BitLocker — Шифрование диска. Как настроить шифрование данных BitLocker для windows

«БитЛокер» представляет собой проприетарную технологию, которая дает возможность обеспечивать защиту информации посредством комплексного шифрования разделов. Сам ключ может размещаться в «TRM» либо на устройстве USB.

TPM (Trusted Platform Module ) – это криптопроцессор, в котором размещаются криптоключи для защиты данных. Используется для того, чтобы:

• выполнять аутентификацию ;
• защищать информацию от кражи;
• управлять сетевым доступом;
• защищать программное обеспечение от изменений;
• защищать данные от копирования.

Модуль «Trusted Platform Module» в BIOS

Обыкновенно модуль запускается в рамках процесса модульной инициализации, его не нужно включать/выключать. Но если необходимо, осуществить активацию возможно посредством консоли управления модулем.

1. Нажмите в меню «Пуск» кнопку «Выполнить », напишите tpm. msc .
2. В разделе «Действие» выберите «Включить TPM ». Ознакомьтесь с руководством.
3. Перезагрузите ПК , следуйте рекомендациям «БИОС», отображаемым на мониторе.

Как включить «БитЛокер» без «Trusted Platform Module» в Windows 7, 8, 10

При запуске шифровального процесса «БитЛокер» для системного раздела на ПК многих юзеров появляется уведомление «Данное устройство не может применять доверенный платформенный модуль. Администратору нужно активировать параметр. Разрешить применение BitLocker без совместимого TPM ». Чтобы применять шифрование, нужно отключить соответствующий модуль.

Отключение использования модуля TPM

Для того чтобы можно было выполнить шифрование системного раздела без «Trusted Platform Module», нужно поменять настройки параметра в редакторе GPO (локальные групповые политики) ОС.

Как включить «БитЛокер»

Для того чтобы выполнить запуск «БитЛокер», необходимо следовать такому алгоритму:

1. Щелкните правой клавишей мышки по меню «Пуск», нажмите на «Панель управления ».
2. Кликните по «».
   
3. Нажмите на «Включить BitLocker ».
   
4. Подождите, пока закончится проверка, щелкните «Далее ».
   
5. Прочтите инструкции, кликните по клавише «Далее ».
   
6. Запустится процесс подготовки, при котором не стоит отключать ПК. В противном случае вы не сможете загрузить операционную систему.
   
7. Щелкните по клавише «Далее ».
   
8. Введите пароль, который станет применяться для разблокирования диска при запуске ПК. Кликните по клавише «Далее ».
   
9. Выберите метод сохранения ключа восстановления. Данный ключ позволит получить доступ к диску при утрате пароля. Щелкните «Далее».
   
10. Выберите шифрование всего раздела . Кликните «Далее».
    
11. Нажмите на «Новый режим шифрования », щелкните «Далее».
    
12. Отметьте пункт «Запустить проверку системы BitLocker », щелкните «Продолжить».
    
13. Выполните перезагрузку ПК.
14. При включении ПК наберите пароль, указанный при шифровании. Щелкните кнопку ввода.
    
15. Шифрование запустится сразу после загрузки ОС. Кликните по значку «БитЛокер» в панели уведомлений, чтобы посмотреть прогресс. Помните, что шифровальный процесс может отнимать немало времени. Все зависит от того, какой памятью располагает системный раздел. При выполнении процедуры ПК будет работать менее производительно, так как на процессор идет нагрузка.

Как отключить BitLocker

Многие пользователи с выходом операционной системы Windows 7 столкнулись с тем, что в ней появилась непонятная служба BitLocker. Многим остается только догадываться, что такое BitLocker. Давайте на конкретных примерах проясним ситуацию. Также мы рассмотрим вопросы, которые касаются того, насколько целесообразно задействование данного компонента или его полное отключение.

Служба BitLocker: для чего она нужна

Если разобраться как следует, то можно сделать вывод, что BitLocker представляет собой полностью автоматизированное универсальное средство шифрования данных, которые хранятся на жестком диске. Что представляет собой BitLocker на жестком диске? Это обычная служба, которая без участия пользователя позволяет защитить папки и файлы путем их шифрования и создания специального текстового ключа, который обеспечивает доступ к документам. В тот момент, когда пользователь работает под своей учетной записью, он даже не догадывается о том, что данные являются зашифрованными. Вся информация отображается в читабельном виде и доступ к папкам и файлам для пользователя не заблокирован. Иначе говоря, такое средство защиты рассчитано только на те ситуации, при которых к компьютерному терминалу осуществляется несанкционированный доступ при попытке вмешательства извне.

