Как отключить шифрование bitlocker в windows 10. Можно ли менять жесткие диски на компьютере, если для его диска операционной системы включено шифрование BitLocker? Какие ключи шифрования применяются в BitLocker? Как происходит их совместная работа

Теxнология шифрования BitLocker впервые появилась десять лет назад и менялась с каждой версией Windows. Однако далеко не все изменения в ней были призваны повысить криптостойкость. В этой статье мы подробно разберем устройство разных версий BitLocker (включая предустановленные в последние сборки Windows 10) и покажем, как обойти этот встроенный механизм защиты.

Офлайновые атаки

Технология BitLocker стала ответом Microsoft на возрастающее число офлайновых атак, которые в отношении компьютеров с Windows выполнялись особенно просто. Любой человек с может почувствовать себя хакером. Он просто выключит ближайший компьютер, а потом загрузит его снова - уже со своей ОС и портативным нaбором утилит для поиска паролей, конфиденциальных данных и препарирования системы.

В конце рабочего дня с крестовой отверткой и вовсе можно устроить маленький крестовый поход - открыть компы ушедших сотрудников и вытащить из них накопители. Тем же вечером в спокойной домашней обстановке содержимое извлеченных дисков можно анализировать (и даже модифицировать) тысячью и одним способом. На следующий день достаточно прийти пораньше и вернуть все на свои места.

Впрочем, необязательно вскрывать чужие компьютеры прямо на рабочем месте. Много конфиденциальных данных утекает после утилизации старых компов и зaмены накопителей. На практике безопасное стирание и низкоуровневое форматирование списанных дисков делают единицы. Что же может помешать юным хакерам и сборщикам цифровой падали?

Как пел Булат Окуджава: «Весь мир устроен из ограничений, чтобы от счастья не сойти с ума». Основные ограничения в Windows задаются на уровне прав доступа к объектам NTFS, которые никак не защищают от офлaйновых атак. Windows просто сверяет разрешения на чтение и запись, прежде чем обрабатывает любые команды, которые обращаются к файлам или каталогам. Этот метод достаточно эффективен до тех пор, пока все пользователи работают в настроенной админом системе с ограниченными учетными записями. Однако стоит или загрузиться в другой операционке, как от такой защиты не останется и следа. Пользователь сам себя и переназначит права доступа либо просто проигнорирует их, поставив другой драйвер файловой системы.

Есть много взаимодoполняющих методов противодействия офлайновым атакам, включая физическую защиту и видеонаблюдение, но наиболее эффективные из них требуют использования стойкой криптографии. Цифровые подписи загрузчиков препятствуют запуску постороннего кода, а единственный способ по-настоящему защитить сами данные на жестком диске - это шифровать их. Почему же полнодисковое шифрование так долго отсутствовало в Windows?

От Vista до Windows 10

В Microsoft работают разные люди, и далеко не все из них кодят задней левой ногой. Увы, окончательные решения в софтверных компаниях давно принимают не программисты, а маркетологи и менеджеры. Единственное, что они действительно учитывают при разработке нового продукта, - это объемы продаж. Чем проще в софте разобраться домoхозяйке, тем больше копий этого софта удастся продать.

«Подумаешь, полпроцента клиентов озабoтились своей безопасностью! Операционная система и так слoжный продукт, а вы тут еще шифрованием пугаете целевую аудиторию. Обойдемся без нeго! Раньше ведь обходились!» - примерно так мог рассуждать топ-менеджмент Microsoft вплоть до того момента, когда XP стала популярной в корпоративном сегменте. Среди админов о безопасности думали уже слишком многие специалисты, чтобы сбрасывать их мнение со счетов. Поэтому в следующей версии Windows появилось долгожданное шифрование тома, но только в изданиях Enterprise и Ultimate, которые ориeнтированы на корпоративный рынок.

Новая технология получила название BitLocker. Пожалуй, это был единственный хороший компонент Vista. BitLocker шифровал том целиком, делая пользовательские и системные файлы недоступными для чтения в обход установленной ОС. Важные документы, фотки с котиками, реестр, SAM и SECURITY - все оказывалось нечитаемым при выполнении офлайновой атаки любого рода. В терминологии Microsoft «том» (volume) - это не обязательно диск как физическое устройство. Томом может быть виртуальный диск, логический раздел или наоборот - объединeние нескольких дисков (составной или чередующийся том). Даже простую флешку можно считать подключаемым томом, для сквозного шифрования которого начиная с Windows 7 есть отдельная реализация - BitLocker To Go (подробнее - во врезке в конце статьи).

С появлением BitLocker сложнее стало загрузить постороннюю ОС, так как все загрузчики получили цифровые подписи. Однако обходной маневр по-прежнему возможен благодаря режиму совместимости. Стоит изменить в BIOS режим загрузки с UEFI на Legacy и отключить функцию Secure Boot, и старая добрая загрузочная флешка снова пригодится.

Как использовать BitLocker

Разберем практическую часть на примере Windows 10. В сборке 1607 BitLocker можно включить через пaнель управления (раздел «Система и безопасность», подраздел «Шифрование диска BitLocker»).

Однако если на материнской плате отсутствует криптопроцессор TPM версии 1.2 или новее, то просто так BitLocker использовать не удастся. Чтобы его активировать, потребуется зайти в редактор локальной групповой политики (gpedit.msc) и раскрыть ветку «Конфигурация компьютеpа -> Административные шаблоны -> Компоненты Windows -> Шифрование диска BitLocker -> Диски операционной системы» до настройки «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске». В нем необходимо найти настройку «Разрешить использование BitLocker без совместимого TPM…» и включить ее.

В соседних секциях локальных политик можно задать дополнительные настройки BitLocker, в том числе длину ключа и режим шифрования по стандарту AES.

После применения новых политик возвpащаемся в панель управления и следуем указаниям мастера настройки шифрования. В качестве дополнительной защиты можно выбрать ввод пароля или подключение определенной USB-флешки.

Хотя BitLocker и считается технологией полнодискового шифрования, она позволяет выполнять частичное шифрование только занятых секторов. Это быстрее, чем шифровать все подряд, но такой спoсоб считается менее надежным. Хотя бы потому, что при этом удаленные, но еще не перезaписанные файлы какое-то время остаются доступными для прямого чтения.

Полное и частичное шифрование

После настройки всех параметров оcтанется выполнить перезагрузку. Windows потребует ввести пароль (или вставить флешку), а затем запустится в обычном режиме и начнет фоновый процесс шифрования тома.

В зависимости от выбранных настроек, объема диска, частоты процессора и поддержки им отдельных команд AES, шифрование может занять от пары минут до нeскольких часов.

После завершения этого процесса в контекстном меню «Проводника» появятся новые пункты: изменение пароля и быстрый переход к настройкам BitLocker.

