Как включить bitlocker без tpm

Windows

le class=»article» data-id=»114094836851″>

Функция шифрования диска BitLocker позволяет уберечь ваши данные в случае утери компьютера. Чтобы получить данные с вашего диска, потребуется ввести пароль, даже если диск будет извлечен из компьютера и будет подключен к другому.

Также можно включить шифрование и для внешних дисков.

Функция работает только в следующих версиях Windows:

— Pro, Enterprise, и Education версии Windows 10;

— Pro и Enterprise версии Windows 8 и 8.1;

— Ultimate и Enterprise версии Windows Vista и Windows 7;

— Windows Server 2008 или более новая версия.

По умолчанию, для работы BitLocker требуется наличие специального модуля TPM на материнской плате вашего компьютера.

Однако, можно использовать функцию шифрования и без него.

Обратите внимание, что процесс шифрования может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена

Включение BitLocker.

1. Нажмите на клавиатуре клавиши Windows + R.

2. В новом окне введите gpedit.msc и нажмите ОК.

3. В левой части нового окна Редактор локальной групповой политки выберите Конфигурация Компьютера > Административные шаблоны > Компонент Windows.

В правой части окна дважды щелкните по Шифрование диска BitLocker.

4. Дважды щелкните по Диски операционной системы.

5. Дважды щелкните по Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.

6. В новом окне выберите пункт Включено, поставьте галочку напротив Разрешить использование BitLocker без совместимого доверенного платформенного модуля и нажмите OK.

7. Закройте окно Редактор локальной групповой политки.

8. Нажмите правой кнопкой мыши по значку Windows и выберите Панель управления.

9. Выберите значок Шифрование диска BitLocker.

10. Выберите Включить BitLocker.

11. Дождитесь окончания проверки и нажмите Далее.

12. Ознакомьтесь с предупреждениями и нажмите Далее.

Обратите внимание, что в случае утери пароля, вы также не сможете получить доступ к данным на диске, поэтому рекомендуется сделать резервную копию самых важных документов

13. Начнется процесс подготовки, во время которого нельзя выключать компьютер. В ином случае загрузочный раздел может быть поврежден и Windows не сможет быть загружена.

14. Нажмите кнопку Далее.

15. Укажите пароль, который будет использоваться для разблокировки диска при включении компьютера и нажмите кнопку Далее. Рекомендуется, чтобы он отличался от пароля пользователя на компьютере.

16. Выберите, каким образом требуется сохранить ключ восстановления. Этот ключ поможет вам получить доступ к диску, если вы забудете пароль от диска. После чего нажмите Далее.

Предлагается несколько вариантов восстановления (в этом варианте ключ был распечатан):

— Сохранить в вашу учетную запись Майкрософт — если на компьютере осуществлен вход в личную запись Microsoft, то в случае утери пароля можно будет разблокировать диск с помощью учетной записи Microsoft;

— Сохранить в файл — ключ будет сохранен в текстовом документе.

— Напечатать ключ восстановления — ключ будет распечатан на указанном принтере.

Ключ рекомендуется хранить отдельно от компьютера.

17. Для надежности рекомендуется выбрать шифрование всего диска. Нажмите Далее.

18. Выберите Новый режим шифрования и нажмите Далее.

19. Поставьте галочку напротив Запустить проверку системы BitLocker и нажмите Продолжить.

20. Появится уведомление о том, что требуется перезагрузить компьютер, а в панели уведомлений — значок BitLocker. Перезагрузите компьютер.

21. Сразу после перезагрузки у вас появится окно ввода пароля. Введите пароль, который вы указывали при включении шифрования, и нажмите Enter.

22. Шифрование начнется сразу после загрузки Windows. Нажмите на значок BitLocker в панели уведомлений, чтобы увидеть прогресс.

Обратите внимание, что шифрование может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена

Отключение BitLocker.

1. Нажмите на значок BitLocker в правом нижнем углу.

2. Выберите Управление BitLocker.

3. Выберите Отключить BitLocker.

4. В новом окне нажмите Отключить BitLocker.

