Bitlocker windows server 2012 r2 включить

Обновлено: 04.07.2024

Утилита BitLocker является частью операционных систем Microsoft Windows и выполняет функции шифрования дисков. Программа шифрует том, а не сам физический диск и не предназначена для шифрования отдельных папок или файлов. Для использования BitLocker необходимо чтобы компьютер имел совместимый аппаратный криптографический модуль TPM (Trusted Platform Module) - это специальный микрочип на материнской плате, который выполняет функции по защите компьютера.

Как же быть, если компьютер не имеет совместимого TPM?
Разрешить использование BitLocker без TPM можно двумя способами:

Чтобы разрешить работу BitLocker без TPM через групповые политики необходимо перейти в директорию "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Диски операционной системы" и активировать параметр "Этот параметр позволяет настроить требование дополнительной проверки при запуске" с опцией "Разрешить использование BitLocker без совместимого TPM".

Пошаговая инструкция по включению BitLocker без TPM с помощью групповых политик

1. Проверьте состояние модуля TPM на компьютере
Нажмите клавиши <Win+R> и набирите команду tpm.msc

как открыть tpm

2. Откройте оснастку управления групповыми политиками: сочетание клавиш <Win+R> и команда gpedit.msc

как открыть групповые политики

3. Перейдите в директорию "Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы" и откройте параметр "Этот параметр позволяет настроить требование дополнительной проверки при запуске".

где отключить проверку tpm

4. Переключите состояние параметра в режим "Включено" и активируйте опцию "Разрешить использование BitLocker без совместимого TPM".

как отключить проверку совместимого TPM

5. После применения настроек перезагрузите компьютер, чтобы применились новые групповые политики.

6. Проверьте работу BitLocker.

Кликните по любому диску компьютера правой клавишей мыши. Если в контекстном меню есть пункт "Включить BitLocker" значит утилита работает.

как включить bitlocker

Включение BitLocker без TPM с помощью редактора реестра

Разрешить использование утилиты BitLocker без TPM можно с помощью редактора реестра. Для этого необходимо внести изменения в соответствующую ветку реестра Windows.

1. Откройте редактор реестра Windows: Клавиши <Win+R> и команда regedit.

как открыть редактор реестра

2. Перейдите в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE.

путь к настройкам TPM в реестре

3. Создайте параметр типа DWORD с именем EnableBDEWithNoTPM и значением 1.

как отключить проверку tpm в реестре

После редактирования реестра потребуется перезагрузить компьютер для применения настроек.

Заинтересовала меня технология именуемая, как BitLocker умеющая защищать логические диски от постороннего доступа к ним парольной фразой. К примеру вы системный администратор, и Вы начали чувствовать что Ваш руководитель стал к Вам относиться с подозрением, и от коллег по обмолвкам до Вас до шел слух, что Вас хотят уволить. Но ведь вы ничего такого не делали, добросовестно выполняли свои обязанности, были вежливыми и всегда шли на встречу проблеме и пути ее решения. У вас есть свои собственные наработки, вам никто ничего по приходу на текущее место работы не предоставил, путем анализа и проработки на виртуальном полигоне Вы разобрали текущую инфраструктуру на мелкие части и для Вас уже нет ничего не возможно, вы все знаете. Да такое бывает, и кстати у меня было в одной организации такая ситуация. Просто начальник хотел получить все готовое (кстати он был псевдоначальник, программист 1С которого сделали руководителем, но вот в части IT от не соображал ничего). Потому вы просто переносите все Ваши наработки на серверную систему Windows (через ESXi Добавив еще одни жесткий диск и уже на нем создаете логический диск) в новый диск, где задействуете технологию BitLocker. В Server 2008 R 2 Enterpise нужно, активировать компонент:

Start – Control Panel – Administrative Tools – Server Manager – Features – Add Features – находим

Активирую компоненты для работы с BitLocker

Нажимаем Next – Install – Close – Yes (Do you want to restart now?) и перезагружаем систему для активации изменений .

