Skip to main content
Surveillance
Self-Defense

Руководство по шифрованию накопителя в Windows, Mac или Linux

Последнее обновление: January 22, 2024

This page was translated from English. The English version may be more up-to-date.

Шифрование накопителя компьютера — это простой, но мощный инструмент для защиты ваших данных. Функция полного шифрования диска (также известная как шифрование устройства) шифрует все данные на вашем компьютере, поэтому их нельзя просмотреть, если при входе в систему не будет введен пароль .

Зачем нужно шифрование диска

Полное шифрование диска (накопителя) способно защитить компьютер (или смартфон) от людей, имеющих физический доступ к устройству. Это полезно, если вы хотите защитить данные от соседей по комнате, коллег или работодателей, членов семьи, партнёров, сотрудников полиции или прочих правоохранительных органов. Шифрование позволит защитить данные на устройствах в случае их кражи или утери — например, если вы случайно оставите ноутбук в автобусе или кафе.

Полное шифрование шифрует весь накопитель после выключения компьютера. Когда вы включаете его и входите в систему со своим паролем, то все данные на устройстве расшифровываются. И Microsoft, и Apple бесплатно предоставляют встроенные в свои операционные системы инструменты для активации полного шифрования диска (оба используют алгоритм шифрования данных XTS-AES), поэтому нет необходимости загрузки стороннего программного обеспечения. Это закрытые запатентованные решения, но если вы используете Windows или macOS, вы уже в какой-то степени должны доверять Microsoft и Apple. Большинство дистрибутивов Linux используют Linux Unified Key Setup (LUKS).

При настройке полного шифрование диска у вас будет возможность создать «ключ восстановления», который позволит получить доступ к компьютеру, если вы забудете пароль. Ключ восстановления — это очень длинная строка цифр, которую можно записать на листе бумаги, распечатать или скопировать и вставить в документ. Ниже мы рассмотрим плюсы и минусы всех вариантов.

Операционная система macOS всегда предлагает возможность сохранить ключ восстановления локально. Поведение Microsoft вызывает смешанные чувства – Windows может вообще не предложить шифрование устройства или предложит, но потребует, чтобы вы хранили ключ восстановления в облаке учётной записи Microsoft. Если это противоречит вашим принципам, вы можете использовать стороннее программное обеспечение для шифрования (например, VeraCrypt), хотя оно сложнее в эксплуатации, чем решения от Microsoft и Apple. Если вы выберете VeraCrypt, руководство Фонда свободы прессы поможет вам на всех этапах процесса шифрования.

Как только шифрование будет активировано, при включении компьютера или выходе из спящего режима вам нужно будет вводить пароль учётной записи компьютера. Это позволит защитить ваши данные, когда компьютер находится в спящем режиме. Также это способствует защите от тех, кто может достать ваш накопитель и установить его на другой компьютер, чтобы получить доступ к вашим данным.

Как хранить ключ восстановления: локально или онлайн? anchor link

Основной недостаток шифрования устройства заключается в том, что, если вы потеряете доступ к ключу восстановления или паролю, ваши данные, скорее всего, безвозвратно будут утеряны. Вот почему и Microsoft, и Apple предлагают несколько способов расшифровки накопителя.

В процессе шифрования диска вам предоставляется два варианта: (1) локальное хранение ключа или (2) хранение его онлайн в вашей учётной записи Apple или Microsoft. При втором варианте вы можете разблокировать диск с помощью тех же учётных данных, которые используете для входа в Microsoft или Apple. Если вы выбрали второй вариант, то в случае утери пароля или ключа восстановления Microsoft или Apple смогут помочь вам восстановить доступ. Однако это удобство имеет недостаток, поскольку подразумевает, что у Microsoft или Apple будет пароль, необходимый для расшифровки данных и входа в ваш компьютер. Если потребуется передать эту информацию правоохранительным органам, то они это сделают. Однако шифрование по-прежнему защитит ваш компьютер от попыток доступа со стороны лиц, не относящихся к силовым структурам, например в случае кражи.

Первый вариант требует, чтобы вы сохранили ключ восстановления самостоятельно и либо распечатали его на листе бумаги, либо сохранили цифровую копию. В этом случае Microsoft или Apple не будут иметь доступ к ключу восстановления. Недостаток первого варианта заключается в том, при утере ключа возможности восстановления, сброса пароля или иной помощи не будет. Хотя этот вариант звучит безопаснее, чем хранение ключа восстановления в учётной записи Apple или Microsoft, имейте в виду, что важно хранить ключ в надёжном месте, поскольку любой нашедший его сможет разблокировать ваш компьютер. Имейте в виду:

  • Если вы распечатаете ключ восстановления, позаботьтесь о его сохранности. Храните его в огнеупорном сейфе или у надёжных друзей и членов семьи, а не у себя дома.
  • Если у вас есть цифровая копия, не храните её на своем компьютере или в каком-либо облачном сервисе. Вместо этого сохраните ключ в менеджере паролей, использующем уникальные имя пользователя и пароль.

Если вы решите сохранить ключ восстановления самостоятельно, вы увидите последовательность букв и цифр. Важно сохранить этот ключ, потому что, если вы забудете пароль для входа в систему, Microsoft или Apple никак не смогут помочь восстановить его. А без пароля вы не сможете получить доступ к накопителю и навсегда потеряете свои файлы.

Как зашифровать накопитель в Windows

В зависимости от типа компьютера и версии операционной системы Windows может предлагать разные названия для шифрования всего диска: шифрование устройства и BitLocker. Шифрование устройств доступно во всех современных версиях Windows, но только в том случае, если оборудование его поддерживает. Компьютер должен содержать специальный модуль (TPM, Trusted Platform Module), а производитель может включить дополнительно несколько методов защиты. BitLocker требует лишь TPM, но доступен только для Windows 10 (и 11) редакций Pro, Education и Enterprise.

Если у вас Windows 10 (или 11) Home и оборудование, которое не поддерживает шифрование устройств, то в настройках может отсутствовать опция шифрования. В этом случае мы рекомендуем следовать руководству по Veracrypt от Фонда свободы прессы.

Выяснить доступный вам способ шифрования может оказаться непросто. На некоторых ноутбуках Windows по умолчанию включено шифрование устройств. Вы можете проверить это.

Windows 10

  1. Откройте Параметры (Settings) > Обновление и безопасность (Update & Security). Найдите и нажмите «Шифрование устройства» (Device encryption) на левой боковой панели настроек. Если пункт «Шифрование устройства» отсутствует, попробуйте выполнить поиск «Шифрование устройства» в строке поиска.
  2. Если шифрование устройства отключено, включите его. Для завершения процесса может потребоваться авторизация в учётной записи Microsoft. Если вы не хотите сохранять ключ восстановления в учётной записи Microsoft, но это требуется для продолжения, то, скорее всего, вам придётся воспользоваться сторонними инструментами.

Если пункт «Шифрование устройства» отсутствует, попробуйте выполнить поиск BitLocker, который присутствует в Windows 10 и 11 Pro, Education и Enterprise. В Windows 10 переключатель Bitlocker расположен несколько иначе:

  1. В поле поиска на панели задач введите «Управление BitLocker», а затем кликните на него в результатах.
  2. Нажмите «Включить BitLocker» (Turn on BitLocker) и следуйте инструкциям. Вам потребуется придумать пароль, а затем будет предоставлен выбор способа хранения ключа восстановления: либо в учётной записи Microsoft, либо в виде файла или распечатки.

Windows 11

В Windows 11 шифрование устройства и BitLocker будут отображаться в одном и том же месте:

  1. Откройте Параметры (Settings) > Конфиденциальность и безопасность (Privacy & security) > Шифрование устройства (Device encryption).
  2. Если шифрование устройства отключено, включите его. В качестве альтернативы вы можете воспользоваться шифрованием BitLocker, опция для включения которого находится здесь же. Для завершения процесса вам может потребоваться войти в систему с учётной записью Microsoft. При шифровании с помощью BitLocker вы сначала создаёте пароль, а затем получаете возможность сохранить ключ восстановления либо в учётной записи Microsoft, либо в виде файла или распечатки.

Microsoft может менять местами элементы настроек в обновлениях. Поэтому, если вы не смогли найти опцию для шифрования устройства по инструкции выше, обратитесь за актуальной информацией к статьям службы поддержки Microsoft Windows. Если это не помогло, попробуйте выполнить поиск в Интернете. Введите в строку поиска имя изготовителя вашего компьютера и фразу «шифрование устройства». Так вы сможете посмотреть, имеются для вашего устройства специальные инструкции.

Как зашифровать накопитель на Mac

Если вы используете macOS версии 10.7 или новее, то шифрование будет выполняться с помощью бесплатного встроенного инструмента FileVault.

Если у вас Mac, выпущенный последние пару лет, FileVault, скорее всего, будет включен по умолчанию. Но если у вас более старый компьютер или вы отказались от этой функции при первоначальной настройке, то нужно проверить, включено ли шифрование.

Для macOS Ventura или новее:

  1. Откройте Системные настройки (System Settings), нажмите на Конфиденциальность и безопасность (Security & Privacy) и прокрутите вниз до раздела FileVault.
  2. Нажмите кнопку Включить (Turn On) и следуйте инструкциям на экране.

Apple предоставляет на выбор два способа хранения ключа восстановления: в учётной записи Apple или локально. Если вы решите хранить ключ локально, сохраните его в надёжном месте. Если вы забудете пароль для входа в систему и потеряете ключ, то потеряете доступ к своим данным.

Если у вас более старая версия операционной системы, ознакомьтесь с соответствующим руководством Apple.

Как зашифровать накопитель в Linux

Большинство дистрибутивов Linux предполагают включение полного шифрования накопителя при установке системы. Зачастую шифрование производится при помощи Linux Unified Key Setup (LUKS). В отличие от Windows и macOS, зашифровать накопитель в большинстве дистрибутивов Linux можно только во время установки операционной системы (сделать это постфактум возможно, но это требует опыта, и могут возникнуть трудности). Поэтому, если вы не включили шифрование во время установки, скорее всего, вам потребуется стереть содержимое накопителя перед переустановкой Linux и зашифровать его в процессе. Но сначала обязательно сделайте резервную копию важных файлов!

Написанное выше относится к большинству популярных дистрибутивов Linux, включая Ubuntu, Arch Linux и Fedora.

Существует множество различных дистрибутивов Linux, и мы не можем изложить здесь все инструкции. Однако, чтобы дать вам представление о том, как это работает, давайте рассмотрим процесс шифрование в Ubuntu:

  1. Скачайте последнюю версию Ubuntu и запишите образ на носитель.
  2. Когда вы окажитесь на начальном экране установки, нажмите «Установить Ubuntu», затем выберите предпочитаемую раскладку клавиатуры и продолжите настройку системы.
  3. Когда вы перейдёте к экрану «Тип установки», нажмите на «Дополнительные возможности».
  4. Выберите «Использовать LVM при новой установке Ubuntu» и установите флажок «Зашифровать новую установку Ubuntu в целях безопасности».
  5. Нажмите «ОК», затем «Установить сейчас».
  6. В поле «Выберите ключ безопасности» введите пароль для шифрования диска (обязательно используйте надёжный пароль!), затем введите его ещё раз в поле «Подтвердите ключ безопасности».
  7. При желании вы можете установить флажок «Включить ключ восстановления». Как и в случае с Mac и Windows, это позволит восстановить доступ к системе, если вы забудете пароль. Вы можете записать ключ на бумаге или сохранить его в менеджере паролей. У вас также есть возможность дополнительно создать файл «recovery.key», который будет доступен после завершения установки. Затем вы можете переместить этот файл в надежное место.
  8. Нажмите «Установить сейчас» и следуйте инструкциям для завершения процесса установки.

После установки Ubuntu нужно будет вводить пароль шифрования при каждом включении компьютера. Обратите внимание, что он отличается от пароля для входа в систему, который нужно вводить каждый раз, когда компьютер выходит из спящего режима.