Нужен ли TPM-чип для BitLocker?

Желательно, но необязательно. Через GPO можно разрешить шифрование без TPM с паролем при загрузке. На современных ноутбуках Lenovo, HP, Dell от 2018 года TPM 2.0 идёт по умолчанию, проверяется командой tpm.msc.

Где хранить ключи восстановления?

Самый надёжный вариант — Active Directory. GPO можно настроить так, чтобы ключ автоматически записывался в атрибуты учётной записи компьютера. Локально храните только пароль администратора домена.

Сколько времени занимает первое шифрование?

Зависит от объёма и скорости диска: SSD 256 GB шифруется 30–50 минут, HDD 1 TB — 4–8 часов. Используется фоновый режим, пользователь может работать.

Что будет, если пользователь потеряет ноутбук?

Без ключа восстановления данные недоступны — алгоритм AES-256 устойчив к подбору. Достаточно записать BitLocker-ключи в AD и иметь физический архив на случай отказа домена.

Замедляет ли BitLocker работу системы?

На NVMe SSD замедление не превышает 3–5 % и незаметно в офисной работе. На старых SATA HDD просадка достигает 15–20 %, поэтому на таких машинах я часто отказываюсь от шифрования системного диска.

Безопасность 17 апреля 2026 · 12 мин чтения

BitLocker через GPO: как я шифрую ноутбуки клиентов в Москве 2026

Меня зовут Семёнов Евгений Сергеевич, я директор АйТи Фреш. За 15 лет работы с корпоративными доменами в Москве я внедрил BitLocker в 47 офисах — от юридических консультаций на 8 ноутбуков до производства на 60 рабочих мест с AD-инфраструктурой. Расскажу, как мы настраиваем шифрование централизованно через GPO, где храним ключи и какие грабли поджидают на пути.

Зачем малому и среднему бизнесу нужен BitLocker

Я бы не писал эту статью, если бы пять лет назад у меня не было одного некомфортного звонка. Клиент — небольшая юридическая фирма на 14 человек. У главного юриста украли ноутбук Lenovo ThinkPad из машины около ресторана на Тверской. На диске лежали договоры клиентов, копии паспортов, банковские реквизиты — всё в открытом виде. Ноутбук мы списали, но три недели бухгалтер и юрист переписывались с клиентами и оправдывались, почему их персональные данные могут оказаться в открытом доступе. Двое клиентов после этого ушли. Денежный ущерб от потери самого ноутбука — 95 тысяч рублей. Ущерб от потери репутации — никто не считал, но точно больше миллиона.

После этого случая я ввёл правило: в любом офисе с ноутбуками BitLocker внедряется в первый же месяц обслуживания. Не «когда-нибудь потом», а сразу. Это первое, что я делаю, когда подписываю договор с компанией, где сотрудники ездят в командировки или работают на гибриде.

В 2026 году с введением обновлённого ФЗ-152 о персональных данных штрафы за утечку выросли до 15 миллионов рублей для юрлиц при первом нарушении и до 500 миллионов при повторном. Любая компания, обрабатывающая ПДн (а это все, у кого есть отдел кадров и клиентская база), обязана применять «организационно-технические меры» по защите. Шифрование дисков — одна из таких мер, прямо упомянутая в приказе ФСТЭК №21.

Что нужно перед стартом: проверяем готовность парка

Перед массовым внедрением я всегда провожу инвентаризацию парка. Без этого вы потратите день на разбирательство, почему на половине машин политика не применилась. Вот что я проверяю:

Версия Windows. BitLocker нормально работает только на Windows 10/11 Pro и Enterprise. На Home — не работает совсем (только Device Encryption на Microsoft-аккаунте, что в корпоративе бесполезно).
Наличие TPM 2.0. Команда tpm.msc или PowerShell-команда Get-Tpm. На ноутбуках от 2018 года и новее TPM есть всегда. На старых десктопах часто отсутствует — придётся либо включать в BIOS, либо настраивать BitLocker без TPM.
UEFI вместо Legacy BIOS. BitLocker на UEFI работает заметно стабильнее, особенно при обновлениях системы. Если машина в Legacy — лучше переустановить с UEFI и GPT-разметкой.
Свободное место на системном диске. Минимум 1.5 GB для создания скрытого служебного раздела (если его ещё нет).
Лицензия Windows Pro. Если у клиента «вылезли» Windows 10 Home (бывает чаще, чем кажется — закупки оборудования делал не айтишник), сначала придётся апгрейдить лицензии.

