Когда TrueCrypt противоречиво закрыл магазин, они рекомендовали своим пользователям перейти от TrueCrypt к использованию BitLocker или Veracrypt. BitLocker существует в Windows достаточно долго, чтобы считаться зрелым, и является продуктом шифрования, который в целом хорошо известен профессионалам безопасности. В этой статье мы поговорим о том, как вы можете настроить ее на своем ПК.
Заметка: Шифрование диска BitLocker и BitLocker To Go требуют Professional или Enterprise Edition для Windows 8 или 10 или Ultimate версии Windows 7. Однако, начиная с Windows 8.1, Windows и Home выпуски Windows включают в себя функцию «Шифрование устройства» ( функция, также включенная в Windows 10), которая работает аналогично. Мы рекомендуем шифрование устройства, если ваш компьютер поддерживает его, пользователей BitLocker for Pro, которые не могут использовать шифрование устройств, и VeraCrypt для людей, использующих домашнюю версию Windows, где шифрование устройств не будет работать.
Шифровать весь диск или создать зашифрованный контейнер?
Многие руководства там говорят о создании контейнера BitLocker, который работает так же, как и зашифрованный контейнер, который вы можете создать с помощью таких продуктов, как TrueCrypt или Veracrypt. Это немного неправильно, но вы можете добиться аналогичного эффекта. BitLocker работает путем шифрования всех дисков. Это может быть ваш системный диск, другой физический диск или виртуальный жесткий диск (VHD), который существует как файл и монтируется в Windows.
Разница в значительной степени семантическая. В других продуктах шифрования вы обычно создаете зашифрованный контейнер, а затем монтируете его как диск в Windows, когда вам нужно его использовать. С BitLocker вы создаете виртуальный жесткий диск, а затем шифруете его. Если вы хотите использовать контейнер, а не, скажем, шифровать существующую систему или накопитель, ознакомьтесь с нашим руководством по созданию зашифрованного файла контейнера с помощью BitLocker.
В этой статье мы сосредоточимся на включении BitLocker для существующего физического диска.
Как зашифровать диск с помощью BitLocker
Чтобы использовать BitLocker для диска, все, что вам действительно нужно сделать, это включить его, выбрать метод разблокировки-пароль, PIN-код и т. Д., А затем задать несколько других параметров. Однако, прежде чем мы узнаем об этом, вы должны знать, что с использованием полного шифрования BitLocker на системный диск обычно требуется компьютер с доверенным платформенным модулем (TPM) на материнской плате вашего ПК. Этот чип генерирует и сохраняет ключи шифрования, которые использует BitLocker. Если на вашем ПК нет TPM, вы можете использовать групповую политику для включения использования BitLocker без TPM. Это немного менее безопасно, но все же более безопасно, чем вообще не использует шифрование.
Вы можете зашифровать несистемный диск или съемный диск без TPM и не включать параметр групповой политики.
В этой заметке вы также должны знать, что есть два типа шифрования диска BitLocker, которые вы можете включить:
- Шифрование диска BitLocker: Иногда упоминается также как BitLocker, это функция полного шифрования диска, которая шифрует весь диск. Когда ваш компьютер загружается, загрузчик Windows загружается из раздела System Reserved, а загрузчик запрашивает ваш метод разблокировки - например, пароль. Затем BitLocker расшифровывает диск и загружает Windows. Шифрование в противном случае прозрачно: ваши файлы выглядят так, как обычно, в незашифрованной системе, но они хранятся на диске в зашифрованном виде. Вы также можете шифровать другие диски, а не только системный диск.
- БитЛокер, чтобы пойти: Вы можете зашифровать внешние диски - например, флэш-накопители USB и внешние жесткие диски - с помощью BitLocker To Go. Вам будет предложено использовать метод разблокировки - например, пароль - при подключении диска к компьютеру. Если у кого-то нет метода разблокировки, они не могут получить доступ к файлам на диске.
В Windows 7-10 вам действительно не нужно беспокоиться о том, чтобы сделать выбор самостоятельно. Windows обрабатывает вещи за кулисами, а интерфейс, который вы будете использовать для включения BitLocker, не выглядит иначе. Если вы закончите разблокировать зашифрованный диск в Windows XP или Vista, вы увидите, что BitLocker подходит к брендингу, поэтому мы решили, что вы должны хотя бы знать об этом.
Итак, с этой стороны, давайте перейдем к тому, как это работает.
Шаг 1. Включите BitLocker для диска.
Самый простой способ включить BitLocker для диска - щелкнуть правой кнопкой мыши диск в окне проводника файлов, а затем выбрать команду «Включить BitLocker». Если вы не видите эту опцию в своем контекстном меню, то у вас, вероятно, нет Pro или Enterprise Edition для Windows, и вам нужно искать другое решение для шифрования.
Шаг второй: выберите способ разблокировки
Первый экран, который вы увидите в «Мастере шифрования диска BitLocker», позволяет вам выбрать способ разблокировки вашего диска. Вы можете выбрать несколько способов разблокировки диска.
