как разрешить использование bitlocker без совместимого tpm в windows 10
Как в Windows 10 разрешить шифрование системного тома без TRM
В соответствующей политике, если он хочет применить шифрование к системному тому.
Что означает невозможность использование модуля TRM и что вообще представляет собой этот модуль?
В противном случае вы сможете включит его через меню «Действие».
В BIOS компонент следует искать в разделе безопасности, называться TRM может «Trusted Platform Module», «Security Chip» или «Execute TPM Command». Если модуль отсутствует, единственным способом задействовать BitLocker для тома с Виндовс будет разрешение использование шифрования без TRM в политиках системы.
Откройте командой gpedit.msc редактор локальных групповых политик и перейдите по указанной на скриншоте цепочке параметров. В правой колонке отыщите политику, название которой видите на приложенном изображении.
Откройте свойства указанной политики, активируйте радиокнопку «Включено» и убедитесь, что во фрейме «Параметры» чекбокс «Разрешить использование BitLocker» установлен флажок.
После этого функция BitLocker станет доступной для системного диска.
Как разрешить работу BitLocker без совместимого TPM
Как же быть, если компьютер не имеет совместимого TPM?
Разрешить использование BitLocker без TPM можно двумя способами:
Чтобы разрешить работу BitLocker без TPM через групповые политики необходимо перейти в директорию «Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Диски операционной системы» и активировать параметр «Этот параметр позволяет настроить требование дополнительной проверки при запуске» с опцией «Разрешить использование BitLocker без совместимого TPM».
Пошаговая инструкция по включению BitLocker без TPM с помощью групповых политик
1. Проверьте состояние модуля TPM на компьютере
Нажмите клавиши и набирите команду tpm.msc
Если в оснастке управления модулем будет сообщение «Не удается найти совместимый довереный платформенный модуль«, то возможно он просто отключен в BIOS/UEFI компьютера и его необходимо включить. В зависимости от версии BIOS/UEFI алгоритм включения TPM может сильно отличаться или такой настройки вовсе может не быть. Так же возможны случаи, когда TPM включен, но не совместим с BitLocker.
2. Откройте оснастку управления групповыми политиками: сочетание клавиш и команда gpedit.msc
3. Перейдите в директорию «Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы» и откройте параметр «Этот параметр позволяет настроить требование дополнительной проверки при запуске«.
4. Переключите состояние параметра в режим «Включено» и активируйте опцию «Разрешить использование BitLocker без совместимого TPM«.
5. После применения настроек перезагрузите компьютер, чтобы применились новые групповые политики.
6. Проверьте работу BitLocker.
Кликните по любому диску компьютера правой клавишей мыши. Если в контекстном меню есть пункт «Включить BitLocker» значит утилита работает.
Включение BitLocker без TPM с помощью редактора реестра
Разрешить использование утилиты BitLocker без TPM можно с помощью редактора реестра. Для этого необходимо внести изменения в соответствующую ветку реестра Windows.
1. Откройте редактор реестра Windows: Клавиши и команда regedit.
2. Перейдите в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE.
3. Создайте параметр типа DWORD с именем EnableBDEWithNoTPM и значением 1.
После редактирования реестра потребуется перезагрузить компьютер для применения настроек.
BitLocker не удается зашифровать диск: известные проблемы доверенного платформенного модуля
В этой статье описываются распространенные проблемы, влияющие на доверенный модуль платформы (TPM), которые могут помешать BitLocker шифровать диск. В этой статье также содержится руководство по устранению этих проблем.
Если вы определили, что проблема BitLocker не связана с TPM, см. в сообщении BitLocker не удается шифровать диск: известные проблемы.
TPM заблокирован, и вы увидите: «TPM защищается от атак словаря и находится в периоде ожидания»
При включите шифрование диска BitLocker, оно не начинается. Вместо этого вы получаете сообщение, напоминаное «TPM защищается от атак словаря и находится в периоде ожидания».
Причина
Разрешение
Чтобы устранить эту проблему, выполните следующие действия:
Откройте окно PowerShell с повышенными уровнями и запустите следующий сценарий:
Перезагрузите компьютер. Если на экране перезапуска вам будет предложено, нажмите кнопку F12, чтобы она согласилась.
Попробуйте еще раз запустить шифрование диска BitLocker.
Вы не можете подготовить TPM и увидите: «TPM защищается от атак словаря и находится в периоде ожидания»
Невозможно включить шифрование диска BitLocker на устройстве. Для подготовки TPM на устройстве используется консоль управления TPM (tpm.msc). Операция не удается, и вы получаете сообщение, напоминаное «TPM защищается от атак словаря и находится в периоде ожидания».
