Шифрование устройств в Windows 10

Что такое шифрование устройства?

Шифрование устройства помогает защитить ваши данные и доступно на широком спектре устройств с Windows. Если шифрование устройства включено, только авторизованные лица смогут получить доступ к данным на вашем устройстве. Если шифрование устройства недоступно на вашем устройстве, возможно, вам удастся включить стандартное шифрование BitLocker.

Примечание: BitLocker не поддерживается в выпуске Windows 10 Домашняя.

Доступно ли это на моем устройстве?

Шифрование устройства доступно на поддерживаемых устройствах с любым выпуском Windows 10. Если вы хотите вместо этого использовать стандартное шифрование BitLocker, оно доступно на поддерживаемых устройствах с Windows 10 Pro, Корпоративная или для образовательных учреждений. Некоторые устройства предлагают оба типа шифрования. Например, на Surface Pro под управлением Windows 10 Pro предлагаются и функция упрощенного шифрования устройства, и полные возможности управления BitLocker. Не знаете, какая версия Windows установлена у вас на устройстве? См. раздел Как узнать свою версию операционной системы Windows?

Чтобы проверить возможности шифрования устройства

В поле поиска на панели задач введите Сведения о системе, щелкните правой кнопкой мыши Сведения о системе в списке результатов, а затем выберите Запуск от имени администратора. Также можно нажать кнопку Пуск и затем в разделе Средства администрирования Windows выбрать Сведения о системе.

В нижней части окна Сведения о системе найдите параметр Поддержка шифрования устройства. Если указано значение Соответствует требованиям, то шифрование устройства доступно на вашем устройстве. Если оно недоступно, возможно, вам удастся использовать вместо этого стандартное шифрование BitLocker.

Чтобы включить шифрование устройства

Войдите в Windows под учетной записью администратора (возможно, потребуется выйти из системы и снова войти в нее для переключения учетных записей). Дополнительные сведения см. в разделе Создание локальной учетной записи или учетной записи администратора в Windows 10.

Нажмите кнопку Пуск и выберите Параметры > Обновление и безопасность > Шифрование устройства. Если пункт Шифрование устройства отсутствует, эта функция недоступна. Возможно, удастся вместо этого включить стандартное шифрование BitLocker.

Если шифрование устройства отключено, выберите Включить.

Включение стандартного шифрования BitLocker

Войдите в Windows на своем устройстве под учетной записью администратора (возможно, потребуется выйти из системы и снова войти в нее для переключения учетных записей). Дополнительные сведения см. в разделе Создание локальной учетной записи или учетной записи администратора в Windows 10.

В поле поиска на панели задач введите Управление BitLocker, а затем выберите необходимый результат из списка. Также можно нажать кнопку Пуск и затем в разделе Система Windows выберите Панель управления. На панели управления выберите Система и безопасность, а затем в разделе Шифрование диска BitLocker выберите Управление BitLocker.

Примечание: Вы сможете увидеть этот параметр, только если функция BitLocker доступна на вашем устройстве. Она не поддерживается в выпуске Windows 10 Домашняя.

Выберите Включить BitLocker и следуйте инструкциям. (Если BitLocker включен и вы хотите отключить его, выберите Отключить BitLocker.)

Дополнительные ресурсы

Если для разблокировки вашего устройства требуется ключ восстановления, см. раздел Поиск ключа восстановления.

Аппаратное шифрование в популярных SSD реализовано кое-как

Уязвимости позволяют получить данные без знания паролей и ключей

Специалисты университета Неймегена (Нидерланды) исследовали средства защиты информации шифрованием, реализованные в твердотельных накопителях известных марок. Аппаратные средства шифрования высвобождают процессор хоста, но оказалось, что в этих реализациях есть уязвимые места, которые позволяют получить несанкционированный доступ к данным. Коротко говоря, вера в такие технологии, как TCG Opal, оказывается безосновательной.

Команда исследователей изучила популярные клиентские SSD Crucial и Samsung: MX100, MX200, MX300, 840 EVO, 850 EVO, T4 и T5.

«Для нескольких моделей можно полностью обойти шифрование, что позволяет полностью восстановить данные без какого-либо знания паролей или ключей. Характер критических проблем между поставщиками указывает на то, что проблемы не являются случайными, а структурными», — утверждают исследователи, одновременно признавая, что стандарт TCG Opal чрезвычайно сложен для правильной реализации. Более того, компонент Windows BitLocker полагается на средства шифрования, реализованные в SSD, так что тоже оказывается несостоятельным.

Интересно, что вскоре после публикации исследования компания Samsung разместила на сайте техподдержки уведомление, адресованное пользователям SSD. В нем предлагается переключиться на программное шифрование в ожидании, пока производитель разберется в ситуации и, возможно, выпустит обновления прошивок.

Настройка аппаратного шифрования на Crucial ® SED через Bitlocker

Версии Windows® 8.1 и 10 Professional/Enterprise автоматически поддерживают управление ключами шифрования SED с помощью приложения под названием BitLocker®. Перед включением аппаратного шифрования Bitlocker необходимо выполнить ряд требований (программное обеспечение для шифрования, отличное от BitLocker, может иметь дополнительные или другие требования).

Требования

• Модуль TPM: BitLocker поддерживает только TPM версии 1.2 и 2.0 (или более новые версии). Кроме того, вы должны использовать предоставленный Microsoft® драйвер TPM (обратите внимание, что BitLocker также может работать без TPM, но тогда для установки пароля вместо него потребуется флэш-память USB). Если вам нужна помощь в определении доступности вашего TPM, то свяжитесь с производителем вашей системы.
• UEFI 2.3.1 или выше: хост-компьютер должен иметь как минимум UEFI 2.3.1 и должен иметь определенный EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. Это позволяет отправлять команды протокола безопасности в и из SED. Если вы не уверены, выполнено ли это требование, свяжитесь с производителем вашего хост-компьютера.
• Защищенная загрузка: функция Защищенная загрузка должна быть включена в настройках системы BIOS. В большинстве систем с Windows 8.1 и более новыми версиями эта функция включена автоматически. Для получения помощи в активации этой функции свяжитесь с производителем вашей системы.
• Поддержка Opal 2.0: система должна поддерживать стандарты безопасности Opal 2.0. Стандарт Opal 2.0 не имеет обратной совместимости; SED компании Crucial не совместимы с Opal 1.0. Если вам нужна помощь в проверке совместимости вашей системы с Opal, свяжитесь с производителем системы.
• Режим UEFI: хост-компьютер всегда должен загружаться из UEFI. Любой «совместимый» или «устаревший» режим загрузки должен быть отключен. Мы рекомендуем перед установкой Crucial SED перевести систему в режим только UEFI. CSM (режим поддержки совместимости) также необходимо отключить. За помощью в настройке этих параметров обратитесь к производителю вашей системы.
• Два раздела (один не зашифрованный): у SSD должно быть два раздела (диски с установленной Windows обычно такими и являются), причем основной раздел, подлежащий шифрованию, должен быть NTFS. Второй незашифрованный раздел должен иметь размер не менее 1,5 ГБ. Этот раздел используется для аутентификации и необходим для работы шифрования.
• Основной диск: динамические диски не поддерживаются BitLocker. Диски с Windows 8 и Windows 10 будут настроены как основной диск со схемой размещения разделов GPT, которая необходима для использования аппаратного шифрования.

Настройка

Рекомендуется настроить UEFI хост-системы для правильного приема SED перед его физической установкой, как показано в примере ниже. Подробности настройки системы могут отличаться в зависимости от системы, равно как и названия различных функций. Тем не менее, они достаточно похожи и можно обойтись одним примером. Для получения подробной информации о настройках UEFI обратитесь к производителю вашего компьютера.

1. Включение защищенной загрузки. Защищенная загрузка Microsoft является обязательной для запуска любой системы Windows 8.1 или 10. На любом компьютере, который был настроен на заводе под Windows 8.1/10 (показано на наклейке Windows 8/10), защищенная загрузка уже включена. Если хост-система изначально была настроена под Windows 7 или предыдущую операционную систему, то убедитесь в том, что защищенная загрузка включена (показано ниже).

1. Режим загрузки UEFI/поддержка CSM. Хост-компьютер должен находиться в режиме только UEFI (показано ниже). Как правило, функция CSM будет автоматически отключена в режиме только UEFI, однако это нужно проверить и при необходимости отключить CSM.

1. Установка Windows 8.1/10. Самый простой метод реализации аппаратного шифрования — это новая установка операционной системы. Версии BitLocker в Windows 8.x и 10 Enterprise и Professional поддерживают аппаратное шифрование на SED. Выполнять специальные действия для использования этой функции не требуется; следуйте обычному процессу установки ОС, описанному Microsoft. После установки ОС перейдите в раздел Включить BitLocker.
   Примечание. В настройках приоритета загрузки BIOS система должна быть настроена на загрузку с вашего SSD, у вас не должны быть установлены опции USB или CD.
2. Клонирование системы. Поскольку SED от Crucial поддерживают eDrive, активация BitLocker создает специальные разделы, которые необходимы для использования функций eDrive. При клонировании SSD с активированной функцией eDrive эти специальные разделы могут быть неправильно скопированы на целевой диск. Целевой диск может функционировать, но это не считается нормальным и может привести к скрытым проблемам с производительностью. Если исходный диск был зашифрован с помощью программного обеспечения шифрования в Bitlocker, то сначала убедитесь, что BitLocker выключен, прежде чем инициировать клонирование образа на SED от Crucial. Если в исходной системе вы используете BitLocker в режиме программного шифрования , то для отключения BitLocker потребуется выполнить процесс дешифрования. Это может занять несколько часов, в зависимости от объема данных пользователя и ОС на диске.

Включение Bitlocker

1. После этого появится окно состояния (со строкой состояния), подтверждающее, что BitLocker настраивается. Этот процесс завершится за мгновение.
2. Выберите один из вариантов сохранения ключа восстановления, согласно описанию Microsoft. Несмотря на то, что у Crucial нет предпочтительного варианта, не пренебрегайте этим действием. В некоторых случаях это может быть единственным способом восстановить данные на вашем SSD. У Crucial нет заводских методов обхода системы защиты, с помощью которых можно восстановить данные в случае потери ключа аутентификации или пароля. После сохранения ключа нажмите Далее для продолжения.

1. BitLocker спросит вас: «Вы готовы зашифровать этот диск?» После того, как вы нажмете Продолжить, для завершения процесса потребуется перезагрузить систему.

1. После завершения перезагрузки вы увидите значок замка BitLocker на системном диске для которого был включен BitLocker.

В приведенном ниже видео показан весь процесс.

© Корпорация Micron Technology, Inc., 2019. Все права защищены. Продукты, их технические характеристики, а также информация о них могут быть изменены без уведомления. Crucial и Micron Technology, Inc. не несут ответственности за ошибки и неточности в текстовых или фотографических материалах. Micron, логотип Micron, Crucial и логотип Crucial являются товарными знаками или зарегистрированными товарными знаками компании Micron Technology, Inc. Microsoft, BitLocker и Windows являются зарегистрированными товарными знаками корпорации Microsoft в США и/или других странах. Все другие товарные знаки и знаки обслуживания являются собственностью их правообладателей.

Как зашифровать диск с помощью BitLocker в Windows 10

Windows 10 редакций Профессиональная и Корпоративная имеют встроенную утилиту BitLocker, позволяющую надежно зашифровать содержимое диска (в том числе системного) или внешнего накопителя (об этом в отдельной инструкции: Как поставить пароль на флешку и зашифровать её содержимое). Конечно, для этого можно использовать и сторонние средства, например, VeraCrypt, но в большинстве случаев можно рекомендовать встроенную утилиту шифрования.

В этой инструкции о том, как зашифровать диск с помощью BitLocker. Пример приводится для системного раздела диска, но суть остается неизменной и при необходимости шифрования других дисков. Вы также можете создать виртуальный жесткий диск и зашифровать его — таким образом вы получите защищенный файловый контейнер с возможностью его резервного копирования в облаке и на различных накопителях, переноса на другие компьютеры. Также может быть интересным: Шифрование BitLocker в Windows 10 Домашняя.

Процесс шифрования SSD или жесткого диска с помощью BitLocker

Процедура шифрования дисков с помощью BitLocker — не слишком сложная задача, потребуется выполнить следующие простые шаги:

1. В проводнике выберите диск, который требуется зашифровать, нажмите по нему правой кнопкой мыши и выберите пункт «Включить BitLocker».
2. Если вы увидите сообщение о том, что «Это устройство не может использовать доверенный платформенный модуль TPM», значит вы хотите зашифровать системный диск, а модуль TPM на компьютере отсутствует или отключен. Проблема решаема, об этом здесь: Как включить BitLocker без TPM.
3. После короткой проверки дисков вы увидите предложение настроить тип разблокировки: вставить USB-устройство флэш-памяти (обычную флешку) или ввести пароль. Я в своей практике использую пункт «Введите пароль».
4. Если вы также будете использовать разблокировку с помощью пароля, введите и подтвердите ваш пароль. Настоятельно рекомендую записать его, если есть вероятность забыть заданный пароль (в противном случае вы можете полностью потерять доступ к данным). Нажмите «Далее».
5. Вам будет предложено сохранить ключ для восстановления доступа к диску, зашифрованному BitLocker. Вы можете сохранить ключ в различные расположения на своё усмотрение. Вне зависимости от того, какой вариант вы выберите, настоятельно рекомендую серьезно отнестись к этому шагу (и не сохранять ключ на тот же диск, который шифруется): сбои питания, ошибки файловой системы могут приводить к проблемам с доступом к зашифрованному диску просто по паролю и ключ восстановления действительно помогает получить доступ к данным. Я лично на своем основном компьютере столкнулся с таким дважды за последние 5 лет и был очень благодарен сам себе за то, что у меня есть ключ восстановления — оба раза он помог.
6. Следующий этап — выбор, какую часть диска шифровать. Для большинства пользователей подойдет вариант «Шифровать только занятое место на диске» (в этом случае будут зашифрованы все файлы, которые уже есть на диске и автоматически будет шифроваться всё, что в дальнейшем на него записывается). Второй вариант шифрует и свободное пространство. Что это дает? Например, если у вас на этом диске ранее были очень секретные данные, а потом они были удалены, есть вероятность их восстановления с помощью соответствующих программ для восстановления данных. После шифрования свободного пространства восстановить удаленные данные не получится (во всяком случае без разблокировки доступа к диску).
7. В последних версиях Windows 10 вам также предложат выбрать режим шифрования. Если вы планируете отключать диск и подключать его в других версиях Windows 10 и 8.1, выберите режим совместимости. Иначе можно оставить «Новый режим шифрования».
8. В следующем окне оставьте включенным пункт «Запустить проверку BitLocker» и нажмите «Продолжить».
9. Вы увидите уведомление о том, что шифрование диска будет выполнено после перезагрузки компьютера. Выполните перезагрузку.
10. В случае, если вы шифровали системный диск, то перед запуском Windows 10 вам нужно будет ввести заданный пароль BitLocker для разблокировки диска (или подключить USB-накопитель, если ключ создавался на нем).
11. После запуска Windows 10 будет выполнено шифрование накопителя в соответствии с заданными настройками (в области уведомлений появится соответствующий значок, а при его открытии — окно с прогрессом шифрования). Вы можете пользоваться компьютером пока идет шифрование пространства на диске.
12. Если шифровался системный диск, то он сразу будет вам доступен (поскольку пароль был введен на предыдущем шаге). Если шифровался не системный раздел диска или внешний накопитель, при открытии этого диска в проводнике вас попросят ввести пароль для доступа к данным.
13. По завершении процесса, продолжительность которого зависит от занятого места на диске и скорости его работы (на HDD медленнее, на SSD быстрее), вы получите зашифрованный диск.

Все данные, которые вы будете на него записывать, шифруются «на лету» и так же расшифровываются. Для не системных дисков вы в любой момент можете использовать контекстное меню для его блокировки (чтобы другой человек за этим же компьютером не мог открыть его содержимого).

Доступ к зашифрованному системному диску есть всегда, пока запущена система (иначе бы она не смогла работать).

Если остались какие-либо вопросы на тему шифрования с помощью BitLocker — спрашивайте в комментариях, я постараюсь ответить.