5. Процесс дешифровки также может занять продолжительное время, в зависимости от размера диска. В это время вы можете пользоваться компьютером как обычно, настраивать ничего не потребуется.

Может ли отладчик ядра работать с BitLocker?Can I run a kernel debugger with BitLocker?

Да.Yes. При этом отладчик нужно включать до включения BitLocker.However, the debugger should be turned on before enabling BitLocker. Заблаговременное включение отладчика обеспечивает правильность вычисления показателей состояния при запечатывании в доверенном платформенном модуле, что позволяет компьютеру корректно запускаться.Turning on the debugger ensures that the correct measurements are calculated when sealing to the TPM, allowing the computer to start properly. Если нужно включить или выключить отладку при использовании BitLocker, сначала приостановите BitLocker, чтобы не дать компьютеру перейти в режим восстановления.If you need to turn debugging on or off when using BitLocker, be sure to suspend BitLocker first to avoid putting your computer into recovery mode.

Для пользователей Windows 10 Professional: BitLocker

К сожалению, не все устройства поддерживают встроенную услугу шифрования. В таких ситуациях на помощь приходит универсальное приложение BitLocker, которое способно с легкостью шифровать любые накопители — даже съемные USB-устройства. Хоть оно и является стандартной программой WIndows 10, Microsoft по прежнему ограничивают его функционал в зависимости от приобретенной версии: профессиональная, корпоративная или образовательная.

Обычно для использования Bitlocker Windows может потребовать наличие TPM (Trusted Platform Module — аппаратное обеспечение, которое поддерживают большинство современных ПК, приобретается отдельно). Тем не менее существует функция, позволяющая использовать приложение без необходимости покупки TPM. Для этого понадобится использовать Flash-накопитель в качестве “ключа запуска”. Он обязан присутствовать при каждой загрузке BitLocker.

Отличительной особенностью BitLocker является возможность шифрования всего диска. Это говорит, что вам больше не нужно выбирать каждый отдельный файл и обрабатывать его. Достаточно указать диск или раздел, чтобы приложение начало выполнять свои обязанности. Любые новые файлы, которые вы создадите, попадают под один уровень защиты, поэтому нет никакого риска забыть зашифровали вы свежий файл или нет.

Если вы пользуетесь Windows 10 Professional и хотите подключить BitLocker, воспользуйтесь приведенной ниже инструкцией:

1. Откройте меню Пуск.

2. В диалоговом окне введите BitLocker. Запустите приложение

3. Подключите услугу BitLocker.

Если у вас не куплена Windows 10 Professional, но вы по прежнему заинтересованы в использовании шифрования, настоятельно рекомендуем улучшить версию Home до Professional. Сделать это можно открыв Настройки > Обновление и безопасность > Активация > Перейти в магазин. Купив улучшенную версию Windows, вы получите полный доступ к шифрованию BitLocker.

Repair — bdeRepair-bde

Возможно, у вас возникла проблема, из-за которой вы повреждаете область жесткого диска, на которой BitLocker хранит важную информацию.You may experience a problem that damages an area of a hard disk on which BitLocker stores critical information. Эта проблема может возникать из-за сбоя жесткого диска или неожиданного выхода Windows.This kind of problem may be caused by a hard disk failure or if Windows exits unexpectedly.

Средство восстановления BitLocker (Repair-bde) можно использовать для доступа к зашифрованным данным на жестком диске, если диск был зашифрован с помощью BitLocker.The BitLocker Repair Tool (Repair-bde) can be used to access encrypted data on a severely damaged hard disk if the drive was encrypted by using BitLocker. Repair-bde может восстановить критические части диска и восстановить данные, которые будут восстановлены, пока для их расшифровки используется допустимый пароль восстановления или ключ восстановления.Repair-bde can reconstruct critical parts of the drive and salvage recoverable data as long as a valid recovery password or recovery key is used to decrypt the data. Если данные метаданных BitLocker на диске повреждены, необходимо указать пакет ключа резервного копирования в дополнение к паролю восстановления или ключу восстановления.If the BitLocker metadata data on the drive has become corrupt, you must be able to supply a backup key package in addition to the recovery password or recovery key. Этот ключевой пакет архивирован в доменных службах Active Directory (добавляет), если вы использовали параметр по умолчанию для добавления резервной копии.This key package is backed up in Active Directory Domain Services (ADDS) if you used the default setting for ADDS backup. С помощью этого ключевого пакета и либо пароля восстановления, либо ключа восстановления можно расшифровывать части диска, защищенного BitLocker, если диск поврежден.With this key package and either the recovery password or recovery key, you can decrypt portions of a BitLocker-protected drive if the disk is corrupted. Каждый пакет ключей будет работать только на диске с соответствующим идентификатором диска.Each key package will work only for a drive that has the corresponding drive identifier. Вы можете использовать средство просмотра паролей восстановления BitLocker, чтобы получить этот ключевой пакет от добавления.You can use the BitLocker Recovery Password Viewer to obtain this key package from ADDS.

