Шифрование файлов
Зашифровать файл можно следующим образом. С помощью правой кнопки мышки на файле вызываете контекстное меню и выбираете Свойства. На вкладке Общие в разделе Атрибуты нажимаем Другие…
В открывшемся окошке ставим галочку Шифровать содержимое для защиты данных. И ОК
Нажимаем Применить или ОК в окошке свойств документа. Высвечивается предупреждение при шифровании, где рекомендуется вместе с файлом зашифровать и содержащую его папку. Выбираете рекомендуемый вариант и жмете ОК
В этом же окошке поясняется зачем необходимо шифровать папку вместе с файлом — так как программы при редактировании создают временные файлы, которые не будут шифроватся. Обычно временные файлы удаляются, но возможен сбой программы или сбой в подаче питания к компьютеру, а вы без ИБП. В этом случае временный файл останется и он будет не зашифрован, а это еще одна брешь во защите. Поэтому рекомендуется шифровать файл вместе с содержащей его папкой или шифровать полностью папку со всем содержимым.
Зашифрованные файлы обычно помечаются зеленым цветом если это указано в настройках
Проверить это можно следующим образом. В проводнике на панели инструментов нажимаем Упорядочить и выбираем Параметры папок и поиска
В окошке Параметры папок переходим на вкладку Вид и устанавливаем галочку Отображать сжатые или зашифрованные файлы NTFS другим цветом
Стоит отметить что в операционный системах Windows возможно или зашифровать файл или сжать его для экономии места. Сомневаюсь, что кто то будет экономить в эпоху 3-х, 4-х и 5-ти терабайтных жестких дисков.
Расшифровать файл можно скопировав его в не зашифрованную папку и сняв соответствующий флажок в окошке Другие атрибуты.
Для удобства шифрования и де-шифрования файлов можно включить в контекстном меню соответствующий пункт
Делается этого редактированием реестра. Вызываете утилиту regedit из поиска в меню Пуск
Переходите в раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
и создаете параметр
«EncryptionContextMenu»=dword:00000001
Для того что бы создать параметр кликаем правой кнопкой мышки на пустом месте и выбираем Создать > Параметр DWORD (32 бита)
У меня работает не смотря на то, что Windows 7 64-разрядный.
Теперь у вас в меню включены соответствующие пункты и шифровать станет еще проще.
Ключ шифрования EFS (сертификата) Windows
Начиная с XP, в Windows была встроена функциональность шифрования данных. При этом она невероятно проста в использовании. Все что вам нужно — это щелкнуть правой кнопкой мыши на папке, выбрать пункт «Свойства», нажать кнопку «Другие…» и установить флажок «Шифровать содержимое». И все, теперь ваши данные шифруются.
Шифрование файловой системы или EFS используют достаточно много людей, которые хотят себя обезопасить, но при этом не хотят вникать в тонкости самих инструментов. И их можно понять. Ведь кроме того, что любой продукт шифрования данных нужно уметь использовать, существует еще много жизненных моментов, которые необходимо учитывать (например, социальная инженерия). Более подробно вы можете узнать в статье Шифрования не достаточно.
Несмотря на всю прелесть EFS, все же есть один момент, на который Microsoft не дает однозначного ответа. При шифровании EFS связывает защищенные данные с вашим компьютером. Поэтому, если вы копируете свои данные на сторонний носитель, например, в целях создания резервной копии, то вы должны понимать, что эти данные вы сможете прочитать только на вашем компьютере. Т.е. перенести их куда-то в другую систему будет уже невозможно.
На самом деле, это ограничение еще жестче, чем кажется. Если вы создали резервную копию защищенных EFS файлов на внешнем диске, а затем переформатировали свой диск и переустановили Windows, то EFS не сможет прочитать эти файлы. Так как будет считать, что это другой компьютер. Таким образом, EFS создает потенциальную проблему потери данных при крахе системы. Конечно, вероятность возникновения такого события очень мала, но тем не менее она существует.
Примечание: Если подходить строго к организации безопасности, то EFS далеко не самая сильная система защиты. Но, она и предназначена для широкого круга пользователей, которым не нужна сверхсложная система защиты с кучей паролей и карт доступа. А нужна интегрированная система с простейшим способом использования, но, тем не менее, защищающая систему.
Само собой, Microsoft столкнулся с такой проблемой, и поэтому существует простая и легкая инструкция, как создать копию ключей EFS для предотвращения потери данных. Сама инструкция находится по адресу «http://windows.microsoft.com/en-GB/windows7/Back-up-Encrypting-File-System-EFS-certificate». Но, с введением новой политики Microsoft, доступна лишь зарегистрированным пользователям (регистрация бесплатна). Чтобы не отнимать ваше время, инструкция приведена ниже.
Теория
EFS осуществляет шифрование данных, используя схему с общим ключом. Данные шифруются быстрым симметричным алгоритмом при помощи ключа шифрования файла FEK (file encryption key). FEK — это случайным образом сгенерированный ключ определенной длины. Длина ключа в североамериканской версии EFS 128 бит, в международной версии EFS используется уменьшенная длина ключа 40 или 56 бит.
FEK шифруется одним или несколькими общими ключами шифрования, в результате чего получается список зашифрованных ключей FEK. Список зашифрованных ключей FEK хранится в специальном атрибуте EFS, который называется DDF (data decryption field — поле дешифрования данных). Информация, при помощи которой производится шифрование данных, жестко связана с этим файлом. Общие ключи выделяются из пар пользовательских ключей сертификата X509 с дополнительной возможностью использования «File encryption». Личные ключи из этих пар используются при дешифровке данных и FEK. Личная часть ключей хранится либо на смарт-картах, либо в другом надежном месте (например, в памяти, безопасность которой обеспечивается при помощи CryptoAPI).
FEK также шифруется при помощи одного или нескольких ключей восстановления (полученных из сертификатов X509, записанных в политике восстановления зашифрованных данных для данного компьютера, с дополнительной возможностью «File recovery»).
Как и в предыдущем случае, общая часть ключа используется для шифрования списка FEK. Список зашифрованных ключей FEK также хранится вместе с файлом в специальной области EFS, которая называется DRF (data recovery field — поле восстановления данных). Для шифрования списка FEK в DRF используется только общая часть каждой пары ключей. Для нормального осуществления файловых операций необходимы только общие ключи восстановления. Агенты восстановления могут хранить свои личные ключи в безопасном месте вне системы (например, на смарт-картах). На рисунке приведены схемы процессов шифрования, дешифрования и восстановления данных.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Вы можете включить этот параметр политики, чтобы убедиться, что устройство использует самые мощные алгоритмы, доступные для цифрового шифрования, хаширования и подписания. Использование этих алгоритмов минимизирует риск компрометации цифровых зашифрованных или подписанных данных несанкционированным пользователем.
Возможное влияние
Клиентские устройства с включенным параметром политики не могут общаться с помощью зашифрованных или подписанных протоколов с серверами, которые не поддерживают эти алгоритмы. Сетевые клиенты, которые не поддерживают эти алгоритмы, не могут использовать серверы, которые требуют их для сетевых коммуникаций. Например, многие веб-серверы на основе Apache не настроены для поддержки TLS. Если вы включаете этот параметр, необходимо также настроить internet Explorer использовать TLS. Этот параметр политики также влияет на уровень шифрования, используемый для протокола удаленного рабочего стола (RDP). Средство удаленного подключения к рабочему столу использует протокол RDP для связи с серверами, на которые работают службы терминалов и клиентские компьютеры, настроенные для удаленного управления; Подключение RDP не удается, если оба устройства не настроены на использование одинаковых алгоритмов шифрования.
Операция
Работа шифрованной файловой системы
EFS работает путем шифрования файла с помощью симметричного ключа , также известного как ключ шифрования файла или FEK. Он использует алгоритм симметричного шифрования, поскольку для шифрования и дешифрования больших объемов данных требуется меньше времени, чем при использовании шифра с асимметричным ключом . Используемый алгоритм симметричного шифрования зависит от версии и конфигурации операционной системы; см. ниже. FEK (симметричный ключ, используемый для шифрования файла) затем шифруется открытым ключом , связанным с пользователем, который зашифровал файл, и этот зашифрованный FEK сохраняется в альтернативном потоке данных $ EFS зашифрованного файла. Чтобы расшифровать файл, драйвер компонента EFS использует закрытый ключ, соответствующий цифровому сертификату EFS (используемый для шифрования файла), чтобы расшифровать симметричный ключ, который хранится в потоке $ EFS. Затем драйвер компонента EFS использует симметричный ключ для расшифровки файла. Поскольку операции шифрования и дешифрования выполняются на уровне ниже NTFS, они прозрачны для пользователя и всех его приложений.
Папки, содержимое которых должно быть зашифровано файловой системой, помечаются атрибутом шифрования. Драйвер компонента EFS обрабатывает этот атрибут шифрования аналогично наследованию прав доступа к файлам в NTFS: если папка помечена для шифрования, то по умолчанию все файлы и подпапки, созданные в этой папке, также зашифрованы. Когда зашифрованные файлы перемещаются в том NTFS, файлы остаются зашифрованными. Однако есть ряд случаев, когда файл может быть расшифрован без явного запроса пользователя об этом Windows.
Файлы и папки расшифровываются перед копированием на том, отформатированный в другой файловой системе, например FAT32 . Наконец, когда зашифрованные файлы копируются по сети с использованием протокола SMB / CIFS, файлы дешифруются перед отправкой по сети.
Начиная с Windows Vista , закрытый ключ пользователя может храниться на смарт-карте ; Ключи агента восстановления данных (DRA) также могут храниться на смарт-карте.
Как защитить ваш открытый ключ EFS
Автоматически появится уведомление с рекомендацией о резервном копировании ключа шифрования файла. Нажмите на него, и у вас будут следующие опции:
Если вы выберете первый вариант, который будет наиболее рекомендуемым, появится другое окно, где вы будете взаимодействовать с Мастер экспорта сертификатов :
Затем появится формат, в котором будет создана резервная копия. В этом случае настройка не требуется, мы можем нажать Далее. Это так, поскольку он имеет рекомендуемые настройки безопасности.
Затем вы должны указать пароль и выбрать для него один из методов шифрования. Нажмите на флажок пароля и введите его. Вы можете оставить метод шифрования уже выбран или выберите другой вариант.
Он попросит вас указать имя резервной копии. Просто выберите один из ваших предпочтений и нажмите Далее.
Наконец, появится окно, указывающее, что процесс был успешно проведен , Затем нажмите Готово. В случае, который мы продемонстрировали, он был сохранен в папке по умолчанию, которая будет в папке «Документы». Как мы видим выше, можно выбрать место, которое подходит нам лучше всего.
Поскольку вы несете полную ответственность за свой открытый ключ для расшифровки файлов, рекомендуется использовать резервные копии, чтобы в случае потери основного источника, в котором находятся ваши ключи, вы могли быстро восстановить его. В любом случае настоятельно рекомендуется иметь ключи на таких устройствах, как USB-накопители, которые не предназначены для совместного использования.
Мы рекомендуем вам также прочитать о Veracrypt для создания зашифрованных контейнеров, шифровать съемные устройства хранения и даже целые диски или разделы. Кроме того, Bitlocker является еще одним очень хорошим вариантом для шифрования целых дисков.
Технология шифрования
EFS использует архитектуру Windows CryptoAPI. В ее основе лежит технология шифрования с открытым ключом. Для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм, это DESX, являющийся специальной модификацией широко распространенного стандарта DES. Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.
Общее
Файловая система EFS интегрирована в NTFS, отличается простотой управления и стойкостью к атакам. Пользователи могут выбирать файлы, которые требуется зашифровать, но расшифровывать файлы вручную перед использованием не требуется – можно просто открыть файл и изменить его, как обычно.
Зашифрованные файлы будут защищены даже в том случае, если злоумышленник получит физический доступ к компьютеру. Кроме того, даже пользователи, имеющие право на доступ к компьютеру (например, администраторы), не имеют доступа к файлам, зашифрованным с помощью файловой системы EFS другими пользователями. Тем не менее файловая система EFS поддерживает назначенные агенты восстановления. При их правильной настройке можно гарантировать восстановление данных при необходимости.
Некоторые ключевые свойства EFS:
- Шифрование — простое действие; для его включения достаточно установить флажок в свойствах файла или папки.
- Можно указать, кому именно разрешается читать эти файлы.
- Файлы шифруются, когда они закрываются, но при открытии они автоматически готовы к использованию.
- Если шифровать файл больше нет необходимости, снимите флажок в свойствах файла.
Описание работы
EFS работает, шифруя каждый файл с помощью алгоритма симметричного шифрования, зависящего от версии операционной системы и настроек (начиная с Windows XP доступна теоретическая возможность использования сторонних библиотек для шифрования данных). При этом используется случайно сгенерированный ключ для каждого файла, называемый File Encryption Key (FEK), выбор симметричного шифрования на данном этапе объясняется его скоростью по отношению к асимметричному шифрованию.
FEK (случайный для каждого файла ключ симметричного шифрования) защищается путём асимметричного шифрования, использующего открытый ключ пользователя, шифрующего файл, и алгоритм RSA (теоретически возможно использование других алгоритмов асимметричного шифрования). Зашифрованный таким образом ключ FEK сохраняется в альтернативном потоке $EFS файловой системы NTFS. Для расшифрования данных драйвер шифрованной файловой системы прозрачно для пользователя расшифровывает FEK, используя закрытый ключ пользователя, а затем и необходимый файл с помощью расшифрованного файлового ключа.
Поскольку шифрование/расшифрование файлов происходит с помощью драйвера файловой системы (по сути, надстройки над NTFS), оно происходит прозрачно для пользователя и приложений. Стоит заметить, что EFS не шифрует файлы, передаваемые по сети, поэтому для защиты передаваемых данных необходимо использовать другие протоколы защиты данных (IPSec или WebDAV).
Удаление незашифрованных копий файла
Если вы пользуетесь 7-zip или Microsoft Office для шифрования файлов, Windows 10 может сохранять одну или больше временных копий незашифрованных версий файлов. Нужно удалить эти копии после шифрования.
- Нажмите на кнопку «Пуск», в поиске наберите «временные». В появившемся меню выберите «Удалить временные файлы». Откроются настройки в разделе «Хранилище».
- Windows 10 просканирует систему и отобразит список типов файлов, которые хранятся на разных дисках. Выберите «Временные файлы» для просмотра списка типов файлов, доступных для удаления.
- В этом списке поставьте галочки напротив команд «Временные файлы» и «Корзина», нажмите на кнопку «Удалить файлы» наверху списка. Это удалит незашифрованные копии файлов из вашей системы.
Технология шифрования
EFS использует архитектуру Windows CryptoAPI. В ее основе лежит технология шифрования с открытым ключом. Для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм, это DESX, являющийся специальной модификацией широко распространенного стандарта DES.
Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.
Зашифрованный жесткий диск
Зашифрованный жесткий диск использует быстрое шифрование, предоставляеме bitLocker Drive Encryption для повышения безопасности и управления данными.
Разгрузив криптографические операции на оборудование, зашифрованные жесткие диски увеличивают производительность BitLocker и уменьшают использование ЦП и потребление электроэнергии. Поскольку зашифрованные жесткие диски быстро шифруют данные, корпоративные устройства могут расширять развертывание BitLocker с минимальным влиянием на производительность.
Зашифрованные жесткие диски обеспечивают:
- Повышение производительности: оборудование шифрования, интегрированное в контроллер диска, позволяет диску работать с полной скоростью данных без ухудшения производительности.
- Сильная безопасность, основанная на оборудовании: шифрование всегда «на», а ключи шифрования никогда не покидают жесткий диск. Проверка подлинности пользователя выполняется диском до его разблокировки независимо от операционной системы.
- Простота использования: шифрование является прозрачным для пользователя, и пользователю не нужно его включить. Зашифрованные жесткие диски легко стираются с помощью ключа шифрования на борту; нет необходимости повторно шифровать данные на диске.
- Более низкая стоимость владения: нет необходимости в новой инфраструктуре для управления ключами шифрования, так как BitLocker использует существующую инфраструктуру для хранения данных восстановления. Устройство работает более эффективно, так как циклы процессора не требуют использования для процесса шифрования.
Зашифрованные жесткие диски — это новый класс жестких дисков, которые самостоятельно шифруются на уровне оборудования и позволяют полностью шифрование оборудования на диске.
Как зашифровать файлы и папки при помощи Encrypting File System (EFS)
Encrypting File System (EFS) есть в редакциях Professional и Enterprise. Это считается продвинутой возможностью Windows. Неопытные пользователи при работе с данной системой могут утратить доступ к файлам.
EFS шифрует файлы в фоновом режиме, включая автоматическое создание ключа File Encryption Key (FEK). Только тот аккаунт, в котором файл был зашифрован, может расшифровать его. Всё это происходит автоматически.
К сожалению, EFS обладает недостатками, которые делают этот вариант неидеальным.
- EFS работает только с дисками с форматированием NTFS
- Если перенести зашифрованный EFS файл на диск с форматированием FAT32 или exFAT, он расшифровывается
- Если перенести зашифрованный EFS файл через сеть или отправить по электронной почте, он расшифровывается
Если это вас не пугает, ниже описан процесс шифрования файлов и папок при помощи EFS:
- Запустите проводник и откройте место расположения нужного файла или папки.
- Нажмите на них правой кнопкой мыши.
- В контекстном меню нажмите на команду «Свойства».
- На вкладке общие нажмите на кнопку «Другие».
- В окне «Дополнительные атрибуты» поставьте галочку напротив команды «Шифровать содержимое для защиты данных».
После этого файл или папка будут отображаться как зашифрованные для всех, кроме этого аккаунта.
Подготовка к шифрованию дисков и файлов
Самые лучшие меры безопасности прозрачны для пользователя на этапах внедрения и использования. Всякий раз при возникновении задержки или сложности, вызванной использованием функции безопасности, велика вероятность того, что пользователи попытаются обойти систему безопасности. Это особенно актуально, если речь идет о защите данных, и организациям нужно всеми способами обезопасить себя от этого.
Планируете ли вы шифровать целые тома, съемные устройства или отдельные файлы, Windows 11 и Windows 10 для удовлетворения ваших потребностей путем предоставления упорядоченных и понятных решений. Можно предпринять определенные меры заранее, чтобы подготовиться к шифрованию данных и сделать развертывание максимально простым и быстрым.
Предварительная подготовка TPM
В Windows 7 подготовка TPM к работе была сопряжена с некоторыми сложностями.
- Можно включить TPM в BIOS. Для этого нужно перейти в настройки BIOS для включения TPM или установить драйвер для включения TPM из Windows.
- При включении TPM может потребоваться выполнить одну или несколько перезагрузок.
Как правило, все это было сопряжено с большими сложностями. Если ИТ-специалисты занимаются подготовкой новых ПК, они могут выполнить все вышеперечисленное, но если требуется добавить BitLocker на устройства, с которыми уже работают пользователи, последним придется справляться с техническими сложностями и либо обращаться к ИТ-специалистам за поддержкой, либо не включать BitLocker.
Корпорация Майкрософт включает приборы Windows 11 и Windows 10, которые позволяют операционной системе полностью управлять TPM. Не требуется заходить в BIOS, устранены также все ситуации, требующие перезагрузки компьютера.
Вручную создайте сертификат DRA EFS
На компьютере, на котором не установлен сертификат DRA файловой системы EFS, откройте командную строку с правами администратора и перейдите в расположение, в котором вы хотите сохранить сертификат.
Выполните следующую команду:
Здесь EFSRA — имя CER- и PFX- файлов, которые вы хотите создать.
Когда отобразится соответствующий запрос, введите и подтвердите пароль для защиты нового файла обмена личной информацией (PFX-файла).
Файлы EFSDRA.cer и EFSDRA.pfx создаются в расположении, которое вы указали в действии1.
Важно!
Так как закрытые ключи в PFX-файлах DRA можно использовать для расшифровки любого файла WIP, вам потребуется защитить их соответствующим образом. Настоятельно рекомендуется хранить эти файлы в автономном режиме
Для обычного использования храните файлы на смарт-карте с надежной защитой. Главные копии файлов храните в защищенном физическом расположении.
Добавьте сертификат DRA EFS в политику WIP с помощью средства развертывания, например Microsoft Intune или Microsoft Endpoint Configuration Manager.
Примечание
Этот сертификат можно использовать в Intune __ для политик как с регистрацией устройств (MDM), так и без регистрации устройств (MAM). __
Шифрование только занятого места на диске
На шифрование диска с помощью BitLocker в предыдущих версиях Windows могло уходить много времени, потому что шифровался каждый байт тома (включая части, не содержащие данных). Это по-прежнему самый безопасный способ шифрования диска, особенно если на диске ранее содержались конфиденциальные данные, которые с тех пор были перемещены или удалены. В этом случае следы конфиденциальных данных могут оставаться на части диска, помеченных как неиспользованые.
Зачем шифровать новый диск, если можно просто шифровать данные по мере записи? Чтобы сократить время шифрования, BitLocker Windows 11 и Windows 10 позволяет пользователям шифровать только свои данные
В зависимости от объема данных на диске это позволяет сократить время шифрования более, чем на 99 процентов.
Соблюдайте осторожность, шифруя только используемое пространство в существующем томе, где уже могут храниться конфиденциальные данные в незашифрованном состоянии, потому что пока сюда не будут записаны новые зашифрованные данные, эти секторы можно восстановить с помощью средств восстановления диска. Напротив, шифрование только используемого пространства в совершенно новом томе может существенно сократить продолжительность развертывания без рисков безопасности, потому что все новые данные будут зашифрованы по мере записи на диск
Как включить шифрование диска BitLocker в Windows 10
Функция шифрования диска BitLocker позволяет уберечь ваши данные в случае утери компьютера. Чтобы получить данные с вашего диска, потребуется ввести пароль, даже если диск будет извлечен из компьютера и будет подключен к другому.
Также можно включить шифрование и для внешних дисков.
Функция работает только в следующих версиях Windows:
— Pro, Enterprise, и Education версии Windows 10;
— Pro и Enterprise версии Windows 8 и 8.1;
— Ultimate и Enterprise версии Windows Vista и Windows 7;
— Windows Server 2008 или более новая версия.
По умолчанию, для работы BitLocker требуется наличие специального модуля TPM на материнской плате вашего компьютера.
Однако, можно использовать функцию шифрования и без него.
Обратите внимание, что процесс шифрования может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена
Включение BitLocker.
1. Нажмите на клавиатуре клавиши Windows + R.
2. В новом окне введите gpedit.msc и нажмите ОК.
3. В левой части нового окна Редактор локальной групповой политки выберите Конфигурация Компьютера > Административные шаблоны > Компонент Windows.
В правой части окна дважды щелкните по Шифрование диска BitLocker.
4. Дважды щелкните по Диски операционной системы.
5. Дважды щелкните по Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.
6. В новом окне выберите пункт Включено, поставьте галочку напротив Разрешить использование BitLocker без совместимого доверенного платформенного модуля и нажмите OK.
7. Закройте окно Редактор локальной групповой политки.
8. Нажмите правой кнопкой мыши по значку Windows и выберите Панель управления.
9. Выберите значок Шифрование диска BitLocker.
10. Выберите Включить BitLocker.
11. Дождитесь окончания проверки и нажмите Далее.
12. Ознакомьтесь с предупреждениями и нажмите Далее.
Обратите внимание, что в случае утери пароля, вы также не сможете получить доступ к данным на диске, поэтому рекомендуется сделать резервную копию самых важных документов
13. Начнется процесс подготовки, во время которого нельзя выключать компьютер. В ином случае загрузочный раздел может быть поврежден и Windows не сможет быть загружена.
14. Нажмите кнопку Далее.
15. Укажите пароль, который будет использоваться для разблокировки диска при включении компьютера и нажмите кнопку Далее. Рекомендуется, чтобы он отличался от пароля пользователя на компьютере.
16. Выберите, каким образом требуется сохранить ключ восстановления. Этот ключ поможет вам получить доступ к диску, если вы забудете пароль от диска. После чего нажмите Далее.
Предлагается несколько вариантов восстановления (в этом варианте ключ был распечатан):
Ключ рекомендуется хранить отдельно от компьютера.
17. Для надежности рекомендуется выбрать шифрование всего диска. Нажмите Далее.
18. Выберите Новый режим шифрования и нажмите Далее.
19. Поставьте галочку напротив Запустить проверку системы BitLocker и нажмите Продолжить.
21. Сразу после перезагрузки у вас появится окно ввода пароля. Введите пароль, который вы указывали при включении шифрования, и нажмите Enter.
22. Шифрование начнется сразу после загрузки Windows. Нажмите на значок BitLocker в панели уведомлений, чтобы увидеть прогресс.
Обратите внимание, что шифрование может занять много времени, в зависимости от размера диска. Во время шифрования производительность компьютера будет снижена
Отключение BitLocker.
1. Нажмите на значок BitLocker в правом нижнем углу.
2. Выберите Управление BitLocker.
3. Выберите Отключить BitLocker.
4. В новом окне нажмите Отключить BitLocker.
5. Процесс дешифровки также может занять продолжительное время, в зависимости от размера диска. В это время вы можете пользоваться компьютером как обычно, настраивать ничего не потребуется.
Взаимодействие с пользователем
По умолчанию EFS сконфигурирована таким образом, что пользователь может сразу начать использовать шифрование файлов. Операция шифрования и обратная поддерживаются для файлов и каталогов. В том случае, если шифруется каталог, автоматически шифруются все файлы и подкаталоги этого каталога. Необходимо отметить, что если зашифрованный файл перемещается или переименовывается из зашифрованного каталога в незашифрованный, то он все равно остается зашифрованным. Операции шифрования/дешифрования можно выполнить двумя различными способами — используя Windows Explorer или консольную утилиту Cipher.
Для того чтобы зашифровать каталог из Windows Explorer, пользователю нужно просто выбрать один или несколько каталогов и установить флажок шифрования в окне расширенных свойств каталога. Все создаваемые позже файлы и подкаталоги в этом каталоге будут также зашифрованы. Таким образом, зашифровать файл можно, просто скопировав (или перенеся) его в «зашифрованный» каталог.
Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи — автоматически шифруются. Пользователь может работать с зашифрованными файлами так же, как и с обычными файлами, то есть открывать и редактировать в текстовом редакторе Microsoft Word документы, редактировать рисунки в Adobe Photoshop или графическом редакторе Paint, и так далее.
Необходимо отметить, что ни в коем случае нельзя шифровать файлы, которые используются при запуске системы — в это время личный ключ пользователя, при помощи которого производится дешифровка, еще недоступен. Это может привести к невозможности запуска системы! В EFS предусмотрена простая защита от таких ситуаций: файлы с атрибутом «системный» не шифруются. Однако будьте внимательны: это может создать «дыру» в системе безопасности! Проверяйте, не установлен ли атрибут файла «системный» для того, чтобы убедиться, что файл действительно будет зашифрован.
Важно также помнить о том, что зашифрованные файлы не могут быть сжаты средствами Windows 2000 и наоборот. Иными словами, если каталог сжат, его содержимое не может быть зашифровано, а если содержимое каталога зашифровано, то он не может быть сжат
В том случае, если потребуется дешифровка данных, необходимо просто снять флажки шифрования у выбранных каталогов в Windows Explorer, и файлы и подкаталоги автоматически будут дешифрованы. Следует отметить, что эта операция обычно не требуется, так как EFS обеспечивает «прозрачную» работу с зашифрованными данными для пользователя.
Система администрирования и мониторинга Microsoft BitLocker
MBAM в составе пакета Microsoft Desktop Optimization Pack упрощает поддержку BitLocker и BitLocker To Go и управление этими технологиями. MBAM 2.5 с пакетом обновления 1 (последняя версия) имеет следующие ключевые функции:
- позволяет администраторам автоматизировать процедуру шифрования томов на клиентских компьютерах в организации;
- позволяет специалистам по безопасности быстро определять состояние соответствия требованиям отдельных компьютеров или всей организации;
- Обеспечивает централизованное управление отчетами и оборудованием с помощью Microsoft Microsoft Endpoint Configuration Manager.
- снижает нагрузку на службу технической поддержки, обрабатывающую запросы на восстановление BitLocker от конечных пользователей;
- позволяет конечным пользователям восстанавливать зашифрованные устройства независимо, используя портал самообслуживания;
- позволяет специалистам по безопасности легко контролировать доступ к информации о ключах восстановления;
- позволяет пользователям Windows Корпоративная продолжать работать в любом месте, не беспокоясь о защите данных организации;
- применяет параметры политики шифрования с помощью BitLocker, настроенные для вашей организации;
- Интегрируется с существующими средствами управления, такими как Microsoft Endpoint Configuration Manager.
- позволяет пользователям выполнять восстановление, пользуясь заданными ИТ-специалистами настройками;
- поддерживает Windows 10.