Что такое битлокер на флешке
Зашифруйте USB-накопитель с помощью BitLocker To Go в Windows 10
Что такое BitLocker To Go?
BitLocker To Go доступен в выпусках Windows 10 Pro, Enterprise и Education, но его нет в Windows 10 Home. Если вы не знаете, какую версию Windows 10 вы используете, вот как проверить версию Windows 10, сборку ОС, редакцию или тип.
В окне «Шифрование диска BitLocker» щелкните или нажмите «Включить BitLocker» рядом со съемным USB-накопителем, который необходимо зашифровать.
Независимо от того, как вы решили запустить мастер шифрования диска BitLocker — через проводник или из панели управления — теперь он открыт. Первое, что он делает, это просит вас: «Пожалуйста, подождите, пока BitLocker инициализирует диск».
В зависимости от скорости вашего ПК с Windows 10 и вашего USB-накопителя, это может занять несколько минут. Будьте осторожны, чтобы не отключить съемный диск во время этого шага. В противном случае данные на нем могут быть повреждены.
После того, как BitLocker инициализирует USB-накопитель, вы можете «выбрать, как вы хотите […] разблокировать его после его шифрования. Вы можете использовать либо пароль, либо смарт-карту. Поскольку большинство людей не владеют смарт-картами (которые в основном используются в компаниях), вам следует выбрать «Использовать пароль для разблокировки диска». После выбора этой опции введите пароль, который вы хотите использовать, и подтвердите его. Затем нажмите Далее.
BitLocker требует от вас выбрать место для резервного копирования ключа восстановления для зашифрованного USB-накопителя. Вы можете использовать этот ключ для восстановления данных на съемном диске, если вы забудете пароль или потеряете смарт-карту, выбранную на предыдущем шаге. Без этого ваши данные будут потеряны навсегда. Вы можете выбрать:
Мы рекомендуем использовать все параметры, чтобы не потерять ключ восстановления. Затем нажмите Далее.
Выберите, хотите ли вы зашифровать весь USB-накопитель или только объем памяти, используемый файлами на нем. Как вы можете видеть на следующем скриншоте, Microsoft рекомендует:
После того, как вы сделаете свой выбор, нажмите Далее.
Затем Windows 10 попросит вас выбрать тип шифрования BitLocker, который вы предпочитаете использовать. Вы можете выбрать между:
После того, как вы сделали свой выбор, нажмите Далее.
На данный момент вам остается только зашифровать диск с помощью BitLocker To Go. Нажмите на Начать шифрование.
ПРИМЕЧАНИЕ. Если вам необходимо извлечь диск во время процесса шифрования, нажмите «Пауза» в окне «Шифрование диска BitLocker», прежде чем продолжить, чтобы не повредить данные на нем. Когда вы будете готовы возобновить процесс шифрования, вставьте съемный диск обратно в один из USB-портов ПК с Windows 10. Введите пароль диска, и BitLocker To Go продолжает шифровать диск USB с того места, где вы остановились.
Когда ваш диск полностью зашифрован, вы получите быстрое всплывающее окно, которое необходимо закрыть, чтобы завершить процесс.
Ваш USB-накопитель теперь зашифрован с помощью BitLocker To Go и, таким образом, защищен от несанкционированного доступа. Отныне значок USB-накопителя в проводнике отличается. Он имеет небольшой замок, чтобы подчеркнуть тот факт, что он зашифрован.
Если позже вы захотите изменить настройки BitLocker To Go на своем зашифрованном USB-накопителе, прочитайте это руководство: Управление зашифрованной флэш-памятью BitLocker To Go. В нем мы расскажем о том, как изменить пароль BitLocker на диске и как включить или отключить функцию автоматической разблокировки BitLocker в Windows 10.
Используете ли вы BitLocker To Go для шифрования USB-накопителей?
Как установить пароль на флешку в BitLocker
Довольно часто пользователи сталкиваются с ситуациями, когда бывает необходимо поставить пароль на флешку. Обычно, это делается в целях безопасности, для предотвращения доступа других людей к переносному USB накопителю.