Для работы с технологией BitLocker система должна быть оборудована необходимым модулем – TPM ( Trusted Platform Module ). Поясню, как я понимаю это из всего прочитанного:

Это микросхема, дающая компьютеру дополнительные средства безопасности, например возможность шифрования дисков BitLocker. Доверенный платформенный модуль встроен в некоторые современные модели компьютеров. Активировать его в системе можно посредством BIOS , для этого нужно сделать следующее:

Boot the computer. DEL into the BIOS

Switch the TPM SUPPORT menu item from Disabled to Enable

Save settings and restart

А после уже, будучи находясь в системе проверяем, что модуль видится:

C:\Users\Administrator>manage-bde -tpm -turnon

BitLocker Drive Encryption: Configuration Tool version 6.1.7600

Copyright (C) Microsoft Corporation. All rights reserved.

ERROR: A compatible Trusted Platform Module (TPM) was not detected.

Ошибка. Не обнаружен совместимый доверенный платформенный модуль.

Win + R -> mmc.exe – File – Add or Remove Snap-ins – находим оснастку : TPM Management и нажимаем

Проверяю, а поддерживает ли моя система TPM модуль

В результате запустится оснастка управления модулем TPM – где будет уже наглядно понятно, поддерживается ли модуль TPM или нет – у меня нет:

Нет модуль TPM в системе не обнаружен

Действия, представленные выше могут отличаться от Ваших, поэтому советую проверить сопровождающую информацию по Вашей материнской плате.

Если же система не оборудована данным модулем TPM , то перед началом шифрования необходимо разрешить использовать BitLocker без совместимого ТРМ. Делается это через оснастку: gpedit . msc

Запускаем: Win + R -> gpedit . msc

Далее в редакторе «Локальных групповых политик» на «Компьютер» вносим следующие изменения:

Local Computer Policy -> Computer Configuration -> Administrative Templates – Windows Components – BitLocker Drive Encryption

Следует привести параметры к виду:

Operating System Drives: Requirce additional authentication at startup – Enable

Активирую групповую политику

Также нужно позаботиться о наличии, USB флэш-накопителя с которого при запуске будет считываться ключ шифрования. Если устройство недоступно (не работает), необходимо воспользоваться одним из способов восстановления BitLocker. После активации данной политики уже можно шифровать свои жесткие диски.

Сейчас я покажу все пошаговое:

Напротив каждого логического диск появляется возможность задействовать BitLocker

Активирую BitLocker

После того как вы указали на необходимость шифрования конкретного диска, BitLocker проведет его инициализацию.

Происходит инициализация логического диска перед активированием использования BitLocker

Созданная групповая политика конфликтует с настройками

Ожидаем, советую обратить внимание на то, что в период, когда вы будете шифровать диск, производительность сервера снизится.

Все тоже самое можно сделать через командную строку так:

manage-bde -protectors -add c: -recoverykey z:

where c: is the bitlocked system drive and z: is the plugged in USB pendrive.
You may check the status again to see if the new protector is shown in the list.

The recovery key will be saved to the pendrive as a hidden file.

, но у меня процесс подвис, далее при внимательном чтении ошибок выяснил, что не нужно было включать данную политику – выключил ее, переведя в положение Not Configured . Проделываю шаги снова:

Указываю пароль на шифрование логического диска

Нажимаю Next -> далее сохраняю ключ восстановления, к примеру в файл:

Не забываю сохранить ключ восстановления

Ключ восстановления сохраняю в файл, но также можно и на флешку сохранить

Пример содержимого данного файла: (BitLocker Recovery Key B0BDC52B-D05C-4D53-BD86-443ECB5099DA.txt)

BitLocker Drive Encryption Recovery Key

The recovery key is used to recover the data on a BitLocker protected drive.

To verify that this is the correct recovery key compare the identification with what is presented on the recovery screen.

Recovery key identification: B0BDC52B-D05C-4D

Full recovery key identification: B0BDC52B-D05C-4D53-BD86-443ECB5099DA

BitLocker Recovery Key:

Соглашаюсь

А после Next – запускаем процесс шифрования диска

Активирую процесс шифрования диска

Начинается процесс

Процесс все еще идет:

Процесс не моментальный - ожидаю

Ожидаем, советую обратить внимание на то, что в период, когда вы будете шифровать диск, производительность сервера/рабочей станции снизится.

Так выглядит информационное окно о завершении процесса шифрования:

Так выглядит окно завершения шифрования диска

После завершения значок логического диска в «Моем компьютере» примет вид:

Таким значком помечен диск задействованный при технологии BitLocker

Это значит что диск зашифрован и все файлы помещаемые на него шифруются, чтобы его отключить нужно сделать так:

C:\Users\Administrator>manage-bde -lock F: -ForceDismount

BitLocker Drive Encryption: Configuration Tool version 6.1.7600

Copyright (C) Microsoft Corporation. All rights reserved.

Volume F: is now locked

И значок в «Мой компьютер» примет вид:

Теперь чтобы подключить зашифрованный логический диск нужно сделать:

Либо щелкнуть по нему и указать пароль и нажать Unlock

Для доступа к диску указываем пароль

Либо через командную строку :

C:\Users\Administrator>manage-bde -unlock F: -password

BitLocker Drive Encryption: Configuration Tool version 6.1.7600

Copyright (C) Microsoft Corporation. All rights reserved.

Enter the password to unlock this volume : <здесь_указываем_пароль>, в примере данной заметки пароль: 7 12 mbddr @

The password successfully unlocked volume F:.

Отлично все работает.

Данной заметкой я показал лишь малую часть использования технологии BitLocker на рабочем месте и как можно просто оставлять свои данные доступ к которым следует ограничить. Пусть Ваш доменный пароль изменен, на Вашей системе авторизовались, но доступ к данным закрыт. Но также ко всем относящемуся к Windows технологиям следует относится с некоторой долей осторожности, ведь все новое и внедренное и не опробованное многочисленными экспериментами не может служить 100% гарантией, что в один прекрасный момент из-за какого либо обновления Вы потеряете доступ к Вашим зашифрованным данным и уже не сможете восстановить доступ. Я же для себя просто разбирал, что есть технологию BitLocker и как ее можно использовать в повседневности. Даже подумывал на всякий случай обыграть такую сценку: чтобы делал сотрудник желающий со злым умыслом получить доступ к моим наработкам и заметкам , если столкнется; вход в систему закрыт утилитой syskey, а диски внутри закрыты уже технологией BitLocker. Но это так мысли вслух. На этом я пока прощаюсь, до новых встреч — с уважением автор блога — Олло Александр.

Оптимальная с точки зрения безопасности архитектура Exchange как для Exchange Server 2013, так и для Exchange Server 2016 рекомендует включать BitLocker на фиксированных дисках с данными, которые хранят файлы баз данных Exchange. Чтобы, настроить шифрование дисков сначала определим:

Что такое BitLocker?

Для получения более подробной информации см. BitLocker Overview на сайте Microsoft TechNet.

Как BitLocker может быть развернут?

Есть несколько способов развертывания BitLocker на серверах Exchange.
1. Шифрование тома операционной системы, а также томов данных Exchange с использованием либо network unlock, Data Recovery Agent and PKI infrastructure или при помощи TPM (рекомендуемый подход).
2. Шифрование только томов данных Exchange.

Чтобы использовать BitLocker для соответствия FIPS, имейте в виду:

  • Trusted Platform Module (TPM) версии 1.2 не является FIPS-совместимым и использует SHA1. Вы должны использовать TPM версии 2.0 для соответствия FIPS.
  • Для эффективного использования функции сети разблокировки, вы должны принять во внимание основные требования.
  • Если вы не используете Windows Server 2012 R2 или более поздние версии в качестве базовой операционной системы, то вы не можете использовать пароли восстановления для BitLocker. Для получения дополнительной информации см. What's New in BitLocker и KB 947249.

Перед началом процедуры шифрования всего тома убедитесь, что серверы переведены в режим обслуживания для предотвращения воздействия на конечных пользователей. Вы можете отметить значительное снижение производительности (

90% использования процессора) и уменьшение свободного пространства тома с ОС (

2 ГБ) пока производится шифрование тома. Кроме того, убедитесь, что развертывание BitLocker одновременно происходит не более, чем на одном сервере DAG для поддержания доступности.

Сценарий шифрования тома с ОС и томов данных Exchange

BitLocker обеспечивает максимальную защиту при использовании с модулем TPM. Модуль TPM – это аппаратный компонент, установленный на сервере, и мы рекомендуем использовать чип TPM версии 2.0. Он работает с BitLocker, помогая защитить данные пользователя, а также гарантируя, что сервер не был подделан пока был недоступен.

В частности, BitLocker может использовать TPM для проверки целостности компонентов ранней загрузки и данных конфигурации загрузки. Это помогает гарантировать, что BitLocker делает зашифрованный диск доступным только в случае, если эти компоненты не были подделаны и зашифрованный диск находится в исходном сервере.

  • Проверяет, что целостность файлов ранней загрузки сохранена и помогает гарантировать, чтобы не было вредоносных изменений этих файлов (например, заражения вирусом загрузочного сектора или руткитами).
  • Усиливает защиту для смягчения программных атак во время недоступности сервера. Любое альтернативное программное обеспечение, которое может запустить систему, не имеет доступа к ключам дешифрации для системного тома Windows.
  • Блокировка системы в случае подделки. Если какие-либо из контролируемых файлов были изменены, то система попросту не запустится. Если система не запускается в обычном режиме, то это сигнал администратору о фальсификации. В случае, если произошла блокировка системы, следуйте процедуре восстановления BitLocker, которая включает в себя процесс разблокировки системы при помощи пароля или USB-ключа.
Важно: TPM может быть использован только на физических серверах. Виртуальные серверы не способны использовать TPM. Если Вы зашифровали системный том гостевой операционной системы, то в обязательном порядке используйте пароль или USB-ключ для загрузки гостевой операционной системы.

Настройка среды

Приведенные ниже шаги предполагают, что на сервере Exchange установлена ОС Windows Server 2012 R2 или более поздняя.

Важно: При включении BitLocker на существующих серверах Exchange важно перевести серверы в режим обслуживания во избежание влияния процесса шифрования на конечных пользователей.

1. Создайте организационное подразделение (OU), содержащее серверы Exchange, если таковое не существует.
Запустите PowerShell с соответствующими разрешениями Active Directory.

2. Создайте объект групповой политики и свяжите его с OU, содержащим Exchange серверы.

  • Запустите PowerShell с правами локального администратора.
  • Выполните Install-WindowsFeature BitLocker -Restart.
  • Перезагрузите сервер.
  • Обратитесь к производителю BIOS оборудования для получения подробной информации о том, как включить/активировать модуль TPM.
  • Проверьте состояние TPM с помощью Trusted Platform Module Management tool (tpm.msc).
  • Откройте консоль Exchange с учетной записью, имеющей необходимые разрешения в Active Directory для применения записей управления доступом.
  • Выполните:


В правой панели дважды щелкните Require additional authentication at startup. Выберите опцию Enabled. Если вы хотите отключить или изменить любой из методов аутентификации, сделайте это, и нажмите кнопку ОК.






В правой панели дважды щелкните Turn on TPM backup to Active Directory Domain Services. Выберите Enabled. Нажмите OK.


Примечание: поврежденные сектора диска могут привести к сбоям шифрования томов при помощи BitLocker. Для получения более подробной информации, пожалуйста, см.Event ID 24588 .

Сценарий шифрования томов данных Exchange

В ситуации, когда TPM не может быть использован (например, сервер не имеет TPM, или виртуализирован), шифрование системного тома ОС требует использования пароля или ключа USB, чтобы позволить операционной системе корректно загрузиться. Так как это может негативно повлиять на службы Exchange, вы можете отказаться от шифрования системного тома ОС. Вместо этого, вы можете зашифровать тома данных. Поскольку системный том ОС не зашифрован, то ОС не может автоматически разблокировать зашифрованные тома при загрузке. Таким образом, одно из двух условий должно выполняться:
1. Администратор вручную вводит ключ восстановления и разблокирует каждый диск после загрузки ОС.
2. Выполняется запланированная задача для разблокировки зашифрованных томов во время загрузки ОС.

