VeraCrypt

Документация >> Шифрование системы

Шифрование системы

VeraCrypt позволяет "на лету" шифровать системный раздел или весь системный диск, то есть раздел или диск, где установлена Windows и с которого она загружается.
Шифрование системы обеспечивает наивысший уровень надёжности и безопасности, так как все файлы, включая любые временные файлы, создаваемые Windows и приложениями в системном разделе (как правило, без вашего ведома и согласия), файлы гибернации, файлы подкачки и т. д., всегда остаются зашифрованными (даже при внезапном пропадании питания). Кроме того, Windows записывает множество данных, которые потенциально могут нести конфиденциальную нагрузку, например имена и пути открываемых вами файлов, запускаемые вами программы и др. Все такие файлы-журналы и записи в реестре также всегда остаются зашифрованными.
Примечание касательно SSD-накопителей и операции TRIM: При шифровании системы на твердотельных накопителях (SSD) важно учитывать последствия операции TRIM, которая потенциально может раскрыть информацию о том, какие сектора на диске не используются. Инструкции о том, как операция TRIM работает с VeraCrypt и как управлять её настройками для повышения безопасности, см. в документации в главе Операция TRIM.
Шифрование системы включает в себя предзагрузочную аутентификацию, означающую, что любому пользователю для получения доступа, возможности работы в зашифрованной системе, чтения и записи файлов на системном диске и т. д. будет нужно вводить правильный пароль перед каждой загрузкой (стартом) Windows. Предзагрузочную аутентификацию обеспечивает загрузчик VeraCrypt (Boot Loader), расположенный в первой дорожке загрузочного диска и на Диске восстановления VeraCrypt (Rescue Disk, см. далее).
Обратите внимание, что VeraCrypt выполняет шифрование имеющегося незашифрованного системного раздела/диска "на месте", то есть прямо при работе операционной системы (во время шифрования системы можно продолжать пользоваться компьютером как обычно, без каких-либо ограничений). Аналогично, зашифрованный с помощью VeraCrypt системный раздел/диск можно расшифровать "на месте", во время работы операционной системы. Процесс шифрования/дешифрования можно прервать в любой момент, оставить раздел/диск частично незашифрованным, перезагрузить или выключить компьютер, а затем возобновить операцию с той точки, в которой она была остановлена.
При шифровании системы применяется режим XTS (см. раздел Режимы работы). Технические детали шифрования системы см. в разделе Схема шифрования главы Технические подробности.
Чтобы зашифровать системный раздел или весь системный диск, выберите Система > Зашифровать системный раздел/диск и следуйте инструкциям мастера. Чтобы расшифровать системный раздел/диск, выберите Система > Окончательно расшифровать системный раздел/диск.
Из-за требований BIOS предзагрузочный пароль вводится с использованием американской раскладки клавиатуры. Во время шифрования системы VeraCrypt автоматически и прозрачно переключает клавиатуру на американскую раскладку, чтобы гарантировать, что введённый пароль будет соответствовать паролю, введённому в предзагрузочном режиме. Однако эту защитную меру может обойти вставка пароля из буфера обмена. Чтобы предотвратить любые проблемы, возникающие из-за этого, VeraCrypt отключает возможность вставки паролей из буфера обмена в мастере системного шифрования. Таким образом, чтобы избежать ошибок из-за неверного пароля, необходимо вводить пароль, используя те же клавиши, что и при шифровании системы, обеспечивая постоянный доступ к зашифрованной системе.

Примечание. Windows 7 и более новые версии Windows по умолчанию загружаются с особого маленького раздела. Этот раздел содержит файлы, необходимые для загрузки системы. Право записи в этот раздел Windows даёт только приложениям с административными привилегиями (при работе системы). В режиме загрузки EFI, который используется по умолчанию на современных ПК, VeraCrypt не может зашифровать этот раздел, поскольку он должен оставаться незашифрованным, чтобы BIOS мог загрузить из него загрузчик EFI. Это, в свою очередь, означает, что в режиме загрузки EFI программа предлагает зашифровать только системный раздел, на котором установлена ​​Windows (позже пользователь может вручную зашифровать другие разделы с данными с помощью VeraCrypt). В устаревшем режиме загрузки MBR программа выполняет шифрование этого раздела, только если вы выбрали шифрование всего системного диска (а не шифрование только раздела, в котором установлена Windows).

 

Следующий раздел >>