У меня есть готовый PowerShell-скрипт, который я выполняю через GPO Remote PS на всех машинах домена и получаю CSV с состоянием каждой. Команда внутри:

Get-WmiObject -Class Win32_TPM -Namespace root\cimv2\Security\MicrosoftTpm |
  Select-Object IsEnabled_InitialValue, ManufacturerVersionInfo, SpecVersion |
  Export-Csv -Path "\\fileserver\inventory\tpm_$env:COMPUTERNAME.csv" -NoTypeInformation

На обработке 30 ПК такой инвентари занимает 5 минут. Сразу вижу, у кого нет TPM, у кого старая версия и где придётся править BIOS.

Архитектура хранения ключей: только в Active Directory

Главное правило, которое я повторяю стажёрам: ключи восстановления BitLocker без централизованного хранения — это бомба замедленного действия. Через 6 месяцев пользователь забудет, куда сохранил USB-флешку, бухгалтер уйдёт в декрет, а ноутбук попадёт в пересборку. И всё — данные потеряны навсегда.

Поэтому в моих проектах ключи всегда хранятся в Active Directory. Технически это работает так: при включении BitLocker на машине агент политики записывает 48-значный ключ восстановления в атрибут msFVE-RecoveryInformation объекта компьютера в AD. Доступ к этим ключам имеет только администратор домена, который может извлечь их через консоль или через PowerShell.

Чтобы это заработало, в схеме AD должны быть нужные атрибуты. На Windows Server 2016 и новее они присутствуют по умолчанию. Если у клиента DC на 2012 R2 — придётся расширить схему командой:

Install-WindowsFeature RSAT-Feature-Tools-BitLocker
Install-WindowsFeature RSAT-Feature-Tools-BitLocker-RemoteAdminTool
Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt

После этого в свойствах объекта-компьютера в ADUC появляется вкладка «BitLocker Recovery», где видны все сохранённые ключи. Я лично проверял эту функциональность 200+ раз — работает железно, если корректно настроить GPO.

Настройка групповых политик: пошагово

Открываю Group Policy Management на DC и создаю отдельный GPO под названием BitLocker-Workstations. Линкую его на OU с компьютерами (не пользователями!). Внутри GPO иду по пути:

Computer Configuration → Policies → Administrative Templates → Windows Components → BitLocker Drive Encryption

Дальше — настройки, которые я считаю обязательными для корпоративного внедрения. Для каждой указываю значение и зачем.

Параметр политики	Значение	Зачем
Choose drive encryption method	XTS-AES 256-bit	Современный надёжный алгоритм, рекомендован NIST
Store BitLocker recovery information in AD DS	Enabled, all info	Централизованное хранение ключей
Do not enable BitLocker until recovery info is stored	Enabled	Защита от ситуации «зашифровали, ключ не сохранили»
Allow BitLocker without TPM	Enabled (для старых ПК)	На машинах без TPM работа с паролем при загрузке
Configure use of passwords for OS drives	Enabled, мин 12 символов	Защита при отсутствии TPM
Disallow standard users from changing PIN	Enabled	Запрет изменения ПИНа пользователем

После настройки GPO нужно дождаться репликации (на стандартном AD это 15–30 минут) или вручную выполнить на клиенте gpupdate /force. Проверить применение можно через gpresult /h report.html и посмотреть раздел Computer Configuration.

Запуск шифрования: ручной и через скрипт

Сами политики не запускают шифрование — они только разрешают и настраивают его. Запуск нужно инициировать. Делать это вручную через панель управления для 30 машин — каторга. Я использую PowerShell.

Простой вариант — скрипт, который запускается через GPO как стартап-сценарий компьютера:

$BLV = Get-BitLockerVolume -MountPoint "C:"
if ($BLV.VolumeStatus -eq "FullyDecrypted") {
    Enable-BitLocker -MountPoint "C:" `
        -EncryptionMethod XtsAes256 `
        -UsedSpaceOnly `
        -TpmProtector
    Add-BitLockerKeyProtector -MountPoint "C:" `
        -RecoveryPasswordProtector
    Backup-BitLockerKeyProtector -MountPoint "C:" `
        -KeyProtectorId (Get-BitLockerVolume -MountPoint "C:").KeyProtector |
        Where-Object { $_.KeyProtectorType -eq "RecoveryPassword" } |
        Select-Object -ExpandProperty KeyProtectorId
}

Параметр -UsedSpaceOnly важен для свежих ноутбуков: шифруется только занятое место, а не весь диск, что в 5 раз быстрее. На уже эксплуатировавшихся машинах его лучше не указывать — пустые блоки могут содержать остатки старых файлов.

Скрипт я кладу в shared-папку домена и запускаю через Group Policy Preferences → Scheduled Tasks с триггером «однократно при следующем включении». На 35-местном офисе процесс шифрования обычно занимает один рабочий день: ночью все ноутбуки шифруются в фоне, утром пользователи продолжают работать.

Извлечение ключа восстановления — сценарии из практики

Реальная польза от BitLocker появляется только тогда, когда вы умеете быстро извлечь ключ. У меня в АйТи Фреш на эту операцию SLA — 15 минут с момента звонка. Сценарий выглядит так: пользователь жмёт Ctrl+Alt+Del, видит синий экран с просьбой ввести 48-значный ключ восстановления (бывает после обновления BIOS, замены материнской платы, неудачного обновления Windows), звонит в нашу хелпдеск.

Дежурный инженер открывает PowerShell на доменном контроллере и выполняет:

Get-ADObject -Filter {objectClass -eq "msFVE-RecoveryInformation"} `
    -SearchBase "CN=COMPUTERNAME,OU=Workstations,DC=example,DC=local" `
    -Properties msFVE-RecoveryPassword |
    Select-Object Name, msFVE-RecoveryPassword

В ответ — 48-значное число вида 123456-654321-...-987654, которое пользователь вводит на синем экране. Через 30 секунд ноутбук загружается. Реально проверенная процедура, не теоретическая.

Грабли, на которые я наступал и которых избегаю теперь

За семь лет внедрения BitLocker через GPO я собрал коллекцию граблей, которыми хочу поделиться — чтобы вы не наступали на них в первый раз.

Обновление BIOS убивает доступ к диску. Любое обновление прошивки, включая UEFI, меняет «отпечаток» платформы и отключает TPM-протектор. Решение: перед обновлением BIOS приостанавливайте BitLocker командой Suspend-BitLocker -MountPoint "C:" -RebootCount 2.
Замена материнской платы = потеря доступа. TPM привязан к конкретной плате. Если меняете плату по гарантии или после поломки — диск становится недоступным до ввода ключа восстановления. Перед сдачей в сервис всегда снимаю шифрование (Disable-BitLocker).
Hyper-V-машины и BitLocker. Не работают через виртуальный TPM на старых хостах. На Server 2019 и новее vTPM нормальный, на 2016 — глючит. Виртуалкам шифрование часто не имеет смысла.
Удалённые сотрудники без доступа к домену. Если ноутбук месяцами не подключается к DC, пароль локального админа может протухнуть. Решение: настройте через политику кэширование 30 учётных данных на машине.
Старые принтеры в сетевой папке. При шифровании сертификатов EFS на старых офисных МФУ перестаёт работать сканирование «в сеть». Часто всплывает через 2–3 дня после внедрения.
USB-флешки сотрудников. Если включить шифрование съёмных носителей, флешки бухгалтера, на которой она носит отчёты в налоговую, потребуют пароль каждый раз. Я обычно ограничиваюсь шифрованием системных дисков.

Контроль исполнения: дашборд статуса шифрования

После внедрения нужно регулярно убеждаться, что шифрование действительно работает на всех машинах. Я делаю это через Power BI отчёт, который раз в неделю собирает данные из AD и показывает:

Сколько ПК зашифровано полностью
Сколько в процессе шифрования
На каких машинах шифрование вообще не запущено
Когда был последний раз обновлён ключ восстановления
Какие машины давно не подключались к домену

Базовый запрос для отчёта — простой PowerShell, который выводит CSV:

Get-ADComputer -Filter * -Properties msFVE-RecoveryPassword |
  ForEach-Object {
    [PSCustomObject]@{
      Computer = $_.Name
      LastLogon = $_.LastLogonDate
      HasRecoveryKey = if ($_.'msFVE-RecoveryPassword') {"Yes"} else {"No"}
    }
  } | Export-Csv "C:\reports\bitlocker_status.csv" -NoTypeInformation

Дашборд я отдаю руководителю клиента, чтобы он видел: «У нас 28 ПК, 27 зашифрованы, 1 — у Иванова, который уволился две недели назад, нужно сдать машину».

Сколько стоит внедрение BitLocker под ключ

Если у клиента уже есть AD-домен и Windows Pro на ПК, разовая стоимость внедрения BitLocker для офиса в Москве у нас в АйТи Фреш в 2026 году:

Размер офиса	Внедрение под ключ	Включает
До 10 ПК	32 000 ₽	Аудит, GPO, шифрование, дашборд
11–25 ПК	58 000 ₽	+обучение хелпдеска, документация
26–50 ПК	95 000 ₽	+интеграция с MDM, BitLocker для USB
50+ ПК	от 145 000 ₽	Под индивидуальный аудит

Сроки от подписания акта о работах до полного шифрования всех машин — от 5 до 14 рабочих дней в зависимости от размера и состояния парка. Если у клиента нет AD — сначала разворачиваем домен (отдельный проект, 80–180 тыс. руб.).

Защитим данные ваших ноутбуков от потери и кражи

Я лично провожу аудит вашей инфраструктуры и составляю план внедрения BitLocker под ваши задачи. Бесплатный выезд по Москве и в радиусе 50 км от МКАД, письменный отчёт за 2–3 рабочих дня, гарантия результата по договору.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по BitLocker

Нужен ли TPM-чип для BitLocker?: Желательно, но необязательно. Через GPO можно разрешить шифрование без TPM с паролем при загрузке. На современных ноутбуках Lenovo, HP, Dell от 2018 года TPM 2.0 идёт по умолчанию, проверяется командой tpm.msc.
Где хранить ключи восстановления?: Самый надёжный вариант — Active Directory. GPO можно настроить так, чтобы ключ автоматически записывался в атрибуты учётной записи компьютера. Локально храните только пароль администратора домена.
Сколько времени занимает первое шифрование?: Зависит от объёма и скорости диска: SSD 256 GB шифруется 30–50 минут, HDD 1 TB — 4–8 часов. Используется фоновый режим, пользователь может работать.
Что будет, если пользователь потеряет ноутбук?: Без ключа восстановления данные недоступны — алгоритм AES-256 устойчив к подбору. Достаточно записать BitLocker-ключи в AD и иметь физический архив на случай отказа домена.
Замедляет ли BitLocker работу системы?: На NVMe SSD замедление не превышает 3–5 % и незаметно в офисной работе. На старых SATA HDD просадка достигает 15–20 %, поэтому на таких машинах я часто отказываюсь от шифрования системного диска.