В начале 2025 года ФБР вручило Microsoft ордер на получение ключей шифрования BitLocker с нескольких ноутбуков. Следователи считали, что на них хранятся доказательства мошенничества в программе помощи безработным в связи с COVID-19 на Гуаме. Microsoft выполнила запрос — и передала ключи.

Как такое стало возможно

BitLocker — технология полного шифрования диска, встроенная в Windows уже почти двадцать лет. Когда-то она была доступна только в версиях Pro и включалась вручную, но начиная с Windows 8 Microsoft стала автоматически шифровать диски на всех ПК — и Home, и Pro — при входе через учётную запись Microsoft. При таком сценарии ключ восстановления автоматически загружается на серверы Microsoft. Это удобно: если что-то пойдёт не так с системой или вы замените железо, ключ поможет разблокировать диск. Но это же позволяет Microsoft разблокировать ваш диск по запросу.

По словам представителя Microsoft, компания получает «около 20» подобных запросов от госорганов в год. Многие из них отклоняются — просто потому, что пользователи не хранят ключи в облаке. Microsoft и другие технологические компании, как правило, противятся требованиям создавать универсальные бэкдоры для правоохранителей. Некоторые компании — например, Apple — заявляют, что хранят ключи шифрования с дополнительным уровнем защиты, делающим их недоступными для самой компании. Microsoft так не делает.

Хранение ключей восстановления в чужом облаке — это потенциальная угроза конфиденциальности и безопасности. Не только из-за запросов властей: любая утечка или взлом облачной инфраструктуры Microsoft ставит под угрозу и ваш ключ.

Если вы хотите зашифровать диск Windows-компьютера, но не хотите отдавать ключ Microsoft, у вас есть вариант. Ниже — что для этого понадобится и какие шаги нужно пройти.

Для этого понадобится Windows 11 Pro

В разделе «Параметры» > «Система» > «Активация» вы узнаете, какая у вас версия Windows 11, и получите несколько вариантов обновления
В разделе «Параметры» > «Система» > «Активация» вы узнаете, какая у вас версия Windows 11, и получите несколько вариантов обновления

Прежде чем начинать: в шифровании диска заложено одно из немногих реальных отличий между Home и Pro.

Обе версии Windows поддерживают шифрование, но только Pro даёт пользователю полный контроль над процессом. Домашняя версия шифрует диск только при входе через учётную запись Microsoft и предлагает хранить ключ исключительно на серверах Microsoft — альтернатив нет.

Чтобы получить доступ к полной версии BitLocker и самостоятельно управлять ключом восстановления, нужно обновиться до Pro. Microsoft предлагает апгрейд через Microsoft Store за 99 долларов. Существуют и сторонние продавцы ключей с более низкими ценами, но результат может отличаться.

Когда ключ на руках, путь следующий: Параметры → Система → Активация → Обновить версию Windows → Изменить ключ продукта — и ввести ключ Pro. Подойдут и ключи Windows 10 Pro, если такой уже есть. Хорошая новость: переход не требует переустановки системы. Потребуется только перезагрузка, все приложения и данные останутся на месте.

После однократного обновления до Pro вы сможете переустановить и активировать эту версию на том же компьютере в любое время без повторного ввода ключа. Тем не менее сохраните ключ где-нибудь — он может пригодиться при переустановке или после серьёзного обновления железа.

Шифрование (или перешифрование) диска

Windows 11 Pro установлен — настало время разобраться с шифрованием.

Если вы входили через учётную запись Microsoft, диск, скорее всего, уже зашифрован, а ключ уже хранится на серверах Microsoft. В этом случае придётся полностью расшифровать диск, а затем зашифровать его заново — это может занять час-два в зависимости от скорости ПК и объёма диска.

Вот пошаговый порядок действий.

Проверяем текущий статус

Если вы не вошли в систему с помощью учетной записи Microsoft, ваш ключ не будет сохранен на серверах Microsoft, и вы можете пропустить этап расшифровки
Если вы не вошли в систему с помощью учетной записи Microsoft, ваш ключ не будет сохранен на серверах Microsoft, и вы можете пропустить этап расшифровки

Откройте Параметры → Конфиденциальность и безопасность → Шифрование устройства.

Если вы видите сообщение о необходимости войти через учётную запись Microsoft, чтобы «завершить шифрование этого устройства», — значит, ключ в облако ещё не отправлен, и вы можете сразу перейти к включению BitLocker (шаг 4 ниже).

Расшифровываем диск (если ключ уже в облаке)

Если вы уже создали резервную копию своего ключа в Microsoft, первым шагом будет расшифровка диска
Если вы уже создали резервную копию своего ключа в Microsoft, первым шагом будет расшифровка диска

Если устройство уже зашифровано, первым делом выключите переключатель «Шифрование устройства». Подтвердите действие и дождитесь расшифровки. Windows предупредит, что это может занять некоторое время — и это действительно так.

Включаем BitLocker вручную

После расшифровки нажмите «Шифрование диска BitLocker» в соответствующем подразделе. Характерная деталь: Microsoft до сих пор открывает старую панель управления родом из эпохи Vista, а не новое приложение «Параметры». Это красноречиво говорит о том, как часто Microsoft ожидает, что пользователи сюда заглянут.

Нажмите «Включить BitLocker» рядом с диском C: и другими внутренними дисками, которые хотите зашифровать. И вот теперь — ради чего всё затевалось — вы наконец можете сохранить ключ восстановления не в учётную запись Microsoft.

Сохраняем ключ у себя

Два варианта:

  • Распечатать бумажную копию и хранить в надёжном месте.

  • Сохранить в текстовый файл — но только на внешний диск или сетевой накопитель. Windows по понятным причинам не даст сохранить ключ на тот самый диск, который вы собираетесь зашифровать.

Для компаний с парком машин имеет смысл хранить ключи восстановления в облачном хранилище, которое находится в предсказуемой юрисдикции и под вашим контролем, — например, в объектном хранилище Cloud4Y с дата-центрами в России.

Выбираем параметры шифрования

Далее система предложит зашифровать только занятую часть диска или весь диск целиком. Рекомендация — полное шифрование: оно исключает возможность восстановления ранее удалённых данных из незашифрованных областей.

Также стоит выбрать «новый режим шифрования» и разрешить системе запустить проверку BitLocker перед шифрованием — хотя для большинства ПК это скорее формальность.

После перезагрузки начнётся шифрование диска
После перезагрузки начнётся шифрование диска

Перезагрузка и шифрование

После перезагрузки начнётся процесс шифрования в фоновом режиме. Прогресс можно отслеживать по значку в системном трее. Время зависит от объёма диска и возраста компьютера.

Шифрование может занять некоторое время, особенно для дисков большого размера
Шифрование может занять некоторое время, особенно для дисков большого размера

Что в итоге

После перешифрования компьютер работает точно так же, как раньше. Технология шифрования не изменилась — изменилось только место хранения ключа восстановления.

Это, конечно, создаёт дополнительные хлопоты. Придётся помнить, куда вы положили ключ, и не перепутать его с ключами от других компьютеров или старых установок Windows. Но для тех, кого беспокоит, что Microsoft может передать ключ шифрования по запросу — будь то правительство или кто-то ещё с законным основанием, — эти хлопоты стоят спокойствия.