Bitlocker - criptează și decriptează hard disk-urile. Deblocați unitățile D, E și așa mai departe în mediul Windows. Ce să faci cu cheia de recuperare, ce să faci dacă este pierdută

Puteți debloca unitățile de date amovibile folosind o parolă, un card inteligent sau puteți configura protecția SID pentru a debloca unitatea folosind acreditările de domeniu. Odată ce criptarea discului a început, aceasta poate fi, de asemenea, deblocată automat pe un anumit computer pentru un cont de utilizator. Administratorii de sistem pot configura ce opțiuni sunt disponibile pentru utilizatori, precum și cerințele de complexitate și lungime minimă pentru parole. Pentru a debloca folosind protecția SID, utilizați Manage-bde:

Manage-bde -protectors -add e: -sid domeniu\nume utilizator

Care este diferența dintre o parolă de recuperare, o cheie de recuperare, un PIN, un PIN securizat și o cheie de pornire?

Pentru tabelele care listează și descriu elemente precum parola de recuperare, cheia de recuperare și codul PIN, consultați Instrumente de securitate BitLocker și Metode de autentificare BitLocker.

Unde să stocați parola de recuperare și cheia de recuperare?

Puteți salva parola de recuperare sau cheia de recuperare pentru discul sistemului de operare sau discul de date neamovibil într-un folder, pe unul sau mai multe dispozitive USB, în contul dvs. Microsoft sau le puteți imprima.

Puteți salva parola de recuperare și cheia de recuperare pentru unitățile de date amovibile într-un folder sau cont Microsoft sau le puteți imprima. În mod implicit, cheia de recuperare pentru mediile amovibile nu poate fi stocată pe mediile amovibile.

Un administrator de domeniu poate configura o politică de grup opțională pentru a genera automat parole de recuperare și a le stoca în Active Directory Domain Services (AD DS) pentru toate unitățile protejate de BitLocker.

Este posibil să adăugați o metodă de autentificare suplimentară fără decriptarea discului dacă este activată numai metoda de autentificare TPM?

Puteți utiliza instrumentul de linie de comandă Manage-bde.exe pentru a schimba modul de autentificare numai TPM în modul de autentificare cu mai mulți factori. De exemplu, dacă BitLocker utilizează numai autentificare TPM și doriți să adăugați autentificare PIN, executați următoarele comenzi la un prompt de comandă administrativă, înlocuind PIN numeric de 4-20 de cifre PIN-ul numeric pe care doriți să îl utilizați.

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –adăugați %systemdrive% -tpmandpin PIN numeric de 4-20 de cifre

Când ar trebui să luați în considerare o metodă suplimentară de autentificare?

Cu noul hardware compatibil, PIN-ul nu mai este o caracteristică de securitate critică și, probabil, un TPM va fi suficient, sub rezerva politicilor precum blocarea dispozitivului. De exemplu, dispozitivele Surface Pro și Surface Book nu au porturi DMA externe, care pot fi folosite pentru atacuri. Dacă aveți echipamente mai vechi care ar putea necesita un PIN, vă recomandăm să activați caracteristica PIN îmbunătățite, care vă permite să utilizați caractere nenumerice, cum ar fi literele și semnele de punctuație, și să selectați lungimea PIN-ului în funcție de toleranța și capacitatea echipamentului dumneavoastră la risc. -funcționalitate de forță brută de parolă disponibilă pentru modulele platformei de încredere de pe computer.

Pot recupera datele protejate de BitLocker dacă am pierdut informațiile necesare pentru recuperare?

BitLocker este conceput astfel încât o unitate criptată să nu poată fi recuperată fără a necesita autentificare. În modul de recuperare, utilizatorul are nevoie de o parolă de recuperare sau o cheie de recuperare pentru a debloca unitatea criptată.

Stocați informațiile de recuperare în Active Directory Domain Services, împreună cu contul dvs. Microsoft sau într-o altă locație sigură.

Este posibil să stocați cheia de recuperare pe aceeași unitate flash USB în care este stocată cheia de pornire?

Stocarea ambelor chei pe aceeași unitate flash USB este posibilă din punct de vedere tehnic, dar nu este recomandată. Dacă unitatea flash USB care conține cheia de pornire este pierdută sau furată, veți pierde și accesul la cheia de recuperare. În plus, atunci când o astfel de cheie este inserată, computerul va porni automat folosind cheia de recuperare, chiar dacă fișierele ai căror indicatori sunt determinați de TPM s-au schimbat, iar verificarea integrității sistemului nu va fi efectuată.

Este posibil să stocați cheia de pornire pe mai multe unități flash USB?

Da, cheia de pornire a computerului poate fi stocată pe mai multe unități flash USB. Faceți clic dreapta pe unitatea protejată de BitLocker și selectați Management BitLocker pentru a deschide opțiuni pentru copierea cheilor de recuperare.

Este posibil să stocați mai multe chei de pornire diferite pe o unitate flash USB?

Da, puteți stoca cheile de pornire BitLocker pentru diferite computere pe o singură unitate flash USB.

Este posibil să creați mai multe chei de pornire diferite pentru un computer?

Folosind scripturi, puteți crea diferite chei de pornire pentru același computer. Dar pentru computerele cu un TPM, crearea de chei de pornire diferite împiedică BitLocker să utilizeze verificarea integrității sistemului pe care o efectuează TPM.

Pot crea mai multe combinații de coduri PIN?

Nu este posibil să creați mai multe combinații de coduri PIN.

Ce chei de criptare folosește BitLocker? Cum lucrează împreună?

Datele brute sunt criptate cu cheia de criptare a volumului complet, care este apoi criptată cu cheia principală de volum. Cheia principală a volumului, la rândul său, este criptată utilizând una dintre mai multe metode posibile, în funcție de tipul de autentificare (folosind chei protectore sau TPM) și scenariile de recuperare.

Unde sunt stocate cheile de criptare?

Cheia de criptare a volumului complet este criptată cu cheia principală a volumului și stocată pe discul criptat. Cheia principală de volum este criptată cu un dispozitiv de protecție adecvat și stocată pe discul criptat. Dacă protecția BitLocker este suspendată, cheia neprotejată care criptează cheia principală de volum este stocată și pe unitatea criptată împreună cu cheia principală de volum criptată.

Această procedură de stocare asigură că cheia master de volum nu este niciodată stocată fără criptare și este întotdeauna protejată, cu excepția cazului în care criptarea BitLocker este dezactivată. Cheile sunt, de asemenea, stocate în două locații suplimentare de disc pentru redundanță. Managerul de pornire poate citi și procesa cheile.

De ce trebuie să folosesc tastele funcționale pentru a introduce codul PIN sau parola de recuperare de 48 de caractere?

Tastele F1–F10 au coduri de interogare universale disponibile în mediul de prepornire pe toate computerele pentru toate limbile. Tastele numerice de la 0 la 9 nu sunt utilizate în mediul de prepornire pe toate tastaturile.

Dacă se utilizează un PIN îmbunătățit, utilizatorii sunt sfătuiți să efectueze o verificare suplimentară a sistemului în timpul configurării BitLocker pentru a se asigura că poate fi introdus codul PIN corect în mediul de prepornire.

Cum vă protejează BitLocker sistemul dvs. de operare pentru a conduce PIN-ul împotriva atacatorilor?

Un atacator poate obține codul PIN printr-un atac cu forță brută. Un atac cu forță brută este efectuat folosind un instrument automat care testează diferite combinații de coduri PIN până când este găsit codul corect. Pentru computerele protejate cu BitLocker, acest tip de hack, cunoscut și ca atac de dicționar, necesită ca atacatorul să aibă acces fizic la computer.

TPM are capabilități încorporate pentru a detecta și a contracara astfel de atacuri. Deoarece TPM-urile de la diferiți producători au măsuri diferite pentru a contracara atacurile cu forța brută PIN, contactați producătorul modulului pentru a determina modul în care modulul de pe computer contracarează atacurile cu forța brută PIN. Odată ce ați identificat producătorul TPM, contactați producătorul pentru a obține informații despre TPM pe care numai producătorul le poate furniza. Majoritatea producătorilor măresc exponențial timpul de blocare a interfeței PIN pe măsură ce crește numărul de erori PIN. Cu toate acestea, fiecare producător are propriile reguli privind resetarea contorului de erori sau scăderea valorilor acestuia.

Cum pot determina producătorul TPM-ului meu?

Puteți determina TPM-ul de către producător în Centrul de securitate Windows Defender > Securitatea dispozitivului > informații despre securitatea procesorului.

Cum se evaluează mecanismul de atenuare a atacurilor de dicționar utilizat într-un TPM?

Adresați-vă producătorului TPM următoarele întrebări despre mecanismul său de atenuare a atacurilor din dicționar:

• Câte încercări eșuate de conectare sunt permise înainte de a fi blocate?
• Ce algoritm este utilizat pentru a determina durata blocării, ținând cont de numărul de încercări de autorizare nereușite și de alți parametri semnificativi?
• Ce acțiuni pot determina resetarea, scăderea sau blocarea contorului de erori pentru mai mult timp?

Pot modifica lungimea și complexitatea PIN-ului utilizând Politica de grup?

Da și nu. Puteți seta lungimea minimă a PIN-ului într-o setare de politică de grup Această setare de politică vă permite să setați lungimea minimă a PIN-ului pentru pornireși permiteți utilizarea codurilor PIN alfanumerice activând setarea Politicii de grup Această setare de politică vă permite să permiteți utilizarea codurilor PIN îmbunătățite la pornirea computerului. Cu toate acestea, nu este posibil să setați cerințe de complexitate PIN în Politica de grup.

Pentru mai multe informații, consultați Setările politicii de grup BitLocker.

Părere

Am dori să știm părerea dvs. Vă rugăm să indicați despre ce doriți să ne spuneți.

Sistemul nostru de feedback se bazează pe principiile de lucru cu probleme pe GitHub. Pentru mai multe informații, consultați .

Mulți utilizatori cu lansarea sistemului de operare Windows 7 s-au confruntat cu faptul că în el a apărut un serviciu BitLocker de neînțeles. Mulți oameni pot doar ghici ce este BitLocker. Să clarificăm situația cu exemple concrete. Vom lua în considerare și întrebările care se referă la dacă este recomandabil să activați această componentă sau să o dezactivați complet.

Serviciul BitLocker: pentru ce este?

Dacă te uiți cu atenție, poți trage concluzia că BitLocker este un mijloc complet automat, universal de criptare a datelor stocate pe hard disk. Ce este BitLocker pe un hard disk? Acesta este un serviciu obișnuit care, fără intervenția utilizatorului, vă permite să protejați folderele și fișierele prin criptarea acestora și crearea unei chei text speciale care oferă acces la documente. În momentul în care utilizatorul lucrează sub contul său, nici nu realizează că datele sunt criptate. Toate informațiile sunt afișate într-o formă care poate fi citită și accesul la foldere și fișiere nu este blocat pentru utilizator. Cu alte cuvinte, o astfel de măsură de securitate este concepută doar pentru acele situații în care se realizează accesul neautorizat la terminalul computerului din cauza unei încercări de intervenție din exterior.

Probleme cu criptarea și parola

Dacă vorbim despre cum este BitLocker în Windows 7 sau în sistemele de rang superior, este necesar să reținem acest fapt neplăcut: dacă își pierd parola de autentificare, mulți utilizatori nu numai că vor putea să se autentifice în sistem, ci și să efectueze unele acțiuni pentru a vizualiza documente care erau disponibile anterior pentru mutare, copiere și așa mai departe. Dar problemele nu se opresc aici. Dacă înțelegeți corect întrebarea despre ce este BitLocker Windows 8 și 10, atunci nu există diferențe semnificative. Singurul lucru care poate fi remarcat este tehnologia criptografică mai avansată. Problema aici este alta. Chestia este că serviciul în sine este capabil să funcționeze în două moduri, stocând cheile de decriptare fie pe hard disk, fie pe o unitate USB detașabilă. Aceasta sugerează o concluzie complet logică: utilizatorul, dacă are o cheie salvată pe hard disk, are acces fără probleme la toate informațiile care sunt stocate pe acesta. Când cheia este stocată pe o unitate flash, problema este mult mai gravă. În principiu, puteți vedea un disc sau o partiție criptată, dar nu veți putea citi informațiile. În plus, dacă vorbim despre ce este BitLocker în Windows 10 și sistemele versiunilor anterioare, este necesar să remarcăm faptul că serviciul este integrat în meniuri contextuale de orice tip, care sunt apelate făcând clic dreapta pe mouse. Acest lucru este pur și simplu enervant pentru mulți utilizatori. Să nu trecem înaintea noastră și să luăm în considerare toate aspectele principale care sunt legate de funcționarea acestei componente, precum și oportunitatea dezactivării și utilizării acesteia.

Metodă de criptare a suporturilor și discurilor amovibile

Cel mai ciudat lucru este că pe diverse sisteme și modificările acestora, în mod implicit, serviciul Windows 10 BitLocker poate fi în mod activ sau pasiv. În Windows 7 este activat implicit, în Windows 8 și Windows 10 necesită uneori activarea manuală. În ceea ce privește criptarea, nu s-a inventat nimic nou aici. De obicei, este utilizată aceeași tehnologie AES bazată pe chei publice, care este cel mai des folosită în rețelele corporative. Prin urmare, dacă terminalul dumneavoastră de calculator cu sistemul de operare corespunzător este conectat la rețeaua locală, puteți fi complet sigur că politica de securitate și protecție a informațiilor utilizată implică activarea acestui serviciu. Chiar dacă aveți drepturi de administrator, nu veți putea schimba nimic.

Activarea serviciului Windows 10 BitLocker dacă a fost dezactivat

Înainte de a începe să rezolvați problema legată de BitLocker Windows 10, trebuie să luați în considerare procesul de activare și configurare. Pașii de dezactivare vor trebui efectuati în ordine inversă. Activarea criptării în cel mai simplu mod se face din „Panou de control” selectând secțiunea de criptare a discului. Această metodă poate fi utilizată numai dacă cheia nu trebuie salvată pe un suport amovibil. Dacă mediul neamovibil este blocat, atunci va trebui să căutați o altă întrebare despre serviciul Windows 10 BitLocker: cum să dezactivați această componentă? Acest lucru se face destul de simplu. Cu condiția ca cheia să fie pe un mediu amovibil, pentru a decripta discurile și partițiile de disc, trebuie să o introduceți în portul corespunzător și apoi să mergeți la secțiunea de sistem de securitate a Panoului de control. După aceasta, găsim elementul de criptare BitLocker și apoi luăm în considerare mediile și unitățile pe care este instalată protecția. Mai jos va fi un hyperlink conceput pentru a dezactiva criptarea. Trebuie să faceți clic pe el. Dacă cheia este recunoscută, procesul de decriptare va fi activat. Tot ce trebuie să faci este să aștepți să se finalizeze.

Configurarea componentelor ransomware: probleme

În ceea ce privește problema de configurare, nu va fi fără durere de cap. În primul rând, este de remarcat faptul că sistemul oferă să rezervați cel puțin 1,5 GB pentru nevoile dvs. În al doilea rând, trebuie să ajustați permisiunile sistemului de fișiere NTFS, de exemplu, să reduceți dimensiunea volumului. Pentru a face astfel de lucruri, ar trebui să dezactivați imediat această componentă, deoarece majoritatea utilizatorilor nu au nevoie de ea. Chiar și cei care au acest serviciu activat implicit în setările lor nu știu întotdeauna ce să facă cu el sau dacă este nevoie deloc. Și degeaba... Pe un computer local, puteți proteja datele cu ajutorul acestuia chiar și în absența completă a software-ului antivirus.

Cum să dezactivați BitLocker: pentru început

În primul rând, trebuie să utilizați elementul specificat anterior în „Panou de control”. Numele câmpurilor de dezactivare a serviciului se pot schimba în funcție de modificarea sistemului. Unitatea selectată poate fi setată pentru a întrerupe protecția sau poate indica dezactivarea serviciului BitLocker. Dar nu asta este ideea. O atenție deosebită trebuie acordată faptului că este necesară dezactivarea completă a actualizării BIOS-ului și a fișierelor de boot de sistem. În caz contrar, procesul de decriptare poate dura destul de mult.

Meniul contextual

Aceasta este o parte a monedei BitLocker. Ce este acest serviciu ar trebui să fie deja clar. Partea inversă este de a izola meniurile suplimentare de la care conțin link-uri către un anumit serviciu. Pentru a face acest lucru, trebuie să aruncați o altă privire la BitLocker. Cum să eliminați toate linkurile către un serviciu din meniul contextual? Da, este foarte simplu... Când selectați fișierul dorit în Explorer, utilizați secțiunea de servicii și editare a meniului contextual, accesați setările, iar după aceea folosiți setările comenzii și organizați-le. Apoi, trebuie să specificați valoarea „Panou de control” și să găsiți pe cel de care aveți nevoie în lista de elemente și comenzi corespunzătoare panoului și să îl ștergeți. Apoi, în editorul de registry, trebuie să mergeți la filiala HKCR și să găsiți secțiunea ROOT Directory Shell, să o extindeți și să ștergeți elementul dorit apăsând tasta Del sau folosind comanda de ștergere din meniul de clic dreapta. Acesta este ultimul lucru despre BitLocker. Cum să-l dezactivați ar trebui să vă fie deja clar. Dar nu te amăgi din timp. Acest serviciu va rula în continuare în fundal, indiferent dacă doriți sau nu.

Concluzie

Trebuie adăugat că acest lucru nu este tot ce se poate spune despre componenta sistemului de criptare BitLocker. Ne-am dat deja seama ce este BitLocker. De asemenea, ați învățat cum să dezactivați și să eliminați comenzile din meniu. Întrebarea este: merită să dezactivați BitLocker? Aici putem da un singur sfat: într-o rețea corporativă nu ar trebui să dezactivați deloc această componentă. Dar dacă vorbim despre un terminal de computer de acasă, atunci de ce nu.

computerologie.ru

BitLocker: ce este și cum să-l deblochezi?

Odată cu lansarea sistemului de operare Windows 7, mulți utilizatori s-au confruntat cu faptul că în el a apărut un serviciu BitLocker oarecum de neînțeles. Ce este BitLocker, mulți pot doar ghici. Să încercăm să clarificăm situația cu exemple concrete. Pe parcurs, vom lua în considerare întrebările referitoare la cât de adecvat este să activați această componentă sau să o dezactivați complet.

BitLocker: ce este BitLocker, de ce este nevoie de acest serviciu

Dacă te uiți la asta, BitLocker este un mijloc universal și complet automat de criptare a datelor stocate pe un hard disk. Ce este BitLocker pe un hard disk? Da, doar un serviciu care protejează fișierele și folderele fără intervenția utilizatorului prin criptarea acestora și crearea unei chei text speciale care oferă acces la documente.

Atunci când un utilizator lucrează în sistem sub propriul său cont, poate nici măcar să nu realizeze că datele sunt criptate, deoarece informațiile sunt afișate într-o formă care poate fi citită, iar accesul la fișiere și foldere nu este blocat. Cu alte cuvinte, un astfel de instrument de protecție este conceput doar pentru acele situații în care se face acces neautorizat la terminalul computerului, de exemplu, când se încearcă intervenția din exterior (atac pe internet).

Parole și probleme de criptare

Totuși, dacă vorbim despre ce este BitLocker în Windows 7 sau sisteme de rang superior, este de remarcat faptul neplăcut că, dacă își pierd parola de autentificare, mulți utilizatori nu numai că nu se pot conecta în sistem, ci și efectuează unele acțiuni de navigare. documente disponibile anterior pentru copiere, mutare etc.

Dar asta nu este tot. Dacă te uiți la întrebarea ce este BitLocker Windows 8 sau 10, atunci nu există diferențe semnificative, cu excepția faptului că au o tehnologie de criptare mai avansată. Problema aici este clar diferită. Faptul este că serviciul în sine este capabil să funcționeze în două moduri, stocând cheile de decriptare fie pe un hard disk, fie pe o unitate USB detașabilă.

Aceasta sugerează cea mai simplă concluzie: dacă cheia este salvată pe hard disk, utilizatorul are acces fără probleme la toate informațiile stocate pe acesta. Dar când cheia este salvată pe o unitate flash, problema este mult mai gravă. În principiu, puteți vedea un disc sau o partiție criptată, dar nu puteți citi informațiile.

În plus, dacă vorbim despre ce este BitLocker în sistemele Windows 10 sau anterioare, nu putem să nu remarcăm faptul că serviciul este integrat în orice tip de meniu contextual cu clic dreapta, ceea ce este pur și simplu enervant pentru mulți utilizatori. Dar să nu trecem înaintea noastră, ci să luăm în considerare toate aspectele principale legate de funcționarea acestei componente și oportunitatea utilizării sau dezactivării acesteia.

Metodă de criptare a discurilor și a suporturilor amovibile

Cel mai ciudat lucru este că pe diferite sisteme și modificările acestora, serviciul BitLocker poate fi implicit atât în ​​modul activ, cât și în modul pasiv. În „șapte” este activat în mod implicit; în versiunile a opta și a zecea, uneori este necesară activarea manuală.

În ceea ce privește criptarea, aici nu a fost inventat nimic deosebit de nou. De regulă, este utilizată aceeași tehnologie AES bazată pe chei publice, care este cel mai des folosită în rețelele corporative. Prin urmare, dacă terminalul dumneavoastră de calculator cu sistemul de operare corespunzător la bord este conectat la rețeaua locală, puteți fi sigur că politica aplicabilă de securitate și protecție a datelor implică activarea acestui serviciu. Fără drepturi de administrator (chiar dacă începi să schimbi setările ca administrator), nu vei putea modifica nimic.

Activați BitLocker dacă serviciul este dezactivat

Înainte de a aborda problema legată de BitLocker (cum să dezactivați serviciul, cum să eliminați comenzile acestuia din meniul contextual), să ne uităm la activare și configurare, mai ales că pașii de dezactivare vor trebui să se facă în ordine inversă.

Activarea criptării în cel mai simplu mod se face din „Panou de control” selectând secțiunea de criptare a discului. Această metodă este aplicabilă numai dacă cheia nu trebuie salvată pe un suport amovibil.

Dacă dispozitivul blocat este o unitate neamovibilă, va trebui să găsiți răspunsul la o altă întrebare despre serviciul BitLocker: cum să dezactivați această componentă pe o unitate flash? Acest lucru se face destul de simplu.

Cu condiția ca cheia să fie localizată pe un mediu amovibil, pentru a decripta discurile și partițiile de disc, mai întâi trebuie să o introduceți în portul (conector) corespunzător, apoi să mergeți la secțiunea de sistem de securitate a Panoului de control. După aceea, găsim elementul de criptare BitLocker și apoi ne uităm la unitățile și mediile pe care este instalată protecția. În partea de jos veți vedea un hyperlink pentru a dezactiva criptarea, pe care trebuie să faceți clic. Dacă cheia este recunoscută, procesul de decriptare este activat. Rămâne doar să așteptăm finalizarea lui.

Probleme la configurarea componentelor ransomware

În ceea ce privește configurarea, nu te poți lipsi de o durere de cap. În primul rând, sistemul oferă să rezerve cel puțin 1,5 GB pentru nevoile dvs. În al doilea rând, trebuie să ajustați permisiunile sistemului de fișiere NTFS, să reduceți dimensiunea volumului etc. Pentru a evita astfel de lucruri, este mai bine să dezactivați imediat această componentă, deoarece majoritatea utilizatorilor pur și simplu nu au nevoie de ea. Chiar și toți cei care au acest serviciu activat în setările lor implicite, de asemenea, nu știu întotdeauna ce să facă cu el sau dacă este necesar. Dar în zadar. Îl puteți folosi pentru a proteja datele de pe computerul local chiar dacă nu aveți software antivirus.

BitLocker: cum se dezactivează. Primul stagiu

Din nou, utilizați elementul specificat anterior în „Panou de control”. În funcție de modificarea sistemului, numele câmpurilor de dezactivare a serviciului se pot schimba. Unitatea selectată poate avea o linie pentru suspendarea protecției sau o indicație directă pentru a dezactiva BitLocker.

Nu asta e ideea. Aici merită să acordați atenție faptului că va trebui să dezactivați complet actualizarea BIOS-ului și a fișierelor de boot ale sistemului informatic. În caz contrar, procesul de decriptare poate dura destul de mult.

Meniul contextual

Aceasta este doar o față a monedei BitLocker. Ce este BitLocker este probabil deja clar. Dar reversul este de a izola meniurile suplimentare de prezența legăturilor către acest serviciu în ele.

Pentru a face acest lucru, să ne uităm din nou la BitLocker. Cum să eliminați toate linkurile către un serviciu din meniul contextual? Elementar! În Explorer, când selectați fișierul sau folderul dorit, utilizați secțiunea de servicii și editați meniul contextual corespunzător, accesați setările, apoi utilizați setările comenzii și organizați-le.

După aceasta, în editorul de registry, intră în ramura HKCR, unde găsim secțiunea ROOTDirectoryShell, extindem și șterge elementul dorit apăsând tasta Del sau comanda ștergere din meniul de clic dreapta. De fapt, acesta este ultimul lucru despre componenta BitLocker. Cum să-l dezactivați, cred, este deja clar. Dar nu te amăgi. Cu toate acestea, acest serviciu va funcționa în fundal (doar pentru orice eventualitate), indiferent dacă doriți sau nu.

În loc de o postfață

Rămâne de adăugat că acest lucru nu este tot ce se poate spune despre componenta sistemului de criptare BitLocker. Ce este BitLocker, ne-am dat seama cum să-l dezactivăm și să ștergem și comenzile din meniu. Întrebarea este: ar trebui să dezactivați BitLocker? Aici putem da un singur sfat: într-o rețea locală corporativă, nu ar trebui să dezactivați deloc această componentă. Dar dacă este un terminal de computer de acasă, de ce nu?

fb.ru

Criptarea Bitlocker a unităților flash și a discurilor în Windows 10

Mulți dintre noi dețin adesea informații importante și valoroase pe dispozitive externe. Acestea ar putea fi unități ssd sau alte unități externe pentru stocarea datelor. Cel mai popular este probabil o unitate flash obișnuită, pe care o persoană transferă cel mai adesea informațiile necesare. Dar ce să faci dacă ți-ai pierdut unitatea flash? Sau o unitate SSD externă portabilă? Răspuns: criptați dispozitivele externe și puneți o parolă pe unitatea flash, astfel încât, dacă o găsiți, nimeni să nu vă poată folosi informațiile. Există o mulțime de software de la terți pentru protejarea unităților flash, dar de ce este necesar dacă programul care este instalat poate fi șters în timp din cauza neglijenței. În acest articol, vom analiza cum să vă protejați dispozitivele folosind instrumentul încorporat Windows 10.

Notă: Vom folosi BitLocker, care este prezent în versiunile Pro sau Enterpris ale Windows 10.

De asemenea, recomand vizionarea:

Cum să protejați cu parolă folderul și fișierele folosind funcția EFS

Pune o parolă într-un folder fără programe

Ce este BitLocker?

BitLocker este o caracteristică de criptare pentru mediile amovibile, inclusiv unități flash USB, carduri SD și hard disk-uri externe. BitLocker acceptă sisteme de fișiere NTFS, FAT32, exFAT. Formatate cu oricare dintre aceste sisteme de fișiere pot fi protejate folosind BitLocker. Spre deosebire de criptarea EFS, care este concepută pentru a cripta foldere și fișiere, BitLocker nu poate funcționa cu fișiere; este destinat pentru medii amovibile.

Cum să puneți o parolă pe o unitate flash și pe discuri în Windows 10

• Conectați o unitate flash USB sau un hard disk extern la Windows 10.
• Faceți clic dreapta pe unitatea pe care doriți să o protejați și faceți clic pe Activare BitLocker.

• Bifați caseta de selectare Utilizați parola pentru a debloca discul.
• Creați-vă propria parolă pentru a vă proteja datele.

• Selectați arhivarea tastei Salvare fișier.
• Salvați fișierul într-o locație convenabilă pentru dvs.; veți avea nevoie de el pentru a debloca unitatea flash dacă ați uitat parola.

• Recomand criptarea întregului disc.

• Selectați modul de criptare Modul de compatibilitate.

• Așteptați finalizarea procesului.

Acces la date protejate prin parolă

• Introduceți dispozitivul criptat în portul USB al computerului și deschideți-l.

• Introduceți parola pe care ați creat-o la începutul criptării.
• Dacă ați uitat parola unității flash, faceți clic pe Opțiuni avansate și introduceți codul de recuperare pe care l-ați salvat pe computer.

Dezactivați BitLocker și eliminați parola de pe unitatea flash

Pentru a elimina parola atribuită și a face unitatea flash normală din nou, trebuie să dezactivați Bitlocker. Pentru a face acest lucru, introduceți dispozitivul USB în computer și introduceți parola de deblocare.

• Odată deblocat, faceți clic dreapta pe unitatea flash și selectați Gestionați BitLocker.

• Găsiți dispozitivul de pe care doriți să eliminați parola și faceți clic pe Dezactivați BitLocker în partea de jos.

Vezi si:

Comentarii realizate de HyperComments Raportează o eroare

mywebpc.ru

Cum să criptați un disc sau o unitate flash cu date secrete folosind Bitlocker

Salutare tuturor! Protejarea datelor personale împotriva accesului neautorizat este un punct important pentru utilizatorii de computere. Acest lucru este valabil mai ales pentru computerele de birou în care sunt stocate informații comerciale sau orice alte informații care ar trebui să fie ascunse pentru vizionarea neautorizată. Astăzi voi aborda subiectul „Criptarea unității Bitlocker în Windows 10”. Acest material va ajuta la securizarea datelor nu numai pe hard disk, ci și pe suporturi amovibile, folosind instrumente standard „zeci”.

Utilitarul BitLocker a apărut pentru prima dată în Windows 7 (versiunea extinsă), apoi a fost implementat în versiunile ulterioare ale sistemului de operare. Disponibil numai în edițiile profesionale și corporative. Configurarea simplificată a criptării dispozitivului este oferită utilizatorilor casnici.

Esența criptării

Ce este? Procesul implică utilizarea unui algoritm special pentru a converti datele într-un format special care poate fi citit doar de proprietar. Chiar dacă cineva încearcă să deschidă fișiere protejate, vor fi afișate o grămadă de litere și numere fără sens.

Activarea BitLocker

Vă interesează cum să activați codificarea? Urmează instrucțiuni detaliate.

1. În Panoul de control, accesați secțiunea „Sistem și securitate” și selectați fila „Criptare disc”.
2. A doua cale. Faceți clic dreapta pe unitatea, fișierul sau folderul dorit. Selectați elementul din meniul contextual „Activat”. BitLocker.” Dacă această opțiune nu este în listă, atunci utilizați o versiune neacceptată a sistemului de operare. Facem același lucru pentru criptarea unei unități flash.
3. Se va deschide o fereastră care vă permite să selectați una dintre cele două opțiuni: „Hard Drives” și „BitLocker To Go”.

Prima metodă este potrivită pentru criptarea HDD totală. În acest caz, atunci când încărcați computerul, va trebui să specificați parola pe care ați setat-o. Abia după aceasta decodorul își va face treaba și sistemul va porni.

A doua metodă este potrivită pentru unitățile externe. Când o astfel de unitate flash este conectată la un computer, puteți deschide conținutul discului după ce ați introdus parola.

• În cazurile în care modulul TPM nu este instalat pe computer (acesta este un cip pe chipset care este capabil să stocheze chei de criptare. Mărește nivelul de securitate. Chiar dacă discul este furat, datele vor rămâne închise), atunci va primi următoarea fereastră de eroare. Vă va cere să permiteți BitLocker fără un TPM activat:

• Pentru a dezactiva TRM, și cred că puțini oameni îl au, vom folosi utilitarul gpedit.msc (conectați-vă prin consola Win + R) pentru a schimba politicile de grup. Să trecem prin arborele folderelor:

„Configurație PC” - „Șabloane de administrare” - „Componente Windows” - „BitLocker” - „Discuri OS”.

• În partea dreaptă a ferestrei, găsiți elementul „Solicită autentificare...” și schimbați starea la „Activat”. De asemenea, permitem utilizarea criptării fără TPM bifând caseta corespunzătoare:

Ai întrebări? Sau totul este extrem de simplu? Dacă apar dificultăți (la urma urmei, chiar și cele mai universale instrucțiuni pot să nu funcționeze în cazuri specifice), atunci adresați întrebări prin formularul de comentarii de după articol.

Metode de deblocare

După ce ați finalizat cu succes toți pașii din instrucțiunile anterioare, va trebui să selectați o metodă prin care puteți debloca discul. Cea mai comună opțiune este setarea unei parole. Dar puteți crea un suport extern special pe care vor fi stocate cheile de decodare. Dacă pe placa de bază există un cip TPM, alegerea opțiunilor se va extinde semnificativ. De exemplu, ar fi realist să specificați decriptarea automată în timpul pornirii computerului sau să setați un PIN pentru decriptare și un cod suplimentar pe discuri.

Alegeți metoda care vă place cel mai mult dintre toate disponibile.

Cheie de rezervă

Ce credeți că se va întâmpla dacă uitați parola sau pierdeți media cu cheia principală? Sau instalați HDD-ul pe alt PC (cu un TPM diferit)? Cum să restabiliți accesul într-o astfel de situație? Windows 10 oferă posibilitatea de a salva cheia de rezervă (pe un disc, unitate flash) sau de a o tipări. Este important să vă asigurați că copia este stocată în siguranță, astfel încât nimeni să nu poată ajunge la ea. În caz contrar, toate eforturile de asigurare a protecției vor fi reduse la zero.

Atenţie! Dacă pierzi toate cheile, îți vei pierde datele pentru totdeauna! Mai exact, nu le vei putea descifra! Este pur și simplu imposibil să dezactivați o astfel de protecție.

Utilitarul BitLocker funcționează offline și criptează fișierele și folderele nou adăugate (create) pe unități. În acest caz, există două căi posibile pe care le puteți lua.

1. Criptați întregul disc, inclusiv spațiul liber (neutilizat). Metodă fiabilă, dar lentă. Potrivit pentru cazurile în care trebuie să ascundeți toate informațiile (chiar și despre fișierele care au fost șterse cu mult timp în urmă și pot fi restaurate).
2. Protejați doar spațiul utilizat (partiții ocupate). Aceasta este o metodă mai rapidă pe care vă recomand să o alegeți în majoritatea situațiilor.

După acest pas, va începe analiza sistemului. Computerul va reporni și va începe procesul de criptare. Puteți trece cu mouse-ul peste pictograma din zona de notificare pentru a vă monitoriza progresul. Trebuie remarcat faptul că există o ușoară scădere a performanței din cauza consumului de RAM.

Pornirea ulterioară a computerului va fi însoțită de apariția unei ferestre de introducere a codului PIN sau de o solicitare de a introduce o unitate USB cu chei. Totul depinde de metoda pe care o alegeți.

Dacă trebuie să recurgeți la utilizarea unei taste de rezervă, ar trebui să apăsați Esc de pe tastatură și să urmați cerințele expertului de recuperare.

Folosind BitLocker To Go

Configurarea inițială a utilitarului pentru criptarea unităților externe este aceeași cu instrucțiunile de mai sus. Dar nu va trebui să reporniți computerul.

Punct important! Unitatea nu trebuie scoasă până la finalizarea procesului, altfel rezultatele pot fi neașteptate.

De îndată ce conectați unitatea flash „protejată” la laptop, va apărea o fereastră de introducere a parolei:

Schimbați setările BitLocker

Ar fi contraintuitiv dacă utilizatorii nu ar putea schimba parolele și alte setări. Vrei să știi cum să elimini protecția? Acest lucru se face simplu. Faceți clic dreapta pe unitatea dorită și selectați „Gestionați BitLocker”.

În dreapta va fi o listă de posibilități. Ultimul element „Dezactivați...” este responsabil pentru dezactivarea criptării.

Experiență personală de utilizare

Am mereu cu mine o unitate flash criptată cu Bitlocker, deoarece stochez parolele, fotografiile și datele de lucru pe ea. Într-una dintre călătoriile mele de afaceri, mi-am pierdut unitatea flash, dar nu m-am supărat deloc, pentru că am înțeles că toate datele sunt criptate și persoana care le-a găsit nu le va putea folosi. Pentru cei care sunt preocupați de siguranță, aceasta este soluția cea mai optimă.

Așa că ne-am dat seama de acest subiect dificil, dar important. În cele din urmă, aș dori să observ că utilizarea unei astfel de protecție crește sarcina procesorului și consumă resurse RAM. Dar acestea sunt sacrificii minore în comparație cu pierderea informațiilor neprotejate din cauza furtului și accesului neautorizat. Sunteți de acord?

Cu stimă, Victor

it-tehnik.ru

BitLocker. Intrebari si raspunsuri

Se aplică la: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

Această secțiune, destinată profesioniștilor IT, răspunde la întrebările frecvente cu privire la cerințele de utilizare, actualizare, implementare și administrare și politicile de gestionare a cheilor pentru BitLocker.

BitLocker lucrează cu unități ale sistemului de operare

BitLocker poate fi folosit pentru a elimina riscul accesului neautorizat la date pe computerele pierdute sau furate prin criptarea tuturor fișierelor utilizator și de sistem de pe unitatea sistemului de operare, inclusiv fișiere de pagină și fișiere de hibernare și prin verificarea integrității componentelor încărcate anterior și a datelor de configurare a pornirii. .

BitLocker funcționează cu unități amovibile și fixe

BitLocker poate fi folosit pentru a cripta întregul conținut al unei unități de date. Folosind politica de grup, puteți solicita ca BitLocker să fie activat pe o unitate înainte ca datele să poată fi scrise pe unitate. BitLocker vă permite să configurați diferite metode de deblocare pentru unitățile de date, iar unitatea de date acceptă mai multe metode de deblocare.

Da, BitLocker acceptă autentificarea cu mai mulți factori pentru unitățile sistemului de operare. Dacă activați BitLocker pe un computer care are instalat TPM 1.2 sau 2.0, puteți utiliza forme suplimentare de autentificare care se bazează pe modulul respectiv.

Pentru a utiliza toate funcțiile BitLocker, computerul dvs. trebuie să îndeplinească cerințele hardware și software enumerate în secțiunea Configurații de unitate acceptate de BitLocker din prezentarea tehnică de criptare a unității BitLocker.

Pentru ca BitLocker să funcționeze, este necesar să existe două partiții, deoarece autentificarea înainte de pornire și verificarea integrității sistemului trebuie efectuate pe o partiție separată care nu este aceeași cu unitatea criptată a sistemului de operare. Această configurație ajută la protejarea sistemului de operare și a datelor de pe unitatea criptată.

BitLocker acceptă versiunile TPM enumerate în secțiunea Cerințe din prezentarea tehnică BitLocker Drive Encryption.

Pentru informații despre cum să faceți acest lucru, consultați Găsirea informațiilor despre driverul TPM.

Pentru informații despre cum să faceți acest lucru, consultați Găsirea informațiilor despre driverul TPM.

Da, puteți activa BitLocker pe o unitate de sistem de operare care nu are un TPM 1.2 sau 2.0 dacă firmware-ul BIOS sau UEFI acceptă citirea de pe unitatea flash USB în timpul pornirii. Acest lucru este posibil deoarece BitLocker nu deblochează unitatea protejată până când nu obține cheia principală de volum BitLocker de la TPM de pe computer sau de la o unitate flash USB care conține cheia de pornire BitLocker pentru computerul respectiv. Cu toate acestea, computerele fără TPM nu vor putea efectua verificarea integrității sistemului pe care o acceptă BitLocker.

Pentru a verifica dacă dispozitivul USB poate fi citit în timpul procesului de pornire, utilizați testul de sistem BitLocker în timpul instalării BitLocker. Această scanare execută teste pentru a se asigura că dispozitivele USB pot fi citite la momentul corect și că computerul îndeplinește alte cerințe BitLocker.

Pentru informații despre cum să activați BitLocker pe un computer fără un TPM, consultați BitLocker: Cum să activați BitLocker.

Pentru mai multe informații despre sistemele de operare Windows și versiunile TPM necesare, consultați secțiunea Cerințe din prezentarea tehnică BitLocker Drive Encryption.

Solicitați producătorului computerului dumneavoastră firmware-ul BIOS sau UEFI care îndeplinește standardele TCG și respectă următoarele cerințe.

Acesta a fost certificat de siglă, acolo unde este cazul, și este compatibil cu versiunile enumerate în lista de aplicații de la începutul acestei secțiuni.

Respectarea standardelor TCG pentru computerul client.

Un mecanism de actualizare securizat care împiedică instalarea firmware-ului BIOS rău intenționat sau a software-ului de pornire pe computer.

Activarea, dezactivarea și modificarea configurației BitLocker pe unitățile sistemului de operare și unitățile de date fixe necesită apartenența la grupul Administratori local. Utilizatorii obișnuiți pot activa, dezactiva și reconfigura BitLocker pe unitățile de date amovibile.

Pentru mai multe informații, consultați Cerințe în prezentarea tehnică BitLocker Drive Encryption.

Trebuie să configurați setările de pornire ale computerului, astfel încât hard disk-ul să fie primul în ordinea de pornire, înaintea tuturor celorlalte unități, cum ar fi CD-urile/DVD-urile sau unitățile USB. Dacă hard disk-ul nu este primul și în mod normal porniți de pe hard disk, este posibil să puteți detecta sau să vă asumați o modificare a ordinii de pornire atunci când este detectat un suport amovibil în timpul pornirii. Ordinea de pornire afectează de obicei măsurarea sistemului pe care o verifică BitLocker, iar modificarea ordinii de pornire vă va cere să solicitați o cheie de recuperare BitLocker. Din același motiv, dacă aveți un laptop andocat, asigurați-vă că hard disk-ul este primul în ordinea de pornire, atât atunci când este andocat, cât și dezaocat.

Pentru mai multe informații, consultați Arhitectura BitLocker în prezentarea tehnică a criptării unității BitLocker.

Da. Pentru a face upgrade de la Windows 7 la Windows 8 sau Windows 8.1 fără a decripta unitatea sistemului de operare, deschideți BitLocker Drive Encryption în Panoul de control din Windows 7, faceți clic pe Manage BitLocker, apoi faceți clic pe Suspend. Întreruperea protecției nu decriptează unitatea, ci mai degrabă dezactivează mecanismele de autentificare utilizate de BitLocker și utilizează o cheie neprotejată pentru a accesa unitatea. Continuați procesul de actualizare folosind DVD-ul Windows 8 sau Windows 8.1 Upgrade. După finalizarea actualizării, deschideți File Explorer, faceți clic dreapta pe unitate și selectați Reluați protecția. Metodele de autentificare BitLocker sunt reactivate și cheia neprotejată este eliminată.

Comanda Decriptare elimină complet protecția BitLocker și decriptează complet unitatea.

Suspendarea lasă datele criptate, dar criptează cheia principală de volum BitLocker cu o cheie neprotejată. O cheie neprotejată este o cheie criptografică care este stocată pe disc fără criptare sau protecție. Stocarea acestei chei fără criptare permite comenzii Suspend să facă modificări și upgrade la computer fără a cheltui timp și resurse pentru decriptarea și recriptarea întregii unități. După ce modificările sunt efectuate și reactivate, BitLocker sigilează cheia de criptare cu noile valori ale componentelor care s-au schimbat în timpul upgrade-ului, cheia principală de volum este schimbată, protectorii sunt actualizați și cheia nesecurizată este ștearsă.

Următorul tabel listează pașii pe care trebuie să îi urmați înainte de a efectua o actualizare sau de a instala actualizări.

Tip de actualizare

Acțiune

Windows Anytime Upgrade	Decodare
Faceți upgrade de la Windows 7 la Windows 8	Suspans
Actualizarea software-ului non-Microsoft, cum ar fi: Actualizare firmware furnizată de producătorul computerului dvs.; Actualizare firmware Trusted Platform Module; actualizări ale aplicațiilor non-Microsoft care modifică componentele de boot.	Suspans
Actualizări de software și sisteme de operare de la Microsoft Update	Aceste actualizări nu necesită decriptarea discului sau dezactivarea sau întreruperea BitLocker.

Da, implementarea și configurarea BitLocker și TPM pot fi automatizate folosind instrumente TPM sau scripturi Windows PowerShell. Implementarea scripturilor depinde de mediu. De asemenea, puteți utiliza instrumentul de linie de comandă BitLocker Manage-bde.exe pentru a configura BitLocker local sau de la distanță. Pentru mai multe informații despre scrierea de scripturi care utilizează furnizorii WMI BitLocker, consultați articolul MSDN BitLocker Drive Encryption Provider. Pentru mai multe informații despre utilizarea cmdlet-urilor Windows PowerShell cu BitLocker Drive Encryption, consultați Cmdlet-uri BitLocker în Windows PowerShell.

Da. În Windows Vista, BitLocker a criptat doar unitățile de sistem de operare. Windows Vista SP1 și Windows Server 2008 au adăugat suport pentru criptarea unităților de date fixe. Noile funcții din Windows Server 2008 R2 și Windows 7 permit BitLocker să cripteze și unitățile de date amovibile.

De obicei, pierderea de performanță nu depășește zece procente.

Deși criptarea BitLocker are loc în fundal în timp ce continuați să lucrați și sistemul rămâne disponibil, timpul de criptare depinde de tipul, dimensiunea și viteza de unitate. Este înțelept să programați criptarea discurilor foarte mari într-un moment în care acestea nu sunt utilizate.

Noile funcții din Windows 8 și Windows Server 2012 vă permit să alegeți dacă BitLocker criptează întreaga unitate sau doar spațiul utilizat atunci când activați BitLocker. Pe un hard disk nou, criptarea spațiului folosit este considerabil mai rapidă decât criptarea întregii unități. Odată ce selectați o opțiune de criptare, BitLocker criptează automat datele atunci când sunt stocate și se asigură că nu sunt stocate date fără criptare.

Dacă computerul se oprește sau intră în modul de hibernare, procesul de criptare și decriptare BitLocker se reia de unde s-a oprit data viitoare când porniți Windows. Același lucru se întâmplă și în cazul unei pene de curent.

Nu, BitLocker nu criptează și decriptează întreaga unitate atunci când citește și scrie date. Sectoarele criptate pe o unitate care este protejată de BitLocker sunt decriptate numai atunci când sunt solicitate de operațiunile de citire a sistemului. Blocurile care sunt scrise pe disc sunt criptate înainte ca sistemul să le scrie pe discul fizic. Pe o unitate protejată cu BitLocker, datele nu sunt niciodată lăsate necriptate.

Controalele introduse în Windows 8 vă permit să activați setările politicii de grup care vor necesita activarea protecției BitLocker pe unitățile de date înainte ca un computer protejat cu BitLocker să poată scrie date pe acele unități. Pentru mai multe informații, consultați Preveniți scrierea pe unități amovibile care nu sunt protejate cu BitLocker sau Preveniți scrierea pe unități fixe care nu sunt protejate cu BitLocker în articolul Setări politici de grup BitLocker.

Când aceste setări de politică sunt activate, un sistem de operare protejat de BitLocker va monta unități de date care nu sunt protejate de BitLocker în modul numai citire.

Pentru mai multe informații, inclusiv cum să controlați utilizatorii care pot salva accidental date pe unități necriptate atunci când folosesc un computer fără BitLocker activat, consultați BitLocker: Cum să împiedicați utilizatorii online să salveze date pe o unitate necriptată.

Următoarele tipuri de modificări ale sistemului pot duce la eșecul verificării integrității. În acest caz, TPM nu furnizează cheia BitLocker pentru a decripta unitatea protejată a sistemului de operare.

Mutați o unitate protejată cu BitLocker pe un computer nou.

Instalarea unei noi plăci de bază cu un nou TPM.

Dezactivați, dezactivați sau ștergeți TPM.

Modificați setările de configurare de pornire.

Modificarea BIOS-ului, firmware-ului UEFI, master boot record (MBR), sector de boot, boot manager, opțiune ROM a altor componente de pre-pornire sau date de configurare de boot.

Pentru mai multe informații, consultați Cum funcționează în prezentarea tehnică BitLocker Drive Encryption.

Deoarece BitLocker este conceput pentru a vă proteja computerul de numeroase atacuri, există multe motive pentru care BitLocker ar putea porni în modul de recuperare. Pentru informații despre aceste motive, consultați Scenarii de recuperare în prezentarea tehnică BitLocker Drive Encryption.

Da, puteți schimba hard disk-urile de pe același computer cu criptarea BitLocker activată, atâta timp cât au protecție BitLocker activată pe același computer. Cheile BitLocker sunt unice pentru TPM și unitatea sistemului de operare. Prin urmare, pentru a pregăti un disc de sistem de operare de rezervă sau un disc de date în caz de defecțiune a discului, trebuie să vă asigurați că folosesc același TPM. De asemenea, puteți configura diferite hard disk-uri pentru diferite sisteme de operare și apoi activați BitLocker pe fiecare unitate cu diferite metode de autentificare (de exemplu, o unitate are doar TPM și alta are TPM cu PIN), iar asta nu va duce la conflicte.

Da, vă puteți debloca unitatea de date folosind BitLocker Drive Encryption în Panoul de control ca de obicei (folosind o parolă sau un smart card). Dacă discul de date este configurat doar pentru a se debloca automat, trebuie să utilizați o cheie de recuperare. Dacă conectați unitatea sistemului de operare la un alt computer care rulează versiunea sistemului de operare listată în lista de utilizare de la începutul acestei secțiuni, puteți debloca hard disk-ul criptat utilizând agentul de recuperare a datelor (dacă este configurat) sau folosind o recuperare. cheie.

Este posibil ca unele unități să nu accepte criptarea BitLocker. De exemplu, dimensiunea discului poate fi prea mică, sistemul de fișiere poate fi incompatibil, discul poate fi dinamic sau desemnat ca o partiție de sistem. În mod implicit, unitatea de sistem (sau partiția de sistem) nu este afișată în fereastra Computer. Cu toate acestea, dacă discul nu a fost creat ca ascuns în timpul instalării personalizate a sistemului de operare, atunci acesta poate fi afișat, dar nu poate fi criptat.

Protecția BitLocker este acceptată pentru orice număr de unități fixe interne. Unele versiuni acceptă dispozitive de stocare ATA și SATA atașate direct. Pentru detalii despre unitățile acceptate, consultați Configurațiile unităților acceptate de BitLocker în prezentarea tehnică BitLocker Drive Encryption.

BitLocker poate crea și utiliza chei diferite. Unele sunt obligatorii, iar altele sunt sigurante optionale care pot fi folosite in functie de nivelul de siguranta cerut.

Pentru mai multe informații, consultați Înțelegerea BitLocker în prezentarea tehnică a BitLocker Drive Encryption.

Puteți să salvați parola de recuperare sau cheia de recuperare pentru discul sistemului de operare sau discul de date neamovibil într-un folder, pe unul sau mai multe dispozitive USB, să o salvați în contul Microsoft sau să o imprimați.

Parola de recuperare și cheia de recuperare pentru unitățile de date amovibile pot fi salvate într-un folder, salvate în contul Microsoft sau tipărite. În mod implicit, cheia de recuperare pentru o unitate amovibilă nu poate fi stocată pe unitatea amovibilă.

Un administrator de domeniu poate configura o politică de grup opțională pentru a genera automat parole de recuperare și a le stoca în Serviciile de domeniu pentru toate unitățile protejate de BitLocker.

Pentru mai multe informații, consultați BitLocker: Cum să stocați parolele și cheile de recuperare.

Puteți utiliza instrumentul de linie de comandă Manage-bde.exe pentru a schimba modul de autentificare numai TPM în modul de autentificare cu mai mulți factori. De exemplu, dacă BitLocker are activată numai autentificarea TPM, pentru a adăuga autentificarea PIN, introduceți următoarele comenzi dintr-un prompt de comandă ridicat, înlocuind PIN-ul numeric dorit:

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –adăugați %systemdrive% -tpmandpin

Pentru mai multe informații, consultați Moduri de autentificare a secvenței de pornire în Prezentare generală tehnică a criptării unității BitLocker.

BitLocker este conceput astfel încât o unitate criptată să nu poată fi recuperată fără a necesita autentificare. În modul de recuperare, utilizatorul are nevoie de o parolă de recuperare sau o cheie de recuperare pentru a debloca unitatea criptată.

Stocarea ambelor chei pe aceeași unitate flash USB este posibilă din punct de vedere tehnic, dar nu este recomandată. Dacă unitatea flash USB care conține cheia de pornire este pierdută sau furată, veți pierde și accesul la cheia de recuperare. În plus, inserarea unei astfel de chei face ca computerul să pornească automat cu cheia de recuperare, chiar dacă fișierele măsurate de TPM s-au schimbat și verificarea integrității sistemului nu este efectuată.

Da, cheia de pornire a computerului poate fi stocată pe mai multe unități flash USB. Faceți clic dreapta pe unitatea protejată de BitLocker și selectați Gestionați BitLocker pentru a deschide opțiuni pentru copierea cheilor de recuperare.

Da, puteți stoca cheile de pornire BitLocker pentru diferite computere pe o singură unitate flash USB.

Puteți folosi scripturi pentru a crea chei de pornire diferite pentru același computer, dar pentru computerele cu un TPM, crearea de chei de pornire diferite împiedică BitLocker să folosească verificarea integrității sistemului TPM.

Nu este posibil să creați mai multe combinații de coduri PIN.

Datele brute sunt criptate cu cheia de criptare a volumului complet, care este apoi criptată cu cheia principală de volum. Cheia principală de volum, la rândul său, este criptată utilizând una dintre mai multe metode posibile, în funcție de tipul de autentificare (protector de cheie sau TPM) și de scenariile de recuperare.

Pentru mai multe informații despre cheile de criptare, cum sunt utilizate și unde sunt stocate, consultați Ce este BitLocker în prezentarea tehnică a BitLocker Drive Encryption.

Cheia de criptare a volumului complet este criptată cu cheia principală a volumului și stocată pe discul criptat. Cheia principală de volum este criptată cu un dispozitiv de protecție adecvat și stocată pe discul criptat. Dacă protecția BitLocker este suspendată, cheia neprotejată care criptează cheia principală de volum este stocată și pe unitatea criptată împreună cu cheia principală de volum criptată.

Această procedură de stocare asigură că cheia master de volum nu este niciodată stocată fără criptare și este întotdeauna protejată, cu excepția cazului în care criptarea BitLocker este dezactivată. Cheile sunt, de asemenea, stocate în două locații suplimentare de disc pentru redundanță. Cheile pot fi citite și procesate de managerul de boot.

Pentru mai multe informații, consultați Cum funcționează în prezentarea tehnică BitLocker Drive Encryption.

Tastele F1–F10 au coduri de interogare universale disponibile în mediul de prepornire pe toate computerele pentru toate limbile. Este posibil ca tastele numerotate de la 0 la 9 să nu poată fi utilizate în mediul de prepornire pe toate tastaturile.

Dacă se utilizează un PIN securizat, utilizatorii sunt sfătuiți să efectueze o verificare suplimentară a sistemului în timpul instalării BitLocker pentru a se asigura că poate fi introdus codul PIN corect în mediul de prepornire. Pentru mai multe informații despre codurile PIN îmbunătățite, consultați Înțelegerea BitLocker în prezentarea tehnică a BitLocker Drive Encryption.

Un atacator poate afla codul PIN prin forță brută. Hackerea cu forță brută este efectuată de un atacator folosind un instrument automat care testează diferite combinații de coduri PIN până când este găsit codul corect. Pentru computerele protejate cu BitLocker, acest tip de hack, cunoscut și ca atac de dicționar, necesită ca atacatorul să aibă acces fizic la computer.

TPM are capabilități încorporate pentru a detecta și a contracara astfel de atacuri. Deoarece TPM-urile de la diferiți producători au diferite măsuri anti-modificare, contactați producătorul modulului pentru a determina modul în care TPM-ul de pe computer previne atacurile cu forța brută PIN.

Odată ce ați identificat producătorul TPM, contactați-l pentru a obține informații despre dezvoltarea modulului. Majoritatea producătorilor măresc exponențial timpul de blocare a interfeței PIN pe măsură ce crește numărul de erori PIN. Cu toate acestea, fiecare producător are propriile reguli cu privire la scăderea sau resetarea contorului de erori.

Pentru mai multe informații, consultați Găsirea informațiilor despre driverul TPM.

Pentru a determina producătorul TPM, consultați Găsirea informațiilor despre driverul TPM.

Adresați-vă producătorului TPM următoarele întrebări despre mecanismul său de atenuare a atacurilor din dicționar.

Câte încercări de acces nereușite sunt permise înainte de blocare?

Ce algoritm este utilizat pentru a determina durata blocării, ținând cont de numărul de încercări de acces nereușite și de alți parametri semnificativi?

Ce acțiuni pot reduce sau reseta numărul de erori sau durata blocării?

Da și nu. Puteți seta o lungime minimă a PIN-ului în setarea Politică de grup Configurați lungimea minimă a PIN-ului pentru pornire și permiteți utilizarea codurilor PIN alfanumerice activând setarea Politică de grup Permiteți PIN-uri protejate pentru pornire. Cu toate acestea, nu puteți seta cerințe de complexitate PIN în Politica de grup.

BitLocker To Go este criptarea unităților BitLocker pentru unitățile de date amovibile. Unitățile flash USB, cardurile SD, hard disk-urile externe și alte unități cu sistemul de fișiere NTFS, FAT16, FAT32 sau exFAT sunt criptate.

Pentru mai multe informații, inclusiv cum să autentificați sau să deblocați o unitate de date amovibilă și cum să verificați că cititorul BitLocker To Go nu este instalat pe unități formatate FAT, consultați Prezentare generală BitLocker To Go.

Dacă activați criptarea BitLocker pe o unitate înainte de a aplica Politica de grup pentru a forța o copie de rezervă, datele de recuperare nu vor fi copiate automat în Serviciile de domeniu Active Directory atunci când computerul se alătură domeniului sau se aplică Politica de grup. Cu toate acestea, în Windows 8, puteți utiliza setările Politicii de grup Selectați metodele de recuperare a unităților sistemului de operare protejate de BitLocker, Selectați metodele de recuperare a unităților fixe protejate de BitLocker și Selectați metodele de recuperare a unităților amovibile protejate de BitLocker pentru a forța computerul să se alăture un domeniu înainte de a activa BitLocker. Acest lucru va asigura că datele de recuperare pentru unitățile protejate cu BitLocker ale organizației sunt copiate de rezervă în Active Directory Domain Services.

Interfața Windows Management Instrumentation (WMI) pentru BitLocker permite administratorilor să scrie un script pentru a face copii de rezervă sau pentru a sincroniza datele existente pentru a recupera un client online, dar BitLocker nu gestionează automat acest proces. Instrumentul de linie de comandă Manage-bde vă permite, de asemenea, să faceți o copie de rezervă manuală a datelor pentru recuperare în Active Directory Domain Services. De exemplu, pentru a face o copie de rezervă a tuturor datelor de recuperare de pe unitatea C: din Active Directory Domain Services, executați următoarea comandă la un prompt de comandă ridicat: manage-bde -protectors -adbackup C:.

Da, este scrisă o intrare în jurnalul de evenimente de pe computerul client, indicând dacă backup-ul Active Directory a reușit sau nu a reușit. Cu toate acestea, chiar dacă jurnalul de evenimente indică succes, datele de recuperare pot fi șterse din Active Directory Domain Services. În plus, configurația BitLocker se poate modifica, astfel încât informațiile din Active Directory nu sunt suficiente pentru a debloca unitatea (de exemplu, dacă protectorul cheii de recuperare a parolei este eliminat). De asemenea, este posibil să falsificați o intrare de jurnal.

Pentru a vă asigura că AD DS are o copie de rezervă validă, trebuie să interogați AD DS cu acreditările de administrator de domeniu utilizând BitLocker Password Viewer.

Nu. Parolele de recuperare BitLocker nu sunt eliminate din Active Directory Domain Services și, prin urmare, pot apărea mai multe parole pentru fiecare unitate. Pentru a determina cea mai recentă parolă, verificați data obiectului.

Dacă backupul inițial eșuează, cum ar fi atunci când un controler de domeniu devine indisponibil în timpul Expertului de configurare BitLocker, BitLocker nu reîncearcă să facă copii de rezervă ale datelor de recuperare în Active Directory Domain Services.

Dacă administratorul selectează caseta de selectare Solicitați backup BitLocker în AD DS în setarea de politică Stocare informații de recuperare în Active Directory Domain Services (Windows 2008 și Windows Vista) sau (echivalent) selectează Nu activați BitLocker până când datele de recuperare nu sunt stocate în AD DS pentru unitățile sistemului de operare caseta de selectare sistem (unități de date amovibile, unități de date fixe) în oricare dintre setările politicii Selectați metodele de recuperare pentru unitățile de sistem de operare protejate cu BitLocker, Selectați metode de recuperare pentru unitățile fixe protejate cu BitLocker, Selectați metodele de recuperare pentru unitățile protejate cu BitLocker unități amovibile, atunci utilizatorii nu vor putea activa BitLocker atunci când computerul nu este conectat la un domeniu și datele de recuperare BitLocker nu sunt copiate de rezervă în Active Directory Domain Services. Dacă aceste opțiuni sunt configurate și copia de rezervă eșuează, nu puteți activa BitLocker. Acest lucru asigură că administratorii au capacitatea de a recupera toate unitățile protejate cu BitLocker din organizație.

Dacă administratorul debifează aceste casete de selectare, unitatea poate fi protejată de BitLocker fără a face copii de rezervă ale datelor de recuperare în Active Directory Domain Services. Cu toate acestea, BitLocker nu reîncearcă automat backup-ul dacă eșuează. În schimb, administratorii pot crea un script de rezervă, așa cum este descris anterior în întrebarea Ce se întâmplă dacă activați BitLocker pe un computer înainte de a vă alătura unui domeniu?, pentru a colecta date după ce conexiunea este restabilită.

BitLocker folosește un algoritm de criptare AES cu o lungime configurabilă a cheii (128 sau 256 de biți). În mod implicit, criptarea este setată la AES-128, dar puteți configura setările folosind Politica de grup.

Pentru a implementa BitLocker pe o unitate de sistem de operare, vă recomandăm un computer cu versiunea 1.2 sau 2.0 TPM și firmware-ul BIOS sau UEFI compatibil cu TCG și un cod PIN. Solicitarea unui PIN specificat de utilizator pe lângă verificarea TPM împiedică un atacator care obține acces la computer să îl ruleze pur și simplu.

În configurația sa de bază, BitLocker pe unitățile sistemului de operare (cu un TPM, dar fără autentificare suplimentară) oferă protecție suplimentară pentru modul de hibernare. Utilizarea autentificării opționale BitLocker (TPM și PIN, TPM și cheie USB sau TPM, PIN și cheie USB) oferă protecție suplimentară în timpul modului de hibernare. Această metodă este mai sigură deoarece autentificarea BitLocker este necesară pentru a reveni din hibernare. Se recomandă să dezactivați modul de repaus și să utilizați o combinație TPM/PIN pentru autentificare.

Majoritatea sistemelor de operare folosesc spațiu de memorie partajat, iar sistemul de operare este responsabil pentru gestionarea memoriei fizice. Un TPM este o componentă hardware care utilizează propriul firmware și logică internă pentru a procesa instrucțiuni, oferind protecție împotriva vulnerabilităților software externe. Pentru a pirata TPM-ul, aveți nevoie de acces fizic la computer. În plus, securitatea hardware pentru hacking necesită de obicei instrumente și abilități mai scumpe, care nu sunt la fel de comune ca instrumentele de hacking software. Deoarece TPM-ul de pe fiecare computer este unic, ar fi nevoie de mult timp și efort pentru a pirata mai multe computere cu TPM-uri.

Toate versiunile BitLocker incluse în sistemul de operare au trecut certificarea Federal Information Standards și certificarea Common Criteria EAL4+. Aceste certificări au fost finalizate și pentru Windows 8 și Windows Server 2012 și sunt în curs de desfășurare pentru Windows 8.1 și Windows Server 2012 R2.

Deblocarea rețelei BitLocker facilitează gestionarea computerelor și serverelor protejate prin BitLocker TPM+PIN într-un mediu de domeniu. Când reporniți un computer conectat la o rețea corporativă cu fir, deblocarea rețelei vă permite să omiteți solicitarea PIN. Volumele sistemului de operare protejate cu BitLocker sunt deblocate automat folosind o cheie de încredere furnizată de serverul Windows Deployment Services ca metodă suplimentară de autentificare.

Pentru a utiliza blocarea rețelei, trebuie, de asemenea, să configurați un cod PIN pentru computer. Dacă computerul nu este conectat la o rețea, trebuie să introduceți un cod PIN pentru a-l debloca.

BitLocker Network Unlocking are cerințe software și hardware pentru computerele client, Serviciile de implementare Windows și controlerele de domeniu care trebuie îndeplinite înainte de a o putea utiliza. Pentru mai multe informații despre aceste cerințe, consultați Cum funcționează BitLocker Drive Encryption Prezentare generală tehnică.

Deblocarea rețelei utilizează două siguranțe: o siguranță TPM și o siguranță furnizată de rețea sau PIN, în timp ce deblocarea automată utilizează o singură siguranță stocată în TPM. Dacă un computer se conectează la o rețea fără un protector pentru chei, vi se solicită să introduceți un cod PIN. Dacă codul PIN nu este disponibil, veți avea nevoie de o cheie de recuperare pentru a debloca un computer care nu poate fi conectat la rețea. Pentru mai multe informații despre deblocarea automată și de rețea, consultați Cum funcționează BitLocker Drive Encryption Prezentare generală tehnică.

Da, sistemul de fișiere de criptare (EFS) poate fi utilizat pentru a cripta fișierele de pe o unitate protejată cu BitLocker. Pentru mai multe informații, consultați Cum funcționează în prezentarea tehnică BitLocker Drive Encryption.

Da. În acest caz, depanatorul trebuie să fie activat înainte ca BitLocker să fie activat. Activarea din timp a depanatorului asigură că starea de etanșare în TPM este calculată corect, permițând computerului să pornească corect. Dacă trebuie să activați sau să dezactivați depanarea în timp ce utilizați BitLocker, mai întâi întrerupeți BitLocker pentru a împiedica computerul să intre în modul de recuperare.

BitLocker conține o stivă de drivere de stocare care oferă criptarea depozitelor de memorie atunci când BitLocker este activat.

BitLocker nu acceptă carduri inteligente pentru autentificarea pre-pornire. Nu există un standard industrial pentru suport pentru firmware-ul smart card și majoritatea computerelor nu au suport firmware pentru smart card sau acceptă doar anumite tipuri de smart card și cititoare. Lipsa standardizării face prea dificilă acceptarea cardurilor inteligente.

Microsoft nu acceptă drivere TPM terță parte și descurajează ferm utilizarea acestora cu BitLocker. Utilizarea unui driver TPM non-Microsoft cu BitLocker poate determina BitLocker să raporteze că TPM nu este prezent pe computer și nu veți putea utiliza modulul cu BitLocker.

Nu vă recomandăm să modificați Master Boot Record (MBR) pe computerele care au unități de sistem de operare protejate cu BitLocker din motive de securitate, fiabilitate și compatibilitate cu produsul. Schimbarea Master Boot Record (MBR) poate schimba mediul de securitate și poate împiedica pornirea normală a computerului și poate face mai dificilă repararea unei Master Boot Record (MBR) deteriorate. Modificările MBR făcute în afara Windows vă pot pune computerul în modul de recuperare sau pot face pornirea complet imposibilă.

O verificare a sistemului verifică dacă firmware-ul computerului (BIOS sau UEFI) este compatibil cu BitLocker și că TPM funcționează corect. Verificarea sistemului poate eșua din următoarele motive.

Firmware-ul computerului (BIOS sau UEFI) nu acceptă citirea dispozitivelor de memorie flash USB.

Firmware-ul computerului (BIOS sau UEFI) sau meniul de pornire nu permit citirea de pe dispozitivele de memorie flash USB.

Există mai multe unități flash USB introduse în computer.

Codul PIN a fost introdus incorect.

Firmware-ul computerului (BIOS sau UEFI) acceptă numai tastele funcționale (F1–F10) pentru introducerea numerelor în mediul de prepornire.

Cheia de pornire a fost eliminată în timp ce computerul nu finalizase încă repornirea.

Din cauza unui TPM defect, cheile nu au putut fi furnizate.

Unele computere nu acceptă citirea unităților flash USB în mediul de prepornire. Mai întâi, verificați firmware-ul BIOS sau UEFI și opțiunile de pornire pentru a vă asigura că stocarea USB este activată. Activați utilizarea stocării USB în BIOS sau UEFI dacă nu este activată și citiți din nou cheia de recuperare de pe unitatea flash USB. Dacă tot nu puteți citi cheia, va trebui să conectați hard disk-ul ca unitate de date la un alt computer care rulează sistemul de operare pentru a citi cheia de recuperare de pe unitatea flash USB. Dacă unitatea flash USB este deteriorată, poate fi necesar să introduceți o parolă de recuperare sau să utilizați datele de recuperare pentru care se face o copie de rezervă în Active Directory Domain Services. De asemenea, dacă cheia de recuperare este utilizată într-un mediu de pre-pornire, asigurați-vă că unitatea este un sistem de fișiere NTFS, FAT16 sau FAT32.

Pentru a debloca automat unitățile de date fixe, unitatea sistemului de operare trebuie, de asemenea, protejată de BitLocker. Dacă utilizați un computer în care unitatea sistemului de operare nu este protejată de BitLocker, unitatea nu poate fi deblocată automat. Pentru unitățile de date amovibile, puteți adăuga deblocare automată făcând clic dreapta pe unitate în File Explorer și selectând Manage BitLocker. Această unitate amovibilă poate fi deblocată pe alte computere prin introducerea parolei sau a acreditărilor smart card pe care le-ați specificat când ați activat BitLocker.

În modul sigur, este disponibilă funcționalitatea limitată BitLocker. Unitățile protejate cu BitLocker pot fi deblocate și decriptate folosind elementul din panoul de control BitLocker Drive Encryption. În modul Safe, nu puteți face clic dreapta pe unitate pentru a deschide opțiunile BitLocker.

Instrumentul de linie de comandă Manage-bde și comanda –lock vă permit să blocați unitățile de date amovibile și neamovibile.

Sintaxa comenzii:

management-bde -lock

Pe lângă utilizarea acestei comenzi, unitățile de date sunt blocate în timpul închiderii sau repornirii sistemului de operare. O unitate de date amovibilă care este scoasă din computer este, de asemenea, blocată automat.

Da. dar copiile umbra create înainte ca BitLocker să fie activat vor fi șterse automat când BitLocker este activat pentru unitățile criptate prin software. Dacă se folosește un disc criptat hardware, copiile umbră sunt păstrate.

BitLocker nu este acceptat pentru VHD-uri de pornire, dar este acceptat pentru volumele de date VHD, cum ar fi cele utilizate în clustere, atunci când rulează pe Windows 8, Windows 8.1, Windows Server 2012 sau Windows Server 2012 R2.

Cum se verifică placa de sunet pe Windows 10

Windows 10 și versiunile anterioare de Windows oferă criptarea fișierelor folosind tehnologia BitLocker. Trebuie să-l configurați o singură dată și puteți fi sigur că nimeni nu va avea acces la fișierele dvs. sau nu va putea rula programele dvs., chiar dacă obține acces fizic la unitatea laptopului sau computerului dvs.

Cum activez criptarea BitLocker? În primul rând, trebuie să activați politicile de securitate:

1. Apăsați Win+R și rulați comanda gpedit.msc.
2. Accesați Șabloane administrative > Windows Components BitLocker Drive Encryption > Operating System Drives.

3. Faceți dublu clic pe „Această setare de politică vă permite să configurați cerințele pentru autentificare suplimentară la pornire” și selectați opțiunea „Activat”.

Acum puteți trece direct la criptare:

1. Deschideți File Explorer > My Computer și selectați unitatea pe care doriți să o criptați.
2. Faceți clic dreapta pe pictograma unității și selectați Activare BitLocker.

3. Se va deschide o casetă de dialog cu opțiuni pentru accesarea datelor criptate. Urmați instrucțiunile acestuia și reporniți computerul. Discul va fi criptat. Procesul de criptare poate fi lung, durata acestuia depinzând de volumul de date criptate.

În timpul procesului de configurare a criptării, va trebui să creați o cheie sau o parolă pentru a decripta datele. Parola trebuie să utilizeze litere și numere mixte. Când unitatea este instalată în computer, datele sunt criptate și decriptate automat, dar dacă eliminați unitatea criptată de pe aceasta și o conectați la un alt dispozitiv, veți avea nevoie de o cheie pentru a accesa fișierele.

Datele de recuperare a cheilor pot fi stocate pe o unitate flash, într-un cont Microsoft, într-un fișier text sau pe o foaie de hârtie tipărită. Rețineți că aceasta nu este cheia în sine, ci doar informații care vă vor ajuta să o recuperați. Cheia poate fi obținută numai după introducerea numelui de autentificare și a parolei pentru contul dvs. Microsoft, ceea ce face mai dificilă spargerea criptării.

Dacă ați criptat unitatea logică a sistemului, va trebui să introduceți parola în timpul pornirii la rece a dispozitivului sau după repornirea acestuia.

Da, implementarea și configurarea BitLocker și TPM pot fi automatizate folosind scripturi WMI sau Windows PowerShell. Modul în care sunt implementate scripturile depinde de mediu. Puteți configura BitLocker local sau de la distanță folosind Manage-bde.exe. Pentru mai multe informații despre scrierea de scripturi care utilizează furnizorii BitLocker WMI, consultați Furnizor de criptare BitLocker Drive. Pentru a afla mai multe despre utilizarea cmdlet-urilor Windows PowerShell cu BitLocker Drive Encryption, consultați acest articol.

Poate BitLocker să cripteze unități altele decât unitatea sistemului de operare?

Cât de mult scade performanța când activați BitLocker pe computer?

De obicei, pierderea de performanță este de până la zece procente.

Cât durează criptarea inițială după activarea BitLocker?

Deși criptarea BitLocker are loc în fundal în timp ce continuați să lucrați și sistemul rămâne disponibil, timpul de criptare depinde de tipul, dimensiunea și viteza de unitate. Este recomandat să programați criptarea discurilor foarte mari pentru momentele în care acestea nu sunt utilizate.

Când activați BitLocker, puteți alege și dacă să criptați întreaga unitate sau doar spațiul utilizat. Pe un hard disk nou, criptarea doar a spațiului utilizat este mult mai rapidă decât criptarea întregii unități. Odată ce selectați această opțiune de criptare, BitLocker vă criptează automat datele când sunt salvate. Această metodă asigură că nicio dată nu este stocată fără criptare.

Ce se întâmplă dacă închideți computerul în timpul criptării sau decriptării?

Dacă computerul se oprește sau intră în modul de hibernare, data viitoare când porniți Windows, procesul de criptare și decriptare BitLocker se reia de unde a rămas. Același lucru se întâmplă și în cazul unei pene de curent.

BitLocker criptează și decriptează întreaga unitate atunci când citește și scrie date?

Nu, BitLocker nu criptează și decriptează întreaga unitate atunci când citește și scrie date. Sectoarele criptate pe o unitate protejată cu BitLocker sunt decriptate numai atunci când sunt solicitate de operațiunile de citire a sistemului. Blocurile care sunt scrise pe disc sunt criptate înainte ca sistemul să le scrie pe discul fizic. Pe o unitate protejată cu BitLocker, datele nu sunt niciodată lăsate necriptate.

Cum pot împiedica utilizatorii online să salveze date pe o unitate necriptată?

Puteți configura setările politicii de grup pentru a solicita date pe unitățile protejate cu BitLocker înainte ca un computer protejat cu BitLocker să scrie date pe acestea. Pentru mai multe informații, consultați Setările politicii de grup BitLocker. Dacă sunt activate setările de politică corespunzătoare, un sistem de operare protejat cu BitLocker va monta unități de date care nu sunt protejate cu BitLocker în modul numai citire.

Ce este folosit doar spațiul de criptare pe disc?

BitLocker pe Windows 10 permite utilizatorilor să aleagă să cripteze doar datele. Deși aceasta nu este cea mai sigură modalitate de a cripta discul, această opțiune poate reduce timpul de criptare cu mai mult de 99 la sută, în funcție de cât de multe date trebuie criptate. Pentru mai multe informații, consultați Se utilizează numai spațiul pe disc.

Ce modificări de sistem determină apariția unei erori la verificarea integrității discului sistemului de operare?

Următoarele tipuri de modificări ale sistemului pot provoca o eroare de verificare a integrității: În acest caz, TPM nu furnizează cheia BitLocker pentru a decripta unitatea protejată a sistemului de operare.

• Mutarea unei unități protejate cu BitLocker pe un computer nou.
• Instalarea unei noi plăci de bază cu un nou TPM.
• Dezactivați, dezactivați sau ștergeți TPM.
• Modificați orice parametri de configurare de pornire.
• Modificarea firmware-ului BIOS sau UEFI, înregistrarea principală de pornire (MBR), sectorul de pornire, managerul de pornire, opțiunea ROM și alte componente timpurii de pornire sau date de configurare a pornirii.

Când pornește BitLocker în modul de recuperare când încearcă să pornească unitatea sistemului de operare?

Deoarece BitLocker este conceput pentru a vă proteja computerul de numeroase atacuri, există multe motive pentru care BitLocker ar putea porni în modul de recuperare. Exemplu

• Schimbarea ordinii de pornire a BIOS - un alt dispozitiv vine înaintea hard diskului.
• Adăugarea sau eliminarea hardware-ului, cum ar fi introducerea unui card nou în computer, inclusiv unele carduri PCMIA fără fir.
• Scoaterea, introducerea sau golirea completă a bateriei inteligente într-un computer laptop.

În BitLocker, recuperarea constă în decriptarea unei copii a cheii master de volum folosind cheia de recuperare stocată pe o unitate USB sau folosind o cheie criptografică obținută folosind parola de recuperare. TPM nu este implicat în niciun scenariu de recuperare. Aceasta înseamnă că recuperarea este posibilă chiar dacă apare o eroare la verificarea componentelor de pornire folosind acest modul, sau dacă eșuează sau este eliminată.

Cum pot dezactiva BitLocker din legarea pentru PCR 7?

Acest lucru se întâmplă dacă Windows nu pornește înainte de Windows sau dacă Secure Boot nu este acceptat pe dispozitiv deoarece este dezactivat sau hardware-ul nu îl acceptă.

Pot schimba hard disk-urile de pe un computer dacă sistemul său de operare are criptarea BitLocker activată?

Da, puteți schimba hard disk-urile de pe același computer cu criptarea BitLocker activată, atâta timp cât au protecție BitLocker activată pe același computer. Cheile BitLocker sunt unice pentru TPM și unitatea sistemului de operare. Prin urmare, pentru a pregăti un disc al sistemului de operare de rezervă sau un disc de date în caz de defecțiune a discului, asigurați-vă că folosesc același TPM. De asemenea, puteți configura diferite hard disk-uri pentru diferite sisteme de operare și apoi activați BitLocker pe fiecare unitate prin specificarea diferitelor metode de autentificare (de exemplu, o unitate are doar TPM și alta are TPM cu PIN), iar acest lucru nu va duce la conflicte.

Pot accesa un hard disk protejat cu BitLocker dacă îl instalez pe alt computer?

Da, dacă este o unitate de date, poate fi deblocată ca de obicei selectând elementul Criptarea unității BitLocker pe panoul de control (folosind o parolă sau un smart card). Dacă unitatea de date este setată doar pentru deblocare automată, va trebui să utilizați o cheie de recuperare pentru a debloca unitatea. Un hard disk criptat poate fi deblocat folosind un agent de recuperare a datelor (dacă este configurat) sau o cheie de recuperare.

De ce comanda „Activați BitLocker” nu este disponibilă când dau clic dreapta pe unitate?

Unele unități nu pot fi criptate folosind BitLocker. Acest lucru se întâmplă din mai multe motive. De exemplu, dimensiunea discului poate fi prea mică, sistemul de fișiere poate fi incompatibil, discul poate fi dinamic sau desemnat ca o partiție de sistem. În mod implicit, discul de sistem (sau partiția de sistem) nu este afișat. Dar dacă discul (sau partiția) nu a fost ascuns în timpul unei instalări personalizate a sistemului de operare, acesta poate fi afișat, dar nu criptat.

Ce tipuri de configurații de unitate sunt acceptate de BitLocker?

Protecția BitLocker este posibilă pentru orice număr de unități fixe interne. Unele versiuni acceptă dispozitive de stocare ATA și SATA atașate direct.

Părere

Am dori să știm părerea dvs. Vă rugăm să indicați despre ce doriți să ne spuneți.

Sistemul nostru de feedback se bazează pe principiile de lucru cu probleme pe GitHub. Pentru mai multe informații, consultați .

Dacă stocați informații confidențiale pe computer, atunci criptarea hard diskului dvs. va fi o opțiune excelentă pentru a asigura siguranța datelor dvs.

În acest articol vă vom spune cum să criptați unitatea de sistem a computerului dvs. folosind cel mai popular instrument de criptare de la Microsoft, utilitarul BitLocker, care vine cu toate versiunile profesionale de Windows.

Ce este BitLocker și de unde să-l descarci

De la lansarea Windows Vista, Microsoft a oferit o nouă funcție de protecție a datelor numită BitLocker Drive Encryption. Windows 7 a introdus BitLocker To Go, criptarea pentru dispozitive portabile de stocare, cum ar fi unități flash și carduri SD.

Nu este nevoie să descărcați și să instalați Biltocker, acesta este deja încorporat în sistemul de operare și este disponibil doar în Windows 10 Pro și Enterprise. Puteți vedea în ce ediție de Windows este instalată pe computer Panouri de control pe filă Sistem. Dacă aveți instalat Windows 10 Home, care nu acceptă BitLocker, vă recomandăm să acordați atenție unui program precum.

De ce Microsoft nu face această caracteristică disponibilă public este o întrebare deschisă, având în vedere că criptarea datelor este una dintre cele mai eficiente modalități de a le menține în siguranță.

Ce este criptarea

Criptarea este o modalitate de a spori securitatea datelor dvs., asigurându-vă că conținutul acestora poate fi citit numai de proprietarul cheii de criptare adecvate. Windows 10 include diverse tehnologii de criptare. De exemplu, criptarea sistemului de fișiere EFS și BitLocker Drive Encryption, despre care vom vorbi în acest articol.

Ce trebuie să știți și să faceți înainte de a utiliza BitLocker

• Criptarea hard diskului poate dura mult timp. Înainte de a începe, vă recomandăm să faceți o copie de rezervă a datelor, deoarece o întrerupere neașteptată a curentului în timpul procesului de criptare le poate deteriora.
• Actualizarea Windows 10 noiembrie include un standard de criptare mai sigur. Vă rugăm să rețineți că noul standard de criptare va fi compatibil numai cu sistemele Windows 10 November Update.
• Dacă computerul dvs. nu are un Trusted Platform Module (TPM), un cip care oferă computerului dumneavoastră caracteristici de securitate suplimentare, cum ar fi capacitatea de a cripta unitățile BitLocker. Când încercați să activați criptarea, este posibil să primiți un mesaj de eroare TPM: „Acest dispozitiv nu poate folosi Trusted Platform Module (TPM)”

Pentru a rezolva această problemă, utilizați fișierul EnableNoTPM.reg.zip. Descărcați, dezarhivați și rulați acest fișier, aceasta va face modificările necesare în registry pentru a permite criptarea fără TPM.

Cum să criptați o unitate folosind BitLocker

Activați BitLocker Drive Encryption în Windows 10. Faceți clic pe butonul start -> Explorer -> Acest computer. Apoi faceți clic dreapta pe unitatea de sistem Windows (de obicei unitatea C), selectați din meniul drop-down .

Creați o parolă puternică pentru a vă debloca hard diskul. De fiecare dată când porniți computerul, Windows vă va cere această parolă pentru a vă decripta datele.

Alegeți cum doriți să faceți backup pentru cheia de recuperare. Îl puteți salva în contul Microsoft, îl puteți copia pe o unitate USB sau îl puteți imprima.

Salvat?! Acum trebuie să specificați ce parte a discului doriți să criptați.

Veți avea două opțiuni:

• Dacă criptați o unitate nouă sau un computer nou, trebuie să criptați doar partea din unitate care este în uz curent. BitLocker va cripta apoi automat datele pe măsură ce sunt adăugate.
• Dacă activați BitLocker pe un computer sau pe o unitate pe care o utilizați deja, vă recomandăm să criptați întreaga unitate. Acest lucru va asigura că toate datele sunt protejate.

Pentru noi, a doua variantă este mai de preferat. Vă rugăm să rețineți că criptarea va dura ceva timp, mai ales dacă aveți o unitate mare. Asigurați-vă că computerul este conectat la o sursă de alimentare neîntreruptibilă în cazul unei pene de curent.

Dacă aveți instalate actualizările Windows 10 din noiembrie, atunci aveți acces la modul de criptare XTS-AES mai sigur. Alegeți această opțiune ori de câte ori este posibil.

Când sunteți gata să începeți criptarea, faceți clic pe butonul "Continua"

Reporniți computerul când vi se solicită.