Как включить BitLocker без TPM в Windows 11 и Windows 10

Обзор

Как BitLocker работает без модуля TPM в Windows

BitLocker обычно использует совместимый Trusted Platform Module (TPM), чтобы защищать диск с операционной системой и выдавать ключ шифрования только тогда, когда среда загрузки выглядит доверенной. На компьютере без пригодного TPM BitLocker всё равно может зашифровать диск Windows, но ему нужен другой защитник запуска.

На практике включение BitLocker без TPM означает, что Windows потребует предзагрузочную проверку подлинности. В зависимости от доступных вариантов в вашей редакции Windows и на вашем оборудовании это может быть пароль запуска или USB-флешка с ключом запуска BitLocker. Диск остается зашифрованным, но компьютер не сможет разблокировать его незаметно до запуска Windows.

ℹ️

Важный принцип

Без TPM BitLocker не получает такую же аппаратную проверку целостности загрузки. Защита по-прежнему шифрует диск, но учетные данные запуска становятся намного важнее.

🔐

Данные зашифрованы

Файлы на системном диске защищены, когда компьютер выключен, потерян, украден или диск извлечен из компьютера.

⌨️

При запуске нужен ввод

Перед загрузкой Windows нужно ввести пароль запуска или вставить USB-флешку с ключом запуска.

🧩

Нужно изменить политику

Windows блокирует такую настройку, пока не включена политика Разрешить BitLocker без совместимого TPM.

Перед началом

Требования для включения BitLocker без TPM в Windows 11 или Windows 10

Перед изменением настроек BitLocker убедитесь, что компьютер и редакция Windows поддерживают такую конфигурацию. Это особенно важно на старых ПК, самосборных системах, виртуальных машинах и ноутбуках, где TPM мог быть отключен в BIOS или UEFI.

Требование	Почему это важно	Что проверить
Редакция Windows	Полное шифрование диска BitLocker доступно в Windows Pro, Enterprise, Education и некоторых корпоративных редакциях.	Откройте `winver` или Параметры → Система → О системе.
Учетная запись администратора	Изменение политики BitLocker и шифрование системного диска требуют повышенных прав.	Используйте учетную запись, которая может запускать Windows Terminal, PowerShell или командную строку от имени администратора.
Хранилище ключа восстановления	Если пароль запуска или USB-ключ потерян, ключ восстановления может быть единственным способом разблокировать диск.	Подготовьте учетную запись Microsoft, распечатку, внешний диск или защищенную запись в менеджере паролей.
Поддержка USB при загрузке	Если используется USB-ключ запуска, прошивка должна уметь читать USB-накопитель до запуска Windows.	Убедитесь, что USB-накопитель работает в режиме загрузки BIOS/UEFI, и выполните системную проверку BitLocker.
Резервная копия важных файлов	Шифрование затрагивает весь системный диск, а ошибка с ключами может заблокировать доступ.	Сделайте резервную копию личных файлов перед включением BitLocker на диске с операционной системой.

⚠️

Не пропускайте это

Никогда не храните единственную копию ключа восстановления на том же зашифрованном диске Windows. Если диск заблокируется, эта копия тоже будет недоступна.

Шаг 01

Как проверить, есть ли модуль TPM на компьютере Windows

Сначала убедитесь, что TPM действительно отсутствует, а не просто отключен. Во многих современных ПК TPM 2.0 встроен в прошивку, но может быть выключен в BIOS/UEFI или называться иначе, например Intel PTT или AMD fTPM.

Проверка TPM через tpm.msc

Нажмите Win + R.
Введите tpm.msc и нажмите Enter.
Посмотрите раздел Состояние.
Если указано TPM готов к использованию, на компьютере есть рабочий TPM.
Если отображается сообщение, что совместимый TPM не найден, продолжайте настройку BitLocker без TPM или сначала проверьте BIOS/UEFI.

Проверка TPM через PowerShell

Get-Tpm

Если TpmPresent имеет значение False, Windows сейчас не обнаруживает TPM. Если TpmPresent имеет значение True, но TpmReady равно False, модуль есть, но его может потребоваться включить, инициализировать или исправить.

✅

Лучший вариант, если доступен

Если на компьютере есть TPM, но он отключен, обычно лучше включить TPM в BIOS/UEFI, чем использовать BitLocker без TPM. BitLocker на основе TPM удобнее разблокируется и может обеспечивать более надежную защиту состояния загрузки.

Шаг 02

Включите политику «Разрешить BitLocker без совместимого TPM»

По умолчанию Windows может показывать ошибку Это устройство не может использовать доверенный платформенный модуль при попытке зашифровать диск с операционной системой. Чтобы разрешить BitLocker без TPM, сначала измените одну настройку локальной групповой политики.

      Конфигурация компьютера
      →
      Административные шаблоны
      →
      Компоненты Windows
      →
      Шифрование диска BitLocker
      →
      Диски операционной системы
    

Нажмите Win + R, введите gpedit.msc и нажмите Enter.
Перейдите в Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы.
Дважды щелкните Требовать дополнительную проверку подлинности при запуске.
Выберите Включено.
Установите флажок Разрешить BitLocker без совместимого TPM (требуется пароль или ключ запуска на USB-устройстве флэш-памяти).
Оставьте параметры, связанные с TPM, без изменений, если вы не настраиваете BitLocker также для компьютеров с TPM.
Нажмите Применить, затем ОК.

Принудительно обновите политику

Можно перезагрузить Windows или выполнить эту команду в командной строке с повышенными правами:

gpupdate /force

💡

Название политики, которое нужно запомнить

Ключевая настройка — Требовать дополнительную проверку подлинности при запуске. Именно флажок внутри этой политики разрешает BitLocker на диске операционной системы без совместимого TPM.

Шаг 03

Как включить BitLocker без TPM после изменения политики

После включения политики запустите BitLocker из панели управления. Этот способ безопаснее для большинства пользователей, потому что Windows показывает мастер настройки, спрашивает, куда сохранить ключ восстановления, и может выполнить системную проверку перед началом шифрования.

Откройте шифрование диска BitLocker

Нажмите Win + R.
Введите control /name Microsoft.BitLockerDriveEncryption и нажмите Enter.
Найдите диск с операционной системой, обычно C:.
Нажмите Включить BitLocker.
Выберите способ запуска, который предложит мастер: пароль или USB-ключ запуска.
Сохраните ключ восстановления вне зашифрованного системного диска.
Выберите Шифровать только занятое место на диске для нового ПК или Шифровать весь диск для ПК, на котором уже были личные данные.
Выберите новый режим шифрования для внутренних системных дисков Windows 10/11, если вам не нужна совместимость со старыми версиями Windows.
Выполните системную проверку BitLocker, когда она будет предложена, затем перезагрузите компьютер.

⚠️

Выполните системную проверку

Системная проверка BitLocker убеждается, что выбранный способ запуска работает, до того как Windows полностью перейдет к зашифрованной загрузке. Это особенно важно при использовании USB-ключа запуска.

Защита запуска

BitLocker без TPM: пароль запуска или USB-ключ запуска

Когда TPM недоступен, защитник запуска становится практическим ключом к зашифрованному системному диску. Выберите вариант, которым сможете надежно пользоваться при каждом запуске компьютера.

Вариант	Как это работает	Плюсы	Риски
Пароль запуска	Вы вводите пароль до запуска Windows.	USB-накопитель не требуется. Удобнее для ноутбуков и поездок.	Слабый пароль снижает безопасность. При забытом пароле потребуется ключ восстановления.
USB-ключ запуска	Windows считывает специальный файл ключа с USB-флешки перед загрузкой.	Не нужно вводить пароль при загрузке. Удобно для стационарных ПК в контролируемой среде.	USB-накопитель можно потерять, скопировать, повредить или оставить вставленным в ПК.
Ключ восстановления	48-значный аварийный ключ разблокирует диск, когда обычный защитник запуска не работает.	Необходимый резервный способ, если проверка при запуске не удалась.	Если ключ потерян, зашифрованные данные могут стать невосстановимыми.

Избегайте

Не храните ключ восстановления только на C:.
Не оставляйте USB-ключ запуска постоянно вставленным в ноутбук.
Не используйте короткие, очевидные, повторно используемые или общие пароли.
Не меняйте параметры загрузки BIOS сразу после включения шифрования, если у вас нет ключа восстановления.

Восстановление

Как сохранить резервную копию ключа восстановления BitLocker перед шифрованием

Ключ восстановления — это аварийный способ доступа. Если Windows не сможет использовать пароль запуска или ключ запуска, она может запросить 48-значный ключ восстановления перед разблокировкой диска.

Безопасные места для хранения ключа восстановления

Сохраните его в учетной записи Microsoft, если мастер предлагает этот вариант.
Распечатайте ключ и храните бумажную копию в безопасном месте.
Сохраните его на отдельный внешний диск, который не шифруется той же настройкой BitLocker.
Сохраните его в надежном менеджере паролей как защищенную заметку.
Для рабочих ПК соблюдайте политику вашей организации по резервному копированию ключей восстановления.

Небезопасные места для хранения ключа восстановления

Рабочий стол, папка «Документы» или папка «Загрузки» на том же зашифрованном диске Windows.
Скриншот, сохраненный только на том же компьютере.
Незащищенный текстовый файл с именем bitlocker key.txt на общей USB-флешке.
Облачная папка, которая автоматически синхронизируется с учетными записями, которые вы не контролируете.

🚫

Обхода нет

Если BitLocker настроен правильно и вы потеряли и обычный защитник запуска, и ключ восстановления, Windows не сможет просто обойти шифрование. Вы можете переустановить Windows, но зашифрованные файлы на заблокированном томе не восстановить без действительного защитника.

Команды

Полезные команды для BitLocker без TPM

Эти команды помогают проверить состояние, посмотреть защитники и отслеживать шифрование. Запускайте командную строку, PowerShell или Windows Terminal от имени администратора.

Проверить состояние BitLocker

manage-bde -status C:

Показать защитники BitLocker для системного диска

manage-bde -protectors -get C:

Проверить BitLocker через PowerShell

Get-BitLockerVolume -MountPoint "C:"

Открыть апплет BitLocker в панели управления

control /name Microsoft.BitLockerDriveEncryption

Обновить групповую политику

gpupdate /force

Если вы используете скрипты для развертывания BitLocker, сначала протестируйте их на некритичном компьютере. Защитники запуска, хранение ключа восстановления, поведение прошивки и различия редакций Windows могут изменить результат.

Примечания по редакциям

Что делать, если gpedit.msc отсутствует в Windows?

Если gpedit.msc отсутствует, сначала проверьте редакцию Windows. В редакциях Windows Home обычно нет редактора локальной групповой политики, а также нет полного интерфейса управления BitLocker, который используется в Pro, Enterprise и Education. Некоторые устройства с Windows Home поддерживают шифрование устройства, но это не то же самое, что ручная настройка полноценного BitLocker без TPM.

Редакция Windows	Настройка BitLocker без TPM	Рекомендуемое действие
Windows Pro	Поддерживается через локальную групповую политику и шифрование диска BitLocker.	Используйте `gpedit.msc`, включите политику проверки при запуске, затем запустите BitLocker.
Windows Enterprise / Education	Поддерживается и часто управляется ИТ-политикой, Intune или Active Directory.	Перед изменением защитников запуска уточните настройки у администратора.
Windows Home	Полная настройка BitLocker обычно недоступна.	Используйте шифрование устройства, если оно поддерживается, или обновитесь до Pro, если нужно полноценное управление BitLocker.

ℹ️

Правки реестра

Изменения политики BitLocker через реестр существуют, но локальная групповая политика понятнее, безопаснее и проще для проверки. Для большинства домашних пользователей отсутствие gpedit.msc обычно означает, что редакция Windows не поддерживает нужный сценарий BitLocker.

Исправления

Как исправить проблемы BitLocker без TPM в Windows

Самые частые проблемы возникают из-за непримененной политики, неподдерживаемой редакции Windows, прошивки, которая не может прочитать USB-ключ запуска, или ошибок с резервной копией ключа восстановления.

Проблема	Вероятная причина	Исправление
Это устройство не может использовать доверенный платформенный модуль	Нужная политика отключена или еще не обновилась.	Включите Требовать дополнительную проверку подлинности при запуске, установите флажок для работы без TPM, затем выполните `gpupdate /force` или перезагрузите компьютер.
Параметр BitLocker отсутствует	Windows Home, нет прав администратора или функция BitLocker отключена на управляемом ПК.	Проверьте редакцию Windows через `winver` и откройте панель управления от имени администратора.
USB-ключ запуска не определяется до загрузки	Прошивка не может прочитать USB-накопитель, поддержка USB при загрузке отключена или порт недоступен в предзагрузочном режиме.	Попробуйте другой USB-порт, включите поддержку USB в BIOS/UEFI, используйте простую флешку FAT32 и выполните системную проверку BitLocker.
Запрос ключа восстановления появляется после изменений BIOS	Конфигурация загрузки изменилась после шифрования.	Введите ключ восстановления, проверьте порядок загрузки, затем приостанавливайте BitLocker перед будущими обновлениями прошивки.
Пароль или ключ работает при одной загрузке, но не работает при другой	Раскладка клавиатуры, поддержка клавиатуры до загрузки, поврежденный USB-ключ или изменившийся путь загрузки.	Используйте простые символы для паролей запуска, проверьте другую клавиатуру или USB-порт и держите копию ключа восстановления под рукой.

Совет по безопасному обслуживанию

Перед обновлениями BIOS, изменениями порядка загрузки, клонированием диска, работой с разделами или крупными изменениями прошивки временно приостановите BitLocker и возобновите его после завершения обслуживания.

manage-bde -protectors -disable C:
manage-bde -protectors -enable C:

FAQ

Частые вопросы о BitLocker без TPM

Q Можно ли включить BitLocker без TPM в Windows 11? ▼

Да, в редакциях с полноценным управлением BitLocker можно включить политику, которая разрешает BitLocker без совместимого TPM, а затем использовать пароль запуска или USB-ключ запуска.

Q BitLocker без TPM так же безопасен, как BitLocker с TPM? ▼

Он по-прежнему шифрует диск, но не обеспечивает такие же проверки целостности загрузки на базе TPM. Безопасность сильно зависит от пароля запуска или USB-ключа запуска, а также от того, насколько безопасно хранится ключ восстановления.

Q Нужна ли USB-флешка для BitLocker без TPM? ▼

Не всегда. Некоторые конфигурации позволяют использовать пароль запуска. Если вы выбираете USB-ключ запуска, флешка должна быть доступна при каждом запуске компьютера и должна читаться до загрузки Windows.

Q Почему Windows всё равно пишет, что требуется TPM, после изменения политики? ▼

Возможно, политика еще не обновилась, была изменена не та политика, флажок не был установлен или BitLocker управляется политикой организации. Выполните gpupdate /force, перезагрузите компьютер и проверьте путь политики в разделе дисков операционной системы.

Q Можно ли в Windows Home включить BitLocker без TPM? ▼

Windows Home обычно не включает полноценные средства BitLocker Drive Encryption. Некоторые устройства с Windows Home поддерживают шифрование устройства, но это другая функция, которая обычно зависит от современной аппаратной поддержки безопасности.

Q Что делать, если USB-ключ запуска потерян? ▼

Используйте 48-значный ключ восстановления BitLocker, чтобы разблокировать диск, затем создайте новый защитник запуска. Если ключ восстановления тоже потерян, зашифрованные данные могут быть невосстановимы.

🔐 Итог: включайте BitLocker без TPM осторожно

Чтобы включить BitLocker без модуля TPM, сначала откройте gpedit.msc, включите Требовать дополнительную проверку подлинности при запуске и отметьте Разрешить BitLocker без совместимого TPM. После этого включите BitLocker из панели управления и выберите способ запуска, который предложит мастер.

Главное правило безопасности простое: сохраните резервную копию ключа восстановления до начала шифрования и держите ее вне зашифрованного диска Windows. Без TPM пароль запуска или USB-ключ запуска становится критически важным, а ключ восстановления остается аварийным способом доступа, если проверка при запуске не сработает.

Как включить BitLocker без TPM в Windows
Windows 10 · Windows 11 · Ключ запуска