По данным «Лаборатории Касперского» (январь 2026), 41% утерянных ноутбуков в РФ содержали нешифрованные персональные данные — контакты, фото, банковские реквизиты. Шифрование диска — единственная защита от извлечения SSD и чтения данных на другом компьютере. Современные SSD с аппаратным шифрованием (SED) и процессоры с инструкциями AES-NI позволяют шифровать данные без заметной потери производительности. Инструкция проверена на январь 2026 года для Windows 11 24H2 и актуальных накопителей: Samsung 990 Pro, WD Black SN850X, Kingston KC3000.

Типы шифрования SSD: какой выбрать

В 2026 году существует три метода шифрования диска. Критически важно понимать различия:

Как проверить, поддерживает ли ваш SSD аппаратное шифрование:

1. Скачайте утилиту sedutil или CrystalDiskInfo
2. В CrystalDiskInfo: «Функции» → «Техническая информация» → найдите «Security Mode»
3. Если указано «TCG Opal 2.0» или «IEEE 1667» — накопитель поддерживает аппаратное шифрование

❓ BitLocker использует аппаратное или программное шифрование?

BitLocker автоматически выбирает метод в зависимости от оборудования:

• Если SSD поддерживает TCG Opal 2.0 и правильно реализован — BitLocker активирует аппаратное шифрование
• Если поддержки нет или обнаружена уязвимость (например, CVE-2023-29384 в некоторых моделях) — переключается на программное шифрование с AES-XTS 256-bit
• Статус можно проверить командой:

  manage-bde -status C:

  В выводе ищите строку «Тип шифрования» — «Аппаратный» или «Программный».

Шаг 1: Проверка совместимости системы

Перед включением шифрования убедитесь, что система поддерживает безопасную реализацию.

Проверка наличия TPM 2.0

TPM (Trusted Platform Module) хранит ключи шифрования и защищает от атак «холодной загрузки». В Windows 11 TPM 2.0 требуется по умолчанию, но на некоторых ПК может быть отключён в BIOS.

# Проверка статуса TPM через PowerShell:
Get-Tpm | Select-Object TpmPresent, TpmReady, TpmEnabled, TpmActivated

# Норма для шифрования:
# TpmPresent: True
# TpmReady: True
# TpmEnabled: True
# TpmActivated: True

Если TPM отсутствует или отключён:

1. Перезагрузите ПК → войдите в BIOS/UEFI (клавиша Del/F2/F12 при старте)
2. Найдите раздел «Security» или «Trusted Computing»
3. Включите параметр «TPM Device», «PTT» (Intel) или «fTPM» (AMD)
4. Сохраните настройки → выйдите

Проверка поддержки AES-NI процессором

AES-NI — набор инструкций для аппаратного ускорения шифрования. Поддерживается всеми процессорами Intel Core i3/i5/i7/i9 (2010+) и AMD Ryzen (2017+).

# Проверка через PowerShell:
Get-WmiObject Win32_Processor | Select-Object Name, Caption, @{Name="AES-NI";Expression={$_.DataWidth -eq 64}}

# Или через утилиту Coreinfo (Sysinternals):
coreinfo -a | findstr "AES"
# Наличие "*" означает поддержку

Шаг 2: Включение BitLocker на системном диске

BitLocker доступен только в редакциях Windows 11 Pro, Enterprise и Education. В домашней версии (Home) функция отсутствует — см. раздел «Альтернативы» ниже.

1. Откройте «Параметры» (Win + I) → «Система» → «Хранилище» → «Дополнительные параметры хранилища»
2. Выберите диск C: → «Свойства» → «Шифрование устройств»
3. Или быстрый путь: Панель управления → Шифрование дисков BitLocker
4. Нажмите «Включить BitLocker» напротив диска C:
5. Выберите способ сохранения ключа восстановления (обязательно!):
   • Учётная запись Microsoft: ключ сохранится в облаке — восстановление через вход в аккаунт
   • Файл: сохраните на флешку или в облако (Яндекс.Диск)
   • Распечатать: физическая копия для сейфа
6. Выберите режим шифрования:
   • «Зашифровать только используемое пространство»: быстро (15–30 минут), но остатки удалённых файлов не защищены
   • «Зашифровать весь диск»: медленно (2–6 часов), но максимально безопасно
7. Нажмите «Далее» → «Начать шифрование»

# Мониторинг прогресса шифрования:
manage-bde -status C:

# Пример вывода:
# Том: ОС (C:)
# Размер: 953,87 ГБ
# Процент зашифрован: 42,3%
# Статус шифрования: Шифрование выполняется

Шаг 3: Настройка метода разблокировки

После шифрования система запросит метод аутентификации при загрузке. Выберите оптимальный для вашего сценария:

Настройка ПИН-кода при загрузке:

1. Откройте командную строку от имени администратора
2. Выполните:

   manage-bde -protectors -add C: -TPMAndPIN

3. Следуйте инструкциям для установки ПИН-кода (4–20 цифр)

Шаг 4: Шифрование второго SSD (не системного)

Для дополнительных дисков (например, для игр или архивов) настройка проще — не требуется загрузочный протектор.

1. Откройте «Этот компьютер» → кликните правой кнопкой на диске D: → «Включить BitLocker»
2. Выберите «Использовать пароль для разблокировки диска»
3. Установите надёжный пароль (12+ символов, буквы+цифры+символы)
4. Сохраните ключ восстановления (обязательно!)
5. Выберите «Зашифровать весь диск» → «Далее» → «Запустить шифрование»

# Шифрование через PowerShell (администратор):
Enable-BitLocker -MountPoint "D:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -Password (ConvertTo-SecureString "ВашПароль" -AsPlainText -Force)

# Сохранение ключа восстановления в файл:
Add-BitLockerKeyProtector -MountPoint "D:" -RecoveryPasswordProtector
Get-BitLockerVolume -MountPoint "D:" | Select-Object -ExpandProperty KeyProtector | Where-Object {$_.KeyProtectorType -eq 'RecoveryPassword'} | Select-Object RecoveryPassword

❓ Что делать, если забыл пароль и потерял ключ восстановления?

Восстановление невозможно. BitLocker использует криптографию военного уровня — нет «бэкдора» у Майкрософт. Единственный вариант:

1. Если диск подключён к домену предприятия — администратор домена может восстановить ключ через Active Directory
2. Если использовалась учётная запись Microsoft — попробуйте восстановить ключ через account.microsoft.com/devices/recoverykey
3. В остальных случаях данные безвозвратно утеряны — потребуется полная очистка диска через format D: /FS:NTFS

Поэтому сохраняйте ключ восстановления в двух независимых местах: облако + физическая копия.

Альтернативы BitLocker для Windows 11 Home

В домашней редакции Windows 11 BitLocker недоступен. Используйте проверенные решения:

VeraCrypt (бесплатно, с открытым кодом)

Форк проекта TrueCrypt с регулярными обновлениями безопасности.

1. Скачайте с официального сайта veracrypt.fr (проверьте цифровую подпись файла!)
2. Установите программу
3. Запустите → «Системное шифрование» → «Шифровать системный раздел»
4. Выберите «Шифрование на месте» → укажите пароль (минимум 20 символов)
5. Создайте диск восстановления (обязательно!) → следуйте мастеру

Device Encryption (встроено в некоторые ноутбуки)

Некоторые устройства с предустановленной Windows 11 Home имеют упрощённое шифрование:

1. «Параметры» → «Конфиденциальность и безопасность» → «Шифрование устройства»
2. Если кнопка «Включить» активна — шифрование поддерживается аппаратно через TPM
3. Включите и сохраните ключ восстановления

Поддерживается на устройствах с сертификатом «Modern Standby» и встроенным TPM 2.0 (большинство ноутбуков 2023–2026 гг.).

Проверка эффективности шифрования

После завершения шифрования убедитесь, что данные действительно защищены:

1. Проверка статуса:

   manage-bde -status C:
   # Ищите: «Статус шифрования: Зашифровано»

2. Тест извлечения диска:
   • Выключите ПК → извлеките SSD → подключите к другому компьютеру через SATA/USB
   • Диск должен определяться как «Не распределён» или с файловой системой «RAW»
   • Попытка монтирования без ключа должна завершаться ошибкой
3. Проверка производительности:

   # Замер скорости чтения до/после шифрования:
   winsat disk -drive c

   Сравните результаты — потеря скорости не должна превышать 5% на современных системах.

Особенности для пользователей в РФ

При шифровании дисков в России необходимо учитывать требования законодательства:

• ФСБ требует предоставления ключей шифрования по закону №149-ФЗ (ред. 2024) при наличии постановления суда. Технически Майкрософт может передать ключи восстановления, сохранённые в аккаунте Microsoft.
• Для максимальной приватности: не сохраняйте ключ восстановления в облаке Microsoft — используйте локальное хранение (флешка + сейф).
• Госучреждениям РФ: требуется использование сертифицированных СКЗИ (КриптоПро, «Верблюд») с алгоритмами ГОСТ Р 34.12-2015. BitLocker не сертифицирован ФСБ для работы с секретными данными.

Восстановление данных с зашифрованного диска

Если SSD вышел из строя физически (поломка контроллера, чипов памяти), восстановление возможно ТОЛЬКО при наличии ключа восстановления и исправном накопителе.

Процедура восстановления:

1. Подключите повреждённый SSD к другому ПК как вторичный диск
2. Откройте «Управление дисками» → найдите диск с пометкой «Битлокер»
3. Кликните правой кнопкой → «Разблокировать диск»
4. Введите ключ восстановления (48 цифр)
5. После разблокировки скопируйте данные на исправный накопитель

Итоговый чек-лист безопасного шифрования за 20 минут

Выполните в указанном порядке:

1. Проверьте поддержку TCG Opal 2.0 вашим SSD через CrystalDiskInfo
2. Убедитесь, что TPM 2.0 включён в BIOS/UEFI
3. Создайте резервную копию всех важных данных перед шифрованием
4. Сохраните ключ восстановления в двух местах (облако + физическая копия)
5. Включите BitLocker через «Параметры» → выберите «Зашифровать весь диск»
6. Настройте ПИН-код при загрузке для защиты от атак «холодной загрузки»
7. Дождитесь завершения шифрования (не выключайте ПК!)
8. Проверьте статус через manage-bde -status C:
9. Протестируйте разблокировку после перезагрузки

При корректной настройке шифрование снижает производительность современных систем менее чем на 3%, но повышает защиту данных при краже устройства до 100%. Для ноутбуков, содержащих персональные или рабочие данные, шифрование диска — обязательная мера безопасности в 2026 году.

Инструкция проверена на январь 2026 года для Windows 11 24H2 и актуальных моделей SSD. Все методы соответствуют требованиям законодательства РФ.

Также читайте наши статьи о как проверить здоровье SSD и NVMe диска в Windows и как продлить срок службы SSD: 7 проверенных методов на 2026 год.