагают:

• Сохранить резервный ключ в облаке.

• Сохранить резервный ключ в файле на другом носителе.

• Распечатать резервный ключ.

Запомните, вы сами выбираете что вы будете делать! Единственное — помните, что вы должны его не потерять, следовательно, наиболее оптимальным является сохранить его в нескольких местах.

Учтите: при сохранении файла с ключом на OneDrive вы не видите данный файл при просмотре облака. Он не виден при просмотре файлов и папок. Для того чтобы увидеть данный файл, вы должны перейти по ссылке https://onedrive.live.com/recoverykey .

Запомните: существует несколько мест, в которых может храниться ключ восстановления BitLocker. Вот что нужно проверить:

•Подключенную к Интернету учетную запись Microsoft.Это возможно только на компьютерах, не входящих в домен. Чтобы получить ключ восстановления, перейдите на страницу Ключи восстановления BitLocker .

•Сохраненную копию ключа восстановления.Возможно, копия ключа восстановления BitLocker сохранена в файле, на USB-флэшке либо имеется печатная бумажная копия.

•Если ключ сохранен в файл или напечатан, найдите эту копию, следуйте инструкциям на заблокированном компьютере и введите ключ при отображении запроса.

•Если ключ сохранен на флэшке, вставьте ее и следуйте инструкциям на экране компьютера. Если ключ восстановления сохранен в качестве файла на флэшке, потребуется открыть файл и ввести ключ вручную.

Что же касается того, что некоторые пользователи считают, что хранение ключа BitLocker в облаке является нарушением закона о персональных данных, спешу их огорчить и порекомендовать прочесть ФЗ «О персональных данных».

Согласно п.1 ст.3 152-ФЗ «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», а ключ расшифрования BitLocker относится в первую очередь к ПК, а не к его пользователю.

Использование ключа восстановления BitLocker

В ходе использования шифрования BitLocker ключевым вопросом является хранение ключа восстановления. В Windows 7 ключ восстановления мы могли хранить либо в текстовом файле на внешнем носителе, либо распечатать его и хранить на бумаге. И тот и другой способ были явно недостаточно безопасны. Безусловно, у вас мог быть и третий путь – хранить файл с ключом восстановления в облаке. Но снова-таки, этот файл нужно было бы заархивировать с паролем. А пароли пользователи имеют обыкновение просто забывать. Итак, круг замкнулся. Для того, чтобы не забыть – нужно хранить. Для того чтобы хранить – нужно зашифровать с паролем. Для того чтобы зашифровать – нужно не забыть. Короче – замкнутый круг.

В Windows 10 пользователям при использовании BitLocker на не доменном компьютере предложили другой вариант. Хранить ключ восстановления в облаке. Этот вариант можно использовать наряду с традиционным распечатыванием или хранением в файле на внешнем носителе.

Вариант хранить ключ восстановления в файле на том же жестком диске не рассматривается ввиду явной небезопасности.

Если вы решите включить шифрование, то вам предложат создать ключ восстановления

Безусловно, лучше хранить ключ восстановления в нескольких местах.

Итак, мы выбираем «Сохранить в вашу учетную запись Майкрософт». При этом в вашем облачном хранилище будет создан текстовый файл, содержащий ваш ключ восстановления. Стоит отметить, что, просматривая ваш OneDrive, вы не увидите этот файл. То есть дать общий доступ к файлу ключа восстановления невозможно ни случайно, ни специально.

Для того чтобы получить доступ к файлу восстановления, который вам может потребоваться в экстренной ситуации, вы можете войти в вашу учетную запись Microsoft на любом другом ПК (планшете, смартфоне) и выбрать ссылку Ключ восстановления BitLocker.

Эту информацию вы можете скопировать в файл и затем использовать для расшифровывания ключ восстановления.

Для многих из моих читателей, как и для некоторых экспертов, написавших вот это, такой способ хранения ключа восстановления оказался новостью. Почему? Не знаю.

Да. Если вы так храните ваши ключи восстановления, вам нужно
позаботиться о надежности вашего пароля к учетной записи Microsoft. Я
рекомендую использовать 2FA (2 factor authentication – двухэтапную
аутентификацию), об этом я уже говорил. Но все же хранить ключи восстановления
таким образом гораздо удобнее, что я вам и рекомендую.

[Windows 11/10] Шифрование устройства и шифрование BitLocker

Отсканируйте QR-код, чтобы открыть эту страницу на вашем смартфоне.

