Как включить шифрование диска bitlocker в системе windows

Как восстановить данные, зашифрованные BitLocker, если токен потеряли?

Если вы хотите открыть зашифрованные данные в Windows

Для этого понадобится ключ восстановления, который мы распечатали ранее. Просто вводим его в соответствующее поле и зашифрованный раздел откроется.

Если вы хотите открыть зашифрованные данные в системах GNU/Linux и Mac OS X

Для этого необходима утилита DisLocker и ключ восстановления.

Утилита DisLocker работает в двух режимах:

  • FILE — весь раздел, зашифрованный BitLocker, расшифровывается в файл.
  • FUSE — расшифровывается только тот блок, к которому обращается система.

Для примера мы будем использовать операционную систему Linux и режим утилиты FUSE.

В последних версиях распространенных дистрибутивов Linux, пакет dislocker уже входит в состав дистрибутива, например, в Ubuntu, начиная с версии 16.10.

Если пакета dislocker по каким-то причинам не оказалось, тогда нужно скачать утилиту DisLocker и скомпилировать ее:

Откроем файл INSTALL.TXT и проверим, какие пакеты нам необходимо доустановить.

В нашем случае необходимо доустановим пакет libfuse-dev:

Приступим к сборке пакета. Перейдем в папку src и воспользуемся командами make и make install:

Когда все скомпилировалось (или вы установили пакет) приступим к настройке.

Перейдем в папку mnt и создадим в ней две папки:

  • Encrypted-partition— для зашифрованного раздела;
  • Decrypted-partition — для расшифрованного раздела.

Найдем зашифрованный раздел. Расшифруем его с помощью утилиты и переместим его в папку Encrypted-partition:

Выведем на экран список файлов, находящихся в папке Encrypted-partition:

Введем команду для монтирования раздела:

Для просмотра расшифрованного раздела перейдем в папку Encrypted-partition.

TrueCrypt – популярный софт для старых версий Windows

TrueCrypt — это одна из самых именитых утилит для шифрования данных пользователей на ПК в прошлом. Благодаря создателям этого софта появился закрытый аналог (BitLocker) и API для шифрования файлов гибернации/подкачки в ОС Windows. Сейчас это программное обеспечение считается устаревшим. Проект официально закрыт в 2014 году (и до сих пор не ясно, по каким причинам это произошло), но TrueCrypt по-прежнему можно скачать с официального сайта и установить на ПК.

Утилита кроссплатформенная, поддерживаются все популярные операционные системы, включая Linux. Примечательно, что TrueCrypt стабильно работает на устаревших ОС, таких как Windows XP и Vista, вне зависимости от их редакции и разрядности.

Плюсы:

  • Удобный графический интерфейс и наличие перевода на русский язык (устанавливается отдельно).
  • Надёжное шифрование (исходный код и архитектура программы были проверены независимыми аудиторами).
  • Поддерживаются разные платформы, код открыт.
  • Программа интегрируется с проводником/файловым менеджером.
  • Умеет работать с шифрованием системных разделов и виртуальных томов.
  • Изолированный шифрованный контейнер наиболее прост в использовании (можно копировать на съёмные носители, загружать на удалённый сервер и т.п.).
  • Виртуальные тома могут иметь вложенную структуру (для организации правдоподобного отрицания наличия шифрованных данных, даже при открытии контейнера под давлением, внутри будет оставаться ещё одна защищённая область).
  • Есть возможность двухфакторной авторизации (пароль может быть усилен ключевыми файлами, которые можно хранить вне файловой системы ПК).
  • Шифрование контейнеров и томов осуществляется на лету.

Минусы:

  • Программа давно не обновлялась (с 2014 года).
  • TrueCrypt не умеет работать с современными GPT-дисками (только MBR, это касается шифрования системных разделов).
  • Русский язык интерфейса необходимо скачивать и устанавливать отдельно.
  • Спустя год после отказа разработчиков от дальнейшей поддержки своего продукта выявилось несколько критических багов для Windows-версии TrueCrypt (в форках проблемы были устранены, а в исходной программе – нет).
  • Для загрузки в облако нужны сторонние сервисы или своё собственное хранилище (файлы будут очень большими, так как загружаться будет всё хранилище целиком).

