Настройка шифрования BitLocker в системах, не поддерживающих TPM
Функция Microsoft BitLocker позволяет зашифровать весь том целиком, чтобы предотвратить кражу данных с утерянных или украденных ноутбуков и компьютеров. Эта технология доступна в версиях Enterprise и Ultimate Windows Vista и Windows 7, но требует наличия микросхемы с активированной поддержкой Trusted Platform Module (TPM) для нормального функционирования.
Что же делать, если существующее оборудование не поддерживает TPM? Мне пришлось столкнуться с этой проблемой, когда я решил воспользоваться функцией BitLocker в Windows 7. При попытке включить шифрование система выдала сообщение об ошибке с предупреждением о том, что Trusted Platform Module отсутствует или не активирован в настройках BIOS. Когда я попытался активировать TPM, оказалось, что в моей системе он не поддерживается.
То, что производитель моего профессионального компьютера не оснастил его микросхемой с поддержкой TPM, меня весьма озадачило, и я решил выяснить, возможно ли как-то обойти эти ограничения. Оказалось, что BitLocker действительно можно включить даже на компьютере, не поддерживающем TPM.
Настройка локальной политики для компьютеров, не поддерживающих TPM
Все, что нужно для решения проблемы — пара изменений в параметрах локальной политики, флеш-накопитель и несколько часов собственно на шифрование накопителя.
Локальная политика, как и групповая политика в Active Directory, позволяет изменять системные настройки и параметры отдельных учетных записей на локальном компьютере. Чтобы запустить Редактор локальной групповой политики (Local Group Policy Editor) (рис. A), введите в строке поиска меню «Пуск» (Start) ключевую фразу групповая политика» (Group Policy) и нажмите [Enter].
Рисунок A. Настройки локальной политики в Windows 7. Нажмите на изображении для увеличения.
Выделите элемент «Диски операционной системы» и дважды щелкните на политике «Требовать дополнительной аутентификации при запуске» (Require Additional Authentication at Startup). На рис. B показано диалоговое окно свойств данной политики.
Рисунок B. Свойства политики «Требовать дополнительной аутентификации при запуске». Нажмите на изображении для увеличения.
В окне свойств выберите опцию «Включен» (Enabled), чтобы активировать данную политику, и поставьте флажок «Разрешать BitLocker без совместимого TPM» (Allow BitLocker without a Compatible TPM) в разделе «Параметры» (Options). При таких настройках для хранения ключа BitLocker потребуется флеш-накопитель.
После включения данной опции станут доступны несколько выпадающих меню, связанных с модулями TPM, но их можно проигнорировать.
Разрешив аутентификацию без совместимого TPM, нажмите «OK», чтобы применить изменения.
Совет: В окне свойств политики в Windows 7 и Windows Server 2008 предусмотрено поле для комментариев. Советую записать в нем дату и свое имя пользователя на тот случай, если в дальнейшем возникнет необходимость отследить проделанные изменения.
Настройка BitLocker
После внесения описанных изменений в локальную политику остается выполнить ряд простых операций для включения BitLocker на компьютере без поддержки TPM.
1. Запустите диспетчер настроек шифрования BitLocker. Для этого введите ключевое слово «BitLocker» в строке поиска меню «Пуск» или воспользуйтесь ссылкой в разделе Панели управления «Система и безопасность» (Control Panel | System and Security). 2. В окне диспетчера будут перечислены все доступные диски. 3. Нажмите ссылку «Включить BitLocker» (Turn On Bit Locker).
Вам будет предложено настроить параметры BitLocker в зависимости от тех опций, что были выбраны при настройке политики. В частности, необходимо будет предоставить флеш-накопитель для записи ключа аутентификации BitLocker (рис. C). Подключите к компьютеру диск и нажмите «Далее» (Next), чтобы записать на него ключ.
Рисунок C. Сохранение ключа аутентификации на флеш-накопитель.
После того, как ключ аутентификации будет записан на USB-диск, мастер предложит создать ключ восстановления на тот случай, если ключ аутентификации потеряется.
Совет: Не стоит сохранять ключ восстановления на сам зашифрованный диск, поскольку если ключ аутентификации потеряется, вы просто не сможете им воспользоваться.
После сохранения ключей Bit Locker предложит приступить к шифрованию системного диска. При этом компьютером можно будет пользоваться в обычном режиме, но само шифрование может оказаться довольно продолжительным, в зависимости от объемов диска. Например, жесткий диск моего ноутбука емкостью 285 Гбайт шифровался на протяжении примерно восьми часов.
По завершении шифрования компьютер придется перезагрузить, чтобы можно было пользоваться зашифрованным диском. После перезагрузки для входа в систему понадобится ключ аутентификации. В системах с поддержкой TPM принцип действия тот же, только там не требуется подключать к компьютеру флеш-накопитель с кодом аутентификации.
На мой взгляд, этот механизм особенно полезен в случае с портативными компьютерами, которые больше всего рискуют быть украденными или потерянными. Шифрование BitLocker и BitLocker To Go в сочетании с надежно защищенным ключом и регулярной архивацией позволяет гарантировать безопасность важных данных.