Программа командной строки Repair-bde предназначена для использования в случаях, когда операционная система не запускается или не запускается консоль восстановления BitLocker.The Repair-bde command-line tool is intended for use when the operating system does not start or when you cannot start the BitLocker Recovery Console. Repair-bde следует использовать при соблюдении указанных ниже условий.You should use Repair-bde if the following conditions are true:

1. Вы зашифровали диск с помощью шифрования диска BitLocker.You have encrypted the drive by using BitLocker Drive Encryption.
2. Windows не запускается или вы не можете запустить консоль восстановления BitLocker.Windows does not start, or you cannot start the BitLocker recovery console.
3. У вас нет копии данных, содержащихся на зашифрованном диске.You do not have a copy of the data that is contained on the encrypted drive.

Для Repair-bde существуют следующие ограничения:The following limitations exist for Repair-bde:

• Средству командной строки Repair-bde не удается восстановить диск, который завершился сбоем при шифровании или шифровании.The Repair-bde command-line tool cannot repair a drive that failed during the encryption or decryption process.
• Средство Repair-bde в командной строке предполагает, что если на диске есть шифрование, то диск полностью зашифрован.The Repair-bde command-line tool assumes that if the drive has any encryption, then the drive has been fully encrypted.

Дополнительные сведения об использовании Repair-bde можно найти в разделе Repair-bde.For more information about using repair-bde, see Repair-bde.

Что такое BitLocker?

BitLocker — это инструмент шифрования полного тома, включенный в Windows 10 Pro, Enterprise и Education. Вы можете использовать BitLocker для шифрования тома диска. (Объем диска может означать часть диска, а не весь диск.)

BitLocker предлагает надежное шифрование для обычных пользователей Windows 10. По умолчанию BitLocker использует 128-битное шифрование AES. (также написано как AES-128). Что касается шифрования, это сильно. В настоящее время не существует известного метода грубого форсирования 128-битного ключа шифрования AES. Исследовательская группа разработала одну потенциальную атаку на алгоритм шифрования AES, но взломать ключ потребуются миллионы лет. Вот почему люди называют AES «шифрованием военного уровня».

Таким образом, BitLocker с использованием AES-128 является безопасным. Тем не менее, вы также можете использовать BitLocker с большим 256-битным ключом, что делает его практически невозможным для разблокировки. Сейчас я покажу, как переключить BitLocker на AES-256.

BitLocker имеет три различных метода шифрования:

• Режим аутентификации пользователя. «Стандартный» режим аутентификации пользователя шифрует ваш диск, требуя аутентификацию перед разблокировкой. Аутентификация осуществляется в форме PIN-кода или пароля.
• Прозрачный режим работы. Это немного более продвинутый режим, в котором используется чип доверенного платформенного модуля (TPM). Чип TPM проверяет, что ваши системные файлы не были изменены, так как вы зашифровали диск с помощью BitLocker. Если ваши системные файлы были подделаны, чип TPM не выпустит ключ. В свою очередь, вы не сможете ввести свой пароль для расшифровки диска. Прозрачный режим работы создает дополнительный уровень безопасности над шифрованием вашего диска.
• Режим USB-ключа. В режиме USB Key используется физическое USB-устройство, которое загружается в зашифрованный диск.

