На компьютерах без доверенного платформенного модуля TPM по умолчанию нельзя включить шифрование BitLocker.
При попытка включить шифрование получаем ошибку:
Это устройство не может использовать доверенный платформенный модуль (TPM). Администратор должен задать параметр "Разрешить использование BitLocker без совместимого TPM" в политике "Обязательная дополнительная проверка подлинности при запуске" для томов ОС.
Для включения шифрования BitlLocker без TPM нужно подкрутиль групповые политики (в том числе доменные GPO, если рабочая станция в домене).
gpedit.mscВ редакторе групповых политик Computer Configuration → Policies → Administrative Templates → Windows Components → BitLocker Drive Encryption → Operating System Drives.
Включаем политику "Require additional authentication at startup":
- Enabled
- Allow BitLocker without a compatible TPM (requires a password or a startup key on USB flash drive)
Есть ещё старая политика для древних устройств "Require additional authentication at startup (Windows Server 2008 and Windows Vista". Может пригодиться.
Теперь можно включить шифрование BitLocker. Шифруем диск. Правой кнопкой, включить BitLocker.
Или из панели управления: Шифрование диска BitLocker.
Теперь ошибки нет.
Для шифрование понадобится пароль или флешка. Для дисков также можно использовать смарт-карту.
Для примера попробую использовать пароль.
Можно зашифровать весь диск или только данные.
Выбираем режим совместимости.
Запускаем.
Потребуется перезагрузка.