Вопросы криптографии и паролей

Если говорить о том, что собой представляет BitLocker Windows 7 или в системах более высокого ранга, необходимо отметить такой неприятный факт: в случае утери пароля на вход многие пользователи не смогут не только зайти в систему, но и выполнить некоторые действия по просмотру документов, которые ранее были доступны, по перемещению, копированию и так далее. Но на этом проблемы не заканчиваются. Если как следует разобраться с вопросом, что собой представляет BitLocker Windows 8 и 10, то особых различий здесь нет. Можно отметить только более усовершенствованную технологию криптографии. Проблема здесь заключается в другом. Все дело в том, что сама по себе служба способна работать в двух режимах, сохраняя ключи дешифрации или на жестком диске, или на съемном USB-носителе. Отсюда напрашивается вполне логичный вывод: пользователь при наличии сохраненного ключа на винчестере без проблем получает доступ ко всей информации, которая на нем хранится. Когда ключ сохраняется на флэш-накопителе, проблема намного серьезнее. В принципе можно увидеть зашифрованный диск или раздел, а вот считать информацию никак не получится. К тому же, если уж говорить о том, что собой представляет BitLocker Windows 10 и систем более ранних версий, то необходимо отметить тот факт, что служба интегрируется в контекстные меню любого типа, которые вызываются путем правого клика мыши. Многих пользователей это просто раздражает. Не будем раньше времени забегать вперед и рассмотрим все основные аспекты, которые связаны с работой данного компонента, а также с целесообразностью его деактивации и использования.

Методика шифрования съемных носителей и дисков

Самое странное заключается в том, что в различных системах и их модификациях по умолчанию служба BitLocker Windows 10 может находиться как в активном, так и в пассивном режиме. В Windows 7 она по умолчанию включена, в Windows 8 и Windows 10 иногда требуется ручное включение. Что же касается шифрования, то здесь ничего нового не изобрели. Обычно используется та же самая технология AES на основе открытого ключа, что чаще всего применяется в корпоративных сетях. Поэтому если ваш компьютерный терминал с соответствующей операционной системой подключен к локальной сети, вы можете быть полностью уверены в том, что используемая политика безопасности и защиты информации подразумевает активацию данной службы. Даже обладая правами администратора, ничего изменить вы не сможете.

Включение службы BitLocker Windows 10, в том случае, если она была деактивирована

Прежде чем приступать к решению вопроса, связанного с BitLocker Windows 10, необходимо рассмотреть процесс ее включения и настройки. Шаги по деактивации необходимо будет осуществлять в обратном порядке. Включение шифрования простейшим способом осуществляется из «Панели управления» путем выбора раздела шифрования диска. Данный способ может использоваться только в том случае, если сохранение ключа не должно выполняться на съемный носитель. Если заблокирован несъемный носитель, то придется искать другой вопрос о службе BitLocker Windows 10: как отключить данный компонент? Это делается достаточно просто. При условии, что ключ находится на съемном носителе, для расшифровки дисков и дисковых разделов необходимо вставить его в соответствующий порт, а после этого перейти к разделу системы безопасности «Панели управления». После этого находим пункт шифрования BitLocker, а затем рассматриваем носители и диски, на которых установлена защита. Внизу будет находиться гиперссылка, предназначенная для отключения шифрования. Необходимо нажать на нее. При условии распознавания ключа будет активирован процесс дешифрования. Вам останется только дождаться завершения его выполнения.

Настройка компонентов шифровальщиков: проблемы

Что же касается вопроса настройки, то здесь не обойдется без головной боли. Прежде всего, стоит отметить, что система предлагает зарезервировать под свои нужды не менее 1,5 Гб. Во-вторых, необходимо настраивать разрешения файловой системы NTFS, например, уменьшать размер тома. Для того чтобы заниматься такими вещами, следует сразу отключить данный компонент, поскольку большинству пользователей он не нужен. Даже те, у кого данная служба по умолчанию задействована в настройках, не всегда знают, что с ней нужно делать, и нужна ли она вообще. И зря… На локальном компьютере можно защитить с ее помощью данные даже при условии полного отсутствия антивирусного программного обеспечения.

Как отключить BitLocker: начальный этап

Прежде всего, необходимо использовать в «Панели управления» указанный ранее пункт. Названия полей отключения службы в зависимости от модификации системы могут изменяться. На выбранном накопителе может быть выбрана строка приостановки защиты или указание на отключение службы BitLocker. Но суть не в этом. Следует обратить особое внимание на тот момент, что необходимо полностью отключить обновление BIOS и загрузочных файлов системы. Иначе процесс дешифровки может занять довольно продолжительное время.

Контекстное меню

Это одна сторона медали, которая связана со службой BitLocker. Что собой представляет данная служба, должно быть уже понятно. Оборотная сторона состоит в том, чтобы изолировать дополнительные меню от присутствия в них ссылок на данную службу. Для этого необходимо еще раз взглянуть на BitLocker. Как убрать все ссылки на службу из контекстного меню? Да очень просто… При выделении нужного файла в «Проводнике» используем раздел сервиса и редактирования контекстного меню, переходим к настройкам, а после этого используем настройки команд и упорядочиваем их. Далее необходимо указать значение «Панели управления» и найти в списке соответствующих элементов панелей и команд нужную и удалить ее. Затем в редакторе реестра необходимо зайти на ветку HKCR и найти раздел ROOT Directory Shell, развернуть его и удалить нужный элемент путем нажатия на клавишу Del или при помощи команды удаления из меню правого клика. Это последнее, что касается BitLocker. Как его отключить, вам должно быть уже понятно. Но не стоит обольщаться раньше времени. Эта служба все равно будет работать в фоновом режиме, хотите вы этого или нет.