На флешке может находиться коммерческая информация, важные конфиденциальные или приватные данные, которые необходимо защитить от постороннего доступа. Один из способов решения проблемы: зашифровать информацию на внешнем USB диске.
Можно ли поставить пароль на флешку? Да, имеются способы, при которых шифруются данные на всем диске (флешке), или на USB флэш накопителе создается отдельный зашифрованный раздел, к которому не будет свободного доступа. Для разблокировки всей флешки, или раздела на флеш накопителе необходимо ввести пароль.
Шифрование USB флешки бывает двух типов: с аппаратным шифрованием от производителя устройства или с помощью программного обеспечения.
В продаже имеются флешки с аппаратным шифрованием данных. На флешке имеется физическая клавиатура, с помощью которой на переносное устройство устанавливается пароль для надежной блокировки доступа к содержимому флэш накопителя. Аппаратный вариант шифрования не имеет широкого распространения, большинство пользователей используют программный способ для защиты USB Flash устройств.
Другой способ подразумевает использование для шифрования флешки программного обеспечения, встроенного в операционную систему, или софт от сторонних разработчиков. В данной статье мы разберем, как установить пароль на флешку без программ, используя средство системы. Мы установим пароль на флешку USB полностью, а не будем создавать отдельный зашифрованный раздел на съемном носителе.
Как установить пароль на флешку? В операционной системе Windows имеется встроенная технология BitLocker (BitLocker Drive Encryption) для шифрования дисков, в том числе съемных носителей подключенных к компьютеру. Штатное средство BitLocker использует в своей работе алгоритмы шифрования AES 128 и AES 256.
Давайте посмотрим, как поставить пароль на флешку без программ сторонних производителей, на примере использования системного средства BitLocker. Это самый простой способ запаролить флешку в Windows, сделать недоступными важные данные.
Средство BitLocker To Go позволит полностью зашифровать флешку в Windows в следующих редакциях операционной системы:
Зашифрованная флешка будет отображаться в Проводнике, но получить доступ к съемному носителю станет возможным только после ввода пароля.
Если вас интересуют другие способы скрытия важных данных, прочитайте статьи на моем сайте о том, как срыть информацию в файле-контейнере на виртуальном диске VHD, зашифровать архив в WinRAR или в 7-Zip, скрыть файлы и папки в специализированных программах.
Как поставить пароль на флешку в BitLocker
В процессе создания зашифрованной флешки в BitLocker, необходимо выполнить следующие шаги:
Сначала необходимо вставить в USB порт компьютера переносной флеш накопитель, с данными требующими защиты от посторонних лиц.
Запустите средство BitLocker из контекстного меню. В окне Проводника кликните правой кнопкой мыши по значку флешки, в открывшемся меню выберите «Включить BitLocker».
Во время запуска приложения выполняется инициализация диска (флешки).
В следующем окне выберите способы для разблокировки диска. В BitLocker предлагается два способа для получения доступа к данным на зашифрованной флешке:
В первом случае, необходимо создать пароль для снятия блокировки с флешки (пароль должен состоять из прописных и строчных букв, цифр, пробелов и символов). Второй вариант предусматривает использование дополнительного устройства: смарт-карты с ПИН-кодом. В большинстве случаев, предпочтительнее выбрать первый вариант.
Поставьте галку напротив пункта «Использовать пароль для снятия блокировки диска», введите пароль, подтвердите пароль, а затем нажмите на кнопку «Далее».
Далее нужно выбрать способ для архивирования ключа восстановления. Ключ восстановления пригодится в случае, если вы забудете свой пароль или потеряете смарт-карту. С помощью ключа восстановления вы сможете разблокировать флешку.
Выберите один из трех возможных вариантов:
После сохранения ключа восстановления, перейдите к следующему этапу.
В открывшемся окне следует выбрать, какую часть диска требуется зашифровать:
В первом случае, будет зашифрована только та часть флешки, которая содержит данные. Новые данные, добавленные на флешку, будут зашифрованы автоматически. При этом способе процесс шифрования проходит быстрее.
