Как зашифровать диск с помощью BitLocker в Windows 10
Windows 10 редакций Профессиональная и Корпоративная имеют встроенную утилиту BitLocker, позволяющую надежно зашифровать содержимое диска (в том числе системного) или внешнего накопителя (об этом в отдельной инструкции: Как поставить пароль на флешку и зашифровать её содержимое). Конечно, для этого можно использовать и сторонние средства, например, VeraCrypt, но в большинстве случаев можно рекомендовать встроенную утилиту шифрования.
В этой инструкции о том, как зашифровать диск с помощью BitLocker. Пример приводится для системного раздела диска, но суть остается неизменной и при необходимости шифрования других дисков. Вы также можете создать виртуальный жесткий диск и зашифровать его — таким образом вы получите защищенный файловый контейнер с возможностью его резервного копирования в облаке и на различных накопителях, переноса на другие компьютеры. Также может быть интересным: Шифрование BitLocker в Windows 10 Домашняя.
Процесс шифрования SSD или жесткого диска с помощью BitLocker
Процедура шифрования дисков с помощью BitLocker — не слишком сложная задача, потребуется выполнить следующие простые шаги:
- В проводнике выберите диск, который требуется зашифровать, нажмите по нему правой кнопкой мыши и выберите пункт «Включить BitLocker».
- Если вы увидите сообщение о том, что «Это устройство не может использовать доверенный платформенный модуль TPM», значит вы хотите зашифровать системный диск, а модуль TPM на компьютере отсутствует или отключен. Проблема решаема, об этом здесь: Как включить BitLocker без TPM.
- После короткой проверки дисков вы увидите предложение настроить тип разблокировки: вставить USB-устройство флэш-памяти (обычную флешку) или ввести пароль. Я в своей практике использую пункт «Введите пароль». Предложение с вводом пароля может не появиться, в этом случае обратите внимание на инструкцию Как включить пароль BitLocker на ноутбуках и компьютерах с TPM.
- Если вы также будете использовать разблокировку с помощью пароля, введите и подтвердите ваш пароль. Настоятельно рекомендую записать его, если есть вероятность забыть заданный пароль (в противном случае вы можете полностью потерять доступ к данным). Нажмите «Далее».
- Вам будет предложено сохранить ключ для восстановления доступа к диску, зашифрованному BitLocker. Вы можете сохранить ключ в различные расположения на своё усмотрение. Вне зависимости от того, какой вариант вы выберите, настоятельно рекомендую серьезно отнестись к этому шагу (и не сохранять ключ на тот же диск, который шифруется): сбои питания, ошибки файловой системы могут приводить к проблемам с доступом к зашифрованному диску просто по паролю и ключ восстановления действительно помогает получить доступ к данным. Я лично на своем основном компьютере столкнулся с таким дважды за последние 5 лет и был очень благодарен сам себе за то, что у меня есть ключ восстановления — оба раза он помог.
- Следующий этап — выбор, какую часть диска шифровать. Для большинства пользователей подойдет вариант «Шифровать только занятое место на диске» (в этом случае будут зашифрованы все файлы, которые уже есть на диске и автоматически будет шифроваться всё, что в дальнейшем на него записывается). Второй вариант шифрует и свободное пространство. Что это дает? Например, если у вас на этом диске ранее были очень секретные данные, а потом они были удалены, есть вероятность их восстановления с помощью соответствующих программ для восстановления данных. После шифрования свободного пространства восстановить удаленные данные не получится (во всяком случае без разблокировки доступа к диску).
- В последних версиях Windows 10 вам также предложат выбрать режим шифрования. Если вы планируете отключать диск и подключать его в других версиях Windows 10 и 8.1, выберите режим совместимости. Иначе можно оставить «Новый режим шифрования».
- В следующем окне оставьте включенным пункт «Запустить проверку BitLocker» и нажмите «Продолжить».
- Вы увидите уведомление о том, что шифрование диска будет выполнено после перезагрузки компьютера. Выполните перезагрузку.
- В случае, если вы шифровали системный диск, то перед запуском Windows 10 вам нужно будет ввести заданный пароль BitLocker для разблокировки диска (или подключить USB-накопитель, если ключ создавался на нем).
- После запуска Windows 10 будет выполнено шифрование накопителя в соответствии с заданными настройками (в области уведомлений появится соответствующий значок, а при его открытии — окно с прогрессом шифрования). Вы можете пользоваться компьютером пока идет шифрование пространства на диске.
- Если шифровался системный диск, то он сразу будет вам доступен (поскольку пароль был введен на предыдущем шаге). Если шифровался не системный раздел диска или внешний накопитель, при открытии этого диска в проводнике вас попросят ввести пароль для доступа к данным.
- По завершении процесса, продолжительность которого зависит от занятого места на диске и скорости его работы (на HDD медленнее, на SSD быстрее), вы получите зашифрованный диск.
Все данные, которые вы будете на него записывать, шифруются «на лету» и так же расшифровываются. Для не системных дисков вы в любой момент можете использовать контекстное меню для его блокировки (чтобы другой человек за этим же компьютером не мог открыть его содержимого).
Доступ к зашифрованному системному диску есть всегда, пока запущена система (иначе бы она не смогла работать).
Если остались какие-либо вопросы на тему шифрования с помощью BitLocker — спрашивайте в комментариях, я постараюсь ответить.
Александр
Спасибо за науку : ) И я бы добавил в название раздела Вашего сайта (.. для начинающих и сильнозанятых в бизнесе)
Ответить
Дмитрий
А возможно использовать одинаковые ключи шифрования на разных ПК? Например — зашифрованный раздел содержит локальную копию облачного хранилища, скажем Яндекс диска, нужно чтобы на двух ПК (настольном и десктопе) синхронизировалась зашифрованная папка. BitLocker такое умеет?
Ответить
Dmitry
Не вполне понял конфигурацию.
Если предположить, что у вас, к примеру всё обстоит так:
1. На компьютере шифрованный BitLocker-ом раздел.
2. Его содержимое синхронизируется с Яндекс Диском.
То в яндекс диске оно уже не зашифровано и вы легко можете синхронизировать его с зашифрованным разделом на другом компьютере.
Ответить
Алексей
Спасибо. А как вернуть всё обратно. ну то есть отключить и убрать шифрование, чтобы диск опять был просто диск, без паролей и шифров. Спасибо.
Ответить
Dmitry
Здравствуйте.
Правый клик по диску — управление Bitlocker — Отключить BitLocker. Ну и потом дождаться, когда данные будут расшифрованы (тоже время займет, как и при первоначальном шифровании).
Ответить
Иван
Неверно. Данные не расшифровываются. А остаются зашифрованными. Просто ключ и пароль больше не требуются и система их открывает.
Ответить
Dmitry
Секунду… именно расшифровываются. Убедиться легко: когда мы выбираем «Отключить BitLocker» в управлении BitLocker, нас прямо-таки прямым текстом предупреждают: Ваш диск будет расшифрован. Это может занять значительное время, но вы можете продолжать пользоваться компьютером.
Неточность у меня лишь в том что прямо по правому клику, когда по факту Правый клик — управление BitLocker — отключить BitLocker.
Ответить
Volodymyr
По имеющейся информации в Интернет это выглядит как расшифровка, хотя на самом деле секретный ключ просто становиться несекретным, но данные дефакто на диске зашифрованы.
Ответить
Ildar
Если на компьютере 2 локальных диска, C и D. На С ос установлена, на D данные которые нужно зашифровать. Нужно же наверное оба диска шифровать тогда? Или достаточно только D?
Ответить
Dmitry
Достаточно D, при условии, что никак не будете включать автоматическую его разблокировку при входе в систему (по умолчанию вроде такого не происходит).
Ответить
Aleksandr
я на двух компьютерах шифровал диск С и оба раза отсутствовал сам процесс шифрования, то есть при первой перезагрузки сразу запрашивался пароль и потом при загрузке системы не было процесса шифрования с процентами как у вас описано. Нормально ли это? А вот при шифрование диска D все как обычно
Ответить
Dmitry
Здравствуйте.
Этот процесс идет по умолчанию в трее (в углу справа) и работе не мешает, так что не исключаю, что был у вас процесс. Полностью его пропустить нельзя насколько я помню — либо только занятое, либо все пространство шифруется.
Ответить
Александр
Димитрий, здравствуйте!
Подскажите, пожалуйста, как быть. Дело в том, что на моём планшете, как оказалось, шифрование включено производителем, так сказать, из коробки (вот такая картина в «Управлении дисками»: (скриншот). Никаких вариантов создания пароля и ключа восстановления система не предлагала. В памяти планшета никаких TXT-файлов с ключом тоже не нашлось, а в разделе «Шифрование» вот что показывает
Почитав в Интернете дополнительно о BitLocker’е, я понял, что желательно найти этот ключ восстановления, ибо потом из-за этого могут возникнуть проблемы и придётся или возвращаться к исходному состоянию системы, или вообще переустанавливать Windows. В теме аппарата на 4PDA, а также в Интернете пишут, что этот ключ должен храниться в учётной записи Microsoft, но её, честно говоря, у меня нет и заводить не хочется.
В связи со всем этим несколько вопросов:
1. Является ли код устройства (я так понимаю, вот он: (скриншот), о котором упоминается в разделе «Шифрование», одновременно и ключом восстановления?
2. Обязательно ли заводить учётную запись Microsoft, чтобы получить ключ восстановления?
3. Можно ли отключить шифрование без наличия ключа восстановления?
4. Есть ли какие-то подводные камни, связанные с шифрованием, при использовании двух ОС на планшете?
Ответить
Dmitry
Здравствуйте.
Пробую ответить:
1. Я точно не знаю. У меня нет таких устройств для экспериментов, но вот что у нас есть в официальной справке Майкрософт:
If your device is a modern device that meets certain requirements to automatically enable device encryption: In this case your BitLocker recovery key is automatically saved to your Microsoft account before protection is activated.
Перевод: если ваше устройство — современное устройство, соответствующее определенным требованиям для автоматического включения шифрования: ваш ключ восстановления Bitlocker будет автоматически сохранен в вашу учетную запись Майкрософт перед тем, как будет активировано шифрование.
То есть в итоге я не знаю, можно ли использовать код устройства как-то для восстановления (хотя думаю: не зря же он в разделе «шифрование». Ну и вроде бы ключ восстановления должен бы сохраниться, если вы заведете учетку Майкрософт).
2. Вытекает из 1 — точно не знаю) Но: чтобы ключ восстановления сохранился в учетной записи Майкрософт на их серверах — обязательно.
3. Для обычного случая, когда Bitlocker был включен вручную (и вы имеете доступ к разделу) — можно. У вас же чуть иная реализация — так называемое «шифрование устройства» с завода. Как с ним дело обстоит в этом плане мне неизвестно, как и в п.1 — не попадались устройства такие с возможностью «поиграться».
4. Могут быть. Если решите ставить, то раздел выделять под вторую ОС только из под запущенной «первой» Windows (а не софтом сторонним или в программе установки второй ОС). И ставить систему в том же режиме (UEFI/GPT). Хотя вообще рекомендовал бы отключить шифрование на время установки второй ОС.
Ответить
Александр
Понял. Большое спасибо за ответы. Значит, всё-таки придётся обзавестись учёткой от Microsoft, а потом проводить остальные эксперименты. :-)
Ответить
Александр
Дмитрий, добрый день!
В общем, я почти разобрался с шифрованием. Оказывается, в разделе «Активация» (тот, что в «Обновление и безопасность») был пункт «Завершить шифрование». Я его нажал, и система сама предложила войти в учётную запись Microsoft. После создания учётки я нашёл ключ восстановления вот тут: account.microsoft.com/devices/recoverykey.
Затем я отключил шифрование (ключ, слава Богу, не пришлось вводить), но по итогу раздел, который содержит загрузчик, так и остался зашифрованным. Расшифровался только диск C (раздел Windows RE tools был изначально незашифрованным). Не помешает ли такая ситуация установке второй системы? Кстати, а это нормально, что система показывает, что в разделе, который содержит загрузчик, свободно 100 % места?
Ответить
Dmitry
Здравствуйте.
Всё то, что касается шифрования раздела с загрузчиком EFI — стандартно для Windows 10 (и 8/8.1), даже для машин, где никогда никакое шифрование не включалось. Так и должно быть.
Установке других систем в режиме UEFI не помешает.
Ответить
Александр
Большое спасибо за ответ! Только хочу уточнить: а это нормально, что раздел, содержащий загрузчик, показывает 100 % свободного места и не сообщает, какая в нём файловая система? А то натыкался в Интернете на скриншоты, где в этом разделе писалось 30–40 % свободного места…
Ответить
Dmitry
Да, совершенно нормально.
Файловую систему можете посмотреть в командной строке (но я могу сразу сказать, что FAT32):
diskpart
list volume
И про 100% свободных не переживайте: он вам просто не хочет показывать, сколько там (не только вам, а вообще, пользователям). Но если сделать, к примеру, так: назначить букву этому разделу, получить доступ к нему (а по умолчанию его нет) и посмотреть занятое/свободное в свойствах, а не в управлении дисками — то увидим, что он совсем не пустой.
Ответить
Александр
Ещё раз вам большое спасибо за пояснение. Посмотрел список дисков с помощью diskpart, и там действительно указано то, что Вы сказали. Только вот раздела с рекавери не видно почему-то. Это нормально?
Ответить
Dmitry
Вообще, по умолчанию обычно виден.
А если:
diskpart
select disk 0
list partition
Ответить
Александр
Дмитрий, Вы не поверите, но эта команда показывает уже четыре раздела. :-)
Ответить
Dmitry
Поверю. Всё хорошо, оставляйте как есть и не забивайте голову)
Ответить
Александр
Благодарю за помощь! Успехов в работе!
Ответить
Ник
Добрый день. Возможен такой сценарий? Обновить win10 home до win10 pro ключом предварительной сборки, затем зашифровать системный раздел ноутбука, а после окончания процесса откатить систему через точку восстановления обратно на win10 home без переустановки.
Ответить
Dmitry
Здравствуйте.
Вот не уверен, что такой план сработает. Возможные проблемы:
1. Не согласится съесть ключ предварительной сборки.
2. Я совершенно не уверен, что точка восстановления даст нам к другой редакции вернуться (но сам такое не пробовал).
Ответить
Ник
1. Проверено — При отключенном интернете и ключом VK7JG-NPHTM-C97JM-9MPGT-3V66T (доступен в свободном доступе для предварительной версии) устанавливается win10 Pro, но понятное дело версия не активирована.
2. Проверено — Через точку восстановления откат прошел успешно, т.к. процесс обновления всего лишь добавляет компоненты, которых нет в Домашней
И теперь самое интересное. Если между этими действиями выполнить шифрование Bitlocker’om.
Если порассуждать, то после шифрования сама система не изменится, процесс отката будет идти с зашифрованными данными, которые система сумеет понять. Может у вас более ясное понимание процесса создания точки восстановления? Вероятно, это набор инструкций и настроек, которые меняются при определенных манипуляциях с системой и которые поддаются обратному восстановлению
Ответить
Dmitry
По идее (как мне кажется) — действительно, шифрование BitLocker исчезнуть не должно после такой процедуры, но тут только пробовать.
По точкам восстановления: они сохраняют (и при восстановлении — переписывают) часть важных системных файлов + все файлы реестра.
Ответить
Ник
проверил. работает.
кратко:
обновление до win10 pro без активации
включение bitlocker
откат через точку восстановления
в итоге win10 Домашняя с шифрованым диском
Ответить
Dmitry
Отлично! (и я заодно буду знать о возможности — самому в голову такой эксперимент не приходил).
Ответить
Алексей
Есть внешний диск с файлами, как выделить и зашифровать в нем часть диска и чтобы доступ к незашифрованной был без проблем при подключении к тв, приставке?
Ответить
Dmitry
Варианты:
1. Создать отдельный раздел под зашифрованные файлы и шифровать этот раздел.
2. Создать на этом диске файл виртуального жесткого диска, в него закинуть файлы, подлежащие шифрованию и шифровать виртуальный жесткий диск.
Ответить
Kirill
Здравствуйте. У меня вопрос появился, т.к. ранее не доводилось шифровать системный раздел. Обычно всегда хватало отдельного диска или выделенного раздела, Но вот, нужно по работе. Так вот, удаленное подключение к пк для ввода пароля битлокера возможно? То есть система грузится до ввода пароля до состояния загрузки служб?
Ответить
Dmitry
Здравствуйте. Насколько мне известно, нет, службы запускаются уже после
Ответить
Kirill
Благодарю.
Ответить