Security 24 марта 2026 12 мин чтения
ЕС
Евгений Семёнов
Генеральный директор ООО АйТи Фреш · 15+ лет в IT

BitLocker: шифрование дисков в Windows — настройка и управление через GPO и PowerShell

BitLocker шифрование дисков Windows

BitLocker Drive Encryption — встроенная технология шифрования дисков в Windows, доступная в редакциях Pro и Enterprise. Она обеспечивает полнодисковое шифрование (FDE) на уровне томов, защищая данные в случае кражи или потери устройства. В корпоративной среде настройка BitLocker чаще всего выполняется через групповые политики (GPO) и PowerShell. В этой статье разберём все ключевые аспекты: от включения шифрования до резервного копирования ключей восстановления в Active Directory.

Что такое BitLocker и зачем он нужен

BitLocker шифрует весь том (раздел диска) с помощью алгоритма AES-128 или AES-256. Данные на зашифрованном диске недоступны без ключа расшифровки, даже если физически извлечь жёсткий диск и подключить к другому компьютеру.

Основные сценарии использования:

Совет: BitLocker доступен в редакциях Windows 10/11 Pro, Enterprise и Education, а также в Windows Server 2012 и новее. В Windows 11 24H2 шифрование устройства включается автоматически при чистой установке на компьютере с TPM.

Требования для включения BitLocker

Перед настройкой убедитесь, что выполнены следующие условия:

Проверить наличие TPM чипа можно командой:

Get-Tpm | Select-Object TpmPresent, TpmReady, TpmEnabled

Включение BitLocker через PowerShell

Для управления BitLocker через PowerShell используется модуль BitLocker. Сначала установите компонент (на сервере):

Install-WindowsFeature -Name BitLocker -IncludeAllSubFeature -IncludeManagementTools -Restart

Проверьте текущий статус шифрования:

Get-BitLockerVolume | Select-Object MountPoint, VolumeStatus, EncryptionMethod, ProtectionStatus

Включите шифрование системного диска с TPM-защитой:

Enable-BitLocker -MountPoint "C:" -TpmProtector -EncryptionMethod Aes256 -UsedSpaceOnly

Добавьте ключ восстановления (48-значный числовой пароль):

Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector
Важно: Обязательно сохраните ключ восстановления в надёжном месте. Без него восстановить доступ к зашифрованным данным невозможно!

Шифрование без TPM (USB-ключ)

Если компьютер не оснащён TPM-модулем, BitLocker можно использовать с USB-ключом запуска. Сначала нужно разрешить это в групповой политике:

Откройте gpedit.msc и перейдите в: Computer Configuration → Administrative Templates → Windows Components → BitLocker Drive Encryption → Operating System Drives.

Включите политику Require Additional Authentication At Startup и отметьте флажок «Allow BitLocker without a compatible TPM».

Затем активируйте шифрование:

Enable-BitLocker -MountPoint "C:" -StartupKeyProtector -StartupKeyPath "K:"

Где K: — буква USB-накопителя. При каждой загрузке система будет требовать наличие этой флешки.

Настройка BitLocker через групповые политики (GPO)

В доменной среде Active Directory BitLocker настраивается централизованно через GPO. Основные политики находятся в:

Computer Configuration → Policies → Administrative Templates → Windows Components → BitLocker Drive Encryption

Ключевые политики, которые нужно настроить:

Совет: Включите параметр «Do not enable BitLocker until recovery information is stored to AD DS». Это гарантирует, что шифрование не начнётся, пока ключ восстановления не будет сохранён в Active Directory.

После настройки GPO обновите политики на клиентских машинах:

gpupdate /force

Сохранение ключей восстановления в Active Directory

Централизованное хранение ключей восстановления в AD — обязательная практика в корпоративной среде. Требования: схема AD не ниже Windows Server 2012, обновлённые ADMX-шаблоны.

Ручной бэкап ключа в AD для уже зашифрованного диска:

# Получить ID ключа восстановления
manage-bde -protectors -get C:

# Сохранить ключ в AD
manage-bde -protectors -adbackup C: -id {YOUR-KEY-PROTECTOR-ID}

Альтернативно через PowerShell:

$BLV = Get-BitLockerVolume -MountPoint "C:"
$KeyProtectorId = ($BLV.KeyProtector | Where-Object {
    $_.KeyProtectorType -eq "RecoveryPassword"
}).KeyProtectorId

BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $KeyProtectorId

Просмотр ключей BitLocker в Active Directory

Для просмотра ключей в консоли ADUC установите компоненты управления:

Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt,
    RSAT-Feature-Tools-BitLocker-RemoteAdminTool,
    RSAT-Feature-Tools-BitLocker

После установки в свойствах компьютера в ADUC (dsa.msc) появится вкладка BitLocker Recovery. Здесь отображается дата создания, Password ID и полный ключ восстановления.

Поиск ключа по первым 8 символам: в ADUC выберите Action → Find BitLocker recovery password и введите начало Recovery Key, которое пользователь видит на экране восстановления.

Аппаратное шифрование BitLocker на SED-дисках

Современные SSD с поддержкой SED (Self-Encrypting Drives) могут выполнять шифрование на уровне контроллера. Аппаратное шифрование увеличивает производительность на 15-29% по сравнению с программным.

Активация аппаратного шифрования:

Enable-BitLocker -MountPoint "D:" -TpmProtector -HardwareEncryption

Проверка типа шифрования:

manage-bde -status D:

В поле Encryption Method должно отображаться Hardware Encryption. Требования: UEFI с поддержкой EFI_STORAGE_SECURITY_COMMAND_PROTOCOL, драйвер Intel RST 13.2+, диск с поддержкой TCG OPAL и IEEE 1667.

Шифрование виртуальных машин Hyper-V

BitLocker поддерживает шифрование дисков виртуальных машин Hyper-V на Windows Server 2016 и новее, защищая данные даже от администратора хоста.

ВМ 2-го поколения (Gen2) с виртуальным TPM

# Проверка статуса безопасности ВМ
Get-VMSecurity VM01

# Включение виртуального TPM
Enable-VMTPM -VM VM01

# Шифрование трафика миграции
Set-VMSecurity -VM VM01 -EncryptStateAndVmMigrationTraffic $true

ВМ 1-го поколения (Gen1) с Key Storage Drive

Для старых ВМ без виртуального TPM используйте Key Storage Drive (KSD) — виртуальный USB-накопитель 42 МБ. Добавьте его в параметрах безопасности ВМ, затем:

Manage-bde -on C: -StartupKey K:\ -UsedSpaceOnly -SkipHardwareTest
Внимание: Никогда не удаляйте Key Storage Drive после включения шифрования, иначе виртуальная машина не загрузится!

Восстановление данных с зашифрованного диска

Если Windows не загружается, можно разблокировать диск из среды восстановления (WinPE). Загрузитесь с установочного USB и нажмите Shift+F10:

# Проверка статуса
manage-bde -status

# Разблокировка паролем
manage-bde -unlock D: -pw

# Разблокировка ключом восстановления
manage-bde -unlock D: -RecoveryKey J:\path\to\recovery.bek

# Отключение защиты
manage-bde -protectors -disable D:

Для повреждённых томов используйте утилиту repair-bde:

# Восстановление на другой диск
repair-bde D: E: -rp 288409-515086-417208-646712-162954-590172-127512-667568 -Force

# Проверка целостности
chkdsk E: /f
Совет: Ключ восстановления, привязанный к учётной записи Microsoft, можно найти на странице https://account.microsoft.com/devices/recoverykey

Отключение автошифрования в Windows 11

В Windows 11 24H2 Microsoft включила автоматическое шифрование устройства при чистой установке на компьютере с TPM. Если это нежелательно, есть несколько способов отключения.

Через реестр на этапе установки (нажмите Shift+F10 на экране OOBE):

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\BitLocker /v PreventDeviceEncryption /t REG_DWORD /d 1

Отключение шифрования на уже установленной системе:

# Проверить статус
manage-bde -status

# Отключить BitLocker на диске C:
Disable-BitLocker -MountPoint "C:"

# Или через manage-bde
manage-bde -off C:

Управление BitLocker: сводка команд PowerShell

Основные команды для ежедневной работы:

# Статус всех томов
Get-BitLockerVolume

# Включить шифрование
Enable-BitLocker -MountPoint "C:" -TpmProtector -EncryptionMethod Aes256

# Добавить ключ восстановления
Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector

# Приостановить защиту (например, перед обновлением BIOS)
Suspend-BitLocker -MountPoint "C:" -RebootCount 1

# Возобновить защиту
Resume-BitLocker -MountPoint "C:"

# Отключить шифрование
Disable-BitLocker -MountPoint "C:"

# Просмотреть защитники ключей
(Get-BitLockerVolume -MountPoint "C:").KeyProtector
Совет: Перед обновлением BIOS/UEFI всегда приостанавливайте BitLocker командой Suspend-BitLocker. Иначе система потребует ключ восстановления при следующей загрузке.

Официальная документация: Microsoft Learn — Windows Server, Microsoft Learn — PowerShell

Часто задаваемые вопросы

Что такое BitLocker: шифрование дисков в Windows — настройка и управление через GPO и PowerShell?

BitLocker: шифрование дисков в Windows — настройка и управление через GPO и PowerShell — это важный аспект системного администрирования, который позволяет настроить и оптимизировать работу IT-инфраструктуры. В данной статье подробно рассматриваются все ключевые моменты.

Как правильно настроить BitLocker: шифрование дисков в Windows — настройка и управление через GPO и PowerShell?

Для корректной настройки BitLocker: шифрование дисков в Windows — настройка и управление через GPO и PowerShell необходимо следовать пошаговой инструкции, представленной в статье выше. Важно учитывать особенности вашей инфраструктуры и требования безопасности.

Какие типичные ошибки возникают при работе с BitLocker: шифрование дисков в Windows — настройка и управление через GPO и PowerShell?

Наиболее частые ошибки при работе с BitLocker: шифрование дисков в Windows — настройка и управление через GPO и PowerShell: некорректная конфигурация, недостаточные права доступа и несовместимость версий. Рекомендуем обратиться к специалистам ITFresh для профессиональной настройки.

Читайте также

Профессиональная помощь

Настроим шифрование BitLocker в вашей инфраструктуре

Развернём BitLocker через GPO, настроим централизованное хранение ключей в AD и обеспечим защиту данных на всех рабочих станциях и серверах. 15+ лет опыта в IT-аутсорсинге.

15+лет опыта
25+клиентов
8серверов Dell
Написать в Telegram +7 903 729-62-41