Не удалось определить состояние шифрования папки временных файлов
Обновлено: 21.11.2024
Хотите повысить свою безопасность, зашифровав файлы или даже жесткие диски в Windows? Мы проведем вас через каждый шаг, чтобы вы могли защитить все свои конфиденциальные данные.
Если вы зашифруете файлы и папки в Windows, ваши данные станут недоступны для чтения посторонними лицами. Только тот, у кого есть правильный пароль или ключ дешифрования, может снова сделать данные доступными для чтения. В этой статье объясняется несколько методов, которые можно использовать для шифрования данных.
Параметры шифрования
Чтобы зашифровать файлы и папки в Windows, вы можете использовать две возможности шифрования, встроенные в Windows (и третий вариант, в зависимости от используемого вами программного обеспечения):
- BitLocker является предпочтительным и наиболее безопасным методом, но он не позволит вам легко выбирать и шифровать отдельные файлы и папки (вы можете сделать это, создав зашифрованный файловый контейнер с помощью VHD).
- Шифрованная файловая система (EFS) является альтернативой, но не рекомендуется для особо конфиденциальных данных.
- Третий способ шифрования файлов и папок в Windows — использование стороннего программного обеспечения. Для некоторых выпусков операционных систем, таких как Windows 10 Домашняя, это единственный вариант.
Совет. В качестве альтернативы, если все, о чем вы беспокоитесь, это о том, чтобы кто-то не шпионил дома, вы можете быстро зашифровать или защитить паролем отдельные файлы MS Word или MS Excel из документов. ComputerHope покажет вам, как это сделать.
Тенденции шифрования
Исследование Risk Based Security показало, что в период с января по сентябрь 2019 года было взломано 7,9 млрд записей данных. Однако более раннее исследование Gemalto показало, что менее 5 % утечек связаны с зашифрованными данными.
В «Отчете Thales об угрозах данным за 2020 г.» представлена следующая информация о тенденциях в области шифрования данных:
- В США шифрование данных (63%) используется для защиты конфиденциальных данных в облаке с более высокой скоростью, чем в глобальной выборке (57%), которую рассматривали исследователи.
- Только 61 % руководителей используют шифрование файлов, а 59 % — шифрование базы данных.
- Внедрение шифрования файлов и баз данных увеличилось лишь незначительно (на 1 %) с 2018 по 2019 год.
- Компании розничной торговли имеют самый низкий уровень шифрования конфиденциальных данных (54%). Это означает, что почти половина отраслевых данных не защищена шифрованием.
Прежде чем вы начнете шифровать файлы и папки в Windows
Прежде чем шифровать данные в Windows, имейте в виду следующую информацию:
Зашифрованные файлы не полностью защищены от взлома
Зашифрованные файлы не защищены на 100 %. Хакеры могут (хотя и с трудом) обойти шифрование. Вы подвергаетесь риску, если храните криптографические ключи и пароли в незашифрованном файле или если хакер внедрил в вашу систему кейлоггер. Кейлоггеры могут быть установлены вредоносными программами на ваш компьютер. Если вы зашифруете один файл с помощью EFS, ваш компьютер сохранит незашифрованную версию этого файла во временной памяти, поэтому хакер все равно сможет получить к нему доступ. Если ваши данные действительно ценны, рассмотрите платное экспертное облачное решение для шифрования.
Создавать резервные копии
Всегда делайте незашифрованные резервные копии своих файлов на случай потери паролей. Храните их в безопасном физическом месте. Это гарантирует, что вы сможете легко получить их, если вся ваша система будет скомпрометирована.
Понимание ваших потребностей в шифровании
Решите, что именно вы хотите/нужно зашифровать. Это определит, какой метод шифрования вы используете. Читать Шифровать или не шифровать файлы и папки в Windows?
Учитывайте ограничения EFS
Файл, зашифрованный EFS, теряет свое шифрование, если вы перемещаете его на диск с файловой системой FAT 32 или exFAT либо передаете его по сети или по электронной почте. EFS также не защищает файлы от удаления, если вы не использовали разрешения Windows для их защиты. Вы не можете зашифровать сжатый файл или папку с помощью EFS; вам нужно сначала извлечь содержимое.
Как Windows шифрует файлы и папки?
БитЛокер
BitLocker шифрует весь том на жестком диске (или съемном устройстве) независимо от того, кто вошел в систему. Чтобы разблокировать диск, защищенный с помощью BitLocker, любой, кто хочет получить доступ, должен ввести пароль или использовать USB-накопитель, который разблокирует ПК, когда он вставлен.
BitLocker использует аппаратный модуль доверенной платформы (TPM). Микросхема TPM позволяет вашему устройству поддерживать расширенные функции безопасности. Например, когда шифрование осуществляется только на программном уровне, доступ может быть уязвим для атак по словарю. Поскольку TPM находится на аппаратном уровне, он может защитить от угадывания или автоматических атак по словарю. (Вы можете использовать BitLocker без чипа TPM, используя шифрование на основе программного обеспечения, но для дополнительной аутентификации потребуются дополнительные действия.)
Чтобы проверить, есть ли на вашем устройстве микросхема TPM:
- Нажмите клавишу Windows + X на клавиатуре и выберите Диспетчер устройств.
- Развернуть Устройства безопасности .
- Если у вас есть микросхема TPM, в одном из элементов должно быть написано Trusted Platform Module с номером версии.
