Владимир Безмалый (vladb@windowslive.com) – специалист по обеспечению безопасности, MVP Consumer Security, Microsoft Security Trusted Advisоr

.

Подготовка жесткого диска к шифрованию

Перед тем как вы все же решитесь шифровать свой жесткий диск, следует учесть, что для использования шифрования потребуется не обновить имеющуюся операционную систему до Windows 8, а установить ее заново на чистый жесткий диск. С чем это связано?

Как вы помните, объем служебного раздела в Windows 7 Ultimate составляет 100 Мбайт, а в Windows 8 Consumer Preview — 400 Мбайт (экран 1). Думаю, что в дальнейшем, как уже было при выпуске Windows 7, данный раздел будет уменьшен.

 

Требования к?зарезервированному разделу
Экран 1. Требования к ?зарезервированному разделу

Разработчики Microsoft считают, что ваш компьютер уже по умолчанию оборудован модулем ТРМ. Поскольку в нашем случае это не так, до начала шифрования необходимо изменить значение параметра в групповых политиках (аналогично случаю с Windows 7).

Для этого нам нужно запустить окно командной строки. Поскольку для меня, как, полагаю, и для вас, Metro Style, принятый в Windows 8, абсолютно непривычен, я вышел из положения следующим образом (не уверен, что это самый простой и правильный способ, но он работает). Открыв окно Windows Explorer, я выбрал комбинацию клавиш Win+R, знакомую нам по предыдущим редакциям Windows, и в появившемся окне набрал cmd. В окне командной строки вводим gpedit.msc.

В появившемся окне Local Group Policy Editor (экран 2) выбираем Computer Configuration – Administrative Templates – Windows Components – BitLocker Drive Encryption –Operation System Drives.

 

Редактор Local Group Policy Editor
Экран 2. Редактор Local Group Policy Editor

Указываем параметр Require additional authentication at startup (экран 3).

 

Запрос на дополнительную аутентифиацию при запуске
Экран 3. Запрос на дополнительную аутентифиацию при запуске

Данный пункт политики позволяет указать, что вы будете использовать шифрование BitLocker без совместимого модуля ТРМ. Для этого нужно установить переключатель Require additional authentication at startup в верхней части окна в положение Enabled и щелкнуть флажок Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB Flash drive)

Вместе с тем стоит учесть, что в Windows 8 вы можете использовать не только накопитель USB в качестве места хранения ключа, но и обычный пароль. Надо сказать, что использовать USB-накопитель в качестве места хранения ключа, на мой взгляд, гораздо менее безопасно. Почему? Да потому, что пользователи, как правило, носят флэшку в той же сумке, что и ноутбук. То есть ноутбук могут украсть вместе с ключом шифрования. Если же вы просто запомните пароль, то вероятность его хищения будет значительно ниже.

Для того чтобы использовать пароль, вы должны сделать активной настройку Enable use of BitLocker authentication requiring preboot keyboard input on slates (экран 4).

 

Параметр Enable use of BitLocker authentication requiring preboot keyboard input on slates
Экран 4. Параметр Enable use of BitLocker authentication requiring preboot keyboard input on slates

С помощью данного параметра политики вы можете использовать пароль для загрузки с зашифрованного системного раздела. Собственно на этом работу с редактором локальной групповой политики можно закончить. Для того чтобы применить параметры политики, наберите в окне командной строки

gpupdate /force.

Шифрование системного раздела

Чтобы зашифровать системный раздел, перейдем в панель управления Control Panel и выберем раздел BitLocker Drive Encryption (экран 5).

 

BitLocker Drive Encryption
Экран 5. BitLocker Drive Encryption

Выбираем режим Turn on BitLocker и начинаем процесс шифрования. Первым шагом будет создание пароля для расшифровки системного раздела.

После создания стойкого пароля (учтите, что стойкость шифрования вашего системного раздела будет определяться стойкостью пароля) можно приступать к шифрованию.

Нужно иметь в виду, что, в отличие от Windows 7, здесь вы можете выбрать два режима шифрования.

  1. Encrypt used disk space only (зашифровать только используемое пространство).
  2. Encrypt entire disk (зашифровать весь диск).

Способ 1 рекомендуется для новых компьютеров, так как в дальнейшем записываемые в данный раздел файлы и папки будут шифроваться автоматически. Данный способ существенно быстрее.

Способ 2 рекомендуется для компьютеров, уже бывших в употреблении. Он медленнее, так как зашифровывается весь диск. Но в этом случае восстановить даже удаленные данные невозможно.

В отличие от Windows 7, в Windows 8 вам будет предложено сохранить пароль восстановления не только в файл или на USB-накопитель, но и в «облачное» хранилище Sky Drive, что, намой взгляд, можно расценить как дополнительное удобство (экран 6).

 

Варианты сохранения пароля восстановления
Экран 6. Варианты сохранения пароля восстановления

После нажатия кнопки Next ваш компьютер будет перезагружен и начнется шифрование.

Шифрование дисков данных

В случае с дисками данных их шифрование не составит ни малейшего труда, так как вам нужно будет лишь повторить знакомую операцию сохранения пароля восстановления и выбрать, каким образом вы будете получать доступ к данному разделу:

-по паролю;

-по смарт-карте;

-получать доступ автоматически (имеет смысл, если вы предварительно зашифровали системный раздел).

Полезный знакомый

Таким образом, мы убедились, что начальный процесс шифрования разделов в Windows 8 на компьютере без модуля ТРМ не представляет особого труда и, несмотря на существующие различия с шифрованием в Windows 7, очень на него похож.