Если вы храните данные, чувствительные к доступу посторонних лиц, на съемных накопителях: флешке, карте памяти, внешнем диске, разумным может быть шифрование этих данных с доступом по паролю или с помощью иного метода разблокировки: этого можно достичь приобретением накопителей с функцией шифрования, использованием сторонних программ, таких как VeraCrypt или же встроенными средствами Windows.
Насколько надёжно такое шифрование? Мне неизвестно о случаях, когда доступ к внешнему накопителю, зашифрованного с помощью BitLocker был получен доступ иначе, чем с помощью подбора пароля, а при достаточно сложном пароле это будет почти не реально на сегодняшнем оборудовании (однако уязвимости для зашифрованных BitLocker внутренних системных дисков недавно обнаруживались).
Отдельно следует учитывать, что шифрование BitLocker защищает от несанкционированного доступа к данным, но не защищает от их потери: накопитель может быть отформатирован без ввода пароля, также нельзя исключать повреждение данных, которое, в случае включенного шифрования может привести к более серьезным последствиям (невозможности восстановить оставшиеся данные), чем без шифрования.
Дополнительная информация
Для системных администраторов могут оказаться полезными связанные с шифрованием BitLocker To Go политики в редакторе локальной групповой политики, находящиеся в разделе «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Шифрование диска BitLocker» — «Съемные носители с данными»:
- Запретить запись на съемные диски, не защищенные BitLocker — полный запрет записи на не зашифрованные накопители.
- Настройка использования паролей для съемных накопителей данных — позволяет настроить необходимую сложность паролей для накопителей с шифрованием.
- Управление использованием BitLocker для съемных накопителей — позволяет запретить расшифровку (отключение BitLocker) данных на накопителе, а также разрешить или запретить пользователям включать BitLocker для них.
- Выбор методов восстановления съемных дисков, защищенных BitLocker — позволяет настроить пропуск настройки сохранения ключа восстановления и сохранять его в Active Directory.
Там же присутствуют политики для изменения типа шифрования (полное или только занятое место), используемых алгоритмов шифрования.
Источник