При шифровании всего диска, кроме занятого места, будет зашифровано неиспользуемое пространство флешки. Это более надежный способ защиты флешки, так как он делает невозможным восстановление ранее удаленных файлов на USB накопителе, с помощью специализированных программ, например, Recuva. При выборе данного варианта, процесс шифрования займет больше времени.
Выберите подходящий способ, нажмите на кнопку «Далее».
Если вы ставите пароль на флешку в операционной системе Windows 10, вам предложат выбрать режим шифрования:
Выберите «Режим совместимости», а затем перейдите к следующему этапу.
В новом окне нажмите на кнопку «Начать шифрование».
Процесс шифрования занимает довольно длительное время, продолжительность шифрования зависит от размера флешки, или от размера шифруемых файлов на флешке (при выборе соответствующей опции).
После завершения шифрования, на компьютере появится запароленная флешка.
Как открыть зашифрованную флешку в BitLocker
Для разблокировки флешки, необходимо выполнить следующие шаги:
Если нажать на «Дополнительные параметры» откроются опции: «Введите ключ восстановления» для разблокировки флешки, если вы забыли пароль, и «Автоматически разблокировать на этом ПК» для открытия доступа к данным без ввода пароля на данном компьютере (для включения этого параметра потребуется ввести пароль).
В окне Проводника на значке флешки появится открытый замок. Зашифрованные данные снова доступны для использования.
Как отключить шифрование флешки в BitLocker
Если отпадет необходимости иметь зашифрованную флешку, отключите шифрование съемного диска в BitLocker.
Выполните следующие настройки:
Выводы статьи
В случае необходимости, пользователь может зашифровать флешку USB на своем компьютере для защиты конфиденциальной или важной информации от постороннего доступа. Поставить пароль на флешку можно с помощью системного средства BitLocker в операционных системах: Windows 7 в редакциях Ultimate и Enterprise, Windows 8, Windows 8.1, Windows 10 в редакциях Pro и Enterprise.
Общие сведения о функции шифровании устройств BitLocker в Windows
Относится к:
В этом разделе объясняется, как шифрование устройств BitLocker может помочь защитить данные на устройствах, работающих Windows. Общий обзор и список тем о BitLocker см. в разделе BitLocker.
Когда пользователи путешествуют, конфиденциальные данные их организации путешествуют вместе с ними. Где бы ни хранились конфиденциальные данные, их необходимо защитить от несанкционированного доступа. В Windows давно успешно реализуются механизмы защиты данных на хранении, позволяющие оградить информацию от атак злоумышленников, начиная с файловой системы шифрования файлов в ОС Windows 2000. Совсем недавно BitLocker предоставил шифрование для полных дисков и портативных дисков. В ОС Windows последовательно совершенствуются механизмы защиты данных: улучшаются существующие схемы и появляются новые стратегии.
В таблице 2 перечислены конкретные проблемы защиты данных и их решения в Windows 11, Windows 10 и Windows 7.
Таблица2. Защита данных в Windows 11, Windows 10 и Windows 7
| Windows 7; | Windows 11 и Windows 10 |
|---|---|
| Если BitLocker используется вместе с ПИН-кодом для обеспечения безопасности в ходе загрузки, перезагрузить ПК (например, киоски) удаленно невозможно. | Современные Windows все чаще защищены с помощью шифрования устройств BitLocker из коробки и поддерживают SSO, чтобы легко защитить ключи шифрования BitLocker от атак холодной загрузки. Сетевая разблокировка позволяет выполнять автоматический запуск ПК при наличии подключения к внутренней сети. |
| Если BitLocker включен, процедура подготовки может занять несколько часов. | Предварительная подготовка BitLocker, шифрование жестких дисков и шифрование только используемого пространства позволяет администраторам быстро включать BitLocker на новых компьютерах. |
| Отсутствует поддержка использования BitLocker с самошифрующимися дисками (SED). | BitLocker поддерживает разгрузку шифрования на зашифрованные жесткие диски. |
| Администраторы должны использовать для управления зашифрованными жесткими дисками специальные средства. | BitLocker поддерживает зашифрованные жесткие диски благодаря встроенному оборудованию для шифрования, что позволяет администраторам использовать знакомые инструменты администрирования BitLocker для управления ими. |
