Нужен ли BitLocker на системном диске C:?

Да, авторазблокировка данных привязывается к защищённому системному тому с TPM. Без шифрования C: авторазблокировка работать не будет.

Съёмные диски поддерживаются?

Для съёмных носителей используется BitLocker To Go — авторазблокировка работает по-другому, можно задать доверенный ПК.

Где хранится ключ авторазблокировки?

Ключ хранится зашифрованным на системном томе и раскрывается после успешной загрузки и входа.

BitLocker: авторазблокировка дисков не работает — как включить и починить (2025)

Фиксированный диск под BitLocker должен открываться сам после входа в систему, но вместо этого Вы каждый раз копируете ключ. Разберёмся с защитниками, включим авторазблокировку и проверим, почему она могла отключиться.

Коротко: обязательные условия

C: защищён BitLocker и использует TPM без запроса PIN на каждом запуске.
D:/E: — это фиксированные тома, а не съёмные носители.
Вы входите в систему своим аккаунтом (не оффлайн лоадер/PE).

Сделаю быстро: включу авторазблокировку, проверю защитники TPM/Recovery, вычищу «битые» ключи и настрою резервные копии ключей.

1) Проверяем статус BitLocker

CMD (Администратор) — по одной строке:

manage-bde -status
manage-bde -protectors -get C:
manage-bde -protectors -get D:

На C: должны быть TPM‑защитники. На D: проверьте, нет ли «Auto Unlock: Disabled».

2) Включаем авторазблокировку для данных

CMD (Администратор) — по одной строке:

manage-bde -autounlock -enable D:
manage-bde -autounlock -status

Повторите для всех нужных томов. В PowerShell можно так:

Enable-BitLockerAutoUnlock -MountPoint "D:"
Get-BitLockerVolume -MountPoint "D:" | fl MountPoint,AutoUnlockEnabled

3) Если авторазблокировка не включается

C: не зашифрован — включите BitLocker на системном томе.
TPM сбросили/прошивка обновилась — защитники могли приостановиться. Включите снова.
Требуется PIN при запуске — авторазблокировка может не сработать до ввода PIN. Рассмотрите защиту только TPM, если это допустимо.

CMD (Администратор) — по одной строке:

manage-bde -protectors -disable C:
manage-bde -protectors -enable C:
manage-bde -autounlock -clearallkeys
manage-bde -autounlock -enable D:

Команда -clearallkeys очистит сохранённые ключи авторазблокировки, затем включите их заново.

4) Сохраняем ключи и создаём резервные записи

PowerShell (Администратор) — по одной строке:

Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId (Get-BitLockerVolume -MountPoint "C:").KeyProtector[0].KeyProtectorId
Backup-BitLockerKeyProtector -MountPoint "D:" -KeyProtectorId (Get-BitLockerVolume -MountPoint "D:").KeyProtector[0].KeyProtectorId

Храните ключи в надёжном месте. В домене можно публиковать их в AD/Azure AD.

5) Политики и ограничения

Win+R — по одной команде:

gpedit.msc

Компьютер → Админ. шаблоны → Система → Шифрование диска BitLocker → Политики для фиксированных дисков — разрешите авторазблокировку.
Проверьте запреты на хранение ключей в TPM/встроенном хранилище.

FAQ

После сброса BIOS авторазблокировка пропала

TPM обновился, защитники приостановились. Снова включите защитники C: и авторазблокировку для D:.

Нужен ли PIN на C:

С точки зрения удобства авторазблокировки — нет. С точки зрения безопасности — решайте по модели угроз.

Можно ли авторазблокировать съёмный диск

Для BitLocker To Go задайте доверенный ПК. Авторазблокировка работает, но иначе, чем для фиксированных томов.

BitLocker: авторазблокировка дисков не работает — как включить и починить (2025)

Коротко: обязательные условия

1) Проверяем статус BitLocker

2) Включаем авторазблокировку для данных

3) Если авторазблокировка не включается

4) Сохраняем ключи и создаём резервные записи

5) Политики и ограничения

FAQ

Читайте также:

Позвонить

Оставить заявку