Основной целью «защиты устройства» по версии Microsoft была полностью прозрачная защита данных: системный диск зашифрован, а пользователю об этом не нужно даже знать. Шифрование на современных сборках Windows может происходить автоматически, ключи восстановления — так же автоматически загружаются в облако Microsoft (или в корпоративную сеть, Entra ID); пользователь никогда (по мнению Microsoft) не должен сталкиваться с паролями или ключами шифрования.

Шифрование системного диска Windows с помощью BitLocker обеспечивает эффективную защиту от несанкционированного доступа, особенно в сочетании с TPM. Но стоит добавить или заменить видеокарту, обновить прошивку или изменить некоторые настройки в UEFI BIOS, как загрузка с зашифрованного диска станет невозможной, а система попросит ввести код восстановления доступа. Как предотвратить блокировку и что делать, если загрузочный диск заблокирован?

В процессе изъятия и анализа настольных компьютеров последние, как правило, отключаются от сети электропитания. В результате отключения питания может быть утерян доступ к некоторым типам данных — в зависимости от того, в каком состоянии находился компьютер на момент отключения. В этой статье рассматривается разница между состояниями сна, гибридного сна и гибернации, а также штатного выключения системы с активной функцией «быстрого запуска».

Исследование компьютера, системный накопитель которого зашифрован посредством BitLocker, может оказаться намного сложнее, если ключ шифрования основан не на установленном пользователем пароле, а на данных, которые защищены аппаратным модулем TPM. В этом исследовании рассказывается об особенностях защиты ключей в TPM и возможных способах обхода этой защиты.

Повсеместное распространение шифрования всего и вся способно не просто затруднить анализ данных, но и сделать его невозможным при малейших отклонениях от установленных процедур. В то же время точное следование процедурам изъятия компьютерной техники далеко не всегда возможно в практических условиях. Своевременное обнаружение зашифрованных дисков позволит предпринять необходимые меры для защиты доступа к зашифрованным уликам, прежде чем компьютер подозреваемого будет обесточен. Какие шаги необходимы и как узнать, используется ли в системе шифрование диска? Сделать это достаточно просто, запустив соответствующую утилиту с флеш-накопителя.