| Шифрование нового флеш-диска может занять более 20 минут. | Используемое шифрование Только пространство в BitLocker To Go позволяет пользователям шифровать съемные диски данных в секундах. |
| BitLocker может потребовать от пользователей ввода ключа восстановления при внесении изменений в конфигурацию системы. | BitLocker требует ввода ключа восстановления только в случае повреждения диска или утери ПИН-кода или пароля пользователем. |
| Пользователи должны ввести ПИН-код для запуска ПК, а затем пароль для входа в Windows. | Современные Windows все чаще защищены с помощью шифрования устройств BitLocker из коробки и поддерживают SSO, чтобы защитить ключи шифрования BitLocker от атак холодной загрузки. |
Подготовка к шифрованию дисков и файлов
Самые лучшие меры безопасности прозрачны для пользователя на этапах внедрения и использования. Всякий раз при возникновении задержки или сложности, вызванной использованием функции безопасности, велика вероятность того, что пользователи попытаются обойти систему безопасности. Это особенно актуально, если речь идет о защите данных, и организациям нужно всеми способами обезопасить себя от этого. Планируете ли вы шифровать целые тома, съемные устройства или отдельные файлы, Windows 11 и Windows 10 для удовлетворения ваших потребностей путем предоставления упорядоченных и понятных решений. Можно предпринять определенные меры заранее, чтобы подготовиться к шифрованию данных и сделать развертывание максимально простым и быстрым.
Предварительная подготовка TPM
В Windows 7 подготовка TPM к работе была сопряжена с некоторыми сложностями.
Как правило, все это было сопряжено с большими сложностями. Если ИТ-специалисты занимаются подготовкой новых ПК, они могут выполнить все вышеперечисленное, но если требуется добавить BitLocker на устройства, с которыми уже работают пользователи, последним придется справляться с техническими сложностями и либо обращаться к ИТ-специалистам за поддержкой, либо не включать BitLocker.
Корпорация Майкрософт включает приборы Windows 11 и Windows 10, которые позволяют операционной системе полностью управлять TPM. Не требуется заходить в BIOS, устранены также все ситуации, требующие перезагрузки компьютера.
Шифрование жесткого диска
BitLocker может шифровать жесткие диски полностью, включая системные диски и диски с данными. Предварительная подготовка BitLocker позволяет существенно сократить время, необходимое для включения BitLocker на новых ПК. С Windows 11 и Windows 10 администраторы могут включить BitLocker и TPM из среды предварительной Windows до установки Windows или в рамках автоматической последовательности задач развертывания без взаимодействия с пользователем. В сочетании с шифрованием только используемого места на диске и учитывая, что диск практически пуст (поскольку Windows еще не установлена), для включения BitLocker потребуется всего несколько секунд. В предыдущих версиях Windows администраторам приходилось включать BitLocker после установки Windows. Несмотря на то что этот процесс можно автоматизировать, BitLocker потребовалось бы шифровать целый диск (на что ушло бы от нескольких часов до более одного дня в зависимости от размера диска и производительности), что существенно бы увеличило время развертывания. Корпорация Майкрософт улучшила этот процесс благодаря нескольким функциям Windows 11 и Windows 10.
Шифрование устройств BitLocker
Начиная с Windows 8.1, Windows автоматически включает шифрование устройств BitLocker на устройствах, поддерживаюх современное режим ожидания. С Windows 11 и Windows 10 microsoft предлагает поддержку шифрования устройств BitLocker на гораздо более широком диапазоне устройств, в том числе современных standby, и устройствах, Windows 10 Домашняя выпуска или Windows 11.
Корпорация Майкрософт ожидает, что большинство устройств в будущем будут проходить тестирование, что делает шифрование устройств BitLocker широко распространенным на современных Windows устройствах. Шифрование устройств BitLocker дополнительно защищает систему, прозрачно реализуя шифрование данных на всей устройстве.
В отличие от стандартной реализации BitLocker шифрование устройств BitLocker включено автоматически, чтобы устройство всегда было защищено. В следующем списке изложено, как это происходит.
Корпорация Майкрософт рекомендует включить шифрование устройств BitLocker в любых поддерживаемых системах, но процесс автоматического шифрования устройств BitLocker можно предотвратить, изменив следующий параметр реестра:
Администраторы могут управлять устройствами с поддержкой домена, на которые включено шифрование устройств BitLocker с помощью администрирования и мониторинга Microsoft BitLocker (MBAM). В этом случае шифрование устройств BitLocker автоматически делает доступными дополнительные параметры BitLocker. Преобразование или шифрование не требуется, и если нужно внести какие-либо изменения в конфигурацию, MBAM может осуществлять управление всем набором политик BitLocker.
Шифрование устройств BitLocker использует 128-битный метод шифрования XTS-AES. Если требуется использовать другой метод шифрования и/или силу шифра, сначала необходимо настроить и расшифровать устройство (если уже зашифровано). После этого можно применить различные параметры BitLocker.
Шифрование только занятого места на диске
На шифрование диска с помощью BitLocker в предыдущих версиях Windows могло уходить много времени, потому что шифровался каждый байт тома (включая части, не содержащие данных). Это по-прежнему самый безопасный способ шифрования диска, особенно если на диске ранее содержались конфиденциальные данные, которые с тех пор были перемещены или удалены. В этом случае следы конфиденциальных данных могут оставаться на части диска, помеченных как неиспользованые. Зачем шифровать новый диск, если можно просто шифровать данные по мере записи? Чтобы сократить время шифрования, BitLocker Windows 11 и Windows 10 позволяет пользователям шифровать только свои данные. В зависимости от объема данных на диске это позволяет сократить время шифрования более, чем на 99 процентов. Соблюдайте осторожность, шифруя только используемое пространство в существующем томе, где уже могут храниться конфиденциальные данные в незашифрованном состоянии, потому что пока сюда не будут записаны новые зашифрованные данные, эти секторы можно восстановить с помощью средств восстановления диска. Напротив, шифрование только используемого пространства в совершенно новом томе может существенно сократить продолжительность развертывания без рисков безопасности, потому что все новые данные будут зашифрованы по мере записи на диск.
Поддержка шифрования жесткого диска
SED доступны уже многие годы, однако Майкрософт не удавалось обеспечить поддержку этой технологии в более ранних версиях Windows, потому что на дисках отсутствовали важные функции управления ключами. Корпорация Майкрософт совместно с поставщиками ресурсов хранения сделала многое для совершенствования аппаратных возможностей, и теперь BitLocker поддерживает SED нового поколения, которые называются зашифрованными жесткими дисками. Зашифрованные жесткие диски имеют встроенные криптографические возможности, что позволяет шифровать данные на дисках, повышает производительность дисков и системы благодаря переносу криптографических вычислений с процессора ПК на сам диск и быстрому шифрованию диска с использованием специального выделенного оборудования. Если вы планируете использовать шифрование на всем диске Windows 11 или Windows 10, корпорация Майкрософт рекомендует изучить производителей жестких дисков и моделей, чтобы определить, соответствует ли любой из их зашифрованных жестких дисков требованиям безопасности и бюджета. Дополнительные сведения о зашифрованных жестких дисках см. в статье Зашифрованный жесткий диск.
Защита информации на этапе предварительной загрузки
Эффективная реализация защиты информации, как и большинство элементов управления безопасностью, рассматривает возможность использования, а также безопасность. Как правило, пользователи предпочитают простые системы безопасности. По сути, чем более прозрачным является решение безопасности, тем охотнее пользователи будут его применять. Для организаций очень важно защитить информацию на своих ПК независимо от состояния компьютеров и намерений пользователей. Такая защита не должна обременять пользователей. Одним из неудобных (однако очень распространенных ранее) сценариев является ситуация, когда пользователю нужно вводить определенные данные во время предварительной загрузки, а затем снова при входе в Windows. Следует избегать такой ситуации, когда пользователю приходится несколько раз вводить данные, чтобы войти в систему. Windows 11 и Windows 10 позволяет использовать настоящий SSO-опыт из среды предварительной перезагрузки на современных устройствах и в некоторых случаях даже на старых устройствах при надежных конфигурациях защиты информации. TPM в изоляции способен обеспечить надежную защиту ключа шифрования BitLocker в состоянии покоя и безопасно разблокировать диск операционной системы. Если ключ используется и, следовательно, находится в памяти, аппаратные функции в сочетании с возможностями Windows обеспечивают безопасность ключа и защищают от несанкционированного доступа в результате атак методом холодной загрузки. Несмотря на доступность других мер противодействия (разблокировка с использованием ПИН-кода), они неудобны; в зависимости от конфигурации устройства при использовании этих мер может не обеспечиваться дополнительная защита ключа. Дополнительные сведения см. в дополнительных сведениях о контрмерах BitLocker.
