Как запретить запись на диск в windows 10
В Windows Vista не было особых поводов для радости, но одна хорошая вещь, которую она сделала, — это новая функция под названием BitLocker. Эта функция позволяет пользователям шифровать диски для предотвращения несанкционированного доступа.
Если вы зашифровали свой диск с помощью BitLocker, вы, возможно, заметили, что у него есть несколько особенностей. Таким образом, вот как отключить или приостановить BitLocker в Windows 10.
Освободитесь от BitLocker
BitLocker, несомненно, является одной из самых полезных функций безопасности в Windows. Однако иногда вам может потребоваться отключить его или приостановить при выполнении некоторых важных операций. На самом деле несложно отключить или приостановить работу BitLocker, если у вас есть ключ BitLocker.
Если вы хотите защитить свои данные, используйте шифрование, хотя бы тот же встроенный в Windows BitLocker. Этот механизм защиты не идеален, зато он удобен, поскольку не требует от пользователя дополнительных действий по расшифровке, выполняемой на «лету». Активное использование этой службы, однако, не исключает человеческого фактора — случайной записи конфиденциальных данных на незащищенный диск.
Вы можете предотвратить такой сценарий, включив в Windows специальную политику, запрещающую запись данных на незащищенные BitLocker фиксированные диски.
Примечание: фиксированными называются все диски, которые подключены непосредственно к материнской плате компьютера. То есть фиксированные диски — это то же самое, что и встроенные.
Чтобы задействовать дополнительную защиту, откройте командой gpedit.msc редактор локальных групповых политик и проследуйте по цепочке настроек Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Шифрование диска BitLocker -> Несъемные диски с данными.
Справа найдите опцию «Запретить запись на фиксированные диски, не защищенные BitLocker», кликните по ней дважды, чтобы открыть окно настроек и активируйте радиокнопку «Включено».
Сохраните настройки и перезагрузите компьютер.
Отныне все встроенные диски и разделы за исключением системного приобретут статус защищенных от записи, но доступных при этом для чтения.
Если вы попробуете скопировать на такой раздел/диск файл или папку, то получите уведомление «Диск защищен от записи» .
Аналогичным образом вы можете включить защиту и для съемных накопителей, соответствующая настройка доступна в том же разделе редактора локальных групповых политик.
Для системного раздела такой функции не предусмотрено, так как запись на него данных является одним из условий работы операционной системы.
Е сли у вас дома есть дети, имеющие доступ к вашему компьютеру, вполне возможно в один прекрасный момент у них появится непреодолимое желание поэкспериментировать с системными файлами, например, "освободить" дисковое пространство для полезного контента. К чему это может привести, полагаем, объяснять не требуется. Увы, системный раздел в Windows практически никак не защищен, и при желании зайти в него может любой пользователь. Правда, удалить системные файлы не так-то просто, особенно если в данный момент они используются Windows, но нам-то от этого не легче. И вообще, зачем лишний раз рисковать? Не лучше ли будет временно запретить доступ к диску С, и тем самым защитить его от неопытных рук?
Давайте же узнаем, как это можно реализовать. Для начала системный диск можно просто скрыть, убрав его иконку диска с раздела "Этот компьютер" и панели переходов Проводника, оставив, однако доступ к пользовательским папками и каталогам библиотек. Воспользуемся небольшим твиком реестра. Итак, откройте редактор реестра и перейдите в раздел HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer.
В нём уже имеется некий набор параметров, но нам нужно будет создать ещё один. Для этого кликните правой кнопкой мыши по пустому пространству, в меню выберите Создать -> Параметр DWORD.
Имя ему дайте NoDrives, а значение присвойте 4.
Закройте редактор реестра, откройте Диспетчер задач и перезапустите Проводник. Диск С будет скрыт.
Для справки. Почему именно 4, а скажем не 2 или 3? Все очень просто, каждому диску от A до Z присваивается определенный бит в шестнадцатеричном счислении. Правило таково - для диска под буквой A это будет 0х00000001 (1), для диска B это будет 0х00000002 (2), для диска С - 0х00000004 (4), для D - 0х00000008 (8) и так далее.
При этом доступ к системному разделу будет заблокирован, равно как и к пользовательским папкам и рабочему столу. Кстати, этот и вышеописанный способы можно использовать вместе. На инсталляцию и запуск программ, чтение расположенных на рабочем столе файлов это ограничение не распространяется.
Также для ограничения доступа к системному разделу можно использовать редактор локальной групповой политики. Нажмите Win + R и в открывшемся диалоговом окошке выполните gpedit.msc. В окне редактора перейдите по следующему адресу: Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Проводник.
В правой части окна отыщите "Скрыть выбранные диски из окна Мой компьютер" и кликните по нему два раза. В открывшемся окне устанавливаем радиокнопку "Включено", в появившемся выпадающем списке выбираем "Ограничить доступ к диску C".
Чтобы изменения вступили в силу, перезагрузите компьютер или в командной строке выполните gpupdаte /force. Для запрета доступа к диску следует использовать другую политику, а именно "Запретить доступ к дискам через Мой компьютер".
Все вышеописанные способы не являются стопроцентно надёжными . Получить доступ к системным файлам можно с помощью любого файлового менеджера, того же Total Commander. Кроме того для просмотра (и не только) диска С можно использовать командную строку. Также хотелось бы обратить ваше внимание ещё на одну деталь – все изменения будут действительны только для текущего пользователя. Если же вам нужно задать настройки ограничения доступа для конкретного пользователя, изменения в реестр следует вносить в раздел HKEY_USERS, выбрав соответствующий идентификатор SID. При этом стоит помнить, что в Windows 8 и 8.1 доступ к SID пользователей, работающих под учетной записью Microsoft, может быть ограничен.
Если у вас включена автоматическая блокировка зашифрованного BitLocker диска, для получения доступа к разделу или диску при каждой загрузке компьютера вам нужно вводить пароль. Это повышает уровень безопасности данных, но представьте, что у вас возникла необходимость временно отлучиться от рабочего места, когда диск уже разблокирован. Чтобы его заблокировать, придется либо перезагрузиться, либо вообще выключить компьютер.
Поскольку в Windows нет явной опции, которая позволяла бы блокировать зашифрованный BitLocker диск в работающей системе.
Комбинация Win + L и выход из системы здесь не помогут, нужно именно полное завершение работы. Впрочем, это как еще посмотреть, ведь многое из того, что нельзя сделать из графического интерфейса, можно сделать из командной строки или PowerShell . И касается это в том числе и блокировка зашифрованных томов в работающей Windows 10.
Всё очень просто.
Запустите командную строку от имени администратора и выполните в ней такую команду:
manage-bde -lock G: -ForceDismount
G — это буква зашифрованного раздела, у вас она будет своя. В результате выполнения команды том тут же будет заблокирован, о чём вы будете уведомлены в консоли.
Не забудьте только после этого проверить состояние раздела, так, на всякий случай. Если вам удобнее использовать консоль PowerShell , пожалуйста, в этом случае команда будет иметь такой вид:
Lock-BitLocker -MountPoint "G:" –ForceDismount
Обратите внимание, что буква в такой команде берется в прямые двойные кавычки.
Результат же будет аналогичный, только помните, что запускать PowerShell нужно тоже от имени администратора.
Виртуальные машины, несомненно, один из лучших способов избежать изменений на хост-системе. Использование, так называемых, снимков помогает восстановить предыдущую конфигурацию виртуальной машины, чтобы быстро отменить внесенные изменения.
Если вы не хотите использовать виртуальные машины или использовать новую «песочницу» Windows 10, полезно знать, что операционная система Microsoft предлагает «стандартную» функция под названием UWF (Унифицированный фильтр записи).
Это программный компонент, который активирует защиту от записи на жестких дисках и твердотельных накопителях: все попытки записи, сделанные, например, установленными приложениями пресекаются, но данные автоматически сохраняются в защищенной области. Когда машина перезагружается, вся информация, записанная на устройствах хранения при включенном UWF, автоматически удаляется.
UWF интегрирован не только в версии Windows 10 для предприятий и учебных заведений, но и в версию Pro операционной системы.
Перед использованием UWF, который следует понимать как программный компонент, предназначенный для профессионалов, разработчиков и тестировщиков, мы предлагаем провести тесты на тех компьютерах, которые не используются в рабочих целях.
Как приостановить BitLocker с помощью PowerShell
Найдите powershell в меню «Пуск», кликните правой кнопкой мыши PowerShell и выберите « Запуск от имени администратора» , чтобы запустить PowerShell с повышенными правами. Выполните следующую команду:
Конечно, замените букву D на букву вашего целевого диска.
Как отключить BitLocker с помощью командной строки
Если вы более технически склонны и предпочитаете использовать командные строки, вы можете использовать командную строку или PowerShell (обсуждается далее), чтобы отключить BitLocker. Кроме того, это также экономит ваше время.
Если у вас включено шифрование BitLocker для нескольких дисков, перейдите к следующему способу, чтобы отключить BitLocker для всех сразу.
Найдите cmd в меню «Пуск», кликните правой кнопкой мыши « Командная строка » и выберите « Запуск от имени администратора» , чтобы запустить командную строку с повышенными привилегиями. Выполните следующую команду:
Замените букву D на диск, для которого вы хотите отключить BitLocker.
Как защитить от записи диск, содержащий Windows 10
На этом этапе – после установки UWF на компьютере с Windows 10 – можно защитить блок операционной системы от записи (предположим, что это C: ), но также возможно защитить и другие блоки, помеченные разными идентификационными буквами.
Для этого просто откройте командную строку или PowerShell с правами администратора, как показано выше, затем выберите место, где будет создаваться так называемый оверлей, т.е. область, в которой будут записывать изменения от приложений и операционной системы. Вы можете выбрать оперативную память или жесткий диск:
uwfmgr overlay set-type RAM uwfmgr overlay set-type Disk
Чтобы использовать RAM, вам понадобится ПК с хорошим запасом энергозависимой памяти.
Следующая команда позволяет вам определить, сколько памяти (энергозависимой или энергонезависимой) выделить под оверлей:
uwfmgr overlay set-size 20480
Если вы выбрали диск, команда выделит 20 ГБ дискового пространства (или SSD) для временной записи изменений (значение 20480 получается из простого умножения 1024 МБ × 20).
Наконец, следующие команды позволяют вам получать предупреждение, когда пространство, предназначенное для оверлея начнёт переполняться:
uwfmgr overlay set-warningthreshold 512 uwfmgr overlay set-criticalthreshold 1024
Следует помнить, что когда весь оверлей заполнен, система он начнёт работать нестабильно или перезапустится.
Следующие команды являются необязательными и позволяют дополнительно активировать исключения или разрешить определенные операции записи в некоторых областях файловой системы и реестра (источник: документация Microsoft ):
Добавьте эти исключения в UWF:
- Исключения файлов
- C:«Файлы программы»-Windows Defender
- C:-ProgramData-Microsoft-Windows Defender
- C:-WindowsUpdate.log
- C: »Окна»Темп-MpCmdRun.log
- Исключения из реестра
- HKEY_LOCAL_MACHINE»-SOFTWARE-Microsoft-Windows Defender
- HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WdBoot
- HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WdFilter
- HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WdNisSvc
- HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WdNisDrv
- HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WinDefend
На данный момент, для того, чтобы активировать защиту от записи на диске C: системы Windows 10, просто введите следующие команды:
uwfmgr volume protect C: uwfmgr filter enable
Чтобы прервать защиту от записи и применить «окончательные» изменения на компьютере, необходимо выполнить команду uwfmgr filter disable. После того, как требуемые действия были применены, вам придётся снова использовать команду uwfmgr filter enable из командной строки или окна PowerShell, открытого с правами администратора.
Конфигурация UWF проверяется в любое время с помощью команды get-config uwfmgr.
Наконец, стоит помнить, что в системах, защищенных UWF-защитой, для установки обновлений Microsoft через Центр обновления Windows необходимо использовать следующий синтаксис, а затем перезагрузить компьютер:
uwfmgr servicing enable
После перезагрузки обновления будут автоматически загружены и установлены, после чего система будет перезагружена снова.
Дополнительные сведения о параметрах, которые можно использовать с командой uwfmgr, доступны в этом документе поддержки Microsoft.
Зачем отключать BitLocker?
Допустим, вы зашифровали свой диск с помощью текущего ПК с Windows 7, а теперь приобрели новый элегантный ПК с Windows 10. Вы хотите установить старый зашифрованный жесткий диск на новый компьютер. Однако, когда вы пытаетесь получить доступ к диску, Windows 10 просит вас отключить BitLocker или не распознает ваш пароль.
BitLocker также плохо взаимодействует с другими программами и не допускает двойную загрузку, особенно если вы зашифровали диск C:. Таким образом, хотя шифрование может быть приятным штрихом, Bitlocker иногда может быть скорее проклятием, чем благословением.
Если эти неприятности заставили вас пересмотреть использование BitLocker, мы расскажем, как отключить его в Windows 10. Хотя это не означает, что вам нужно идти на компромисс с безопасностью. Существует несколько альтернатив шифрования Syskey , которые вы можете рассмотреть.
Как отключить BitLocker из панели управления
Это самый простой способ отключить BitLocker. Сначала найдите управление битлокером в меню «Пуск» и запустите наиболее подходящее из результатов поиска. Откроется окно BitLocker Drive Encryption , в котором вы увидите список всех своих дисков. Рядом с диском вы увидите параметр « Выключить BitLocker ». Нажмите на нее и продолжайте следовать инструкциям мастера.
Когда вам не нужно отключать BitLocker?
Если вы планируете отключить BitLocker для выполнения обновления UEFI/BIOS, изменения аппаратного компонента или обновления до более новой версии Windows 10, вам не обязательно отключать BitLocker.
Хотя оставление BitLocker включенным, безусловно, может вызвать затруднения, если вы пытаетесь выполнить одну из этих задач, есть альтернатива отключению BitLocker; вы можете приостановить его. Обратите внимание, что вы обязательно должны либо отключить, либо приостановить BitLocker при обновлении UEFI/BIOS. В противном случае обновление удалит все ключи, хранящиеся в TPM.
В отличие от отключения BitLocker, его приостановка не приводит к расшифровке данных на ваших дисках. Кроме того, любые дополнительные данные, которые вы добавляете на диск во время приостановки, по-прежнему зашифрованы. Поэтому, как только вы закончите вносить изменения в свой компьютер, вы можете вернуться в панель управления и возобновить шифрование.
Как приостановить BitLocker с помощью командной строки
Найдите cmd в меню «Пуск», кликните правой кнопкой мыши « Командная строка » и выберите « Запуск от имени администратора» , чтобы запустить командную строку с правами администратора. Выполните следующую команду:
Замените букву D на нужный диск.
Как отключить BitLocker из панели служб
По крайней мере, один из методов, которые мы обсуждали до сих пор, должен работать. В любом случае у вас также есть возможность отключить службу шифрования диска BitLocker, чтобы отключить BitLocker.
Нажмите Win + R , введите services.msc и нажмите Enter, чтобы открыть панель «Службы». Найдите в списке службу шифрования диска BitLocker.
Дважды кликните службу и измените тип запуска на Disabled . Нажмите OK , чтобы сохранить изменения и выйти.
Установите UWF, чтобы включить защиту от записи
Установить и настроить UWF на компьютере с Windows 10 довольно просто. Вы можете воспользоваться одним из трёх способов, предложенных ниже:
-
Нажмите комбинацию клавиш Win + R , затем введите optionalfeatures и нажмите Enter .
Разверните раздел «Блокировка устройства», затем активируйте «Объединенный фильтр записи». Для запуска автоматической установки UWF и нажмите кнопку ОК .
с правами администратора.
Затем введите команду dism /online /enable-feature /FeatureName:client-DeviceLockdown /FeatureName:client-UnifiedWriteFilter
Как отключить BitLocker из редактора локальной групповой политики
Версии Windows 10 Professional и Enterprise имеют более полную консоль для изменения параметров Windows, которая называется « Редактор локальной групповой политики» . Нажмите Win + R , введите gpedit.msc и нажмите Enter , чтобы запустить редактор групповой политики.
На левой панели перейдите в « Конфигурация компьютера » -> « Административные шаблоны » -> « Компоненты Windows » -> «Шифрование диска BitLocker » -> « Фиксированные диски данных ».
Переключитесь на правую панель и дважды кликните Запретить доступ на запись к фиксированным дискам, не защищенным BitLocker, чтобы настроить параметр.
Если вы используете BitLocker, этот параметр будет в состоянии « Включено ». Измените состояние на Не настроено или Отключено и нажмите OK , чтобы сохранить изменения и выйти. Перезагрузите компьютер, и ваш диск больше не должен быть зашифрован.
К сожалению, если вы используете Windows 10 Home, групповая политика не будет включена по умолчанию. Однако есть способ получить доступ к групповой политике в Windows 10 Home .
Как приостановить BitLocker из панели управления
Введите в меню «Пуск» команду « Управление битлокером» и откройте наиболее подходящий вариант в результатах поиска. В BitLocker Drive Encryption вы увидите, что зашифрованные вами диски будут иметь возможность приостановить защиту .
Нажмите « Приостановить защиту » и нажмите « Да », когда появится предупреждение. Затем, когда вы захотите возобновить защиту, повторите те же шаги, за исключением того, что вам нужно нажать « Возобновить защиту » вместо « Приостановить защиту ».
Как отключить BitLocker с помощью PowerShell
Найдите powershell в меню « Пуск », кликните правой кнопкой мыши PowerShell и выберите « Запуск от имени администратора» , чтобы запустить PowerShell с правами администратора. Выполните следующую команду:
Снова замените букву D на диск, для которого вы хотите отключить BitLocker.
Однако, если вы включили шифрование BitLocker для нескольких дисков, вы можете выполнить следующие команды:
$BLV = Get-BitLockerVolume
Disable-BitLocker -MountPoint $BLV
Первая команда идентифицирует все тома, зашифрованные с помощью BitLocker, и сохраняет их в переменной $BLV. Следующая команда отключает BitLocker для всех томов, хранящихся в переменной $BLV.
Читайте также: