По умолчанию BitLocker требует модуль TPM 2.0 для хранения ключей шифрования. Но что делать, если компьютер не имеет TPM? Windows дает возможность обойти это требование через групповую политику, используя USB-ключ или пароль вместо TPM. Подробнее о шифровании BitLocker читайте в основной статье.
Главное:
- BitLocker можно включить без TPM через групповую политику Windows
- Вместо TPM используется USB-накопитель с ключом запуска или пароль при загрузке
- Метод доступен в Windows 10/11 Pro и Enterprise
- Без TPM безопасность ниже: ключ на флешке можно потерять
Включение BitLocker без TPM через групповую политику
По умолчанию BitLocker отказывается шифровать диск без TPM. Исправим это через групповую политику.
Шаг 1: откройте редактор групповых политик: Win+R > gpedit.msc.
Шаг 2: перейдите:
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системыШаг 3: откройте политику «Этот параметр политики помогает настроить требование дополнительной проверки подлинности при запуске».
Шаг 4: установите «Включено» и отметьте «Разрешить BitLocker без совместимого TPM (требуется пароль или ключ запуска на USB-устройстве флэш-памяти)».
Шаг 5: нажмите OK и закройте gpedit.msc.
Через реестр (если gpedit.msc недоступен):
reg add "HKLMSOFTWAREPoliciesMicrosoftFVE" /v EnableBDEWithNoTPM /t REG_DWORD /d 1 /f
reg add "HKLMSOFTWAREPoliciesMicrosoftFVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /fТеперь BitLocker позволит включить шифрование без TPM.
Шифрование системного диска с USB-ключом
После настройки политики включите BitLocker:
- Откройте Панель управления > Система и безопасность > Шифрование диска BitLocker
- Нажмите «Включить BitLocker» для диска C:
- Выберите способ разблокировки при запуске:
- USB-ключ запуска — при каждой загрузке нужна флешка с ключом
- Пароль — при каждой загрузке вводится пароль (Windows 10/11)
При выборе USB-ключа:
- Вставьте USB-накопитель
- Windows запишет на него файл ключа запуска
- При каждой загрузке этот USB должен быть подключен
- Без USB компьютер не загрузится
Сохраните ключ восстановления:
- В учетную запись Microsoft
- На другой USB-накопитель
- В файл (сохраните на другом компьютере)
- Распечатайте на бумаге
Ключ восстановления (48-значный код) — единственный способ доступа к этим при потере USB-ключа или забытом пароле. Храните его в безопасном месте. Лицензионная Windows Pro из нашего каталоге Windows включает полную поддержку BitLocker.
Шифрование с паролем при загрузке
Пароль при загрузке удобнее USB-ключа: не нужно носить флешку, но требуется запомнить пароль.
Включение через командную строку (если GUI не предлагает пароль):
manage-bde -on C: -passwordСистема запросит пароль. Требования: минимум 8 символов, рекомендуется 12+.
Через PowerShell (подробнее о основах PowerShell):
$SecureString = ConvertTo-SecureString "YourP@ssw0rd!" -AsPlainText -Force
Enable-BitLocker -MountPoint "C:" -PasswordProtector -Password $SecureStringДобавление ключа восстановления:
Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtectorКоманда выведет 48-значный ключ восстановления. Запишите его.
При каждой загрузке Windows будет показывать экран ввода пароля BitLocker перед загрузкой ОС. Это происходит до загрузки Windows, поэтому интерфейс отличается от обычного экрана входа.
Важно: если забудете пароль и потеряете ключ восстановления, эти будут потеряны навсегда. BitLocker использует AES-256, который невозможно взломать.
Шифрование съемных дисков (BitLocker To Go)
BitLocker To Go шифрует USB-флешки и внешние диски. TPM не требуется, так как съемные диски всегда разблокируются паролем.
Включение:
- Подключите USB-накопитель
- Правый клик по диску в Проводнике > «Включить BitLocker»
- Выберите способ разблокировки: пароль или смарт-карта
- Сохраните ключ восстановления
- Выберите: шифровать только занятое место (быстро) или весь диск (надежнее)
- Режим шифрования: новый (XTS-AES, только для Windows 10+) или совместимый (AES-CBC, для Windows 7+)
Через командную строку:
manage-bde -on E: -passwordАвтоматическая разблокировка на текущем ПК (без ввода пароля):
manage-bde -autounlock -enable E:Это привязывает ключ разблокировки к текущему компьютеру. На других ПК по-прежнему потребуется пароль.
Для несъемных дисков (D:, E:) тоже можно использовать пароль без TPM. Подробнее о полном шифровании читайте в статье о шифровании BitLocker.
Управление и мониторинг BitLocker
Проверка статуса BitLocker:
manage-bde -statusПоказывает: метод шифрования, статус защиты, статус блокировки и протекторы ключей для каждого диска.
Через PowerShell:
Get-BitLockerVolume | Select MountPoint, EncryptionPercentage, VolumeStatus, ProtectionStatusПриостановка BitLocker (для обновления BIOS):
manage-bde -protectors -disable C:BitLocker автоматически возобновит защиту после одной перезагрузки. Это необходимо перед обновлением BIOS, иначе система потребует ключ восстановления.
Смена пароля:
manage-bde -changepassword C:Отключение BitLocker (расшифровка):
manage-bde -off C:Расшифровка занимает от 30 минут до нескольких часов. Компьютер можно использовать во время процесса.
Резервное копирование ключа восстановления в учетную запись Microsoft:
manage-bde -protectors -get C:Скопируйте числовой ID ключа и откройте страницу восстановления Microsoft для поиска сохраненных ключей. Лицензии Windows в нашем каталоге Windows.
Комплексный подход к безопасности Windows
Одна настройка безопасности не защищает систему. Работает только комплекс мер, где каждый уровень дополняет остальные.
Уровни защиты
| Уровень | Компонент | Что защищает |
|---|---|---|
| 1. Учетная запись | Windows Hello, PIN, двухфакторная аутентификация | Доступ к системе |
| 2. Система | BitLocker, Secure Boot, UEFI | Эти на диске |
| 3. Сеть | Брандмауэр, VPN, DNS-фильтрация | Сетевые подключения |
| 4. Приложения | SmartScreen, AppLocker, песочница | Запуск программ |
| 5. Данные | Шифрование файлов, резервное копирование | Файлы пользователя |
Для максимальной защиты используйте Windows 11 Pro или Enterprise — эти редакции включают BitLocker, групповые политики и Hyper-V. Ключи доступны в каталоге Windows 11.
Аудит текущего состояния безопасности
# Проверка состояния защитника Windows
Get-MpComputerStatus | Select-Object AntivirusEnabled, RealTimeProtectionEnabled, AntivirusSignatureLastUpdated
# Состояние BitLocker
manage-bde -status
# Проверка Secure Boot
Confirm-SecureBootUEFIРекомендации для корпоративной среды
В организациях настройка безопасности отличается от домашней. Масштаб и требования к контролю выше.
Групповые политики (GPO)
Все описанные в статье настройки можно централизованно развернуть через GPO на домен Active Directory. Это гарантирует единообразие конфигурации на всех рабочих станциях.
Минимальные требования для бизнеса
- Windows 11 Pro или Enterprise на всех рабочих станциях
- BitLocker включен на системных и съемных дисках
- Windows Hello for Business для аутентификации
- LAPS для управления локальными паролями администратора
- Microsoft Defender for Endpoint или аналог
Для серверной инфраструктуры используйте Windows Server с актуальными обновлениями безопасности. Лицензии доступны в каталоге Windows Server.
Советы по устранению проблем
Если описанные выше методы не дали результата, попробуйте расширенный набор действий. Каждый шаг проверен на практике и занимает не более 10 минут.
Проверка обновлений Windows
Убедитесь, что установлены все доступные обновления. Многие ошибки исправляются именно через обновления:
# Проверка и установка обновлений через PowerShell
# Установка модуля (один раз)
Install-Module PSWindowsUpdate -Force -Scope CurrentUser
# Проверка доступных обновлений
Get-WindowsUpdate
# Установка всех обновлений
Install-WindowsUpdate -AcceptAllЧистая загрузка Windows
Сторонние программы и службы могут конфликтовать с системными функциями. Чистая загрузка отключает все лишнее и помогает изолировать проблему:
- Нажмите Win + R, введите
msconfig - На вкладке Службы поставьте галочку Не отображать службы Microsoft
- Нажмите Отключить все
- Перейдите на вкладку Автозагрузка > Открыть диспетчер задач
- Отключите все элементы автозагрузки
- Перезагрузите компьютер
Если проблема исчезла в чистой загрузке, включайте службы по одной, перезагружаясь каждый раз. Так вы найдете конфликтующую программу.
Создание нового профиля пользователя
Поврежденный профиль вызывает множество непредсказуемых сбоев. Создайте тестовый аккаунт:
# Создание нового локального администратора
net user TestAdmin Pa$$w0rd /add
net localgroup Administrators TestAdmin /addВойдите под новым аккаунтом и проверьте, сохраняется ли проблема. Если нет — дело в профиле. Перенесите эти из старого профиля в новый через папку C:Users.
Часто задаваемые вопросы
Насколько безопасен BitLocker без TPM?
BitLocker без TPM использует тот же алгоритм шифрования AES-256. Разница в хранении ключа: TPM хранит его в аппаратном модуле, без TPM ключ защищен паролем или USB. При сильном пароле безопасность достаточная.
Что будет, если потеряю USB-ключ BitLocker?
Используйте ключ восстановления (48 цифр), который вы сохранили при включении BitLocker. Без ключа восстановления доступ к этим невозможен. Всегда храните ключ в нескольких местах.
Замедляет ли BitLocker компьютер?
На современных процессорах с AES-NI (поддержка аппаратного шифрования) замедление составляет 1-5%. На старых процессорах без AES-NI замедление может достигать 10-20%, особенно при интенсивной работе с диском.
Можно ли включить BitLocker в Windows Home?
Нет, BitLocker доступен только в Pro, Enterprise и Education. В Windows Home используйте Device Encryption (если оборудование поддерживает) или сторонние решения: VeraCrypt (бесплатный).
