Восстановление bitlocker: известные проблемы

Инструкция где скачать, как настроить и как отключить BitLocker

Вы задумывались над вопросом: как защитить информацию, находящуюся на HDD? Оказывается, для этого не обязательно устанавливать дополнительный софт. Поможет специальная служба BitLocker, встроенная в Windows 7 и выше. Рассмотрим подробнее как это работает.

Особенности

Можно зашифровать любой HDD (кроме сетевого), информацию с SD-карты, флешки. Ключ восстановления шифра сохраняется на ПК, сменном носителе или чипе TPM. Процесс шифрования занимает продолжительное время. Зависит от мощности ПК и объема информации на HDD. При шифровании система сможет работать с меньшей производительностью.

В современных ОС эта технологи поддерживается. Поэтому BitLocker скачать для Windows 7 и более поздних версий не понадобятся. Она доступна совершенно бесплатно.

Шифрование диска Windows 10 если на плате установлен модуль TPM

1. Открываем «Мой компьютер», выбираем HDD, который будем шифровать. Далее, как на скриншоте;
2. Пропишите надежный пароль.

   При включении ПК ОС спросит его для расшифровки информации;

3. Определитесь со способом сохранения резервной копии: учетная записи Microsoft, распечатать, скопировать на флешку;
4. Определитесь что шифровать: весь HDD, свободное место.

   Рекомендую выбирать весь диск;

5. После завершения работы перезагрузите ПК, пропишите пароль.

Если появится сообщение про ошибку, где говорится о разрешении запуска службы без TPM, значит на плате его нет. Рассмотрим, что предпринять.

BitLocker Windows 7 как включить

Многие пользователи спросят: как BitLocker скачать для Windows 7? Оказывается, ничего загружать не нужно. Так же как и для Windows десятой серии. Служба активируется в системе. Действия, аналогичные описанным выше.

BitLocker Windows 10 как разблокировать

Чтобы разблокировать данные, используется пароль или ключ восстановления. При шифровании, пароль создается обязательно. Находим ключ восстановления, далее выполните последовательность таких действий:

Если BitLocker заблокировал диск, а ключ утерян, откатите систему к созданной ранее точке восстановления. Если ее нет, откатите систему до начального состояния. Для этого перейдите: «Параметры» (Win+I)-«Обновление»-«Восстановление»-«Начать».

Вывод

Мы рассмотрели, как включить BitLocker в Windows 10. Используйте описанные выше способы, чтобы обезопасить данные. Главное — запомните пароль. Он используется, даже если извлечь HDD из одного ПК и подключить к другому.

Examples

Example 1: Enable BitLocker

This example enables BitLocker for a specified drive using the TPM and a PIN for key protector.

The first command uses the ConvertTo-SecureString cmdlet to create a secure string that contains a PIN and saves that string in the $SecureString variable.
For more information about the ConvertTo-SecureString cmdlet, type .

The second command enables BitLocker encryption for the BitLocker volume that has the drive letter C:.
The cmdlet specifies an encryption algorithm and the PIN saved in the $SecureString variable.
The command also specifies that this volume uses a combination of the TPM and the PIN as key protector.
The command also specifies to encrypt the used space data on the disk, instead of the entire volume.
When the system writes data to the volume in the future, that data is encrypted.

Example 2: Enable BitLocker with a recovery key

This command gets all the BitLocker volumes for the current computer and passes pipes them to the Enable-BitLocker cmdlet by using the pipe operator.
This cmdlet specifies an encryption algorithm for the volume or volumes.
This cmdlet specifies a path to a folder where the randomly generated recovery key will be stored and indicates that these volumes use a recovery key as a key protector.

Example 3: Enable BitLocker with a specified user account

This command encrypts the BitLocker volume specified by the MountPoint parameter, and uses the AES 128 encryption method.
The command also specifies an account and specifies that BitLocker uses user credentials as a key protector.
When a user accesses this volume, BitLocker prompts for credentials for the user account Western\SarahJones.

