Том зашифрован, но ключ шифрования сохраняется «в открытом виде»
Том действительно зашифрован, но BitLocker «приостановлен». Это означает, что ключ шифрования полного тома (FVEK), используемый для шифрования данных, сохраняется на диске в виде открытого текста, где любой может получить к нему доступ. Это означает, что они также могут получить доступ к вашим данным.
Вы можете убедиться в этом сами. Предполагая, что ваш том - C :, запускается manage-bde -on C:
из командной строки с повышенными правами (нет, это не включит BitLocker ... он уже включен):
PS C:\> manage-bde -on c: BitLocker Drive Encryption: Configuration Tool version 10.0.17134 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume C: [Windows] [OS Volume] NOTE: This command did not create any new key protectors. Type "manage-bde -protectors -add -?" for information on adding more key protectors. NOTE: Encryption is already complete. BitLocker protection is suspended until key protectors are created for the volume. To enforce BitLocker protection on this volume, add a key protector.
Обратите внимание на последний оператор в выводе:
Защита BitLocker приостанавливается до тех пор, пока для тома не будут созданы ключевые средства защиты.
Согласно документации Microsoft о приостановке BitLocker :
Приостановка BitLocker не означает, что BitLocker расшифровывает данные на томе. Вместо этого приостановка делает ключ, используемый для расшифровки данных, доступных каждому в открытом виде. Новые данные, записанные на диск, все еще зашифрованы.
Что означает «Ожидание активации»?
Причина, по которой BitLocker «ожидает активации», заключается в том, что для тома не существует средств защиты ключей . BitLocker использует средства защиты для контроля доступа к FVEK. Обратите внимание на вывод manage-bde -protectors C: -get
:
PS C:\> manage-bde -protectors C: -get BitLocker Drive Encryption: Configuration Tool version 10.0.17134 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume C: [Windows] All Key Protectors ERROR: No key protectors found.
Пока не будет создан хотя бы один защитник, BitLocker не сможет выйти из приостановленного режима, и пользовательский интерфейс Windows сообщит, что ожидает активации.
Как закончить активацию BitLocker
Есть несколько способов активировать BitLocker в этой ситуации. Я предпочитаю делать это из панели управления, так как она позволяет вам включить защиту, не требуя учетной записи Microsoft:
В начале поиска
manage BitLocker
и выберите результат из панели управления
В апплете шифрования диска BitLocker нажмите Включить BitLocker.
Выберите один из вариантов резервного копирования ключа восстановления.
Завершите работу мастера.
Результатом завершения работы этого мастера является то, что ваш ключ шифрования тома «защищен» и больше не сохраняется на диске в открытом виде, что означает, что ваши зашифрованные данные теперь фактически защищены от несанкционированного доступа.
Как BitLocker был включен?
Windows может автоматически включить BitLocker после того, как вы завершили стандартную работу (OOBE), если ваше устройство поддерживает Modern Standby или HSTI-совместимо . Начиная с Windows 8.1 BitLocker был автоматически включен на этих устройствах.
Дополнительные ресурсы
- Список различных типов защитных ключей BitLocker
- Ответ SuperUser, обсуждающий взаимосвязь ключа шифрования полного тома и средств защиты ключей.