Стоимость

TrueCrypt распространяется бесплатно.

Как правильно хранить пароли?

Я скептически отношусь к различным программам для хранения паролей, которые автоматически подставляют нужные данные в поле ввода в браузере, почтовом клиенте, банковской программе и т. д. Мол, вам главное помнить только пароль от программы, а остальные пароли запомнит она. Причин несколько:

  • Возможен взлом самой программы.
  • Сегодня программа есть – а завтра ее закрыли. А вам предстоит увлекательный квест по переносу паролей в новую программу.
  • Программа была установлена на устаревшей ОС на старом «железе», сгорела материнская плата, и ваша операционная система не загружается на другом компьютере. И вы ищете такое же «железо» или пытаетесь вытащить пароли через техподдержку программы (если она, конечно, есть, и пароли синхронизируются куда-то кроме вашего компьютера – что, кстати, является потенциальной дополнительной уязвимостью).

Простой способ хранить сложные пароли

При этом абсолютно любые пароли можно хранить хоть в текстовом файле «пароли.txt» на рабочем столе, при одном условии. Вот оно:

Например, ваш список паролей может выглядеть так:

  1. 5g~|r57C%llRWL0
  2. w8T?hl$oPf69l*@
  3. qo9n76R2Xlk89g%
  4. INV8K3mbPQrONQv
  5. p~Uw~EpU5H05PQo

Но он будет бесполезен, если не знать, как ими пользоваться. В примере выше – 5 паролей. И только вы знаете, что первый пароль рабочий, если удалить первый символ, второй – если удалить второй. Таких вариантов, к которым практически невозможно подобрать закономерность, много:

  • В любом пароле нужно удалить 2-ю заглавную букву.
  • Два первых (или последних) символа – лишние. Или второй и четвертый.
  • Пароль правильный, если к нему дописать gfhjkmxbr («парольчик» в английской раскладке).
  • Пароль нужно скопировать 2 раза и удалить 2 последних символа (какой по вашему шанс подобрать методом перебора 28-символьный пароль?).
  • Ваш вариант.

Теоретически, даже такой пароль подобрать можно. Практически – вы думаете, кому-то это нужно? Кроме этого, если пароль от онлайн-сервиса, то методом перебора его подобрать не получится, по следующим причинам:

  1. Все больше сервисов уходят к двухфакторной авторизации (пароль + смс), в платежных системах это уже фактически стало стандартом.
  2. Не только вы знаете, что пароль можно попытаться подобрать методом перебора вариантов. Чаще всего в онлайн-сервисах после 3-5 попыток нужно подождать от 3 минут до получаса.

Зашифрованный архив

Хотя такой способ хранения паролей относительно безопасен, можно дополнительно обезопасить и его. Для этого достаточно сам файл переименовать во что-то достаточно нудное и ненужное широким массам, вроде «Основы эхолокации дельфинов (список литературы) – дипл. заочн. обр. Иванов.txt» и добавить это в архив, зашифрованный паролем.

В принципе, небольшой объем информации можно шифровать просто бесплатным архиватором 7-zip, который поддерживает шифрование алгоритмом AES-256 для форматов 7z и ZIP. Этот вариант подойдет, например, для съемных носителей, которые по тем или иным причинам нельзя шифровать другими вариантами (нужно что-то скидывать на компьютеры без спецсофта).

Система администрирования и мониторинга Microsoft BitLocker

MBAM в составе пакета Microsoft Desktop Optimization Pack упрощает поддержку BitLocker и BitLocker To Go и управление этими технологиями. MBAM 2.5 с пакетом обновления 1 (последняя версия) имеет следующие ключевые функции:

