BitLocker — Шифрование диска

BitLocker - шифрование дискаЗдравствуйте Друзья! В этой статье мы продолжим изучать встроенные в Windows системы призванные повысить безопасность наших данных. Сегодня это система шифрования дисков Bitlocker. Шифрование данных нужно для того что бы вашей информацией не воспользовались чужие люди. Как она к ним попадет это уже другой вопрос.

Шифрование — это процесс преобразования данных таким образом что бы получить доступ к ним могли только нужные люди. Для получения доступа обычно используют ключи или пароли.

Шифрование всего диска позволяет исключить доступ к данным при подключении вашего жесткого диска к другому компьютеру. На системе злоумышленника может быть установлена другая операционная система для обхода защиты, но это не поможет если вы используете BitLocker.


Технология BitLocker появилась с выходом операционной системы Windows Vista и была усовершенствована в Windows 7. Bitlocker доступен в версиях Windows 7 Максимальная и Корпоративная а так же в Windows 8 Pro. Владельцам других версий придется искать альтернативу.

Как работает шифрование диска BitLocker

Не вдаваясь в подробности выглядит это так. Система шифрует весь диск и дает вам ключи от него. Если вы шифруете системный диск то без вашего ключа компьютер не загрузится. Тоже самое как ключи от квартиры. У вас они есть вы в нее попадете. Потеряли, нужно воспользоваться запасными (кодом восстановления (выдается при шифровании)) и менять замок (сделать шифрование заново с другими ключами)

Для надежной защиты желательно наличие в компьютере доверенного платформенного модуля TPM (Trusted Platform Module). Если он есть и его версия 1.2 или выше, то он будет управлять процессом и у вас появятся более сильные методы защиты. Если же его нет, то возможно будет воспользоваться только ключом на USB-накопителе.

Работает BitLocker следующим образом. Каждый сектор диска шифруется отдельно с помощью ключа (full-volume encryption key, FVEK). Используется алгоритм AES со 128 битным ключом и диффузором. Ключ можно поменять на 256 битный в групповых политиках безопасности.

Для этого воспользуемся поиском в Windows 7. Открываем меню Пуск и в поле поиска пишем «политики» и выбираем Изменение групповой политики

Изменение групповой политики безопасности

В открывшемся окошке в левой части переходим по пути

Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker

В правой части дважды кликаем на Выберите метод шифрования диска и стойкость шифра

Выберите метод шифрования диска и стойкость шифра

В открывшемся окошке нажимаем Включить политику. В разделе Выбрать метод шифрования из выпадающего списка выбираем нужный

Выбираем метод шифрования

Самый надежный это AES с 256-битным ключом с диффузором. При этом скорее всего нагрузка на центральный процессор будет чуть чуть повыше, но не на много и на современных компьютерах вы разницы не заметите. Зато данные будут надежней защищены.

Использование диффузора еще больше повышает надежность так как приводит к значительным изменением зашифрованной информации при незначительном изменении исходных данных. То есть, при шифровании двух секторов с практически одинаковыми данными результат будет значительно отличаться.

Сам ключ FVEK располагается среди метаданных жесткого диска и так же шифруется с помощью основного ключа тома(volume master key, VMK). VMK так же шифруется с помощью TPM модуля. Если последний отсутствует, то с помощью ключа на USB накопителе.

Если USB накопитель с ключом будет недоступен, то необходимо воспользоваться 48-значным кодом восстановления. После этого система сможет расшифровать основной ключ тома, с помощью которого расшифрует ключ FVEK, с помощью которого будет разблокирован диск и пойдет загрузка операционной системы.

Усовершенствование BitLocker в Windows 7

При установке Windows 7 с флешки или с диска предлагается разметить или настроить диск. При настройке диска создается дополнительный загрузочный раздел размером 100 МБ. Наверное не у меня одного возникали вопросы по поводу его назначения. Вот именно этот раздел и нужен для работы технологии Bitlocker.

Этот раздел является скрытым и загрузочным и он не шифруется иначе не возможно было бы загрузить операционную систему.

В Windows Vista этот раздел или том должен быть объемом в 1.5 ГБ. В Windows 7 его сделали 100 МБ.

Если же вы при установке операционной системы сделали разбивку сторонними программами, то есть не создали загрузочный раздел, то в Windows 7 BitLocker сам подготовит нужный раздел. В Windows Vista вам бы пришлось его создавать с помощью дополнительного софта идущего в комплекте с операционной системой.

Так же в Windows 7 появилась технология BitLocker To Go для шифрования флешек и внешних жестких дисков. Рассмотрим ее позже.

