BitLocker позиционируется как средство шифрования в профессиональных и корпоративных изданиях. Однако эта технология уже много лет работает и в домашних изданиях под псевдонимом «шифрование устройства», о чем владельцы современных ноутбуков, планшетов и гибридов 2-в-1 могут и не подозревать.
Тайным знанием это не является, поскольку за прошедшие шесть лет функцию более-менее задокументировали. Однако существуют технические, терминологические и маркетинговые дымовые завесы. Я буду их рассеивать с помощью сведений из разных официальных источников, своей практики и тестов читателей.
Начиная с Windows 11 24H2 сняли требования к Modern Standby / валидации HSTI и проверке портов DMA. Поэтому на компьютерах с TPM шифруются все устройства и издания. В остальном этот материал до сих пор актуален. Однако он не раскрывает всех нюансов. Я составил большой FAQ с ответами на самые животрепещущие вопросы по шифрованию в 24H2+.
[+] Сегодня в программе
Шифрование устройства vs. Шифрование BitLocker
В статье базы знаний KB4502379 Microsoft проводит границу между терминами и доступностью этих видов шифрования. Из текста выводы получаются такие:
- шифрование устройства доступно во всех изданиях, а шифрование BitLocker – только в Pro и выше
- оба вида шифрования доступны только на поддерживаемых устройствах
При этом не уточняется, какие устройства поддерживаются для каждого вида шифрования. Равно как явно не говорится, что в обоих случаях используется одна и та же технология BitLocker.
Несмотря на путаницу, я прямо в заголовке статьи ввел еще и свой термин — автоматическое шифрование BitLocker. Он наиболее точно отражает технологию и процесс, которые в совокупности Microsoft нарекла терминами шифрование устройства в статьях базы знаний и шифрование устройств BitLocker (BitLocker device encryption) в документации для ИТ-специалистов.
Шифрование BitLocker, несмотря на оговорку в MS KB, фактически поддерживается на любых устройствах. Да, чип TPM обеспечивает аппаратную защиту, но BitLocker может работать и без него – при запуске требуется пароль или ключ на флэшке.
А вот с устройствами, подходящими для автоматического шифрования, все сложнее…
Устройства с поддержкой автоматического шифрования
Примечание. Начиная с Windows 11 24H2 фактически не осталось специальных требований к устройствам кроме TPM. Подробнее — в большом FAQ на Boosty.
Я мог бы сразу дать ссылку на требования, но так неинтересно :) Тем более, что по ходу дела появляется возможность покопаться в истории вопроса, терминологии и сведениях о системе.
В официальном сравнении изданий Windows 10 есть упоминание InstantGo/AOAC/HSTI с отсылкой в статью KB4028713, которая этих терминов не разъясняет. Давайте разбираться!
Modern Standby
Режим Modern Standby (он же InstantGo, он же Connected Standby, он же AOAC, он же режим ожидания с подключением, он же Элла Кацнельбоген :) впервые появился в планшетах во времена Windows 8. Шифрование устройства увидело свет позже, в Windows 8.1, но работало лишь при аппаратной поддержке этого режима.
В Windows 8.x такие устройства вместо стандартного сна уходили в режим пониженного энергопотребления, при этом оставаясь подключенными к сети (отсюда, например, и AOAC — Always On, Always Connected). В Windows 10 режим эволюционировал — так, сетевым картам теперь необязательно поддерживать подключение.
В классификации режимов электропитания Modern Standby называется S0 Low Power Idle. Посмотреть все поддерживаемые режимы своего ПК вы можете командой:
powercfg -availablesleepstates
На картинке вывод команды на Surface Go. Заодно обратите внимание на полное русское название режима.
В документации для ИТ-специалистов говорится, что в Windows 10 существенно расширился спектр устройств с поддержкой шифрования. Занятно, что тут оно называется шифрование устройства BitLocker ;)
With Windows 10, Microsoft offers BitLocker Device Encryption support on a much broader range of devices, including those that are Modern Standby, and devices that run Windows 10 Home edition.
Формулировка подразумевает, что поддерживаются не только устройства с Modern Standby, но подробностей не раскрывает. На самом деле это ограничение никуда не делось, просто аппаратные требования к поддержке режима изменились. Сетевые карты я упомянул выше, а из прочего интересно включение в спецификацию HDD, в т.ч. в конфигурациях SSD + HDD или SSHD.
HSTI
Hardware Security Testability Specification, HSTI – это набор тестов, проверяющих конфигурацию устройства на соответствие требованиям безопасности Microsoft. Устройства должны создаваться так, чтобы Windows могла опросить их и определить состояние безопасности аппаратной и программной платформы.
В свою очередь, документация для ОЕМ-изготовителей объясняет, каким образом эти тесты связаны с шифрованием устройства.
Компьютер должен соответствовать требованиям Modern Standby. А начиная с Windows 10 1703 изготовители могут проверить это по результатам теста HSTI.
Помимо Modern Standby требуются чип TPM 1.2 или 2.0, а также включенные UEFI Secure Boot, Platform Secure Boot (Boot Integrity) и Direct Memory Access.
Как проверить поддержку шифрования на своем устройстве
В Параметры — Обновление и безопасность в самом низу предусмотрен раздел Шифрование устройства. Если его нет, технология не поддерживается. Соответственно, в этом случае параметры умалчивают о причине, а статьи базы знаний не объясняют, как ее определить.
Покровы срывает встроенное приложение «Сведения о системе». Запустите msinfo32 от имени администратора и прокрутите вниз до строки Поддержка шифрования устройства (Device Encryption Support).
Там может быть длинный список, но наверняка вы найдете в нем отсутствие TPM и/или провал теста HSTI вкупе с несоответствием требованиям Modern Standby. На моем уже не новом ноутбуке Thinkpad с TPM сообщение такое:
Reasons for failed automatic device encryption: PCR7 binding is not supported, Hardware Security Test Interface failed and device is not Modern Standby, Un-allowed DMA capable bus/device(s) detected.
Как работает автоматическое шифрование устройства
Процесс описан в уже упомянутой документации для ИТ-специалистов. Для шифрования нужно поддерживаемое устройство и один вход в Windows с административным аккаунтом, связанным с учетной записью Microsoft (MSA).
Во время чистой установки по окончании этапа OOBE шифрование раздела с ОС и прочих несъемных дисков инициализируется с незащищенным ключом и приостанавливается. Если войти с локальной учетной записью, в графическом интерфейсе на диске отображается предупреждающий значок, а в параметрах — сообщение, что нужно войти с MSA (на картинке Windows 8.1).
Когда первый вход выполняет администратор с MSA или компьютер вводится в домен, шифрование активируется и защищается TPM. Одновременно 48-значный пароль восстановления сохраняется в облачных настройках MSA, а в домене – в Entra ID (ранее Azure AD) или AD DS при включенной политике.
Все это происходит незаметно, и думаю, многие домашние пользователи даже не подозревают, что их устройство зашифровано. Правда, некоторые люди внезапно узнают о шифровании, когда им требуется войти в среду восстановления!
Потому что приходится вводить пароль восстановления BitLocker, чтобы расшифровать раздел с Windows. Сам раздел с Windows RE не шифруется, иначе в среду невозможно было бы загрузиться без установочной флэшки.
Предотвратить инициализацию шифрования при установке системы можно путем внесения изменений в реестр. Именно это делает параметр файла ответов PreventDeviceEncryption, который применяется этапе specialize или oobeSystem (я проверил его работу вплоть до версии 24H2).
Управление шифрованием в домашних изданиях
Когда компьютер отвечает требованиям автоматического шифрования, [в любых изданиях] вы можете включать и отключать шифрование в Параметрах — найдите поиском раздел Шифрование устройства (Device Encryption).
В упомянутой выше KB4028713 утверждается, что BitLocker отсутствует в домашних изданиях. Действительно, в них нет ключевых элементов графического интерфейса. Так, при включенном шифровании устройства в классической панели управления раздел BitLocker позволяет лишь архивировать 48-значный пароль для восстановления.
Однако отсутствие GUI компенсируется консолью. Для этого в командной строке есть manage-bde, а в PowerShell – набор командлетов.
Команды ниже последовательно выводят статус шифрования, приостанавливают его и возобновляют.
Get-BitLockerVolume -MountPoint "C:" Suspend-BitLocker -MountPoint "C:" -RebootCount 0 Resume-BitLocker -MountPoint "C:"
По моей просьбе их любезно выполнил на планшете Surface Go с домашним изданием участник чата @winsiders Александр. Обратите внимание, как меняется статус защиты (третья команда на картинку не попала).
Знание этого нюанса домашних изданий может пригодиться даже в системах, где шифрование BitLocker не поддерживается. Вот пример специалиста, который ходит чинить чужие ПК. Любимый инструментарий он принес с собой на внешнем диске, который для надежности зашифровал BitLocker.
ПК оказался с домашним изданием, и компьютерный мастер впал в ступор, не обнаружив в панели управления нужных элементов. В итоге узнал про консольные средства :)
Впрочем, ограничение домашних изданий не позволяет шифровать тома с помощью BitLocker.
Мое мнение о шифровании Windows
Я приветствую автоматическое шифрование устройств с Windows и принимаю аппаратные требования к этой технологии – они обеспечивают должный уровень защиты и внятный UX. Однако в эпоху зашифрованных смартфонов в каждом кармане маркетинговое ограничение домашних изданий Windows в этой сфере выглядят нелепо. Опытным пользователям хватило бы и консольных средств.
Зашифрованный том с паролем при запуске лучше, чем незашифрованный.
Microsoft, очевидно, уже перевернула страницу, реализовав технологию для современных устройств. Но если Modern Standby теперь вполне доступен, то аппаратный чип TPM – де-факто атрибут бизнес-линеек. Им не комплектуются устройства в нижнем ценовом сегменте, а в среднем еще надо поискать (для начала попробуйте найти в популярных магазинах и агрегаторах фильтр по TPM). Впрочем, сейчас уже стала нормой реализация TPM от изготовителя оборудования на уровне прошивки чипсета (Intel PTT) или процессора (AMD fTPM).
Так или иначе, дома вполне можно извлечь пользу из шифрования. Например, с его помощью вы можете блокировать несанкционированный доступ со стороны домашних кулхацкеров. А в случае кражи или потери устройства на порядок повышается конфиденциальность.
Благодаря шифрованию значительно затрудняется доступ злоумышленника к вашим файлам, а зачастую – еще и к переписке в мессенджерах и аккаунтам в интернете.
Владельцам изданий Pro и выше ничто не мешает использовать BitLocker. Для его включения в домашних изданиях даже есть утилиты, но доверять неподдерживаемым решениям в такой области нельзя. Лучше использовать сторонние программы типа VeraCrypt.
Дискуссия и опрос
В обсуждениях шифрования Windows, как правило, всплывают два тезиса, которые я бы хотел предвосхитить.
- Мифический бэкдор в BitLocker. В отсутствие доказательств тезис остается на уровне теории заговора. Все просто – если вы не доверяете реализации Microsoft, используйте стороннюю.
- Отсутствие важных данных на ПК. Здесь нередко недооценивается важность. Любой аккаунт мессенджера или соцсети мошенники могут использовать против ваших родственников и знакомых, чтобы развести их на деньги.
С выбором из пунктов опроса, касающихся BitLocker, поможет командлет Get-BitLockerVolume. При включенном шифровании в свойстве KeyProtector помимо прочего всегда фигурирует Recovery Password — тот самый 48-значный пароль восстановления, который в GUI и документации упорно именуют ключом. И да, его можно вывести этим же командлетом.
В комментариях расскажите, какие личные устройства с Windows и как именно вы шифруете… или почему не шифруете!
Шифруете ли вы несъемные диски целиком хотя бы на одном личном домашнем ПК?
- Не шифрую, и мне это не нужно (47%, голосов: 87)
- Не шифрую, но теперь хочу (24%, голосов: 44)
- Да, Bitlocker (настроен вручную, защищен TPM) (8%, голосов: 15)
- Да, но не BitLocker (8%, голосов: 15)
- Не знаю / Моего варианта тут нет (5%, голосов: 10)
- Да, BitLocker (настроен вручную, защищен только паролем на запуск) (5%, голосов: 9)
- Да, автоматическое шифрование устройства BitLocker (описано в статье) (2%, голосов: 4)
- Да, BitLocker (настроен вручную, защищен TPM плюс PIN и/или USB-ключ) (1%, голосов: 1)
Проголосовало: 185 [архив опросов]
Загрузка ...
Не шифрую. Конечно же, это не айс. Был ноут с ВинРТ, на котором превентивное шифрование. Но оно реально тормозило и без того тормознутый дивайс (Lenovo WinRT, единственная у них модель), пришлось его выкорчевать из дистрибутива и установить РТ уже без него. Да и каждый раз вводить многозначный пароль при сбросе устройства или восстановлении, это напрягало.
Насчет Битлокера вообще. Как насчет слухов, что он дырявый и с бекдором и т.п.? Ну вся эта история с Трукрипт.
О слухах про битлокер я заранее все уже сказал. Но у вас, смотрю, новый уровень — сюда же приплетен и Truecrypt.
И я так и не понял, почему не шифруете свои устройства сейчас.
Не знаю, не вижу необходимости и, как написал, напрягал процесс ввода многозначного пароля при восстановлении. Понятно, что праворганам тут смотреть не на что (ну разве что копирайтерам ковыряться в торрентах), а если шифроваться еще и от семьи, то это уже новый уровень приватности, она же паранойя. Наверное есть какой-то стереотип мышления, что это зашквар — дома от своих же шкериться. Далеко не все настраивают уровни доступа к одному компу, а шифрование уже тем более. Сейчас у обывателя куда больше приватной инфы уже не на компе, а на мобильном устройстве — телефоне или планшете — фоточки, переписка и т.п. Ну шутка как бы, но лишь отчасти. Про Трукрипт… ну его и приплели к теории заговора, когда они ушли с рынка они сами вплели сюда Битлокер как рекомендованный. Уши отсюда торчат.
На самом деле рекомендаций использовать Bitlocker там не было. Они написали, что в новых ОС Windows есть встроенная поддержка шифрования. Равно как она существует и на других платформах. И порекомендовали использовать поддерживаемые решения.
Согласен. Но это не означает, что приватной инфо нет на ПК.
Стереотипы мне известны и так. А интересен личный опыт читателей блога.
Зато подробно описывается миграция именно туда.
http://truecrypt.sourceforge.net/
Не вижу тут криминала. Вполне ответственный подход — прекратив поддержку своего продукта, написать гайд по миграции на встроенное в ОС решение.
Если кого-то от него бомбит, это проблемы личного характера.
Просто есть много вещей, которые избыточны. Для меня шифрование тоже избыточно. Ну смотрите, как меняются требования и само понятие безопасности, те же рекомендации на ротацию паролей, сами майки признали это неэффективным устаревшим методом. Неудивительно, что некоторые из подобных рекомендаций возникали как… ну а почему бы и нет, просто кто-то в бородатые годы так придумал в принципе без обоснований, а из своего какого-то внутреннего представления, если хотите, чуйки.
Хочется прояснения — поможет ли мне шифрование от шифровальщиков. Такая вот каламбурщина).
Никак не поможет.
Ну это и есть мой личный опыт.
Ясно.
Нет. Помочь может контролируемый доступ к папкам. Там не самый приятный UX, но какой уж есть.
Можно включить аудит
А применительно к устаревшим виндам — Win8/7? У меня тут где-то ссылка была на… вот на это https://jameszero.net/srp.htm
Вы путаете контроль запуска исполняемого кода и контроль доступа для уже запущенного исполняемого кода.
Если вредоносное ПО не сможет запуститься, то и зашифровать оно ничего не сможет. это значительно уменьшает вектор атаки.
И что? Вопрос был про защиту от шифровальщиков с помощью шифрования тома. SRP/Applocker решают задачу, но иначе. Они и в 10 есть.
Ещё, кстати, проблему шифровальщиков относительно решают File History и OneDrive (там есть предыдущие версии). Но действительно, к вопросу о шифровании диска это не имеет никакого отношения.
Да, центр безопасности теперь предупреждение показывает, если не включен OneDrive. Именно из-за шифровальщиков.
Шифрую системный диск уже давно. Сначала был TrueCrypt, теперь VeraCrypt.
С недавнего времени зашифровал ещё и внешний съемный диск (служит для бэкапов).
Установите уровень сами.
Вероятность «вдруг злоумышленник» на домашней системе, примерно на уровне «а вдруг бекдор».
Куча приватных данных уже в телефоне, а то и вовсе в сети. (об этом уже написали).
На оставшиеся, защиту стоит выбирать адекватно масштабу. Шифровка папок, отдельных файлов, а то и вовсе, для лучшего контроля над приватными данными, их сбор в единую базу данных KeePass.
На основании перечисленного, не вижу смысла в шифровании личных устройств. По умолчанию, бинари, медиа, иные данные без «установленной» метки приватности, не должны создавать дополнительной нагрузки. Ни на человека, ни на железо. Ибо в этом нет смысла.
Шифрование больше про конфиденциальность, чем про безопасность (в домашней среде уж точно). Когда шифруется том при наличии TPM, уровень комфорта не меняется (если не поднимать уровень защиты до ПИН-кода и/или USB-ключа). Шифрование устройства именно такой баланс и соблюдает.
Без TPM комфорт снижается, конечно. Это уже для людей, серьезно озабоченных защитой своих данных от постороннего доступа.
И я все-таки не согласен, что раз основные конфиденциальные данные в телефоне / соцсетях, на домашние устройства с Windows можно забить. Кмк это и есть самый простой способ до них добраться. Просто вероятность доступа злоумышленника ниже, чем в случае с телефоном, например.
Про шифрование папок хотелось бы отдельно поговорить, там все не так однозначно в зависимости от реализации. Повод-то будет, а вот желание писать — не знаю даже. Очевидно, что тема шифрования не слишком интересна читателям :)
Никогда не утверждал, что нужно забить. Наоборот. Есть объекты нуждающиеся в защите. Их нужно установить. И только потом определять необходимость, уровень и способ защиты. Именно с этого, стоит начинать любой разговор о безопасности/конфиденциальности. С определения граничных условий. Хоть на ПК, хоть в других областях. Ибо защита остального — оверхед. При шифровании тома, доходящий до 99.99%. Из пушки по воробьям.
Кстати, а что на счет производительности и энергопотребления? Было бы любопытно глянуть нечто высокоуровневое типа PCMark.
Формально потери производительности могут быть, но на практике — в пределах погрешности. Microsoft считает нормальным включать шифрование на Clover Trail и более новом, но сопоставимом железе.
Установить объекты и определить уровень защиты я могу только у себя. Читателям я рассказываю о технологии и сценариях ее применения. Я рекомендую шифрование в том числе и на основе личного опыта. А дальше каждый сам решает.
Я предпочитаю обходиться без взятых с потолка цифр о ненужности для 99.99%. Очевидно, пользователи того же VeraCrypt есть, и они вполне себе домашние.
Помимо рассказа о технологии статья призвана дать пищу для размышлений. Судя по опросу, кое-кто задумался о шифровании. И их явно больше 0.01%.
Отнюдь. Примите во внимание следующие сценарии.
1. В дом придут прошенные или непрошенные гости, которые окажутся излишне любопытными. (Друзья друзей, сотрудники аварийных служб, грабители, работники по найму — например, человек, вызванный починить холодильник, или няня). Причём это может случиться даже если вас (или даже никого из семьи) нет дома.
2. Это переносной компьютер (планшет или ноутбук), который вы иногда берёте с собой. Сели поработать в кафе, отлучились в туалет, а компьютера нет. Грабители часто выхватывают сумки у прохожих на оживлённой улице или в транспорте. Бывает и так, что люди просто забывают сумки на лавочке или с ними что-то случается в общественном месте.
3. С компьютером что-то случилось, и вы отдали его в ремонт. Либо жёсткий диск умер, и вы решили его выкинуть. (Надо ли говорить, что при многих поломках данные остаются в частичной или полной сохранности, и их можно извлечь — иногда даже без помощи специального оборудования.)
Причём это не всегда вопрос сохранности именно данных. Например, вытащить жёсткий диск чтобы потом поискать на нём что-нибудь интересное — это конечно довольно интересное занятие. Но требует времени, а главное — вряд ли пройдёт незамеченным для владельца.
Но ведь есть и другие варианты. Как насчёт загрузиться с флешки и за пару минут установить в систему десяток незаметных «добавок» — скажем, программу слежки или майнер биткойнов? Если это сделано «в оффлайне» и без существенных ошибок, то отследить впоследствие из загруженной основной системы практически невозможно. А шифрование диска защищает и от такого, в том числе.
Да, только это не значит, что на компьютере этих данных уже нет :)
С «шифрованием папок» есть как минимум две проблемы.
Проблема номер раз — операционная система не предоставляет такой встроенной возможности. Т.е. речь идёт про стороннее ПО. Это само по себе, конечно, не хорошо и не плохо, но влечёт за собой ряд сложностей.
Например, надо выбрать хорошее решение. А для этого надо провести тщательный аудит основных вариантов.
Вы уверены, что выбранное вами решение для «шифрования папок» также защищает от доступа «в оффлайне» — т.е. если кто-то подмонтирует ваш диск к другой системе или просто переустановит ОС? А также, у вас есть план восстановления на случай, если что-то пойдёт не так? Как повреждение одного сектора на диске скажется на целостности остальных файлов в той же «зашифрованной папке»? Автор продолжает развивать свою программу и своевременно устранять уязвимости, если их найдут? А как происходит обновление? А где хранится ключ шифрования? Вы уверены, что на диске нигде не хранится кэшированная копия? А можно ли вытащить этот ключ из памяти, если злонамеренное ПО будет запущено с правами пользователя (например, через уязвимость в браузере)? Ну и ещё десяток вопросов разной сложности.
Проблема номер два — далеко не всё можно зашифровать на уровне папки. Например, я сомневаюсь, что такое решение будет работать для куков браузера. А ведь если украсть их, скорее всего можно получить доступ к вашей почте, мессенджерам, соцсетям, хранилищам картинок, личным кабинетам на сайтах разных магазинов (где иногда сохранены банковские реквизиты), авиакомпаний и турагентств (где можно отследить ваши физические перемещения), госуслугам, онлайн-играм, голосовым помощникам и так далее. Либо эта же информация может оказаться сохранена в настройках программ-клиентов для всех этих служб.
И даже если вы считаете, что лично вы никому из злоумышленников не интересны, — далеко не факт, что то же самое можно сказать про всех-всех-всех из ваших контактов. Ведь ваши учётные данные могут быть использованы не против вас лично, а против кого-то ещё, кто вас знает.
Ну или хакеры просто положат украденную информацию на полку до подходящего момента — например, когда ваш племянник станет баллотироваться в председатели студсовета, и конкуренты согласятся заплатить за любой компромат на его семью :)
Интересно. Архив фотографий вы тоже в KeePass храните?
Спасибо. Убедительно. Заставляет задуматься.
Кстати, а как повреждение одного сектора на диске скажется на целостности остальных файлов в том же «зашифрованном томе»?
Да никак. Потому что шифрование тома находится «слоем» ниже файловой системы. Зашифрованы ведь не отдельные файлы, а весь том в целом. Т.е. если сбой затрагивает N секторов на жёстком диске, файловая система увидит повреждение этих N секторов — и сможет обработать их так, как умеет. Т.е., кроме исключительных случаев (если повреждены оказались жизненно важные структуры самой файловой системы), затронуты окажутся только те файлы, которые собственно использовали сбойные сеткторы.
Вадим, спасибо за статью.
Ответил «Не шифрую, мне не нужно» и удивлен, что никто из комментаторов не упомянул контейнерное шифрование (file-hosted volume). У меня почтовый клиент, рабочий браузер, мессенджер и многие другие файлы расположены в зашифрованном контейнере Veracrypt. Это не менее удобно, почти так же безопасно, зато более надежно (никаких проблем со средой восстановления).
Разумеется, это относится к домашней системе, а разговоры про грабителей в кафе — это подмена понятий. На портативных устройствах шифрование диска включаю сразу после покупки.
Максим, потеря или кража устройства подменой понятий не является. Кафе — лишь одно из мест, где это может произойти.
Спасибо, что подняли тему контейнеров. А расскажите про пользовательский опыт. Как происходит работа с программами в контейнере — что надо сделать, чтобы получить к ним доступ?
P.S. Надеюсь, вам понравились терминологические нюансы, рефреном проходящие через статью :)
Так опрос был про шифрование на домашнем ПК? Домашний компьютер ведь используется дома, а не в кафе и не в поездках. Я готов взять на себя риск, что мой системный блок потеряется в квартире :)
Подключение контейнера похоже на подключение ISO-образа штатными средствами Windows. В клиенте Veracrypt нужно выбрать незанятую букву диска, выбрать файл с контейнером и ввести пароль. Всё, контейнер подключен как обычный диск в системе. Можно настроить и автоматическое подключение при входе в систему, но я не против каждый раз монтировать вручную.
P.S. Да, спасибо за терминологию :)
Опрос был про личный домашний ПК. И да, ПК — это не только десктоп и не только с Windows, даже если кто-то считает иначе :)
Я стараюсь максимально точно формулировать вопросы и варианты ответов, но кмк невозможно сделать так, чтобы всем было все понятно и всех устроило.
С контейнером ясно, так себе и представлял. Навскидку преимущества перед шифрованием тома в VeraCrypt или Bitlocker без TPM выражаются в сценариях перезагрузки:
1. Можно удаленно перезапустить систему.
2. В многопользовательской конфигурации пароль не нужно знать всем пользователям.
Но если сравнивать со сценарием Bitlocker с TPM (без пина/ключа), то имеем лишние телодвижения в каждом сеансе.
Ввод пароля в среде восстановления — исключительный сценарий. К тому же, в устройствах с автоматическим шифрованием в идеале есть механизм авторасшифровки томов, если RE прошла валидацию на отсутствие изменений.
Видимо, не во всех устройствах работает.
Согласен, есть лишние телодвижения — зато они дают возможность входа в систему без доступа к конфиденциальной информации. Да, это редкий сценарий использования, но вряд ли более редкий, чем сценарий с грабежом.
обычно для этого используют разные учётные записи без прав администратора :) Можете пояснить, почему вам такой вариант не подходит?
Шифрование это конечно стильно, модно, молодежно, только когда процесс управляемый и ключи восстановления надежно сохранены. Я же столкнулся с потерей данных из-за автоматического включения шифрования на устройстве, о чем не подозревал, т.к. об этом система не сообщила. На рабочем ноутбуке с TPM, Win10Pro (не в домене), при входе в УЗ Microsoft шифрование Bitlocker включилось автоматически, о чем я узнал после чистой установки Windows (не через среду восстановления) в итоге второй диск с документами был потерян (зашифрован), ключа восстановления по ссылке в onedrive не оказалось, хотя устройство в УЗ Microsoft отображалось. После переустановки в УЗ Microsoft отображается только одно устройство (видимо оно мапится по серийному номеру), новый ключ восстановления во втором случае загрузился корректно, но шифрование было включено также автоматически без объявления войны. Поддержка Microsoft при этоv развела руками, они даже не попытались разобраться почему ключ восстановления не загрузился в onedrive.
Вывод: использовать шифрование стоит только в среде AD, где можно гарантировать нормальную загрузку и хранение ключей восстановления. Иначе можно столкнуться с ситуацией, когда ключ восстановления найти не удастся и данные будут потеряны.
Александр, страшная история, но есть некоторые сомнения в том, что система автоматом зашифровала не только диск с ОС, но и все прочие.
Их, возможно, шифровали вручную, а пароль восстановления не сохранили (и в OneDrive он не попал).
По идее, если шифруется дисков больше одного, то в OneDrive должно быть больше одного пароля восстановления для этого устройства.