Администрирование Безопасность VeraCrypt: как зашифровать системный диск Windows Thu, November 21 2024  

Поделиться

Нашли опечатку?

Пожалуйста, сообщите об этом - просто выделите ошибочное слово или фразу и нажмите Shift Enter.


VeraCrypt: как зашифровать системный диск Windows Печать
Добавил(а) microsin   

Поменял в ноутбуке системный диск на SSD, переустановил Windows 10 Pro, и решил зашифровать системный диск утилитой TrueCrypt [1]. Однако оказалось, что последняя версия TrueCrypt 7.0a поддерживает только системные разделы MBR, но Windows 10 была установлена по умолчанию на раздел GPT (GUID Partition Table).

Нужно было искать другой доступный вариант. BitLocker рассматривать не хотелось, потому что он закрытый, и доверия к нему нет. Непродолжительное поиск в Интернете подсказал, что есть хорошая бесплатная альтернатива - VeraCrypt, которая в том числе поддерживает шифрование TrueCrypt (фактически VeraCrypt является преемником TrueCrypt).

Установка VeraCrypt точно такая же, как и TrueCrypt, и никаких проблем не вызвала. Единственная особенность - инсталлятор VeraCrypt предложил отключить функцию быстрой загрузки, потому что с ней могут быть проблемы на шифрованных дисках. Пришлось эту функцию отключить.

Очень порадовало, что интерфейс VeraCrypt полностью копирует интерфейс TrueCrypt. Ниже приведу процесс шифрования системного диска Windows 10 Pro по шагам.

1. Выберите в меню System -> Encrypt System Partition/Drive..., откроется диалог мастера шифрования диска.

VeraCrypt encrypt diskC 01

2. Первое окно диалога предложит выбрать, каким способом будет шифроваться системный раздел.

VeraCrypt encrypt diskC 02

3. Следующее окно выбирает, что шифровать - системный раздел Windows, либо диск целиком. Если Windows занимает весь диск целиком, то будет доступен только первый вариант.

VeraCrypt encrypt diskC 03

4. Следующее окно позволяет выбрать, сколько операционных систем будет загружаться с диска. Мне нужна была только система Windows, поэтому выбрал Single-boot.

VeraCrypt encrypt diskC 04

5. Здесь выбираются опции алгоритма шифрования. Поскольку не хотелось вникать в эти подробности, оставил все настройки по умолчанию.

VeraCrypt encrypt diskC 05

6. Окно ввода пароля.

VeraCrypt encrypt diskC 06

7. Окно для генерации случайных данных для ключа. Повозите курсором мыши, пока линейка прогресса не дойдет до конца, и кликните Next.

VeraCrypt encrypt diskC 07

8. Здесь можно посмотреть сгенерированные ключи. Просто кликните Next.

VeraCrypt encrypt diskC 08

9. Окно сохранения файлов для диска восстановления. Чтобы ускорить процесс, установите галочку "Skip Rescue Disk verification", и кликните Next.

VeraCrypt encrypt diskC 09

10. Будет создан архив с файлами диска восстановления, и сохранен в папку Documents пользователя. Сделайте на всякий случай копию этого архива. Кликните Next для продолжения.

VeraCrypt encrypt diskC 10

11. Предупреждающее окно с сообщением о том, что новый созданный VeraCrypt Rescue Disk подойдет только для этого нового шифруемого диска, но не для дисков, зашифрованных ранее. Кликните OK.

VeraCrypt encrypt diskC 11

12. Выбор режима очистки данных на диске. Оставьте выбор по умолчанию None, чтобы ускорить процесс и сберечь ресурс диска.

VeraCrypt encrypt diskC 12

13. Запуск предварительного теста шифрования. Кликните Test, на окне с информационным текстом кликните OK.

VeraCrypt encrypt diskC 13

VeraCrypt encrypt diskC 14

ВАЖНЫЕ ЗАМЕЧАНИЯ -- ПРОЧИТАЙТЕ ИЛИ РАСПЕЧАТАЙТЕ (кликните 'Print'):

Имейте в виду, что никакие Ваши файлы не будут зашифрованы, пока не будет успешно перезагружен компьютер и не запустится Windows. Таким образом, если что-то пойдет не так с тестом, то данные НЕ БУДУТ ПОТЕРЯНЫ. Однако если произойдет какой-то сбой, есть вероятность столкнуться с проблемами старта Windows. Поэтому пожалуйста прочитайте (и, если есть возможность, то распечатайте) указания в тексте далее. Это поможет разобраться с проблемой запуска Windows, когда вы перезагрузите компьютер.

Что делать, если Windows не может запуститься
--------------------------------------------------------

Примечание: эти инструкции подойдут только если не было запущено шифрование.

- Если Windows не запускается после того, как Вы ввели пароль (или если Вы несколько раз ввели корректный пароль, но VeraCrypt сообщает, что пароль некорректен), не паникуйте. Перезапустите компьютер (выключением и повторным включением питания), и на экране загрузчика (VeraCrypt Boot Loader screen) нажмите кнопку Esc на клавиатуре (если у Вас установлено несколько операционных систем, то выберите ту, которую хотите запустить). Тогда Windows должна запуститься (в том случае, когда диск не зашифрован), и VeraCrypt автоматически выдаст запрос - хотите ли Вы деинсталлировать компонент предварительной аутентификации (pre-boot authentication component). Обратите внимание, что предыдущие шаги не сработают, если системный раздел/диск зашифрован (никто не сможет запустить Windows, или никто не сможет получить доступ к данным на диске без корректного пароля, даже если были выполнены предыдущие действия).

- Если предыдущие шаги не помогли, или если экран VeraCrypt Boot Loader не появился (до запуска Windows), вставьте VeraCrypt Rescue Disk в свой привод CD/DVD и перезапустите компьютер. Если экран VeraCrypt Rescue Disk не появляется (или если Вы не видите пункт 'Repair Options' в секции 'Keyboard Controls' экрана VeraCrypt Rescue Disk), то возможно Ваша BIOS сконфигурирована на принудительный запуск с жесткого диска, перед тем, как попытаться запуститься с приводов CD/DVD. Если это так, то перезапустите компьютер, нажмите F2 или Delete (как только увидите экран запуска BIOS start-up), и подождите появления окна конфигурирования BIOS. Если окно конфигурирования BIOS не появилось, перезапустите компьютер снова (через сброс, или через выключение/выключение питания), и постоянно делайте нажатия F2 или Delete. После появления окна конфигурации BIOS измените настройку загрузки, чтобы она сначала происходила с привода CD/DVD (как это делается, см. документацию на BIOS/материнскую плату, или свяжитесь с продавцом компьютера или техподдержкой фирмы). После этого перезапустите компьютер, и должен появиться экран VeraCrypt Rescue Disk. На этом экране выберите 'Repair Options' нажатием F8 на клавиатуре. В меню 'Repair Options' выберите 'Restore original system loader'. Затем извлеките VeraCrypt Rescue Disk из привода CD/DVD и перезапустите компьютер. Windows должна нормально запуститься (в том случае, когда диск не зашифрован).

Имейте в виду, что описанные шаги НЕ БУДУТ РАБОТАТЬ, если системный раздел/диск зашифрован (никто не сможет запустить Windows, или никто не сможет получить доступ к данным на диске без корректного пароля, даже если правильно были выполнены предыдущие действия описанных выше шагов).

Если Вы потеряете VeraCrypt Rescue Disk и атакующий найдет его, то он или она НЕ СМОГУТ расшифровать системный раздел или диск, не зная правильного пароля.

14. Окно перезапуска. Кликните Yes.

VeraCrypt encrypt diskC 15

Компьютер перезагрузится. До запуска Windows выведется запроса на ввод пароля. После этого Windows запустится как обычно.

15. После того, как Windows загрузится, снова запустите VeraCrypt. Появится окно, сообщающее об успешном завершении предварительного теста.

VeraCrypt encrypt diskC 16

16. Откроется еще одно окно с информационным текстом, кликните OK.

VeraCrypt encrypt diskC 17

ЕСЛИ ЕСТЬ ВОЗМОЖНОСТЬ, РАСПЕЧАТАЙТЕ ЭТОТ ТЕКСТ (кликните на кнопку 'Print').

Как и когда использовать VeraCrypt Rescue Disk (после того, как диск зашифрован)
-------------------------------------------------------------------------------------------------

I. Как выполнить загрузку с VeraCrypt Rescue Disk

Для загрузки с VeraCrypt Rescue Disk, установите его в свой привод CD/DVD, и перезагрузите компьютер. Если экран меню VeraCrypt Rescue Disk не появляется (или если Вы не видите пункт 'Repair Options' в секции 'Keyboard Controls' меню экрана), то возможно BIOS сконфигурирована на запуск с жесткого диска, перед тем, как попытаться загрузиться с приводов CD/DVD.Если это так, то перезапустите компьютер, нажмите F2 или Delete (как только увидите экран запуска BIOS start-up), и подождите появления окна конфигурирования BIOS. Если окно конфигурирования BIOS не появилось, перезапустите компьютер снова (через сброс, или через выключение/выключение питания), и постоянно делайте нажатия F2 или Delete. После появления окна конфигурации BIOS измените настройку загрузки, чтобы она сначала происходила с привода CD/DVD (как это делается, см. документацию на BIOS/материнскую плату, или свяжитесь с продавцом компьютера или техподдержкой фирмы). После этого перезапустите компьютер, и должен появиться экран VeraCrypt Rescue Disk. Замечание: на экране VeraCrypt Rescue Disk Вы сможете выбрать 'Repair Options' нажатием F8 на клавиатуре.

II. Как и когда использовать VeraCrypt Rescue Disk (после того, как диск зашифрован)

1) Если экран загрузчика (VeraCrypt Boot Loader screen) не появляется, когда Вы запускаете свой компьютер (или если Windows не загружается), то возможно поврежден загрузчик VeraCrypt. VeraCrypt Rescue Disk позволяет восстановить его, и тем самым восстановить доступ к зашифрованной системе и данным (однако имейте в виду, что для этого надо знать и ввести корректный пароль). На экране VeraCrypt Rescue Disk выберите 'Repair Options' -> 'Restore VeraCrypt Boot Loader'. Затем нажмите 'Y' для подтверждения действия, удалите Rescue Disk из привода CD/DVD и перезагрузите компьютер.

2) Если Вы несколько раз ввели правильный пароль, но VeraCrypt говорит, что пароль некорректен, то может быть поврежден master key или другие критичные данные. VeraCrypt Rescue Disk позволит восстановить их и тем самым восстановить доступ к зашифрованной системе и данным (однако имейте в виду, что для этого надо знать и ввести корректный пароль). На экране VeraCrypt Rescue Disk выберите 'Repair Options' -> 'Restore key data'. Затем введите пароль, нажмите 'Y' для подтверждения действия, удалите Rescue Disk из привода CD/DVD и перезагрузите компьютер.

3) Если поврежден VeraCrypt Boot Loader, то Вы можете обойти эту проблему путем загрузки системы непосредственно из меню VeraCrypt Rescue Disk. Установите VeraCrypt Rescue Disk в привод CD/DVD и введите пароль на экране Rescue Disk.

4) Если Windows повреждена и не может запуститься, то VeraCrypt Rescue Disk может полностью расшифровать раздел/диск перед запуском Windows. На экране VeraCrypt Rescue Disk выберите 'Repair Options' -> 'Permanently decrypt system partition/drive'. Введите правильный пароль и дождитесь завершения дешифровки диска. После этого Вы сможете запустить MS Windows setup CD/DVD, чтобы восстановить свою инсталляцию Windows.

Замечание: альтернативно, если Windows повреждена (не может запуститься) и Вам нужно починить её (или получить доступ к её файлам), то можно пропустить полную расшифровку системного раздела/диска путем выполнения следующих шагов. Если у Вас установлено несколько операционных систем, то загрузите ту из них, которая не требует предварительной аутентификации паролю VeraCrypt. Если у Вас установлена только одна операционная система, то можно загрузиться с WinPE CD/DVD, или с BartPE CD/DVD, или можно подключить Ваш системный диск как вторичный или внешний к другому компьютеру, и затем загрузить его операционную систему. После этого запустите VeraCrypt, кликните 'Select Device', выберите нужный системный раздел, кликните 'OK', выберите 'System' -> 'Mount Without Pre-Boot Authentication', введите пароль и кликните 'OK'. Раздел будет смонтирован как обычный том VeraCrypt (данные будут шифроваться/расшифровываться на лету RAM при доступе к диску, как обычно).

Если Вы потеряете VeraCrypt Rescue Disk и атакующий найдет его, то он или она НЕ СМОГУТ расшифровать системный раздел или диск, не зная правильного пароля.

17. Запустится процесс шифрования диска, который займет некоторое время.

VeraCrypt encrypt diskC 18

18. Шифрование диска закончено. Кликните OK, и затем Finish.

VeraCrypt encrypt diskC 19

[Ссылки]

1. Программа для шифрования дисков TrueCrypt.
2. VeraCrypt is a free open source disk encryption software site:veracrypt.fr.
3VeraCrypt PIM.

 

Добавить комментарий


Защитный код
Обновить

Top of Page