Заключение

Необходимо добавить, что это далеко не все, что можно сказать о системном компоненте шифрования BitLocker. Мы уже разобрались, что собой представляет BitLocker. Также вы узнали, как можно отключить и удалить команды меню. Вопрос заключается в другом: стоит ли отключать BitLocker. Здесь можно дать один совет: в корпоративной сети вообще не стоит деактивировать данный компонент. Но если речь идет о домашнем компьютерном терминале, то почему бы и нет.

В Windows Vista, Windows 7 и Windows 8 версий Pro и выше разработчики создали специальную технологию для шифрования содержимого логических разделов на всех видов, внешних дисках и USB-флешках - BitLocker .
Для чего она нужна? Если запустить BitLocker, то все файлы, находящиеся на диске, будут шифроваться. Шифрование происходит прозрачно, то есть вам не нужно каждый раз вводить пароль при сохранении файла - система все делает автоматически и незаметно. Однако как только вы отключите этот диск, то при следующем его включении потребуется специальный ключ (специальная смарт-карта, флешка или пароль) для доступа к нему. То есть если вы случайно потеряете ноутбук, то прочитать содержимое зашифрованного диска на нем не получится, даже если вы вытащите этот жесткий диск из этого ноутбука и попробуете его прочитать на другом компьютере. Ключ шифрования имеет такую длину, что время на перебор всех возможных комбинаций для подбора правильного варианта на самых мощных компьютерах будет исчисляться десятилетиями. Конечно, пароль можно выведать под пытками либо украсть заранее, но если флешка была потеряна случайно, либо ее украли, не зная, что она зашифрована, то прочесть ее будет невозможно.

Настройка шифрования BitLocker на примере Windows 8: шифрование системного диск и шифрование флешек и внешних USB-дисков.
Шифрование системного диска
Требованием для работы BitLocker для шифрования логического диска, на котором установлена операционная система Windows, является наличие незашифрованного загрузочного раздела: система должна все же откуда-то запускаться. Если правильно устанавливать Windows 8/7, то при установке создаются два раздела - невидимый раздел для загрузочного сектора и файлов инициализации и основной раздел, на котором хранятся все файлы. Первый как раз и является таким разделом, который шифровать не нужно. А вот второй раздел, в котором находятся все файлы, подвергается шифрованию.

Чтобы проверить, есть ли у вас эти разделы, откройте Управление компьютером

перейдите в раздел Запоминающие устройства - Управление дисками .

На скриншоте раздел, созданный для загрузки системы, помечен как SYSTEM RESERVED . Если он есть, то вы смело можете использовать систему BitLocker для шифрования логического диска, на котором установлена Windows.
Для этого зайдите в Windows с правами администратора, откройте Панель управления

перейдите в раздел Система и безопасность

и войдите в раздел Шифрование диска BitLocker .
Вы увидите в нем все диски, которые можно зашифровать. Кликните по ссылке Включить BitLocker .

Настройка шаблонов политики безопасности
В этом месте вы можете получить сообщение о том, что шифрование диска невозможно до тех пор, пока будут настроены шаблоны политики безопасности.

Дело в том, что для запуска BitLocker нужно системе разрешить эту операцию - это может сделать только администратор и только собственными руками. Сделать это намного проще, чем кажется после прочтения непонятных сообщений.

Откройте Проводник , нажмите Win + R - откроется строка ввода.

Введите в нее и выполните:

gpedit.msc

Откроется Редактор локальной групповой политики . Перейдите в раздел

Административные шаблоны
- Компоненты Windows
-- Этот параметр политики позволяет выбрать шифрование диска BitLocker
--- Диски операционной системы
---- Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.

Установите значение параметра Включено .

После этого сохраните все значения и вернитесь в Панель управления - можете запускать шифрование диска BitLocker.

Создание ключа и его сохранение

Вам на выбор система предложит два варианта ключа: пароль и флешка.

При использовании флешки вы сможете воспользоваться жестким диском только в том случае, если вставите эту флешку - на ней будет записан в зашифрованном виде ключ. При использовании пароля вам нужно будет его вводить каждый раз, когда будет происходить обращение к зашифрованному разделу на этом диске. В случае с системным логическим диском компьютера пароль будет нужен при холодной (с нуля) загрузке или полном рестарте, либо при попытке прочитать содержимое логического диска на другом компьютере. Во избежание каких-то подводных камней пароль придумывать, используя английские буквы и цифры.

После создания ключа вам будет предложено сохранить информацию для восстановления доступа в случае его утери: вы можете сохранить специальный код в текстовом файле, сохранить его на флешке, сохранить его в учетной записи Microsoft, или распечатать.

Обратите внимание, что сохраняется не сам ключ, а специальный код, необходимый для процедуры восстановления доступа.