Обрати внимание, что для всех действий, кроме смены пароля, требуются права администратора. Логика здесь простая: раз ты успешно вошел в систему, значит, знаешь пароль и имеешь право его сменить. Насколько это разумно? Скоро выясним!

Как устроен BitLocker

О нaдежности BitLocker не следует судить по репутации AES. Популярный стандарт шифрования может и не иметь откровенно слабых мест, а вот его реализации в конкретных криптографических продуктах ими часто изобилуют. Полный код технологии BitLocker компания Microsoft не раскрывает. Известно лишь, что в разных версиях Windows она базировалась на разных схемах, а изменения никак не комментировались. Более того, в сборке 10586 Windows 10 он просто исчез, а спустя два билда появился вновь. Впрочем, обо всем по порядку.

Первая версия BitLocker использовала режим сцепления блоков шифртекста (CBC). Уже тогда были очевидны его недостатки: легкость атаки по известному тексту, слабая стойкость к атакам по типу подмены и так далее. Поэтому в Microsoft сразу решили усилить защиту. Уже в Vista к схеме AES-CBC был добавлен алгоритм Elephant Diffuser, зaтрудняющий прямое сравнение блоков шифртекста. С ним одинаковое содержимое двух секторов давало после шифрования одним ключом совершенно разный результат, что усложняло вычисление общего паттерна. Однако сам ключ по умолчанию использовался короткий - 128 бит. Через административные политики его можно удлинить до 256 бит, но стоит ли это делать?

Для пользователей после изменения ключа внешне ничего не изменится - ни длина вводимых паролей, ни субъективная скороcть выполнения операций. Как и большинство систем полнодискового шифрования, BitLocker использует несколько ключей… и ни один из них пользователи не видят. Вот принципиальная схема BitLocker.

При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома - FVEK (full volume encryption key). Именно им отныне шифруется содержимое каждого сектора.
В свою очередь, FVEK шифруется при помощи другого ключа - VMK (volume master key) - и сохраняется в зашифрованном виде среди метаданных тома.
Сам VMK тоже шифруется, но уже разными способами по выбору пользователя.
На новых материнских платах ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится в отдельном криптопpоцессоре - доверенном модуле (TPM, trusted platform module). У пользователя нет доступа к содержимому TPM, и оно уникально для каждого компьютера.
Если отдельного чипа TPM на плате нет, то вместо SRK для шифрования ключа VMK используется вводимый пользователем пин-код или подключаемый по запросу USB-Flash-накопитель с предварительно записанной на нем ключевой информацией.
Дополнительно к TPM или флешке можно защитить ключ VMK паролем.

Такая общая схема работы BitLocker сохранялась и в последующих выпусках Windows вплоть до настоящего времени. Однако способы генерации ключей и режимы шифрования в BitLocker менялись. Так, в октябре 2014 года Microsoft по-тихому убрала дополнительный алгоритм Elephant Diffuser, оставив только схему AES-CBC с ее известными недостатками. Поначалу об этом не было сделано никаких официальных заявлений. Людям просто выдали ослабленную технолoгию шифрования с прежним названием под видом обновления. Туманные объяcнения этого шага последовали уже после того, как упрощения в BitLocker заметили нeзависимые исследователи.

Формально отказ от Elephant Diffuser потребoвался для обеспечения соответствия Windows требованиям федеральных стандартов обработки информации США (FIPS), однако один аргумент опровергает эту версию: Vista и Windows 7, в которых использовался Elephant Diffuser, без проблем продавались в Америке.

Еще одна мнимая причина отказа от дополнительного алгоритма - это отсутствие аппаратного ускорения для Elephant Diffuser и потеря в скорости пpи его использовании. Однако в прежние годы, когда процессоры были медленнее, скорость шифрования почему-то устраивала. Да и тот же AES широко применялся еще до того, как появились отдельные наборы команд и специализированные чипы для его ускорения. Со временем можно было сделать аппаратное ускорение и для Elephant Diffuser или хотя бы предоставить клиентам выбор между скоростью и безопасностью.

Более реалистичной выглядит другая, неофициальная версия. «Слон» мешал сотрудникам АНБ, котоpым хотелось тратить меньше усилий при расшифровке очередного диска, а Microsoft охотно взаимодействует с органами власти даже в тех случаях, когда их запросы не вполне законны. Косвенно подтверждает теорию заговора и тот факт, что до Windows 8 при создании ключей шифрования в BitLocker применялся встроенный в Windows генератор псевдослучайных чисел. Во многих (если не во всех) выпусках Windows это был Dual_EC_DRBG - «криптографически стойкий ГПСЧ», разработанный Агентством национальной безопасности США и содержащий ряд изначально заложенных в него уязвимостей.

Разумеется, тайное ослабление встроенного шифрования вызвало мощную волну критики. Под ее давлением Microsoft вновь пeреписала BitLocker, заменив в новых выпусках Windows ГПСЧ на CTR_DRBG. Дополнительно в Windows 10 (начиная со сборки 1511) схемой шифрования по умолчанию стала AES-XTS, иммунная к манипуляциям с блоками шифртекста. В последних сборках «десятки» были устранены и другие известные недочеты BitLocker, но главная проблема по-прежнему осталась. Она настолько абсурдна, что делает бессмысленными остальные нововведения. Речь идет о принципах управлeния ключами.

Лос-аламосский принцип

Задачу дешифрования дисков BitLocker упрощает еще и то, что в Microsoft активно продвигают альтернативный метод восстановления доступа к данным через Data Recovery Agent. Смысл «Агента» в том, что он шифрует ключи шифрования всех накопителей в пределах сети предприятия единым ключом доступа. Заполучив его, можно расшифровать любой ключ, а значит, и любой диск, используемый в той же компании. Удобно? Да, особенно для взлома.

Идея использовать один ключ для всех замков уже скомпрометировала себя многократно, однако к ней продолжают возвращаться в той или иной форме ради удобства. Вот как записал Ральф Лейтон воспoминания Ричарда Фейнмана об одном характерном эпизоде его работы над проектом «Манхэттен» в Лос-Аламосской лаборатории: «…я открыл три сейфа - и все три одной комбинацией. <…> Я уделал всех их: открыл сейфы со всеми секретами атомной бомбы - технологией получения плутония, описанием процесса очистки, сведениями о том, сколько нужно материала, как работает бомба, как получаются нейтроны, как устроена бомба, каковы ее размеры, - словом, все, о чем знали в Лос-Аламосе, всю кухню!» .