Если вы шифруете системный диск на компьютере, которыйне иметь TPM, вы можете разблокировать диск с паролем или USB-накопителем, который функционирует как ключ.Выберите способ разблокировки и следуйте инструкциям для этого метода (введите пароль или подключите USB-накопитель).
Если ваш компьютер делает у вас есть TPM, вы увидите дополнительные опции для разблокировки системного диска. Например, вы можете настроить автоматическую разблокировку при запуске (где ваш компьютер захватывает ключи шифрования от TPM и автоматически расшифровывает диск). Вы также можете использовать ПИН вместо пароля или даже выбирать биометрические параметры, такие как отпечаток пальца.
Если вы шифруете несистемный диск или съемный диск, вы увидите только два варианта (есть ли у вас TPM или нет). Вы можете разблокировать диск с помощью пароля или смарт-карты (или обоих).
Шаг третий: резервное копирование ключа восстановления
BitLocker предоставляет вам ключ восстановления, который вы можете использовать для доступа к зашифрованным файлам, если вы когда-либо потеряете свой основной ключ, например, если вы забыли свой пароль или если компьютер с TPM умирает, и вам нужно получить доступ к диску из другой системы.
Вы можете сохранить ключ в своей учетной записи Microsoft, USB-накопителе, файле или даже распечатать его. Эти параметры одинаковы независимо от того, шифруете ли вы системный или несистемный диск.
Если вы создадите резервную копию ключа восстановления в своей учетной записи Microsoft, вы можете получить доступ к нему позже на странице https://onedrive.live.com/recoverykey. Если вы используете другой метод восстановления, обязательно сохраните этот ключ в безопасности - если кто-то получит к нему доступ, он сможет расшифровать ваш диск и обойти шифрование.
Заметка: Если вы шифруете USB или другой съемный диск, у вас не будет возможности сохранить ваш ключ восстановления на USB-накопитель. Вы можете использовать любой из трех других вариантов.
Шаг четвертый: шифрование и разблокировка диска
BitLocker автоматически шифрует новые файлы по мере их добавления, но вы должны выбрать, что происходит с файлами, находящимися на вашем диске. Вы можете зашифровать весь диск, включая свободное пространство, или просто зашифровать используемые файлы диска, чтобы ускорить процесс. Эти параметры одинаковы независимо от того, шифруете ли вы системный или несистемный диск.
Если вы создаете BitLocker на новом ПК, зашифруйте только используемое дисковое пространство - это намного быстрее. Если вы устанавливаете BitLocker на ПК, который вы использовали некоторое время, вы должны зашифровать весь диск, чтобы никто не мог восстановить удаленные файлы.
Шаг пятый: выберите режим шифрования (только для Windows 10)
Если вы используете Windows 10, вы увидите дополнительный экран, позволяющий выбрать метод шифрования. Если вы используете Windows 7 или 8, перейдите к следующему шагу.
В Windows 10 появился новый метод шифрования XTS-AES. Он обеспечивает улучшенную целостность и производительность по сравнению с AES, используемым в Windows 7 и 8. Если вы знаете, что диск, который вы шифруете, будет использоваться только на ПК с Windows 10, выберите вариант «Новый режим шифрования». Если вы считаете, что вам может понадобиться использовать диск со старой версией Windows в какой-то момент (особенно важно, если это съемный диск), выберите вариант «Совместимый режим».
Шаг шестой: завершение
Процесс шифрования может занять от нескольких секунд до нескольких минут или даже дольше, в зависимости от размера диска, количества данных, которые вы шифруете, и того, хотите ли вы шифровать свободное пространство.
Если вы шифруете системный диск, вам будет предложено запустить проверку системы BitLocker и перезагрузить систему. Убедитесь, что выбран вариант, нажмите кнопку «Продолжить», а затем перезагрузите компьютер, когда его спросят. После того, как компьютер загружается в первый раз, Windows шифрует диск.
Независимо от типа диска, который вы шифруете, вы можете проверить значок шифрования диска BitLocker на панели задач, чтобы увидеть его прогресс, и вы можете продолжать использовать свой компьютер во время шифрования дисков - он будет работать медленнее.
Разблокировка вашего диска
Если ваш системный диск зашифрован, его разблокировка зависит от выбранного вами метода (и есть ли у вашего ПК TPM). Если у вас есть TPM и вы решили автоматически разблокировать диск, вы не заметите ничего другого - вы просто загрузитесь прямо в Windows, как всегда. Если вы выбрали другой метод разблокировки, Windows предложит разблокировать диск (набрав пароль, подключив USB-накопитель или что-то еще).
Если вы зашифровали несистемный или съемный диск, Windows предложит разблокировать диск при первом доступе к нему после запуска Windows (или когда вы подключаете его к компьютеру, если это съемный диск). Введите свой пароль или вставьте смарт-карту, и диск должен разблокироваться, чтобы вы могли его использовать.
Как и все шифрование, BitLocker добавляет некоторые накладные расходы. Официальный вопрос о BitLocker от Microsoft гласит, что «Как правило, он накладывает однозначные процентные накладные расходы». Если шифрование важно для вас, потому что у вас есть конфиденциальные данные, например, ноутбук, полный бизнес-документов, - повышенная безопасность стоит того, -off.