Шифрование USB-дисков и флешек
Вы так же можете шифровать и внешние USB-диски и флешки - эта возможность впервые появилась в Windows 7 под названием BitLocker To Go . Процедура такая же: вы придумываете пароль и сохраняет код восстановления.

Когда вы будете монтировать USB-диск (присоединять к компьютеру), либо попробуете его разблокировать, система запросит у вас пароль.

Если вы не хотите каждый раз вводить пароль, так как уверены в безопасности при работе на этом компьютере, то можете в дополнительных параметрах при разблокировке указать, что доверяете этому компьютеру - в этом случае пароль будет вводиться всегда автоматически, до тех пор, пока вы не отмените настройку доверия. Обратите внимание, что на другом компьютере система у вас попросит ввести пароль, так как настройка доверия на каждом компьютере действует независимо.

После того, как вы поработали с USB-диском, размонтируйте его, либо просто просто отсоединив, либо через меню безопасного извлечения, и зашифрованный диск будет защищен от несанкционированного доступа.

Два способа шифрования

BitLocker при шифровании предлагает два способа, имеющих одинаковый результат, но разное время выполнения: вы можете зашифровать только занятое информацией место, пропустив обработку пустого пространства, либо пройтись по диску полностью, защифровав все пространство логического раздела, включая и не занятое. Первое происходит быстрее, однако остается возможность восстановления информации с пустого места. Дело в том, что с помощью специальных программ можно восстанавливать информацию, даже если она была удалена из Корзины, и даже если диск был отформатирован. Конечно, практически это выполнить трудно, но теоретическая возможность все равно есть, если вы не используете для удаления специальные утилиты, удаляющие информацию безвозвратно. При шифровании всего логического диска будет шифроваться и место, помеченное как пустое, и возможности восстановления информации с него даже с помощью специальных утилит уже не будет. Этот способ абсолютно надежный, но более медленный.

При шифровании диска желательно не выключать компьютер. На шифрование 300 гигабайт у меня ушло примерно 40 минут. Что будет, если внезапно отключилось питание? Не знаю, не проверял, но в интернете пишут, что ничего страшного не произойдет - нужно будет просто начать шифрование заново.

Вывод

Таким образом, если вы постоянно пользуетесь флешкой, на которой храните важную информацию, то с помощью BitLocker можете защитить себя от попадания важной информации в чужие руки. Так же можно защитить информацию и на жестких дисках компьютера, включая и системные - достаточно полностью выключить компьютер, и информация на дисках станет недоступной для посторонних. Использование BitLocker после настройки шаблонов политики безопасности не вызывает никаких затруднений даже у неподготовленных пользователей, какого либо торможения при работе с зашифрованными дисками я не заметил.

Здравствуйте Друзья! В этой статье мы продолжим изучать встроенные в Windows системы призванные повысить безопасность наших данных. Сегодня это система шифрования дисков Bitlocker . Шифрование данных нужно для того что бы вашей информацией не воспользовались чужие люди. Как она к ним попадет это уже другой вопрос.

Шифрование — это процесс преобразования данных таким образом что бы получить доступ к ним могли только нужные люди. Для получения доступа обычно используют ключи или пароли.

Шифрование всего диска позволяет исключить доступ к данным при подключении вашего жесткого диска к другому компьютеру. На системе злоумышленника может быть установлена другая операционная система для обхода защиты, но это не поможет если вы используете BitLocker.

Технология BitLocker появилась с выходом операционной системы Windows Vista и была усовершенствована в Windows 7 . Bitlocker доступен в версиях Windows 7 Максимальная и Корпоративная а так же в Windows 8 Pro. Владельцам других версий придется искать альтернативу .

Не вдаваясь в подробности выглядит это так. Система шифрует весь диск и дает вам ключи от него. Если вы шифруете системный диск то без вашего ключа компьютер не загрузится. Тоже самое как ключи от квартиры. У вас они есть вы в нее попадете. Потеряли, нужно воспользоваться запасными (кодом восстановления (выдается при шифровании)) и менять замок (сделать шифрование заново с другими ключами)

Для надежной защиты желательно наличие в компьютере доверенного платформенного модуля TPM (Trusted Platform Module). Если он есть и его версия 1.2 или выше, то он будет управлять процессом и у вас появятся более сильные методы защиты. Если же его нет, то возможно будет воспользоваться только ключом на USB-накопителе.

Работает BitLocker следующим образом. Каждый сектор диска шифруется отдельно с помощью ключа (full-volume encryption key, FVEK). Используется алгоритм AES со 128 битным ключом и диффузором. Ключ можно поменять на 256 битный в групповых политиках безопасности.

Когда шифрование будет завершено увидите следующую картинку

Закрываете окошко и проверяете в надежных ли местах находятся ключ запуска и ключ восстановления.

Шифрование флешки — BitLocker To Go

Почему нужно приостанавливать шифрование? Что бы BitLocker не заблокировал ваш диск и не прибегать к процедуре восстановления. Параметры системы (BIOS и содержимое загрузочного раздела) при шифровании фиксируются для дополнительной защиты. При их изменении может произойти блокировка компьютера.