BitLocker доступен на:
- Windows Vista и Windows 7: выпуски Enterprise и Ultimate
- Windows 8 и 8.1: выпуски Pro и Enterprise
- Windows 10: выпуски Pro, Enterprise и Education
- Windows Server 2008 и более поздние версии
Примечание. BitLocker недоступен для выпусков Windows Home.
Шифрованная файловая система (EFS)
EFS — это встроенный в Windows инструмент шифрования, используемый для шифрования файлов и папок на дисках NTFS. Любой человек или приложение, у которых нет ключа, не может открывать зашифрованные файлы и папки.
Вместо того, чтобы шифровать весь диск, EFS позволяет вручную шифровать отдельные файлы и каталоги. Он работает, делая зашифрованные файлы доступными только в том случае, если пользователь, зашифровавший файлы, вошел в систему. Windows создает ключ шифрования, который сам зашифрован и сохраняется локально. Процесс шифрования прост, но не очень безопасен (злоумышленник может, хотя и сложно, взломать ключ). Также рекомендуется использовать надежный пароль для входа, который другие пользователи вашего ПК не смогут угадать.
- Доступно только в выпусках Windows Professional, Enterprise и Education.
Некоторые эксперты советуют просто использовать BitLocker, так как он более безопасен. Однако это зависит от ваших личных обстоятельств. Для домашних пользователей EFS может быть достаточной защитой от любопытных членов семьи.
Давайте пошагово рассмотрим, как зашифровать файлы и папки в Windows 10, 8 или 7. Редакции Windows Home не поставляются с EFS или BitLocker. Вам придется обновить или использовать стороннее приложение для шифрования данных. Для других редакторов Windows основной процесс такой же; отличается только внешний вид интерфейса.
Примечание. Чтобы зашифровать файлы и папки, вам должно быть удобно ориентироваться в вашей ОС, например. знать, как получить доступ к панели управления.
Как зашифровать файлы и папки в Windows 10, 8 или 7
Чтобы зашифровать файл или папку:
Чтобы расшифровать файл или папку:
- Выполните первые шесть шагов, описанных выше, но снимите флажок Зашифровать содержимое для защиты данных на шаге 4.
БитЛокер
Вы можете разблокировать диск во время запуска, вставив флэш-накопитель USB или введя пароль. Процесс шифрования всего жесткого диска занимает много времени. В зависимости от объема данных, которые вы сохранили, это может занять много времени, поэтому убедитесь, что ваш компьютер подключен к источнику бесперебойного питания на это время. Вам потребуется перезагрузить компьютер, чтобы изменения вступили в силу, но вы можете работать, пока диск шифруется.
Чтобы настроить BitLocker:
- Перейдите в панель управления.
- Нажмите "Система и безопасность" .
- Нажмите Шифрование диска BitLocker.
- В разделе Шифрование диска BitLocker нажмите Включить BitLocker .
- Выберите «Ввести пароль» или «Вставить флэш-накопитель USB». Если вы решили использовать флэш-накопитель USB в качестве триггера для разблокировки накопителя, вы можете сделать это с помощью пароля или смарт-карты. В этом примере мы будем использовать пароль.
- Введите пароль и подтвердите его, а затем нажмите "Далее" .
- Выберите, как сохранить ключ восстановления, чтобы восстановить доступ к диску, если вы забудете пароль (например, к USB-накопителю или к своей учетной записи Microsoft), и нажмите «Далее».
- Выберите вариант шифрования: "Шифровать только занятое место на диске" (быстрее) или "Шифровать весь диск" (медленнее) и нажмите "Далее" .
- Выберите один из двух дополнительных вариантов шифрования: Новый режим шифрования (лучше всего подходит для жестких дисков) или Совместимый режим (лучше всего подходит для съемных устройств) и нажмите "Далее" .
- Выберите Запустить проверку системы BitLocker , которая гарантирует, что ключи восстановления и шифрования будут работать, и нажмите Продолжить .
- Наконец убедитесь, что BitLocker включен. Для этого перейдите в раздел «Мой компьютер» в проводнике Windows и проверьте, отображается ли рядом с диском значок блокировки. ол>р>
- Нажмите клавишу Windows + E, чтобы открыть проводник Windows.
- Нажмите "Этот компьютер" .
- Щелкните правой кнопкой мыши зашифрованный диск и выберите «Управление BitLocker».
- Для каждого зашифрованного диска или раздела вы можете приостановить BitLocker или полностью отключить его. Выберите нужный вариант и следуйте указаниям мастера.
- Просканируйте и исправьте все поврежденные файлы на вашем компьютере, а также убедитесь, что ваша учетная запись не была взломана.
- Windows 10: включите EFS с помощью реестра Windows или командной строки.
- Windows 8: включите EFS с помощью реестра Windows или перезапустив службу
- Все версии: включите службу EFS .
- Если у вас установлен флажок «Сжимать содержимое для экономии места на диске», параметр «Шифровать содержимое для сохранения данных» будет автоматически недоступен, поэтому вам нужно снять первый флажок.
- Дважды нажмите, чтобы изменить/просмотреть в любом приложении
- Автоматическое повторное шифрование после модификации
- Абсолютно не требуется (или невозможна) настройка пользователя перед использованием.
- Открытый исходный код под Стандартной общественной лицензией GNU
- Расширенный интерфейс командной строки для сценариев и программирования
- Возможность самораспаковывания для формата 7z.