Сообщение об ошибке: не удалось прочитать переменную UEFI «SecureBoot»Error message: The UEFI variable ‘SecureBoot’ could not be read

Появляется сообщение об ошибке, подобное следующему:You receive an error message that resembles the following:

ПричинаCause

Реестр конфигурации платформы (PCR) — это расположение в памяти доверенного платформенного модуля.A Platform Configuration Register (PCR) is a memory location in the TPM. В частности, PCR 7 измеряет состояние безопасной загрузки.In particular, PCR 7 measures the state of Secure Boot. Для автоматического шифрования диска BitLocker требуется, чтобы была включена безопасная загрузка.Silent BitLocker Drive Encryption requires that Secure Boot is turned on.

РазрешениеResolution

Вы можете устранить эту проблему, убедившись в профиле проверки PCR доверенного платформенного модуля и состоянии безопасной загрузки.You can resolve this issue by verifying the PCR validation profile of the TPM and the Secure Boot state. Для этого выполните указанные ниже действия.To do this, follow these steps:

Чтобы убедиться в том, что используется PCR 7, откройте окно командной строки с повышенными привилегиями и выполните следующую команду:To verify that PCR 7 is in use, open an elevated Command Prompt window and run the following command:

В разделе TPM результата этой команды убедитесь, что параметр профиля проверки PCR содержит 7, как описано ниже.In the TPM section of the output of this command, verify that the PCR Validation Profile setting includes 7, as follows.

Если профиль проверки PCR не содержит 7 (например, значения включают , 2, 4и 11, но не 7), тогда безопасная загрузка не включена.If PCR Validation Profile doesn’t include 7 (for example, the values include , 2, 4, and 11, but not 7), then Secure Boot is not turned on.

2. Проверьте состояние безопасной загрузки.2. Verify the Secure Boot state

Чтобы проверить состояние безопасной загрузки, используйте приложение «сведения о системе».To verify the Secure Boot state, use the System Information app. Для этого выполните указанные ниже действия.To do this, follow these steps:

1. Нажмите кнопку Пуски в поле поиска введите msinfo32 .Select Start, and enter msinfo32 in the Search box.
2. Убедитесь, что параметр состояние безопасной загрузки включен , какописано ниже.Verify that the Secure Boot State setting is On, as follows:
3. Если параметр состояние безопасной загрузки не поддерживается, вы не можете использовать на этом устройстве автоматическое шифрование BitLocker.If the Secure Boot State setting is Unsupported, you cannot use Silent BitLocker Encryption on this device.

Примечание

Вы также можете использовать командлет Confirm-SecureBootUEFI , чтобы проверить состояние безопасной загрузки.You can also use the Confirm-SecureBootUEFI cmdlet to verify the Secure Boot state. Для этого откройте окно PowerShell с повышенными привилегиями и выполните следующую команду:To do this, open an elevated PowerShell window and run the following command:

Если компьютер поддерживает безопасную загрузку и включена безопасная загрузка, этот командлет возвращает «истина».If the computer supports Secure Boot and Secure Boot is enabled, this cmdlet returns «True.»

Если компьютер поддерживает безопасную загрузку и отключена безопасная загрузка, этот командлет возвращает значение false.If the computer supports Secure Boot and Secure Boot is disabled, this cmdlet returns «False.»

Если компьютер не поддерживает безопасную загрузку или является компьютером BIOS (не UEFI), этот командлет возвращает «командлет не поддерживается на этой платформе».If the computer does not support Secure Boot or is a BIOS (non-UEFI) computer, this cmdlet returns «Cmdlet not supported on this platform.»

Потенциальные уязвимости

Наверняка ты заметил, что при первой активации BitLocker приходится долго ждать. Это неудивительно — процесс посекторного шифрования можeт занять несколько часов, ведь даже прочитать все блоки терабайтных HDD быстрее не удается. Однако отключение BitLocker происходит практически мгновенно — как же так?

