Полнодисковое шифрование с помощью технологии Шифрование диска BitLocker
Перед запуском полнодискового шифрования рекомендуется убедиться в том, что компьютер не заражен. Для этого запустите полную проверку или проверку важных областей компьютера. Выполнение полнодискового шифрования на компьютере, зараженном руткитом, может привести к неработоспособности компьютера.
Для работы технологии Шифрование диска BitLocker на компьютерах с серверной операционной системой может потребоваться установка компонента Шифрование диска BitLocker с помощью мастера добавления ролей.
Чтобы применить полнодисковое шифрование BitLocker, выполните следующие действия:
В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
В рабочей области выберите закладку Политики.
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне политики выберите Шифрование данных → Полнодисковое шифрование.
В раскрывающемся списке Технология шифрования выберите элемент Шифрование диска BitLocker.
В раскрывающемся списке Режим шифрования выберите элемент Шифровать все жесткие диски.
Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой выполнялось шифрование.
Если вы хотите включить аутентификацию BitLocker в предзагрузочной среде на планшетах, установите флажок Включить использование проверки подлинности BitLocker, требующей предзагрузочного ввода с клавиатуры на планшетах.
Сенсорная клавиатура планшетов недоступна в предзагрузочной среде. Для прохождения аутентификации BitLocker на планшетах пользователю необходимо подключить, например, USB-клавиатуру.
Если вы хотите использовать аппаратное шифрование, установите флажок Использовать аппаратное шифрование. Это позволяет увеличить скорость шифрования и сократить использование ресурсов компьютера.
Выберите один из следующих способов шифрования:
Если вы хотите применить шифрование только к тем секторам жесткого диска, которые заняты файлами, установите флажок Шифровать только занятое пространство.
Если вы хотите применить шифрование ко всему жесткому диску, снимите флажок Шифровать только занятое пространство.
Эта функция применима только к незашифрованным жестким дискам. Если жесткий диск был зашифрован ранее с использованием функции Шифровать только занятое пространство, после применения политики в режиме Шифровать все жесткие диски секторы, не занятые файлами, по-прежнему не будут зашифрованы.
Выберите способ получения доступа к жестким дискам, зашифрованным с помощью BitLocker:
Если вы хотите использовать для хранения ключей шифрования модуль TPM, выберите вариант Использовать доверенный платформенный модуль (TPM).
Доверенный платформенный модуль (англ. Trusted Platform Module – TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины.
Если вы не используете модуль TPM для полнодискового шифрования, выберите вариант Использовать пароль и в поле Минимальная длина пароля укажите, какое минимальное количество символов должен содержать пароль.
Для компьютеров под управлением операционных систем Windows 7 и Windows Server 2008 R2 доступно только шифрование с использованием модуля TPM. Если модуль TPM не установлен, шифрование BitLocker невозможно. Использование пароля на этих компьютерах не поддерживается.
Если на предыдущем шаге вы выбрали вариант Использовать доверенный платформенный модуль (TPM), выполните следующие действия:
Если вы хотите установить PIN-код, который будет запрашиваться у пользователя при попытке доступа к ключу шифрования, установите флажок Использовать PIN-код и в поле Минимальная длина PIN-кода укажите, какое минимальное количество цифр должен содержать PIN-код.
Если вы хотите, чтобы в случае отсутствия на компьютере модуля TPM доступ к зашифрованным жестким дискам можно было получить с помощью пароля, установите флажок Использовать пароль, если доверенный платформенный модуль (TPM) недоступен и в поле Минимальная длина пароля укажите, какое минимальное количество символов должен содержать пароль.
В такой ситуации доступ к ключам шифрования будет осуществляться с помощью заданного пароля так же, как при установленном флажке Использовать пароль.
Если флажок Использовать пароль, если доверенный платформенный модуль (TPM) недоступен снят и модуль TPM недоступен, то полнодисковое шифрование не запускается.
Сохраните внесенные изменения.
После применения политики на клиентском компьютере с установленной программой Kaspersky Endpoint Security появятся следующие запросы:
Если в политике Kaspersky Security Center настроено шифрование системного жесткого диска:
При наличии модуля TPM, появится окно запроса PIN-кода.
При отсутствии модуля TPM, появится окно запроса пароля для предзагрузочной аутентификации.
Если в операционной системе включен режим совместимости с Федеральным стандартом обработки информации (FIPS), то в операционных системах Windows 8, а также в более ранних версиях появится окно запроса на подключение запоминающего устройства для сохранения файла ключа восстановления. Вы можете сохранять несколько файлов ключей восстановления на одном запоминающем устройстве.