Гид по технологиям

Как зашифровать жёсткий диск в Windows 11

7 min read Безопасность Обновлено 06 Jan 2026
Как зашифровать диск в Windows 11 — BitLocker и Device Encryption
Как зашифровать диск в Windows 11 — BitLocker и Device Encryption

Крупный план жёсткого диска компьютера

Введение

По мере развития технологий растут и риски безопасности. Простого антивируса недостаточно: важно защищать файлы и весь диск. Microsoft предоставляет два основных встроенных механизма шифрования для Windows 11. Оба работают на основе криптографии и препятствуют несанкционированному доступу к данным, даже если злоумышленник получит физический доступ к накопителю.

Основные варианты

  • Device Encryption — автоматизированное шифрование для устройств, которые поддерживают Modern Standby. Быстро включается в настройках, но доступно не на всех машинах.
  • BitLocker — полнофункциональное шифрование разделов и системного диска с гибкими опциями разблокировки и восстановления. Обычно требует TPM 2.0 или настроек через Group Policy для работы без TPM.

Ключевые термины

  • TPM 2.0 — модуль доверенной платформы, аппаратный чип для безопасного хранения ключей.
  • Recovery key — ключ восстановления BitLocker, который нужен для доступа к данным при утере пароля.

Как включить Device Encryption

Важно: Device Encryption доступно только на некоторых моделях Windows 11. Эта функция рассчитана на современные ноутбуки и планшеты с поддержкой Modern Standby.

Проверка совместимости

  1. Откройте Поиск Windows, нажав клавиши Win + S.
  2. Введите system information и запустите программу от имени администратора.
  3. Внизу раздела System Summary найдите строку Device Encryption Support. Если указано Meets prerequisites, функция доступна.

Если вы не видите этой строки или она сообщает о несоответствии, используйте BitLocker.

Шаги для включения Device Encryption

  1. Откройте Параметры, нажав Win + I или через Пуск.
  2. В левой колонке выберите Конфиденциальность и безопасность.
  3. Нажмите Device Encryption. Если раздел отсутствует, функция недоступна на устройстве.
  4. Переключите тумблер Device encryption в положение Вкл.
  5. Подождите несколько секунд — процесс шифрования запустится автоматически.
  6. Закройте Параметры после завершения.

Важно: при включении будет создан ключ восстановления, связанный с вашей учётной записью Microsoft или сохранённый локально. Сохраните этот ключ в надёжном месте.

Как отключить Device Encryption

  1. Откройте Параметры через Пуск или Win + I.
  2. Перейдите в Конфиденциальность и безопасность > Device Encryption.
  3. Выключите тумблер Device encryption.
  4. Подтвердите действие в появившемся окне, нажав Turn off или эквивалент на русском.
  5. Дождитесь завершения расшифровки, это может занять время.

Как включить BitLocker

BitLocker более универсален и предоставляет выбор способов разблокировки: пароль, USB-ключ, TPM или их комбинации. Рекомендуется использовать пароль и сохранить ключ восстановления в нескольких безопасных местах.

  1. Откройте Поиск Windows, нажав Win + S.
  2. Введите BitLocker и нажмите Enter, чтобы открыть окно BitLocker Drive Encryption.

Результат поиска BitLocker в Windows

  1. Выберите диск, который хотите зашифровать.
  2. Нажмите Turn on BitLocker.

Кнопка включения BitLocker в окне управления дисками

  1. Выберите способ разблокировки при запуске. Чаще всего удобнее установить пароль, но вы также можете использовать USB-ключ.

Параметры способа разблокировки BitLocker

  1. Введите и подтвердите пароль и нажмите Next.

Ввод пароля для BitLocker

  1. Выберите способ сохранения ключа восстановления: сохранить в учетной записи Microsoft, на USB-накопителе или распечатать и хранить офлайн. Сохранение в нескольких местах повышает устойчивость к потере доступа.

Резервное копирование ключа восстановления BitLocker

  1. Выберите, шифровать только использованные области или весь диск. Первый вариант быстрее для новых установок, второй безопаснее для ранее используемых дисков.