[Windows 11/10] Шифрование устройства и шифрование BitLocker

Пожалуйста, перейдите к соответствующей инструкции, исходя из текущей операционной системы Windows на вашем компьютере:

• Windows 11
• Windows 10

• Проверьте возможность использования шифрования
• Включите шифрование устройства
• Отключите шифрование устройства
• Стандарт шифрования BitLocker
• Отключите шифрование BitLocker

1. Введите и найдите [Информация о системе] в строке поиска Windows①, затем нажмите [Запуск от имени администратора]②.
   
2. В нижней части окна «Информация о системе» найдите [Поддержка шифрования устройства]③. Если значение говорит [Соответствует предварительным требованиям]④, на вашем устройстве доступно шифрование устройства. Если он недоступен, вы можете использовать стандарт шифрования BitLocker вместо него.
   

1. Введите и найдите [Настройки шифрования устройства] в строке поиска Windows①, затем нажмите [Открыть]②.
   
2. Некоторые модели могут включать функцию шифрования устройства по умолчанию. Если вы вошли в свою учетную запись Microsoft, шифрование на вашем устройстве завершено.
   Если вы еще не вошли в систему с помощью Microsoft, убедитесь, что шифрование устройства включено③, а затем выберите [Войти]④.
   
3. Введите настройку «Ваша информация», нажмите [Войти вместо этого с учетной записью Microsoft]⑤. Здесь вы можете узнать больше о Microsoft аккаунте .
   
4. После того, как вы войдете в систему с помощью Microsoft, шифрование устройства будет завершено.
   
5. Вы можете обнаружить, что на значке диска есть замок, что означает, что этот диск был зашифрован с помощью шифрования устройства. (На следующем рисунке показано разблокированное состояние.)
   

1. Введите и найдите [Настройки шифрования устройства] в строке поиска Windows①, затем нажмите [Открыть]②.
   
2. В поле Шифрование устройства установите для параметра значение [Выкл.]③.
   
3. Подтвердите, нужно ли отключить шифрование устройства, выберите [Выключить], чтобы отключить функцию шифрования устройства ④.
   

BitLocker — это встроенная функция шифрования устройства в Windows для защиты ваших данных, а доступ к данным на вашем устройстве могут получить только люди, прошедшие авторизацию.

Примечание: BitLocker недоступен в домашней версии Windows 11..

1. Введите и найдите [Управление BitLocker] в строке поиска Windows ①, затем нажмите [Открыть] ②.
   
2. Нажмите [Включить BitLocker]③ на диске, для которого вы хотите установить шифрование устройства BitLocker. (Ниже в качестве примера взят диск D.)
   
3. Выберите [Использовать пароль для разблокировки диска] и введите нужный пароль④, затем выберите [Далее]⑤. Если у вас есть смарт-карта, вы также можете выбрать опцию смарт-карты, чтобы разблокировать диск.
   
4. Выберите Как создать резервную копию ключа восстановления ⑥, затем выберите [Далее] ⑦.
   Ключ восстановления представляет собой уникальный 48-значный цифровой пароль. Если вы забудете свой пароль, вы можете использовать ключ восстановления для доступа к своему диску. Или Windows потребует ключ восстановления BitLocker, когда обнаружит небезопасное состояние, которое может быть несанкционированной попыткой доступа к данным.
   
5. Выберите, сколько места на диске вы хотите зашифровать⑧, затем выберите [Далее]⑨.
   
6. Выберите, какой режим шифрования вы хотите использовать⑩, затем выберите [Далее]⑪.
   
7. Подтвердите правильность настроек шифрования, затем выберите [Начать шифрование]⑫, чтобы начать шифрование диска.
   
8. По завершении шифрования выберите [Закрыть]⑬.
   
9. Вы можете обнаружить, что на значке диска есть замок, что означает, что этот диск был зашифрован с помощью BitLocker. (На следующем рисунке показано разблокированное состояние.)
   
   Если это значок с золотым замком, это означает, что диск заблокирован, и вам нужен пароль для доступа к данным.
   Примечание: Пока ваш диск находится в разблокированном состоянии, он будет автоматически заблокирован после перезагрузки компьютера..
   

1. Введите и найдите [Управление BitLocker] в строке поиска Windows ①, затем нажмите [Открыть] ②.
   
2. Нажмите [Отключить BitLocker]③ на диске, который вы хотите расшифровать.
   
   Если диск находится в заблокированном состоянии, вам нужно нажать [Разблокировать диск] и ввести пароль, чтобы отключить BitLocker.
   