Причина
Разрешение
Чтобы устранить эту проблему, отключить и повторно включить TPM. Для этого выполните следующие действия:
Перезапустите устройство и измените конфигурацию BIOS, чтобы отключить TPM.
Перезапустите устройство снова и вернись на консоль управления TPM. Вы должны получить сообщение, напоминая следующее:
Совместимый модуль доверенных платформ (TPM) не может быть найден на этом компьютере. Убедитесь, что этот компьютер имеет 1.2 TPM и включен в BIOS.
Перезапустите устройство и измените конфигурацию BIOS, чтобы включить TPM.
Перезапустите устройство и вернись на консоль управления TPM.
Очистка TPM может привести к потере данных.
Отказ в доступе. Не удалось резервное копирование сведений о авторизации владельцев TPM в службы домена Active Directory. Код ошибки: 0x80070005
У вас есть среда, которая применяет режим «Не вставлять BitLocker» до тех пор, пока сведения о восстановлении не будут храниться в политике DS AD. Вы пытаетесь включить шифрование диска BitLocker на компьютере с Windows 7, но операция не выполняется. Вы получаете сообщение, похожее на «Отказано в доступе» или «Недостаточные права».
Причина
TPM не имеет достаточных разрешений для контейнера TPM Devices в службе домена Active Directory (AD DS). Поэтому данные о восстановлении BitLocker не удалось выполнить в AD DS, а шифрование диска BitLocker не удалось запустить.
Эта проблема, как представляется, ограничивается компьютерами, которые запускают версии Windows, которые являются более ранними Windows 10.
Разрешение
Чтобы убедиться, что вы правильно определили эту проблему, используйте один из следующих методов:
Чтобы просмотреть сведения tPM для пострадавшего компьютера, откройте окно с повышенным Windows PowerShell и запустите следующую команду:
В этой команде ComputerName — это имя затронутого компьютера.
Чтобы устранить проблему, используйте средство dsacls.exe, чтобы убедиться, что список управления доступом msTPM-TPMInformationForComputer предоставляет разрешения на чтение и записи в NTAUTHORITY/SELF.
Не удается подготовить TPM, 0x80072030: «На сервере нет такого объекта»
Контроллеры домена были обновлены с Windows 2008 R2to Windows Server 2012 R2. Объект групповой политики (GPO) применяет режим «Не включить BitLocker» до тех пор, пока сведения о восстановлении не будут храниться в политике AD DS.
Невозможно включить шифрование диска BitLocker на устройстве. Для подготовки TPM на устройстве используется консоль управления TPM (tpm.msc). Операция не удается, и вы видите сообщение, напоминая следующее:
0x80072030 На сервере нет такого объекта, когда включена политика для подстановки данных TPM в active directory
Вы подтвердили наличие атрибутов ms-TPM-OwnerInformation и msTPM-TpmInformationForComputer.
Причина
Функциональный уровень домена и леса среды может по-прежнему Windows 2008 R2. Кроме того, разрешения в AD DS могут быть неправильно задатки.
Разрешение
Чтобы устранить эту проблему, выполните следующие действия:
Обновление функционального уровня домена и леса до Windows Server 2012 R2.
В скрипте измените значение strPathToDomain на доменное имя.
Откройте окно PowerShell с повышенными уровнями и запустите следующую команду:
В этой команде находится путь к файлу скрипта.
Дополнительные сведения доступны в следующих статьях.
Шифрование жесткого диска в Windows 10: зачем это нужно и как сделать
Содержание
Содержание
Безопасность данных на компьютере — одна из главных прерогатив для многих пользователей. Комплексный подход — это защитить от стороннего вмешательства весь жесткий диск. Сделать это можно с помощью стандартного средства шифрования в Windows 10.
Чем эффективна такая защита
Зачем выполнять шифрование данных, если есть учетная запись пользователя с паролем? На самом деле это самая простая защита, которую могут сломать даже новички, четко выполняя действия определенной инструкции.
Проблема заключается в том, что злоумышленник может использовать загрузочную флешку и получить доступ к файлам и реестру операционной системы. Далее всего в несколько действий легко узнать введенный пароль или просто отключить его и получить доступ к рабочему столу.
Вопрос защиты файлов будет особенно важен для корпоративного сектора. Например, только в США ежегодно в аэропортах теряются больше 600 тысяч ноутбуков.
Стоит отметить, что с помощью встроенного средства BitLocker шифруются даже флеш-накопители, поскольку они распознаются системой как отдельные тома. При необходимости можно создать виртуальный диск VHD с важными данными и шифровать его, а сам файл хранить на обычной флешке.
Будет ли тормозить?
Шифрование всего диска действительно скажется на производительности системы, в частности, на скорости чтения/записи данных. Тесты различных пользователей показывают, что на относительно современном железе падение скорости на SSD — не более 10%, у жестких дисков падения могут быть больше.