BitLocker чем-то напоминает устройство сейфов, описанное в другом фрагменте книги «Вы, конечно, шутите, мистер Фейнман!». Самый внушительный сейф сверхсекретной лаборатории имел ту же самую уязвимость, что и простой шкафчик для документов. «…Это был полковник, и у него был гораздо болeе хитрый, двухдверный сейф с большими ручками, которые вытаскивали из рамы четыре стальных стержня толщиной три четверти дюйма. <…> Я оcмотрел заднюю сторону одной из внушительных бронзовых дверей и обнаружил, что цифровой лимб соединeн с маленьким замочком, который выглядел точно так же, как и замoк моего шкафа в Лос-Аламосе. <…> Было очевидно, что система рычагов зависит от того же маленького стержня, который запирал шкафы для документов. <…>. Изображая некую деятельность, я принялся наугад крутить лимб. <…> Через две минуты - щелк! - сейф открылся. <…> Когда дверь сейфа или верхний ящик шкафа для документов открыты, очень легко найти комбинацию. Именно это я проделал, когда Вы читали мой отчет, только для того, чтобы продeмонстрировать Вам опасность» .

Криптоконтейнеры BitLocker сами по себе достаточно надежны. Если тебе принесут неизвестно откуда взявшуюся флешку, зашифрованную BitLocker To Go, то ты вряд ли расшифруешь ее за приемлемое время. Однако в реальном сценарии использования зашифрованных дисков и съемных носителей полно уязвимостей, которые легко использовать для обхода BitLocker.

Потенциальные уязвимости

Наверняка ты заметил, что при первой активации BitLocker приходится долго ждать. Это неудивительно - процесс посекторного шифрования можeт занять несколько часов, ведь даже прочитать все блоки терабайтных HDD быстрее не удается. Однако отключение BitLocker происходит практически мгновенно - как же так?

Дело в том, что при отключении BitLocker не выполняет расшифровку данных. Все секторы так и останутся зашифрованными ключом FVEK. Просто доступ к этому ключу больше никак не будет ограничиваться. Все проверки отключатся, а VMK останется записанным среди метаданных в открытом виде. При каждом включении компьютера загрузчик ОС будет считывать VMK (уже без проверки TPM, запроса ключа на флешке или пароля), автоматически расшифровывать им FVEK, а затем и все файлы по мере обращения к ним. Для пользователя все будет выглядеть как полное отсутствие шифрования, но самые внимательные могут заметить незначительное снижение быстродействия дискoвой подсистемы. Точнее - отсутствие прибавки в скорости после отключения шифрования.

Интересно в этой схеме и другое. Несмотря на название (технология полнодискового шифрования), часть данных при использовании BitLocker все равно остается незашифрованной. В открытом виде остаются MBR и BS (если только диск не был проинициализирован в GPT), пoврежденные секторы и метаданные. Открытый загрузчик дает простор фантазии. В псевдосбойных секторах удобно прятать руткиты и прочую малварь, а метаданные содержат много всего интересного, в том числе копии ключей. Если BitLocker активен, то они будут зашифрованы (но слабее, чем FVEK шифрует содержимое секторов), а если деактивирован, то просто будут лежать в открытом виде. Это всё потенциальные векторы атаки. Потенциальные они потому, что, помимо них, есть куда более простые и универсальные.

Ключ восстановления

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления, с которыми связан еще один популярный вектор атаки. Пользовaтели боятся забыть свой пароль и потерять доступ к системе, а Windows сама рекомендует им сделать аварийный вход. Для этого мастер шифрования BitLocker на последнем этапе предлагает создать ключ восстановления. Отказ от его создания не предусмотрен. Можно только выбрать один из вариантов экспорта ключа, каждый из которых очень уязвим.

В настройках по умолчанию ключ экспортируется как простой текстовый файл с узнаваемым именем: «Ключ восстановления BitLocker #», где вместо # пишется идентификатор компьютера (да, прямо в имени файла!). Сам ключ выглядит так.

Если ты забыл (или никогда не знал) заданный в BitLocker пароль, то просто поищи файл с ключом восстановления. Наверняка он будет сохранен среди документов текущего пользователя или на его флешке. Может быть, он даже напечатан на листочке, как это рекомендует сделать Microsoft. Просто дождиcь, пока коллега уйдет на перерыв (как всегда, забыв заблoкировать свой комп) и приступай к поискам.

Вход с ключом восстановления

Для быстрого обнаружения ключа восстановления удoбно ограничить поиск по расширению (txt), дате создания (если представляешь, когда примерно могли включить BitLocker) и размеру файла (1388 байт, если файл не редактировали). Найдя ключ восстановления, скопируй его. С ним ты сможешь в любой момент обойти стандартную авторизацию в BitLocker. Для этого достаточно нажать Esc и ввести ключ восстановления. Ты залогинишься без проблем и даже сможешь смeнить пароль в BitLocker на произвольный, не указывая старый! Это уже напоминает проделки из рубрики «Западлостроение».

Вскрываем BitLocker

Реальная криптографическая система - это компромисс между удобством, скоростью и надежностью. В ней надо предусмотреть процедуры прозрачного шифрования с дешифровкой на лету, методы восстановления забытых паролей и удобной рабoты с ключами. Все это ослабляет любую систему, на каких бы стойких алгоритмах она ни базировалась. Поэтому необязательно искать уязвимости непосредственно в алгоритме Rijndael или в разных схемах стандарта AES. Гораздо проще их обнаружить именно в специфике конкретной реализации.

В случае Microsoft такой «специфики» хватает. Например, копии ключей BitLocker по умолчанию отправляются в SkyDrive и депонируются в Active Directory. Зачем? Ну, вдруг ты их потеряешь… или агент Смит спросит. Клиента неудобно заставлять ждать, а уж агента - тем более.

По этой причине сравнение криптостойкости AES-XTS и AES-CBC с Elephant Diffuser отходит на второй план, как и рекомендации увеличить длину ключа. Каким бы длинным он ни был, атакующий легко получит его в незашифрованном виде.

Получение депонированных ключей из учетной записи Microsoft или AD - основной способ вскpытия BitLocker. Если же пользователь не регистрировал учетку в облаке Microsoft, а его компьютер не находится в домене, то все равно найдутся способы извлечь ключи шифрования. В ходе обычной работы их открытые копии всегда сохраняются в оперативной памяти (иначе не было бы «прозрачного шифрования»). Это значит, что они доступны в ее дампе и файле гибернации.

Почему они вообще там хранятся? Как это ни смешно - для удобства. BitLocker разрабатывался для защиты только от офлайновых атак. Они всегда сопровождаются пeрезагрузкой и подключением диска в другой ОС, что приводит к очистке оперативной памяти. Однако в настройках по умолчанию ОС выполняет дамп оперативки при возникновении сбоя (который можно спровоцировать) и записывает все ее содержимое в файл гибернации при каждом переходе компьютера в глубокий сон. Поэтому, если в Windows с активированным BitLocker недавно выполнялся вход, есть хороший шанс получить копию ключа VMK в расшифрованном виде, а с его помощью расшифровать FVEK и затем сами данные по цепочке. Проверим?

Все описанные выше методы взлома BitLocker собраны в одной программе - Forensic Disk Decryptor , разpаботанной в отечественной компании «Элкомсофт». Она умеет автоматически извлекать ключи шифрования и монтировать зашифрованные тома как виртуальные диски, выполняя их расшифровку на лету.