3. Подтвердите, хотите ли вы расшифровать свой диск, затем выберите [Отключить BitLocker]④, чтобы начать отключение BitLocker, и ваш диск больше не будет защищен.
   

• Проверьте поддержку использования шифрования
• Включите шифрование устройства
• Отключите шифрование устройства
• Стандарт шифрования BitLocker
• Отключите шифрование BitLocker

1. Введите и найдите [Информация о системе] в строке поиска Windows ①, затем нажмите [Запуск от имени администратора]②.
   
2. В нижней части окна «Информация о системе» найдите [Поддержка шифрования устройства]③. Если значение говорит [Соответствует предварительным требованиям]④, на вашем устройстве доступно шифрование устройства. Если он недоступен, вместо него можно использовать стандартное шифрование BitLocker.
   

1. Введите и найдите [Настройки шифрования устройства] в строке поиска Windows ①, затем нажмите [Открыть] ②.
   
2. Некоторые модели могут включать функцию шифрования устройства по умолчанию. Если вы вошли в свою учетную запись Microsoft, шифрование на вашем устройстве завершено.
   Если вы еще не вошли в свою учетную запись Microsoft, выберите [Войти вместо этого с учетной записью Microsoft]③
   
3. Войдите в настройку «Ваша информация», нажмите [Войти вместо этого с учетной записью Microsoft]④. Здесь вы можете узнать больше о Microsoft аккаунте
   
4. После того, как вы войдете в систему с помощью Microsoft, шифрование устройства будет завершено.
   
5. Вы можете обнаружить, что на значке диска есть замок, что означает, что этот диск был зашифрован с помощью шифрования устройства. (На следующем рисунке показано разблокированное состояние.)
   

1. Введите и найдите [Настройки шифрования устройства] в строке поиска Windows ①, затем нажмите [Открыть] ②.
   
2. В поле Шифрование устройства установите параметр [Выключить]③.
   
3. Подтвердите, нужно ли отключить шифрование устройства, выберите [Выключить], чтобы отключить функцию шифрования устройства ④.
   

BitLocker — это встроенная функция шифрования устройства в Windows для защиты ваших данных, а доступ к данным на вашем устройстве могут получить только люди, прошедшие авторизацию.

Примечание: BitLocker недоступен в домашней версии Windows 10.

1. Введите и найдите [Управление BitLocker] в строке поиска Windows ①, затем нажмите [Открыть] ②.
   ​
2. Нажмите [Включить BitLocker]③ на диске, для которого вы хотите установить шифрование устройства BitLocker. (Ниже в качестве примера взят диск D.)
   
3. Выберите [Использовать пароль для разблокировки диска] и введите нужный пароль④, затем выберите [Далее]⑤. Если у вас есть смарт-карта, вы также можете выбрать опцию смарт-карты, чтобы разблокировать диск.
   
4. Выберите Как создать резервную копию ключа восстановления ⑥, затем выберите [Далее] ⑦.
   Ключ восстановления представляет собой уникальный 48-значный цифровой пароль. Если вы забудете пароль, вы можете использовать ключ восстановления для доступа к диску. Или Windows потребует ключ восстановления BitLocker, когда обнаружит небезопасное состояние, которое может быть несанкционированной попыткой доступа к данным.
   
5. Выберите, сколько места на диске вы хотите зашифровать⑧, затем выберите [Далее]⑨.
   
6. Выберите, какой режим шифрования вы хотите использовать⑩, затем выберите [Далее]⑪.
   
7. Подтвердите правильность настроек шифрования, затем выберите [Начать шифрование]⑫, чтобы начать шифрование диска.
   
8. По завершении шифрования выберите [Закрыть]⑬.
   
9. Вы можете обнаружить, что на значке диска есть замок, что означает, что этот диск был зашифрован с помощью BitLocker. (На следующем рисунке показано разблокированное состояние.)
   
   If it is a golden lock icon, it means the drive is under locked status, and you need the password to access the data.
   Note: While your drive is under unlocked status, it will be automatically locked after the computer restarts.
   

1. Укажите в поисковой строке Windows [Управление BitLocker] ① , затем нажмите [Открыть] ② .
   
2. Нажмите на [Отключить BitLocker] ③ рядом с диском, для которого будет отключено шифрование.
   
   Если диск заблокирован, вам нужно выбрать [Разблокировать диск] и указать пароль для отключения BitLocker.
   
3. Подтвердите процесс расшифровки, затем выберите [Отключить BitLocker] ④ для запуска процесса отключения BitLocker, ваш диск более не будет защищен.