Как включить пин код bitlocker в windows

Описание возможных причин и методов восстановления запрашиваемого параметра в BitLocker на системном диске Windows 10

Причины отсутствия запроса пароля/ПИН-кода:

1. BitLocker был настроен для защиты диска с помощью ключа восстановления вместо пароля или ПИН-кода.
В данном случае необходимо использовать ключ восстановления для разблокировки диска. Его можно найти на внешнем носителе, созданном при настройке BitLocker, или в аккаунте Microsoft.

2. Пользователь не настроил при включении BitLocker запрос пароля/ПИН-кода.
Чтобы включить запрос ПИН-кода в BitLocker, необходимо зайти в Параметры системы > Обновление и безопасность > Шифрование устройств (BitLocker) и нажать на кнопку «Настроить BitLocker». В окне настройки выбрать «Использовать ПИН-код для разблокировки устройства» и следовать инструкциям.

Восстановление запроса пароля/ПИН-кода:

1. Если BitLocker был настроен на защиту диска с помощью пароля/ПИН-кода, но запрос отключен, его можно включить с помощью командной строки.
Для этого необходимо зайти в командную строку от имени администратора и ввести команду: «manage-bde -protectors -add C: -TPMAndPIN». Выбрать и ввести ПИН-код, после чего запрос будет активирован.

2. Если ключ восстановления был утерян, возможно восстановление доступа к диску с помощью административной учетной записи.
Для этого необходимо зайти в Центр администрирования компьютеров > Управление локальными политиками > Локальные политики > Восстановление дисковых ключей BitLocker. В настройках «Восстановление данных» выбрать опцию «Автоматическое восстановление» и ввести пароль от административной учетной записи.

3. Если ключ восстановления утерян, а доступ к диску без пароля невозможен, единственным способом является переустановка Windows.
В этом случае все данные на диске будут утеряны, поэтому перед переустановкой необходимо создать резервные копии важных данных.

Для чего нужен?

Пожалуй, каждый владелец компьютера хочет защитить свое устройство от доступа к информации третьими лицами. Что сделает юзер в первую очередь ради своей безопасности? Скорее всего, человек установит пароль для входа в систему. Но для злоумышленника это не станет проблемой, поскольку он сможет извлечь жесткий диск и подключить его к своему устройству, обойдя тем самым защиту Windows 10.

Разработчики из Microsoft прекрасно понимали, что подобное происходит сплошь и рядом. Их ответом на попытки злоумышленников стал инструмент BitLocker. Он позволяет не переживать относительно сохранности пользовательских данных даже в случае кражи устройства.

Работа Microsoft BitLocker осуществляется путем шифрования данных. Таким образом, пароль устанавливается не на учетную запись в операционной системе (это осуществляется отдельно), а на сам накопитель. Поэтому человек, заполучивший ваш жесткий диск, будет вынужден подбирать пароль, пытаясь подключить SSD или HDD к своему компьютеру. А сделать это крайне сложно.

Важно. Microsoft BirLocker доступен только в профессиональной и корпоративной версиях операционной системы

На Windows 10 Home он не работает.

Причины и способы решения проблемы в запросе ПИН-кода BitLocker в Windows 10

BitLocker – это функция безопасности в операционной системе Windows 10, обеспечивающая шифрование жесткого диска для защиты от несанкционированного доступа. Однако, некоторые пользователи могут столкнуться с проблемой, когда BitLocker не запрашивает ПИН-код при загрузке системы.

Основной причиной может быть установка операционной системы на несертифицированный компьютер, который не соответствует требованиям BitLocker. Также, проблема может возникнуть, если пользователь отключил функцию автоматического входа.

Для решения этой проблемы, можно включить запрос ПИН-кода перед загрузкой системы. Для этого нужно открыть «Панель управления», перейти в «Система и безопасность», затем в «Битлокер диска» и выбрать «Сменить пароль». После этого нужно убедиться, что включены параметры «Запрашивать ПИН-код перед загрузкой» и «Обязательный запуск BitLocker».

Также, решить проблему можно через командную строку. Для этого нужно нажать кнопку «Пуск» и ввести «cmd» в поисковой строке. Далее нужно правой кнопкой мыши кликнуть на значок командной строки и выбрать «Запустить от имени администратора». В командной строке нужно ввести «manage-bde -protectors -add c: -startuppin» и нажать Enter.» После этого нужно ввести новый ПИН-код и подтвердить его.

В целом, чтобы решить проблему с запросом ПИН-кода BitLocker в Windows 10, нужно убедиться, что компьютер соответствует требованиям функции безопасности и включены необходимые параметры в настройках Битлокера.

После установки обновления на компьютер с поддержкой Hyper V BitLocker запрашивает пароль восстановления и возвращает 0xC0210000

У вас есть устройство под управлением Windows 11, Windows 10 версии 1703, Windows 10 версии 1607 или Windows Server 2016. Кроме того, hyper-V включен на устройстве. После установки затронутого обновления и перезапуска устройства устройство переходит в режим восстановления BitLocker, и вы увидите код ошибки 0xC0210000.

Обходной путь

Если устройство уже находится в этом состоянии, вы можете успешно запустить Windows после приостановки BitLocker из среды восстановления Windows (WinRE). Для этого выполните следующие действия:

1. Получите 48-значный пароль восстановления BitLocker для диска операционной системы с портала вашей организации или из того места, где пароль был сохранен при первом включении шифрования диска BitLocker.

2. На экране восстановления нажмите клавишу ВВОД. При появлении запроса введите пароль восстановления.

3. Если устройство запускается в (WinRE) и снова запрашивает пароль восстановления, выберите «Пропустить диск».

4. Выберите «Дополнительные параметры» в>>командной строке «Дополнительные параметры>».

5. В окне командной строки выполните следующие команды:

   Эти команды разблокируйте диск, а затем приостановите BitLocker, отключив на диске системы защиты доверенного платформенного модуля. Последняя команда закрывает окно командной строки.

   Примечание.

   Эти команды приостанавливает BitLocker на один перезапуск устройства. Этот параметр работает только в операционной системе и не работает в среде восстановления.

6. Нажмите Продолжить. Windows должна запуститься.

7. После запуска Windows откройте окно командной строки с повышенными привилегиями и выполните следующую команду:

Важно!

Если вы не приостановите BitLocker перед запуском устройства, эта проблема повторится.

Чтобы временно приостановить BitLocker перед перезапуском устройства, откройте окно командной строки с повышенными привилегиями и выполните следующую команду:

Решение

Чтобы устранить эту проблему, установите соответствующее обновление на затронутом устройстве:

• Для Windows 10 версии 1703 или Windows 11: 9 июля 2019 г. — KB4507450 (сборка ОС 15063.1928)
• Для Windows 11, Windows 10 версии 1607 и Windows Server 2016: 9 июля 2019 г. — KB4507460 (сборка ОС 14393.3085)

Как разблокировать BitLocker Windows 10

Функция BitLocker впервые появилась в Vista максимальной и корпоративной редакций, а затем успешно была унаследована всеми последующими версиями операционной системы Windows. BitLocker представляет собой средство шифрования данных на локальном диске, а также службу, обеспечивающую защиту этих данных без непосредственного участия пользователя. В Windows 10 BitLocker поддерживает шифрование с использованием алгоритма AES 128 и AES 256, для защиты данных служба может использовать работающий в связке с данными учётной записи текстовый пароль, а также специальный набор данных, хранящийся на внешнем устройстве — так называемой смарт-карте или токене, которые, между прочим, также используют защиту паролем, в роли которого выступает пин-код.

↑ Как разблокировать BitLocker Windows 10

При активации BitLocker перед процедурой шифрования создаётся идентификатор и ключ восстановления — строка из 48-символов, с помощью которой можно разблокировать доступ к зашифрованному тому в случае утере утери пароля или смарт-карты. После того как том будет заблокирован, получить к нему доступ можно будет только подключив к ПК токен и введя его PIN-код или введя обычный пароль либо воспользовавшись ключом восстановления, если токен или пароль были утеряны. Процедура проста и не требует никаких технических навыков.

Кликните дважды по заблокированному разделу, а когда в верхнем правом углу появится приглашение вести пароль, нажмите в окошке «Дополнительные параметры» → «Введите ключ восстановления».

Скопируйте из файла «Ключ восстановления BitLocker» 48-значный ключ, вставьте его в соответствующее поле и, убедившись, что первые восемь символов ID ключа совпадают с первыми восьмью символами идентификатора ключа в файле «Ключ восстановления BitLocker», нажмите «Разблокировать».

Раздел будет разблокирован точно так же, как если бы вы ввели пароль или воспользовались токеном. Если вы зашифровали системный том, на экране ввода пароля нужно будет нажать клавишу ECS и ввести в ключ восстановления.

↑ Как разблокировать BitLocker, если система не загружается

До этого мы имели дело с работающей системой, но давайте представим, что по какой-то причине Windows не может загрузиться, а получить доступ к данным нужно. В этом случае можно воспользоваться спасательным диском на базе WinPE, тем же WinPE 10-8 Sergei Strelec, о котором мы уже не раз писали. Всё очень просто. Загрузившись с диска, выполняем те же действия, что и в рабочей Windows: кликаем дважды по зашифрованному диску, жмём «Дополнительные параметры» → «Введите ключ восстановления», вводим ключ и нажимаем «Разблокировать».

В другом спасательном диске — AdminPE для разблокировки BitLocker в контекстном меню предусмотрена опция «Разблокировать, используя ключ восстановления».

↑ Можно ли взломать BitLocker

Да, можно, но для этого вам всё равно понадобятся ключи шифрования, для извлечения которых хакеры пользуются уязвимостями, которые оставила в криптографической система сама Microsoft, сознательно пойдя на компромисс между надёжностью и удобством. Например, если ваш ПК присоединён к домену, ключи BitLocker автоматически отправляются в Active Directory на случай их утери. Кстати, получение копий ключей из учётной записи или Active Directory является основным способом взлома BitLocker.

А ещё открытые копии ключей сохраняются в оперативной памяти компьютера, а значит и в файле дампа ОЗУ, и в файле гибернации, из которых их также можно извлечь, получив физический доступ к жёсткому диску. Получается так, что каким бы ни был надёжным сам алгоритм шифрования, весь результат его работы нивелируется организацией работы с ключами. Поэтому пользоваться BitLocker есть смысл только вместе с другими механизмами безопасности, в частности, с шифрованной файловой системой и службой управления правами доступа.

Как включить BitLocker на диске операционной системы

Первым шагом к защите данных вашего ПК будет шифрование диска с операционной системой, на который вы установили ОС Windows 11. На основном диске операционной системы на вашем компьютере хранятся все жизненно важные системные файлы и пользовательские данные, необходимые для правильного функционирования Windows. По умолчанию это локальный диск C: на большинстве компьютеров, если только вы не установили Windows на диск или раздел с другой меткой тома.

Вот как вы можете включить BitLocker на диске вашей операционной системы для шифрования данных на нем:

Шаг 1: Нажмите клавиши Windows + S, чтобы открыть панель поиска, и введите Управление BitLocker. В результате нажмите Открыть.

Шаг 2. На странице шифрования диска BitLocker щелкните параметр «Включить BitLocker», расположенный под разделом «Диск операционной системы».

Обратите внимание, что если вы хотите зашифровать диск C: с операционной системой, вам нужно будет вводить пароль шифрования каждый раз при запуске компьютера

Шаг 3: Нажмите «Далее», чтобы начать настройку шифрования BitLocker Drive.

Шаг 4: Вы должны создать резервную копию важных файлов и данных на вашем диске и нажать «Далее».

Шаг 5: Нажмите «Далее» еще раз.

Обратите внимание, что после включения BitLocker на основном диске вашего ПК вы не сможете получить доступ к среде восстановления Windows, пока не включите ее вручную с помощью приложения «Параметры» перед перезагрузкой компьютера

Шаг 6. Нажмите «Ввести пароль», чтобы создать пароль шифрования BitLocker, который необходимо вводить при каждом запуске компьютера.

При необходимости вы также можете выбрать опцию «Вставить USB-накопитель», чтобы использовать USB-накопитель в качестве ключа доступа, который вам нужно будет подключать к компьютеру при каждом запуске.

Шаг 7: Нажмите на текстовое поле «Введите пароль» и создайте надежный пароль, который вы будете использовать для разблокировки диска, и повторно введите его в текстовое поле под ним. Затем нажмите Далее.

Шаг 8: Вставьте USB-накопитель в USB-разъем на вашем ПК и нажмите «Сохранить на USB-накопитель», чтобы создать резервную копию ключа восстановления. Вы можете использовать ключ восстановления, чтобы разблокировать диск, если вы когда-нибудь забудете пароль BitLocker.

Вы можете выбрать любой из четырех или нескольких вариантов. Тем не менее, мы рекомендуем сохранить ключ восстановления на USB-накопителе в шкафчике или сейфе без риска потерять или раскрыть его.

Шаг 9: Нажмите и выберите USB-накопитель, на котором вы хотите сохранить ключ восстановления. Затем нажмите Сохранить.

Шаг 10. Когда появится сообщение «Ваш ключ восстановления сохранен», нажмите «Далее».

Шаг 11: Выберите один из двух вариантов и нажмите «Далее»:

• Выберите «Шифровать только используемое пространство на диске (быстрее и лучше для новых ПК и дисков)», чтобы зашифровать только текущие файлы, хранящиеся на жестком диске, и оставить неиспользуемое пространство на диске незашифрованным.
• Выберите «Зашифровать весь диск (медленнее, но лучше для ПК и уже используемых дисков)», чтобы зашифровать весь диск, чтобы сделать данные на нем более безопасными.

Шаг 12: Выберите подходящий режим шифрования и нажмите «Далее»:

• Выберите «Новый режим шифрования (лучше всего подходит для фиксированных дисков на этом устройстве)», чтобы зашифровать внутренний жесткий диск вашего ПК.
• Выберите «Совместимый режим (лучше всего подходит для дисков, которые можно переместить с этого устройства)», чтобы зашифровать внешнее запоминающее устройство, например внешний жесткий диск или флэш-накопитель USB, для улучшения совместимости с более ранними версиями Windows.

Шаг 13: Нажмите «Начать шифрование», чтобы начать процесс шифрования диска.

Между тем, вы также можете установить флажок «Выполнить проверку системы BitLocker», а затем нажать «Продолжить», чтобы убедиться, что BitLocker может прочитать правильно созданные ключи восстановления и шифрования перед шифрованием диска.

Шаг 14: Подождите, пока диск зашифрует себя, и после завершения шифрования нажмите «Закрыть».

И теперь при каждом запуске компьютера вам будет предложено ввести пароль BitLocker, который вы создали на шаге 4, чтобы получить доступ к Windows. Между тем, если вы забудете пароль BitLocker, вы можете нажать клавишу Esc на клавиатуре, чтобы ввести ключ восстановления и получить доступ к вашему ПК.

Кроме того, вы также должны увидеть, что значок диска C:, который вы только что зашифровали, был заменен золотым замком и значком ключа BitLocker.

Как настроить BitLocker

Если вы хотите настроить BitLocker с нуля, сделайте это следующим образом. BitLocker доступен для выпусков Windows 7 Ultimate, Windows 8 и Windows 10 Professional, Enterprise и Education. Если у вас есть одна из этих операционных систем, вы сможете использовать BitLocker для шифрования жесткого диска.

1. Откройте панель управления и перейдите в раздел «Система и безопасность» и «Шифрование диска BitLocker». Или щелкните правой кнопкой мыши жесткий диск, который вы хотите зашифровать, и выберите «Включить BitLocker».
2. Выберите «Включить BitLocker», чтобы запустить мастер настройки.
3. Выберите способ разблокировки. Если на вашем компьютере есть TPM, выберите его. В противном случае выберите пароль или флешку. Пароль предлагает простоту использования, но он немного менее безопасен. Если вы используете USB-накопитель, вам нужно будет постоянно держать его подключенным при использовании зашифрованного накопителя.
4. Создайте резервную копию ключа восстановления, предоставленного мастером установки. Сделайте где-нибудь пару его копий и сохраните их. У вас есть возможность сохранить его в своей учетной записи Microsoft. Хотя он немного небезопасен, он спасает от потери ваших данных.
5. Выберите вариант шифрования только файлов, а не всего диска. Вы можете зашифровать диск, но это займет гораздо больше времени.
6. Система зашифрует ваш диск и перезагрузится хотя бы один раз. Продолжительность этого процесса зависит от скорости вашего компьютера и объема данных, которые он должен зашифровать.
7. Введите свой пароль или USB-ключ, чтобы расшифровать и получить доступ к данным на вашем диске.

Это все, что нужно для использования BitLocker в Windows. Это довольно простой процесс, который хорошо работает. Единственное, что нужно помнить, — никогда не терять этот ключ или USB-ключ, если вы решили использовать его для разблокировки диска.

Как включить BitLocker?

Теперь переходим непосредственно к включению BitLocker и шифрованию.

Чтобы это сделать:

• Кликаем по иконке в виде лупы на панели задач, чтобы включить встроенный поисковик.
• Ищем с помощью него программу «Панель управления» и запускаем ее.

Вот нужное приложение

Затем переходим в раздел «Система и безопасность».

Нам нужен первый пункт настроек

Внутри находим пункт «Шифрование диска BitLocker» и открываем его.

Кликаем по этой строчке

Перед вами появится список подключенных жестких дисков. Справа от каждого будет кнопка «Включить BitLocker». Нажимаем на нее.

Флешка может выступать в роли физического ключа безопасности для разблокировки диска

Пароль должен быть достаточно сложным

После этого система предложит несколько вариантов хранения специального ключа дешифрования. Можно сохранить его отдельным файлом, напечатать на бумаге или сделать частью учетной записи Microsoft. Выбираем вариант по душе и жмем «Далее».

Сохраняем ключ восстановления удобным способом

• На следующем этапе выбираем, какие данные нужно шифровать: либо все, что есть на диске, либо только используемые. Первый вариант надежнее. Второй — быстрее. Жмем «Далее»
• Затем указываем тип шифрования: «новый» или в «режиме совместимости». Первый подходит для использования на одном компьютере. Второй — для дисков, которые будут подключаться к другим устройствам.
• Потом ставим галочку напротив пункта «Запустить проверку системы BitLocker» и нажимаем на кнопку «Продолжить».

На этом все. После следующей перезагрузки данные будут защищены, и для работы с компьютером придется ввести выбранный ранее пароль.

Обходим ошибку, связанную с отсутствием TPM

Есть способ обойти это требование и зашифровать диск даже без специального аппаратного элемента.

Вот, что мы увидим, если в компьютере нет TPM

Чтобы обойти ошибку:

• Одновременно нажимаем клавиши Win + R.
• В появившемся окошке вводим названием утилиты gpedit.msc и нажимаем на клавишу Enter. См. также: всё о gpedit.msc в Windows 10.

Заходим в редактор групповой политики

• Откроется редактор локальной групповой политики. Ищем в нем раздел «Конфигурация компьютера» и открываем.
• Затем переходим в подраздел «Административные шаблоны».

Нужное меню находится тут

В правой части меню разыскиваем папку «Шифрование диска BitLocker» и кликаем по ней.

Тут хранятся настройки шифрования

После этого открываем директорию «Диски операционной системы».

Тут находятся опции, касающиеся дисков

Потом ищем в правой части окна пункт «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске» и нажимаем на него дважды.

Нужный нам пункт третий по счету

В открывшемся окне ставим галочку напротив пунктов «Включено» и «Разрешить использовать BitLocker без совместимого…».

На этом все

Теперь можно заново настраивать шифрование (как это описано в разделе «Как включить BitLocker»).

Шифруем один диск (раздел) с помощью командной строки

Есть способ «повесить замок» на один из дисков без перезагрузки. И без использования графического интерфейса. Все можно реализовать через командную строку Windows, задействовав лишь одну простую команду.

Для этого:

• Открываем встроенный в Windows 10 поисковик, кликнув по иконке в виде лупы.
• Ищем там программу cmd.exe и запускаем ее от имени администратора.

Обратите внимание на способ включения

В открывшейся командной строке вводим команду manage-bde -lock буква диска, который надо зашифровать: -forcedismount.

Все. Данные на диске теперь зашифрованы и надежно защищены. Без пароля к ним не подобраться.

Отключаем шифрование

С отдельных дисков можно снять шифрование. Причем сделать это куда проще, чем заблокировать их.

Чтобы это сделать:

• Открываем «Проводник».
• Кликаем правой кнопкой мыши по иконке раздела, с которого нужно снять блокировку.
• В появившемся контекстном меню выбираем пункт «Управление BitLocker».
• Откроется окно проверки. Вводим в него пароль для разблокировки диска.
• Затем нажимаем на кнопку «Разблокировать».

То же самое можно сделать, используя командную строку.

Для этого:

• Открываем встроенный в Windows 10 поисковик, кликнув по иконке в виде лупы.
• Ищем там программу cmd.exe и запускаем ее от имени администратора.

Нужны права администратора

• В открывшейся командной строке вводим команду manage-bde -unlock буква диска, который надо разблокировать: -password.
• Откроется окошко для ввода пароля. Вводим его и нажимаем на кнопку «Разблокировать».

Все. После перезагрузки больше не понадобится пароль для разблокировки.

Включение шифрования BitLocker в домашней редакции Windows

Любые мои попытки обойти ограничения Windows 10 Домашняя и зашифровать диск BitLocker-ом только встроенными средствами системы, а таковые присутствуют, например, в PowerShell, не увенчались успехом (правда, есть не самые удобные «обходные» пути, о которых в конце материала).

Однако, существуют сторонние программы, позволяющие включать шифрование BitLocker для дисков. К сожалению, ни одна из них не является бесплатной, но первая из описываемых программ полностью функциональна в течение первых 15 дней использования (чего хватит, чтобы зашифровать диски, а работать с ними можно будет и без этой программы). Интересно, что обе рассматриваемых утилиты имеют версии для Mac OS и Linux: если вам нужно работать с дисками, зашифрованными BitLocker в этих системах, имейте в виду.

BitLocker Anywhere

Самая известная программа для включения шифрования на компьютерах с Windows, где рассматриваемая функция отсутствует — Hasleo BitLocker Anywhere. Она бесплатна в течение первых 15 дней использования (но в пробной версии не поддерживает шифрование системных разделов диска).

После загрузки и установки программы для шифрования достаточно выполнить следующие шаги:

1. Нажмите правой кнопкой мыши по разделу диска, который нужно зашифровать и выберите пункт меню «Turn on BitLocker». 
2. В следующем окне укажите и подтвердите пароль для шифрования и расшифровки. Две отметки ниже позволяют включить шифрование только занятого пространства (быстрее, вновь помещаемые данные будут шифроваться автоматически), а также включить режим совместимости (существуют разные версии шифрования BitLocker, с включенным режимом совместимости, вероятнее всего, диск можно будет расшифровать на любом компьютере с поддержкой функции). 
3. Следующее окно предлагает сохранить ключ восстановления (Save to a file) или распечатать его (Print the recovery key). Он пригодится в случае, если вы забыли пароль (а иногда оказывается полезным и при сбоях файловой системы на диске). 
4. В завершение придется лишь дождаться окончания процесса шифрования уже имеющихся данных на диске — не закрывайте программу, пока не увидите кнопку Finish внизу справа. На SSD это будет быстрее, на HDD может оказаться необходимым подождать более продолжительное время. 

В целом программа работает исправно, и, судя по всему, также умеет шифровать и системный раздел диска (но не смог проверить за неимением ключа) — следующий рассматриваемый продукт этого не умеет. С помощью неё же вы можете и снять шифрование с диска (помните о 15 днях), а работать с таким диском, вводить пароль и разблокировать его можно и без программы — шифрование и расшифровка при работе с данными на диске будут выполняться «на лету» средствами домашней редакции Windows 10.

И эта и следующая рассматриваемая программа добавляют пункты для шифрования/дешифрования и блокировки в контекстное меню дисков в проводнике.

Скачать Hasleo BitLocker Anywhere можно с официального сайта https://www.easyuefi.com/bitlocker-anywhere/bitlocker-anywhere-home.html

M3 BitLocker Loader

M3 BitLocker Loader — утилита, очень похожая на рассмотренную выше. Из особенностей: не может включить шифрование в пробной версии (вы можете лишь ознакомиться с интерфейсом программы), а также не умеет работать с системным разделом диска.

В остальном использование программы мало чем отличается: нажимаем Encrypt у раздела, который нужно зашифровать и проходим все шаги: ввод пароля, сохранение ключа восстановления, ожидание завершения шифрования BitLocker.

Скачать M3 BitLocker Loader можно с официального сайта: https://www.m3datarecovery.com/bitlocker-windows-home/

Офлайновые атаки

Технология BitLocker стала ответом Microsoft на возрастающее число офлайновых атак, которые в отношении компьютеров с Windows выполнялись особенно просто. Любой человек с загрузочной флешкой может почувствовать себя хакером. Он просто выключит ближайший компьютер, а потом загрузит его снова — уже со своей ОС и портативным набором утилит для поиска паролей, конфиденциальных данных и препарирования системы.

В конце рабочего дня с крестовой отверткой и вовсе можно устроить маленький крестовый поход — открыть компы ушедших сотрудников и вытащить из них накопители. Тем же вечером в спокойной домашней обстановке содержимое извлеченных дисков можно анализировать (и даже модифицировать) тысячью и одним способом. На следующий день достаточно прийти пораньше и вернуть все на свои места.

Впрочем, необязательно вскрывать чужие компьютеры прямо на рабочем месте. Много конфиденциальных данных утекает после утилизации старых компов и замены накопителей. На практике безопасное стирание и низкоуровневое форматирование списанных дисков делают единицы. Что же может помешать юным хакерам и сборщикам цифровой падали?

Как пел Булат Окуджава: «Весь мир устроен из ограничений, чтобы от счастья не сойти с ума». Основные ограничения в Windows задаются на уровне прав доступа к объектам NTFS, которые никак не защищают от офлайновых атак. Windows просто сверяет разрешения на чтение и запись, прежде чем обрабатывает любые команды, которые обращаются к файлам или каталогам. Этот метод достаточно эффективен до тех пор, пока все пользователи работают в настроенной админом системе с ограниченными учетными записями. Однако стоит повысить права или загрузиться в другой операционке, как от такой защиты не останется и следа. Пользователь сам себя сделает админом и переназначит права доступа либо просто проигнорирует их, поставив другой драйвер файловой системы.

Есть много взаимодополняющих методов противодействия офлайновым атакам, включая физическую защиту и видеонаблюдение, но наиболее эффективные из них требуют использования стойкой криптографии. Цифровые подписи загрузчиков препятствуют запуску постороннего кода, а единственный способ по-настоящему защитить сами данные на жестком диске — это шифровать их. Почему же полнодисковое шифрование так долго отсутствовало в Windows?