 

Как включить шифрование диска BitLocker

По умолчанию BitLocker настроен на запуск с модулем TPM и при его отсутствии не захочет запускаться. (Сначала просто попробуйте включить шифрование и если запуститься, то не нужно ничего отключать в групповых политиках)

Для запуска шифрования заходим в Панель управления\Система и безопасность\Шифрование диска BitLocker

Выбираем нужный диск (в нашем примере это системный раздел) и нажимаем Включить BitLocker

Если же вы видите картинку подобную ниже

Запуск BitLocker

необходимо править групповые политики.

С помощью поиска из меню Пуск вызываем Редактор локальной групповой политики

Изменение групповой политики безопасности

Идем по пути

Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы

Справа выбираем Обязательная дополнительная проверка подлинности

Обязательная дополнительная проверка подлинности

В открывшемся окошке нажимаем Включить, затем необходимо проконтролировать наличие галочки Разрешить использование BitLocker без совместимого TPM и нажать ОК

Обязательная дополнительная проверка подлинности при запуске

После этого BitLocker можно будет запустить. Вас попросят выбрать единственный вариант защиты — Запрашивать ключ запуска при запуске. Это и выбираем

Задать параметры запуска BitLocker

Вставляем флешку на которую будет записан ключ запуска и нажимаем Сохранить

Сохраните ключ запуска

Теперь необходимо сохранить ключ восстановления, на тот случай если флешка с ключом запуска будет не в зоне доступа. Можно сохранить ключ на флешке (желательно другой), сохранить ключ в файле для последующего переноса на другой компьютер или сразу распечатать.

Ключ восстановления нужно естественно хранить в надежном месте. Сохраню ключ в файл

Как сохранить ключ восстановления

Ключ восстановления не получиться сохранить на диске который вы собираетесь зашифровать.

Нажимаете Далее

Ключ восстановления это простой текстовый документ с самим ключом

Ключ восстановления BitLocker

Затем у вас откроется последнее окошко в котором вам рекомендуют Запустить проверку системы BitLocker до шифрования диска. Нажимаем Продолжить

Запустить проверку системы BitLocker

Сохраняете все открытые документы и нажимаете Перезагрузить сейчас

Необходимо перезагрузить компьютер

Вот что увидите если что то пойдет не так

Не удалось включить шифрование дисков

Если все работает то после перезагрузки компьютера запустится шифрование

Выполняется шифрование

Время зависит от мощности вашего процессора, емкости раздела или тома который вы шифруете и скорости обмена данными с накопителем (SSD или HDD).  Твердотельный диск на 60 Гб заполненные почти под завязку шифруются минут за 30 при этом еще работают Добровольные распределенные вычисления.

Когда шифрование будет завершено увидите следующую картинку

Шифрование завершено

Закрываете окошко и проверяете в надежных ли местах находятся ключ запуска и ключ восстановления.

 

Шифрование флешки — BitLocker To Go

С появлением в Windows 7 технологии BitLocker To Go стало возможным шифровать флешки, карты памяти и внешние жесткие диски. Это очень удобно так как флешку потерять гораздо легче чем ноутбук и нетбук.

Через поиск или пройдя по пути

Пуск > Панель управления > Система и безопасность > Шифрование диска BitLocker

открываем окошко управления. Вставляете флешку которую нужно зашифровать и в разделе BitLocker To Go включаем шифрование для нужного USB накопителя

Включить BitLocker для флешки

Необходимо выбрать способ снятия блокировки диска. Выбор не большой или пароль или сим-карта с ПИН-кодом. Сим-карты выпускаются специальными отделами в больших корпорациях. Воспользуемся простым паролем.

Устанавливаем галочку использовать пароль для снятия блокировки диска и два раза вводим пароль. По умолчанию минимальная длинна пароля составляет 8 символов (можно поменять в групповых политиках). Нажимаем Далее

Способ снятия блокировки диска

Выбираем как будем сохранять ключ восстановления. Надежно, наверное, будет напечатать его. Сохраняем и нажимаем Далее

Сохраним ключ восстановления

Нажимаем Начать шифрование и защищаем свои данные

Зашифровать этот диск

Время шифрования зависит от емкости флешки, заполненности ее информацией, мощности вашего процессора и скорости обмена данными с компьютером

Выполняется шифрование флешки

На емких флешках или внешних жестких диска эта процедура может затянуться на долго. По идее процесс можно закончить на другом компьютере. Для этого ставите шифрование на паузу и правильно извлекаете накопитель. Вставляете ее в другой компьютер разблокируете введя пароль и шифрование продолжится автоматически.

