Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Bitlocker не включается windows 10

Обновлено: 23.01.2025

Функция BitLocker впервые появилась в Vista максимальной и корпоративной редакций, а затем успешно была унаследована всеми последующими версиями операционной системы Windows. BitLocker представляет собой средство шифрования данных на локальном диске, а также службу, обеспечивающую защиту этих данных без непосредственного участия пользователя. В Windows 10 BitLocker поддерживает шифрование с использованием алгоритма AES 128 и AES 256, для защиты данных служба может использовать работающий в связке с данными учётной записи текстовый пароль, а также специальный набор данных, хранящийся на внешнем устройстве — так называемой смарт-карте или токене, которые, между прочим, также используют защиту паролем, в роли которого выступает пин-код.

↑ Как разблокировать BitLocker Windows 10

↑ Как разблокировать BitLocker, если система не загружается


До этого мы имели дело с работающей системой, но давайте представим, что по какой-то причине Windows не может загрузиться, а получить доступ к данным нужно. В этом случае можно воспользоваться спасательным диском на базе WinPE, тем же WinPE 10-8 Sergei Strelec, о котором мы уже не раз писали. Всё очень просто. Загрузившись с диска, выполняем те же действия, что и в рабочей Windows: кликаем дважды по зашифрованному диску, жмём «Дополнительные параметры» → «Введите ключ восстановления», вводим ключ и нажимаем «Разблокировать».
В другом спасательном диске — AdminPE для разблокировки BitLocker в контекстном меню предусмотрена опция «Разблокировать, используя ключ восстановления».

↑ Можно ли взломать BitLocker

Да, можно, но для этого вам всё равно понадобятся ключи шифрования, для извлечения которых хакеры пользуются уязвимостями, которые оставила в криптографической система сама Microsoft, сознательно пойдя на компромисс между надёжностью и удобством. Например, если ваш ПК присоединён к домену, ключи BitLocker автоматически отправляются в Active Directory на случай их утери. Кстати, получение копий ключей из учётной записи или Active Directory является основным способом взлома BitLocker.

А ещё открытые копии ключей сохраняются в оперативной памяти компьютера, а значит и в файле дампа ОЗУ, и в файле гибернации, из которых их также можно извлечь, получив физический доступ к жёсткому диску. Получается так, что каким бы ни был надёжным сам алгоритм шифрования, весь результат его работы нивелируется организацией работы с ключами. Поэтому пользоваться BitLocker есть смысл только вместе с другими механизмами безопасности, в частности, с шифрованной файловой системой и службой управления правами доступа.

Включение BitLocker без TPM

BitLocker — встроенная функция шифрования дисков в Windows 7, 8 и Windows 10, начиная с Профессиональных версий, позволяющая надежно зашифровать данные как на HDD и SSD — системных и нет, так и на съемных накопителях.

Разрешить BitLocker без совместимого TPM в Windows 10 последней версии

Это устройство не может использовать доверенный платформенный модуль TPM (BitLocker)

В последней версии Windows 10 (1903 May 2019 Update) расположение политики, отвечающей за разрешение использования BitLocker для шифрования системного раздела диска без модуля TPM несколько изменилось (для предыдущих версий расположение описывается в следующем разделе).

Для включения шифрования BitlLocker без TPM в новой версии ОС проделайте следующие шаги:

  1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
  2. Откроется редактор локальной групповой политики. Перейдите к разделу: Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Шифрование диска BitLocker — Диски операционной системы.
  3. В правой панели редактора локальной групповой политики найдите параметр «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске» и дважды кликните по нему мышью. Обратите внимание, что в списке есть два параметра с таким именем, нам требуется тот, который без указания Windows Server.
  4. В открывшемся окне выберите пункт «Включено» и убедитесь, что пункт «Разрешить использование BitLocker без совместимого TPM включен». Примените сделанные настройки.

На этом процесс завершен и теперь вы можете включить шифрование BitLocker для системного раздела диска Windows 10.

Это же разрешение вы можете включить и с помощью редактора реестра: для этого в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE создайте параметр DWORD с именем EnableBDEWithNoTPM и установите для него значение 1.

Разрешение использования BitLocker без совместимого TPM в Windows 10, 8 и Windows 7

Для того, чтобы возможно было зашифровать системный диск с помощью BitLocker без TPM, достаточно изменить один единственный параметр в редакторе локальной групповой политики Windows.

  1. Нажмите клавиши Win+R и введите gpedit.msc для запуска редактора локальной групповой политики.
  2. Откройте раздел (папки слева): Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Этот параметр политики позволяет выбрать шифрование диска BitLocker — Диски операционной системы.
  3. В правой части дважды кликните по параметру «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске.
  4. В открывшемся окне, установите «Включено», а также убедитесь, что стоит отметка «Разрешить BitLocker без совместимого доверенного платформенного модуля» (см. скриншот).
  5. Примените сделанные изменения.

Вы сможете либо задать пароль для получения доступа к зашифрованному диску, либо создать USB-устройство (флешку), которая будет использоваться в качестве ключа.

Шифрование системного диска в BitLocker

Примечание: в ходе шифрования диска в Windows 10 и 8 вам будет предложено сохранить данные для расшифровки в том числе в вашей учетной записи Майкрософт. Если она у вас должным образом настроена, рекомендую это сделать — по собственному опыту использования BitLocker, код восстановления доступа к диску из учетной записи в случае возникновения проблем может оказаться единственным способом не потерять свои данные.

В этой статье устраняют распространенные проблемы в BitLocker и предоставляют рекомендации по устранению этих неполадок. В этой статье также приводится информация о том, какие данные необходимо собирать и какие параметры проверять. Эта информация значительно упрощает процесс устранения неполадок.

Просмотр журналов событий

Откройте для просмотра событий и просмотрите следующие журналы в журналах Приложения и службы\Microsoft\Windows:

BitLocker-API. Просмотрите журнал управления, операционный журнал и все другие журналы, созданные в этой папке. Журналы по умолчанию имеют следующие уникальные имена:

  • Microsoft-Windows-BitLocker-API/BitLocker Operational
  • Управление Microsoft-Windows-BitLocker-API/BitLocker

BitLocker-DrivePreparationTool. Просмотрите журнал администрирования, операционный журнал и все другие журналы, созданные в этой папке. Журналы по умолчанию имеют следующие уникальные имена:

  • Microsoft-Windows-BitLocker-DrivePreparationTool/Operational
  • Microsoft-Windows-BitLocker-DrivePreparationTool/Admin

Кроме того, просмотрите журнал Windows\System для событий, которые были произведены источниками событий TPM и TPM-WMI.

Для фильтрации и отображения или экспорта журналов можно использовать средствоwevtutil.exeкомандной строки или командлет Get-WinEvent.

Например, чтобы использовать wevtutil для экспорта содержимого операционного журнала из папки BitLocker-API в текстовый файл с именем BitLockerAPIOpsLog.txt, откройте окно Командная подсказка и запустите следующую команду:

Чтобы использовать командлет Get-WinEvent для экспорта того же журнала в текстовый файл, разделенный запятой, откройте окно Windows Powershell и запустите следующую команду:

Вы можете использовать Get-WinEvent в окне PowerShell для отображения отфильтрованной информации из журнала системы или приложения с помощью следующего синтаксиса:

Отображение сведений, связанных с BitLocker:

Выход такой команды напоминает следующее.

Отображение событий, производимых с помощью Get-WinEvent и фильтра BitLocker.

Экспорт сведений, связанных с BitLocker:

Отображение сведений, связанных с TPM:

Экспорт сведений, связанных с TPM:

Выход такой команды напоминает следующее.

Отображение событий, производимых с помощью Get-WinEvent и фильтра TPM.

Если вы собираетесь обратиться в службу поддержки Майкрософт, рекомендуем экспортировать журналы, указанные в этом разделе.

Сбор сведений о состоянии из технологий BitLocker

Откройте окно Windows PowerShell и запустите каждую из следующих команд.

Команда Заметки
get-tpm > C:\TPM.txt Экспортирует сведения о модуле доверенных платформ локального компьютера (TPM). В этом комлете показаны различные значения в зависимости от того, является ли чип TPM версией 1.2 или 2.0. Этот комлет не поддерживается в Windows 7.
manage-bde —status > C:\BDEStatus.txt Экспортирует сведения об общем состоянии шифрования всех дисков на компьютере.
manage-bde c:
-protectors -get > C:\Protectors		 Экспортирует сведения о методах защиты, используемых для ключа шифрования BitLocker.
reagentc /info > C:\reagent.txt Экспортирует сведения об интерактивном или автономном изображении о текущем состоянии среды восстановления Windows (WindowsRE) и любом доступном изображении восстановления.
get-BitLockerVolume | fl Получает сведения о томах, которые может защитить шифрование диска BitLocker.

Просмотр сведений о конфигурации

Откройте окно командной подсказки и запустите следующие команды.

Откройте редактор реестра и экспортировать записи в следующих подкайсах:

  • HKLM\SOFTWARE\Policies\Microsoft\FVE
  • HKLM\SYSTEM\CurrentControlSet\Services\TPM\

Проверка необходимых условий BitLocker

Общие параметры, которые могут вызывать проблемы для BitLocker, включают следующие сценарии:

  • TPM необходимо разблокировать. Вы можете проверить выход команды get-tpm на состояние TPM.
  • Windows RE необходимо включить. Вы можете проверить выход команды reagentc на состояние WindowsRE.
  • Раздел, зарезервированный в системе, должен использовать правильный формат.
    • На компьютерах единого extensible Интерфейс прошивки (UEFI) раздел, зарезервированный в системе, должен быть отформатирован как FAT32.
    • На устаревших компьютерах раздел, зарезервированный в системе, должен быть форматирован как NTFS.

    Дополнительные сведения о предпосылках BitLocker см. в базовом развертывании BitLocker: Использование BitLocker для шифрования томов

    Дальнейшие действия

    Если сведения, которые вы изучили, указывают на определенную проблему (например, WindowsRE не включена), проблема может иметь прямое исправление.

    Решение проблем, не вызывающих очевидных причин, зависит от того, какие компоненты задействованы и какое поведение вы видите. Собранные сведения помогают сузить области для изучения.

    • Если вы работаете на устройстве, управляемом Microsoft Intune, см. в рубке Enforcing BitLocker policies by using Intune: known issues.
    • Если BitLocker не начинает или не может шифровать диск и вы заметите ошибки или события, связанные с TPM, см. в рубке BitLocker не удается шифровать диск: известные проблемы TPM.
    • Если BitLocker не начинает или не может шифровать диск, см. в рубке BitLocker не удается шифровать диск: известные проблемы.
    • Если разблокировка сети BitLocker ведет себя не так, как ожидалось, см. в рубке Разблокировка сети BitLocker: известные проблемы.
    • Если BitLocker ведет себя не так, как ожидалось при восстановлении зашифрованного диска, или если вы не ожидали, что BitLocker восстановит диск, см. в примере восстановления BitLocker:известные проблемы.
    • Если BitLocker или зашифрованный диск ведут себя не так, как ожидалось, и вы заметите ошибки или события, связанные с TPM, см. в bitLocker и TPM:другие известные проблемы .
    • Если BitLocker или зашифрованный диск ведут себя не так, как ожидалось, см. конфигурацию BitLocker: известные проблемы.

    Рекомендуется хранить собранные сведения в случае, если вы решите обратиться в службу поддержки Майкрософт для решения проблемы.