- Интеграция с оболочкой Windows
- Мощный файловый менеджер
- Мощная версия командной строки
- Шифрует весь раздел или устройство хранения, например флешку или жесткий диск.
- Шифрует раздел или диск, на котором установлена Windows (предзагрузочная аутентификация)
- Шифрование выполняется автоматически, в режиме реального времени (на лету) и прозрачно.
- Обеспечивает правдоподобное отрицание в случае, если злоумышленник заставит вас раскрыть пароль: скрытый том (стеганография) и скрытая операционная система.
- Универсальная система управления ключами.
- Модули доступа ко всем типам каталогов открытых ключей
- Инструмент командной строки включает функции для простой интеграции с другими приложениями.
- Множество интерфейсных приложений и библиотек
- Обеспечивает поддержку S/MIME и Secure Shell (ssh)
- Налоговые счета
- Списки паролей. Храните пароли и булавки на отдельном устройстве или используйте менеджер паролей, например LastPass , DashLane или TrueKey (позволяет хранить только до 15 паролей)
- Банковская информация
- Личная информация (PII)
- Конфиденциальная информация о работодателе
- Интеллектуальная собственность
- macOS 10.13 или новее
- Windows версии 1607 или новее
- Windows 10 версии 1709 или более поздней версии Business, Корпоративная, Education, Windows 10 версии 1809 или более поздней версии Pro em> и Windows 11.
- Устройство должно иметь микросхему TPM.
- Тип профиля = Защита конечной точки
- Настройки > FileVault > FileVault = Включить
- Тип профиля = Защита конечной точки
- Настройки > Шифрование Windows > Шифровать устройства = Требовать
- Войдите в систему, используя учетную запись Microsoft с правами администратора на устройстве. Это действие удаляет ключ очистки, загружает ключ восстановления в учетную запись OneDrive пользователя и шифрует данные на системном диске. Обратите внимание, что этот процесс происходит автоматически и работает в любой версии Windows 10 или Windows 11.
- Войдите, используя учетную запись Active Directory в домене Windows или учетную запись Azure Active Directory. Для любой конфигурации требуется бизнес-выпуск Windows 10 или Windows 11 (Pro, Enterprise или Education), а ключ восстановления сохраняется в расположении, доступном администратору домена или AAD.
- Если вы входите в систему, используя локальную учетную запись на устройстве с бизнес-выпуском Windows 10 или Windows 11, вам необходимо использовать инструменты управления BitLocker, чтобы включить шифрование на доступных дисках.
Чтобы отключить или приостановить работу BitLocker:
Стороннее программное обеспечение для шифрования файлов и папок в Windows
См. ниже раздел о 5 бесплатных приложениях для шифрования для Windows, которые можно использовать с выпусками Home.
Устранение неполадок: параметр «Шифровать содержимое для защиты данных» недоступен [решено]
Самая распространенная проблема с некоторыми выпусками Windows заключается в том, что иногда при попытке шифрования EFS параметр Шифровать содержимое для защиты данных недоступен. Если вы используете версию ОС Windows Home, у вас есть единственные варианты: перейти на версию Pro или Enterprise или использовать стороннее программное обеспечение для шифрования файлов.
Вот несколько советов, которые вы можете попробовать решить в других версиях:
Примечание. Убедитесь, что вы создали резервную копию своих файлов и реестра, прежде чем пытаться исправить эти ошибки.
5 бесплатных приложений для шифрования для Windows, которые можно использовать с домашними версиями
Акскрипт
Изменяет расширение файла на суффикс .AXX, и файл можно открыть только с помощью AxCrypt, если вы предоставите пароль, используемый для его шифрования. Программное обеспечение очень интуитивно понятно в использовании и вызывается из собственного подменю в проводнике Windows.
Бесплатный файловый архиватор с высокой степенью сжатия и надежным шифрованием AES-256 в форматах 7z и ZIP.
Примечание. В Windows 7 и Windows Vista необходимо запускать 7-Zip File Manager в режиме администратора. Для этого щелкните правой кнопкой мыши значок 7-Zip File Manager и выберите «Запуск от имени администратора».
Веракрипт
Невозможно зашифровать отдельные файлы, но можно защитить разделы или целые диски. Veracrypt — это ответвление своего популярного предшественника TrueCrypt, который больше не поддерживается, но по-прежнему широко используется.
Защита конфиденциальности GNU
GnuPG — это полная и бесплатная реализация стандарта OpenPGP, позволяющая шифровать и подписывать данные.
Блокировщик папки
Если вы не хотите использовать стороннее программное обеспечение, существует интересная альтернатива от Laptop Mag — создать FolderLocker для защиты папок Windows 10 паролем. Сначала это довольно длительный процесс, но как только вы настроите FolderLocker, вы сможете легко перетаскивать в него файлы.Автор предупреждает: «…да, файл FolderLocker может быть переработан кем-то, кто понимает процесс, но это не предназначено для защиты от технически подкованных людей, а только от любопытных членов семьи, которым вы не доверяете». р>
Шифровать или не шифровать файлы и папки в Windows?
Если на вашем компьютере есть файлы и/или папки, содержащие конфиденциальную информацию, рекомендуется использовать шифрование, чтобы скрыть эту информацию от посторонних глаз. Шифрование также затруднит, если не сделает невозможным, доступ хакеров к этим данным, если они попадут в чужие руки.
Ни одно шифрование не может быть взломано на 100%, но попытка сделать это часто просто не стоит затраченных усилий или не по средствам преступников. Однако, если вы используете свой компьютер для работы или у других людей есть свои учетные записи на вашем компьютере, ваши данные уязвимы. Надлежащие методы обеспечения безопасности и шифрования могут помочь защитить его.
Шифровать файлы и папки в Windows, содержащие следующие данные:
Если вы не хотите, чтобы определенная информация появлялась в Интернете, или уничтожили бы ее, если бы это была печатная копия, скорее всего, эти файлы или папки следует зашифровать.
Внимание! ФБР и АНБ могут потребовать от американских компаний передать данные или ключи шифрования по решению суда. Если у вас есть зашифрованные файлы, которые могут содержать незаконные данные или предоставлять информацию, которая может помочь правоохранительным органам в расследовании преступления, закон может заставить вас расшифровать их самостоятельно.
Как сообщает ITGS news , «[в 2016 году] суд обязал Пейцар Бхчаджян из Лос-Анджелеса разблокировать ее устройство iPhone с помощью отпечатка пальца. Поскольку хранилище iPhone зашифровано, а устройство было заблокировано с помощью Apple Touch ID, это был единственный способ для полиции получить доступ к данным […] Защита Бхчаджяна заявила о защите 5-й поправки, но суд отменил это».
Отчет о шифровании Microsoft Intune представляет собой централизованное место для просмотра сведений о состоянии шифрования устройства и поиска параметров управления ключами восстановления устройства. Доступные параметры ключа восстановления зависят от типа просматриваемого устройства.
Чтобы найти отчет, войдите в центр администрирования Microsoft Endpoint Manager. Выберите Устройства > Монитор, а затем в разделе Конфигурация выберите Отчет о шифровании.
Просмотреть сведения о шифровании
В отчете о шифровании представлены общие сведения о поддерживаемых устройствах, которыми вы управляете. В следующих разделах приведены подробные сведения об информации, которую Intune представляет в отчете.
Предпосылки
Отчет о шифровании поддерживает создание отчетов на устройствах со следующими версиями операционной системы:
Подробности отчета
На панели отчета о шифровании отображается список устройств, которыми вы управляете, с подробной информацией об этих устройствах. Вы можете выбрать устройство из списка для детализации и просмотра дополнительных сведений на панели состояния шифрования устройства.
Имя устройства — имя устройства.
ОС – платформа устройства, например Windows или macOS.
Версия ОС — версия Windows или macOS на устройстве.
Версия TPM (применимо только к Windows 10/11) — версия микросхемы доверенного платформенного модуля (TPM), обнаруженная на устройстве Windows.
Дополнительную информацию о том, как мы запрашиваем версию TPM, см. в статье DeviceStatus CSP — Спецификация TPM.
Готовность к шифрованию – оценка готовности устройств к поддержке применимой технологии шифрования, например шифрования BitLocker или FileVault. Устройства идентифицируются как:
Готово: устройство можно зашифровать с помощью политики MDM, которая требует, чтобы устройство соответствовало следующим требованиям:
Для устройств macOS:
Для устройств Windows:
Для получения дополнительной информации о предварительных требованиях Windows для шифрования см. поставщика службы настройки BitLocker (CSP) в документации Windows.
Не готово: устройство не имеет всех возможностей шифрования, но может по-прежнему поддерживать шифрование.
Неприменимо: недостаточно информации для классификации этого устройства.
Статус шифрования — зашифрован ли диск ОС.
Имя участника-пользователя — основной пользователь устройства.
Статус шифрования устройства
При выборе устройства в отчете о шифровании Intune отображает панель состояния шифрования устройства. На этой панели представлены следующие сведения:
Имя устройства — имя устройства, которое вы просматриваете.
Готовность к шифрованию. Оценка готовности устройства поддерживать шифрование с помощью политики MDM на основе активированного TPM.
Если состояние готовности устройства Windows 10/11 равно Не готово, оно может по-прежнему поддерживать шифрование. Чтобы получить статус Ready, на устройстве Windows должен быть активирован чип TPM. Однако чипы TPM не обязаны поддерживать шифрование, так как устройство можно зашифровать вручную. или с помощью параметра MDM/групповой политики, в котором можно разрешить шифрование без TPM.
Статус шифрования — зашифрован ли диск ОС. Intune может потребоваться до 24 часов, чтобы сообщить о состоянии шифрования устройства или об изменении этого состояния. Это время включает в себя время, необходимое для шифрования ОС, а также время, необходимое устройству для отправки отчета в Intune.
Чтобы ускорить отправку отчетов о состоянии шифрования FileVault до того, как произойдет нормальная регистрация устройства, попросите пользователей синхронизировать свои устройства после завершения шифрования.
Для устройств Windows в этом поле не учитывается, зашифрованы ли другие диски, например стационарные. Статус шифрования поступает из CSP DeviceStatus — DeviceStatus/Compliance/EncryptionCompliance.
Профили — список профилей Конфигурация устройства, которые применяются к этому устройству и настроены со следующими значениями:
Вы можете использовать список профилей, чтобы определить отдельные политики для проверки, если Сводка состояния профиля указывает на проблемы.