Лос-аламосский принцип

Задачу дешифрования дисков BitLocker упрощает еще и то, что в Microsoft активно продвигают альтернативный метод восстановления доступа к данным через Data Recovery Agent. Смысл «Агента» в том, что он шифрует ключи шифрования всех накопителей в пределах сети предприятия единым ключом доступа.

Идея использовать один ключ для всех замков уже скомпрометировала себя многократно, однако к ней продолжают возвращаться в той или иной форме ради удобства. Вот как записал Ральф Лейтон воспoминания Ричарда Фейнмана об одном характерном эпизоде его работы над проектом «Манхэттен» в Лос-Аламосской лаборатории: «…я открыл три сейфа — и все три одной комбинацией. <…>

Я уделал всех их: открыл сейфы со всеми секретами атомной бомбы — технологией получения плутония, описанием процесса очистки, сведениями о том, сколько нужно материала, как работает бомба, как получаются нейтроны, как устроена бомба, каковы ее размеры, — словом, все, о чем знали в Лос-Аламосе, всю кухню!».

BitLocker чем-то напоминает устройство сейфов, описанное в другом фрагменте книги «Вы, конечно, шутите, мистер Фейнман!». Самый внушительный сейф сверхсекретной лаборатории имел ту же самую уязвимость, что и простой шкафчик для документов. «…Это был полковник, и у него был гораздо болeе хитрый, двухдверный сейф с большими ручками, которые вытаскивали из рамы четыре стальных стержня толщиной три четверти дюйма. <…>

Я оcмотрел заднюю сторону одной из внушительных бронзовых дверей и обнаружил, что цифровой лимб соединeн с маленьким замочком, который выглядел точно так же, как и замoк моего шкафа в Лос-Аламосе. <…> Было очевидно, что система рычагов зависит от того же маленького стержня, который запирал шкафы для документов. <…>.

Изображая некую деятельность, я принялся наугад крутить лимб. <…> Через две минуты — щелк! — сейф открылся. <…> Когда дверь сейфа или верхний ящик шкафа для документов открыты, очень легко найти комбинацию. Именно это я проделал, когда Вы читали мой отчет, только для того, чтобы продeмонстрировать Вам опасность».

Криптоконтейнеры BitLocker сами по себе достаточно надежны. Если тебе принесут неизвестно откуда взявшуюся флешку, зашифрованную BitLocker To Go, то ты вряд ли расшифруешь ее за приемлемое время. Однако в реальном сценарии использования зашифрованных дисков и съемных носителей полно уязвимостей, которые легко использовать для обхода BitLocker.

Как работает шифрование диска BitLocker

Не вдаваясь в подробности выглядит это так. Система шифрует весь диск и дает вам ключи от него. Если вы шифруете системный диск то без вашего ключа компьютер не загрузится. Тоже самое как ключи от квартиры. У вас они есть вы в нее попадете. Потеряли, нужно воспользоваться запасными (кодом восстановления (выдается при шифровании)) и менять замок (сделать шифрование заново с другими ключами)

Для надежной защиты желательно наличие в компьютере доверенного платформенного модуля TPM (Trusted Platform Module). Если он есть и его версия 1.2 или выше, то он будет управлять процессом и у вас появятся более сильные методы защиты. Если же его нет, то возможно будет воспользоваться только ключом на USB-накопителе.

Работает BitLocker следующим образом. Каждый сектор диска шифруется отдельно с помощью ключа (full-volume encryption key, FVEK). Используется алгоритм AES со 128 битным ключом и диффузором. Ключ можно поменять на 256 битный в групповых политиках безопасности.

Для этого воспользуемся поиском в Windows 7. Открываем меню Пуск и в поле поиска пишем «политики» и выбираем Изменение групповой политики

В открывшемся окошке в левой части переходим по пути

Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker

В правой части дважды кликаем на Выберите метод шифрования диска и стойкость шифра

В открывшемся окошке нажимаем Включить политику. В разделе Выбрать метод шифрования из выпадающего списка выбираем нужный

Самый надежный это AES с 256-битным ключом с диффузором. При этом скорее всего нагрузка на центральный процессор будет чуть чуть повыше, но не на много и на современных компьютерах вы разницы не заметите. Зато данные будут надежней защищены.

