Москва
22 ноября ‘24
Пятница

Как настроить шифрование BitLocker на Windows

Операционная система Windows может шифровать данные на системных дисках и съемных носителях с помощью встроенного инструмента BitLocker. В пользу этого решения говорит тот факт, что, когда крупный проект, разрабатывающий ПО для шифрования «на лету» под названием «TrueCrypt», был закрыт, разработчики рекомендовали переходить именно на BitLocker.

Для того, чтобы включить BitLocker, необходимо в «Панели инструментов» найти пункт «Шифрование диска BitLocker» в разделе «Система и безопасность». Активировать службу также можно, кликнув правой клавишей мыши в проводнике по нужному диску и выбрав соответствующий пункт.

Программа распространяется в двух версиях: «BitLocker Drive Encryption» и «BitLocker To Go». Обе поддерживают работу лишь с профессиональной или корпоративной версией ОС Windows 7, 8 или 8,1. BitLocker Drive Encryption имеет альтернативное название — «Полное шифрование диска». При включении компьютера загрузчик Windows активируется из раздела, зарезервированного системой, после чего пользователю предлагается ввести пароль. BitLocker будет расшифровывать диск и загружать Windows. При этом файлы будут выглядеть так, как они представлены обычно, но храниться будут на диске в зашифрованном виде. BitLocker To Go специализируется на внешних накопителях. Его функционирование заключается в том, что при подключении, к примеру, флеш-накопителя к компьютеру, программа запросит заранее установленный код для доступа к данным.

Если ПК, на котором активируется BitLocker, не поддерживает доверенный платформенный модуль (TPM), пользователь получит сообщение, в котором будет содержаться информация о том, что администратор должен установить опцию «Разрешить использование BitLocker без совместимого TPM». Как правило, службе BitLocker требуется компьютер с TPM. Это встроенный микрочип, установленный на материнской плате. BitLocker может хранить ключи шифрования именно на нем, что считается более безопасным методом, чем хранение их на жестком диске компьютера. Модуль TPM предоставляет ключи шифрования только после проверки состояния компьютера. Таким образом, злоумышленник не сможет получить доступ к зашифрованным данным, получив физический диск или создав его образ.

Для того, чтобы все же активировать службу без TPM, следует сочетанием клавиш «Windows» и «R» вызвать строку «Выполнить» и указать команду «gpedit.msc». Это позволит попасть в окно «Редактор локальной групповой политики». Здесь в подразделе «Административные шаблоны», в «Компонентах Windows», необходимо найти пункт «Шифрование диска BitLocker». Конечная цель находится в директории «Диски операционной системы», где следует активировать параметр «Обязательная дополнительная проверка подлинности при запуске» и поставить флажок около «Разрешить использование BitLocker без совместимого TPM».

Далее необходимо установить способ, с помощью которого накопитель будет разблокирован при запуске. Если речь идет о компьютере, не имеющем TPM, накопитель можно разблокировать паролем или, вставив специальный флеш-носитель, который будет использоваться в качестве ключа.

BitLocker предоставляет пользователям ключ восстановления. Он применяется для доступа к зашифрованным файлам в том случае, если основной ключ утерян или забыт пароль. Ключ можно сохранить, распечатать, записать на флеш-накопитель. Можно даже создать его резервную копию в нескольких местах. Важно помнить, что, потеряв и ключ восстановления и основной метод разблокировки, зашифрованные файлы можно будет считать безвозвратно утерянными.

BitLocker автоматически шифрует новые файлы по мере их добавления, но необходимо выбирать, что будет происходить с файлами на диске. Шифрованию можно подвергнуть весь диск или только используемые файлы для того, чтобы ускорить процесс. После этого пользователю предлагается запустить проверку системы BitLocker и перезагрузить компьютер. Для того, чтобы проверить прогресс, можно обратиться к значку шифрования диска BitLocker в системном трее.

После этого при загрузке системы BitLocker уведомит о необходимости ввести пароль, PIN-код или вставить флеш-накопитель в качестве ключа. В том случае, если основной метод разблокировки утерян, следует нажать кнопку «Escape» и воспользоваться ключом восстановления. Если речь идет о шифровании съемного диска с помощью BitLocker To Go, появится аналогичное окно, но разница заключается в том, что приводу не требуется перезагрузка. Накопители, защищенные BitLocker, помечаются значком замка в «Проводнике» Windows или File Explorer.

Заблокированным диском можно управлять из окна панели управления BitLocker: изменять пароль, отключать BitLocker, восстанавливать резервную копию ключа или выполнять другие действия. Для этого необходимо щелкнуть правой кнопкой мыши и выбрать пункт «Управление BitLocker».

Применение данного инструмента, как и всех средств для шифрования, сказывается на производительности, о чем уведомляет компания Microsoft. Поэтому пользователю порой приходится решать, что для него важнее, — скорость обработки запросов или безопасность конфиденциальных сведений. В любом случае, если компьютер содержит действительно важные данные, пренебрегать лишним способом их защиты не стоит.

Полная версия