Сводка состояния профиля — сводка профилей, применимых к этому устройству. В сводке представлены наименее благоприятные условия для применимых профилей. Например, если только один из нескольких применимых профилей приводит к ошибке, в Сводке состояния профиля будет отображаться Ошибка.
Чтобы просмотреть дополнительные сведения о состоянии, выберите Intune > Конфигурация устройства > Профили и выберите профиль. При необходимости выберите Состояние устройства, а затем выберите устройство.
Сведения о состоянии – расширенные сведения о состоянии шифрования устройства.
В этом поле отображается информация для каждой применимой ошибки, которую можно обнаружить. Вы можете использовать эту информацию, чтобы понять, почему устройство может быть не готово к шифрованию.
Ниже приведены примеры сведений о статусе, которые Intune может сообщать:
macOS:
Ключ восстановления еще не получен и не сохранен. Скорее всего, устройство не разблокировано или не прошло регистрацию.
Обратите внимание: этот результат не обязательно представляет собой состояние ошибки, а является временным состоянием, которое может быть вызвано синхронизацией на устройстве, когда необходимо настроить условное депонирование ключей восстановления до отправки запроса на шифрование на устройство. Этот статус также может указывать на то, что устройство остается заблокированным или в последнее время не регистрировалось в Intune. Наконец, поскольку шифрование FileVault не запускается до тех пор, пока устройство не будет подключено (зарядится), пользователь может получить ключ восстановления для еще не зашифрованного устройства.
Пользователь откладывает шифрование или в данный момент находится в процессе шифрования.
Обратите внимание: либо пользователь еще не вышел из системы после получения запроса на шифрование, что необходимо, прежде чем FileVault сможет зашифровать устройство, либо пользователь вручную расшифровал устройство. Intune не может помешать пользователю расшифровать свое устройство.
Устройство уже зашифровано. Чтобы продолжить, пользователь устройства должен расшифровать устройство.
Обратите внимание: Intune не может настроить FileVault на уже зашифрованном устройстве. Однако после того, как устройство получит политику для включения FileVault, пользователь может загрузить свой личный ключ восстановления, чтобы позволить Intune управлять шифрованием на этом устройстве. В качестве альтернативы, но не рекомендуется, поскольку следующие действия могут оставить устройство незашифрованным на какое-то время, пользователь может вручную расшифровать свое устройство, чтобы затем его можно было зашифровать с помощью политики Intune.
FileVault требует, чтобы пользователь утвердил свой профиль управления в macOS Catalina и более поздних версиях.
Обратите внимание: начиная с macOS версии 10.15 (Catalina), одобренные пользователем настройки регистрации могут привести к необходимости вручную подтверждать шифрование FileVault. Дополнительные сведения см. в разделе Утвержденная пользователем регистрация в документации Intune.
Обратите внимание. Одной из возможных причин неизвестного состояния является то, что устройство заблокировано, а Intune не может запустить процесс условного депонирования или шифрования. После того как устройство будет разблокировано, прогресс может быть продолжен.
Windows 10/11:
Для устройств Windows Intune показывает сведения о состоянии только для устройств, на которых установлено обновление Windows 10 за апрель 2019 г. или более поздней версии, или Windows 11. сведения о состоянии em> поступают из BitLocker CSP — Status/DeviceEncryptionStatus.
Политика BitLocker требует согласия пользователя на запуск мастера шифрования диска BitLocker для запуска шифрования тома ОС, но пользователь не дал согласия.
Метод шифрования тома ОС не соответствует политике BitLocker.
Политика BitLocker требует предохранителя TPM для защиты тома ОС, но TPM не используется.
Политика BitLocker требует предохранителя только TPM для тома ОС, но защита TPM не используется.
Политика BitLocker требует защиты TPM+PIN для тома ОС, но защита TPM+PIN не используется.
Политика BitLocker требует защиты TPM + ключ запуска для тома ОС, но предохранитель TPM + ключ запуска не используется.
Для политики BitLocker требуется защита TPM+PIN+ключ запуска для тома ОС, но защита TPM+PIN+ключ запуска не используется.
Том ОС не защищен.
Учтите: политика BitLocker для шифрования дисков ОС была применена к машине, но шифрование было приостановлено или не завершено для диска ОС.
Не удалось создать резервную копию ключа восстановления.
Обратите внимание: проверьте журнал событий на устройстве, чтобы узнать, почему не удалось создать резервную копию ключа восстановления. Возможно, вам придется запустить команду manage-bde, чтобы вручную передать ключи восстановления.
Неподвижный диск не защищен.
Учтите: политика BitLocker для шифрования несъемных дисков была применена к машине, но шифрование для несъемного диска было приостановлено или не завершено.
Метод шифрования фиксированного диска не соответствует политике BitLocker.
Для шифрования дисков политика BitLocker требует, чтобы пользователь либо вошел в систему как администратор, либо, если устройство присоединено к Azure AD, для политики AllowStandardUserEncryption должно быть задано значение 1.
Среда восстановления Windows (WinRE) не настроена.
Учтите: необходимо запустить командную строку для настройки WinRE в отдельном разделе; как то не обнаружено. Дополнительные сведения см. в разделе Параметры командной строки REAgentC.
Доверенный платформенный модуль недоступен для BitLocker либо потому, что он отсутствует, либо отключен в реестре, либо ОС находится на съемном диске.
Учтите: для политики BitLocker, применяемой к этому устройству, требуется доверенный платформенный модуль, но на этом устройстве поставщик служб шифрования BitLocker обнаружил, что доверенный платформенный модуль может быть отключен на уровне BIOS.
TPM не готов для BitLocker.
Обратите внимание: CSP BitLocker видит, что на этом устройстве есть доступный доверенный платформенный модуль, но, возможно, этот доверенный платформенный модуль необходимо инициализировать. Рассмотрите возможность запуска inialize-tpm на компьютере для инициализации TPM.
Сеть недоступна, что необходимо для резервного копирования ключа восстановления.
Экспорт сведений об отчете
Просматривая панель отчета о шифровании, вы можете выбрать Экспорт, чтобы создать загружаемый файл .csv с деталями отчета. Этот отчет включает общие сведения из области Отчет о шифровании и сведения Состояние шифрования устройства для каждого устройства, которым вы управляете.
Этот отчет может быть полезен для выявления проблем для групп устройств. Например, вы можете использовать отчет для определения списка устройств macOS, все из которых сообщают, что FileVault уже включен пользователем, что указывает на устройства, которые необходимо расшифровать вручную, прежде чем Intune сможет управлять их настройками FileVault.< /p>
Управление ключами восстановления
Подробнее об управлении ключами восстановления см. в документации Intune:
Это руководство предназначено для ИТ-специалистов, аналитиков по информационной безопасности и администраторов облачных служб, организации которых используют шифрование дисков Azure. Эта статья призвана помочь в устранении неполадок, связанных с шифрованием диска.
Прежде чем предпринимать какие-либо действия, описанные ниже, сначала убедитесь, что ВМ, которые вы пытаетесь зашифровать, относятся к поддерживаемым размерам ВМ и операционным системам, а также что выполнены все предварительные условия:
Устранение неполадок шифрования диска Azure за брандмауэром
Если подключение ограничено брандмауэром, требованием к прокси-серверу или настройками группы безопасности сети (NSG), способность расширения выполнять необходимые задачи может быть нарушена. Это нарушение может привести к появлению сообщений о состоянии, таких как «Состояние расширения недоступно на виртуальной машине». В ожидаемых сценариях шифрование не завершается. В следующих разделах описаны некоторые распространенные проблемы с брандмауэром, которые вы можете исследовать.
Группы безопасности сети
Любые применяемые параметры группы безопасности сети должны по-прежнему обеспечивать соответствие конечной точки задокументированным предварительным требованиям конфигурации сети для шифрования диска.
Azure Key Vault за брандмауэром
Если шифрование включено с учетными данными Azure AD, целевая виртуальная машина должна разрешать подключение как к конечным точкам Azure Active Directory, так и к конечным точкам Key Vault. Текущие конечные точки проверки подлинности Azure Active Directory поддерживаются в разделах 56 и 59 документации по URL-адресам и диапазонам IP-адресов Microsoft 365. Инструкции по Key Vault приведены в документации о том, как получить доступ к Azure Key Vault через брандмауэр.
Служба метаданных экземпляра Azure
Устранение неполадок Windows Server 2016 Server Core
В Windows Server 2016 Server Core компонент bdehdcfg недоступен по умолчанию. Этот компонент требуется для шифрования дисков Azure. Он используется для отделения системного тома от тома ОС, что делается только один раз за время существования виртуальной машины. Эти двоичные файлы не требуются для последующих операций шифрования.
Введите следующую команду:
Эта команда создает системный раздел размером 550 МБ. Перезагрузите систему.
Используйте DiskPart, чтобы проверить тома, а затем продолжите.
Устранение неполадок со статусом шифрования
Портал может отображать диск как зашифрованный даже после того, как он был расшифрован внутри виртуальной машины. Это может произойти, если команды низкого уровня используются для прямого дешифрования диска из виртуальной машины вместо использования команд управления Azure Disk Encryption более высокого уровня. Команды более высокого уровня не только расшифровывают диск внутри виртуальной машины, но и за пределами виртуальной машины они также обновляют важные параметры шифрования на уровне платформы и параметры расширения, связанные с виртуальной машиной. Если они не выровнены, платформа не сможет сообщать о состоянии шифрования или правильно подготовить виртуальную машину.
Чтобы отключить шифрование дисков Azure с помощью PowerShell, используйте Disable-AzVMDiskEncryption, а затем Remove-AzVMDiskEncryptionExtension. Запуск команды Remove-AzVMDiskEncryptionExtension до отключения шифрования завершится ошибкой.
Чтобы отключить шифрование дисков Azure с помощью интерфейса командной строки, используйте az vm шифрование отключить.
Дальнейшие шаги
Из этого документа вы узнали больше о некоторых распространенных проблемах с шифрованием дисков Azure и о том, как их устранять. Дополнительные сведения об этой службе и ее возможностях см. в следующих статьях:
Шифрование каждого бита данных на ПК с ОС Windows является важной мерой безопасности. Windows 10 и Windows 11 включают одни и те же надежные параметры шифрования, а бизнес-версии имеют лучший набор инструментов управления. Вот практическое руководство.
Эд Ботт – отмеченный наградами писатель, специализирующийся на технологиях, с более чем двадцатилетним опытом работы в основных СМИ и онлайн-изданиях.
Практическое руководство
Если бы ваш компьютер был утерян или украден, вы, вероятно, съежились бы от стоимости его замены. Но это ничто по сравнению с тем, что вы бы потеряли, если бы кто-то имел неограниченный доступ к данным на этом устройстве. Даже если они не могут войти в систему с помощью вашей учетной записи пользователя Windows, вор может загрузиться со съемного устройства и безнаказанно просмотреть содержимое системного диска.
Самый эффективный способ остановить этот кошмарный сценарий — зашифровать все устройство, чтобы его содержимое было доступно только вам или тому, у кого есть ключ восстановления.
Часто задаваемые вопросы по Windows 11
Что нового в Windows 11? Каковы его минимальные аппаратные требования? Когда ваш компьютер получит право на обновление? У нас есть ответы на ваши вопросы.
На современных устройствах код шифрования также выполняет проверки целостности системы перед загрузкой, которые обнаруживают попытки обойти загрузчик.
BitLocker — это торговая марка, которую Microsoft использует для инструментов шифрования, доступных в бизнес-версиях Windows (настольных и серверных). Ограниченный, но все же эффективный набор функций шифрования устройств BitLocker также доступен в выпусках Windows 10 и Windows 11 Home. Вот как убедиться, что ваши данные защищены.
Каковы аппаратные требования для BitLocker?
Самая важная аппаратная функция, необходимая для поддержки шифрования устройств BitLocker, — это микросхема Trusted Platform Module или TPM. Устройство также должно поддерживать функцию Modern Standby (ранее известную как InstantGo).
Практически все устройства, изначально предназначенные для Windows 10, соответствуют этим требованиям. Все без исключения устройства, совместимые с Windows 11, соответствуют этим требованиям.
Как работает BitLocker в Windows 10 и Windows 11?
На всех устройствах, соответствующих аппаратным требованиям BitLocker (подробности см. в предыдущем разделе), шифрование устройства включается автоматически.Программа установки Windows автоматически создает необходимые разделы и инициализирует шифрование на диске операционной системы с помощью открытого ключа. Для завершения процесса шифрования необходимо выполнить одно из следующих действий:
На твердотельных накопителях с самошифрованием, поддерживающих аппаратное шифрование, Windows возлагает работу по шифрованию и расшифровке данных на аппаратное обеспечение. Обратите внимание, что уязвимость в этой функции, впервые обнаруженная в ноябре 2018 года, может привести к раскрытию данных при определенных обстоятельствах. В этих случаях вам потребуется обновление прошивки для SSD; на старых дисках, где это обновление недоступно, вы можете переключиться на программное шифрование, следуя инструкциям в этом совете по безопасности Майкрософт: руководство по настройке BitLocker для принудительного программного шифрования.
Обратите внимание, что Windows 10 и Windows 11 по-прежнему поддерживают гораздо более старую функцию зашифрованной файловой системы. Это система шифрования на основе файлов и папок, представленная в Windows 2000. BitLocker — лучший выбор практически для любого современного оборудования.
ZDNet рекомендует
Каждому нужен менеджер паролей. Если вы готовы платить ежемесячно или ежегодно, эти варианты того стоят.
Как управлять шифрованием BitLocker?
По большей части BitLocker — это функция, которую можно установить и забыть. После того, как вы включите шифрование для диска, он не требует никакого обслуживания. Однако вы можете использовать инструменты, встроенные в операционную систему, для выполнения различных задач управления.
Простейшие инструменты доступны в графическом интерфейсе Windows, но только если вы используете версии Pro или Enterprise. Откройте проводник, щелкните правой кнопкой мыши значок любого диска и выберите «Управление BitLocker». Это приведет вас на страницу, где вы можете включить или выключить BitLocker; если BitLocker уже включен для системного диска, вы можете временно приостановить шифрование или создать резервную копию ключа восстановления отсюда. Вы также можете управлять шифрованием на съемных дисках и на дополнительных внутренних дисках. В системе под управлением Windows Home edition вы найдете кнопку включения-выключения в настройках. В Windows 10 найдите «Обновление и восстановление» > «Шифрование устройства». В Windows 11 этот параметр находится в разделе «Конфиденциальность и безопасность» > «Шифрование устройства». Появится предупреждающее сообщение, если шифрование устройства не было включено при входе в учетную запись Microsoft.
Чтобы получить гораздо больший набор инструментов, откройте командную строку и используйте один из двух встроенных инструментов администрирования BitLocker, manage-bde или repair-bde, с одним из доступных переключателей. Самый простой и полезный из них — manage-bde -status, который отображает состояние шифрования всех доступных дисков. Обратите внимание, что эта команда работает во всех выпусках, включая Windows 10 и Windows 11 Домашняя.
Чтобы получить полный список переключателей, введите manage-bde -? или ремонт-bde -?
Наконец, Windows PowerShell включает полный набор командлетов BitLocker. Используйте Get-BitLockerVolume, например, чтобы просмотреть состояние всех фиксированных и съемных дисков в текущей системе. Полный список доступных командлетов BitLocker см. на странице документации PowerShell BitLocker.
Как сохранить и использовать ключ восстановления BitLocker?
В обычных условиях накопитель разблокируется автоматически при входе в Windows с использованием учетной записи, авторизованной для этого устройства. Если вы попытаетесь получить доступ к системе любым другим способом, например, загрузившись с установочного диска Windows 10 или Windows 11 или загрузочного USB-накопителя на базе Linux, вам будет предложено ввести ключ восстановления для доступа к текущему диску. Вы также можете увидеть запрос на ввод ключа восстановления, если обновление микропрограммы изменило систему таким образом, что TPM не распознает ее.
Как системный администратор в организации, вы можете использовать ключ восстановления (вручную или с помощью программного обеспечения для управления) для доступа к данным на любом устройстве, принадлежащем вашей организации, даже если пользователь больше не является частью организация.
Найдите имя устройства в разделе «Устройства и действия» и нажмите «Получить ключи BitLocker», чтобы просмотреть ключ восстановления для этого устройства. Обратите внимание, что ваша организация должна разрешить эту функцию, чтобы информация была вам доступна.
Наконец, в бизнес-выпусках Windows 10 или Windows 11 вы можете распечатать или сохранить копию ключа восстановления и сохранить файл или распечатку (или и то, и другое) в надежном месте. Используйте инструменты управления, доступные в проводнике, для доступа к этим параметрам. Используйте этот вариант, если вы включили шифрование устройства с помощью учетной записи Майкрософт и не хотите, чтобы ключ восстановления был доступен в OneDrive.
Можно ли использовать BitLocker для шифрования съемных дисков?
Съемные устройства хранения данных также нуждаются в шифровании. Сюда входят USB-накопители, а также карты MicroSD, которые можно использовать на некоторых ПК. Вот где работает BitLocker To Go.
Чтобы включить шифрование BitLocker для съемного диска, у вас должна быть установлена бизнес-версия Windows 10 или Windows 11. Вы можете разблокировать это устройство на устройстве с любой версией.
В рамках процесса шифрования вам необходимо установить пароль, который будет использоваться для разблокировки диска. Вам также необходимо сохранить ключ восстановления для диска. (Он не сохраняется автоматически в облачной учетной записи.)
Наконец, вам нужно выбрать режим шифрования. Используйте параметр «Новый режим шифрования» (XTS-AES), если вы планируете использовать устройство исключительно в Windows 10 или Windows 11. Выберите «Совместимый режим» для диска, который вы, возможно, захотите открыть на устройстве с более ранней версией Windows.
В следующий раз, когда вы вставите это устройство в ПК с Windows, вам будет предложено ввести пароль. Нажмите «Дополнительные параметры» и установите флажок, чтобы автоматически разблокировать устройство, если вам нужен легкий доступ к его данным на доверенном устройстве, которым вы управляете.
Этот параметр особенно удобен, если вы используете карту MicroSD для увеличения объема памяти на таком устройстве, как Surface Pro. После того, как вы войдете в систему, все ваши данные сразу же станут доступны. Если вы потеряете съемный накопитель или он будет украден, его данные будут недоступны для вора.
Для защиты данных на вашем ноутбуке рекомендуется зашифровать информацию, чтобы защитить ее от несанкционированного доступа. Чтобы определить, включено ли шифрование вашего диска, выполните следующие действия.
Ноутбуки с Windows
Шифрование устройства доступно во всех выпусках Windows 10, но шифрование BitLocker доступно только в версиях Windows 10 Pro, Enterprise или Education. Windows 10 Домашняя не поддерживает BitLocker, но вы все равно можете использовать шифрование устройства, если ваше устройство (ноутбук) соответствует требованиям к оборудованию.
Проверьте версию вашей операционной системы Windows
Нажмите на меню "Пуск" в левом нижнем углу экрана:
В поле "Введите здесь для поиска" введите "информация о системе" и нажмите на вкладку "Информация о системе", чтобы отобразить версию Windows, используемую на вашем устройстве:
Проверьте, зашифровано ли ваше устройство (версия Windows 10 Домашняя)
Нажмите на меню "Пуск" в левом нижнем углу экрана:
Нажмите на значок шестеренки настроек:
Нажмите «Обновление и безопасность»:
В левом столбце нажмите Шифрование устройства:
Если вы видите сообщение Шифрование устройства включено с параметром Выключить, ваш жесткий диск зашифрован:
Если шифрование НЕ включено, нажмите Включить, чтобы зашифровать устройство, и следуйте инструкциям.
Проверьте, зашифровано ли ваше устройство (Windows 10 Pro/Enterprise/Education edition)
В проводнике Windows в левом столбце нажмите Этот компьютер, и справа вы увидите значок замка на зашифрованных дисках.
Выделите и щелкните правой кнопкой мыши диск, на котором вы хотите проверить «Параметры BitLocker». Если вы видите сообщение Шифрование включено, ваш жесткий диск зашифрован:
Если на вашем диске нет значка замка, он НЕ зашифрован. Щелкните диск правой кнопкой мыши, выберите «Включить BitLocker» и следуйте инструкциям на экране.
ноутбуки с macOS
FileVault 2 доступен в macOS Lion или более поздней версии.
Проверьте версию вашей операционной системы macOS
Нажмите значок Apple в левом верхнем углу экрана:
Нажмите «Об этом Mac», чтобы отобразить информацию о версии macOS:
Проверьте, зашифрован ли ваш диск macOS
Нажмите «Системные настройки», а затем значок «Безопасность и конфиденциальность»:
Если вы видите сообщение FileVault включено для диска "Macintosh HD" с опцией "Выключить FileVault", это означает, что ваш диск ЗАШИФРОВАН:
Если вы видите сообщение "Filevault выключен", это означает, что ваш диск НЕ зашифрован. Нажмите «Включить FileVault», чтобы зашифровать диск, и следуйте инструкциям на экране.
Читайте также: