Читаем Windows Vista полностью

Технология шифрования диска BitLocker позволяет защитить данные от вмешательства как на стадии загрузки компьютера, так и при хищении жесткого диска и попытке злоумышленников получить доступ к хранящейся на нем информации на другой машине. Благодаря BitLocker даже нежданные посетители вашего компьютера не получат доступ к зашифрованному разделу без вашего ведома и соответствующих санкций. Включив защиту BitLocker, вы сможете продолжать работать на компьютере без каких-либо ограничений. Блокирование доступа к разделу с Windows происходит лишь в случае изменения параметров загрузки системы.

Технология шифрования диска BitLocker предъявляет некоторые требования к аппаратным средствам компьютера, поэтому прежде чем пытаться включить защиту, убедитесь, что ваша система им соответствует.

Поскольку при шифровании ключ должен сохраняться не на жестком диске, а на другом устройстве, необходимо, чтобы компьютер имел один из следующих компонентов.

• Доверенный платформенный модуль (TPM – Trusted Platform Module) – специальная микросхема на материнской плате, предназначенная для поддержки функций безопасности, которая участвует в процессе загрузки системы и проверяет ее состояние.

• Поскольку машины с TPM начали появляться сравнительно недавно, не исключено, что ваш компьютер не оснащен микрочипом TPM. В этом случае для включения BitLocker можно воспользоваться USB-flash-накопителем («флэшкой») для хранения ключа шифрования, но для этого необходимо, чтобы USB-устройства поддерживались BIOS при запуске компьютера.

При использовании BitLocker к жесткому диску предъявляются следующие требования. Он должен быть разбит на два раздела (тома), отформатированных в файловой системе NTFS. Тот раздел, в котором находится операционная система, будет зашифрован, второй раздел должен быть активным и иметь размер не менее 1,5 Гбайт. К нему шифрование применяться не будет, что необходимо для загрузки компьютера, поэтому для файлов, хранящихся в этом разделе, следует использовать шифрование, описанное в гл. 3. Однако при переносе в зашифрованный раздел с Windows они также будут автоматически зашифрованы. В противном случае, при перемещении файлов в нешифрованный раздел с них автоматически снимается шифрование.

Если требования, предъявляемые к аппаратной составляющей компьютера, соблюдены, можно приступать к процедуре шифрования. Для этого вход в систему должен быть выполнен под учетной записью администратора.

Выполните команду Пуск -> Панель управления -> Безопасность -> Шифрование диска BitLocker. В результате будет открыто окно включения/отключения шифрования диска, в котором должна присутствовать ссылка Включить BitLocker (рис. 7.21).

Рис. 7.21. Окно включения/отключения шифрования диска BitLocker

Однако если ваш компьютер не оснащен TPM, в данном окне вы можете увидеть сообщение о том, что доверенный платформенный модуль не найден, а ссылка на включение шифрования будет отсутствовать. В данном случае необходимо изменить один из параметров групповой политики компьютера, чтобы иметь возможность пользоваться flash-памятью для хранения ключа запуска. Редактирование параметров групповой политики – тема, ориентированная на опытных пользователей, в рамках данной книги она не рассматривается, поэтому ниже без пояснений объектов приводится краткая инструкция для включения поддержки flash-накопителя при отсутствии TPM, которую вам необходимо выполнить.

1. Зайдите в меню Пуск, наберите в строке поиска gpedit.msc и нажмите клавишу Enter.

2. В открывшемся окне вы увидите дерево консоли. По внешнему виду оно аналогично дереву папок. В нем следует выполнить следующий переход: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Шифрование диска BitLocker.

3. Справа в окне дважды щелкните кнопкой мыши на элементе Установка панели управления: включить дополнительные параметры запуска.

4. В открывшемся окне на вкладке Параметры установите переключатель в положение Включен. При этом ниже должен быть автоматически установлен флажок Разрешить использование BitLocker без совместимого TPM. Если этого не произошло, установите флажок самостоятельно, нажмите кнопку ОК и закройте окно редактора объектов групповой политики.

Теперь в окне шифрования должна появиться ссылка Включить BitLocker и исчезнуть предупреждение о том, что доверенный платформенный модуль не обнаружен.

Перейдите по ссылке Включить BitLocker. При этом будет открыто окно, в котором необходимо задать параметры запуска BitLocker (рис. 7.22). Если ваш компьютер не оснащен TPM, доступен будет только последний вариант – Запрашивать USB-ключ запуска при запуске.

Рис. 7.22. Окно выбора варианта запуска компьютера с зашифрованным разделом диска

Присоедините «флэшку» к компьютеру и перейдите по ссылке Запрашивать USBключ запуска при запуске. В следующем окне вы увидите имя распознанного системой flash-диска, оно должно быть выделено. Нажмите кнопку Сохранить для сохранения ключа запуска.