Вопросы и ответы по BitLocker

Относится к:

Можно ли автоматизировать развертывание BitLocker в корпоративной среде?

Да, развертывание и настройку BitLocker и доверенного платформенного модуля можно автоматизировать с помощью инструментария WMI или сценариев Windows PowerShell. Способ реализации сценариев зависит от среды. Локальную или удаленную настройку BitLocker можно выполнить с помощью Manage-bde.exe. Дополнительные сведения о написании сценариев, использующих поставщики WMI BitLocker, см. в статье Поставщик шифрования диска BitLocker. Узнать больше об использовании командлетов Windows PowerShell с шифрованием дисков BitLocker можно в статье Командлеты для BitLocker в Windows PowerShell.

Может ли BitLocker шифровать другие диски, кроме диска операционной системы?

Насколько снижается производительность при включении BitLocker на компьютере?

Как правило, существует небольшая накладная часть производительности, часто в однозначных процентах, что относительно пропускной способности операций хранилища, на которых она должна работать.

Сколько времени занимает первоначальное шифрование после включения BitLocker?

Хотя шифрование BitLocker выполняется в фоновом режиме, пока вы продолжаете работу, и система остается доступной, время шифрования зависит от типа диска, его размера и скорости. Если вы шифруете большие диски, может потребоваться установить шифрование в периоды, когда вы не будете использовать диск.

При включении BitLocker вы также можете выбрать, следует ли шифровать весь диск или только занятое пространство. На новом жестком диске шифрование лишь используемого пространства выполняется гораздо быстрее, чем шифрование всего диска. После выбора этого варианта шифрования BitLocker автоматически шифрует данные в момент сохранения. Такой способ гарантирует, что никакие данные не будут храниться без шифрования.

Что будет, если выключить компьютер во время шифрования или расшифровки?

Если компьютер выключается или переходит в режим гибернации, то при следующем запуске Windows процесс шифрования и расшифровки при помощи BitLocker возобновляется с места остановки. То же происходит в случае сбоя подачи электропитания.

Выполняет ли BitLocker шифрование и расшифровку всего диска при считывании и записи данных?

Нет, BitLocker не выполняет шифрование и расшифровку всего диска при считывании и записи данных. Секторы, зашифрованные на защищенном при помощи BitLocker диске, расшифровываются только по запросу системных операций чтения. Блоки, которые записываются на диск, шифруются до того, как система записывает их на физический диск. На диске с защитой BitLocker данные никогда не остаются незашифрованными.

Как запретить пользователям в сети сохранять данные на незашифрованном диске?

Вы можете настроить параметры групповой политики, чтобы требовать, чтобы диски данных были защищены BitLocker, прежде чем компьютер с защитой BitLocker сможет записывать данные на них. Дополнительные сведения см. в статье Параметры групповой политики BitLocker. Если включены соответствующие параметры политики, то операционная система с защитой BitLocker будет подключать диски с данными, не защищенные BitLocker, в режиме только для чтения.

Что такое шифрование Только для использования дискового пространства?

BitLocker в Windows10 позволяет пользователям шифровать только свои данные. Хотя это не самый безопасный способ шифрования диска, этот параметр может сократить время шифрования более чем на 99 процентов в зависимости от того, сколько данных необходимо шифровать. Дополнительные сведения см. в сообщении шифрования Used Disk Space Only.

Какие изменения системы приводят к появлению ошибки при проверке целостности диска с операционной системой?

Появление ошибки при проверке целостности могут вызывать указанные ниже типы изменений системы. В этом случае доверенный платформенный модуль не предоставляет ключ BitLocker для расшифровки защищенного диска операционной системы.

• Перемещение диска с защитой BitLocker в новый компьютер.
• Установка новой системной платы с новым доверенным платформенным модулем.
• Выключение, деактивация или очистка доверенного платформенного модуля.
• Изменение каких-либо параметров конфигурации загрузки.
• Изменение встроенного ПО BIOS или UEFI, основной загрузочной записи (MBR), загрузочного сектора, диспетчера загрузки, дополнительного ПЗУ, а также других компонентов ранней загрузки или данных конфигурации загрузки.

В каком случае BitLocker запускается в режиме восстановления при попытке запустить диск операционной системы?

Так как компонент BitLocker предназначен для защиты компьютера от многочисленных атак, существует множество причин, по которым BitLocker может запускаться в режиме восстановления. Пример

• Изменение порядка загрузки BIOS — перед жестким диском идет другое устройство.
• Добавление или удаление оборудования, например вставка в компьютер новой карты, включая некоторые беспроводные карты PCMIA.
• Удаление, вставка или полная разрядка батареи Smart Battery в портативном компьютере.

В BitLocker восстановление состоит в расшифровке копии основного ключа тома при помощи ключа восстановления, хранящегося на USB-накопителе, или при помощи криптографического ключа, полученного с использованием пароля восстановления. Доверенный платформенный модуль не участвует ни в одном сценарии восстановления. Это значит, что восстановление возможно даже при появлении ошибки во время проверки компонентов загрузки с помощью этого модуля, а также при его сбое или удалении.

Что может предотвратить привязку BitLocker к PCR 7?

BitLocker можно запретить связывать с PCR 7, если осмия, не предназначенная для Windows, загружается до Windows, или если безопасная загрузка недоступна устройству, либо из-за отключения, либо из-за того, что оборудование не поддерживает его.

Можно ли менять жесткие диски на компьютере, если для его диска операционной системы включено шифрование BitLocker?

Да, на одном компьютере с включенным шифрованием BitLocker можно менять жесткие диски, но при условии, что для них включалась защита BitLocker на этом же компьютере. Клавиши BitLocker уникальны для диска TPM и операционной системы. Поэтому если вы хотите подготовить резервную операционную систему или накопитель данных в случае сбой диска, убедитесь, что они соответствуют правильной TPM. Можно также настроить разные жесткие диски для различных операционных систем, а затем включить для каждого диска BitLocker, указав разные методы проверки подлинности (например, на одном диске только доверенный платформенный модуль, а на другом — доверенный платформенный модуль с вводом ПИН-кода), и это не приведет к конфликтам.

Можно ли получить доступ к жесткому диску, защищенному BitLocker, если установить его на другой компьютер?

Да, если это диск с данными, его можно разблокировать обычным образом, выбрав элемент Шифрование диска BitLocker на панели управления (с помощью пароля или смарт-карты). Если для диска с данными настроено только автоматическое снятие блокировки, вам придется использовать ключ восстановления, чтобы разблокировать этот диск. Зашифрованный жесткий диск можно разблокировать с помощью агента восстановления данных (если он настроен) или с помощью ключа восстановления.

Почему недоступна команда «Включить BitLocker», если щелкнуть диск правой кнопкой мыши?

Некоторые диски невозможно зашифровать при помощи BitLocker. Это происходит по нескольким причинам. Например, размер диска может быть слишком мал, файловая система может быть несовместимой, диск может быть динамическим либо назначенным в качестве системного раздела. По умолчанию системный диск (или системный раздел) не отображается. Но если диск (или раздел) не был скрыт при выборочной установке операционной системы, его можно отобразить, но не зашифровать.

Какие типы конфигураций дисков поддерживаются BitLocker?

Защита BitLocker возможна для любого числа внутренних несъемных дисков. В некоторых версиях поддерживаются запоминающие устройства прямого подключения с интерфейсом ATA и SATA.

Шифрование BitLocker в Windows 10 Домашняя

Шифрование дисков с помощью BitLocker — удобная и эффективная встроенная функция Windows 10, однако доступна лишь в Профессиональной и Корпоративной редакциях. А что, если есть необходимость зашифровать диск в Windows 10 Домашняя, причем использовать именно BitLocker, а не сторонние средства, такие как VeraCrypt? Способы сделать это существуют, о чем и пойдет речь в инструкции ниже. О том, как шифрование выполняется в поддерживаемых системах в отдельной статье: Как зашифровать диск с помощью BitLocker в Windows 10.

Примечание: домашняя редакция ОС вполне умеет подключать, читать и записывать диски, зашифрованные BitLocker: если вы зашифруете диск на другом компьютере с Pro/Enterprise редакцией системы или создадите там зашифрованный виртуальный диск, а затем перенесете его в Windows 10 Домашняя, с ним можно будет работать без каких-либо проблем, однако включить шифрование на незашифрованном или отключить на зашифрованном диске в этой версии нельзя.

Включение шифрования BitLocker в домашней редакции Windows

Любые мои попытки обойти ограничения Windows 10 Домашняя и зашифровать диск BitLocker-ом только встроенными средствами системы, а таковые присутствуют, например, в PowerShell, не увенчались успехом (правда, есть не самые удобные «обходные» пути, о которых в конце материала).

Однако, существуют сторонние программы, позволяющие включать шифрование BitLocker для дисков. К сожалению, ни одна из них не является бесплатной, но первая из описываемых программ полностью функциональна в течение первых 15 дней использования (чего хватит, чтобы зашифровать диски, а работать с ними можно будет и без этой программы). Интересно, что обе рассматриваемых утилиты имеют версии для Mac OS и Linux: если вам нужно работать с дисками, зашифрованными BitLocker в этих системах, имейте в виду.

BitLocker Anywhere

Самая известная программа для включения шифрования на компьютерах с Windows, где рассматриваемая функция отсутствует — Hasleo BitLocker Anywhere. Она бесплатна в течение первых 15 дней использования (но в пробной версии не поддерживает шифрование системных разделов диска).

После загрузки и установки программы для шифрования достаточно выполнить следующие шаги:

1. Нажмите правой кнопкой мыши по разделу диска, который нужно зашифровать и выберите пункт меню «Turn on BitLocker».
2. В следующем окне укажите и подтвердите пароль для шифрования и расшифровки. Две отметки ниже позволяют включить шифрование только занятого пространства (быстрее, вновь помещаемые данные будут шифроваться автоматически), а также включить режим совместимости (существуют разные версии шифрования BitLocker, с включенным режимом совместимости, вероятнее всего, диск можно будет расшифровать на любом компьютере с поддержкой функции).
3. Следующее окно предлагает сохранить ключ восстановления (Save to a file) или распечатать его (Print the recovery key). Он пригодится в случае, если вы забыли пароль (а иногда оказывается полезным и при сбоях файловой системы на диске).
4. В завершение придется лишь дождаться окончания процесса шифрования уже имеющихся данных на диске — не закрывайте программу, пока не увидите кнопку Finish внизу справа. На SSD это будет быстрее, на HDD может оказаться необходимым подождать более продолжительное время.

В целом программа работает исправно, и, судя по всему, также умеет шифровать и системный раздел диска (но не смог проверить за неимением ключа) — следующий рассматриваемый продукт этого не умеет. С помощью неё же вы можете и снять шифрование с диска (помните о 15 днях), а работать с таким диском, вводить пароль и разблокировать его можно и без программы — шифрование и расшифровка при работе с данными на диске будут выполняться «на лету» средствами домашней редакции Windows 10.

И эта и следующая рассматриваемая программа добавляют пункты для шифрования/дешифрования и блокировки в контекстное меню дисков в проводнике.

M3 BitLocker Loader

M3 BitLocker Loader — утилита, очень похожая на рассмотренную выше. Из особенностей: не может включить шифрование в пробной версии (вы можете лишь ознакомиться с интерфейсом программы), а также не умеет работать с системным разделом диска.

В остальном использование программы мало чем отличается: нажимаем Encrypt у раздела, который нужно зашифровать и проходим все шаги: ввод пароля, сохранение ключа восстановления, ожидание завершения шифрования BitLocker.

Дополнительная информация

Несмотря на то, что встроенными средствами системы Windows 10 Домашняя включить BitLocker не получится, способ обойтись без платных программ всё-таки есть, при условии, что вы готовы потратить время и вам не требуется шифрование системного раздела диска:

1. Устанавливаем Windows 10 Pro (образ можно взять с официального сайта Майкрософт, активация не потребуется) в виртуальную машину, например, VirtualBox (это обходится нам полностью бесплатно).
2. Подключаем к виртуальной машине физический диск или раздел (это возможно, сам я на эту тему инструкций пока не писал), флешку или поддерживаемый Windows виртуальный диск vhd (который можно создать средствами ОС, см. Как создать виртуальный жесткий диск).
3. Шифруем его средствами Windows 10 Pro в виртуальной машине, размонтируем, пользуемся в домашней редакции ОС, установленной на компьютере.

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

10.07.2019 в 13:07

Вот почитайте (ссылка) как Dell автоматически включает шифрование битлокером, включая и на домашних редакциях, а пользователи потом удивляются откуда оно взялось. Там есть ссылка и на документ Майкрософт.

11.07.2019 в 14:15

Здравствуйте.
Там на домашней не битлокер, а device encryption, это другое (не написал еще про это, найти можно в параметрах — система) и сейчас на многих ноутбуках/планшетах с 10-кой оно включено, не только Dell.

12.07.2019 в 17:03

Система в управлении дисками пользователю сообщает, что зашифровано BitLocker. Когда в через панель управления заходишь в Шифрование диска BitLocker имеется возможность сохранить ключ в текстовый файл, а в нем первой строкой записано «Ключ восстановления шифрования диска BitLocker. Так что с точки зрения пользователя разницы не наблюдаю. Разъяснения по этому поводу приветствуются. Кстати, с программами создания резервных копий могут быть проблемы, они такие диски по секторам копировать будут и не обязательно сообщат пользователю почему так долго и места требуется много.

13.07.2019 в 11:07

Вы правы, да, и там и там BitLocker, хоть и реализация слегка отличающаяся. Документ официальный на тему: docs.microsoft.com/ru-ru/windows/security/information-protection/bitlocker/bitlocker-device-encryption-overview-windows-10
Интересующий нас раздел — «Шифрование устройства BitLocker»

07.08.2020 в 07:51

Добрый день, вы пишите, что программой BitLocker Anywhere можно зашифровать диск, а потом уже работать без этой программы. Подскажите, как именно работать без этой программы, то есть чем расшифровывать? Несистемный диск, Windows 10 Home.

07.08.2020 в 15:26

Здравствуйте.
Windows 10 (даже домашняя) умеет работать с разделами, зашифрованными Bitlocker. Т.е. создать такой раздел не может, а подключить его, читать/записывать — это умеет.