Использование диффузора еще больше повышает надежность так как приводит к значительным изменением зашифрованной информации при незначительном изменении исходных данных. То есть, при шифровании двух секторов с практически одинаковыми данными результат будет значительно отличаться.

Сам ключ FVEK располагается среди метаданных жесткого диска и так же шифруется с помощью основного ключа тома(volume master key, VMK). VMK так же шифруется с помощью TPM модуля. Если последний отсутствует, то с помощью ключа на USB накопителе.

Если USB накопитель с ключом будет недоступен, то необходимо воспользоваться 48-значным кодом восстановления. После этого система сможет расшифровать основной ключ тома, с помощью которого расшифрует ключ FVEK, с помощью которого будет разблокирован диск и пойдет загрузка операционной системы.

Усовершенствование BitLocker в Windows 7

При установке Windows 7 с флешки или с диска предлагается разметить или настроить диск. При настройке диска создается дополнительный загрузочный раздел размером 100 МБ. Наверное не у меня одного возникали вопросы по поводу его назначения. Вот именно этот раздел и нужен для работы технологии Bitlocker.

Этот раздел является скрытым и загрузочным и он не шифруется иначе не возможно было бы загрузить операционную систему.

В Windows Vista этот раздел или том должен быть объемом в 1.5 ГБ. В Windows 7 его сделали 100 МБ.

Если же вы при установке операционной системы сделали разбивку сторонними программами, то есть не создали загрузочный раздел, то в Windows 7 BitLocker сам подготовит нужный раздел. В Windows Vista вам бы пришлось его создавать с помощью дополнительного софта идущего в комплекте с операционной системой.

Так же в Windows 7 появилась технология BitLocker To Go для шифрования флешек и внешних жестких дисков. Рассмотрим ее позже.

System requirements

BitLocker has the following hardware requirements:

For BitLocker to use the system integrity check provided by a Trusted Platform Module (TPM), the computer must have TPM 1.2 or later. If your computer does not have a TPM, enabling BitLocker requires that you save a startup key on a removable device, such as a USB flash drive.

A computer with a TPM must also have a Trusted Computing Group (TCG)-compliant BIOS or UEFI firmware. The BIOS or UEFI firmware establishes a chain of trust for the pre-operating system startup, and it must include support for TCG-specified Static Root of Trust Measurement. A computer without a TPM does not require TCG-compliant firmware.

The system BIOS or UEFI firmware (for TPM and non-TPM computers) must support the USB mass storage device class, including reading small files on a USB flash drive in the pre-operating system environment.

Important

From Windows 7, you can encrypt an OS drive without a TPM and USB flash drive. For this procedure, see Tip of the Day: Bitlocker without TPM or USB.

Note

TPM 2.0 is not supported in Legacy and CSM Modes of the BIOS. Devices with TPM 2.0 must have their BIOS mode configured as Native UEFI only. The Legacy and Compatibility Support Module (CSM) options must be disabled. For added security Enable the Secure Boot feature.

The hard disk must be partitioned with at least two drives:

• The operating system drive (or boot drive) contains the operating system and its support files. It must be formatted with the NTFS file system.
• The system drive contains the files that are needed to load Windows after the firmware has prepared the system hardware. BitLocker is not enabled on this drive. For BitLocker to work, the system drive must not be encrypted, must differ from the operating system drive, and must be formatted with the FAT32 file system on computers that use UEFI-based firmware or with the NTFS file system on computers that use BIOS firmware. We recommend that system drive be approximately 350 MB in size. After BitLocker is turned on it should have approximately 250 MB of free space.

A partition subject to encryption cannot be marked as an active partition (this applies to the operating system, fixed data, and removable data drives).

When installed on a new computer, Windows will automatically create the partitions that are required for BitLocker.

When installing the BitLocker optional component on a server you will also need to install the Enhanced Storage feature, which is used to support hardware encrypted drives.

Как найти потерянный ключ восстановления

Ключ восстановления создается после первого использования программы BitLocker для каждого выбранного диска. Он предоставляет доступ к сокрытым данным. Ключ также можно использовать для разблокировки зашифрованных на съемном устройстве (например, на внешнем жестком диске или USB-накопителе) с помощью BitLocker To Go файлов и папок, если по какой-то причине вы забыли пароль или компьютер не может получить доступ к диску.

