Полнодисковое шифрование с помощью технологии Шифрование диска BitLocker
Перед запуском полнодискового шифрования компьютера рекомендуется убедиться в том, что компьютер не заражен. Для этого требуется запустить полную проверку или проверку важных областей компьютера. Выполнение полнодискового шифрования на компьютере, зараженном руткитом, может привести к неработоспособности компьютера.
Для работы технологии Шифрование диска BitLocker на компьютерах с серверной операционной системой может потребоваться установка компонента Шифрование диска BitLocker с помощью мастера добавления ролей.
Чтобы выполнить полнодисковое шифрование с помощью технологии Шифрование диска BitLocker, выполните следующие действия:
В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, для которой вы хотите настроить полнодисковое шифрование.
В рабочей области выберите закладку Политики.
Выберите нужную политику.
Откройте окно Свойства: <Название политики> одним из следующих способов:
В контекстном меню политики выберите пункт Свойства.
Перейдите по ссылке Настроить параметры политики, которая находится в правой части рабочей области Консоли администрирования.
В разделе Шифрование данных выберите подраздел Полнодисковое шифрование.
В раскрывающемся списке Технология шифрования выберите вариант Шифрование диска BitLocker.
В раскрывающемся списке Режим шифрования выберите пункт Шифровать все жесткие диски.
Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой выполнялось шифрование.
Если вы хотите использовать сенсорную клавиатуру для ввода информации в предзагрузочной среде, установите флажок Разрешить использование аутентификации, требующей предзагрузочного ввода с клавиатуры на планшетах.
Рекомендуется использовать этот параметр только для устройств, у которых во время предварительной загрузки имеются альтернативные средства ввода данных, например USB-клавиатура.
Выберите один из следующих типов шифрования:
Если вы хотите использовать аппаратное шифрование, установите флажок Использовать аппаратное шифрование.
Если вы хотите использовать программное шифрование, снимите флажок Использовать аппаратное шифрование.
Выберите один из следующих способов шифрования:
Если вы хотите применить шифрование только к тем секторам жесткого диска, которые заняты файлами, установите флажок Шифровать только занятое пространство.
Если вы хотите применить шифрование ко всему жесткому диску, снимите флажок Шифровать только занятое пространство.
Эта функция применима только к незашифрованным устройствам. Если устройство было зашифровано ранее с использованием функции Шифровать только занятое пространство, после применения политики в режиме Шифровать все жесткие диски секторы, не занятые файлами, по-прежнему не будут зашифрованы.
Выберите способ получения доступа к жестким дискам, зашифрованным с помощью BitLocker:
Если вы хотите использовать для хранения ключей шифрования доверенный платформенный модуль (TPM), выберите вариант Использовать доверенный платформенный модуль (TPM).
Микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины.
Если вы не используете доверенный платформенный модуль (TPM) для полнодискового шифрования, выберите вариант Использовать пароль и в поле Минимальная длина пароля укажите, какое минимальное количество символов должен содержать пароль.
Наличие доверенного платформенного модуля (TPM) является обязательным для операционных систем Windows 7 и Windows 2008 R2, а также более ранних версий.
Если на предыдущем шаге вы выбрали вариант Использовать доверенный платформенный модуль (TPM), выполните следующие действия:
Если вы хотите установить PIN-код, который будет запрашиваться у пользователя при попытке доступа к ключу шифрования, установите флажок Использовать PIN-код и в поле Минимальная длина PIN-кода укажите, какое минимальное количество цифр должен содержать PIN-код.
Если вы хотите, чтобы в случае отсутствия на компьютере доверенного платформенного модуля доступ к зашифрованным жестким дискам можно было получить с помощью пароля, установите флажок Использовать пароль, если доверенный платформенный модуль (TPM) недоступен и в поле Минимальная длина пароля укажите, какое минимальное количество символов должен содержать пароль.
В такой ситуации доступ к ключам шифрования будет осуществляться с помощью заданного пароля так же, как при установленном флажке Использовать пароль.
Если флажок Использовать пароль, если доверенный платформенный модуль (TPM) недоступен снят и доверенный платформенный модуль недоступен, то полнодисковое шифрование не запускается.
Нажмите на кнопку OK, чтобы сохранить внесенные изменения.
Примените политику.
Подробнее о применении политики Kaspersky Security Center вы можете прочитать в справке для Kaspersky Security Center.
После применения политики на клиентском компьютере с установленной программой Kaspersky Endpoint Security появляются следующие запросы:
Если в политике Kaspersky Security Center настроено шифрование системного жесткого диска, то появится окно запроса ПИН-кода, если используется доверенный платформенный модуль, или окно запроса пароля для предзагрузочной аутентификации в противном случае.
Если в операционной системе включен режим совместимости с Федеральным стандартом обработки информации (FIPS), то в операционных системах Windows 8, а также в более ранних версиях появится окно запроса на подключение USB-устройства для сохранения файла ключа восстановления.
При отсутствии доступа к ключам шифрования пользователь может запросить у администратора локальной сети организации ключ восстановления (если ключ восстановления не был сохранен ранее на USB-устройстве или был утерян).