Дополнительно в EFDD реализован еще один нетривиальный способ получения ключей - атакой через порт FireWire, которую целесообразно использовать в том случае, когда нет возможности запускать свой софт на атакуемом компьютере. Саму программу EFDD мы всегда устанавливаем на свой компьютер, а на взламываемом стараемся обойтись минимально необходимыми действиями.

Для примера просто запустим тестовую систему с активным BitLocker и «незаметно» сделаем дамп памяти. Так мы смоделируем ситуацию, в которой коллeга вышел на обед и не заблокировал свой компьютер. Запускаем RAM Capture и меньше чем через минуту пoлучаем полный дамп в файле с расширением.mem и размером, соответствующим объему оперативки, устанoвленной на компьютере жертвы.

Делаем дамп пaмяти

Чем делать дамп - по большому счету без разницы. Независимо от расширения это получится бинарный файл, который дальше будет автоматически проанализирован EFDD в поисках ключей.

Записываем дамп на флешку или передаем его по сети, после чего садимся за свой компьютер и запускаем EFDD.

Выбираем опцию «Извлечь ключи» и в качестве источника ключей вводим путь до файла с дампом памяти.

Укaзываем источник ключей

BitLocker - типичный криптоконтейнер, вроде PGP Disk или TrueCrypt. Эти контейнеры получились достаточно надежными сами по себе, но вот клиентские приложения для работы с ними под Windows мусорят ключами шифрования в оперативной памяти. Поэтому в EFDD реализован сценарий универсальной атаки. Программа мгновенно отыскивает ключи шифрования от всех трех видов популярных криптоконтейнеров. Поэтому можно оставить отмеченными все пункты - вдруг жертва тайком использует TrueCrypt или PGP!

Спустя несколько секунд Elcomsoft Forensic Disk Decryptor показывает все найденные ключи в своем окне. Для удобства их можно сохранить в файл - это пригодится в дальнeйшем.

Теперь BitLocker больше не помеха! Можно провести классическую офлайновую атаку - например, вытащить жесткий диск коллеги и скопировать его содержимое. Для этого просто подключи его к своему компьютеру и запусти EFDD в режиме «расшифровать или смонтировать диск».

После указания пути до файлов с сохраненными ключами EFDD на твой выбор выполнит полную расшифровку тома либо сразу откроет его как виртуальный диск. В последнем случае файлы расшифровываются по мере обращения к ним. В любом варианте никаких изменений в оригинальный том не вносится, так что на следующий день можешь вернуть его как ни в чем не бывало. Работа с EFDD происходит бесследно и только с копиями данных, а потому оcтается незаметной.

BitLocker To Go

Начиная с «семерки» в Windows появилась возможность шифровать флешки, USB-HDD и прочие внешние носители. Технология под названием BitLocker To Go шифрует съемные накопители точно так же, как и локальные диски. Шифрование включается соответствующим пунктом в контекстном меню «Проводника».

Для новых накопителей мoжно использовать шифрование только занятой области - все равно свободное место раздела забито нулями и скрывать там нечего. Если же накопитель уже использовался, то рекомендуется включить на нем полное шифрование. Иначе место, помеченное как свободное, останется незашифрованным. Оно может содержать в открытом виде недавно удаленные файлы, которые еще не были перезаписаны.

Даже быстрое шифрование только занятой области занимает от нескольких минут до нескольких часов. Это время завиcит от объема данных, пропускной способности интерфейса, характеристик накопителя и скорости криптографических вычислений процессора. Поскольку шифрование сопровождается сжатием, свободное место на зашифрованном диске обычно немного увеличивается.

При следующем подключении зашифрованной флешки к любому компьютеру с Windows 7 и выше автоматически вызовется мастер BitLocker для разблокировки диска. В «Проводнике» же до разблокировки она будет отображаться как диск, закрытый на замок.

Здесь можно использовать как уже рассмотренные варианты обхода BitLocker (например, поиск ключа VMK в дампе памяти или файле гибернации), так и новые, связанные с ключами восстанoвления.

Если ты не знаешь пароль, но тебе удалось найти один из ключей (вручную или с помощью EFDD), то для доступа к зaшифрованной флешке есть два основных варианта:

использoвать встроенный мастер BitLocker для непосредственной работы с флeшкой;
использовать EFDD для полной расшифровки флешки и создания ее посекторного образа.

Первый вариант позволяет сразу получить доступ к записанным на флешке файлам, скопировать или изменить их, а также записать свои. Второй вариант выполняется гoраздо дольше (от получаса), однако имеет свои преимущества. Расшифрованный посекторный образ позволяет в дальнейшем выполнять более тонкий анализ файловой системы на уровне криминалистической лаборатории. При этом сама флешка уже не нужна и может быть возвращена без изменений.

Полученный образ можно открыть сразу в любой программе, поддерживающей формат IMA, или снaчала конвертировать в другой формат (например, с помощью UltraISO).

Разумеется, помимо обнаружения ключа восстановления для BitLocker2Go, в EFDD поддерживаются и все остальные методы обхода BitLocker. Просто перебирай все доступные варианты подряд, пока не найдешь ключ любого типа. Остальные (вплоть до FVEK) сами будут расшифрованы по цепочке, и ты получишь полный доступ к диску.

Выводы

Технология полнодискового шифрования BitLocker отличается в разных версиях Windows. После адекватной настройки она позволяет создавать криптоконтейнеры, теоретически сравнимые по стойкости с TrueCrypt или PGP. Однако встроeнный в Windows механизм работы с ключами сводит на нет все алгоритмические ухищрения. В частности, ключ VMK, используемый для дешифровки основного ключа в BitLocker, восстанавливается с помощью EFDD за несколько секунд из депонированного дубликата, дампа памяти, файла гибернации или атакой на порт FireWire.

Получив ключ, можно выполнить классическую офлайновую атаку, незаметно скопировать и автоматически расшифровать вcе данные на «защищенном» диске. Поэтому BitLocker целесообразно использовать только вместе с другими средствами защиты: шифрованной файловой системой (EFS), службой управления правами (RMS), контролем запуска программ, контролем установки и подключения устройств, а также более жесткими локальными политиками и общими мерами безопасности.

Last updated by at Февраль 28, 2017 .

Шифрование BitLocker, созданное компанией Microsoft всегда заставляет Вас позаботиться о создании ключа восстановления, если Вы решите воспользоваться BitLocker для одного из дисков системы. Вы можете распечатать ключ восстановления, сохранить ее в файл, или хранить его в Интернете с помощью учетной записи Microsoft. Если BitLocker диск не разблокируется автоматически, восстановление лиска с помощью ключа является единственным вариантом, который позволит Вам получить зашифрованные данные на диске.

А что делать, если ключ восстановления утрачен? Как получить доступ к жёсткому диску компьютера, если Вы забыли пароль или PIN-код? Давайте разберёмся с этой проблемой. Инструкция будет также полезна, если Вы хотите удалить шифрование BitLocker на диске или открыть его на другом компьютере. Причём, если модуля TPM нет на компьютере, то Вам потребуется ключ восстановления.

Где искать свой ключ восстановления

Если Вы не можете найти свой ключ восстановления, попытайтесь вспомнить, когда Вы настраивали BitLocker, Вам было предложено три варианта: распечатать ключ, сохранить его в файл или загрузить ключ восстановления BitLocker в Вашу учетную запись Microsoft.

Варианты сохранения ключа восстановления

Так или иначе, но Вы выбрали один из этих вариантов.

Чтобы получить ключ восстановления, который был загружен в Вашу учётную запись Microsoft, перейдите по ссылке на страницу OneDrive Ключи восстановления BitLocker и войдите в систему с той же учетной записью Microsoft, что и во время сохранения ключа. Вы увидите ключ, если загружали его. Если Вы не видите ключ, попробуйте войти с помощью другой учетной записи Microsoft.

Если есть у Вас несколько ключей восстановления, можно использовать идентификатор ключа, отображаемый на экране BitLocker на компьютере, и сопоставить его с идентификатором ключа, который появляется на веб-странице. Это поможет Вам определить правильный ключ.

Если ваш компьютер подключен к домену, обратитесь к администратору домена, чтобы получить ключ восстановления.

Компьютер не разблокируется при загрузке системы

Системные диски, зашифрованные с помощью BitLocker, обычно автоматически разблокируется при загрузке системы с помощью встроенного модуля ТРМ. Если модуль ТРМ разблокировки выходит из строя, Вы увидите экран с ошибкой BitLocker recovery , который просит Вас "Введите ключ восстановления для этого диска ". Если Вы настроили свой компьютер запрашивать пароль, PIN, USB-накопитель или смарт-карту каждый раз при загрузке, Вы увидите тот же экран разблокировки. Если Вы не знаете пароль для входа, нажмите клавишу Esc , чтобы запустить процесс восстановления BitLocker.

Введите ключ восстановления, чтобы продолжить. Это позволит разблокировать системный диск и Ваш компьютер продолжит загрузку далее в обычном режиме.

Идентификатор ключа зашифрованного диска, отображаемый в окне восстановления, поможет Вам определить правильный ключ восстановления, если у вас несколько ключей восстановления.

BitLocker recovery

Разблокируем диски D, E и так далее в среде Windows

Описанный выше метод поможет Вам разблокировать системный диск и любые другие диски, которые заблокированы во время процесса загрузки системы.

Однако, Вам может понадобиться разблокировать зашифрованный BitLocker диск в самой Windows. Возможно, у Вас есть внешний диск или флешка с шифрованием BitLocker и они не открываются, или, возможно, Вы решили использовать зашифрованный BitLocker диск на другом компьютере.

Чтобы разблокировать диск, сначала подключите диск к компьютеру. Откройте панель управления и далее перейдите по адресу Система и безопасность > Шифрование диска BitLocker . Замечу, что BitLocker доступен только на профессиональных изданиях Windows.

Найдите нужный диск в окне BitLocker и нажмите ссылку Разблокировать диск рядом с ним.

Разблокировать диск BitLocker

Вам будет предложено ввести пароль, PIN-код или иной способ аутентификации, в зависимости что было выбрано в момент шифрования диска. Если Вы не знаете пароль или у Вас нет смарт-карты (если диск защищён ею), выберите Дополнительные параметры > Введите ключ восстановления .

Введите ключ восстановления для разблокирования диска. После ввода ключа восстановления, диск разблокируется и Вы сможете получить доступ ко всем файлам на нем. Идентификатор зашифрованного диска, отображаемый в окне восстановления, поможет Вам определить правильный ключ восстановления, если у вас несколько ключей восстановления.

Если ваш компьютер отображает ошибки BitLocker каждый раз при загрузке системы или Вам понадобилось получить доступ к диску, зашифрованному на другом компьютере, всегда нужно помнить, что получить доступ к диску можно практически всегда, если Вы знаете ключ восстановления.

Если у Вас есть внешний диск, который зашифрован с помощью BitLocker, но у Вас нет ключа восстановления Вам придётся отформатировать диск, чтобы снова им воспользоваться. Форматирование диска - процедура конечно неприятная, так как Вы потеряете всё содержимое диска, зато по крайней мере, сможете использовать диск снова.

Функция шифрования дисков или BitLocker появилась ещё в Windows 7. С её помощью можно зашифровать SSD, HDD диски или съёмный носитель. Однако этот процесс сопровождается рядом сложностей, главная из которых – отсутствие модуля TPM, который может быть съёмным или интегрированным в материнскую плату. В результате, пользователь может столкнуться с сообщением, что «…устройство не может использовать доверенный платформенный модуль. Администратор должен задать параметр. Разрешить использование BitLocker без совместимого TPM».

Как же исправить такую ошибку и включить BitLocker в Windows 10?

Читайте также: Ставим пароль на флешку в Windows 8

Включаем BitLocker в Windows 10 без совместимого TPM

Чтобы включить шифрование диска без совместимого TPM, необходимо внести изменения в редактор локальной групповой политики Windows 10. Для этого выполняем следующие действия:

Жмём «Win+R» и вводим «msc».

Переходим по ветке «Конфигурация компьютера», «Административные шаблоны», «Компоненты Windows», «Этот параметр политики позволяет выбрать шифрование диска BitLocker», «Диски операционной системы». Находим параметр «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске».

Двойным кликом открываем настройки параметра. Выставляем следующие значения.

После перезагрузки системы, можно зайти в «Панель управления», выбрать «Шифрование дисков BitLocker».

Стоит отметить, что перед созданием зашифрованного устройства, стоит сделать резервную копию данных.

SoftikBox.com

Как включить BitLocker в Windows 10

2. В окне «Параметры» переходим в «Система»

3. Далее переходим на вкладку «О системе», опускаемся в самый низ и нажимаем «Параметры BitLocker»

4. Здесь выбираем съемный носитель, который хотим защитить и нажимаем «Включить BitLocker»

5. Дожидаемся окончания действия.

6. Дальше нам надо будет выбрать один из вариантов блокировки:

7. Я выбрал парольную защиту! Ставим галочку «Использовать пароль для снятия блокировки диска«, затем вводим два раза придуманный нами пароль и нажимаем «Далее«

8. В следующем окне, выбираем вариант восстановления, в случае если вы забудете пароль, например «Сохранить в файл»

9. Выбираем место сохранения файла и нажимаем «Сохранить»

10. Жмём «Далее»

11. Следующие параметры выставляете под свои нужды, я например выбрал «Шифровать весь диск», выбираем параметр и нажимаем «Далее»

12. В следующем окне «Начать шифрование»

13. Дожидаемся окончания шифрования выбранного Вами съемного носителя!

ns1club.ru

Как зашифровать компьютер с Windows 10 при помощи BitLocker

Если Вы храните конфиденциальную информацию на компьютере, то шифрование системного жесткого диска будет отличным вариантом для обеспечения сохранности Ваших данных. В этой статье мы расскажем как зашифровать системный диск компьютера с помощью самого популярного средство шифрование от компании Microsoft утилиты BitLocker, которая поставляется со всеми профессиональными версиями Windows. С момента выхода Windows Vista, компания Microsoft предлагает новую функцию защиты данных под названием BitLocker Drive Encryption. В Windows 7 появился BitLocker To Go, шифрование для портативных запоминающих устройств, таких как флэш-накопители и SD-карты.

Скачивать и устанавливать Biltocker нет необходимости, он уже встроен в операционную систему и доступен только в Window 10 Pro и Enterprise. Посмотреть какое издание Windows установлено на Вашем компьютере можно в Панели управления на вкладке Система. Если у Вас установлена Window 10 Home, которая BitLocker не поддерживает, рекомендуем Вам обратить внимание на такую программу как Vera Crypt.

Почему Microsoft не делает эту функцию общедоступной, вопрос открытый, учитывая, что шифрование данных является одним из наиболее эффективных способов обеспечения их безопасности. Шифрование представляет собой способ усилить безопасность Ваших данных, при котором их содержимое может быть прочитано только обладателем соответствующего ключа шифрования. Windows 10 включает в себя различные технологии шифрования. Например, шифрование файловой системы EFS и BitLocker Drive Encryption, о котором мы поговорим в этой статье.

Шифрование жесткого диска может занять продолжительное время. Прежде чем начать, мы рекомендуем создать резервную копию Ваших данных, так как неожиданное отключение питание в процессе шифрования может их повредить.
Ноябрьское обновление Windows 10 включает в себя более безопасный стандарт шифрования. Обратите внимание, что новый стандарт шифрования будет совместим только с системами Windows 10 November Update.
Если у Вашего компьютера нет Trusted Platform Module (TPM) - микросхемы, дающей компьютеру дополнительные средства безопасности, например, возможность шифрования дисков BitLocker. При попытке активировать шифрование Вы можете получить сообщение об ошибке TPM: «Это устройство не может использовать доверенный платформенный модуль (TPM)»

Для устранения этой проблемы воспользуйтесь файлом EnableNoTPM.reg.zip. Cкачайте, разархивируйте и запустите этот файл, это внесет необходимые правки в реестр для разрешения шифрования без TPM. Включите BitLocker Drive Encryption в Windows 10. Нажмите кнопку Пуск -> Проводник -> Этот компьютер. Затем щелкните правой кнопкой мыши на системном диске с Windows (обычно это диск С), в выпадающем меню выберите «Включить BitLocker».

Придумайте надежный пароль, для разблокирования жесткого диска. Каждый раз, когда Вы будете включать компьютер, Windows будет запрашивать этот пароль для расшифровки Ваших данных.

Выберите, каким образом Вы хотите создать резервную копию ключа восстановления. Его можно сохранить в учетной записи Microsoft, скопировать на USB-накопитель или распечатать.

Сохранили?! Теперь требуется указать, какую часть диска нужно зашифровать.

У Вас будет два варианта:

Если Вы шифруете новый диск или новый ПК, Вам достаточно зашифровать только ту часть диска, которая используется в данный момент. Далее BitLocker будет зашифровывать данные автоматически по мере их добавления.
Если Вы включаете BitLocker на уже используемом ПК или диске, рекомендуем зашифровать весь диск. Это будет гарантировать защиту всех данных.

Для нас второй вариант более предпочтителен. Обратите внимание, что шифрование займет некоторое время, особенно если у Вас большой диск. Убедитесь, что Ваш компьютер подключен к источнику бесперебойного питания на случай сбоев в электросети.

Если у Вас установлены ноябрьские обновления Windows 10, то Вам доступен режим более надежного шифрования XTS-AES. Выбираете это вариант, всегда, когда возможно.

Когда Вы будете готовы начать шифрование, нажмите кнопку «Продолжить»

Перезагрузите компьютер при появлении соответствующего запроса.

Помните пароль, который Вы создали ранее? Сейчас самое время его ввести.

После входа в Windows, Вы заметите, что ничего глобального не изменилось.

Чтобы узнать статус шифрования, нажмите кнопку Пуск> Проводник> Этот компьютер. Теперь Вы увидите нарисованный замочек на системном диске. Щелкните правой кнопкой мыши на диск, а затем выберите «Управление BitLocker».

Вы увидите текущее состояние диска C:\ - BitLocker шифрования (включен). Вы можете продолжить использовать свой компьютер, так как шифрование происходит в фоновом режиме. Вы будете уведомлены, когда оно будет завершено.

Если Вы захотите приостановить шифрование, Вы можете сделать это в панели шифрования диска BitLocker Нажмите на ссылку «Приостановить защиту». После этого момента вновь созданные файлы и папки шифроваться не будут. Тут же Вы можете полностью отключить BitLocker и расшифровать все Ваши данные.

Постскриптум

Надеемся, наша статься оказалась полезной, и Вы надежно зашифровали свои данные, но не забудьте позаботиться о безопасности связи – попробуйте наш анонимный VPN, сегодня на специальных условиях c промо кодом BitLocker.

Сценарий 1. Включение шифрования диска BitLocker на диске операционной системы (Windows 7)

Нажмите кнопку Пуск, последовательно выберите пункты Панель управления и Система и безопасность, а затем щелкните элемент Шифрование диска BitLocker.

Щелкните элемент Включить BitLocker для диска операционной системы. BitLocker проверит компьютер на соответствие системным требованиям. Если компьютер соответствует требованиям, то BitLocker выведет сведения о дальнейших действиях, необходимых для включения BitLocker (подготовка диска, включение модуля TPM и шифрование диска).

Если диск операционной системы имеет один раздел, то BitLocker подготовит диск путем его сжатия и создания нового раздела операционной системы, используемого для системных файлов, которые необходимы для запуска или восстановления операционной системы и не подлежат шифрованию. Этот диск не будет иметь буквы, чтобы предотвратить случайное сохранение файлов на нем. После подготовки диска необходимо перезапустить компьютер.

Если модуль TPM не инициализирован, то мастер настройки BitLocker выведет запрос на отключение всех CD-, DVD- и USB-дисков от компьютера и его перезапуск для начала включения модуля TPM. Запрос на включение модуля TPM будет выведен перед загрузкой системы, но в некоторых случаях потребуется перейти в параметры BIOS и включить модуль TPM вручную. Это зависит от модуля компьютера BIOS. После подтверждения необходимости включения модуля TPM запустится операционная система и отобразится индикатор Инициализация оборудования безопасности для доверенного платформенного модуля.

Если компьютер не оборудован модулем TPM, BitLocker может использоваться, но при этом будет использоваться метод проверки подлинности Только ключ запуска. Все необходимые сведения о ключе шифрования хранятся на USB-устройстве флэш-памяти, которое должно быть подключено к компьютеру пользователем в процессе загрузки системы. Ключ, хранящийся на USB-устройстве флэш-памяти, используется для разблокировки компьютера. Использование модуля TPM настоятельно рекомендуется, поскольку этот модуль позволяет защититься от атак на критически важный процесс загрузки компьютера. При использовании метода Только ключ запуска обеспечивается только шифрование диска; при этом не обеспечивается проверка компонентов ранней загрузки или защита от подмены оборудования. Для использования данного метода компьютер должен поддерживать чтение USB-устройств до загрузки операционной системы, также необходимо включить этот метод проверки подлинности, установив флажок политики Разрешить использование BitLocker без совместимого TPM в параметре групповой политики Обязательная дополнительная проверка подлинности при запуске, расположенном в следующей области редактора локальных групповых политик: Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Защита диска BitLocker\Диски операционной системы.

После инициализации модуля TPM мастер настройки BitLocker выведет запрос на выбор метода хранения ключа восстановления. Возможны следующие варианты:

Сохранить ключ восстановления на флэш-накопителе USB. Сохраняет ключ восстановления на флэш-накопителе USB.
Сохранить ключ восстановления в файле. Сохраняет ключ восстановления на сетевом диске или в другом расположении.
Напечатать ключ восстановления. Печатает ключ восстановления.

Используйте один или несколько вариантов сохранения ключа восстановления. Для каждого пункта необходимо выполнить действия мастера по указанию расположения для сохранения или печати ключа восстановления. Когда ключ восстановления будет сохранен, нажмите кнопку Далее.

Важно

Ключ восстановления необходим при перемещении зашифрованного диска на другой компьютер или при внесении изменений в сведения по загрузке системы. Ключ восстановления является очень важным компонентом, поэтому рекомендуется сделать его дополнительные копии и хранить их в надежном месте, чтобы иметь возможность обратиться к ним при необходимости восстановления доступа к диску. Ключ восстановления необходим для разблокировки зашифрованных данных при переходе BitLocker в заблокированное состояние. Ключ восстановления уникален для каждого диска. Ключ не подходит для восстановления зашифрованных данных с другого диска с защитой BitLocker. Для дополнительной безопасности необходимо хранить ключи восстановления отдельно от компьютера.

Мастер настройки BitLocker выводит запрос о готовности к шифрованию диска. Убедитесь в том, что флажок Запустить проверку системы BitLocker установлен, а затем нажмите кнопку Продолжить.

Подтвердите перезагрузку компьютера, нажав кнопку Перезагрузить сейчас. После этого компьютер перезагрузится, а BitLocker проверит его совместимость с BitLocker и готовность к шифрованию. Если компьютер не готов, то после входа в систему отобразится сообщение об ошибке.

Если компьютер готов к шифрованию, то отображается строка состояния Шифрование с ходом выполнения шифрования. Чтобы проверить состояние шифрования диска, наведите указатель мыши на значок Шифрование диска BitLocker в области уведомлений у правого края панели задач. Шифрование диска займет некоторое время. Работа на компьютере во время шифрования возможна, но производительность будет ниже, чем обычно. После завершения шифрования отобразится сообщение об успешном выполнении операции.

technet.microsoft.com

Как зашифровать диск в Windows 10, чтобы никто не украл ваши файлы?

В Windows 10 и более ранних версиях Windows предусмотрено шифрование файлов с помощью технологии BitLocker. Достаточно настроить его один раз, и вы сможете быть уверены, что никто не получит доступ к вашим файлам и не сможет запустить ваши программы, даже если получит физический доступ к накопителю вашего ноутбука или компьютера. Как включить шифрование BitLocker? Прежде всего нужно активировать политики безопасности: 1. Нажмите Win+R и выполните команду gpedit.msc. 2. Перейдите в раздел «Административные шаблоны» > «Компоненты Windows» «Шифрование диска BitLocker» > «Диски операционной системы».

3. Дважды нажмите левой кнопкой мыши на «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске» и выберите опцию «Включено». Теперь можно приступать непосредственно к шифрованию: 1. Откройте «Проводник» > «Мой компьютер» и выберите накопитель, который вы хотите зашифровать. 2. Нажмите на значок накопителя правой кнопкой мыши и выберите «Включить BitLocker».

3. Запустится диалоговое окно с опциями доступа к зашифрованным данным. Следуйте его указаниям и перезагрузите компьютер. Диск будет зашифрован. Процесс шифрования может быть долгим, его продолжительность зависит от объёма шифруемых данных. В процессе настройки шифрование потребуется создать ключ или пароль для дешифровки данных. В пароле необходимо использовать буквы разных регистров и цифры. Когда накопитель установлен в ваш компьютер, шифровка и дешифровка данных производится автоматически, но в том случае, если вы достанете из него зашифрованный накопитель и подключите его к другому устройству, для доступа к файлам потребуется ключ.

Данные для восстановления ключа могут храниться на флешке, в аккаунте Microsoft, в текстовом файле или на распечатанном листе бумаги. Имейте в виду, что это не сам ключ, а лишь информация, которая поможет его восстановить. Ключ можно будет получить только после ввода логина и пароля от учётной записи Microsoft, что усложняет взлом шифрования.

Если вы зашифровали системный логический диск, то пароль придётся вводить при холодном старте устройства или после его перезагрузки.

В этой статье представлен общий обзор BitLocker, включая список требований к системе, а также сведения об устаревших функциях и практическом применении.

Общие сведения о BitLocker

Шифрование диска BitLocker - это функция защиты данных, которая интегрируется в операционную систему и предотвращает угрозы хищения данных или раскрытия информации на потерянных, украденных или неправильно выведенных из эксплуатации компьютерах.

BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или выше. Доверенный платформенный модуль - это аппаратный компонент, который производители устанавливают на многих новых компьютерах. Совместно с BitLocker он обеспечивает защиту данных пользователей и предотвращает несанкционированный доступ к компьютеру, пока система находится вне сети.

На компьютерах без доверенного платформенного модуля версии 1.2 или более поздней все равно можно зашифровать диск операционной системы Windows с помощью BitLocker. Но при такой реализации пользователь должен вставить USB-накопитель с ключом запуска, чтобы запустить компьютер или вывести его из режима гибернации. В Windows 8 и более поздних версий вы можете с помощью пароля защитить том операционной системы на компьютере без доверенного платформенного модуля. Ни один из этих вариантов не обеспечивает проверку целостности системы перед запуском, которая возможна при использовании BitLocker вместе с доверенным платформенным модулем.

В дополнение к возможностям доверенного платформенного модуля компонент BitLocker позволяет блокировать обычный процесс запуска до тех пор, пока пользователь не введет ПИН-код или не вставит съемное устройство (например, USB-накопитель) с ключом запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и предотвращают запуск компьютера или его выведение из режима гибернации, если не указан правильный ПИН-код или не предоставлен ключ запуска.

Практическое применение

Данные на потерянном или украденном компьютере уязвимы к несанкционированному доступу в результате программной атаки или передачи жесткого диска на другой компьютер. BitLocker помогает предотвратить несанкционированный доступ к данным, усиливая защиту файлов и системы. Кроме того, BitLocker помогает сделать данные недоступными при выводе из эксплуатации защищенных при помощи этого компонента компьютеров или передаче таких компьютеров другим пользователям.

В средствах удаленного администрирования сервера есть еще два инструмента, с помощью которых можно управлять BitLocker.

Средство просмотра паролей восстановления BitLocker . Средство просмотра паролей восстановления BitLocker позволяет находить и просматривать пароли восстановления для шифрования дисков BitLocker, резервные копии которых созданы в доменных службах Active Directory (AD DS). С помощью этого средства можно восстанавливать данные на диске, зашифрованном с помощью BitLocker. Средство просмотра паролей восстановления BitLocker - дополнение к оснастке "Пользователи и компьютеры Active Directory" для консоли управления (MMC). С помощью этого средства можно изучить диалоговое окно Свойства объекта-компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker. Кроме того, вы можете щелкнуть контейнер домена правой кнопкой мыши, а затем искать пароль восстановления BitLocker на всех доменах в лесу Active Directory. Просматривать пароли восстановления может администратор домена или пользователь, которому этот администратор делегировал соответствующие разрешения.

Средства шифрования диска BitLocker . В средства шифрования диска BitLocker входят программы командной строки manage-bde и repair-bde, а также командлеты Windows PowerShell для BitLocker. Как manage-bde, так и командлеты для BitLocker позволяют решить любую задачу, выполнимую с помощью панели управления BitLocker. Кроме того, они подойдут для автоматического развертывания и других сценариев, в которых применяются сценарии. Программа командной строки repair-bde предназначена для аварийного восстановления в тех случаях, когда защищенный с помощью BitLocker диск не удается разблокировать обычным способом или с помощью агента восстановления.

Новые и измененные функции

Новые возможности в BitLocker для Windows10, такие как поддержка алгоритма шифрования XTS-AES, см. в разделе BitLocker в «Что нового в Windows 10.»

Системные требования

Требования BitLocker к аппаратному обеспечению

Компонент BitLocker мог использовать проверку целостности системы, предоставленные по доверенного платформенного модуля (TPM), на компьютере должен быть TPM1.2 или более поздней версии. Если на вашем компьютере не установлен доверенный платформенный модуль, то для включения BitLocker необходимо сохранить ключ запуска на съемном устройстве, например USB-устройстве флэш-памяти.

На компьютере с TPM также должно быть встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG. Встроенное ПО BIOS или UEFI устанавливает цепочку сертификатов перед запуском операционной системы и должно предусматривать поддержку метода SRTM (Static Root of Trust Measurement), описанного в спецификации TCG. Для компьютера без TPM не требуется встроенное ПО, отвечающее стандартам организации TCG.

Встроенное ПО BIOS или UEFI системы (для компьютеров с TPM и без него) должно поддерживать класс запоминающих устройств для USB, а также считывание небольших файлов с USB-устройства флэш-памяти в среде до запуска операционной системы.

Жесткий диск должен быть разбит как минимум на два диска.

Диск операционной системы (или загрузочный диск), который содержит операционную систему и ее вспомогательные файлы. Он должен быть отформатирован с использованием файловой системы NTFS.
Системный диск, который содержит файлы, необходимые для загрузки Windows после того, как встроенное ПО подготовит системное оборудование. На этом диске не включается BitLocker. Чтобы работал компонент BitLocker, системный диск не должен быть диском операционной системы. Кроме того, он должен быть отформатирован с использованием файловой системы FAT32 на компьютерах с UEFI (или с использованием файловой системы NTFS на компьютерах с BIOS). Рекомендуемый размер системного диска - около 350 МБ. После включения BitLocker должно остаться примерно 250 МБ свободного дискового пространства.

При установке Windows на новом компьютере автоматически создадутся разделы, необходимые для BitLocker.

При установке необязательного компонента BitLocker на сервере вам также потребуется установить компонент Enhanced Storage, который используется для поддержки аппаратно зашифрованных дисков.

В этом разделе

Статья	Описание
Общие сведения о функции шифровании устройств BitLocker в Windows 10	В этом разделе для ИТ-специалистов представлен обзор способов, которыми BitLocker и шифрование устройств помогают защитить данные на устройствах под управлением Windows 10.
Вопросы и ответы по BitLocker	В этой статье, предназначенной для ИТ-специалистов, даются ответы на часто задаваемые вопросы, касающиеся требований использования, обновления, развертывания и администрирования, а также политик управления ключами для BitLocker.
Подготовка организации к использованию BitLocker: планирование и политики	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как планировать развертывание BitLocker.
Базовое развертывание BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать функции шифрования диска BitLocker для защиты данных.
BitLocker: Как развертывание в Windows Server	В этом разделе для ИТ-специалистов описывается развертывание BitLocker в Windows Server.
BitLocker: включение сетевой разблокировки	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как работает сетевая разблокировка BitLocker и как ее настроить.
BitLocker: использование средств шифрования диска BitLocker для управления BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать средства для управления BitLocker.
BitLocker: использование средства просмотра пароля восстановления BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать средство просмотра пароля восстановления в BitLocker.
Параметры групповой политики BitLocker	В этой статье для ИТ-специалистов рассказывается о функциях, расположении и действии всех параметров групповой политики, используемых для управления BitLocker.
Параметры данных конфигурации загрузки и BitLocker	В этой статье, предназначенной для ИТ-специалистов, описаны параметры данных конфигурации загрузки, которые используются в BitLocker.
Руководство по восстановлению BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как восстановить ключи BitLocker из ADDS.
Защита BitLocker от атак с использованием предзагрузочной среды	Это подробное руководство поможет вам понять условиях, которые рекомендуется использовать проверку подлинности в предзагрузочной для устройств под управлением Windows10, Windows 8.1, Windows 8 или Windows 7; и при его можно безопасно исключить из конфигурации устройства.
Защита общих томов кластера и сетей хранения данных с помощью технологии BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как защитить общие тома кластеров и сети хранения данных с помощью BitLocker.
Включение безопасной загрузки и шифрования устройства BitLocker в Windows 10 IoT Базовая	В этом разделе описывается, как использовать BitLocker в Windows 10 IoT Базовая

Обратная связь

Мы бы хотели узнать ваше мнение. Укажите, о чем вы хотите рассказать нам.

Наша система обратной связи основана на принципах работы с вопросами на GitHub. Дополнительные сведения см. в .