Файл .BEK может хранится на флешке или в компьютере, в месте, где мы сохранили его при шифровании диска

Ключ восстановления Bitlocker выглядит следующим образом (он хранится в файле .BEK с именем Bitlocker+Recovery+Key+4C2392DC-60A8-4B98-95AA-6A91D2191EB4.BEK).

Ключ восстановления Bitlocker

Чтобы убедиться в правильности ключа восстановления, сравните начало указанного выше идентификатора со значением аналогичного в зашифрованном томе Bitlocker.

Как/Где найти потерянный ключ восстановления Bitlocker?

Способ возвращения потерянного ключа зависит от настроенных вами параметров входа в систему:

1. Если вы используете локальную учетную запись, тогда войдите как администратор.

2. Пользователи учетной записи Microsoft должны проверить следующие места:

• аккаунт Microsoft в Интернете. Чтобы получить ключ восстановления, перейдите в свою учетную запись и получите его оттуда;
• сохраненная копия ключа восстановления. Возможно, вы храните его в качестве файла, на флешке или в бумажном виде.

How to enable (hardware-based) BitLocker on the operating system drive

To enable BitLocker on a device with TPM, use these steps:

1. Open Start.
2. Search for Control Panel and click the top result to open the app.
3. Click on System and Security.

4. Click on BitLocker Drive Encryption.

   Source: Windows Central

5. Under the «Operating system drive» section, click the Turn on BitLocker option.

   Source: Windows Central

6. Select the option to save the recovery key:

   • Save to your Microsoft account.
   • Save to a file.
   • Print the recovery.

   Quick tip: If you trust the cloud, choose to save your recovery key in your Microsoft account using the Save to your Microsoft account option. You can always retrieve the encryption key at this OneDrive location.

7. Click the Next button.

   Source: Windows Central

8. Select how much the drive space to encrypt:

   • Encrypt used disk space only (faster and best for new PCs and drives).
   • Encrypt the entire drive (slower but best for PCs and drives already in use).

   Source: Windows Central

9. Choose between the two encryption options:

   • New encryption mode (best for fixed drives on this device).
   • Compatible mode (best for drives that can be moved from this device).

   Source: Windows Central

10. Click the Next button.

11. Check the Run BitLocker system check option.

    Source: Windows Central

12. Click the Continue button.
13. Click the Restart now button.

After you complete the steps, the device will restart, BitLocker will enable, and you will not be prompted to enter a decryption password to continue starting Windows 10.

Although the device will boot quite fast, on Control Panel > System and Security > BitLocker Drive Encryption, you will notice that BitLocker is still encrypting the drive. Depending on the option you selected and the size of the drive, this process can take a long time, but you can continue to work on the computer.

After the encryption process is complete, the drive will include a lock icon, and the label will read BitLocker on.

BitLocker options

Once the drive encryption is enabled, several options will become available, including:

• Suspend protection: This option will stop protecting your files. Typically, you would use this option when upgrading to a new version of Windows 10, firmware, or hardware. If you don’t resume the encryption protection, BitLocker will resume automatically during the next reboot.
• Back up your recovery key: If you lose the recovery key and are still signed into your account, you can use this option to create a new backup of the key with the options mentioned in Step 6.
• Change password: Creates a new encryption password, but you will still need to supply the current password to make the change.
• Remove password: You cannot use BitLocker without a form of authentication. You can remove a password only when you configure a new method of authentication.
• Turn off BitLocker: Decrypts all the files on the drive. Also, decryption may take a long time to complete its process depending on the storage size, but you can still use your computer.

Контрмеры злоумышленников

В следующих разделах освещается смягчение последствий для различных типов злоумышленников.

Злоумышленник без особого мастерства или ограниченного физического доступа

Физический доступ может быть ограничен форм-фактором, который не предоставляет автобусы и память. Например, для открытия шасси нет внешних портов, способных к ДМА, нет открытых винтов, а память передается в основную доску. Этот злоумышленник возможности не использует разрушительные методы или сложные судебно-медицинской экспертизы оборудования / программного обеспечения.