Если вы выберите Управление BitLocker, то можно будет Сохранить или напечатать ключ восстановление и Дублировать ключ запуска

Если один из ключей (ключ запуска или ключ восстановления) утерян, здесь можно их восстановить.

Управление шифрованием внешних накопителей

Для управления параметрами шифрования флешки доступны следующие функции

Можно изменить пароль для снятия блокировки. Удалить пароль можно только если для снятия блокировки используется смарт-карта. Так же можно сохранить или напечатать ключ восстановления и включить снятие блокировки диска для этого компьютера автоматически.

Восстановление доступа к диску

Восстановление доступа к системному диску

Если флешка с ключом вне зоны доступа, то в дело вступает ключ восстановления. При загрузке компьютера вы увидите приблизительно следующую картину

Для восстановления доступа и загрузки Windows нажимаем Enter

Увидим экран с просьбой ввести ключ восстановления

С вводом последней цифры при условии правильного ключа восстановления автоматически пойдет загружаться операционная система.

Восстановление доступа к съемным накопителям

Для восстановления доступа к информации на флешке или внешнему HDD нажимаем Забыли пароль?

Выбираем Ввести ключ восстановления

и вводим этот страшный 48-значный код. Жмем Далее

Если ключ восстановления подходит то диск будет разблокирован

Появляется ссылочка на Управление BitLocker, где можно изменить пароль для разблокировки накопителя.

Заключение

В этой статье мы узнали каким образом можно защитить нашу информацию зашифровав ее с помощью встроенного средства BitLocker. Огорчает, что эта технология доступна только в старших или продвинутых версиях ОС Windows. Так же стало ясно для чего же создается этот скрытый и загрузочный раздел размером 100 МБ при настройке диска средствами Windows.

Возможно буду пользоваться шифрованием флешек или внешних жестких дисков . Но, это маловероятно так как есть хорошие заменители в виде облачных сервисов хранения данных таких как DropBox, Google Диск , Яндекс Диск и подобные.

В январе 2009 года компания Microsoft предоставила всем желающим для тестирования бета-версию новой операционной системы для рабочих станций - Windows 7. В данной операционной системе реализованы усовершенствованные технологии безопасности Windows Vista. В этой статье речь пойдет о технологии шифрования Windows BitLocker, претерпевшей значительные изменения после появления в Windows Vista.

Зачем шифровать

Кажется, сегодня уже никого не нужно убеждать в необходимости шифрования данных на жестких дисках и сменных носителях, но тем не менее приведем некоторые аргументы в пользу данного решения. Сегодня стоимость аппаратных средств во много раз меньше стоимости информации, содержащейся на устройствах. Потеря данных может привести к потере репутации, конкурентоспособности и потенциальным судебным тяжбам. Устройство похищено или утеряно - информация доступна посторонним. Для запрета несанкционированного доступа к данным и необходимо использовать шифрование. Кроме того, не стоит забывать о такой опасности, как несанкционированный доступ к данным во время ремонта (в том числе гарантийного) либо продажи устройств, бывших в употреблении.

Поможет BitLocker

Что этому противопоставить? Только шифрование данных. В этом случае шифрование выступает в роли последней линии обороны данных на компьютере. Технологий шифрования жесткого диска существует великое множество. Естественно, после успешной реализации технологии BitLocker в составе Windows Vista Enterprise и Windows Vista Ultimate компания Microsoft не могла не включить эту технологию в Windows 7. Впрочем, справедливости ради стоит отметить, что в новой версии мы увидим значительно переработанную технологию шифрования.

Итак, наше знакомство начинается с установки Windows 7. Если в Windows Vista для последующего использования шифрования требовалось вначале с помощью командной строки подготовить жесткий диск, разметив его соответствующим способом или сделать это позднее, используя специальную программу Microsoft BitLocker Disk Preparation Tool, то в Windows 7 проблема решается изначально, при разметке жесткого диска. В моем случае при установке я задал один системный раздел емкостью в 39 Гбайт, а получил два! Один из которых размером в 38 Гбайт с небольшим, а второй 200 Мбайт.

Откроем консоль управления дисками (Start, All Programs, Administrative Tools, Computer Management, Disk Management), см. .

Как видите, первый раздел размером в 200 Мбайт просто скрыт. Он же по умолчанию является системным, активным и первичным разделом. Для тех, кто уже знаком с шифрованием в Windows Vista, нового на данном этапе ничего нет, кроме того, что разбивка проводится по умолчанию и жесткий диск уже на этапе установки готовится к последующему шифрованию. Единственное, что бросается в глаза, это его размер в 200 Мбайт против 1,5 Гбайт в Windows Vista. Безусловно, такая разбивка диска на разделы значительно удобнее, ведь зачастую пользователь, устанавливая операционную систему, не сразу задумывается о том, будет ли он шифровать жесткий диск.

В случае с Windows 7 сразу же после установки операционной системы в Control Panel в разделе System and Security можно выбрать BitLocker Drive Encryption. Щелкнув по ссылке Protect your computer by encrypting data on your disk, вы попадаете в окно, показанное на .

Обратите внимание (на рисунке выделено красным цветом) на функции, которые в Windows Vista отсутствуют или организованы иначе. Так, в Windows Vista сменные носители можно было шифровать только в том случае, если они использовали файловую систему NTFS, причем шифрование производилось по тем же правилам, что и для жестких дисков. А шифровать второй раздел жесткого диска (в данном случае диск D:) можно было только после того, как зашифрован системный раздел (диск C:).

Однако не стоит думать, что, как только вы выберете Turn on BitLocker, все заработает так, как нужно. При включении BitLocker без дополнительных параметров все, что вы получите, это шифрование жесткого диска на данном компьютере без применения модуля ТРМ. Впрочем, у пользователей в некоторых странах, например в Российской Федерации или на Украине, просто нет другого выхода, так как в этих странах запрещен ввоз компьютеров с ТРМ. В таком случае после щелчка по Turn on BitLocker мы попадаем на экран 3.

Если же есть возможность использовать ТРМ или существует необходимость задействовать всю мощь шифрования, следует воспользоваться редактором групповых политик, набрав в командной строке gpedit.msc. Откроется окно редактора (см. ).

Рассмотрим подробнее параметры групповой политики, с помощью которых можно управлять шифрованием BitLocker.

Параметры групповой политики BitLocker

Store BitLocker recovery information in Active Directory Domain Services (Windows Server 2008 и Windows Vista). С помощью данного параметра групповой политики вы можете сделать так, чтобы Active Directory Domain Services (AD DS) резервировал информацию для последующего восстановления BitLocker Drive Encryption. Данная возможность применима только к компьютерам, работающим под Windows Server 2008 или Windows Vista.

Если этот параметр будет задан, при включении BitLocker информация, необходимая для его восстановления, будет автоматически скопирована в AD DS. Если отключить данный параметр политики или оставить его по умолчанию, информация для восстановления BitLocker не будет скопирована в AD DS.

Choose default folder for recovery password. Этот параметр позволит задать каталог по умолчанию, отображаемый мастером BitLocker Drive Encryption при запросе местонахождения папки для сохранения пароля восстановления. Данный параметр применяется, когда включается шифрование BitLocker. Пользователь может сохранить пароль восстановления и в любой другой папке.

Choose how users can recover BitLocker-protected drives (Windows Server 2008 и Windows Vista). Данный параметр позволит управлять режимами восстановления BitLocker, отображаемыми мастером установки. Эта политика применима к компьютерам, работающим под управлением Windows Server 2008 и Windows Vista. Данный параметр применяется при включении BitLocker.

Для восстановления зашифрованных данных пользователь может воспользоваться 48-значным цифровым паролем или USB-диском, содержащим 256-разрядный ключ восстановления.

С помощью данного параметра можно разрешить сохранение на USB-диск 256-разрядного ключа пароля в виде скрытого файла и текстового файла, в котором будет содержаться 48 цифр пароля восстановления. В случае, если вы отключите или не будете настраивать это правило групповой политики, мастер установки BitLocker позволит выбрать варианты восстановления.

Choose drive encryption method and cipher strength. С помощью данного правила вы можете выбрать алгоритм шифрования и длину используемого ключа. Если диск уже зашифрован, а затем вы решили сменить длину ключа, ничего не произойдет. По умолчанию для шифрования используется метод AES со 128-разрядным ключом и диффузором.

Provide the unique identifiers for your organization. Данное правило политики позволит создавать уникальные идентификаторы для каждого нового диска, принадлежащего организации и защищаемого с помощью BitLocker. Данные идентификаторы хранятся как первое и второе поля идентификатора. Первое поле идентификатора позволит установить уникальный идентификатор организации на диски, защищенные BitLocker. Этот идентификатор будет автоматически добавляться к новым дискам, защищаемым BitLocker, и может быть обновлен для существующих дисков, зашифрованных с использованием BitLocker с помощью программного обеспечения командной строки - Manage-BDE.

Второе поле идентификатора применяется в сочетании с правилом политики «Запрет доступа на сменные носители, не защищенные BitLocker» и может использоваться для управления сменными дисками. Комбинация этих полей может использоваться для определения, принадлежит ли диск вашей организации.

В случае если значение данного правила не определено или отключено, поля идентификации не требуются. Поле идентификации может иметь длину до 260 символов.

Prevent memory overwrite on restart. Данное правило позволит увеличить производительность компьютера за счет предотвращения перезаписи памяти, однако следует понимать, что ключи BitLocker не будут удалены из памяти.

Если данное правило отключено или не настроено, то ключи BitLocker будут удалены из памяти при перезагрузке компьютера. Для усиления защиты данное правило стоит оставить в состоянии по умолчанию.

Configure smart card certificate object identifier. Это правило позволит связать идентификатор объекта сертификата смарт-карты с диском, зашифрованным BitLocker.

Fixed Data Drives

В данном разделе описываются правила групповой политики, которые будут применяться к дискам данных (не системным разделам).

Configure use of smart cards on fixed data drives. Данное правило позволит определить, можно ли использовать смарт-карты для разрешения доступа к данным на жестком диске компьютера. Если вы отключаете это правило, смарт-карты использовать нельзя. По умолчанию смарт-карты могут применяться.

Deny write access to fixed drives not protected by BitLocker. Это правило определяет разрешение или запрет записи на диски, не защищенные BitLocker. Если данное правило определено, то все диски, не защищенные BitLocker, будут доступны только для чтения. Если же диск зашифрован с помощью BitLocker, то он будет доступен для чтения и записи. Если данное правило отключено или не определено, то все жесткие диски компьютера будут доступны для чтения и записи.

Allow access to BitLocker-protected fixed data drives from earlier versions of Windows. Данное правило политики устанавливает, могут ли диски с файловой системой FAT быть разблокированы и прочитаны на компьютерах под Windows Server 2008, Windows Vista, Windows XP SP3 и Windows XP SP2.

Если данное правило включено или не настроено, диски данных, отформатированные с файловой системой FAT, могут быть доступны для чтения на компьютерах с перечисленными выше операционными системами. Если это правило отключено, то соответствующие диски не могут быть разблокированы на компьютерах под Windows Server 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. Это правило не относится к дискам, форматированным под NTFS.

Данное правило определяет необходимость пароля для разблокирования дисков, защищенных BitLocker. Если вы хотите использовать пароль, можно установить требования сложности пароля и его минимальную длину. Стоит учесть, что для установки требований сложности необходимо установить требование к сложности пароля в разделе «Политики паролей» групповой политики.

Если данное правило определено, пользователи могут настраивать пароли, отвечающие выбранным требованиям. Длина пароля должна быть не менее 8 символов (по умолчанию).

Choose how BitLocker-protected fixed drives can be recovered. Данное правило позволит управлять восстановлением зашифрованных дисков. Если оно не настроено или заблокировано, то доступны возможности восстановления по умолчанию.

Operation System Drives

В данном разделе описываются правила групповой политики, применяемые для разделов операционной системы (как правило, диск C:).

Require additional authentication at startup. Это правило групповой политики позволит задать использование для идентификации Trusted Platform Module (ТМР). Стоит учесть, что при запуске может быть задана только одна из функций, иначе произойдет ошибка в реализации политики.

Если данное правило включено, пользователи смогут настраивать расширенные возможности запуска в мастере установки BitLocker. Если политика отключена или не настроена, основные функции можно настраивать только на компьютерах с ТРМ. Если вы хотите использовать PIN и USB-диск, необходимо настраивать BitLocker, используя командную строку bde, вместо мастера BitLocker Drive Encryption.

Require additional authentication at startu (Windows Server 2008 and Windows Vista). Данное правило политики применимо только к компьютерам, работающим под управлением Windows 2008 или Windows Vista. На компьютерах, оборудованных TPM, можно установить дополнительный параметр безопасности - PIN-код (от 4 до 20 цифр). На компьютерах, не оборудованных ТРМ, будет использоваться USB-диск с ключевой информацией.

Если данный параметр включен - мастер отобразит окно, в котором пользователь сможет настраивать дополнительные параметры запуска BitLocker. Если же данный параметр отключен или не настроен, то мастер установки отобразит основные шаги для запуска BitLocker на компьютерах с ТРМ.

Configure minimum PIN length for startup. С помощью данного параметра задаются настройки минимальной длины PIN-кода для запуска компьютера. PIN-код может включать от 4 до 20 цифр.

Choose how BitLocker-protected OS drives can be recovered. С помощью данного правила групповой политики можно определить, как будут восстанавливаться диски, зашифрованные с помощью BitLocker, при отсутствии ключа шифрования.

Configure TPM platform validation profile. С помощью данного правила можно настраивать модуль ТРМ. Если соответствующего модуля нет, данное правило не применяется.

Если вы разрешаете это правило, то сможете указывать, какие компоненты начальной загрузки будут проверены с помощью ТРМ, прежде чем разблокировать доступ к зашифрованному диску.

Removable Data Drives

Control use of BitLocker on removable drives. С помощью данного правила групповой политики можно управлять шифрованием BitLocker на сменных дисках. Вы можете выбрать, с помощью каких параметров пользователи смогут настраивать BitLocker. В частности, для разрешения запуска мастера установки шифрования BitLocker на сменном диске необходимо выбрать Allow users to apply BitLocker protection on removable data drives.

Если вы выберете Allow users to suspend and decrypt BitLocker on removable data drives, то пользователь сможет расшифровать ваш сменный диск или приостановить шифрование.

Если данное правило не настроено, пользователи могут задействовать BitLocker на съемных носителях. Если правило отключено, то пользователи не смогут применять BitLocker на съемных дисках.

Configure use of smart cards on removable data drives. С помощью данной установки политики определяют, можно ли задействовать смарт-карты для аутентификации пользователя и его доступа к сменным дискам на компьютере.

Deny write access to removable drives not protected BitLocker. С помощью данного правила политики можно запретить запись на сменные диски, не защищенные BitLocker. В таком случае все сменные диски, не защищенные BitLocker, будут доступны только для чтения.

Если будет выбран вариант Deny write access to devices configured in another organization, запись будет доступна только на сменные диски, принадлежащие вашей организации. Проверка производится по двум полям идентификации, определенным в правиле групповой политики Provide the unique identifiers for your organization.

Если вы отключили данное правило или оно не настроено, то все сменные диски будут доступны и для чтения и для записи. Это правило можно отменить параметрами настройки политики User ConfigurationAdministrative TemplatesSystemRemovable Storage Access Если правило Removable Disks: Deny write access разрешено, то это правило будет проигнорировано.

Allow access to BitLocker-protected removable data drives from earlier versions of Windows. Это правило определяет, могут ли сменные диски, отформатированные под FAT, быть разблокированы и просмотрены на компьютерах под Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2.

Если данное правило разрешено или не настроено, то сменные диски с файловой системой FAT могут быть разблокированы и просмотрены на компьютерах под управлением Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. При этом эти диски будут доступны только для чтения.

Если это правило заблокировано, то соответствующие сменные диски не могут быть разблокированы и просмотрены на компьютерах под Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. Данное правило не относится к дискам, отформатированным под NTFS.

Configure password complexity requirements and minimum length. Данное правило политики определяет, должны ли сменные диски, заблокированные с помощью BitLocker, быть разблокированы с помощью пароля. Если же вы позволите применять пароль, вы сможете установить требования к его сложности и минимальную длину. Стоит учесть, что в этом случае требования сложности должны совпадать с требованиями политики паролей Computer ConfigurationWindows SettingsSecurity SettingsAccount PoliciesPassword Policy

Choose how BitLocker-protected removable drives can be recovered. Данное правило позволяет выбрать способ восстановления сменных дисков, защищенных BitLocker.

Переходим к процессу шифрования. Изменения в групповой политике позволяют более широко использовать возможности шифрования BitLocker, и для закрепления навыков работы с ней попробуем зашифровать: системный диск, диск с данными, сменные носители, как под NTFS, так и под FAT (будем считать, что компьютер обладает установленным модулем ТРМ).

Причем мы должны проверить, будут ли доступны наши сменные носители, отформатированные под FAT, на компьютере, работающем как под Windows XP SP2, так и под Windows Vista SP1.

Для начала в групповых политиках BitLocker выберем алгоритм шифрования и длину ключа (см. ).

Затем в разделе Operation System Drive выбираем правило Require additional authentication at startup (см. ).

После этого установим минимальную длину PIN-кода, равную 6 символам, с помощью правила Configure minimum PIN length for startup. Для шифрования раздела данных установим требования к сложности и минимальной длине пароля в 8 символов.

При этом необходимо помнить, что нужно выставить такие же требования к парольной защите через редактор политик.

Для сменных дисков выберем следующие настройки:

• не разрешать читать сменные диски с файловой системой FAT под старыми версиями Windows;
• пароли должны удовлетворять требованиям сложности;
• минимальная длина пароля 8 символов.

После этого командой gpupdate.exe/force в окне командной строки обновим политику.

Так как мы решили использовать PIN-код при каждой перезагрузке, то выбираем Require a PIN at every startup (см. экран 7).

После этого перезагружаем систему, и процесс шифрования диска С начинается.

Похожим образом шифруется и второй раздел нашего жесткого диска - диск D (см. экран 8).

Перед шифрованием диска D мы должны задать пароль для этого диска. При этом пароль должен соответствовать нашим требованиям к минимальной длине и сложности пароля. Следует учесть, что можно открывать этот диск на компьютере автоматически. Как и ранее, сохраним пароль восстановления на USB-диск. Нужно иметь в виду, что при первом сохранении пароля он одновременно сохраняется и в текстовом файле на этом же USB-диске!

Попробуем теперь зашифровать USB-диск, отформатированный под файловой системой FAT.

Шифрование USB-диска начинается с того, что нам предлагают ввести пароль для будущего зашифрованного диска. Согласно определенным правилам политики, минимальная длина пароля 8 символов. При этом пароль должен соответствовать требованиям сложности. После ввода пароля нам предложат сохранить ключ восстановления в файл или распечатать его.

По окончании шифрования попробуем просмотреть этот USB-диск на другом компьютере, работающем под Windows Vista Home Premium SP1. Результат показан на экране 9.

Как видите, в случае потери диска информация не будет прочитана, более того, скорее всего, диск будет просто отформатирован.

При попытке подсоединить этот же USB-диск к компьютеру под управлением Windows 7 Beta1 можно увидеть сообщение, показанное на экране 10.

Итак, мы рассмотрели, как будет производиться шифрование в Windows 7. По сравнению с Windows Vista, появилось гораздо больше правил в групповых политиках, соответственно возрастет ответственность ИТ-персонала за их правильное применение и взаимодействие с сотрудниками.