    Сводка: Устранение проблемы в Windows 10, UEFI и TPM 1.2., при которой BitLocker не включается или запрашивает ключ восстановления. Свернуть Устранение проблемы в Windows 10, UEFI и TPM 1.2., при которой BitLocker не включается или запрашивает ключ восстановления.

    Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.

    Симптомы

    В системах Dell с установленной и настроенной ОС Windows 10 для режима UEFI BIOS BitLocker может не запускаться или запрашивать ключ восстановления после перезагрузки системы. Это может произойти, если системе также не удается поддерживать прошивку микропрограммы TPM с версии 1.2 до версии 2.0. Решение, описанное в этой статье, можно использовать для настройки BitLocker для работы с микропрограммой TPM 1.2 в системах Dell, которые поддерживают Windows 10/UEFI и не поддерживают обновление микропрограммы до TPM 2.0.

    SLN305408_ru__1icon

    Примечание. В системах, поддерживающих режимы переключения, необходимо выполнить следующие шаги из статьи базы знаний Dell для прошивки микропрограммы TPM 2.0: Решение проблемы, с помощью которой можно установить BitLocker на ПК Latitude EXX70 с установленной Windows 10 .

    BitLocker не включается или запрашивает ключ восстановления после каждой перезагрузки Windows 10, UEFI и микропрограммой TPM 1.2

    Latitude 12 Rugged (7202) — пример планшета, который в настоящее время поставляется с Windows 10/UEFI и микропрограммой TPM 1.2. По умолчанию BitLocker не будет работать в этой конфигурации, и эта платформа не поддерживает изменения режима TPM с 1.2 на 2.0. Указанное ниже решение было протестировано для 7202 и позволит использовать BitLocker с TPM 1.2 в режиме UEFI, заменив некоторые индексы PCR, включенные в профиле BitLocker, на значения UEFI по умолчанию.

    SLN305408_ru__1icon

    Примечание. Параметры PCR (Регистр конфигурации платформы) защищают ключ шифрования BitLocker от изменений в центральном корне доверия для измерения (CRTM), BIOS, и расширениях платформы (PCR 0), коде дополнительного ПЗУ (PCR 2), коде главной загрузочной записи (MBR) (PCR 4), загрузочном секторе NTFS (PCR 8), загрузочным блоке NTFS (PCR 9), диспетчере загрузки (PCR 10) и контроле доступа BitLocker (PCR 11). Значения по умолчанию в профиле BitLocker отличаются для UEFI и стандартной BIOS.

    Некоторые другие модели систем поставляются с более ранней версией Windows 7 и микропрограммой TPM 1.2, и также полностью поддерживают обновление до Windows 10, но не допускают изменения режима TPM с 1.2 на 2.0.

    SLN305408_ru__1icon

    Примечание. Несмотря на то, что BitLocker может работать в режиме устаревшей загрузки с микропрограммой TPM 1.2, Dell продолжает рекомендовать установку Windows 10 в UEFI режиме и поставляет с завода именно такие системы.

    Шаги для решения этой проблемы

    1. Отключите BitLocker на панели Управление BitLocker, если она включена, и дождитесь завершения дешифрования:
    2. Нажмите Пуск, введите manage bitlocker и выберите верхний результат поиска (рис. 1):

    SLN305408_ru__4Manage bitlocker search results


    Рис. 1. Результаты поиска «manage bitlocker»

    SLN305408_ru__5BitLocker Drive Encryption Control Panel(1)


    Рис. 2. Панель управления шифрованием диска BitLocker

    SLN305408_ru__6Turn off BitLocker confirmation


    Рис. 3. Подтверждение отключения BitLocker

    SLN305408_ru__7gpedit Operating System Drives folder


    Рис. 4. gpedit — папка дисков операционной системы

    SLN305408_ru__8Configure TPM platform validation profile setting


    Рис. 5. Настройка конфигурации профиля проверки платформы TPM

    SLN305408_ru__9Enabled PCR settings


    Рис. 6. Включенные настройки PCR

    SLN305408_ru__1icon

    Примечание. Перед изменением значений PCR необходимо отключить BitLocker. Если какой-либо из этих компонентов изменяется во время действия защиты BitLocker, TPM не разблокирует ключ шифрования, и диск не будет дешифрован, а на компьютере вместо этого отобразится консоль восстановления BitLocker.

    Вы можете не включить шифрование BitLocker на USB-накопителе, если формат файла на USB-накопителе несовместим с приложением BitLocker или служба шифрования BitLocker не запущена. Более того, неправильная конфигурация групповой политики вашей системы также может вызвать обсуждаемую ошибку.

    Пользователь сталкивается с проблемой, когда ему не удается включить BitLocker на USB-накопителях и он не видит USB в настройках BitLocker (Панель управления >> Система и безопасность >> Шифрование диска BitLocker). Кроме того, если пользователь щелкает правой кнопкой мыши USB-накопитель в проводнике Windows, параметр BitLocker не отображается.


    Прежде чем переходить к включению BitLocker на флеш-накопителе, обязательно создайте резервную копию важных данных на USB-накопителе (так как данные могут быть потеряны при попытке нижеупомянутых решений). Кроме того, шифрование BitLocker может не работать на USB-накопителе, если вы пытаетесь включить шифрование через подключение к удаленному рабочему столу. Кроме того, проверьте, достаточно ли свободного места на USB-накопителе. И последнее, но не менее важное: обязательно обновите Windows и драйверы вашей системы до последней сборки.

    Решение 1. Включите службу шифрования BitLocker.

    Шифрование BitLocker может не работать, если служба шифрования диска BitLocker отключена (или не запущена). В этом случае включение вышеупомянутой службы BitLocker может решить проблему.

    1. Нажмите клавишу Windows и введите (в поиске Windows): Services. Теперь щелкните правой кнопкой мыши результат работы служб и в мини-меню выберите «Запуск от имени администратора».Открыть сервисы в качестве администратора
    2. Теперь щелкните правой кнопкой мыши службу шифрования диска BitLocker и выберите «Пуск» (или «Перезагрузить»).Запустите службу шифрования диска BitLocker
    3. После запуска службы BitLocker проверьте, можно ли зашифровать USB с помощью BitLocker.

    Решение 2. Удалите конфликтующее обновление.

    Если вы смогли использовать BitLocker на USB-накопителях, но теперь эта функция недоступна, проблема может быть результатом конфликтующего обновления. В этом случае удаление конфликтующего обновления может решить проблему.

    1. Нажмите клавишу Windows и откройте Настройки.
    2. Теперь выберите «Обновление и безопасность» и откройте «Просмотр истории обновлений».Открыть обновление и безопасность
    3. Затем нажмите Удалить обновления и выберите проблемное обновление (известно, что обновления KB4579311 и KB2799926 создают проблему).Просмотр истории обновлений вашей системы
    4. Теперь нажмите «Удалить» и позвольте обновлению удалить.Открыть удаление обновлений
    5. Затем перезагрузите компьютер и проверьте, включен ли BitLocker для USB-накопителей.Удалите обновление KB4579311

    Решение 3.Измените групповую политику.

    Вы можете не включить BitLocker на USB-накопителе, если групповая политика вашей системы настроена так, чтобы запретить системе использовать BitLocker на внешних дисках. В этом контексте изменение групповой политики, позволяющее использовать BitLocker на внешних дисках, может решить проблему.

    1. Нажмите клавишу Windows и введите (в поле поиска): Редактор групповой политики. Теперь откройте «Изменить групповую политику».Открыть редактор групповой политики
    2. Теперь на левой панели разверните «Конфигурация компьютера» и под ним разверните «Административные шаблоны».
    3. Затем разверните Компоненты Windows и под ним распространите шифрование диска BitLocker.
    4. Теперь выберите «Съемные диски с данными», а затем на правой панели дважды щелкните «Управление использованием BitLocker на съемных устройствах».Открытый контроль использования BitLocker на съемных устройствах в редакторе групповой политики
    5. Затем в новом окне выберите переключатель «Включено» и в разделе «Параметры» отметьте оба параметра (т. Е. «Разрешить пользователям применять защиту BitLocker на съемных дисках с данными» и «Разрешить пользователям приостанавливать и расшифровывать защиту BitLocker для данных. Приводы »).Включить оба варианта управления использованием BitLocker на съемных устройствах
    6. Теперь примените свои изменения и перезагрузите компьютер, чтобы проверить, решена ли проблема BitLocker.

    Решение 4. Используйте Diskpart, чтобы сделать USB-накопитель неактивным

    Вы можете не включить BitLocker на USB-накопителе, если USB-накопитель помечен как активный в управлении дисками (поскольку основные файлы ОС помещаются на активный диск). В этом случае отключение USB-накопителя через Diskpart может решить проблему.

    Решение 5. Отформатируйте USB-накопитель и преобразуйте его в GPT

    Если проблема все еще существует, возможно, вам придется переразбить и отформатировать USB-накопитель. Но обязательно сделайте резервную копию важных данных на диске.

    Создайте новый простой том на USB-устройстве

    1. Запустите Управление дисками (щелкнув правой кнопкой мыши кнопку Windows) и выберите USB-накопитель.
    2. Затем щелкните раздел правой кнопкой мыши и выберите Удалить том.Щелкните правой кнопкой мыши диск и выберите Удалить том.
    3. Теперь подтвердите удаление раздела и дайте процессу завершиться.
    4. Если на USB-накопителе более одного раздела, обязательно удалите все разделы на USB.
    5. Затем щелкните правой кнопкой мыши неразмеченное пространство на USB-накопителе и выберите «Новый простой том».Создайте новый простой том в нераспределенном пространстве
    6. Теперь следуйте инструкциям, чтобы завершить процесс, но обязательно выберите NTFS и не используйте опцию быстрого форматирования.
    7. После форматирования USB-накопителя отсоедините его от системы.
    8. Затем подключите USB-накопитель к системе и проверьте, можно ли включить BitLocker на USB.
    9. Если проблема не устранена, проверьте, решает ли уменьшение размера раздела проблему BitLocker (иногда BitLocker требует некоторого свободного места до и после раздела, который вы хотите зашифровать).

    Преобразование USB в диск GPT

    Если это не помогло, возможно, вам придется настроить USB-накопитель как GPT.


    1. Запустите Управление дисками (как описано выше) и удалите на нем разделы (повторяя вышеупомянутые шаги с 1 по 5).
    2. Теперь щелкните правой кнопкой мыши USB-накопитель и выберите «Преобразовать в GPT-диск».Преобразование USB в диск GPT
    3. Затем дайте процессу завершиться и разделите / отформатируйте USB-накопитель.
    4. Теперь отключите USB от системы и перезагрузите компьютер.
    5. После перезагрузки снова вставьте USB-накопитель и, надеюсь, BitLocker можно будет включить на USB.

    Если проблема не исчезнет, ​​вы можете попробовать стороннюю утилиту (например, HDD LLF) для выполнения низкоуровневого форматирования USB-накопителя и проверить, решена ли проблема BitLocker.

    Читайте также:

        
    • Как поставить будильник на компьютере windows xp
      •   
    • Centos 6 samba настройка
      •   
    • Виндовс сайт где можно играть
      •   
    • Windows media player это системное по или прикладное
      •   
    • Описание для идентификации точки восстановления windows 7
  • Контакты
  • Политика конфиденциальности