заметка написана по следам публикаций в блоге https://www.outsidethebox.ms/22452/. Рекомендую подписаться на автора, регулярные публикации по тонкостям виндоводства обеспечены

Один из вопросов, остававшихся после моей миграции с макоси — шифрование диска. У подданных племени тимкукового всё работает из коробки, и потеря устройства почти гарантированно обеспечивает вам защиту данных. Оказалось, что в виндовые края благолепие шифрования для всех здесь и сейчас тоже недавно завезли.

Если кратко, теперь даже домашние пользователи, и даже пользователи с локальными учётными записями на компе (то есть, по-старинке не пользующиеся учетными записями Microsoft), могут штатными средствами шифровать системные диски и диски с данными , и ничего им за это не будет . Главное в таком сценарии — самостоятельно сохранить себе ключи восстановления, потому что в облако или домен их за вас никто не положит.

Все следующие настройки нужно выполнять в сеансе администратора (надеюсь, в обычном использовании компьютера вы работаете под учётной записью без расширенных полномочий, дорогие ребята).

Сценарий прост:

• смотрим текущий статус шифрования через Get-BitLockerVolume:

Get-BitLockerVolume

• если статус FullyDecrypted — стартуем шифрование прям в гуе «Параметры — Конфиденциальность и защита — Шифрование устройства — вкл»
• дожидаемся окончания шифрования (статус в процессе меняется FullyDecrypted -> EncryptionInProgress -> FullyEncrypted) и растут процентики
• к моменту FullyEncrypted — и это неочевидный нюанс — диски фактически зашифрованы, но не защищены предохранителями, то есть к зашифрованным данным можно легко получить доступ. Поэтому нужно завершить процесс, активировав защиту
• Активируем защиту на системном диске:

# добавить предохранитель TPM
Add-BitLockerKeyProtector -MountPoint "C:" -TpmProtector
# добавить пароль восстановления в качестве предохранителя и включить защиту
Get-BitLockerVolume -MountPoint "C:" | Enable-BitLocker -RecoveryPasswordProtector | Resume-BitLocker

• Активируем защиту на дисках с данными (если они есть):

# выбрать диски кроме С
$fdv = Get-BitLockerVolume | where MountPoint -notmatch 'c:'
# добавить пароль восстановления в качестве предохранителя, включить авторазблокировку тома
$fdv | Enable-BitLocker -RecoveryPasswordProtector | Enable-BitLockerAutoUnlock
# включить защиту
$fdv | Resume-BitLocker

• обязательно узнаём ключи восстановления и сохраняем их себе куда-то не на этот компьютер. Рекомендую защищенные парольные хранилища вроде KeePass

# Для одного тома:
(Get-BitLockerVolume C:).KeyProtector.RecoveryPassword
# Аналог команды в CMD:
manage-bde -protectors -get C:

Готово! Диски зашифрованы, вы великолепны!