Выбор объёма шифрования

  1. Выберите режим шифрования: режим для фиксированных дисков или для переносимых носителей в зависимости от сценария.

Режим шифрования BitLocker

  1. Отметьте Run BitLocker system check и нажмите Continue.

Проверка системы перед запуском шифрования

  1. После завершения настройки система предложит перезагрузить компьютер. Выберите Restart now или Restart later.

Окно с предложением перезагрузить компьютер

Как отключить BitLocker

  1. Откройте Поиск Windows и найдите BitLocker.
  2. Выберите диск и нажмите Turn off BitLocker.

Кнопка отключения BitLocker

  1. Подтвердите действие и дождитесь завершения расшифровки.

Подтверждение отключения BitLocker

Как включить BitLocker без TPM через Редактор локальной групповой политики

Если на компьютере нет TPM 2.0, BitLocker может быть по умолчанию недоступен. Его можно разрешить с помощью групповой политики.

  1. Нажмите Win + R, введите gpedit.msc и нажмите Enter.
  2. Перейдите в раздел Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives.
  3. Дважды щёлкните Require additional authentication at startup.

Параметр требовать дополнительную аутентификацию при запуске

  1. Установите Enabled, затем отметьте Allow BitLocker without compatible TPM и примените изменения.

Включённая опция разрешить BitLocker без совместимого TPM

  1. После этого вернитесь в окно управления BitLocker и выполните настройку шифрования, как описано выше.

Когда шифрование может не сработать

  • Устройство не поддерживает Modern Standby — Device Encryption будет недоступен.
  • Отсутствует TPM и не настроены групповые политики — BitLocker может предложить ограничения.
  • Неправильное управление ключами или потеря recovery key приведёт к невозможности доступа к данным.
  • Некоторые старые загрузчики или кастомные конфигурации multiboot могут конфликтовать с BitLocker.

Советы по предотвращению проблем

  • Сохраните ключ восстановления в двух местах: в учётной записи Microsoft и на внешнем носителе.
  • Перед шифрованием сделайте резервную копию важных данных.
  • Проверьте совместимость оборудования и настройки BIOS/UEFI: Secure Boot и режим загрузки UEFI повышают совместимость с BitLocker.

Альтернативные подходы

  • VeraCrypt — бесплатное стороннее решение для полного шифрования диска и контейнеров.
  • EFS (Encrypting File System) — шифрование на уровне файлов и папок, подходит для отдельных файлов, но не защищает метаданные диска.
  • Аппаратное шифрование диска — встречается в некоторых SSD, но важно учитывать известные уязвимости аппаратного шифрования и рекомендации производителя.

Практические эвристики и mental models

  • Думайте о шифровании как о замке на чемодане: замок защищает содержимое при потере или краже, но если вы потеряли ключ, чемодан остаётся закрыт навсегда.
  • Разделяйте секреты: основной пароль, резервный ключ и место хранения не должны храниться вместе.
  • Минимизация поверхности атаки: шифруйте системный диск и все съёмные носители, где хранятся конфиденциальные данные.

Быстрый набор действий для разных ролей

Пользователь

  • Проверить Device Encryption Support в System Information.
  • Включить Device Encryption или BitLocker в Параметрах.
  • Сохранить recovery key на USB и в учётной записи Microsoft.
  • Сделать резервную копию важных файлов.

IT администратор

  • Задать политику хранения ключей и управление через Active Directory или Microsoft Endpoint Manager.
  • Решить стратегию: TPM обязательный, разрешить BitLocker без TPM или нет.
  • Настроить аудит и мониторинг состояния шифрования на компьютерах организации.

Playbook для внедрения BitLocker в организации

  1. Оценка совместимости: собрать список устройств и проверить поддерживают ли они TPM 2.0 и Modern Standby.
  2. Политики: определить правила для хранения recovery key (Azure AD, AD DS, или локальные), требования к паролям и формату ключей.
  3. Подготовка: включить Secure Boot и UEFI на целевых устройствах, обновить драйверы и BIOS.
  4. Тестирование: развернуть на пилотной группе, проверить восстановление по ключу.
  5. Широкий rollout: автоматизировать включение BitLocker через скрипты, MDM или Group Policy.
  6. Поддержка: документировать процедуры восстановления, обучить службу поддержки.

Критерии приёмки

  • На 100% целевых компьютеров включено шифрование системного диска.
  • Все ключи восстановления сохранены в утверждённых местах.
  • Проведены тесты восстановления доступа с использованием recovery key.
  • Отчёты о состоянии шифрования доступны в панели управления администратора.

Факто-бокс: что важно знать

  • Device Encryption удобнее, но требует Modern Standby.
  • BitLocker даёт гибкие варианты разблокировки и восстановления.
  • BitLocker использует алгоритмы семейства AES в режиме XTS; конкретный размер ключа может зависеть от политики.
  • Потеря ключа восстановления без резервной копии означает потерю доступа к данным.

Примеры отказа и обходные пути

  • Если BitLocker блокирует загрузку после замены материнской платы, используйте сохранённый recovery key.
  • При мультизагрузке с Linux возможны проблемы с шифрованием загрузочного раздела; рассмотрите отдельный unencrypted загрузчик и зашифрованные разделы для Windows.

Меры безопасности и конфиденциальность

  • Храните recovery key отдельно от устройства и учётных данных пользователя.
  • При корпоративной политике используйте централизованное хранение ключей и аудит.
  • Шифрование само по себе не защищает от фишинга и вредоносного ПО, поэтому комбинируйте меры безопасности.

Решение при типичных инцидентах

  • Пользователь забыл пароль и имеет recovery key: восстановление через сохранённый ключ.
  • Пользователь потерял ключ и нет резервной копии: доступ закрыт, восстановление невозможно без резервной копии данных.
  • BitLocker требует пароль после аппаратных изменений: предоставить recovery key и пересоздать ключи после обновления оборудования.

Decision tree для выбора метода шифрования

flowchart TD
  A[Нужно шифровать диск в Windows 11?] --> B{Устройство поддерживает Modern Standby}
  B -->|Да| C[Использовать Device Encryption — быстро и просто]
  B -->|Нет| D{Есть ли TPM 2.0}
  D -->|Да| E[Использовать BitLocker с TPM]
  D -->|Нет| F{Можно ли изменить Group Policy}
  F -->|Да| G[Включить BitLocker без TPM через Group Policy]
  F -->|Нет| H[Использовать стороннее FDE решение или обновить оборудование]

Короткая памятка перед шифрованием

  • Сохраните recovery key в надёжном месте.
  • Сделайте резервную копию важных данных.
  • Проверьте совместимость устройства и режим загрузки UEFI.
  • Планируйте время для шифрования и расшифровки, особенно для больших дисков.

Итог

Шифрование жёсткого диска — один из самых эффективных способов защитить данные при краже или утере устройства. Device Encryption обеспечивает простой путь для современных устройств, а BitLocker даёт гибкость и управляемость для корпоративных и домашних пользователей. Внимательно отнеситесь к хранению ключей восстановления и резервных копий, чтобы избежать потери доступа к своим данным.

Важно: всегда храните recovery key отдельно от устройства и регулярно проверяйте работоспособность процедуры восстановления.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

RDP: полный гид по настройке и безопасности
Инфраструктура

RDP: полный гид по настройке и безопасности

Android как клавиатура и трекпад для Windows
Гайды

Android как клавиатура и трекпад для Windows

Советы и приёмы для работы с PDF
Документы

Советы и приёмы для работы с PDF

Calibration в Lightroom Classic: как и когда использовать
Фото

Calibration в Lightroom Classic: как и когда использовать

Отключить Siri Suggestions на iPhone
iOS

Отключить Siri Suggestions на iPhone

Рисование таблиц в Microsoft Word — руководство
Office

Рисование таблиц в Microsoft Word — руководство