Здравствуйте Друзья! В этой статье мы продолжим изучать встроенные в Windows системы призванные повысить безопасность наших данных. Сегодня это система шифрования дисков Bitlocker. Шифрование данных нужно для того что бы вашей информацией не воспользовались чужие люди. Как она к ним попадет это уже другой вопрос.
Шифрование — это процесс преобразования данных таким образом что бы получить доступ к ним могли только нужные люди. Для получения доступа обычно используют ключи или пароли.
Шифрование всего диска позволяет исключить доступ к данным при подключении вашего жесткого диска к другому компьютеру. На системе злоумышленника может быть установлена другая операционная система для обхода защиты, но это не поможет если вы используете BitLocker.
Технология BitLocker появилась с выходом операционной системы Windows Vista и была усовершенствована в Windows 7. Bitlocker доступен в версиях Windows 7 Максимальная и Корпоративная а так же в Windows 8 Pro. Владельцам других версий придется искать альтернативу.
Содержание
Как работает шифрование диска BitLocker
Не вдаваясь в подробности выглядит это так. Система шифрует весь диск и дает вам ключи от него. Если вы шифруете системный диск то без вашего ключа компьютер не загрузится. Тоже самое как ключи от квартиры. У вас они есть вы в нее попадете. Потеряли, нужно воспользоваться запасными (кодом восстановления (выдается при шифровании)) и менять замок (сделать шифрование заново с другими ключами)
Для надежной защиты желательно наличие в компьютере доверенного платформенного модуля TPM (Trusted Platform Module). Если он есть и его версия 1.2 или выше, то он будет управлять процессом и у вас появятся более сильные методы защиты. Если же его нет, то возможно будет воспользоваться только ключом на USB-накопителе.
Работает BitLocker следующим образом. Каждый сектор диска шифруется отдельно с помощью ключа (full-volume encryption key, FVEK). Используется алгоритм AES со 128 битным ключом и диффузором. Ключ можно поменять на 256 битный в групповых политиках безопасности.
Для этого воспользуемся поиском в Windows 7. Открываем меню Пуск и в поле поиска пишем «политики» и выбираем Изменение групповой политики
В открывшемся окошке в левой части переходим по пути
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker
В правой части дважды кликаем на Выберите метод шифрования диска и стойкость шифра
В открывшемся окошке нажимаем Включить политику. В разделе Выбрать метод шифрования из выпадающего списка выбираем нужный
Самый надежный это AES с 256-битным ключом с диффузором. При этом скорее всего нагрузка на центральный процессор будет чуть чуть повыше, но не на много и на современных компьютерах вы разницы не заметите. Зато данные будут надежней защищены.
Использование диффузора еще больше повышает надежность так как приводит к значительным изменением зашифрованной информации при незначительном изменении исходных данных. То есть, при шифровании двух секторов с практически одинаковыми данными результат будет значительно отличаться.
Сам ключ FVEK располагается среди метаданных жесткого диска и так же шифруется с помощью основного ключа тома(volume master key, VMK). VMK так же шифруется с помощью TPM модуля. Если последний отсутствует, то с помощью ключа на USB накопителе.
Если USB накопитель с ключом будет недоступен, то необходимо воспользоваться 48-значным кодом восстановления. После этого система сможет расшифровать основной ключ тома, с помощью которого расшифрует ключ FVEK, с помощью которого будет разблокирован диск и пойдет загрузка операционной системы.
Усовершенствование BitLocker в Windows 7
При установке Windows 7 с флешки или с диска предлагается разметить или настроить диск. При настройке диска создается дополнительный загрузочный раздел размером 100 МБ. Наверное не у меня одного возникали вопросы по поводу его назначения. Вот именно этот раздел и нужен для работы технологии Bitlocker.
Этот раздел является скрытым и загрузочным и он не шифруется иначе не возможно было бы загрузить операционную систему.
В Windows Vista этот раздел или том должен быть объемом в 1.5 ГБ. В Windows 7 его сделали 100 МБ.
Если же вы при установке операционной системы сделали разбивку сторонними программами, то есть не создали загрузочный раздел, то в Windows 7 BitLocker сам подготовит нужный раздел. В Windows Vista вам бы пришлось его создавать с помощью дополнительного софта идущего в комплекте с операционной системой.
Так же в Windows 7 появилась технология BitLocker To Go для шифрования флешек и внешних жестких дисков. Рассмотрим ее позже.
Как включить шифрование диска BitLocker
По умолчанию BitLocker настроен на запуск с модулем TPM и при его отсутствии не захочет запускаться. (Сначала просто попробуйте включить шифрование и если запуститься, то не нужно ничего отключать в групповых политиках)
Для запуска шифрования заходим в Панель управления\Система и безопасность\Шифрование диска BitLocker
Выбираем нужный диск (в нашем примере это системный раздел) и нажимаем Включить BitLocker
Если же вы видите картинку подобную ниже
необходимо править групповые политики.
С помощью поиска из меню Пуск вызываем Редактор локальной групповой политики
Идем по пути
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы
Справа выбираем Обязательная дополнительная проверка подлинности
В открывшемся окошке нажимаем Включить, затем необходимо проконтролировать наличие галочки Разрешить использование BitLocker без совместимого TPM и нажать ОК
После этого BitLocker можно будет запустить. Вас попросят выбрать единственный вариант защиты — Запрашивать ключ запуска при запуске. Это и выбираем
Вставляем флешку на которую будет записан ключ запуска и нажимаем Сохранить
Теперь необходимо сохранить ключ восстановления, на тот случай если флешка с ключом запуска будет не в зоне доступа. Можно сохранить ключ на флешке (желательно другой), сохранить ключ в файле для последующего переноса на другой компьютер или сразу распечатать.
Ключ восстановления нужно естественно хранить в надежном месте. Сохраню ключ в файл
Ключ восстановления не получиться сохранить на диске который вы собираетесь зашифровать.
Нажимаете Далее
Ключ восстановления это простой текстовый документ с самим ключом
Затем у вас откроется последнее окошко в котором вам рекомендуют Запустить проверку системы BitLocker до шифрования диска. Нажимаем Продолжить
Сохраняете все открытые документы и нажимаете Перезагрузить сейчас
Вот что увидите если что то пойдет не так
Если все работает то после перезагрузки компьютера запустится шифрование
Время зависит от мощности вашего процессора, емкости раздела или тома который вы шифруете и скорости обмена данными с накопителем (SSD или HDD). Твердотельный диск на 60 Гб заполненные почти под завязку шифруются минут за 30 при этом еще работают Добровольные распределенные вычисления.
Когда шифрование будет завершено увидите следующую картинку
Закрываете окошко и проверяете в надежных ли местах находятся ключ запуска и ключ восстановления.
Шифрование флешки — BitLocker To Go
С появлением в Windows 7 технологии BitLocker To Go стало возможным шифровать флешки, карты памяти и внешние жесткие диски. Это очень удобно так как флешку потерять гораздо легче чем ноутбук и нетбук.
Через поиск или пройдя по пути
Пуск > Панель управления > Система и безопасность > Шифрование диска BitLocker
открываем окошко управления. Вставляете флешку которую нужно зашифровать и в разделе BitLocker To Go включаем шифрование для нужного USB накопителя
Необходимо выбрать способ снятия блокировки диска. Выбор не большой или пароль или сим-карта с ПИН-кодом. Сим-карты выпускаются специальными отделами в больших корпорациях. Воспользуемся простым паролем.
Устанавливаем галочку использовать пароль для снятия блокировки диска и два раза вводим пароль. По умолчанию минимальная длинна пароля составляет 8 символов (можно поменять в групповых политиках). Нажимаем Далее
Выбираем как будем сохранять ключ восстановления. Надежно, наверное, будет напечатать его. Сохраняем и нажимаем Далее
Нажимаем Начать шифрование и защищаем свои данные
Время шифрования зависит от емкости флешки, заполненности ее информацией, мощности вашего процессора и скорости обмена данными с компьютером
На емких флешках или внешних жестких диска эта процедура может затянуться на долго. По идее процесс можно закончить на другом компьютере. Для этого ставите шифрование на паузу и правильно извлекаете накопитель. Вставляете ее в другой компьютер разблокируете введя пароль и шифрование продолжится автоматически.
Теперь при установки флешки в компьютер появится окошко ниже с просьбой ввести пароль
Если вы доверяете этому компьютеру и не хотите постоянно вводить пароль устанавливаете галочку В дальнейшем автоматически снимать блокировку с этого компьютера и нажимаете Разблокировать. На этот компьютере вам больше не придется вводить пароль для этой флешки.
Для того что бы информацией на зашифрованном USB-накопителе можно было воспользоваться на компьютерах под управлением ОС Windows Vista или Windows XP флешку нужно отформатировать в файловую систему FAT32. В этих операционных системах возможно будет разблокировать флешку только введя пароль и информация будет доступна только для чтения. Запись информации не доступна.
Управление зашифрованным разделом
Управление осуществляется из окошка Шифрование диска BitLocker. Можно найти это окошко с помощью поиска, а можно зайти по адресу
Панель управления > Система и безопасность > Шифрование диска BitLocker
Вы можете выключить шифрование нажав на «Выключить BitLocker». В этом случае диск или том дешифруется. Это займет какое-то время и не нужно будет никаких ключей.
Так же здесь можно приостановить защиту
Данную функцию рекомендуют использовать при обновлении BIOS или редактировании загрузочного диска. (Того самого объемом 100 МБ). Приостановить защиту можно только на системном диске (тот раздел или том на котором установлена Windows).
Почему нужно приостанавливать шифрование? Что бы BitLocker не заблокировал ваш диск и не прибегать к процедуре восстановления. Параметры системы (BIOS и содержимое загрузочного раздела) при шифровании фиксируются для дополнительной защиты. При их изменении может произойти блокировка компьютера.
Если вы выберите Управление BitLocker, то можно будет Сохранить или напечатать ключ восстановление и Дублировать ключ запуска
Если один из ключей (ключ запуска или ключ восстановления) утерян, здесь можно их восстановить.
Управление шифрованием внешних накопителей
Для управления параметрами шифрования флешки доступны следующие функции
Можно изменить пароль для снятия блокировки. Удалить пароль можно только если для снятия блокировки используется смарт-карта. Так же можно сохранить или напечатать ключ восстановления и включить снятие блокировки диска для этого компьютера автоматически.
Восстановление доступа к диску
Восстановление доступа к системному диску
Если флешка с ключом вне зоны доступа, то в дело вступает ключ восстановления. При загрузке компьютера вы увидите приблизительно следующую картину
Для восстановления доступа и загрузки Windows нажимаем Enter
Увидим экран с просьбой ввести ключ восстановления
С вводом последней цифры при условии правильного ключа восстановления автоматически пойдет загружаться операционная система.
Восстановление доступа к съемным накопителям
Для восстановления доступа к информации на флешке или внешнему HDD нажимаем Забыли пароль?
Выбираем Ввести ключ восстановления
и вводим этот страшный 48-значный код. Жмем Далее
Если ключ восстановления подходит то диск будет разблокирован
Появляется ссылочка на Управление BitLocker, где можно изменить пароль для разблокировки накопителя.
Для большей безопасности информации рекомендуется использовать сложные пароли состоящие более чем из 8 знаков с буквами в разных регистрах, цифрами и специальными символами.
Заключение
В этой статье мы узнали каким образом можно защитить нашу информацию зашифровав ее с помощью встроенного средства BitLocker. Огорчает, что эта технология доступна только в старших или продвинутых версиях ОС Windows. Так же стало ясно для чего же создается этот скрытый и загрузочный раздел размером 100 МБ при настройке диска средствами Windows.
Возможно буду пользоваться шифрованием флешек или внешних жестких дисков. Но, это маловероятно так как есть хорошие заменители в виде облачных сервисов хранения данных таких как DropBox, Google Диск, Яндекс Диск и подобные.
Благодарю, что поделились статьей в социальных сетях. Всего Вам Доброго!
С уважением, Антон Дьяченко
Спасибо, шифрование порой очень полезно)
Добрый день.где взять ключ восстановления?
Здравствуйте Яна
В управлении шифрованием дисков
Вот вы описали ошибку:не удалось включить программе шифрование диска bitlocker. У меня высвечивается такая же. Получается, что ключ не записывается на флеш карту. В чём может быть дело?
P.s. Win 7(64 bit)
Здравствуйте Алексей
Я бы попробовал отформатировать флешку и еще раз попробовать.
Если бы не получилось, то попробовал бы с другой флешкой
Не помогло не форматирование не эксперименты с другой флешкой. Даже поставил на виртуалку вин 8. Там такая же канитель. Только с паролем получилось сделать.
Та же самая проблема, все обновления, свеже установленная W7 Максимальная SP1, не хочет сохраняться ключ никуда, много флешек пробовал, все порты USB. Как можно решить данную проблему?
Затрудняюсь ответить
а что делать, если на 2% шифрования, я перезагрузил компьютер. До шифрования свободного места было более 50гб свободного места, а после — 6гб.
Здравствуйте Станислав
Если это возможно необходимо попробовать завершить шифрование.
Или в панели управления Bitlocker попробовать отключить и заново включить шифрование.
Автоматически включился битлокер и заблокировал диск. Пароль я не знаю. Как можно восстановить доступ?
ОС- windows 8
Просит пароль при запуске пк.
Здравствуйте Никита
Если нет ключа восстановления, то никак.
У меня win 7 prof лицензионная (ноутбук) установлены обновления. Но битлокера нет, ни в панели управления, ни по нажатию правой клавиши на диске.
Здравствуйте Максим
По поиску в меню Пуск можно попробовать найти.
Bitlocker доступен в версиях Windows 7 Максимальная и Корпоративная!
Заштфрованая Битлокером флэшка вообще не видится нетбуком Асус с W7 профессионал
при запуске программы видны только два диска С и D
Флэшка нет
иакая же проблема на другом Асусе но с W7 начальной
на стационарных компах при подключении флешки сразу высвечивается окно пароля…
Здравствуйте, Сергей
Может что-то с Битлокером на этих компьютерах.
Здравствуйте.
Возможно ли зашифровать все локальные диски на компьютере только с помощью ключа USB?
Т.е. при включении компьютера требует вставить флэшку и всё.
Неудобно каждый раз при включении еще и вводить пароль на каждый зашифрованный логический диск.
Здравствуйте, Игорь
мне кажется можно.
Здравствуйте!
Решил зашифровать диск при помощи встроенного в Win10 Bitlocker.
Все настроил, создал пароль, записал файл с ключом.
Поставил галочку Запустить проверку системы.
Перегрузил компьютер, получил запрос пароля Bitlocker. Ввел пароль и запустилось автоматическое восстановление. Затем снова синий экран и запрос ключа восстановления. Ввел ключ и получил сообщение о том, что с этим ключом разблокировать диск не удалось.
Любая перезагрузка компьютера приводит к этой же последовательности действий.
Понимаю. что диск физически конечно еще не зашифровался, а только заблокировался. Что делать? Как отменить блокировку диска, раз Bitlocker на моем компьютере не работает? Как восстановить нормальную загрузку системы?
Спасибо!
P.S.
manage-bde показывает, что диск заблокирован.
На попытку разблокировать с паролем отвечает, что с этим паролем не удалось разблокировать том, а попытка разблокировать с ключом также заканчивается ошибкой.
P.P.S. После подключения диска к другому компьютеру предлагается его разблокировать. При вводе правильного пароля выдается сообщение, что пароль неправильный, при копировании ключа разблокировки из файла выдается сообщение, что ключ не подходит, хотя идентификаторы ключа совпадают.
Здравствуйте, Сергей
Мистика какая-то.
Я бы наверное отписался по проблеме в Microsoft и пока не использовал Битлокер (по крайней мере пару выпусков). А Windows 10 переустановил бы.
Проблема была в том, что посыпался жесткий диск.
А можно ли зашифровать с помощью битлоккера внешний диск объёмом 4 Тб ?
Вроде, можно
Не могу отключить BitLocker, в разделе — Шифрование устройства, есть только одна кнопка — «Архивировать ключ восстановления» и всё.
Windows RT 8.1
как разблокировать внеш.жест.диск заблокированный bitloker, комп переуставливал, ключа нет
Без ключа наверное никак.
Доброго времени суток. перед переустановкой винды я забыл оффнуть битлокер. теперь на переустановленной версий нет битлокера… прошу помочь. заранее блогадарю за ответ
Здравствуйте
Я бы форматнул накопитель и переустановил Windows. Предварительно нужно сохранить важную информацию.
Хотите верте — хотите нет, но сегодня у меня USB диск запароленный BitLocker открылся простым автозапуском без пароля. Установлена система Windows7Sp1x64 с последними обновлениями Convenience Rollup по апрель 2016 и с заплаткой от WannaCrypt 2017г.
После перезагрузке Windows — USB диск опять оказался запаролен BitLocker.
Годом раньше такое же произошло с флеш накопителем от Silicon Power — BitLocker открылся автозапуском в windows XP.
Спешу сообщить об этом всем!
Этож бубль-гум…)) Сорри, Мелкософт)) Тьфу, Микрософт)))
Есть проблема. Я зашифровал диск, ввел свой пароль, и пока не разлогинюсь пароль больше не спрашивает. Как включить запрос пароля после того как закончил работу с диском?
Все сделал по инструкции, но после перезагрузки выдает ошибку: не удалось получить ключ шифрования программы BitLocker из TPM
Такой вопрос, что будет, если отформатировать флешку с включённым битлокером?
Пользуюсь технологией BitLocker более 5 лет. Пару раз замечал, что BitLocker не срабатывал при подключении переносного usb диска. Диск открывался без всякого пароля. (Windows7x64 sp1)