Если в настройках системы (Privacy and Security) отсутствует опция шифрования (урезанный bitlocker), стоит проверить, поддерживает ли компьютер функцию modern standby. Сделать это можно следующей командой:

powercfg /a

Нужно обратить внимание на параметр “S0” (будет написано - поддерживает или нет). Если нет - шифрование в домашней версии использовать не получится.

---

Посмотреть - какие провайдеры используются для расшифровки конкретного диска:

 manage-bde c: -protectors -get

Или при помощи PowerShell:

 Get-BitLockerVolume -MountPoint "C:"

---

Из оболочки CMD.

Просмотреть нужный ID:

 manage-bde -protectors -get C:

Нам нужен ключ, который содержит пароль восстановления.

Выполнить:

 manage-bde -protectors -adbackup С: -id {1BA82AC7-3722-4464-9689-074B9CA36098}

Или при помощи PowerShell:

 $KEY = Get-BitLockerVolume -MountPoint "C:"
 Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $KEY.KeyProtector[1].KeyProtectorId.ToString()

---

 wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get * /format:textvaluelist.xsl

---

Решение: загрузиться в систему и запустить в консоли от имени администратора следующие команды

 manage-bde –protectors –disable C:
 manage-bde –protectors –enable C:

Если есть проблемы, дополнительно может помочь приостановка BitLocker перед процедурой.

---

В этом случае нужно проверить - установлен ли компонент BitLocker на сервер и, если нет - выполнить установку.

 Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools

После установки потребуется перезагрузка.

---

Начиная с 2019-го года Bitlocker по умолчанию шифрует диски программным шифрованием, т.к. с аппаратным шифрованием существует очень много проблем: к примеру, есть много уязвимостей в реализации, которая является крайне vendor-specific. Программное шифрование, в отличие от аппаратного накладывает определенный оверхед на производительность диска, а также забирает ресурсы CPU. Тем не менее, Microsoft может гарантировать консистентность данного способа шифрования.

Проверить шифрование можно командой:

 manage-bde -status

В случае программного шифрования результат будет примерно таким:

 Encryption Method:    XTS-AES 128

Если же шифрование аппаратное результат выдаст hardware encryption.

Переключиться из программного к аппаратному шифрованию без переустановки ОС не получится. Более того, обычно поддержку аппаратного шифрования требуется включать отдельно до установки ОС при помощи специальных утилит от производителей дисков (К примеру, “Magician” от Samsung).

---

1. Узнаём идентификатор текущего пароля восстановления и копируем его ID

 manage-bde C: -protectors -get -type RecoveryPassword

2. Удаляем текущий пароль восстановления, используя скопированный ID. Если выполняем в PowerShell, то заключаем ID в кавычки.

 manage-bde C: -protectors -delete -id '{3FB084AD-F8AF-4726-A6F1-EDC61CA8B75A}'

3. Добавляем новый ключ. Он будет сгенерирован автоматически и добавлен в Active Directory.

 manage-bde C: -protectors -add -rp

---

Делегирование прав для учётной записи AD к восстановлению пароля Bitlocker

1. На нужном OU выбираем опцию Delegate Control.

2. Выбираем пользователя, которому делигируем парва.

3. Далее выбираем опцию Create a custom task to delegate.

4. В объектах выбираем msFVE-RecoveryInformation.

5. Отдаем право на Full Control.

Для того, чтобы в консоли users and computers появилась вкладка управления паролями восстановления, требуется наличие установленного компонента RSAT: BitLocker Drive Encryption Administration Utilities.

Установить его из консоли можно следующим образом:

 Add-WindowsCapability -Online -Name Rsat.BitLocker.Recovery.Tools~~~~0.0.1.0