IT-аутсорсинг для поддержки и развития малого и среднего бизнеса
АйТи Спектр

Bitlocker — надежное шифрование дисков

Опубликовано 15.08.2022
photo
Алексей Прунов
Технический директор компании «АйТи Спектр»
Время прочтения - 5 мин
Задать вопрос

BitLocker Windows — надежный способ шифрования дисков

Обеспечивая информационную безопасность, пользователь устанавливает новейшее антивирусное ПО, регулярно меняет пароли, но часто совершенно забывает о возможности физического воздействия. Злоумышленники могут похитить накопитель или компьютер, подключить диск к другому устройству или взломать хранилище, загрузившись с установочного носителя, и спокойно вытащить всю информацию из памяти. Для обеспечения полной конфиденциальности диск с важными данными необходимо зашифровать. В нашем материале мы рассмотрим, как это сделать с помощью встроенного инструмента Windows BitLocker (доступно только для версий Pro и Enterprise, а в «Виндовс» 7, 10 — еще и Home Premium). Манипуляции можно проводить над жесткими и виртуальными дисками, переносными накопителями. Данные из зашифрованного хранилища доступны только пользователю, знающему код. Конечно, хакеры могут взломать все, что угодно, но на разблокировку «Битлокер» у них, скорее всего, уйдет несколько недель или месяцев беспрерывной работы.

Как «Битлокер» защищает хранилище данных

У злоумышленника, похитившего незашифрованный диск, есть 2 варианта получить доступ к информации:

  1. Подключить накопитель к другому ПК. Система покажет диск в Проводнике, и можно легко изучить всю информацию. Недоступны будут только файлы и папки, зашифрованные посредством EFS.
  2. Загрузить ОС со съемного носителя и сбросить пароль учетной записи Windows. После этого выполнить вход под аккаунтом бывшего владельца и получить полный доступ к системе. Шифрование EFS и права NTFS работать не будут.

Избежать этих ситуаций призвана технология BitLocker. Она полностью шифрует тома  компьютера, сохраняя ключ в отдельном безопасном месте. Этот код система выдает пользователю только после того, как проверит загрузочную среду на целостность. Таким образом, когда злоумышленник пытается загрузить ОС со съемного носителя, технология видит, что загрузочная среда изменилась, и блокирует доступ.

Важно: Пользователь при необходимости может легко сам изменить загрузочную среду, деактивировав BitLocker.

Модуль TPM — что это и для чего нужен

Чтобы BitLocker работал в полную силу, на компьютере должен быть установлен криптопроцессор TPM. Это отдельное устройство, впаянное или подключенное к матплате, которое хранит криптографические коды для защиты данных. Узнать, есть ли этот чип в ПК, можно, открыв Диспетчер устройств. В устройствах безопасности должен быть Trusted Platform Module. Если его нет, то BitLocker будет работать только в одном режиме — без этого модуля. Также может быть, что TPM отключен в «БИОС».

Режимы работы BitLocker

Технология функционирует в 5 режимах:

  1. Исключительно TPM. «Битлокер» сразу же блокирует любые попытки изменить загрузочную среду.
  2. TPM с ключом запуска. Режим аналогичен первому варианту, но перед каждой загрузкой ОС необходимо подключать особый USB-накопитель — ключ запуска.
  3. TPM с паролем. Режим аналогичен второму варианту, но в качестве способа идентификации BitLocker использует пароль.
  4. TPM с паролем и ключом запуска. Максимум защиты — совмещение 2 и 3 режимов.
  5. Без TPM. В этом случае «Битлокер» зашифрует накопитель, но ничем не защитит загрузочную среду.

Как включить BitLocker

Шифрование диска с помощью BitLocker занимает много времени. Это напрямую зависит от того, сколько данных содержится на накопителе. Процесс шифрования не остановит работу Windows, но сильно снизит ее производительность. Чтобы активировать «Битлокер», необходимо сначала произвести настройки в редакторе локальной групповой политики, а потом действовать через панель управления.

Настройка «Битлокер» через редактор ЛГП

Откройте редактор через win+r, использовав gpedit.msc. Далее сделайте следующее:

  • Пройдите путь «Конфигурация ПК» → «Админ. шаблоны» и кликните на «Компоненты «Виндовс».
  • Перейдите на правую сторону и в самом низу найдите «Шифрование диска BitLocker».
Редактор локальной групповой политики
  • Откройте «Битлокер» двойным нажатием ЛКМ.
  • Зайдите в папку «Диски ОС».
Редактор локальной групповой политики
  • Перед вами появился список параметров. Разверните окно пошире для удобства и найдите строку, где разрешается требование доппроверки подлинности при запуске.
Редактор локальной групповой политики
  • Дважды кликните по найденному параметру ЛКМ и в настройках отметьте «Вкл».
Параметр политики в редакторе локальной групповой политики
  • В параметрах отметьте, что разрешаете использовать «Битлокер» без TPM.
BitLocker

На этом работа в редакторе ЛГП заканчивается. Закройте его.

Активация BitLocker в панели управления

Сначала сделайте резервную копию системы. Если что-то пойдет не так, всегда можно будет сделать откат. Кликните ПКМ по «Пуск» и откройте панель управления, а в ней — раздел «Система и безопасность». Кликните на «Шифрование диска…».

BitLocker

Перед вами начальное меню. Здесь нужно выбрать, какой диск вы собираетесь зашифровать — системный, хранилище пользовательских данных или флешку. Для съемных носителей существует своя технология BitLocker To Go. Выбрав объект, включите «Битлокер».

BitLocker

Далее процесс проходит в автоматическом режиме, но время от времени Windows задает вопросы, выясняя потребности пользователя — например, зашифровывать весь диск или только занятое место. Компьютер выключать нельзя, иначе в результате сбоя система может «слететь». Придуманные во время шифрования пароль и ключ восстановления желательно распечатать и надежно сохранить. По завершении всех процессов перезагрузите компьютер. Активный BitLocker будет постоянно шифровать данные — контроль за этим легко осуществить, нажав на значок утилиты на панели уведомлений.

Как отключить шифрование BitLocker

Чтобы отключить шифрование, снова зайдите в панель управления, как описано в пункте выше, и кликните «Управление BitLocker». Т. к. технология в данный момент активна, то ОС предложит действия на выбор — от изменения и удаления пароля до полного отключения «Битлокер». Процесс так же, как и активация, займет немало времени. Пользоваться компьютером в этот момент можно, но сложно — производительность будет очень низкой. Отключается технология так же через редактор ЛГП (там, где выдавали разрешение системе использовать «Битлокер» без TPM).

Параметр политики в редакторе локальной групповой политики

Также отключить BitLocker возможно через:

  • Командную строку. Запустите ее с админскими правами и примените manage-bde -off G:, где G — буква накопителя. Нажмите «Энтер» и ожидайте сообщения о деактивации функции.
Командная строка
  • Службы. Откройте меню через win+r, используя services.msc. Найдите службу шифрования дисков и кликните по ней дважды ЛКМ.
Служба шифрования дисков BitLocker

Установите тип запуска в значение «Откл.»

Свойства службы шифрования дисков BitLocker

Примените изменения, кликните OK и перезагрузите машину.

  • PowerShell. Найдите утилиту с помощью поиска «Виндовс». Кликните по названию ПКМ и примените админские права. Используйте командлет Disable-BitLocker -MountPoint «G:» и нажмите на «Энтер». G — имя вашего диска, который необходимо разблокировать.
PowerShell

После отключения Битлокера система не будет запрашивать пароль для доступа к диску. Единственное исключение — необходимо будет вводить код учетной записи, если ранее он был установлен.

Заключение

С помощью простых способов вы сможете включить и деактивировать технологию BitLocker, повысив уровень защиты любого накопителя данных. Остались вопросы и непонятные моменты? Обратитесь к специалистам «АйТиСпектр» за дополнительными разъяснениями. Для связи используйте телефонный звонок или форму обратной связи, размещенную немного ниже. Кроме консультаций, мы оказываем и другие меры ИТ-поддержки.

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 0 / 5. Количество оценок: 0

Оценок пока нет. Поставьте оценку первым.

9 комментариев
  • А разве битлокер и ЕФС это не одно и то же? Они ведь оба шифруют данные.

    • Нет, технологии BitLocker и EFS совершенно разные. EFS зашифровывает файлы и папки, делая невозможным их просмотр с других аккаунтов на этом же компьютере. Пользователь, зашифровавший их, имеет к ним свободный доступ. BitLocker же защищает диск от любого юзера, требуя пароль для открытия диска.

    • Ищите Trusted Platform Module в крупных блоках Advanced или Security либо в их подразделах, в названии которых присутствует слово Trusted. Переключите его в активное положение, сохраните изменения и выйдите из BIOS.

  • Но ведь PowerShell это практически то же самое, что и командная строка? Зачем он нужен?

    • PowerShell — это мощная среда, позволяющая с помощью специальных сценариев администрировать всю систему. В т. ч. она имеет функционал и командной строки, выполняя особые командлеты. Командная строка же работает только с текстом, через который пользователь ставит конкретные задачи перед компьютером.

  • Спасибо, у меня все получилось. Сначала настроил битлокер через редактор ЛГП, а потом активировал его в панели управления. И да, модуля TPM у меня нет, но диск получилось зашифровать на отлично!

  • У меня есть модуль TPM, и я зашифровал все диски максимально — и с ключом запуска, и с паролем. Теперь главное — не потерять коды, иначе, как меня предупредили, восстановить доступ практически невозможно.

  • Была одна неприятная ситуация. Когда я включал битлокер и процесс уже был запущен, отключили свет. Конечно, компьютер тут же отключился (у меня еще не было бесперебойника) и весь процесс слетел. Слетела и система, о чем вы предупредили в статье. Пришлось звать друга, который смог прийти только на 3 день, переустанавливать винду и заново включать битлокер. Ну хоть во второй раз все прошло без сбоев.

Оставить комментарий