Дело в том, что при отключении BitLocker не выполняет расшифровку данных. Все секторы так и останутся зашифрованными ключом FVEK. Просто доступ к этому ключу больше никак не будет ограничиваться. Все проверки отключатся, а VMK останется записанным среди метаданных в открытом виде. При каждом включении компьютера загрузчик ОС будет считывать VMK (уже без проверки TPM, запроса ключа на флешке или пароля), автоматически расшифровывать им FVEK, а затем и все файлы по мере обращения к ним. Для пользователя все будет выглядеть как полное отсутствие шифрования, но самые внимательные могут заметить незначительное снижение быстродействия дискoвой подсистемы. Точнее — отсутствие прибавки в скорости после отключения шифрования.

Интересно в этой схеме и другое. Несмотря на название (технология полнодискового шифрования), часть данных при использовании BitLocker все равно остается незашифрованной. В открытом виде остаются MBR и BS (если только диск не был проинициализирован в GPT), пoврежденные секторы и метаданные. Открытый загрузчик дает простор фантазии. В псевдосбойных секторах удобно прятать руткиты и прочую малварь, а метаданные содержат много всего интересного, в том числе копии ключей. Если BitLocker активен, то они будут зашифрованы (но слабее, чем FVEK шифрует содержимое секторов), а если деактивирован, то просто будут лежать в открытом виде. Это всё потенциальные векторы атаки. Потенциальные они потому, что, помимо них, есть куда более простые и универсальные.

Ключ восстановления

Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления, с которыми связан еще один популярный вектор атаки. Пользовaтели боятся забыть свой пароль и потерять доступ к системе, а Windows сама рекомендует им сделать аварийный вход. Для этого мастер шифрования BitLocker на последнем этапе предлагает создать ключ восстановления. Отказ от его создания не предусмотрен. Можно только выбрать один из вариантов экспорта ключа, каждый из которых очень уязвим.

В настройках по умолчанию ключ экспортируется как простой текстовый файл с узнаваемым именем: «Ключ восстановления BitLocker #», где вместо # пишется идентификатор компьютера (да, прямо в имени файла!). Сам ключ выглядит так.

Аварийный вход в BitLocker

Если ты забыл (или никогда не знал) заданный в BitLocker пароль, то просто поищи файл с ключом восстановления. Наверняка он будет сохранен среди документов текущего пользователя или на его флешке. Может быть, он даже напечатан на листочке, как это рекомендует сделать Microsoft. Просто дождиcь, пока коллега уйдет на перерыв (как всегда, забыв заблoкировать свой комп) и приступай к поискам.

Вход с ключом восстановления

Для быстрого обнаружения ключа восстановления удoбно ограничить поиск по расширению (txt), дате создания (если представляешь, когда примерно могли включить BitLocker) и размеру файла (1388 байт, если файл не редактировали). Найдя ключ восстановления, скопируй его. С ним ты сможешь в любой момент обойти стандартную авторизацию в BitLocker. Для этого достаточно нажать и ввести ключ восстановления. Ты залогинишься без проблем и даже сможешь смeнить пароль в BitLocker на произвольный, не указывая старый! Это уже напоминает проделки из рубрики «Западлостроение».

Смена пароля без ввода действующего

Настройка сетевой разблокировкиConfigure Network Unlock

В некоторых организациях действуют требования к безопасности данных в зависимости от расположения.Some organizations have location-specific data security requirements. Это наиболее распространено в средах, где на ПК хранятся очень ценные данные.This is most common in environments where high-value data is stored on PCs. Сетевая среда может обеспечить важную защиту данных и принудительно реализовать обязательную проверку подлинности; следовательно, согласно политике организации, такие ПК не должны покидать здание или отключаться от сети организации.The network environment may provide crucial data protection and enforce mandatory authentication; therefore, policy states that those PCs should not leave the building or be disconnected from the corporate network. Меры безопасности, такие как физические блокировки безопасности и использование геозон, позволяют реализовывать эту политику в форме реактивных мер контроля.Safeguards like physical security locks and geofencing may help enforce this policy as reactive controls. Помимо этого, необходимо реализовать проактивный контроль безопасности: доступ к данным может быть предоставлен, только когда ПК подключен к сети организации.Beyond these, a proactive security control that grants data access only when the PC is connected to the corporate network is necessary.

Сетевая разблокировка позволяет автоматически запускать ПК под защитой BitLocker, если они подсоединены к проводной сети организации, в которой выполняются службы развертывания Windows.Network Unlock enables BitLocker-protected PCs to start automatically when connected to a wired corporate network on which Windows Deployment Services runs. Если ПК не подключен к сети организации, пользователь должен ввести ПИН-код, чтобы разблокировать диск (если включена разблокировка по ПИН-коду).Anytime the PC is not connected to the corporate network, a user must type a PIN to unlock the drive (if PIN-based unlock is enabled).
Для использования сетевой разблокировки требуется следующая инфраструктура.Network Unlock requires the following infrastructure:

• Клиентские ПК с встроенным ПО UEFI версии 2.3.1 или более поздней с поддержкой DHCP-протокола.Client PCs that have Unified Extensible Firmware Interface (UEFI) firmware version 2.3.1 or later, which supports Dynamic Host Configuration Protocol (DHCP)
• Сервер под управлением Windows Server 2012 и более поздней конфигурации с ролью служб развертывания WindowsA server running at least Windows Server 2012 with the Windows Deployment Services role
• Сервер с установленной ролью DHCP-сервера.A server with the DHCP server role installed

Дополнительные сведения о настройке сетевой разблокировки см. в статье BitLocker: включение сетевой разблокировки.For more information about how to configure Network Unlock, see BitLocker: How to enable Network Unlock.

Как обеспечить поддержку доверенного платформенного модуля в BIOS на компьютере?How do I obtain BIOS support for the TPM on my computer?

Запросите у изготовителя компьютера встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG и следующим требованиям:Contact the computer manufacturer to request a Trusted Computing Group (TCG)-compliant BIOS or UEFI boot firmware that meets the following requirements:

• соответствие стандартам TCG для клиентского компьютера;It is compliant with the TCG standards for a client computer.
• наличие механизма защищенного обновления, предотвращающего установку вредоносного встроенного ПО для BIOS или загрузочного ПО на компьютер.It has a secure update mechanism to help prevent a malicious BIOS or boot firmware from being installed on the computer.

Разблокировка вашего диска BitLocker

Если ваш системный диск зашифрован, его разблокировка зависит от выбранного вами метода (и есть ли у вашего ПК TPM). Если у вас есть TPM и вы решили автоматически разблокировать диск, вы не заметите ничего нового – вы загрузитесь прямо в Windows, как всегда. Если вы выбрали другой метод разблокировки, Windows предложит разблокировать диск (набрав пароль, подключив USB-накопитель или что-то ещё).

Если вы потеряли (или забыли) свой метод разблокировки, нажмите Esc на экране приглашения, чтобы ввести ключ восстановления.

Если вы зашифровали несистемный или съемный диск, Windows предложит разблокировать диск при первом доступе к нему после запуска Windows (или когда вы подключаете его к компьютеру, если это съемный диск). Введите свой пароль или вставьте смарт-карту, и диск должен разблокироваться, чтобы вы могли его использовать.

В File Explorer зашифрованные диски обозначаются золотым замком. Этот замок изменяется на серый при разблокировке диска.

Вы можете управлять заблокированным диском – сменить пароль, отключить BitLocker, создать резервную копию вашего ключа восстановления или выполнить другие действия – из окна панели управления BitLocker. Щелкните правой кнопкой мыши любой зашифрованный диск и выберите «Управление BitLocker», чтобы перейти непосредственно на эту страницу.

Какой тип данных хранится в AD DS?What type of information is stored in AD DS?