  • Создайте организационное подразделение (OU), содержащее серверы Exchange, если таковое не существует.
  • Создайте объект групповой политики и свяжите его с OU, содержащим сервера Exchange.
  • Создайте учетную запись BitLocker службы для запланированной задачи (_bitlockersvc).
  • Создайте группу безопасности для управления BitLocker, поместив группу безопасности в защищенный контейнер.
  • Установите модуль BitLocker на серверах Exchange
  • Перезагрузите сервер.
  • Добавьте группу безопасности BitLocker в группу локальных администраторов на всех серверах Exchange
  • Предоставьте группе безопасности BitLocker доступ к объекту AD msFVE-RecoveryPassword. Это позволяет учетным записям получить доступ к паролю восстановления.
  • Настройте параметры шифрования BitLocker в GPO.
  • Убедитесь, что групповая политика применяется к серверам Exchange.
  • Включите шифрование томов данных (C:\ExchangeVolumes\ExVol1 определяет точку монтирования для тома данных Exchange, замените при необходимости).
    Выполните следующие действия для каждого тома базы данных Exchange: Manage-bde -on «C:\ExchangeVolumes\ExVol1» -rp -usedspaceonly
  • Убедитесь, что ключи восстановления хранятся в Active Directory.
    a. Скачайте BitLocker Drive Encryption Configuration Guide: Backing Up BitLocker and TPM Recovery Information to Active Directory
    b. Выполните Get-BitLockerRecoveryInfo.vbs
    c. Если скрипт не возвращает никаких данных, выполните резервное копирование ключей восстановления путем загрузки и выполнения BDEAdBackup.vbs.
  • Создайте сценарий, который разблокирует тома данных при загрузке ОС.
    Сохраните файл ниже в каталоге сценариев (например, c:\bitlocker).

Изменения в системе

  • Перемещение диска, зашифрованного при помощи BitLocker, в новый компьютер.
  • Установка новой материнской платы с новым модулем TPM.
  • Выключение, отключение или очистка TPM.
  • Изменение каких-либо настроек конфигурации загрузки.
  • Изменение BIOS, прошивки UEFI, основной загрузочной записи, загрузочного сектора, менеджера загрузки, дополнительного ПЗУ или других компонентов в начале загрузки или данных конфигурации загрузки.
  • Применение обновлений прошивки BIOS/UEFI.

Работы по техническому обслуживанию дисков

Во время жизненного цикла сервера диски выходят из строя. В рамках ваших стандартных операционных процедур вы должны убедиться, что, когда диск заменяется новым, происходит форматирование тома и шифрование с помощью BitLocker.

В случае, если вы используете AutoReseed для восстановления сбойных дисков, у вас есть два варианта: форматирование и шифрование дисков перед использованием или шифрование после сбоя.

Форматирование и шифрование дисков перед использованием

В этом случае ваша стандартная процедура должна будет препятствовать форматированию резервных дисков через Disk Reclaimer. Вместо этого, вы форматируете и шифруете все резервные диски перед использованием.
1. Отключить Disk Reclaimer на DAG: Set-DatabaseAvailabilityGroup -AutoDagDiskReclaimerEnabled $false
2. Отформатируйте и зашифруйте все резервные диски. Не следует назначать точки монтирования или буквы дисков.
3. Как только диски отказывают, AutoReseed будет назначать резервные диски, заменяя неисправные тома, и повторно заполнять поврежденные копии баз данных.
4. Запланируйте время обслуживания. Замените неисправные диски. Отформатируйте и зашифруйте новые.

Шифрование после сбоя

В этом случае, ваша стандартная процедура будет позволять Disk Reclaimer отформатировать резервные диски (поведение по умолчанию). После того, как резервный диск будет отформатирован и базы данных заполнены, вы шифруете диск.

1. В случае отказа дисков, AutoReseed выделяет, перераспределяет и форматирует запасной диск.
2. AutoReseed инициирует операцию повторного заполнения.
3. Используя SCOM, или другой инструмент управления, вы отслеживаете события 1127 (инициирует операцию повторного заполнения базы данных) и 826 (завершение процесса повторного заполнения базы данных), которые находятся в Microsoft-Exchange-HighAvailability/Seeding канале.
4. Запланируйте техническое обслуживание для пострадавшего сервера и зашифруйте новый том.

Надеюсь, эта информация поможет лучше понять шифрование и настройки BitLocker на серверах Exchange. Как указано, рекомендуемый подход заключается в использовании TPM для хранения информации восстановления, что позволяет операционной системе разблокировать тома данных автоматически во время загрузки. Однако, если ваши серверы не имеют доступа к TPM, вы можете использовать шифрование только томов данных и разработать механизм разблокировки томов на этапе загрузки ОС.
Будем рады ответить на любые Ваши вопросы.

Читайте, как защитить жесткий или внешний диск от доступа к нему посторонних зашифровав его . Как настроить и использовать встроенную функцию Windows – BitLocker шифрование. Операционная система позволяет шифровать локальные диски и съемные устройства с помощью встроенной программы-шифровальщика BitLocker . Когда команда TrueCrypt неожиданно закрыла проект, они рекомендовали своим пользователям перейти на BitLocker.

Как включить Bitlocker

Для работы BitLocker для шифрования дисков и BitLocker To Go требуется профессиональная, корпоративная версия Windows 8, 8.1 или 10, или же Максимальная версия Windows 7. Но “ядро” ОС Windows версии 8.1 включает в себя функцию “Device Encryption” для доступа к зашифрованным устройствам.

Для включения BitLocker откройте Панель управления и перейдите в Систему и безопасность – Шифрование диска с помощью BitLocker. Вы также можете открыть Проводник Windows, кликнуть правой кнопкой на диске и выбрать Включить BitLocker. Если такой опции нет в меню, значит у вас не поддерживаемая версия Windows.

Кликните на опцию Включить BitLocker на против системного диска, любого логического раздела или съемного устройства для включение шифрования. Динамические диски не могут быть зашифрованы с помощью BitLocker.

Доступно два типа шифрования BitLocker для включения:

  • Для логического раздела . Позволяет шифровать любые встроенные диски, как системные, так и нет. При включении компьютера, загрузчик запускает Windows, из раздела System Reserved, и предлагает метод разблокировки – например, пароль. После этого BitLocker расшифрует диск и запустит Windows. Процесс шифрования / дешифрования будет проходить на лету, и вы будете работать с системой точно также, как до включения шифрования. Также можно зашифровать другие диски в компьютере, а не только диск операционной системы. Пароль для доступа необходимо будет ввести при первом обращении к такому диску.
  • Для внешних устройств : Внешние накопители, такие как USB флэш-накопители и внешние жесткие диски, могут быть зашифрованы с помощью BitLocker To Go. Вам будет предложено ввести пароль для разблокировки при подключении накопителя к компьютеру. Пользователи, у которых не будет пароля не смогут получить доступ к файлам на диске.

Использование BitLocker без TPM

«Это устройство не может использовать доверенный платформенный модуль (TPM). Администратор должен задать параметр – Разрешить использовать BitLocker без совместимого TPM» в политике – Обязательная дополнительная проверка подлинности при запуске для томов ОС.

Шифрование диска с Bitlocker по умолчанию требует наличие модуля TPM на компьютере для безопасности диска с операционной системой. Это микрочип, встроенный в материнскую плату компьютера. BitLocker может сохранять зашифрованный ключ в TPM, так как это гораздо надежнее чем хранить его на жестком диске компьютера. TPM чип предоставит ключ шифрования только после проверки состояния компьютера. Злоумышленник не может просто украсть жесткий диск вашего компьютера или создать образ зашифрованного диска и затем расшифровать его на другом компьютере.

Для включения шифрования диска без наличия модуля TPM необходимо обладать правами администратора. Вы должны открыть редактор Локальной группы политики безопасности и изменить необходимый параметр.

Нажмите клавишу Windows + R для запуска команды выполнить, введите gpedit.msc и нажмите Enter. Перейдите в Политика «Локальный компьютер» – «Конфигурация компьютера» – «Административные шаблоны» – «Компоненты Windows» – «Шифрование диска BitLocker» – «Диски операционной системы». Дважды кликните на параметре «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске». Измените значение на включено и проверьте наличие галочки на параметре «Разрешить использование BitLocker без совместимого TPM», затем нажмите Ок для сохранения.

Выберите метод разблокировки

Далее необходимо указать способ разблокировки диска при запуске. Вы можете выбрать различные пути для разблокировки диска. Если ваш компьютер не имеет TPM, вы можете разблокировать диск с помощью ввода пароля или вставляя специальную USB флешку, которая работает как ключ.

Если компьютер оснащен TPM, вам будут доступны дополнительные опции. На пример вы можете настроить автоматическую разблокировку при загрузке. Компьютер будет обращаться за паролем к TPM модулю и автоматически расшифрует диск. Для повышения уровня безопасности Вы можете настроить использование Пин кода при загрузке. Пин код будет использоваться для надежного шифрования ключа для открытия диска, который храниться в TPM.

Выберите ваш предпочитаемый способ разблокировки и следуйте инструкции для дальнейшей настройки.

Сохраните ключ восстановления в надежное место

Перед шифрованием диска BitLocker предоставит вам ключ восстановления. Этот ключ разблокирует зашифрованный диск в случае утери вашего пароля. На пример вы потеряете пароль или USB флешку, используемую в качестве ключа, или TPM модуль перестанет функционировать и т.д.

Расшифровка и разблокировка диска

После включения BitLocker будет автоматически шифровать новые файлы по мере их добавления или изменения, но вы можете выбрать как поступить с файлами, которые уже присутствуют на вашем диске. Вы можете зашифровать только занятое сейчас место или весь диск целиком. Шифрование всего диска проходит дольше, но оградит от возможности восстановления содержимого удаленных файлов. Если вы настраиваете BitLocker на новом компьютере, шифруйте только использованное место на диске – так быстрее. Если вы настраиваете BitLocker на компьютере, который использовали до этого, вы должны использовать шифрование всего диска целиком.

Вам будет предложено запустить проверку системы BitLocker и перезагрузить компьютер. После первой загрузки компьютера в первый раз диск будет зашифрован. В системном трее будет доступна иконка BitLocker, кликните по ней что бы увидеть прогресс. Вы можете использовать компьютер пока шифруется диск, но процесс будет идти медленнее.

После перезагрузки компьютера, вы увидите строку для ввода пароля BitLocker, ПИН кода или предложение вставить USB ключ.

Нажмите Escape если вы не можете выполнить разблокировку. Вам будет предложено ввести ключ восстановления.

Если вы выбрали шифрование съемного устройства с BitLocker To Go, вы увидите похожий мастер, но ваш диск будет зашифрован без требования перезагрузки системы. Не отсоединяйте съемное устройство во время процесса шифрования.

Когда вы подсоедините зашифрованную флешку или внешний диск к компьютеру, необходимо будет ввести пароль для его разблокировки. Защищенные BitLocker диски имеют специальную иконку в Windows проводнике.

Вы можете управлять защищенными дисками в окне контрольной панели BitLocker – изменить пароль, выключить BitLocker, сделать резервную копию ключа восстановления и другие действия. Нажмите правой кнопкой мышки на зашифрованном диске и выберите Включить BitLocker для перехода в панель управления.

Как и любое шифрование BitLocker дополнительно нагружает системные ресурсы. Официальная справка Microsoft по BitLocker говорит следующее «Как правило дополнительная нагрузка составляет менее 10%» . Если вы работаете с важными документами и шифрование вам необходимо – это будет разумный компромисс с производительностью.

Читайте также: