Как настроить BitLocker шифрование жесткого диска или внешнего USB диска в Windows
Читайте, как защитить жесткий или внешний диск от доступа к нему посторонних зашифровав его . Как настроить и использовать встроенную функцию Windows – BitLocker шифрование. Операционная система позволяет шифровать локальные диски и съемные устройства с помощью встроенной программы-шифровальщика BitLocker . Когда команда TrueCrypt неожиданно закрыла проект, они рекомендовали своим пользователям перейти на BitLocker.
Как включить Bitlocker
Для работы BitLocker для шифрования дисков и BitLocker To Go требуется профессиональная, корпоративная версия Windows 8, 8.1 или 10, или же Максимальная версия Windows 7. Но “ядро” ОС Windows версии 8.1 включает в себя функцию “Device Encryption” для доступа к зашифрованным устройствам.
Для включения BitLocker откройте Панель управления и перейдите в Систему и безопасность – Шифрование диска с помощью BitLocker. Вы также можете открыть Проводник Windows, кликнуть правой кнопкой на диске и выбрать Включить BitLocker. Если такой опции нет в меню, значит у вас не поддерживаемая версия Windows.
Кликните на опцию Включить BitLocker на против системного диска, любого логического раздела или съемного устройства для включение шифрования. Динамические диски не могут быть зашифрованы с помощью BitLocker.
Доступно два типа шифрования BitLocker для включения:
- Для логического раздела . Позволяет шифровать любые встроенные диски, как системные, так и нет. При включении компьютера, загрузчик запускает Windows, из раздела System Reserved, и предлагает метод разблокировки – например, пароль. После этого BitLocker расшифрует диск и запустит Windows. Процесс шифрования / дешифрования будет проходить на лету, и вы будете работать с системой точно также, как до включения шифрования. Также можно зашифровать другие диски в компьютере, а не только диск операционной системы. Пароль для доступа необходимо будет ввести при первом обращении к такому диску.
- Для внешних устройств : Внешние накопители, такие как USB флэш-накопители и внешние жесткие диски, могут быть зашифрованы с помощью BitLocker To Go. Вам будет предложено ввести пароль для разблокировки при подключении накопителя к компьютеру. Пользователи, у которых не будет пароля не смогут получить доступ к файлам на диске.
Использование BitLocker без TPM
Если на вашем отсутствует Trusted Platform Module (TPM), то при включении BitLocker вы увидите сообщение:
«Это устройство не может использовать доверенный платформенный модуль (TPM). Администратор должен задать параметр – Разрешить использовать BitLocker без совместимого TPM» в политике – Обязательная дополнительная проверка подлинности при запуске для томов ОС.
Шифрование диска с Bitlocker по умолчанию требует наличие модуля TPM на компьютере для безопасности диска с операционной системой. Это микрочип, встроенный в материнскую плату компьютера. BitLocker может сохранять зашифрованный ключ в TPM, так как это гораздо надежнее чем хранить его на жестком диске компьютера. TPM чип предоставит ключ шифрования только после проверки состояния компьютера. Злоумышленник не может просто украсть жесткий диск вашего компьютера или создать образ зашифрованного диска и затем расшифровать его на другом компьютере.
Для включения шифрования диска без наличия модуля TPM необходимо обладать правами администратора. Вы должны открыть редактор Локальной группы политики безопасности и изменить необходимый параметр.
Нажмите клавишу Windows + R для запуска команды выполнить, введите gpedit.msc и нажмите Enter. Перейдите в Политика «Локальный компьютер» – «Конфигурация компьютера» – «Административные шаблоны» – «Компоненты Windows» – «Шифрование диска BitLocker» – «Диски операционной системы». Дважды кликните на параметре «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске». Измените значение на включено и проверьте наличие галочки на параметре «Разрешить использование BitLocker без совместимого TPM», затем нажмите Ок для сохранения.
Выберите метод разблокировки
Далее необходимо указать способ разблокировки диска при запуске. Вы можете выбрать различные пути для разблокировки диска. Если ваш компьютер не имеет TPM, вы можете разблокировать диск с помощью ввода пароля или вставляя специальную USB флешку, которая работает как ключ.
Если компьютер оснащен TPM, вам будут доступны дополнительные опции. На пример вы можете настроить автоматическую разблокировку при загрузке. Компьютер будет обращаться за паролем к TPM модулю и автоматически расшифрует диск. Для повышения уровня безопасности Вы можете настроить использование Пин кода при загрузке. Пин код будет использоваться для надежного шифрования ключа для открытия диска, который храниться в TPM.
Выберите ваш предпочитаемый способ разблокировки и следуйте инструкции для дальнейшей настройки.
Сохраните ключ восстановления в надежное место
Перед шифрованием диска BitLocker предоставит вам ключ восстановления. Этот ключ разблокирует зашифрованный диск в случае утери вашего пароля. На пример вы потеряете пароль или USB флешку, используемую в качестве ключа, или TPM модуль перестанет функционировать и т.д.
Вы можете сохранить ключ в файл, напечатать его и хранить с важными документами, сохранить на USB флешку или загрузить его в онлайн аккаунт Microsoft. Если вы сохраните ключ восстановления в ваш аккаунт Microsoft, то сможете получить доступ к нему позже по адресу – https://onedrive.live.com/recoverykey . Убедитесь в безопасности хранения этого ключа, если кто-то получит доступ к нему, то сможет расшифровать диск и получить доступ к вашим файлам. Имеет смысл сохранить несколько копий этого ключа в различных местах, так как если у вас не будет ключа и что-то случиться с вашим основным методом разблокировки, ваши зашифрованные файлы будут утеряна навсегда.
Расшифровка и разблокировка диска
После включения BitLocker будет автоматически шифровать новые файлы по мере их добавления или изменения, но вы можете выбрать как поступить с файлами, которые уже присутствуют на вашем диске. Вы можете зашифровать только занятое сейчас место или весь диск целиком. Шифрование всего диска проходит дольше, но оградит от возможности восстановления содержимого удаленных файлов. Если вы настраиваете BitLocker на новом компьютере, шифруйте только использованное место на диске – так быстрее. Если вы настраиваете BitLocker на компьютере, который использовали до этого, вы должны использовать шифрование всего диска целиком.
Вам будет предложено запустить проверку системы BitLocker и перезагрузить компьютер. После первой загрузки компьютера в первый раз диск будет зашифрован. В системном трее будет доступна иконка BitLocker, кликните по ней что бы увидеть прогресс. Вы можете использовать компьютер пока шифруется диск, но процесс будет идти медленнее.
После перезагрузки компьютера, вы увидите строку для ввода пароля BitLocker, ПИН кода или предложение вставить USB ключ.
Нажмите Escape если вы не можете выполнить разблокировку. Вам будет предложено ввести ключ восстановления.
Если вы выбрали шифрование съемного устройства с BitLocker To Go, вы увидите похожий мастер, но ваш диск будет зашифрован без требования перезагрузки системы. Не отсоединяйте съемное устройство во время процесса шифрования.
Когда вы подсоедините зашифрованную флешку или внешний диск к компьютеру, необходимо будет ввести пароль для его разблокировки. Защищенные BitLocker диски имеют специальную иконку в Windows проводнике.
Вы можете управлять защищенными дисками в окне контрольной панели BitLocker – изменить пароль, выключить BitLocker, сделать резервную копию ключа восстановления и другие действия. Нажмите правой кнопкой мышки на зашифрованном диске и выберите Включить BitLocker для перехода в панель управления.
Как и любое шифрование BitLocker дополнительно нагружает системные ресурсы. Официальная справка Microsoft по BitLocker говорит следующее «Как правило дополнительная нагрузка составляет менее 10%» . Если вы работаете с важными документами и шифрование вам необходимо – это будет разумный компромисс с производительностью.
Настройка методов проверки подлинности Configure Authentication Methods
Относится к: Applies to
- Windows 10 Windows10
- Windows Server2016 Windows Server 2016
В этой процедуре показано, как настроить методы проверки подлинности, которые могут использоваться компьютерами в изолированном домене или изолированной изолированной зоне сервера. This procedure shows you how to configure the authentication methods that can be used by computers in an isolated domain or standalone isolated server zone.
Примечание. Если выполнить действия, описанные в этой статье, вы измените параметры по умолчанию для всей системы. Note: If you follow the steps in the procedure in this topic, you alter the system-wide default settings. Любое правило безопасности подключения может использовать эти параметры, указав значение по умолчанию на вкладке Проверка подлинности . Any connection security rule can use these settings by specifying Default on the Authentication tab.
Учетные данные администратора Administrative credentials
Для выполнения описанных ниже действий необходимо быть членом группы администраторов домена или иным образом делегированными разрешениями для изменения объектов групповой политики. To complete these procedures, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to modify the GPOs.
Настройка способов проверки подлинности To configure authentication methods
В области сведений на главном экране брандмауэра защитника Windows на странице Advanced Security выберите Свойства брандмауэра защитника Windows. In the details pane on the main Windows Defender Firewall with Advanced Security page, click Windows Defender Firewall Properties.
На вкладке Параметры IPsec нажмите кнопку настроить. On the IPsec Settings tab, click Customize.
В разделе способ проверки подлинности выберите тип проверки подлинности, который вы хотите использовать, в следующих случаях: In the Authentication Method section, select the type of authentication that you want to use from among the following:
По умолчанию. Default. Выбор этого параметра указывает на то, что компьютер будет использовать метод проверки подлинности, который в настоящее время определен локальным администратором в брандмауэре защитника Windows или групповой политикой по умолчанию. Selecting this option tells the computer to use the authentication method currently defined by the local administrator in Windows Defender Firewall or by Group Policy as the default.
Компьютер и пользователь (с использованием Kerberos V5). Computer and User (using Kerberos V5). Если выбрать этот параметр, компьютер будет использовать и требовать проверки подлинности как компьютера, так и пользователя, который вошел в систему, используя свои учетные данные домена. Selecting this option tells the computer to use and require authentication of both the computer and the currently logged-on user by using their domain credentials.
Компьютер (с помощью Kerberos V5). Computer (using Kerberos V5). Если выбрать этот параметр, компьютер будет использовать и требовать проверки подлинности компьютера с использованием учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает на других компьютерах, которые могут использовать IKE v1, в том числе в более ранних версиях Windows. This option works with other computers that can use IKE v1, including earlier versions of Windows.
Пользователь (с использованием Kerberos V5). User (using Kerberos V5). Если выбрать этот параметр, компьютер будет использовать и требовать проверку подлинности пользователя, выполнившего вход в систему, используя свои учетные данные своего домена. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials.
Сертификат компьютера, предоставленный этим центром сертификации. Computer certificate from this certification authority. Выбрав этот параметр и указав идентификатор центра сертификации (ЦС), вы узнаете, что компьютер должен использовать и требовать проверку подлинности с помощью сертификата, выданного выбранным центром сертификации. Selecting this option and entering the identification of a certification authority (CA) tells the computer to use and require authentication by using a certificate that is issued by the selected CA. Если вы также выберете параметр принимать только сертификаты работоспособности, то для этого правила можно использовать только сертификаты с расширенным использованием ключа проверки подлинности системы (EKU), которое обычно используется в инфраструктуре защиты доступа к сети (NAP). If you also select Accept only health certificates, then only certificates that include the system health authentication enhanced key usage (EKU) typically provided in a Network Access Protection (NAP) infrastructure can be used for this rule.
Дополнительно. Advanced. Нажмите кнопку настроить , чтобы указать пользовательскую комбинацию методов проверки подлинности, необходимых для вашего сценария. Click Customize to specify a custom combination of authentication methods required for your scenario. Вы можете задать один и тот же метод проверки подлинности , и второй способ проверки подлинности. You can specify both a First authentication method and a Second authentication method.
Первый способ проверки подлинности может принимать одно из следующих значений: The first authentication method can be one of the following:
Компьютер (Kerberos V5). Computer (Kerberos V5). Если выбрать этот параметр, компьютер будет использовать и требовать проверки подлинности компьютера с использованием учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает на других компьютерах, которые могут использовать IKE v1, в том числе в более ранних версиях Windows. This option works with other computers that can use IKE v1, including earlier versions of Windows.
Компьютер (NTLMv2). Computer (NTLMv2). Если выбрать этот параметр, компьютер будет использовать и требовать проверки подлинности компьютера с использованием учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает только с другими компьютерами, которые могут использовать AuthIP. This option works only with other computers that can use AuthIP. Проверка подлинности на основе пользователей с помощью протокола Kerberos V5 не поддерживается IKE v1. User-based authentication using Kerberos V5 is not supported by IKE v1.
Сертификат компьютера от этого центра сертификации (ЦС). Computer certificate from this certification authority (CA). Выбрав этот параметр и введя идентификатор ЦС, вы узнаете, что компьютер должен использовать и требовать проверку подлинности с помощью сертификата, выданного этим центром сертификации. Selecting this option and entering the identification of a CA tells the computer to use and require authentication by using a certificate that is issued by that CA. Если вы также выберете параметр принимать только сертификаты работоспособности, можно использовать только сертификаты, выданные сервером NAP. If you also select Accept only health certificates, then only certificates issued by a NAP server can be used.
Предварительного ключа (не рекомендуется). Preshared key (not recommended). Выбирая этот метод и вводя общий ключ, вы сообщаете компьютеру о необходимости проверки подлинности, перетаскивая эти общие ключи. Selecting this method and entering a preshared key tells the computer to authenticate by exchanging the preshared keys. Если они совпадают, проверка подлинности завершается успешно. If they match, then the authentication succeeds. Этот метод не рекомендуется и включается только в целях обратной совместимости и тестирования. This method is not recommended, and is included only for backward compatibility and testing purposes.
Если вы выбрали вариант Первая проверка подлинности, то соединение может быть успешно установлено, даже если попытка проверки подлинности, указанная в этом столбце, завершается сбоем. If you select First authentication is optional, then the connection can succeed even if the authentication attempt specified in this column fails.
Второй способ проверки подлинности может принимать одно из следующих значений: The second authentication method can be one of the following:
User (Kerberos V5). User (Kerberos V5). Если выбрать этот параметр, компьютер будет использовать и требовать проверку подлинности пользователя, выполнившего вход в систему, используя свои учетные данные своего домена. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials. Этот метод проверки подлинности работает только с другими компьютерами, которые могут использовать AuthIP. This authentication method works only with other computers that can use AuthIP. Проверка подлинности на основе пользователей с помощью протокола Kerberos V5 не поддерживается IKE v1. User-based authentication using Kerberos V5 is not supported by IKE v1.
User (NTLMv2). User (NTLMv2). Если выбрать этот параметр, компьютер будет использовать и требовать проверки подлинности пользователя, который вошел в систему, используя его учетные данные домена, и использует протокол NTLMv2 вместо Kerberos V5. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials, and uses the NTLMv2 protocol instead of Kerberos V5. Этот метод проверки подлинности работает только с другими компьютерами, которые могут использовать AuthIP. This authentication method works only with other computers that can use AuthIP. Проверка подлинности на основе пользователей с помощью протокола Kerberos V5 не поддерживается IKE v1. User-based authentication using Kerberos V5 is not supported by IKE v1.
Сертификат работоспособности пользователя от этого центра сертификации (ЦС). User health certificate from this certification authority (CA). Если выбрать этот параметр и ввести идентификацию центра сертификации, компьютер будет использовать для проверки подлинности пользователей сертификат, выданный указанным центром сертификации. Selecting this option and entering the identification of a CA tells the computer to use and require user-based authentication by using a certificate that is issued by the specified CA. Если вы также выберете параметр Включить сопоставление сертификатов с учетными записями, то для предоставления или запрета доступа к указанным пользователям или группам пользователей сертификат может быть связан с пользователем в службе каталогов Active Directory. If you also select Enable certificate to account mapping, then the certificate can be associated with a user in Active Directory for purposes of granting or denying access to specified users or user groups.
Сертификат работоспособности компьютера от этого центра сертификации (ЦС). Computer health certificate from this certification authority (CA). Выбрав этот параметр и введя идентификатор ЦС, вы узнаете, что компьютер должен использовать и требовать проверку подлинности с помощью сертификата, выданного указанным центром сертификации. Selecting this option and entering the identification of a CA tells the computer to use and require authentication by using a certificate that is issued by the specified CA. Если вы также выбираете параметр принимать только сертификаты работоспособности, для этого правила можно использовать только сертификаты, включающие EKU проверки подлинности системы, которые обычно используются в инфраструктуре NAP. If you also select Accept only health certificates, then only certificates that include the system health authentication EKU typically provided in a NAP infrastructure can be used for this rule.
Если выбрать параметр Вторая проверка подлинности, соединение может быть успешно установлено, даже если попытка проверки подлинности, указанная в этом столбце, завершается сбоем. If you select Second authentication is optional, then the connection can succeed even if the authentication attempt specified in this column fails.
Внимание! Убедитесь, что не устанавливайте флажки, чтобы сделать первую и вторую проверку подлинности необязательной. Important: Make sure that you do not select the check boxes to make both first and second authentication optional. Это делает возможным соединение с открытым текстом при сбое проверки подлинности. Doing so allows plaintext connections whenever authentication fails.
Нажмите кнопку » ОК » в каждом диалоговом окне, чтобы сохранить изменения и вернуться в редактор управления групповыми политиками. Click OK on each dialog box to save your changes and return to the Group Policy Management Editor.