BitLocker: Шифрование дисков, устройства и флешек в Windows

В данной инструкции о том, что такое BitLocker, как его включить, отключить, разблокировать и восстановить ключ доступа к зашифрованным дискам.

BitLocker – это функция, встроенная в операционную систему Windows, которая предназначена для защиты информации на дисках и внешних USB-накопителях с помощью шифрования. Она преобразует все данные на диске в зашифрованный вид, который невозможно получить без ввода правильного ключа или пароля. Это обеспечивает высокий уровень безопасности, особенно при утере или краже устройства. BitLocker использует современные метод шифрования AES и может работать совместно с аппаратным модулем безопасности TPM для усиленной защиты. Кроме того, предусмотрена возможность восстановления доступа к данным через специальный ключ восстановления, который рекомендуется хранить в надёжном месте.

Шифрование устройства vs Шифрование дисков BitLocker

В Windows 11/10 доступно два вида шифрования:

1. Шифрование устройства.
   • Эта функция автоматически защищает системный раздел без участия пользователя. Она доступна в Windows 10 и 11 в редакциях Home и Pro на устройствах с модулем TPM 2.0 и безопасной загрузкой. Ключ восстановления при этом автоматически сохраняется в учётной записи Microsoft или Azure AD, без необходимости ручного экспорта. В данном виде шифрования нет настройки Bitlocker, выбора метода шифрования и ввода паролей, смарт-карт. Все делается автоматически.
2. Шифрование дисков BitLocker.
   • BitLocker представляет собой более универсальное средство, которое даёт пользователю возможность самостоятельно настраивать и управлять шифрованием дисков. Эта функция доступна в версиях Windows 10 и 11 Pro, Enterprise и Education. При использовании BitLocker можно выбирать между алгоритмами XTS-AES или CBC-AES с длиной ключа 128 или 256 бит, а также указывать методы разблокировки, через TPM, ввод PIN-кода или с помощью USB-ключа. Активация производится вручную через "Панель управления" или настройки групповых политик.

Виды значка замка BitLocker:

• Открытый замок с ключом – диск зашифрован и разблокирован. Данные доступны для пользования.
• Закрытый замок с ключом – диск зашифрован и заблокирован. Чтобы получить к нему доступ, нужно ввести пароль.
• Открытый замок с восклицательным знаком – включено шифрование на разблокированном диске, которое еще полностью не зашифровалось.

Команды для BitLocker в CMD, которые могут пригодиться:

1. Показывает текущий статус BitLocker на всех дисках.
   • manage-bde -status
2. Узнать ключ восстановления 48-значный пароль.
   • manage-bde -protectors -get G:
3. Возобновляет приостановленный процесс шифрования. Особенно полезно, когда желтый восклицательный знак.
   • manage-bde -resume G:
4. Справка по всем параметрам.
   • manage-bde -?

Включение шифрования устройства в Windows 11/10

1. Обязательно нужна учетная запись Microsoft, авторизованная в Windows 11 или 10. Если вы уже под учетной записью Microsoft, пропустите данный шаг.
   • Откройте "Параметры" -> "Учетные записи" -> "Ваши данные", после чего нажмите "Войти вместо этого с учетной записью Майкрософт".
   • Если у вас уже есть аккаунт Microsoft, то введите почту и пароль от ней, чтобы войти.
   • В противном случае, если нет аккаунта, то нажмите "Создать ее".
2. Откройте "Параметры" -> "Безопасность конфиденциальность" -> "Шифрование устройства".
   • Включите "Шифрование устройства".
   • Отключите "Шифрование устройства" при необходимости.

Почему шифрование устройства недоступно и как узнать, что не соответствует?

1. Наберите в поиске на панели задач "Сведения о системе" и справа выберите "Запуск от имени администратора".
2. Найдите в самом низу графу "Поддержка автоматического шифрования устройства" и следующее описание означает.
   • Отвечает обязательным условиям – шифрование устройства доступно на данном ПК или ноутбуке.
   • TPM не используется – на ПК или ноутбуке нет модуля TPM или TPM не включен в BIOS или в UEFI.
   • WinRE не настроен – на устройстве не настроена среда восстановления Windows 11/10.
   • Привязка PCR7 не поддерживается – безопасная загрузка отключена в BIOS/UEFI или извлеките все USB-устройства, такие как специализированные сетевые интерфейсы, док-станции и внешние графические карта.

Включение шифрования дисков BitLocker в Windows 11/10

1. Чтобы открыть параметры Bitlocker, откройте "Панель управления" -> "Система и безопасность" -> "Шифрование диска BitLocker" или нажмите Win+R и введите control /name Microsoft.BitLockerDriveEncryption.
   • Далее включите нужные диски (Включить BitLocker), которые нужны зашифровать при помощи пароля.
   • Это может быть и внешняя USB-флешка (Съемный носитель Bitlocker To Go).
2. Поставьте галочку "Использовать пароль для снятия блокировки диска" и придумайте пароль для защиты данных. Смарт-карта, это физическая пластиковая карта со встроенным чипом, где хранятся криптографические ключи. Не стоит её выбирать обычным пользователям, так как нужно оборудование специальное.
3. Выберите на следующем этапе архивирование ключа "Сохранить файл". Настоятельно рекомендую нажать "Сохранить в вашу учетную Майкрософт", чтобы пароль хранился локально в файле и в учетной записи Microsoft. Можете её создать, если её нет. Сохраните файл в удобное для вас место, он понадобится для разблокировки диска, если забудете пароль. Если имеется принтер, то можете еще и распечатать ключ восстановления.
4. Рекомендую выбрать "Шифровать весь диск", чтобы зашифровать и те денные, которые были удалены.
5. Выберите режим шифрования "Режим совместимости", если шифруете съемные USB-накопители, внешние диски, которые будут подключаться к другим версиям Windows, таким как 7, 8.2, 10. Если шифруете внутренние диски на компьютере или ноутбуке, то рекомендую выбрать "Новый режим шифрования".
6. Дождитесь окончание процесса и диск с данными будет защищен Bitlocker.

Доступ к зашифрованным паролем дискам BitLocker

1. Вставьте зашифрованное устройства в USB-порт компьютера и откройте его. Это касается и локального диска, который просто откройте двойным кликом мыши.
2. Введите свой пароль, который придумывали в начале шифрования.
   • Если забыли пароль, то откройте файл, который сохраняли с ключом доступа на ПК или посмотрите ключ доступа в учетной записи Microsoft. Ключ доступа имеет 48 знаков.
   • Чтобы восстановить доступ к зашифрованному диску при утери пароля, нажмите "Дополнительные параметры" и "Ввести ключ восстановления".

Отключить BitLocker и удалить пароль с диска или флешки

1. Чтобы отключить поставленный пароль и сделать диск или флешку без шифрования BitLocker, нужно её для начало разблокировать введя пароль. После разблокировки, нажмите правой кнопкой по диску или USB-накопителю и выбрать "Управление BitLocker".
2. Найдите ваше устройство с которого нужно снять пароль и внизу нажмите "Отключить BitLocker" и дождитесь окончание расшифровки.

---