Например, на ноутбуке Dell Inspiron 15 7577 с процессором i7-7700HQ и накопителем Samsung 950 Pro с 256 ГБ разница в ежедневном использовании будет практически незаметна.
Средство BitLocker использует шифрование AES 128/256. Соответственно, задействуются вычислительные ресурсы процессора. Если вы используете старые модели на 1-2 ядра, то BitLocker или аналогичный софт может ухудшить производительность.
Использование BitLocker при наличии чипа TPM
Чип TPM (Trusted Platform Module) — это специальный модуль, в котором хранятся криптографические ключи для защиты информации. Обычно он располагается на материнской плате, но далеко не каждая модель оснащается TPM. Ключ для расшифровки логического тома выдается только в коде загрузчика ОС, поэтому злоумышленникине смогут достать его непосредственно из жесткого диска.
Чтобы проверить, есть ли на вашем компьютере или ноутбуке модуль TPM, в окне «Выполнить» введите команду «tpm.msc».
При наличии чипа вы увидите окно с основной информацией, включая состояние модуля и версию.
Перед использованием системы шифрования TPM модуль необходимо инициализировать по следующей инструкции:
1. В панели управления зайдите в раздел «Шифрование диска BitLocker».
2. Напротив системного диска кликните по строке «Включить BitLocker». Система начнет проверку на соответствие конфигурации компьютера.
3. В следующем окне система предупредит пользователя, что для продолжения процесса будут выполнены два действия: активация оборудования безопасности и последующий запуск шифрования. Необходимо нажать «Далее».
4. Для включения TPM система попросит перезагрузить компьютер, поэтому нажмите соответствующую кнопку.
5. При следующей загрузке перед пользователями появится окно активации чипа TPM. Нажмите соответствующую клавишу для подтверждения (в данном случае F1).
6. Как только Windows прогрузится, мастер шифрования продолжит свою работу и предложит следующее меню с выбором места сохранения ключа восстановления.
Данные логического тома будут зашифрованы, а для разблокировки вам придется ввести пароль от учетной записи. При попытке войти в систему через загрузочную флешку или путем перемещения HDD в другой компьютер посторонние не смогут получить доступ к вашим данным. Ключ доступа будет надежно спрятан в TPM модуле.
Преимущество TPM заключается в простоте настройки и высокой безопасности — ключи хранятся в отдельной микросхеме. С другой стороны, если злоумышленники каким-либо образом узнают пароль от учетной записи, то без проблем смогут зайти в нее даже с шифрованием.
Шифрование BitLocker без модуля TPM
Что делать, если при вводе команды «tpm.msc» TPM модуль не был найден? Использовать BitLocker вы сможете по-прежнему, но теперь ключ вам придется сохранять в другом месте.
Для активации BitLocker следуйте инструкции:
1. Перейдите в меню групповых политик. В окне выполнить введите «gpedit.msc» и нажмите Enter. Необходимо открыть раздел «Конфигурация компьютера», а в нем перейти по «Административные шаблоны» и далее открыть «Компоненты Windows».
2. В компонентах найдите папку «Шифрование диска» и выберите подпункт «Диски операционной системы». Перейдите на вкладку «Стандартный» и дважды кликните ЛКМ по строке «Этот параметр позволяет настроить требования дополнительной проверки подлинности» (выделен на скриншоте).
3. Параметр необходимо перевести в состояние «Включено», а также поставить галочку в строке «Использовать BitLocker без совместимого TPM». Для сохранения изменений нажмите кнопку «Применить» и OK.
На этом настройка групповой политики завершена, и пользователи могут защититься стандартным средством шифрования BitLocker. Как и в предыдущей инструкции, вам необходимо перейти в раздел шифрования и включить BitLocker для системного или другого диска, на котором вы собираетесь зашифровать данные.
Меню настройки будет немного отличаться от вышеописанного:
1. Уже на первом окне вас попросят выбрать способ разблокировки диска. Пароль аналогичен предыдущей защите, вам будет достаточно ввести его при входе в учетную запись. Более надежный способ — флешка + PIN. Для входа в систему вам придется также вставить накопитель в USB-порт, после чего ввести пароль.
2. Если вы указали flash-накопитель, то система предложит выбрать его. В случае с паролем вам достаточно дважды ввести его и перейти в следующее окно.
3. Пользователь должен выбрать, куда сохранить ключ восстановления. Поскольку на шифруемый диск его записать нельзя, то доступны 4 варианта: учетная запись Майкрософт, флеш-накопитель, в качестве отдельного файла на другом диске или просто распечатать.
4. Выберем «Сохранить в файл». В этом случае достаточно указать место и убедиться, что соответствующий txt файл появился по указанному пути.
5. Выберите, как будет шифроваться диск — полностью или только занятая информацией часть. Второй вариант оптимален для новых ПК, на которых только недавно был установлен весь необходимый софт.
6. Выбор режима шифрования. Для несъемных накопителей укажите «новый», но для флешек или переносимых HDD лучше выбрать «Режим совместимости», чтобы при необходимости получить доступ к файлам на другом компьютере.
7. После завершения настроек в трее появится иконка BitLocker. Кликните по ней и подтвердите перезагрузку компьютера.
8. После перезагрузки начнется процесс шифрования, а его прогресс можно узнать из соответствующего значка в трее.
Теперь диск зашифрован и при каждом включении Windows будет просить ввести пароль BitLocker. Это относится и к съемным накопителям, если они были зашифрованы таким способом.
В разделе шифрования также появятся подробные настройки, где вы сможете удалить или сменить пароль, приостановить защиту, архивировать ключ восстановления или отключить шифрование.
Неправильный ввод пароля несколько раз приведет к блокировке, и получить доступ к диску можно будет только с помощью ключа восстановления
Самыми надежными считаются специальные смарт-карты, которые визуально выглядят как обычные флешки. Однако они имеют специальные библиотеки и отображаются отдельными устройствами в диспетчере задач. Соответственно, воспроизвести смарт-карту намного сложнее в отличие от обычной флешки-ключа.
Альтернативы BitLocker
Если по каким-либо причинам стандартная система шифрования вас не устраивает или в вашей редакции Windows ее просто нет, то можно воспользоваться сторонним софтом.
Однако будьте осторожны. Во-первых, сторонние программы в отличие от системных средств могут ощутимо сказываться на производительности компьютера, особенно, если они не оптимизированы под конкретные ОС. Во-вторых, нет гарантий, что такой софт не имеет уязвимостей, которыми могут воспользоваться злоумышленники или даже разработчики.
BitLocker Anywhere
Популярный софт для шифрования дисков, работающий под операционными системами Windows 7/8/10 различных редакций. У софта есть пробная версия на 15 суток, однако в ней запрещено шифровать системный раздел, поэтому пользователи смогут защитить только флешки и другие логические тома жесткого диска.
Базовая версия стоит 14,99$, а профессиональная с возможностью шифровать тома больше 2 ТБ — 19,99$. В функционал BitLocker Anywhere входит шифрование и дешифрование дисков, создание ключей восстановления с их экспортом. По сути, это аналог стандартному BitLocker с технической поддержкой со стороны разработчиков. Очевидный минус — в качестве защиты доступен только пароль, никаких смарт-карт или USB Flash здесь нет.
Для шифрования достаточно выбрать диск, указать пароль, место для сохранения ключа восстановления и дождаться окончания процесса. Интерфейс на английском языке, но программой можно пользоваться даже с минимальными знаниями иностранного.
7 zip
Если вы предпочитаете создавать VHD-образы и при необходимости подключать их к системе, то для шифрования вполне подойдет обычный архиватор 7zip.
Выберите виртуальный образ жесткого диска (формат VHD/VHDX) и нажмите «Добавить в архив». Далее в окне настроек укажите имя, пароль для шифрования и метод (желательно, AES-256).
Теперь для дешифровки вам придется ввести пароль и только потом монтировать VHD файл.
Нюансы восстановления зашифрованного диска
Что делать, если Windows с зашифрованным логическим диском не запускается? Это не проблема, если у вас есть необходимые данные доступа. Чтобы снять блокировку BitLocker, вам следует иметь хотя бы один из следующих элементов:
Если ничего этого у вас нет, то про данные можно забыть и единственный способ вернуть диск — отформатировать его. Конечно, есть специфические способы «выловить» ключ среди метаданных или дампа оперативной памяти, но и они не дают стопроцентной гарантии успеха, не говоря о сложности реализации. К этим методикам могут прибегать специализированные сервисы.
Если Windows не прогружается, то вам необходимо запустить среду восстановления, или воспользоваться установочным диском. Если это возможно, запустите командную строку (для стандартных средств Windows это команда Shift+F10). Теперь выполните следующие действия:
Если пароль не известен, то можно использовать ключ восстановления, напечатав в командной строке:
В этом случае поврежденные данные с диска F будут перекопированы на диск G, при этом последний должен быть по объему больше диска F. Ключ восстановления — это 48-цифровой код, который и печатается в этой команде.
Для flash-ключа формата «.bek», который в данном примере находится на флешке I, используется следующая строка:
Перед открытием расшифрованного диска обязательно выполните проверку на ошибки стандартной командой Chkdsk.