Шифрование дисков BitLocker и BitLocker To Go

Содержание:

Общая информация о Bitlocker и Bitlocker To Go

Аппаратные требования для шифрования диска BitLocker

Настройка жесткого диска для использования шифрования диска BitLocker

Включение BitLocker

Отключение или временная приостановка BitLocker

Ключ восстановления BitLocker

Создание копии ключа запуска или изменение ПИН-кода

Почему шифрование диска BitLocker может препятствовать запуску компьютера

Общая информация о Bitlocker и Bitlocker To Go

Шифрование BitLocker - новая технология Windows 7, которая используется для защиты всех файлов, хранящихся на разделе с установленной ОС Windows 7 (диск операционной системы) и на несъемных дисках (например, внутренних жестких дисках).

Шифрование BitLocker To Go используется для защиты всех файлов, хранящихся на съемных дисках (например, внешних жестких дисках или USB-устройствах флэш-памяти).

В отличие от шифрованной файловой системы (EFS), позволяющей зашифровывать отдельные файлы, BitLocker шифрует диск целиком. Пользователь может входить в систему и работать с файлами как обычно, а BitLocker будет мешать злоумышленникам, пытающимся получить доступ к системным файлам для поиска паролей, а также к диску путем извлечения его из данного компьютера и установки в другой.

BitLocker автоматически шифрует все файлы, добавляемые на зашифрованный диск. Файлы будут зашифрованы только при хранении на зашифрованном диске. При их копировании на другой диск или компьютер они будут расшифрованы. При предоставлении общего доступа к файлам по сети они будут зашифрованы на зашифрованном диске, но авторизованные пользователи смогут получать к ним доступ обычным образом.

При шифровании диска с ОС BitLocker проверяет компьютер при загрузке на наличие возможных угроз безопасности (например, изменений в BIOS или файлах загрузки). При обнаружении угрозы безопасности BitLocker заблокирует диск с ОС. Чтобы разблокировать его, потребуется специальный ключ восстановления BitLocker. Убедитесь, что этот ключ создан при первом запуске BitLocker. В противном случае доступ к файлам может быть потерян. Если компьютер оснащен доверенным платформенным модулем (TPM), BitLocker использует его для запечатывания ключей разблокировки зашифрованного диска с ОС. При загрузке компьютера BitLocker запрашивает у доверенного платформенного модуля ключи для доступа к диску и разблокирует его.

Зашифрованные диски (несъемные или съемные) можно разблокировать с помощью пароля или смарт-карты или настроить автоматическую разблокировку дисков при входе в систему.

BitLocker всегда можно отключить либо временно (приостановив его), либо на постоянной основе (расшифровав диск).

Наверх

Аппаратные требования для шифрования диска BitLocker

Для использования функции «Шифрование диска BitLocker» компьютер должен отвечать определенным требованиям к оборудованию. Эти требования зависят от типа шифруемого диска.

Наверх

  • Аппаратные требования к диску, на котором установлена ОС Windows

Чтобы выполнить шифрование диска, на котором установлена ОС Windows (диск операционной системы), BitLocker сохраняет свои ключи шифрования и расшифровки в аппаратном устройстве отдельно от жесткого диска, поэтому необходимо наличие одного из следующих устройств.

Компьютера с доверенным платформенным модулем (TPM) - особой микросхемой, присутствующей во многих современных компьютерах и поддерживающей дополнительные функции безопасности. Если доверенный платформенный модуль имеет версию 1.2 или выше, BitLocker будет хранить ключи в нем.

Съемного запоминающего USB-устройства, например USB-устройства флэш-памяти. Если версия доверенного платформенного модуля компьютера ниже, чем 1.2, то BitLocker будет хранить свой ключ на устройстве флэш-памяти. Данный параметр доступен только в том случае, если администратор разрешил использование в сети ключа запуска вместо доверенного платформенного модуля.

Для включения шифрования диска BitLocker на диске с операционной системой жесткий диск компьютера должен удовлетворять следующим условиям.

  1. Иметь по крайней мере два раздела: системный раздел (в котором содержатся файлы, необходимые для запуска компьютера; он должен иметь размер не менее 200 МБ) и раздел операционной системы (в котором содержится ОС Windows). Раздел операционной системы будет зашифрован, а системный раздел останется незашифрованным для обеспечения запуска компьютера. Если на компьютере нет двух разделов, BitLocker создает их автоматически. Оба раздела должны быть отформатированы под файловую систему NTFS.
  2. Иметь BIOS, совместимый с доверенным платформенным модулем или поддерживающий использование USB-устройств при запуске компьютера. В противном случае перед использованием BitLocker потребуется обновить BIOS.

Наверх

  • Определение, оснащен ли компьютер доверенным платформенным модулем TPM

  1. Откройте Панель управления - Шифрование диска BitLocker.
  2. В левой области выберите пункт Администрирование доверенного платформенного модуля.

Оснастка Управление TPM на локальном компьютере позволяет узнать, установлено ли на компьютере оборудование безопасности доверенного платформенного модуля. Если такое оборудование отсутствует, то для включения BitLocker потребуется съемное запоминающее USB-устройство, на котором BitLocker будет хранить ключ запуска, необходимый для каждого запуска компьютера.

Наверх

  • Аппаратные требования для дисков с данными

BitLocker можно использовать для шифрования несъемных дисков с данными (например, внутренних жестких дисков), а BitLocker To Go - для шифрования съемных носителей с данными (например, внешних жестких дисков и USB-устройств флэш-памяти). Чтобы выполнить шифрование диска с данными, он должен быть отформатирован в файловой системе exFAT, FAT16, FAT32 или NTFS и на нем должно быть доступно не менее 64 МБ памяти.

Наверх

Настройка жесткого диска для использования шифрования диска BitLocker

Для шифрования диска, на котором установлена ОС Windows, на компьютере должно быть два раздела: системный раздел (содержащий файлы, необходимые для запуска компьютера) и раздел операционной системы (содержащий ОС Windows). Раздел операционной системы будет зашифрован, а системный раздел останется незашифрованным, чтобы можно было запустить компьютер.

В предыдущих версиях ОС Windows эти разделы иногда нужно было создавать вручную. В ОС Windows 7 эти разделы создаются автоматически. Если на компьютере отсутствует системный раздел, то мастер BitLocker создаст его, воспользовавшись 200 мегабайтами свободного дискового пространства. Системному разделу не назначается буква диска, и он не отображается в папке «Компьютер».

Наверх

Включение BitLocker

  1. Чтобы открыть шифрование дисков BitLocker, откройте Панель управления - Шифрование дисков BitLocker.
  2. Щелкните Включить BitLocker. Откроется мастер настройки BitLocker. Следуйте инструкциям мастера.

Наверх

Отключение или временная приостановка BitLocker

Выполните одно из следующих действий.

  • Чтобы временно приостановить BitLocker, щелкните Приостановить защиту и нажмите кнопку Да.
  • Чтобы отключить BitLocker и расшифровать диск, последовательно щелкните Выключить BitLocker и Расшифровать диск.

При использовании шифрования диска BitLocker для шифрования диска, на котором установлена ОС Windows 7, для запуска компьютера можно воспользоваться ключом запуска или персональным идентификационным номером (ПИН).

Если используется ПИН-код, то его необходимо запомнить и вводить при каждом запуске компьютера.

Если используется ключ запуска, необходимо сохранить его на USB-устройстве флэш-памяти и вставлять это устройство при каждом запуске компьютера.

Наличие ключа запуска или ПИН-кода необязательно. Ключ запуска или ПИН-код обязательны только в том случае, если компьютер находится на работе и администратор потребовал их наличие.

Можно создать или ключ запуска, или ПИН-код, но не то и другое одновременно. ПИН-код может быть любым числом, содержащим от 4 до 20 цифр (минимальная длина ПИН-кода может быть больше, если компьютер является частью домена). ПИН хранится на компьютере. Ключ запуска или ПИН-код можно создать при первом запуске BitLocker. После создания ключа запуска или ПИН-кода последний можно изменить с помощью средства «Управление BitLocker», но ключ запуска изменить нельзя. На случай потери оригинала можно сделать дополнительные копии ключа запуска.

Примечания

Ключ запуска можно также использовать для хранения ключей шифрования для диска, на котором установлена ОС Windows 7, если компьютер не оснащен оборудованием безопасности доверенного платформенного модуля (TPM). BitLocker хранит ключи шифрования в доверенном платформенном модуле - особой микросхеме, присутствующей во многих современных компьютерах и поддерживающей дополнительные функции безопасности. Ключ запуска можно использовать вместо доверенного платформенного модуля только в том случае, если администратор настроил сеть соответствующим образом.

При создании архивов ключа запуска убедитесь, что они сохранены на отдельном съемном носителе.

Дополнительные программное обеспечение, запускаемое в операционной системе Windows 7, например, программа чтения информации с экрана, не сможет прочитать начальные экраны загрузки BitLocker, поскольку они отображаются во время запуска системы BIOS до загрузки Windows. К этим экранам относятся и те, на которых вводится ПИН-код или ключ восстановления, а также используемые для отображения сообщений об ошибках BitLocker.

Наверх

Ключ восстановления BitLocker

Ключ восстановления BitLocker - это специальный ключ, который можно создать при первом запуске шифрования диска Bitlocker на каждом диске, для которого выполняется шифрование. Ключ восстановления можно использовать для получения доступа к компьютеру, если диск, на котором установлена ОС Windows 7 (диск операционной системы), зашифрован с использованием шифрования диска BitLocker и BitLocker обнаруживает условие, которое не позволяет снять блокировку с диска при запуске компьютера. Ключ восстановления можно также использовать для получения доступа к файлам и папкам на съемном носителе с данными (например, внешнем жестком диске или USB-устройстве флэш-памяти), зашифрованном с использованием BitLocker To Go, если забыт пароль или компьютеру не удается получить доступ к носителю.

Ключ восстановления следует распечатать, сохранить на съемном носителе или сохранить в виде файла в папке на незашифрованном диске компьютера. Ключ восстановления для съемного носителя с данными (например, USB-устройства флэш-памяти) нельзя сохранять на съемном носителе. Не храните ключ восстановления на компьютере. После создания ключа восстановления можно воспользоваться функцией «Управление BitLocker» для создания дополнительных копий ключа.

Примечания

Если компьютер входит в домен, то доступность настройки ключа восстановления может контролироваться администратором.

Программное обеспечение, предоставляющее специальные возможности и работающее в операционной системе Windows, например программа чтения текста с экрана, не сможет прочитать начальные экраны загрузки BitLocker, поскольку они отображаются во время запуска BIOS до загрузки Windows 7. К этим экранам относятся и те, на которых вводится ПИН-код или ключ восстановления, а также используемые для отображения сообщений об ошибках BitLocker.

Наверх

Создание копии ключа запуска или изменение ПИН-кода

  1. Откройте Панель управления - BitLocker.‌
  2. Щелкните Управление BitLocker и следуйте инструкциям.

Наверх

Почему шифрование диска BitLocker может препятствовать запуску компьютера

Если шифрование диска BitLocker используется для шифрования раздела, на котором установлена ОС Windows 7 (диск с операционной системой), и компьютер оснащен доверенным платформенным модулем TPM (особой микросхемой, присутствующей во многих компьютерах и поддерживающей дополнительные функции безопасности) версии 1.2 или выше, то при загрузке данный модуль проверяет систему на наличие возможных угроз безопасности. Признаками угрозы могут быть ошибки диска, изменения в BIOS или других загрузочных компонентах, а также запуск жесткого диска с другого компьютера.

Если доверенный платформенный модуль обнаружит подобную угрозу, то BitLocker не разблокирует диск с операционной системой и перейдет в режим восстановления. Чтобы разблокировать его, потребуется ввести ключ восстановления BitLocker.

ПРЕДУПРЕЖДЕНИЕ

При первом запуске BitLocker следует обязательно создать ключ восстановления. В противном случае доступ к файлам может быть потерян.

Если BitLocker используется для шифрования системного диска и на компьютере отсутствует доверенный платформенный модуль версии 1.2 или выше, то BitLocker не проверяет загрузочную среду на наличие изменений. Тем не менее, если ключ запуска BitLocker не разблокирует системный диск, потребуется ключ восстановления.

Примечание. Если компьютер входит в состав домена, то администратор может управлять некоторыми возможностями и параметрами BitLocker.

Наверх