Управление паролями и ПИН-кодами
Если BitLoслук включен на системном диске и ПК оснащен модулем TPM, можно потребовать от пользователей ввода ПИН-кода, прежде чем BitLocker разблокирует диск. Это требование защищает от злоумышленников, получивших физический доступ к ПК, и не позволяет им даже дойти до входа в систему Windows. В результате получить доступ к данным пользователя или системным файлам или изменить их практически невозможно.
Требование ввода ПИН-кода при запуске — полезный механизм обеспечения безопасности, потому что он выступает в качестве второго фактора проверки подлинности («что-то, что вы знаете»). Тем не менее, есть и другая сторона медали. Во-первых, необходимо регулярно менять ПИН-код. В организациях, где BitLocker использовался с ОС Windows 7 и Windows Vista, пользователям приходилось обращаться к системным администраторам, чтобы обновить ПИН-код или пароль BitLocker. В результате не только росли затраты на управление, но и пользователи не желали менять ПИН-код или пароль BitLocker достаточно часто. Windows 11 и Windows 10 пользователи могут самостоятельно обновлять свои ПИН-коды и пароли BitLocker без учетных данных администратора. Это не только позволяет снизить затраты на поддержку, но и повысить безопасность, потому что поощряется регулярная смена ПИН-кодов и паролей пользователями. Кроме того, современные устройства standby не требуют ПИН-кода для запуска: они предназначены для запуска нечасто и имеют другие смягчающие меры, которые еще больше уменьшают поверхность атаки системы. Дополнительные сведения о том, как работает безопасность запуска и какие контрмеры Windows 11 и Windows 10, см. в этой рубке Protect BitLocker from pre-boot attacks.
Настройка сетевой разблокировки
В некоторых организациях действуют требования к безопасности данных в зависимости от расположения. Это наиболее распространено в средах, где на ПК хранятся очень ценные данные. Сетевая среда может обеспечить важную защиту данных и принудительно реализовать обязательную проверку подлинности; следовательно, согласно политике организации, такие ПК не должны покидать здание или отключаться от сети организации. Меры безопасности, такие как физические блокировки безопасности и использование геозон, позволяют реализовывать эту политику в форме реактивных мер контроля. Помимо этого, необходимо реализовать проактивный контроль безопасности: доступ к данным может быть предоставлен, только когда ПК подключен к сети организации.
Сетевая разблокировка позволяет автоматически запускать ПК под защитой BitLocker, если они подсоединены к проводной сети организации, в которой выполняются службы развертывания Windows. Если ПК не подключен к сети организации, пользователь должен ввести ПИН-код, чтобы разблокировать диск (если включена разблокировка по ПИН-коду). Для использования сетевой разблокировки требуется следующая инфраструктура.
Дополнительные сведения о настройке сетевой разблокировки см. в статье BitLocker: включение сетевой разблокировки.
Система администрирования и мониторинга Microsoft BitLocker
MBAM в составе пакета Microsoft Desktop Optimization Pack упрощает поддержку BitLocker и BitLocker To Go и управление этими технологиями. MBAM 2.5 с пакетом обновления 1 (последняя версия) имеет следующие ключевые функции:
Дополнительные сведения о MBAM, включая способы ее получения, см. в статье Администрирование и мониторинг Microsoft BitLocker в центре MDOP TechCenter.