Включение шифрования устройства

Шифрование помогает защитить данные на устройстве, чтобы доступ к ним могли получать только те пользователи, которые имеют на это разрешение. Если шифрование устройства недоступно на вашем устройстве, возможно, вам удастся включить стандартное шифрование BitLocker. Обратите внимание, что BitLocker не поддерживается в выпуске Windows 10 Домашняя.

Включение шифрования устройства

Войдите в Windows под учетной записью администратора (возможно, потребуется выйти из системы и снова войти в нее для переключения учетных записей). Дополнительные сведения см. в статье Создание учетной записи локального пользователя или администратора в Windows 10.

Нажмите кнопку Пуск и выберите Параметры > Обновление и безопасность > Шифрование устройства. Если пункт Шифрование устройства отсутствует, эта функция недоступна. Возможно, удастся использовать вместо этого стандартное шифрование BitLocker. Открыть параметр шифрования устройства.

Если шифрование устройства отключено, выберите Включить.

Включение стандартного шифрования BitLocker

Войдите в Windows на своем устройстве под учетной записью администратора (возможно, потребуется выйти из системы и снова войти в нее для переключения учетных записей). Дополнительные сведения см. в статье Создание учетной записи локального пользователя или администратора в Windows 10.

В поле поиска на панели задач введите Управление BitLocker, а затем выберите необходимый результат из списка. Также можно нажать кнопку Пуск и затем в разделе Система Windows выберите Панель управления. На панели управления выберите Система и безопасность, а затем в разделе Шифрование диска BitLocker выберите Управление BitLocker. Примечание. Вы сможете увидеть этот параметр, только если функция BitLocker доступна на вашем устройстве. Она не поддерживается в выпуске Windows 10 Домашняя.

Выберите Включить BitLocker и следуйте инструкциям.

Хотите узнать больше и выяснить, поддерживает ли ваше устройство шифрование устройства? См. статью Шифрование устройств в Windows 10.

Шифрование устройств в Windows 10

Что такое шифрование устройства?

Шифрование устройства помогает защитить ваши данные и доступно на широком спектре устройств с Windows. Если шифрование устройства включено, только авторизованные лица смогут получить доступ к данным на вашем устройстве. Если шифрование устройства недоступно на вашем устройстве, возможно, вам удастся включить стандартное шифрование BitLocker.

Примечание: BitLocker не поддерживается в выпуске Windows 10 Домашняя.

Доступно ли это на моем устройстве?

Шифрование устройства доступно на поддерживаемых устройствах с любым выпуском Windows 10. Если вы хотите вместо этого использовать стандартное шифрование BitLocker, оно доступно на поддерживаемых устройствах с Windows 10 Pro, Корпоративная или для образовательных учреждений. Некоторые устройства предлагают оба типа шифрования. Например, на Surface Pro под управлением Windows 10 Pro предлагаются и функция упрощенного шифрования устройства, и полные возможности управления BitLocker. Не знаете, какая версия Windows установлена у вас на устройстве? См. раздел Как узнать свою версию операционной системы Windows?

Чтобы проверить возможности шифрования устройства

В поле поиска на панели задач введите Сведения о системе, щелкните правой кнопкой мыши Сведения о системе в списке результатов, а затем выберите Запуск от имени администратора. Также можно нажать кнопку Пуск и затем в разделе Средства администрирования Windows выбрать Сведения о системе.

В нижней части окна Сведения о системе найдите параметр Поддержка шифрования устройства. Если указано значение Соответствует требованиям, то шифрование устройства доступно на вашем устройстве. Если оно недоступно, возможно, вам удастся использовать вместо этого стандартное шифрование BitLocker.

Чтобы включить шифрование устройства

Войдите в Windows под учетной записью администратора (возможно, потребуется выйти из системы и снова войти в нее для переключения учетных записей). Дополнительные сведения см. в разделе Создание локальной учетной записи или учетной записи администратора в Windows 10.

Нажмите кнопку Пуск и выберите Параметры > Обновление и безопасность > Шифрование устройства. Если пункт Шифрование устройства отсутствует, эта функция недоступна. Возможно, удастся вместо этого включить стандартное шифрование BitLocker.

Если шифрование устройства отключено, выберите Включить.

Включение стандартного шифрования BitLocker

Войдите в Windows на своем устройстве под учетной записью администратора (возможно, потребуется выйти из системы и снова войти в нее для переключения учетных записей). Дополнительные сведения см. в разделе Создание локальной учетной записи или учетной записи администратора в Windows 10.

В поле поиска на панели задач введите Управление BitLocker, а затем выберите необходимый результат из списка. Также можно нажать кнопку Пуск и затем в разделе Система Windows выберите Панель управления. На панели управления выберите Система и безопасность, а затем в разделе Шифрование диска BitLocker выберите Управление BitLocker.

Примечание: Вы сможете увидеть этот параметр, только если функция BitLocker доступна на вашем устройстве. Она не поддерживается в выпуске Windows 10 Домашняя.

Выберите Включить BitLocker и следуйте инструкциям. (Если BitLocker включен и вы хотите отключить его, выберите Отключить BitLocker.)

Дополнительные ресурсы

Если для разблокировки вашего устройства требуется ключ восстановления, см. раздел Поиск ключа восстановления.

Как настроить Защиту сети в Windows 10

Защита сети — новая функции безопасности Защитника Windows, впервые представленная в Windows 10 Fall Creators Update.

Данный компонент расширяет возможности фильтра SmartScreen Защитника Windows за счет блокировки исходящего трафика (HTTP и HTTPS) при подключении к ресурсам с низкой репутацией.

Данная функция является частью Exploit Guard Защитника Windows. Чтобы функция работала, должен быть включен Защитник Windows, и должна быть активна защита реального времени.

Защита сети Защитника Windows

Системные администраторы и обычные пользователи могут управлять функцией “Защита сети” с помощью групповых политик, PowerShell или интерфейса MDM CSP.

Групповые политики

Вы можете настроить функцию “Защита сети” с помощью групповых политик.

Примечание: данный способ подходит для пользователей Windows 10 Pro. Пользователям Windows 10 Домашняя редактор групповых политик недоступен, но можно использовать сторонние решения.

1. Нажмите клавишу Windows , введите gpedit.msc и выберите объект, предлагаемый службой поиска Windows.
2. Перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows” > Exploit Guard в Защитнике Windows > Защита сети.
3. Выберите политику “Запретить пользователям и приложениям получать доступ к опасным веб-сайтам” и щелкните по ней дважды.

Вы можете выбрать следующие режимы:

• Блокировать — Защита сети будет блокировать доступ к вредоносным IP-адресам и доменам.
• Выкл (по умолчанию) — аналогично отключению. Защита сети будет неактивна.
• Проверять — блокировка не будет осуществляться, но каждое событие будет записано в журнал событий Windows.

PowerShell

Вы можете использовать PowerShell для настройки компонента “Защита сети”. Доступны следующие команды:

• Set-MpPreference -EnableNetworkProtection Enabled
• Set-MpPreference -EnableNetworkProtection AuditMode
• Set-MpPreference -EnableNetworkProtection Disabled

Нужно запустить командную строку PowerShell с правами администратора.

Для этого нажмите клавишу Windows , введите PowerShell и удерживая клавиши Ctrl + Shift выберите объект PowerShell, предлагаемый службой поиска Windows. В результате будет запущена командная строка PowerShell с повышенными привилегиями.

События функции “Защита сети”

Когда функция активна, система Windows создает записи в журнале событий. Microsoft опубликовала пакет пользовательских представлений для встроенной утилиты “Просмотр событий”.

1. Загрузите Exploit Guard Evaluation Package с сайта Microsoft и извлеките его на локальную систему.
2. Нажмите на клавишу Windows , введите Просмотр событий и выберите одноименный объект, предлагаемый службой поиска Windows.
3. Выберите Действие > Импорт настраиваемого представления.
4. Выберите извлеченный файл np-events.xml, чтобы добавить его как пользовательское представление.
5. Нажмите ОК на следующем экране.

В пользовательском представлении отображаются следующие события:

• Event 1125 — события режима “Проверить”
• Event 1126 — события режима “Блокировать”
• Event 5007 — изменение настроек.

Требование шифрования при доступе к конфиденциальным сетевым ресурсам Require Encryption When Accessing Sensitive Network Resources

Область применения Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Использование проверки подлинности в ранее описанной цели(ограничениедоступа только доверенным устройствам) позволяет устройству в изолированном домене блокировать трафик с недоверенных устройств. The use of authentication in the previously described goal (Restrict Access to Only Trusted Devices) enables a device in the isolated domain to block traffic from untrusted devices. Однако это не предотвращает перехват недоверенного устройства в сетевом трафике, общем между двумя доверенными устройствами, так как по умолчанию сетевые пакеты не шифруются. However, it does not prevent an untrusted device from eavesdropping on the network traffic shared between two trusted devices, because by default network packets are not encrypted.

Для устройств, которые имеют доступ к конфиденциальной информации по сети, Защитник Windows брандмауэр с расширенными средствами безопасности позволяет требовать шифрования всего такого сетевого трафика. For devices that share sensitive information over the network, Windows Defender Firewall with Advanced Security allows you to require that all such network traffic be encrypted. Использование шифрования может помочь в соблюдении нормативных и нормативных требований, таких как Требования Федерального закона об управлении информационной безопасностью от 2002 года (FISMA), Закона Sarbanes-Oxley от 2002 года, Закона о переносе и подотчетности медицинского страхования от 1996 года (HIPAA), а также других правительственных и отраслевых нормативов. Using encryption can help you comply with regulatory and legislative requirements such as those found in the Federal Information Security Management Act of 2002 (FISMA), the Sarbanes-Oxley Act of 2002, the Health Insurance Portability and Accountability Act of 1996 (HIPAA), and other government and industry regulations. Создав правила безопасности подключений, которые применяются к устройствам, на которые распространяются и обмениваются конфиденциальными данными, вы можете защитить конфиденциальность этих данных, зашифровав их. By creating connection security rules that apply to devices that host and exchange sensitive data, you can help protect the confidentiality of that data by encrypting it.

На следующем рисунке показана зона шифрования в изолированном домене. The following illustration shows an encryption zone in an isolated domain. Правила, которые реализуют изолированный домен и разные зоны, развертываются с помощью групповой политики и Active Directory. The rules that implement both the isolated domain and the different zones are deployed by using Group Policy and Active Directory.

Эта цель обеспечивает следующие преимущества: This goal provides the following benefits:

Устройства в зоне шифрования требуют проверки подлинности для связи с другими устройствами. Devices in the encryption zone require authentication to communicate with other devices. Это не отличается от цели и проектирования изоляции домена. This works no differently from the domain isolation goal and design. Дополнительные сведения см. в теме «Ограничение доступа только доверенным устройствам». For more info, see Restrict Access to Only Trusted Devices.

Устройства в зоне шифрования должны шифровать весь входящий и исходящие сетевые трафикы. Devices in the encryption zone require that all inbound and outbound network traffic be encrypted.

Например, Банк Woodgrove обрабатывает конфиденциальные данные клиента на устройстве, которое должно быть защищено от перехвата устройствами в сети. For example, Woodgrove Bank processes sensitive customer data on a device that must be protected from eavesdropping by devices on the network. Правила безопасности подключений указывают, что весь трафик должен быть зашифрован достаточно сложным алгоритмом шифрования для защиты данных. Connection security rules specify that all traffic must be encrypted by a sufficiently complex encryption algorithm to help protect the data.

Устройства в зоне шифрования часто являются хорошими кандидатами для изоляции сервера, где доступ ограничен только учетными записями компьютеров и пользователей, которые являются членами авторизованной группы доступа. Devices in the encryption zone are often good candidates for server isolation, where access is limited to only computer accounts and user accounts that are members of an authorized access group. Во многих организациях зона шифрования и зона изоляции сервера являются одной и той же. In many organizations, the encryption zone and the server isolation zone are one and the same. Дополнительные сведения см. в подсети «Ограничение доступа только указанным пользователям или устройствам». For more info, see Restrict Access to Only Specified Users or Devices.

Для этой цели развертывания необходимы следующие компоненты: The following components are required for this deployment goal:

• Active Directory: Active Directory поддерживает централизованное управление правилами безопасности подключений, настраивая правила в одной или более GOS, которые могут автоматически применяться ко всем соответствующим устройствам в домене. Active Directory: Active Directory supports centralized management of connection security rules by configuring the rules in one or more GPOs that can be automatically applied to all relevant devices in the domain.