  • позволяет администраторам автоматизировать процедуру шифрования томов на клиентских компьютерах в организации;
  • позволяет специалистам по безопасности быстро определять состояние соответствия требованиям отдельных компьютеров или всей организации;
  • Обеспечивает централизованное управление отчетами и оборудованием с помощью Microsoft Microsoft Endpoint Configuration Manager.
  • снижает нагрузку на службу технической поддержки, обрабатывающую запросы на восстановление BitLocker от конечных пользователей;
  • позволяет конечным пользователям восстанавливать зашифрованные устройства независимо, используя портал самообслуживания;
  • позволяет специалистам по безопасности легко контролировать доступ к информации о ключах восстановления;
  • позволяет пользователям Windows Корпоративная продолжать работать в любом месте, не беспокоясь о защите данных организации;
  • применяет параметры политики шифрования с помощью BitLocker, настроенные для вашей организации;
  • Интегрируется с существующими средствами управления, такими как Microsoft Endpoint Configuration Manager.
  • позволяет пользователям выполнять восстановление, пользуясь заданными ИТ-специалистами настройками;
  • Поддерживает Windows 11 и Windows 10.

Как поставить пароль на флешку в BitLocker

В процессе создания зашифрованной флешки в BitLocker, необходимо выполнить следующие шаги:

Сначала необходимо вставить в USB порт компьютера переносной флеш накопитель, с данными требующими защиты от посторонних лиц.

Запустите средство BitLocker из контекстного меню. В окне Проводника кликните правой кнопкой мыши по значку флешки, в открывшемся меню выберите «Включить BitLocker».

Во время запуска приложения выполняется инициализация диска (флешки).

Не вытаскивайте флешку из разъема на компьютере во время установки BitLocker.

В следующем окне выберите способы для разблокировки диска. В BitLocker предлагается два способа для получения доступа к данным на зашифрованной флешке:

  • Использовать пароль для снятия блокировки диска.
  • Использовать смарт-карту для снятия блокировки с диска.

В первом случае, необходимо создать пароль для снятия блокировки с флешки (пароль должен состоять из прописных и строчных букв, цифр, пробелов и символов). Второй вариант предусматривает использование дополнительного устройства: смарт-карты с ПИН-кодом. В большинстве случаев, предпочтительнее выбрать первый вариант.

Поставьте галку напротив пункта «Использовать пароль для снятия блокировки диска», введите пароль, подтвердите пароль, а затем нажмите на кнопку «Далее».

Пароль должен иметь минимальную длину не менее 8 символов.

Далее нужно выбрать способ для архивирования ключа восстановления. Ключ восстановления пригодится в случае, если вы забудете свой пароль или потеряете смарт-карту. С помощью ключа восстановления вы сможете разблокировать флешку.

Выберите один из трех возможных вариантов:

  • Сохранить в вашу учетную запись — ключ восстановления будет сохранен в учетной записи.
  • Сохранить в файл — ключ восстановления будет сохранен в текстовом файле на компьютере.
  • Напечатать ключ восстановления — ключ восстановления будет напечатан на бумаге.

После сохранения ключа восстановления, перейдите к следующему этапу.

В открывшемся окне следует выбрать, какую часть диска требуется зашифровать:

  • Шифровать только занятое место на диске.
  • Шифровать весь диск.

В первом случае, будет зашифрована только та часть флешки, которая содержит данные. Новые данные, добавленные на флешку, будут зашифрованы автоматически. При этом способе процесс шифрования проходит быстрее.

При шифровании всего диска, кроме занятого места, будет зашифровано неиспользуемое пространство флешки. Это более надежный способ защиты флешки, так как он делает невозможным восстановление ранее удаленных файлов на USB накопителе, с помощью специализированных программ, например, Recuva. При выборе данного варианта, процесс шифрования займет больше времени.

Выберите подходящий способ, нажмите на кнопку «Далее».

Если вы ставите пароль на флешку в операционной системе Windows 10, вам предложат выбрать режим шифрования:

  • Новый режим шифрования — шифрование несъемных дисков в новом режиме, начиная с обновления Windows 10 версии 1511.
  • Режим совместимости — оптимальный режим для съемных носителей, используемый в разных версиях Windows.

Выберите «Режим совместимости», а затем перейдите к следующему этапу.

В новом окне нажмите на кнопку «Начать шифрование».

Процесс шифрования занимает довольно длительное время, продолжительность шифрования зависит от размера флешки, или от размера шифруемых файлов на флешке (при выборе соответствующей опции).

Во избежание повреждения файлов на флешке, не удаляйте съемный накопитель с компьютера во время процесса шифрования.

После завершения шифрования, на компьютере появится запароленная флешка.

Шифрование устройств BitLocker

Начиная с Windows 8.1, Windows автоматически включает шифрование устройств BitLocker на устройствах, поддерживаюх современное режим ожидания. С Windows 11 и Windows 10 microsoft предлагает поддержку шифрования устройств BitLocker на гораздо более широком диапазоне устройств, в том числе современных standby, и устройствах, Windows 10 Домашняя выпуска или Windows 11.

Корпорация Майкрософт ожидает, что большинство устройств в будущем будут проходить тестирование, что делает шифрование устройств BitLocker широко распространенным на современных Windows устройствах. Шифрование устройств BitLocker дополнительно защищает систему, прозрачно реализуя шифрование данных на всей устройстве.

В отличие от стандартной реализации BitLocker шифрование устройств BitLocker включено автоматически, чтобы устройство всегда было защищено. В следующем списке изложено, как это происходит.

  • После завершения чистой установки Windows 11 или Windows 10 и завершения работы с выходом из окна компьютер готовится к первому использованию. В рамках этой подготовки шифрование устройств BitLocker инициализировано на диске операционной системы и фиксированных дисках данных на компьютере с четким ключом (это эквивалент стандартного приостановленного состояния BitLocker). В этом состоянии диск отображается с значоком предупреждения в Windows Explorer. Желтый значок предупреждения удаляется после создания протектора TPM и восстановления, как поясняется в следующих точках пули.
  • Если устройство не подсоединено к домену, требуется использовать учетную запись Майкрософт, которой были предоставлены права администратора на устройстве. Когда администратор использует учетную запись Майкрософт для входа, незащищенный ключ удаляется, а ключ восстановления отправляется в учетную запись Майкрософт в Интернете, создается механизм защиты TPM. Если устройству требуется ключ восстановления, пользователю порекомендуют использовать другое устройство и перейти по URL-адресу доступа к ключу восстановления, чтобы извлечь его с использованием учетных данных своей учетной записи Майкрософт.
  • Если пользователь использует для входа учетную запись домена, незащищенный ключ не удаляется до тех пор, пока пользователь не подсоединит устройство к домену и не выполнит успешное резервное копирование ключа восстановления в доменные службы Active Directory (AD DS). Необходимо включить параметр групповой политики Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Диски операционной системы и выбрать вариант Не включать BitLocker до сохранения данных восстановления в AD DS для дисков операционной системы. При такой конфигурации пароль восстановления создается автоматически, когда компьютер подключается к домену, а в AD DS создается резервная копия ключа восстановления. Затем создается механизм защиты TPM, незащищенный ключ удаляется.
  • Аналогично входу по учетной записи домена незащищенный ключ удаляется, когда пользователь входит на устройство с использованием учетной записи Azure AD. Как описано в пункте выше, пароль восстановления создается автоматически, когда пользователь проходит проверку подлинности в Azure AD. Затем выполняется резервное копирование ключа восстановления в Azure AD, создается механизм защиты TPM, незащищенный ключ удаляется.

Корпорация Майкрософт рекомендует включить шифрование устройств BitLocker в любых поддерживаемых системах, но процесс автоматического шифрования устройств BitLocker можно предотвратить, изменив следующий параметр реестра:

  • Подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
  • Значение: PreventDeviceEncryption равно True (1)
  • Тип: REG_DWORD

Администраторы могут управлять устройствами с поддержкой домена, на которые включено шифрование устройств BitLocker с помощью администрирования и мониторинга Microsoft BitLocker (MBAM). В этом случае шифрование устройств BitLocker автоматически делает доступными дополнительные параметры BitLocker. Преобразование или шифрование не требуется, и если нужно внести какие-либо изменения в конфигурацию, MBAM может осуществлять управление всем набором политик BitLocker.

Примечание

Шифрование устройств BitLocker использует 128-битный метод шифрования XTS-AES. Если требуется использовать другой метод шифрования и/или силу шифра, сначала необходимо настроить и расшифровать устройство (если уже зашифровано). После этого можно применить различные параметры BitLocker.

Шифрование внешнего носителя информации при помощи TrueCrypt / VeraCrypt.

Сама процедура не сильно отличается от создания криптоконтейнера, и некоторые моменты, как, например, создание файла-ключа, мы второй раз описывать не станем. Прошлая часть сопровождалась скриншотами VeraCrypt, запущенного на Windows, а здесь мы будем использовать VeraCrypt, запущенный на macOS.

Предложенная ниже инструкция подойдет для шифрования любого внешнего носителя: от USB-флешки до внешнего жесткого диска в несколько ТБ.

Запустите TrueCrypt / VeraCrypt и нажмите Create Volume — это кнопка для создания зашифрованного пространства, и любое шифрование мы будем начинать с нее.

Затем выберите второй пункт -Create a volume within a partition/drive. Первый же пункт, который был выбран по умолчанию, предлагает нам создать просто файловый контейнер выбранного размера.

Программа предложит выбрать тип зашифрованного контейнера. Их два — стандартный и скрытый. Пока мы выбираем пункт Standard VeraCrypt volume, использование скрытого контейнера будет описано в одной из следующих частей.

Следующим шагом выберите внешний носитель, который необходимо зашифровать. Нажмите Select Device.

Выберите нужный диск

Обратите внимание, что при шифровании диск форматируется, и все файлы с него будут удалены (программа будет вас пугать предупреждениями об этом)

Далее указываете алгоритм шифрования. Помните, что алгоритм шифрования влияет на скорость работы с файлами, и если вы планируете шифровать носитель более 16 ГБ, я рекомендую использовать AES. Для девайсов менее 16 ГБ можно использовать AES-Twofish-Serpent.

Далее придумываем надежный пароль, а кроме того, для большей безопасности добавляем файл-ключ. Об этом мы подробно говорили при создании криптоконтейнера, повторно описывать процесс добавления файла-ключа не будем.

Теперь система спросит у вас, будете ли вы хранить файлы размером более 4 ГБ. Второй вариант I will store files larger than 4GB on the volume означает, что вы будете хранить такие файлы.

Далее выбираем файловую систему: для macOS это Mac OS Extended. Для Windows это NTFS.

Следующий шаг актуален только для пользователей macOS. Система уточнит, планируете ли вы использовать данный внешний носитель на других операционных системах. I will mount the volume on other platformsозначает, что вы планируете использовать зашифрованный жесткий диск и на других операционных системах (а не только на macOS). Я использую данный внешний носитель только на macOS и потому выбираю I will mount the volume only on macOS.

Теперь требуется поводить мышкой по экрану, чтобы VeraCrypt сгенерировала надежный ключ (этого шага нет в TrueCrypt).

Теперь вам остается только выбрать Format и дождаться окончания шифрования внешнего носителя

Обращаю ваше внимание, что время шифрования внешнего носителя зависит от его размера и может быть достаточно продолжительным

Если вы выполняете описанные выше действия в Windows или Linux, либо используете TrueCrypt, информация может незначительно отличаться, но никаких проблем у вас возникнуть не должно. Теперь давайте рассмотрим, как смонтировать зашифрованный внешний носитель информации.

iOS: беспокоиться не о чем

Что касается девайсов iOS 8, как только вы устанавливаете код доступа, ваши личные данные шифруются. В технической документации о безопасности Apple (PDF) для iOS 8.3 и более поздних говорится, что «информация из основных приложений вроде сообщений, почты, календаря, контактов, фотографий, здоровья находится под защитой по умолчанию. Остальные приложения, установленные на iOS 7 или поздних версиях, получают такую защиту автоматически».

Компания также утверждает, что любой современный яблочный девайс включает в себя «надёжный алгоритм AES 256, встроенный в DMA, устройство доступа к общей памяти системы и памяти флэш-накопителей». Благодаря ему шифрование практически не влияет на скорость системы.

Зашифровать жесткий диск или один из его разделов без программ и особых усилий

Сегодня рассмотрим вопрос, как можно зашифровать жёсткий диск или его отдельные разделы, не применяя сложные программы и особые усилия.

Ну, вопрос о том, зачем шифровать жёсткий диск (винчестер) – риторический.

Цели для шифрования могут немного разниться у пользователей, но, в общем, все стремятся запретить доступ к разделу или ко всему винчестеру, посторонних людей.

Оно и понятно в наше время разгула кибер преступности, да и вообще мелких компьютерных пакостников, можно потерять важные личные файлы.

Так, что давайте рассмотрим самый несложный способ, как можно зашифровать жёсткий диск или один из его разделов.

Способ, которым будем пользоваться:

Bitlocker шифрование (встроено в Windows 7 Максимальная и Корпоративная)

И так, приступим. Данный способ «кодирования» винчестера встроен в Windows и имеет название Bitlocker. Плюсы этого способа:

  • Не нужно никаких сторонних программ, всё, что нам нужно уже есть в операционной системе (ОС)
  • Если винчестер был похищен, то подключив его к другому компьютеру, всё равно будет требоваться пароль

Также в конечном этапе при сохранении ключа доступа, один из способов заключается в записи его на флешку, так, что стоит заранее определиться с ней.

Сам этот метод был включён ещё в Windows Vista. В «Семёрке» он имеет усовершенствованную версию.

Многие могли наблюдать при установке ОС Windows, создаётся маленький раздел размером 100 мегабайт перед локальным диском «С», теперь Вы знаете, для чего он нужен.

Да, как раз для шифрования Bitlocker (в Vista он был размером в  1.5 гигабайта).

Чтобы его включить направляемся в «Панель управления» — «Система и безопасность» — «Шифрование диска Bitlocker».

Определяемся с диском для шифрования и выбираем – «Включить Bitlocker».

Для этого в «Пуске»  в строке поиска прописываем «политика», появляются варианты поиска.

Выбираем «Изменение групповой политики»:

Попадаем в редактор, в котором нам нужно проследовать по: Конфигурация компьютера — Административные шаблоны- Компоненты Windows – Шифрование диска Bitlocker – Диски операционной системы. Справа дважды нажимаем на – «Обязательная дополнительная проверка подлинности»:

В появившемся меню выбираем «Включить», плюс нужно поставить птичку на «Разрешить использование Bitlocker без совместимого TPM» — подтверждаем наши настройки – OK.

Также нужно определиться с методом шифрования. Нам нужно поставить максимально сложный метод.

Для этого идём по тому же пути, как в предыдущем абзаце, только останавливаемся на папке «Шифрование диска Bitlocker» справа видим файл – «Выберите метод шифрования диска и стойкость шифра».

Наиболее надёжным здесь является AES с 256-битным шифрованием, выбираем его, наживаем – «Применить» и «ОК».

Всё теперь можно беспрепятственно воспользоваться шифрованием.

Как в начале статьи переходим в «Панель управления» — «Система и безопасность» — «Шифрование диска Bitlocker». Нажимаем «Включить».

Нам будет доступен единственный способ, при котором требуется ключ. Он будет находиться на флешке.

Вставляем флеш накопитель и выбираем «Сохранить». Далее нужно, чтобы подстраховаться — сохранить этот код доступа на ещё одной флешке или распечатать его.

Полученный ключ записан в обычном текстовом файле. Потом будет предложено включить проверку, отмечаем галочкой и «продолжаем».

Делаем перезагрузку. Если всё прошло успешно, то при следующем включении, начнётся процесс шифрования раздела жёсткого диска.

По времени, процесс будет длиться в зависимости от мощности системы – обычно от нескольких минут до нескольких часов (если это несколько сот гигабайт раздел).

По завершении получаем сообщение – Шифрование завершено. Не забываем про ключи доступа, проверяем их.

Мы рассмотрели очень простой способ, как можно зашифровать жёсткий диск без каких-либо сторонних программ и глубоких знаний в области криптографии.

Данный способ очень эффективен и удобен, также с помощью него можно зашифровать флешку, этот вопрос рассмотри в следующей статье.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Радио и техника
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: