Как включить шифрование диска BitLocker в Windows 10

Функция шифрования диска BitLocker позволяет уберечь ваши данные в случае утери компьютера. Чтобы получить данные с вашего диска, потребуется ввести пароль, даже если диск будет извлечен из компьютера и будет подключен к другому.

Также можно включить шифрование и для внешних дисков.

Функция работает только в следующих версиях Windows:

— Pro, Enterprise, и Education версии Windows 10;

— Pro и Enterprise версии Windows 8 и 8.1;

— Ultimate и Enterprise версии Windows Vista и Windows 7;

— Windows Server 2008 или более новая версия.

По умолчанию, для работы BitLocker требуется наличие специального модуля TPM на материнской плате вашего компьютера.

Однако, можно использовать функцию шифрования и без него.

Обратите внимание, что процесс шифрования может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена.

Включение BitLocker.

1. Нажмите на клавиатуре клавиши Windows + R.

2. В новом окне введите gpedit.msc и нажмите ОК.

3. В левой части нового окна Редактор локальной групповой политки выберите Конфигурация Компьютера > Административные шаблоны > Компонент Windows.

В правой части окна дважды щелкните по Шифрование диска BitLocker.

4. Дважды щелкните по Диски операционной системы.

5. Дважды щелкните по Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.

6. В новом окне выберите пункт Включено, поставьте галочку напротив Разрешить использование BitLocker без совместимого доверенного платформенного модуля и нажмите OK.

7. Закройте окно Редактор локальной групповой политки.

8. Нажмите правой кнопкой мыши по значку Windows и выберите Панель управления.

9. Выберите значок Шифрование диска BitLocker.

10. Выберите Включить BitLocker.

11. Дождитесь окончания проверки и нажмите Далее.

12. Ознакомьтесь с предупреждениями и нажмите Далее.

Обратите внимание, что в случае утери пароля, вы также не сможете получить доступ к данным на диске, поэтому рекомендуется сделать резервную копию самых важных документов.

13. Начнется процесс подготовки, во время которого нельзя выключать компьютер. В ином случае загрузочный раздел может быть поврежден и Windows не сможет быть загружена.

14. Нажмите кнопку Далее.

15. Укажите пароль, который будет использоваться для разблокировки диска при включении компьютера и нажмите кнопку Далее. Рекомендуется, чтобы он отличался от пароля пользователя на компьютере.

16. Выберите, каким образом требуется сохранить ключ восстановления. Этот ключ поможет вам получить доступ к диску, если вы забудете пароль от диска. После чего нажмите Далее.

Предлагается несколько вариантов восстановления (в этом варианте ключ был распечатан):

— Сохранить в вашу учетную запись Майкрософт — если на компьютере осуществлен вход в личную запись Microsoft, то в случае утери пароля можно будет разблокировать диск с помощью учетной записи Microsoft;

— Сохранить в файл — ключ будет сохранен в текстовом документе.

— Напечатать ключ восстановления — ключ будет распечатан на указанном принтере.

Ключ рекомендуется хранить отдельно от компьютера.

17. Для надежности рекомендуется выбрать шифрование всего диска. Нажмите Далее.

18. Выберите Новый режим шифрования и нажмите Далее.

19. Поставьте галочку напротив Запустить проверку системы BitLocker и нажмите Продолжить.

20. Появится уведомление о том, что требуется перезагрузить компьютер, а в панели уведомлений — значок BitLocker. Перезагрузите компьютер.

21. Сразу после перезагрузки у вас появится окно ввода пароля. Введите пароль, который вы указывали при включении шифрования, и нажмите Enter.

22. Шифрование начнется сразу после загрузки Windows. Нажмите на значок BitLocker в панели уведомлений, чтобы увидеть прогресс.

Обратите внимание, что шифрование может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена.

Отключение BitLocker.

1. Нажмите на значок BitLocker в правом нижнем углу.

2. Выберите Управление BitLocker.

3. Выберите Отключить BitLocker.

4. В новом окне нажмите Отключить BitLocker.

5. Процесс дешифровки также может занять продолжительное время, в зависимости от размера диска. В это время вы можете пользоваться компьютером как обычно, настраивать ничего не потребуется.

Общие сведения о функции шифровании устройств BitLocker в Windows 10 Overview of BitLocker Device Encryption in Windows 10

Относится к: Applies to

В этом разделе объясняется, как шифрование устройств BitLocker может помочь защитить данные на устройствах с Windows 10. This topic explains how BitLocker Device Encryption can help protect data on devices running Windows 10. Общий обзор и список тем о BitLocker см. в разделе BitLocker. For a general overview and list of topics about BitLocker, see BitLocker.

Когда пользователи путешествуют, конфиденциальные данные их организации путешествуют вместе с ними. When users travel, their organization’s confidential data goes with them. Где бы ни хранились конфиденциальные данные, их необходимо защитить от несанкционированного доступа. Wherever confidential data is stored, it must be protected against unauthorized access. В Windows давно успешно реализуются механизмы защиты данных на хранении, позволяющие оградить информацию от атак злоумышленников, начиная с файловой системы шифрования файлов в ОС Windows 2000. Windows has a long history of providing at-rest data-protection solutions that guard against nefarious attackers, beginning with the Encrypting File System in the Windows 2000 operating system. Совсем недавно BitLocker предоставил шифрование для полных дисков и портативных дисков. More recently, BitLocker has provided encryption for full drives and portable drives. В ОС Windows последовательно совершенствуются механизмы защиты данных: улучшаются существующие схемы и появляются новые стратегии. Windows consistently improves data protection by improving existing options and by providing new strategies.

В таблице 2 перечислены конкретные проблемы в сфере защиты данных и описано их решение в Windows 10 и Windows 7. Table 2 lists specific data-protection concerns and how they are addressed in Windows 10 and Windows 7.

Таблица 2. Table 2. Защита данных в Windows 10 и Windows 7 Data Protection in Windows 10 and Windows 7

Windows 7 Windows 7	Windows 10 Windows 10
Если BitLocker используется вместе с ПИН-кодом для обеспечения безопасности в ходе загрузки, перезагрузить ПК (например, киоски) удаленно невозможно. When BitLocker is used with a PIN to protect startup, PCs such as kiosks cannot be restarted remotely.	Современные устройства Windows все более защищены с помощью шифрования устройств BitLocker из коробки и поддерживают SSO, чтобы легко защитить ключи шифрования BitLocker от атак холодной загрузки. Modern Windows devices are increasingly protected with BitLocker Device Encryption out of the box and support SSO to seamlessly protect the BitLocker encryption keys from cold boot attacks. Сетевая разблокировка позволяет выполнять автоматический запуск ПК при наличии подключения к внутренней сети. Network Unlock allows PCs to start automatically when connected to the internal network.
Если BitLocker включен, процедура подготовки может занять несколько часов. When BitLocker is enabled, the provisioning process can take several hours.	Предварительная подготовка BitLocker, шифрование жестких дисков и шифрование только используемого пространства позволяет администраторам быстро включать BitLocker на новых компьютерах. BitLocker pre-provisioning, encrypting hard drives, and Used Space Only encryption allow administrators to enable BitLocker quickly on new computers.
Отсутствует поддержка использования BitLocker с самошифрующимися дисками (SED). There is no support for using BitLocker with self-encrypting drives (SEDs).	BitLocker поддерживает разгрузку шифрования на зашифрованные жесткие диски. BitLocker supports offloading encryption to encrypted hard drives.
Администраторы должны использовать для управления зашифрованными жесткими дисками специальные средства. Administrators have to use separate tools to manage encrypted hard drives.	BitLocker поддерживает зашифрованные жесткие диски благодаря встроенному оборудованию для шифрования, что позволяет администраторам использовать знакомые инструменты администрирования BitLocker для управления ими. BitLocker supports encrypted hard drives with onboard encryption hardware built in, which allows administrators to use the familiar BitLocker administrative tools to manage them.
Шифрование нового флеш-диска может занять более 20 минут. Encrypting a new flash drive can take more than 20 minutes.	Используемое шифрование Только пространство в BitLocker To Go позволяет пользователям шифровать съемные диски данных в секундах. Used Space Only encryption in BitLocker To Go allows users to encrypt removable data drives in seconds.
BitLocker может потребовать от пользователей ввода ключа восстановления при внесении изменений в конфигурацию системы. BitLocker could require users to enter a recovery key when system configuration changes occur.	BitLocker требует ввода ключа восстановления только в случае повреждения диска или утери ПИН-кода или пароля пользователем. BitLocker requires the user to enter a recovery key only when disk corruption occurs or when he or she loses the PIN or password.
Пользователи должны ввести ПИН-код для запуска ПК, а затем пароль для входа в Windows. Users need to enter a PIN to start the PC, and then their password to sign in to Windows.	Современные устройства Windows все чаще защищены с помощью шифрования устройств BitLocker из коробки и поддерживают SSO, чтобы защитить ключи шифрования BitLocker от атак холодной загрузки. Modern Windows devices are increasingly protected with BitLocker Device Encryption out of the box and support SSO to help protect the BitLocker encryption keys from cold boot attacks.

Подготовка к шифрованию дисков и файлов Prepare for drive and file encryption

Самые лучшие меры безопасности прозрачны для пользователя на этапах внедрения и использования. The best type of security measures are transparent to the user during implementation and use. Всякий раз при возникновении задержки или сложности, вызванной использованием функции безопасности, велика вероятность того, что пользователи попытаются обойти систему безопасности. Every time there is a possible delay or difficulty because of a security feature, there is strong likelihood that users will try to bypass security. Это особенно актуально, если речь идет о защите данных, и организациям нужно всеми способами обезопасить себя от этого. This situation is especially true for data protection, and that’s a scenario that organizations need to avoid. Windows 10 предлагает надежные и удобные решения для шифрования целых томов, съемных устройств или отдельных файлов. Whether you’re planning to encrypt entire volumes, removable devices, or individual files, Windows 10 meets your needs by providing streamlined, usable solutions. Можно предпринять определенные меры заранее, чтобы подготовиться к шифрованию данных и сделать развертывание максимально простым и быстрым. In fact, you can take several steps in advance to prepare for data encryption and make the deployment quick and smooth.

Предварительная подготовка TPM TPM pre-provisioning

В Windows 7 подготовка TPM к работе была сопряжена с некоторыми сложностями. In Windows 7, preparing the TPM for use offered a couple of challenges:

• Можно включить TPM в BIOS. Для этого нужно перейти в настройки BIOS для включения TPM или установить драйвер для включения TPM из Windows. You can turn on the TPM in the BIOS, which requires someone to either go into the BIOS settings to turn it on or to install a driver to turn it on from within Windows.
• При включении TPM может потребоваться выполнить одну или несколько перезагрузок. When you enable the TPM, it may require one or more restarts.

Как правило, все это было сопряжено с большими сложностями. Basically, it was a big hassle. Если ИТ-специалисты занимаются подготовкой новых ПК, они могут выполнить все вышеперечисленное, но если требуется добавить BitLocker на устройства, с которыми уже работают пользователи, последним придется справляться с техническими сложностями и либо обращаться к ИТ-специалистам за поддержкой, либо не включать BitLocker. If IT staff were provisioning new PCs, they could handle all of this, but if you wanted to add BitLocker to devices that were already in users’ hands, those users would have struggled with the technical challenges and would either call IT for support or simply leave BitLocker disabled.

Корпорация Майкрософт включила в Windows 10 инструментарий, необходимый для полноценного управления TPM из операционной системы. Microsoft includes instrumentation in Windows 10 that enables the operating system to fully manage the TPM. Не требуется заходить в BIOS, устранены также все ситуации, требующие перезагрузки компьютера. There is no need to go into the BIOS, and all scenarios that required a restart have been eliminated.

Шифрование жесткого диска Deploy hard drive encryption

BitLocker может шифровать жесткие диски полностью, включая системные диски и диски с данными. BitLocker is capable of encrypting entire hard drives, including both system and data drives. Предварительная подготовка BitLocker позволяет существенно сократить время, необходимое для включения BitLocker на новых ПК. BitLocker pre-provisioning can drastically reduce the time required to provision new PCs with BitLocker enabled. В Windows 10 администраторы могут включить BitLocker и TPM из предустановочной среды Windows до установки Windows или в рамках последовательности задач автоматизированного развертывания без какого-либо вмешательства со стороны пользователя. With Windows 10, administrators can turn on BitLocker and the TPM from within the Windows Preinstallation Environment before they install Windows or as part of an automated deployment task sequence without any user interaction. В сочетании с шифрованием только используемого места на диске и учитывая, что диск практически пуст (поскольку Windows еще не установлена), для включения BitLocker потребуется всего несколько секунд. Combined with Used Disk Space Only encryption and a mostly empty drive (because Windows is not yet installed), it takes only a few seconds to enable BitLocker. В предыдущих версиях Windows администраторам приходилось включать BitLocker после установки Windows. With earlier versions of Windows, administrators had to enable BitLocker after Windows had been installed. Несмотря на то что этот процесс можно автоматизировать, BitLocker потребовалось бы шифровать целый диск (на что ушло бы от нескольких часов до более одного дня в зависимости от размера диска и производительности), что существенно бы увеличило время развертывания. Although this process could be automated, BitLocker would need to encrypt the entire drive, a process that could take anywhere from several hours to more than a day depending on drive size and performance, which significantly delayed deployment. Майкрософт улучшила эту процедуру, внедрив в Windows 10 несколько новых функций. Microsoft has improved this process through multiple features in Windows 10.

Шифрование устройств BitLocker BitLocker Device Encryption

Начиная с Windows 8.1, Windows автоматически включает шифрование устройств BitLocker на устройствах, поддерживаюх современное режим ожидания. Beginning in Windows 8.1, Windows automatically enables BitLocker Device Encryption on devices that support Modern Standby. С Windows 10 Корпорация Майкрософт предлагает поддержку шифрования устройств BitLocker на гораздо более широком диапазоне устройств, включая современные автономные устройства и устройства с windows 10 Home edition. With Windows 10, Microsoft offers BitLocker Device Encryption support on a much broader range of devices, including those that are Modern Standby, and devices that run Windows 10 Home edition.

Корпорация Майкрософт ожидает, что большинство устройств в будущем будут проходить тестирование, что делает шифрование устройств BitLocker широко распространенным на современных устройствах Windows. Microsoft expects that most devices in the future will pass the testing requirements, which makes BitLocker Device Encryption pervasive across modern Windows devices. Шифрование устройств BitLocker дополнительно защищает систему, прозрачно реализуя шифрование данных на всей устройстве. BitLocker Device Encryption further protects the system by transparently implementing device-wide data encryption.

В отличие от стандартной реализации BitLocker шифрование устройств BitLocker включено автоматически, чтобы устройство всегда было защищено. Unlike a standard BitLocker implementation, BitLocker Device Encryption is enabled automatically so that the device is always protected. В следующем списке изложено, как это происходит. The following list outlines how this happens:

• Компьютер готов к первому использованию по окончании чистой установки Windows 10 и предварительной настройки. When a clean installation of Windows 10 is completed and the out-of-box experience is finished, the computer is prepared for first use. В рамках этой подготовки шифрование устройств BitLocker инициализировано на диске операционной системы и фиксированных дисках данных на компьютере с четким ключом (это эквивалент стандартного приостановленного состояния BitLocker). As part of this preparation, BitLocker Device Encryption is initialized on the operating system drive and fixed data drives on the computer with a clear key (this is the equivalent of standard BitLocker suspended state). В этом состоянии диск отображается с значоком предупреждения в Обозревателе Windows. In this state, the drive is shown with a warning icon in Windows Explorer. Желтый значок предупреждения удаляется после создания протектора TPM и восстановления, как поясняется в следующих точках пули. The yellow warning icon is removed after the TPM protector is created and the recovery key is backed up, as explained in the following bullet points.
• Если устройство не подсоединено к домену, требуется использовать учетную запись Майкрософт, которой были предоставлены права администратора на устройстве. If the device is not domain joined, a Microsoft account that has been granted administrative privileges on the device is required. Когда администратор использует учетную запись Майкрософт для входа, незащищенный ключ удаляется, а ключ восстановления отправляется в учетную запись Майкрософт в Интернете, создается механизм защиты TPM. When the administrator uses a Microsoft account to sign in, the clear key is removed, a recovery key is uploaded to the online Microsoft account, and a TPM protector is created. Если устройству требуется ключ восстановления, пользователю порекомендуют использовать другое устройство и перейти по URL-адресу доступа к ключу восстановления, чтобы извлечь его с использованием учетных данных своей учетной записи Майкрософт. Should a device require the recovery key, the user will be guided to use an alternate device and navigate to a recovery key access URL to retrieve the recovery key by using his or her Microsoft account credentials.
• Если пользователь использует для входа учетную запись домена, незащищенный ключ не удаляется до тех пор, пока пользователь не подсоединит устройство к домену и не выполнит успешное резервное копирование ключа восстановления в доменные службы Active Directory (AD DS). If the user uses a domain account to sign in, the clear key is not removed until the user joins the device to a domain and the recovery key is successfully backed up to Active Directory Domain Services (AD DS). Необходимо включить параметр групповой политики Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Диски операционной системы и выбрать вариант Не включать BitLocker до сохранения данных восстановления в AD DS для дисков операционной системы. You must enable the Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives Group Policy setting, and select the Do not enable BitLocker until recovery information is stored in AD DS for operating system drives option. При такой конфигурации пароль восстановления создается автоматически, когда компьютер подключается к домену, а в AD DS создается резервная копия ключа восстановления. Затем создается механизм защиты TPM, незащищенный ключ удаляется. With this configuration, the recovery password is created automatically when the computer joins the domain, and then the recovery key is backed up to AD DS, the TPM protector is created, and the clear key is removed.
• Аналогично входу по учетной записи домена незащищенный ключ удаляется, когда пользователь входит на устройство с использованием учетной записи Azure AD. Similar to signing in with a domain account, the clear key is removed when the user logs on to an Azure AD account on the device. Как описано в пункте выше, пароль восстановления создается автоматически, когда пользователь проходит проверку подлинности в Azure AD. As described in the bullet point above, the recovery password is created automatically when the user authenticates to Azure AD. Затем выполняется резервное копирование ключа восстановления в Azure AD, создается механизм защиты TPM, незащищенный ключ удаляется. Then, the recovery key is backed up to Azure AD, the TPM protector is created, and the clear key is removed.

Корпорация Майкрософт рекомендует включить шифрование устройств BitLocker в любых поддерживаемых системах, но процесс автоматического шифрования устройств BitLocker можно предотвратить, изменив следующий параметр реестра: Microsoft recommends that BitLocker Device Encryption be enabled on any systems that support it, but the automatic BitLocker Device Encryption process can be prevented by changing the following registry setting:

• Подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker Subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
• Значение: PreventDeviceEncryption равно True (1) Value: PreventDeviceEncryption equal to True (1)
• Тип: REG_DWORD Type: REG_DWORD

Администраторы могут управлять устройствами с поддержкой домена, на которые включено шифрование устройств BitLocker с помощью администрирования и мониторинга Microsoft BitLocker (MBAM). Administrators can manage domain-joined devices that have BitLocker Device Encryption enabled through Microsoft BitLocker Administration and Monitoring (MBAM). В этом случае шифрование устройств BitLocker автоматически делает доступными дополнительные параметры BitLocker. In this case, BitLocker Device Encryption automatically makes additional BitLocker options available. Преобразование или шифрование не требуется, и если нужно внести какие-либо изменения в конфигурацию, MBAM может осуществлять управление всем набором политик BitLocker. No conversion or encryption is required, and MBAM can manage the full BitLocker policy set if any configuration changes are required.

Шифрование устройств BitLocker использует 128-битный метод шифрования XTS-AES. BitLocker Device Encryption uses the XTS-AES 128-bit encryption method. Если требуется использовать другой метод шифрования и/или силу шифра, сначала необходимо настроить и расшифровать устройство (если уже зашифровано). In case you need to use a different encryption method and/or cipher strength, the device must be configured and decrypted (if already encrypted) first. После этого можно применить различные параметры BitLocker. After that, different BitLocker settings can be applied.

Шифрование только занятого места на диске Used Disk Space Only encryption

На шифрование диска с помощью BitLocker в предыдущих версиях Windows могло уходить много времени, потому что шифровался каждый байт тома (включая части, не содержащие данных). BitLocker in earlier Windows versions could take a long time to encrypt a drive, because it encrypted every byte on the volume (including parts that did not have data). Это по-прежнему самый безопасный способ шифрования диска, особенно если на диске ранее содержались конфиденциальные данные, которые с тех пор были перемещены или удалены. That is still the most secure way to encrypt a drive, especially if a drive has previously contained confidential data that has since been moved or deleted. В этом случае следы конфиденциальных данных могут оставаться на части диска, помеченных как неиспользованые. In that case, traces of the confidential data could remain on portions of the drive marked as unused. Зачем шифровать новый диск, если можно просто шифровать данные по мере записи? But why encrypt a new drive when you can simply encrypt the data as it is being written? Чтобы сократить время шифрования, пользователи BitLocker в Windows 10 предпочитают шифровать только данные. To reduce encryption time, BitLocker in Windows 10 lets users choose to encrypt just their data. В зависимости от объема данных на диске это позволяет сократить время шифрования более, чем на 99 процентов. Depending on the amount of data on the drive, this option can reduce encryption time by more than 99 percent. Соблюдайте осторожность, шифруя только используемое пространство в существующем томе, где уже могут храниться конфиденциальные данные в незашифрованном состоянии, потому что пока сюда не будут записаны новые зашифрованные данные, эти секторы можно восстановить с помощью средств восстановления диска. Exercise caution when encrypting only used space on an existing volume on which confidential data may have already been stored in an unencrypted state, however, because those sectors can be recovered through disk-recovery tools until they are overwritten by new encrypted data. Напротив, шифрование только используемого пространства в совершенно новом томе может существенно сократить продолжительность развертывания без рисков безопасности, потому что все новые данные будут зашифрованы по мере записи на диск. In contrast, encrypting only used space on a brand-new volume can significantly decrease deployment time without the security risk because all new data will be encrypted as it is written to the disk.

Поддержка шифрования жесткого диска Encrypted hard drive support

SED доступны уже многие годы, однако Майкрософт не удавалось обеспечить поддержку этой технологии в более ранних версиях Windows, потому что на дисках отсутствовали важные функции управления ключами. SEDs have been available for years, but Microsoft couldn’t support their use with some earlier versions of Windows because the drives lacked important key management features. Корпорация Майкрософт совместно с поставщиками ресурсов хранения сделала многое для совершенствования аппаратных возможностей, и теперь BitLocker поддерживает SED нового поколения, которые называются зашифрованными жесткими дисками. Microsoft worked with storage vendors to improve the hardware capabilities, and now BitLocker supports the next generation of SEDs, which are called encrypted hard drives. Зашифрованные жесткие диски имеют встроенные криптографические возможности, что позволяет шифровать данные на дисках, повышает производительность дисков и системы благодаря переносу криптографических вычислений с процессора ПК на сам диск и быстрому шифрованию диска с использованием специального выделенного оборудования. Encrypted hard drives provide onboard cryptographic capabilities to encrypt data on drives, which improves both drive and system performance by offloading cryptographic calculations from the PC’s processor to the drive itself and rapidly encrypting the drive by using dedicated, purpose-built hardware. Если планируется использовать в Windows 10 шифрование всего диска, Майкрософт рекомендует изучить производителей и модели жестких дисков, чтобы определить, соответствуют ли их зашифрованные жесткие диски вашим требованиям в области безопасности и финансовым возможностям. If you plan to use whole-drive encryption with Windows 10, Microsoft recommends that you investigate hard drive manufacturers and models to determine whether any of their encrypted hard drives meet your security and budget requirements. Дополнительные сведения о зашифрованных жестких дисках см. в статье Зашифрованный жесткий диск. For more information about encrypted hard drives, see Encrypted Hard Drive.

Защита информации на этапе предварительной загрузки Preboot information protection

Эффективная реализация защиты информации, как и большинство элементов управления безопасностью, рассматривает возможность использования, а также безопасность. An effective implementation of information protection, like most security controls, considers usability as well as security. Как правило, пользователи предпочитают простые системы безопасности. Users typically prefer a simple security experience. По сути, чем более прозрачным является решение безопасности, тем охотнее пользователи будут его применять. In fact, the more transparent a security solution becomes, the more likely users are to conform to it. Для организаций очень важно защитить информацию на своих ПК независимо от состояния компьютеров и намерений пользователей. It is crucial that organizations protect information on their PCs regardless of the state of the computer or the intent of users. Такая защита не должна обременять пользователей. This protection should not be cumbersome to users. Одним из неудобных (однако очень распространенных ранее) сценариев является ситуация, когда пользователю нужно вводить определенные данные во время предварительной загрузки, а затем снова при входе в Windows. One undesirable and previously commonplace situation is when the user is prompted for input during preboot, and then again during Windows logon. Следует избегать такой ситуации, когда пользователю приходится несколько раз вводить данные, чтобы войти в систему. Challenging users for input more than once should be avoided. В Windows 10 можно обеспечить подлинно единый вход, начиная со среды предварительной загрузки на современных устройствах, а в некоторых случаях — и на более старых устройствах при наличии продуманных конфигураций для защиты информации. Windows 10 can enable a true SSO experience from the preboot environment on modern devices and in some cases even on older devices when robust information protection configurations are in place. TPM в изоляции способен обеспечить надежную защиту ключа шифрования BitLocker в состоянии покоя и безопасно разблокировать диск операционной системы. The TPM in isolation is able to securely protect the BitLocker encryption key while it is at rest, and it can securely unlock the operating system drive. Если ключ используется и, следовательно, находится в памяти, аппаратные функции в сочетании с возможностями Windows обеспечивают безопасность ключа и защищают от несанкционированного доступа в результате атак методом холодной загрузки. When the key is in use and thus in memory, a combination of hardware and Windows capabilities can secure the key and prevent unauthorized access through cold-boot attacks. Несмотря на доступность других мер противодействия (разблокировка с использованием ПИН-кода), они неудобны; в зависимости от конфигурации устройства при использовании этих мер может не обеспечиваться дополнительная защита ключа. Although other countermeasures like PIN-based unlock are available, they are not as user-friendly; depending on the devices’ configuration they may not offer additional security when it comes to key protection. Дополнительные сведения см. в дополнительных сведениях о контрмерах BitLocker. For more information, see BitLocker Countermeasures.

Управление паролями и ПИН-кодами Manage passwords and PINs

Если BitLoслук включен на системном диске и ПК оснащен модулем TPM, можно потребовать от пользователей ввода ПИН-кода, прежде чем BitLocker разблокирует диск. When BitLocker is enabled on a system drive and the PC has a TPM, you can choose to require that users type a PIN before BitLocker will unlock the drive. Это требование защищает от злоумышленников, получивших физический доступ к ПК, и не позволяет им даже дойти до входа в систему Windows. В результате получить доступ к данным пользователя или системным файлам или изменить их практически невозможно. Such a PIN requirement can prevent an attacker who has physical access to a PC from even getting to the Windows logon, which makes it virtually impossible for the attacker to access or modify user data and system files.

Требование ввода ПИН-кода при запуске — полезный механизм обеспечения безопасности, потому что он выступает в качестве второго фактора проверки подлинности («что-то, что вы знаете»). Requiring a PIN at startup is a useful security feature because it acts as a second authentication factor (a second “something you know”). Тем не менее, есть и другая сторона медали. This configuration comes with some costs, however. Во-первых, необходимо регулярно менять ПИН-код. One of the most significant is the need to change the PIN regularly. В организациях, где BitLocker использовался с ОС Windows 7 и Windows Vista, пользователям приходилось обращаться к системным администраторам, чтобы обновить ПИН-код или пароль BitLocker. In enterprises that used BitLocker with Windows 7 and the Windows Vista operating system, users had to contact systems administrators to update their BitLocker PIN or password. В результате не только росли затраты на управление, но и пользователи не желали менять ПИН-код или пароль BitLocker достаточно часто. This requirement not only increased management costs but made users less willing to change their BitLocker PIN or password on a regular basis. Пользователи Windows 10 могут обновлять свои ПИН-коды и пароли BitLocker самостоятельно, учетные данные администратора для этого не нужны. Windows 10 users can update their BitLocker PINs and passwords themselves, without administrator credentials. Это не только позволяет снизить затраты на поддержку, но и повысить безопасность, потому что поощряется регулярная смена ПИН-кодов и паролей пользователями. Not only will this feature reduce support costs, but it could improve security, too, because it encourages users to change their PINs and passwords more often. Кроме того, современные устройства standby не требуют ПИН-кода для запуска: они предназначены для запуска нечасто и имеют другие смягчающие меры, которые еще больше уменьшают поверхность атаки системы. In addition, Modern Standby devices do not require a PIN for startup: They are designed to start infrequently and have other mitigations in place that further reduce the attack surface of the system. Дополнительные сведения о работе механизмов обеспечения безопасности при запуске и реализованных в Windows 10 мерах противодействия см. в статье Protect BitLocker from pre-boot attacks. For more information about how startup security works and the countermeasures that Windows 10 provides, see Protect BitLocker from pre-boot attacks.

Настройка сетевой разблокировки Configure Network Unlock

В некоторых организациях действуют требования к безопасности данных в зависимости от расположения. Some organizations have location-specific data security requirements. Это наиболее распространено в средах, где на ПК хранятся очень ценные данные. This is most common in environments where high-value data is stored on PCs. Сетевая среда может обеспечить важную защиту данных и принудительно реализовать обязательную проверку подлинности; следовательно, согласно политике организации, такие ПК не должны покидать здание или отключаться от сети организации. The network environment may provide crucial data protection and enforce mandatory authentication; therefore, policy states that those PCs should not leave the building or be disconnected from the corporate network. Меры безопасности, такие как физические блокировки безопасности и использование геозон, позволяют реализовывать эту политику в форме реактивных мер контроля. Safeguards like physical security locks and geofencing may help enforce this policy as reactive controls. Помимо этого, необходимо реализовать проактивный контроль безопасности: доступ к данным может быть предоставлен, только когда ПК подключен к сети организации. Beyond these, a proactive security control that grants data access only when the PC is connected to the corporate network is necessary.

Сетевая разблокировка позволяет автоматически запускать ПК под защитой BitLocker, если они подсоединены к проводной сети организации, в которой выполняются службы развертывания Windows. Network Unlock enables BitLocker-protected PCs to start automatically when connected to a wired corporate network on which Windows Deployment Services runs. Если ПК не подключен к сети организации, пользователь должен ввести ПИН-код, чтобы разблокировать диск (если включена разблокировка по ПИН-коду). Anytime the PC is not connected to the corporate network, a user must type a PIN to unlock the drive (if PIN-based unlock is enabled). Для использования сетевой разблокировки требуется следующая инфраструктура. Network Unlock requires the following infrastructure:

• Клиентские ПК с встроенным ПО UEFI версии 2.3.1 или более поздней с поддержкой DHCP-протокола. Client PCs that have Unified Extensible Firmware Interface (UEFI) firmware version 2.3.1 or later, which supports Dynamic Host Configuration Protocol (DHCP)
• Сервер, работающий по крайней мере в Windows Server 2012 с ролью служб развертывания Windows A server running at least Windows Server 2012 with the Windows Deployment Services role
• Сервер с установленной ролью DHCP-сервера. A server with the DHCP server role installed

Дополнительные сведения о настройке сетевой разблокировки см. в статье BitLocker: включение сетевой разблокировки. For more information about how to configure Network Unlock, see BitLocker: How to enable Network Unlock.

Система администрирования и мониторинга Microsoft BitLocker Microsoft BitLocker Administration and Monitoring

MBAM в составе пакета Microsoft Desktop Optimization Pack упрощает поддержку BitLocker и BitLocker To Go и управление этими технологиями. Part of the Microsoft Desktop Optimization Pack, MBAM makes it easier to manage and support BitLocker and BitLocker To Go. MBAM 2.5 с пакетом обновления 1 (последняя версия) имеет следующие ключевые функции: MBAM 2.5 with Service Pack 1, the latest version, has the following key features:

• позволяет администраторам автоматизировать процедуру шифрования томов на клиентских компьютерах в организации; Enables administrators to automate the process of encrypting volumes on client computers across the enterprise.
• позволяет специалистам по безопасности быстро определять состояние соответствия требованиям отдельных компьютеров или всей организации; Enables security officers to quickly determine the compliance state of individual computers or even of the enterprise itself.
• Обеспечивает централизованное управление отчетами и оборудованием с помощью Microsoft Microsoft Endpoint Configuration Manager. Provides centralized reporting and hardware management with Microsoft Microsoft Endpoint Configuration Manager.
• снижает нагрузку на службу технической поддержки, обрабатывающую запросы на восстановление BitLocker от конечных пользователей; Reduces the workload on the help desk to assist end users with BitLocker recovery requests.
• позволяет конечным пользователям восстанавливать зашифрованные устройства независимо, используя портал самообслуживания; Enables end users to recover encrypted devices independently by using the Self-Service Portal.
• позволяет специалистам по безопасности легко контролировать доступ к информации о ключах восстановления; Enables security officers to easily audit access to recovery key information.
• позволяет пользователям Windows Корпоративная продолжать работать в любом месте, не беспокоясь о защите данных организации; Empowers Windows Enterprise users to continue working anywhere with the assurance that their corporate data is protected.
• применяет параметры политики шифрования с помощью BitLocker, настроенные для вашей организации; Enforces the BitLocker encryption policy options that you set for your enterprise.
• Интегрируется с существующими средствами управления, такими как Microsoft Endpoint Configuration Manager. Integrates with existing management tools, such as Microsoft Endpoint Configuration Manager.
• позволяет пользователям выполнять восстановление, пользуясь заданными ИТ-специалистами настройками; Offers an IT-customizable recovery user experience.
• поддерживает Windows 10. Supports Windows 10.

Дополнительные сведения о MBAM, включая способы ее получения, см. в статье Администрирование и мониторинг Microsoft BitLocker в центре MDOP TechCenter. For more information about MBAM, including how to obtain it, see Microsoft BitLocker Administration and Monitoring on the MDOP TechCenter.