Шифрование флешки завершено

Теперь при установки флешки в компьютер появится окошко ниже с просьбой ввести пароль

Снимаем блокировку

Если вы доверяете этому компьютеру и не хотите постоянно вводить пароль устанавливаете галочку В дальнейшем автоматически снимать блокировку с этого компьютера и нажимаете Разблокировать. На этот компьютере вам больше не придется вводить пароль для этой флешки.

Для того что бы информацией на зашифрованном USB-накопителе можно было воспользоваться на компьютерах под управлением ОС Windows Vista или Windows XP флешку нужно отформатировать в файловую систему FAT32. В этих операционных системах возможно будет разблокировать флешку только введя пароль и информация будет доступна только для чтения. Запись информации не доступна.

 

Управление зашифрованным разделом

Управление осуществляется из окошка Шифрование диска BitLocker. Можно найти это окошко с помощью поиска, а можно зайти по адресу

Панель управления > Система и безопасность > Шифрование диска BitLocker

Управление BitLocker

Вы можете выключить шифрование нажав на «Выключить BitLocker». В этом случае диск или том дешифруется. Это займет какое-то время и не нужно будет никаких ключей.

Так же здесь можно приостановить защиту

Приостановить шифрование диска BitLocker

Данную функцию рекомендуют использовать при обновлении BIOS или редактировании загрузочного диска. (Того самого объемом 100 МБ). Приостановить защиту можно только на системном диске (тот раздел или том на котором установлена Windows).

Почему нужно приостанавливать шифрование? Что бы BitLocker не заблокировал ваш диск и не прибегать к процедуре восстановления. Параметры системы (BIOS и содержимое загрузочного раздела) при шифровании фиксируются для дополнительной защиты. При их изменении может произойти блокировка компьютера.

Если вы выберите Управление BitLocker, то можно будет Сохранить или напечатать ключ восстановление и Дублировать ключ запуска

Выберите параметры для управления

Если один из ключей (ключ запуска или ключ восстановления) утерян, здесь можно их восстановить.

Управление шифрованием внешних накопителей

Для управления параметрами шифрования флешки доступны следующие функции

Управление шифрованием на флешке

Можно изменить пароль для снятия блокировки. Удалить пароль можно только если для снятия блокировки используется смарт-карта. Так же можно сохранить или напечатать ключ восстановления и включить снятие блокировки диска для этого компьютера автоматически.

 

Восстановление доступа к диску

Восстановление доступа к системному диску

Если флешка с ключом вне зоны доступа, то в дело вступает ключ восстановления. При загрузке компьютера вы увидите приблизительно следующую картину

Требуется ключ шифрования диска

Для восстановления доступа и загрузки Windows нажимаем Enter

Увидим экран с просьбой ввести ключ восстановления

Введите ключ восстановления

С вводом последней цифры при условии правильного ключа восстановления автоматически пойдет загружаться операционная система.

Восстановление доступа к съемным накопителям

Для восстановления доступа к информации на флешке или внешнему HDD нажимаем Забыли пароль?

Забыли пароль

Выбираем Ввести ключ восстановления

Ввести ключ восстановления

и вводим этот страшный 48-значный код. Жмем Далее

Ввод ключа восстановления

Если ключ восстановления подходит то диск будет разблокирован

Открыт временный доступ

Появляется ссылочка на Управление BitLocker, где можно изменить пароль для разблокировки накопителя.

Для большей безопасности информации рекомендуется использовать сложные пароли состоящие более чем из 8 знаков с буквами в разных регистрах, цифрами и специальными символами.

 

 Заключение

В этой статье мы узнали каким образом можно защитить нашу информацию зашифровав ее с помощью встроенного средства BitLocker. Огорчает, что эта технология доступна только в старших или продвинутых версиях ОС Windows. Так же стало ясно для чего же создается этот скрытый и загрузочный раздел размером 100 МБ при настройке диска средствами Windows.

Возможно буду пользоваться шифрованием флешек или внешних жестких дисков. Но, это маловероятно так как есть хорошие заменители в виде облачных сервисов хранения данных таких как DropBox, Google Диск, Яндекс Диск и подобные.

Благодарю, что поделились статьей в социальных сетях. Всего Вам Доброго!

С уважением, Антон Дьяченко

BitLocker — Шифрование диска: 26 комментариев
  1. Алексей

    Вот вы описали ошибку:не удалось включить программе шифрование диска bitlocker. У меня высвечивается такая же. Получается, что ключ не записывается на флеш карту. В чём может быть дело?
    P.s. Win 7(64 bit)

    1. Антон Дьяченко Автор записи

      Здравствуйте Алексей
      Я бы попробовал отформатировать флешку и еще раз попробовать.
      Если бы не получилось, то попробовал бы с другой флешкой

      1. Алексей

        Не помогло не форматирование не эксперименты с другой флешкой. Даже поставил на виртуалку вин 8. Там такая же канитель. Только с паролем получилось сделать.

  2. Furyaev Stanislav

    а что делать, если на 2% шифрования, я перезагрузил компьютер. До шифрования свободного места было более 50гб свободного места, а после — 6гб.

    1. Антон Дьяченко Автор записи

      Здравствуйте Станислав
      Если это возможно необходимо попробовать завершить шифрование.
      Или в панели управления Bitlocker попробовать отключить и заново включить шифрование.

  3. Никита

    Автоматически включился битлокер и заблокировал диск. Пароль я не знаю. Как можно восстановить доступ?
    ОС- windows 8
    Просит пароль при запуске пк.

  4. Максим

    У меня win 7 prof лицензионная (ноутбук) установлены обновления. Но битлокера нет, ни в панели управления, ни по нажатию правой клавиши на диске.

  5. Сергей

    Заштфрованая Битлокером флэшка вообще не видится нетбуком Асус с W7 профессионал
    при запуске программы видны только два диска С и D
    Флэшка нет

    иакая же проблема на другом Асусе но с W7 начальной

    на стационарных компах при подключении флешки сразу высвечивается окно пароля…

  6. Игорь

    Здравствуйте.
    Возможно ли зашифровать все локальные диски на компьютере только с помощью ключа USB?
    Т.е. при включении компьютера требует вставить флэшку и всё.
    Неудобно каждый раз при включении еще и вводить пароль на каждый зашифрованный логический диск.

  7. Сергей

    Здравствуйте!
    Решил зашифровать диск при помощи встроенного в Win10 Bitlocker.
    Все настроил, создал пароль, записал файл с ключом.
    Поставил галочку Запустить проверку системы.
    Перегрузил компьютер, получил запрос пароля Bitlocker. Ввел пароль и запустилось автоматическое восстановление. Затем снова синий экран и запрос ключа восстановления. Ввел ключ и получил сообщение о том, что с этим ключом разблокировать диск не удалось.
    Любая перезагрузка компьютера приводит к этой же последовательности действий.
    Понимаю. что диск физически конечно еще не зашифровался, а только заблокировался. Что делать? Как отменить блокировку диска, раз Bitlocker на моем компьютере не работает? Как восстановить нормальную загрузку системы?
    Спасибо!
    P.S.
    manage-bde показывает, что диск заблокирован.
    На попытку разблокировать с паролем отвечает, что с этим паролем не удалось разблокировать том, а попытка разблокировать с ключом также заканчивается ошибкой.
    P.P.S. После подключения диска к другому компьютеру предлагается его разблокировать. При вводе правильного пароля выдается сообщение, что пароль неправильный, при копировании ключа разблокировки из файла выдается сообщение, что ключ не подходит, хотя идентификаторы ключа совпадают.

    1. Антон Дьяченко Автор записи

      Здравствуйте, Сергей
      Мистика какая-то.
      Я бы наверное отписался по проблеме в Microsoft и пока не использовал Битлокер (по крайней мере пару выпусков). А Windows 10 переустановил бы.

  8. Андрей

    А можно ли зашифровать с помощью битлоккера внешний диск объёмом 4 Тб ?

  9. Сергей

    Не могу отключить BitLocker, в разделе — Шифрование устройства, есть только одна кнопка — «Архивировать ключ восстановления» и всё.

    Windows RT 8.1

  10. Аноним

    как разблокировать внеш.жест.диск заблокированный bitloker, комп переуставливал, ключа нет

  11. uzer

    Хотите верте — хотите нет, но сегодня у меня USB диск запароленный BitLocker открылся простым автозапуском без пароля. Установлена система Windows7Sp1x64 с последними обновлениями Convenience Rollup по апрель 2016 и с заплаткой от WannaCrypt 2017г.
    После перезагрузке Windows — USB диск опять оказался запаролен BitLocker.
    Годом раньше такое же произошло с флеш накопителем от Silicon Power — BitLocker открылся автозапуском в windows XP.
    Спешу сообщить об этом всем!

Добавить комментарий

Ваш e-mail не будет опубликован.