Сохраненные сведенияStored information	ОписаниеDescription
Хэш пароля владельца доверенного платформенного модуляHash of the TPM owner password	Начиная с Windows 10, хеш пароля не сохраняется в доменных СЛУЖБах Active Directory по умолчанию.Beginning with Windows 10, the password hash is not stored in AD DS by default. Хэш пароля может храниться только в том случае, если владелец TPM является владельцем и вы использовали компоненты Windows 8,1 или более ранней версии, такие как мастер настройки BitLocker или оснастка доверенного платформенного модуля.The password hash can be stored only if the TPM is owned and the ownership was taken by using components of Windows 8.1 or earlier, such as the BitLocker Setup Wizard or the TPM snap-in.
Пароль восстановления BitLockerBitLocker recovery password	Пароль восстановления позволяет разблокировать диск и получить к нему доступ в случае инцидента восстановления.The recovery password allows you to unlock and access the drive in the event of a recovery incident. Администраторы домена могут просматривать пароль восстановления BitLocker с помощью средства просмотра паролей восстановления BitLocker.Domain administrators can view the BitLocker recovery password by using the BitLocker Recovery Password Viewer. Дополнительные сведения об этом средстве можно найти в разделе BitLocker: использование средства просмотра паролей восстановления BitLocker.For more information about this tool, see BitLocker: Use BitLocker Recovery Password Viewer.
Пакет ключей BitLockerBitLocker key package	Ключевой пакет помогает восстановить повреждение жесткого диска, который в противном случае препятствует стандартному восстановлению.The key package helps to repair damage to the hard disk that would otherwise prevent standard recovery. При использовании ключевого пакета для восстановления требуется средство восстановления BitLocker, Repair — bde.Using the key package for recovery requires the BitLocker Repair Tool, Repair-bde.

Особенности

Можно зашифровать любой HDD (кроме сетевого), информацию с SD-карты, флешки. Ключ восстановления шифра сохраняется на ПК, сменном носителе или чипе TPM. Процесс шифрования занимает продолжительное время. Зависит от мощности ПК и объема информации на HDD. При шифровании система сможет работать с меньшей производительностью. В современных ОС эта технологи поддерживается. Поэтому BitLocker скачать для Windows 7 и более поздних версий не понадобятся. Она доступна совершенно бесплатно.

Шифрование диска Windows 10 если на плате установлен модуль TPM

1. Открываем «Мой компьютер», выбираем HDD, который будем шифровать. Далее, как на скриншоте;
2. Пропишите надежный пароль. При включении ПК ОС спросит его для расшифровки информации;
3. Определитесь со способом сохранения резервной копии: учетная записи Microsoft, распечатать, скопировать на флешку;
4. Определитесь что шифровать: весь HDD, свободное место. Рекомендую выбирать весь диск;
5. После завершения работы перезагрузите ПК, пропишите пароль.

Устройства с поддержкой автоматического шифрования

Я мог бы сразу дать ссылку на требования, но так неинтересно Тем более, что по ходу дела появляется возможность покопаться в истории вопроса, терминологии и сведениях о системе.

В официальном сравнении изданий Windows 10 есть упоминание InstantGo/AOAC/HSTI с отсылкой в статью KB4028713, которая этих терминов не разъясняет. Давайте разбираться!

Modern Standby

Режим Modern Standby (он же InstantGo, он же Connected Standby, он же AOAC, он же режим ожидания с подключением, он же Элла Кацнельбоген впервые появился в планшетах во времена Windows 8. Шифрование устройства увидело свет позже, в Windows 8.1, но работало лишь при аппаратной поддержке этого режима.

В Windows 8.x такие устройства вместо стандартного сна уходили в режим пониженного энергопотребления, при этом оставаясь подключенными к сети (отсюда, например, и AOAC — Always On, Always Connected). В Windows 10 режим эволюционировал — так, сетевым картам теперь необязательно поддерживать подключение.

В классификации режимов электропитания Modern Standby называется S0 Low Power Idle. Посмотреть все поддерживаемые режимы своего ПК вы можете командой:

powercfg -availablesleepstates

На картинке вывод команды на Surface Go

Заодно обратите внимание на полное русское название режима

В документации для ИТ-специалистов говорится, что в Windows 10 существенно расширился спектр устройств с поддержкой шифрования. Занятно, что тут оно называется шифрование устройства BitLocker

Формулировка подразумевает, что поддерживаются не только устройства с Modern Standby, но подробностей не раскрывает. На самом деле это ограничение никуда не делось, просто аппаратные требования к поддержке режима изменились. Сетевые карты я упомянул выше, а из прочего интересно включение в спецификацию HDD, в т.ч. в конфигурациях SSD + HDD или SSHD.

HSTI

Hardware Security Testability Specification, HSTI – это набор тестов, проверяющих конфигурацию устройства на соответствие требованиям безопасности Microsoft. Устройства должны создаваться так, чтобы Windows могла опросить их и определить состояние безопасности аппаратной и программной платформы.

В свою очередь, объясняет, каким образом эти тесты связаны с шифрованием устройства.

Помимо Modern Standby требуются чип TPM 1.2 или 2.0, а также включенные UEFI Secure Boot, Platform Secure Boot (Boot Integrity) и Direct Memory Access.

Событие с кодом 854: WinRE не настроенEvent ID 854: WinRE is not configured

Сведения о событии похожи на приведенные ниже.The event information resembles the following:

ПричинаCause

Среда восстановления Windows (WinRE) — это минимальная операционная система Windows, основанная на среде предварительной установки Windows (Windows PE).Windows Recovery Environment (WinRE) is a minimal Windows operating system that is based on Windows Preinstallation Environment (Windows PE). В WinRE есть несколько средств, с помощью которых администратор может восстановить или сбросить Windows и диагностировать проблемы с Windows.WinRE includes several tools that an administrator can use to recover or reset Windows and diagnose Windows issues. Если устройство не может запустить обычную операционную систему Windows, устройство пытается запустить WinRE.If a device cannot start the regular Windows operating system, the device tries to start WinRE.

Процесс подготовки включает шифрование диска BitLocker на диске операционной системы на этапе подготовки Windows PE.The provisioning process enables BitLocker Drive Encryption on the operating system drive during the Windows PE phase of provisioning. Это действие гарантирует, что диск защищен до установки полной операционной системы.This action makes sure that the drive is protected before the full operating system is installed. Процесс подготовки также создает системный раздел для WinRE для использования в случае сбоя системы.The provisioning process also creates a system partition for WinRE to use if the system crashes.

Если программа WinRE недоступна на устройстве, подготовка прекратится.If WinRE is not available on the device, provisioning stops.

РазрешениеResolution

Вы можете устранить эту проблему, проверив конфигурацию разделов диска, состояние WinRE и конфигурацию загрузчика Windows.You can resolve this issue by verifying the configuration of the disk partitions, the status of WinRE, and the Windows Boot Loader configuration. Для этого выполните указанные ниже действия.To do this, follow these steps.

Процедуры, описанные в этом разделе, зависят от разделов диска по умолчанию, которые Windows настраивает во время установки.The procedures described in this section depend on the default disk partitions that Windows configures during installation. В Windows 10 автоматически создается раздел восстановления, содержащий файл WinRE. wim.Windows 10 automatically creates a recovery partition that contains the Winre.wim file. Конфигурация раздела будет выглядеть примерно так:The partition configuration resembles the following.

Чтобы проверить конфигурацию разделов диска, откройте окно командной строки с повышенными привилегиями и выполните указанные ниже команды.To verify the configuration of the disk partitions, open an elevated Command Prompt window, and run the following commands:

Если состояние любого из томов не является работоспособным или раздел восстановления отсутствует, возможно, потребуется переустановить Windows.If the status of any of the volumes is not healthy or if the recovery partition is missing, you may have to reinstall Windows. Перед тем как это сделать, проверьте конфигурацию образа Windows, который вы используете для подготовки.Before you do this, check the configuration of the Windows image that you are using for provisioning. Убедитесь, что на изображении используется правильная конфигурация диска.Make sure that the image uses the correct disk configuration. Настройка изображения должна выглядеть следующим образом (этот пример относится к диспетчеру конфигураций конечных точек Microsoft).The image configuration should resemble the following (this example is from Microsoft Endpoint Configuration Manager).

Действие 2: Проверка состояния WinREStep 2: Verify the status of WinRE

Чтобы проверить состояние WinRE на устройстве, откройте окно командной строки с повышенными привилегиями и выполните следующую команду:To verify the status of WinRE on the device, open an elevated Command Prompt window and run the following command:

Результат этой команды будет выглядеть примерно так:The output of this command resembles the following.

Если состояние Windows RE не включено, выполните следующую команду, чтобы включить ее.If the Windows RE status is not Enabled, run the following command to enable it: