Операційна система дозволяє шифрувати локальні диски і знімні пристрої за допомогою вбудованої програми-шифрувальника BitLocker. Коли команда TrueCrypt несподівано закрила проект, вони рекомендували своїм користувачам перейти на BitLocker.
Для роботи BitLocker для шифрування дисків і BitLocker To Go потрібна професійна, корпоративна версія Windows 8, 8.1 або 10, або ж Максимальна версія Windows 7. Але "ядро" ОС Windows версії 8.1 включає в себе функцію "Device Encryption" для доступу до зашифрованих пристроїв .
Для включення BitLocker відкрийте Панель управління і перейдіть в Систему і безпека - Шифрування диска за допомогою BitLocker. Ви також можете відкрити Провідник Windows, натиснути правою кнопкою на диску і вибрати Включити BitLocker. Якщо такої опції немає в меню, значить у вас не підтримувана версія Windows.
Натисніть на опцію Включити BitLocker на проти системного диска, будь-якого логічного розділу або знімного пристрою для включення шифрування. Динамічні диски не можуть бути зашифровані за допомогою BitLocker.
Доступно два типи шифрування BitLocker для включення:
- Для логічного розділу. Дозволяє шифрувати будь-які вбудовані диски, як системні, так і немає. При включенні комп'ютера, завантажувач запускає Windows, з розділу System Reserved, і пропонує метод розблокування - наприклад, пароль. Після цього BitLocker розшифрує диск і запустить Windows. Процес шифрування / дешифрування буде проходити на льоту, і ви будете працювати з системою точно також, як до включення шифрування. Також можна зашифрувати інші диски в комп'ютері, а не тільки диск операційної системи. Пароль для доступу необхідно буде ввести при першому зверненні до такого диску.
- Для зовнішніх пристроїв. Зовнішні накопичувачі, такі як USB флеш-накопичувачі і зовнішні жорсткі диски, можуть бути зашифровані за допомогою BitLocker To Go. Вам буде запропоновано ввести пароль для розблокування при підключенні накопичувача до комп'ютера. Користувачі, у яких не буде пароля не зможуть отримати доступ до файлів на диску.
Використання BitLocker без TPM
Якщо на вашому відсутня Trusted Platform Module (TPM), то при включенні BitLocker ви побачите повідомлення:
«Це пристрій не може використовувати довірений платформний модуль (TPM). Адміністратор повинен задати параметр - Дозволити використовувати BitLocker без сумісного TPM »в політиці - Обов'язкова додаткова перевірка справжності при запуску для томів ОС.
Шифрування диска з Bitlocker за замовчуванням вимагає наявність модуля TPM на комп'ютері для безпеки диска з операційною системою. Це мікрочіп, вбудований в материнську плату комп'ютера. BitLocker може зберігати зашифрований ключ в TPM, так як це набагато надійніше ніж зберігати його на жорсткому диску комп'ютера. TPM чіп надасть ключ шифрування тільки після перевірки стану комп'ютера. Зловмисник не може просто вкрасти жорсткий диск вашого комп'ютера або створити образ зашифрованого диска і потім розшифрувати його на іншому комп'ютері.
Натисніть Windows + R для запуску команди виконати, введіть gpedit.msc і натисніть Enter. Перейдіть в Політика «Локальний комп'ютер» - «Конфігурація комп'ютера» - «Адміністративні шаблони» - «Компоненти Windows» - «Шифрування диска BitLocker» - «Диски операційної системи». Двічі клікніть на пункті «Цей параметр політики дозволяє налаштувати вимога додаткової перевірки автентичності при запуску». Змініть значення на включено і перевірте наявність галочки на пункті «Дозволити використання BitLocker без сумісного TPM», потім натисніть Ок для збереження.
Виберіть метод розблокування
Далі необхідно вказати спосіб розблокування диска при запуску. Ви можете вибрати різні шляхи для розблокування диска. Якщо ваш комп'ютер не має TPM, ви можете розблокувати диск за допомогою введення пароля або вставляючи спеціальну USB флешку, яка працює як ключ.
Якщо комп'ютер оснащений TPM, вам будуть доступні додаткові опції. На приклад ви можете налаштувати автоматичне розблокування при завантаженні. Комп'ютер буде звертатися за паролем до TPM модуля і автоматично розшифрує диск. Для підвищення рівня безпеки Ви можете налаштувати використання Пін коду при завантаженні. Пін код буде використовуватися для надійного шифрування ключа для відкриття диска, який зберігатися в TPM.
Виберіть ваш бажаний спосіб розблокування і коректний для подальшої настройки.
Збережіть ключ відновлення в надійне місце
Перед шифруванням диска BitLocker надасть вам ключ відновлення. Цей ключ розблокує зашифрований диск в разі втрати вашого пароля. На приклад ви втратите пароль або USB флешку, яка використовується в якості ключа, або TPM модуль перестане функціонувати і т.д.
Розшифровка і розблокування диска
Після включення BitLocker буде автоматично шифрувати нові файли в міру їх додавання або зміни, але ви можете вибрати як вчинити з файлами, які вже присутні на вашому диску. Ви можете зашифрувати лише зайняте зараз місце або весь диск цілком. Шифрування всього диска проходить довше, але убезпечить від можливості відновлення вмісту віддалених файлів. Якщо ви налаштовуєте BitLocker на новому комп'ютері, шифруйте тільки використане місце на диску - так швидше. Якщо ви налаштовуєте BitLocker на комп'ютері, який використовували до цього, ви повинні використовувати шифрування всього диска цілком.
Вам буде запропоновано запустити перевірку системи BitLocker і перезавантажити комп'ютер. Після першого завантаження комп'ютера в перший раз диск буде зашифрований. У системному треї буде доступна іконка BitLocker, клікніть по ній щоб побачити запропонований прогрес. Ви можете використовувати комп'ютер поки шифрується диск, але процес буде йти повільніше.
Після перезавантаження комп'ютера, ви побачите рядок для введення пароля BitLocker, ПІН коду або пропозицію вставити USB ключ.
Натисніть Escape якщо ви не можете виконати розблокування. Вам буде запропоновано ввести ключ відновлення.
Якщо ви вибрали шифрування знімного пристрою з BitLocker To Go, ви побачите схожий майстер, але ваш диск буде зашифрований без вимоги перезавантаження системи. Не від'єднуйте знімний пристрій під час процесу шифрування.
Коли ви підключіть зашифровану флешку або зовнішній диск до комп'ютера, необхідно буде ввести пароль для його розблокування. Захищені BitLocker диски мають спеціальну іконку в Windows провіднику.
Ви можете управляти захищеними дисками в вікні контрольної панелі BitLocker - змінити пароль, вимкнути BitLocker, зробити резервну копію ключа відновлення та інші дії. Натисніть правою кнопкою мишки на зашифрованому диску і виберіть Увімкнути BitLocker для переходу в панель управління.
Як і будь-який шифрування BitLocker додатково навантажує системні ресурси. Офіційна довідка Microsoft по BitLocker говорить наступне «Як правило додаткове навантаження становить менше 10%». Якщо ви працюєте з важливими документами і шифрування вам необхідно - це буде розумний компроміс з продуктивністю.