Смягчение последствий:

Проверка подлинности перед загрузкой установлена только для TPM (по умолчанию)

Злоумышленник с навыками и длительным физическим доступом

Целенаправленная атака с большим количеством времени; этот злоумышленник откроет дело, будет припайка и будет использовать сложное оборудование или программное обеспечение.

Смягчение последствий:

• Проверка подлинности перед загрузкой для TPM с помощью пин-кода (с помощью сложного альфа-пин-кода , чтобы помочь смягчению последствий для TPM.

  -And-

• Отключение управления питанием в режиме ожидания и отключение или спящий режим устройства до того, как оно выйдет из-под контроля авторизованного пользователя. Это можно установить с помощью групповой политики:

  • Конфигурация компьютера| Политики| Административные шаблоны| Windows Компоненты| Обозреватель файлов| Показать спящий режим в меню параметры питания
  • Конфигурация компьютера| Политики| Административные шаблоны| System| Управление питанием| Сон Параметры| Разрешить состояния ожидания (S1-S3) во время сна (подключен)
  • Конфигурация компьютера| Политики| Административные шаблоны| System| Управление питанием| Сон Параметры| Разрешить режимы ожидания (S1-S3) во время сна (от батареи)

Эти параметры не настроены по умолчанию.

Для некоторых систем обход только TPM может потребовать открытия дела и может потребовать припаса, но, возможно, может быть сделано за разумные затраты. Обход TPM с пин-кодом будет стоить гораздо дороже, и для этого потребуется грубое принуждение ПИН-кода. С помощью сложного расширенного ПИН-кода это может быть практически невозможно. Параметр групповой политики для расширенного ПИН-кода:

Конфигурация компьютера| Административные шаблоны| Windows Компоненты| Шифрование диска BitLocker| Диски операционной системы| Разрешить расширенные ПИН-ники для запуска

Этот параметр не настроен по умолчанию.

Для безопасных административных рабочих станций Корпорация Майкрософт рекомендует TPM с pin-защитником и отключить управление питанием в режиме ожидания, а также отключить или отключить устройство.

Шифрование устройств BitLocker

Начиная с Windows 8.1, Windows автоматически включает шифрование устройств BitLocker на устройствах, поддерживаюх современное режим ожидания. С Windows 11 и Windows 10 microsoft предлагает поддержку шифрования устройств BitLocker на гораздо более широком диапазоне устройств, в том числе современных standby, и устройствах, Windows 10 Домашняя выпуска или Windows 11.

Корпорация Майкрософт ожидает, что большинство устройств в будущем будут проходить тестирование, что делает шифрование устройств BitLocker широко распространенным на современных Windows устройствах. Шифрование устройств BitLocker дополнительно защищает систему, прозрачно реализуя шифрование данных на всей устройстве.

В отличие от стандартной реализации BitLocker шифрование устройств BitLocker включено автоматически, чтобы устройство всегда было защищено. В следующем списке изложено, как это происходит.

• После завершения чистой установки Windows 11 или Windows 10 и завершения работы с выходом из окна компьютер готовится к первому использованию. В рамках этой подготовки шифрование устройств BitLocker инициализировано на диске операционной системы и фиксированных дисках данных на компьютере с четким ключом (это эквивалент стандартного приостановленного состояния BitLocker). В этом состоянии диск отображается с значоком предупреждения в Windows Explorer. Желтый значок предупреждения удаляется после создания протектора TPM и восстановления, как поясняется в следующих точках пули.
• Если устройство не подсоединено к домену, требуется использовать учетную запись Майкрософт, которой были предоставлены права администратора на устройстве. Когда администратор использует учетную запись Майкрософт для входа, незащищенный ключ удаляется, а ключ восстановления отправляется в учетную запись Майкрософт в Интернете, создается механизм защиты TPM. Если устройству требуется ключ восстановления, пользователю порекомендуют использовать другое устройство и перейти по URL-адресу доступа к ключу восстановления, чтобы извлечь его с использованием учетных данных своей учетной записи Майкрософт.
• Если пользователь использует для входа учетную запись домена, незащищенный ключ не удаляется до тех пор, пока пользователь не подсоединит устройство к домену и не выполнит успешное резервное копирование ключа восстановления в доменные службы Active Directory (AD DS). Необходимо включить параметр групповой политики Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Диски операционной системы и выбрать вариант Не включать BitLocker до сохранения данных восстановления в AD DS для дисков операционной системы. При такой конфигурации пароль восстановления создается автоматически, когда компьютер подключается к домену, а в AD DS создается резервная копия ключа восстановления. Затем создается механизм защиты TPM, незащищенный ключ удаляется.
• Аналогично входу по учетной записи домена незащищенный ключ удаляется, когда пользователь входит на устройство с использованием учетной записи Azure AD. Как описано в пункте выше, пароль восстановления создается автоматически, когда пользователь проходит проверку подлинности в Azure AD. Затем выполняется резервное копирование ключа восстановления в Azure AD, создается механизм защиты TPM, незащищенный ключ удаляется.

Корпорация Майкрософт рекомендует включить шифрование устройств BitLocker в любых поддерживаемых системах, но процесс автоматического шифрования устройств BitLocker можно предотвратить, изменив следующий параметр реестра:

• Подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
• Значение: PreventDeviceEncryption равно True (1)
• Тип: REG_DWORD

Администраторы могут управлять устройствами с поддержкой домена, на которые включено шифрование устройств BitLocker с помощью администрирования и мониторинга Microsoft BitLocker (MBAM). В этом случае шифрование устройств BitLocker автоматически делает доступными дополнительные параметры BitLocker. Преобразование или шифрование не требуется, и если нужно внести какие-либо изменения в конфигурацию, MBAM может осуществлять управление всем набором политик BitLocker.

Примечание

Шифрование устройств BitLocker использует 128-битный метод шифрования XTS-AES. Если требуется использовать другой метод шифрования и/или силу шифра, сначала необходимо настроить и расшифровать устройство (если уже зашифровано). После этого можно применить различные параметры BitLocker.

How to set up BitLocker

Here’s how I got BitLocker running on a Windows 8.1 Pro machine. I’ve also added some Windows 10-specific instructions.

1. Open Windows’ Control Panel, type BitLocker into the search box in the upper-right corner, and press Enter.

2. Next, click Manage BitLocker, and on the next screen click Turn on BitLocker.

3. Now BitLocker will check your PC’s configuration to make sure your device supports Microsoft’s encryption method. 

BitLocker checks for the required Trusted Platform Module.

If you’re approved for BitLocker, Windows will show you a message like this one (see screenshot at left). If your TPM module is off, Windows will turn it on automatically for you, and then it will encrypt your drive.

BitLocker

Программа BitLocker впервые появилась в операционной системе Windows Vista в качестве функции шифрования данных статических дисков. С ее помощью у каждого пользователя этой и последующих версий ОС Windows появилась возможность защищать свои персональные сведения от потенциальных оффлайн атак, вроде кражи офисного компьютера или переносного устройства с контактной информацией о клиентах, цифровой версией договоров, бухгалтерскими, торговыми системами.

Описание

В отличие от ранних версий шифровальных инструментов ОС, BitLocker защищает не отдельные файлы или папки, а диск целиком. Это значит, что абсолютно вся информация на диске, находящемся под защитой BitLocker, становится недоступной для посторонних глаз. Таким образом, компания Microsoft решила частую проблему, когда информацию из украденного устройства легко было получить, просто переставив жесткий диск на другой компьютер.

Функция использует надежные алгоритмы шифрования AES 128 и AES 256, а ключи доступа можно хранить:

• На самом компьютере;
• В чипе TPM;
• На USB-устройстве (смарт-карта, флешка с кодом);
• В учетной записи Microsoft.

Большим преимуществом является возможность зашифровать не только жесткий диск, но также флешки и загрузочные диски, NTFS и FAT системы и многое другое. Шифровать новую информацию отдельно не придется, если выбранный том уже находится под защитой BitLocker, все попадающие на него файлы будут шифроваться автоматически.

Пользователи также получают принудительную возможность восстановления доступа к диску в случае потери ключа, в виде сохранения резервного ключа в учетной записи Microsoft или в отдельном файле.

Плюсы и минусы

В мире найдется немного людей, которым совершенно нечего скрывать. И еще меньше частных предприятий. А значит, защита данных необходима, и BitLocker предоставляет такую возможность с минимальной затратой ресурсов и рядом достоинств:

1. Под защитой находятся не отдельные элементы дисков или систем, а тома целиком. Шифрованию подвергаются все файлы за исключением нечитаемых поврежденных секторов и незначительных файлов самой функции BitLocker.
2. Большой перечень поддерживаемых для шифрования томов.
3. Простота выполнения шифрования, операция не сложнее обычной установки программы.
4. Проверенные и надежные алгоритмы шифрования.
5. Возможность как сложной системы открытия нужного тома с помощью специальной смарт-карты и пароля, так и традиционного для большинства пользователей цифрового пин-кода.

При создании продуктов массового потребления без слабых сторон обойтись невозможно. Главной проблемой для безопасности данных при этом выступает компания Microsoft, активно продвигая возможность сохранения единого резервного ключа данных для всех зашифрованных систем в рамках предприятия. Это означает, что заполучив доступ к этому ключу, который может быть обычным файлом, сохраненным на компьютере руководителя, злоумышленник получит доступ ко всем устройствам сразу.

Вторая значимая проблема также связана с запасными ключами, ведь их наличие обязательно, а хранить их можно в учетной записи, которая сама по себе очень уязвима к атакам. Или же в файле, который довольно легко найти, ведь прячут его зачастую рядом с «сейфом».

Третий отрицательный фактор – если есть шифратор, значит, появится и программа для взлома. Подобные программы уже созданы, хотя для их работы требуется соблюдение определенных условий.

Таким образом, BitLocker – отличное средство защиты личных данных для широкого круга пользователей, но воспринимать его как панацею от всех потенциальных угроз не стоит.

Перед тем как скачать BitLocker бесплатно на русском языке, прочитайте характеристики софта и требования к вашему устройству.

Название:	BitLocker 1.0
Размер:	500 Кб
Обновлено:	15.06.2020
Требования:	Windows XP и выше
Статус:	Бесплатная
Загрузок:	1558

Управление паролями и ПИН-кодами

Если BitLoслук включен на системном диске и ПК оснащен модулем TPM, можно потребовать от пользователей ввода ПИН-кода, прежде чем BitLocker разблокирует диск. Это требование защищает от злоумышленников, получивших физический доступ к ПК, и не позволяет им даже дойти до входа в систему Windows. В результате получить доступ к данным пользователя или системным файлам или изменить их практически невозможно.

Требование ввода ПИН-кода при запуске — полезный механизм обеспечения безопасности, потому что он выступает в качестве второго фактора проверки подлинности («что-то, что вы знаете»). Тем не менее, есть и другая сторона медали. Во-первых, необходимо регулярно менять ПИН-код. В организациях, где BitLocker использовался с ОС Windows 7 и Windows Vista, пользователям приходилось обращаться к системным администраторам, чтобы обновить ПИН-код или пароль BitLocker. В результате не только росли затраты на управление, но и пользователи не желали менять ПИН-код или пароль BitLocker достаточно часто.
Windows 11 и Windows 10 пользователи могут самостоятельно обновлять свои ПИН-коды и пароли BitLocker без учетных данных администратора. Это не только позволяет снизить затраты на поддержку, но и повысить безопасность, потому что поощряется регулярная смена ПИН-кодов и паролей пользователями. Кроме того, современные устройства standby не требуют ПИН-кода для запуска: они предназначены для запуска нечасто и имеют другие смягчающие меры, которые еще больше уменьшают поверхность атаки системы.
Дополнительные сведения о том, как работает безопасность запуска и какие контрмеры Windows 11 и Windows 10, см. в этой рубке Protect BitLocker from pre-boot attacks.

Использование AES-256 с BitLocker

Вы можете заставить BitLocker использовать гораздо более надежное 256-битное шифрование AES вместо 128-битного AES. Несмотря на то, что 128-битное AES-шифрование будет длиться вечно, вы всегда можете сделать это навсегда и день, используя дополнительную силу.

Основной причиной использования AES-256 вместо AES-128 является защита от роста квантовых вычислений в будущем. Квантовые вычисления смогут сломать наши текущие стандарты шифрования более легко, чем наше текущее оборудование.

Откройте редактор групповой политики, затем выберите «Конфигурация компьютера» → «Административные шаблоны» → «Компоненты Windows» → «Шифрование диска BitLocker».

Выберите «Выбрать метод шифрования диска и силу шифра». Выберите Enabled, затем используйте выпадающие списки, чтобы выбрать XTS-AES 256-bit. Нажмите Применить, и вы готовы.

Сделайте резервную копию вашего пароля Windows BitLocker!

Теперь вы знаете, как зашифровать диск Windows 10 с помощью BitLocker. BitLocker — это фантастический инструмент шифрования, интегрированный в Windows 10. Вам не нужно беспокоиться о стороннем инструменте шифрования.

Предпосылки к появлению

Главной задачей технологии BitLocker, разработка которой началась в начале 2000-х годов, стала защита данных от оффлайновых атак такого типа:

• загрузки компьютера с операционной системы, установленной на флешке;
• снятия с ПК накопителя и его установка на другом устройстве;
• восстановления стёртых с диска сведений.

Любой из этих вариантов позволяет воспользоваться информацией, даже если изначально она была защищена с помощью паролей и ограничений доступа.

Брандмауэры и антивирусы помогают спасти конфиденциальные сведения только, если ими пытаются завладеть удалённо.

Против физических атак (пользователя с отвёрткой или флешкой) практически бесполезна любая защита, кроме BitLocker.

Рис. 2. Задача технологии – защита данных от прямой (оффлайновой), а не сетевой атаки.

До появления технологии основными способами спрятать информацию от посторонних были установка определённых уровней доступа к файлам и каталогам для каждого пользователя.

Однако обойти такую защиту было сравнительно несложно даже без физического доступа – достаточно установки других драйверов файловой системы или самостоятельного повышения прав.

В то время как более надёжного полнодискового шифрования до появления Windows Vista в серии этих операционных систем не было.

How to enable BitLocker To Go on removable drives

Alternatively, you can also use the «BitLocker To Go» feature to encrypt removable drives (such as USB flash and external drives) connected to your computer.

To set up BitLocker To Go on a removable drive, use these steps:

1. Connect the USB drive to the device.
2. Open Start.
3. Search for Control Panel and click the top result to open the legacy app.
4. Click System and Security.

5. Click BitLocker Drive Encryption.

   Source: Windows Central

6. Under the «BitLocker To Go» section, select the removable drive you want to encrypt.

7. Click the Turn on BitLocker option.

   Source: Windows Central

8. Check the Use a password to unlock the drive option.

9. Create a password to unlock the drive.

   Source: Windows Central

10. Click Next to continue.

11. Select the option to save the recovery key:

    • Save to your Microsoft account.
    • Save to a file.
    • Print the recovery.

    Source: Windows Central

12. Click the Next button.

13. Select how much the drive space to encrypt:

    • Encrypt used disk space only (faster and best for new PCs and drives).
    • Encrypt the entire drive (slower but best for PCs and drives already in use).

    Source: Windows Central

14. Choose between the two encryption options:

    • New encryption mode (best for fixed drives on this device).
    • Compatible mode (best for drives that can be moved from this device).

    Source: Windows Central

    Quick tip: In this case, the Compatibility mode is the recommended option.

15. Click the Next button.

16. Click the Start encrypting button.

    Source: Windows Central

17. Click the Close button.

After you complete the steps, the encryption process will begin on the removable drive.

When using encryption, always try to start with an empty drive to speed up the process, then the data will encrypt quickly and automatically. In addition, similar to the feature of the operating system drive, you will get the same additional options and a few more, including:

• Add smart card: This option will allow you to configure a smart card to unlock the removable drive.
• Turn on auto-unlock: Instead of having to type a password every time you re-connect the removable drive, you can enable auto-unlock to access your encrypted data without entering a password.