В результате тестирования различных компьютеров с серьезными конфигами выяснилось, что операционка от Microsoft может серьезно ограничивать производительность машины. «Виновник» найден — это включенная по дефолту в официально предустановленной Windows 11 Pro защита BitLocker.
Что это означает для пользователя?
BitLocker в общем и целом неплохая функция, которая помогает защитить данные юзера, шифруя «все и вся на своем пути». Именно это и успешно пытается сделать Windows 11 Pro, которая обязывает процессор защищать диски (и их тома) компьютера, на котором она установлена. Однако есть нюансы. Заключаются они в том, что при этом может серьезно пострадать производительность твердотельного накопителя. Результаты тестов показали, что в некоторых случаях потери составляют до 20% от номинальной, указанной производителем. Иными словами, защита от Microsoft, являясь по сути полезной и правильной функцией, реализована таким образом, что тормозит работу «железных» компонентов системы. Отметим, что существуют как минимум два различных варианта шифрования данных — так называемый аппаратный и при помощи соответствующих служебных программ. Проблемы с производительностью компонентов, в частности с SSD, возникают при использовании софтового шифрования.
Забавно
что описанная выше ситуация складывается только при официальной установке или покупке уже собранного компьютера от производителя с предустановленной Windows 11 Pro. Представители таких известных компаний как HP, Lenovo и Dell сообщают, что поставляют современные машины с последними «прошками» на борту, имеющими по дефолту активированную программную защиту дисков, которая снимается только в том случае, если сам пользователь согласен раскошелиться на SSD с аппаратным шифрованием. Статистически также известно, что в Windows 10 Pro проблема с BitLocker на практике не актуальна, нет ее и на машинах с Windows 11 Home. Более того, только устанавливая образ системы с официального сайта Microsoft при помощи различного неавторизованного софта (Rufus и т.д), юзер получает возможность отключить шифрование до установки системы на свою машину
Тестирование
Несколько известных «железных» сетевых ресурсов решили выяснить насколько все плохо. Были проведены серии тестов работы SSD с полностью отключенной функцией BitLocker, а также задействованным софтовым или «железным» шифрованием диска. В качестве испытуемого был выбран Samsung 990 Pro 4TB SSD, установленный на машине с процессором Core i9-12900K, 32GB памяти DDR4 и системой Windows 11 Pro (22H2 со всеми свежими апдейтами)
Проверка при помощи PCMark 10 Storage Benchmark показала, что Samsung 990 Pro 4TB SSD теряет до 21% от своей производительности при включенном программном шифровании. При этом «железная» защита данных практически никак не влияет на его работу. Самые лучшие результаты были предсказуемо достигнуты при полностью отключенной функции защиты. Примерно такая же картина получилась при тестировании с использованием бенчмарков CrystalDiskMark 8 и DiskBench. Samsung 990 Pro 4TB SSD «мучали» как рандомными сериями чтение и записи, так и длительными сессиями (50GB-100GB)
Как проверить состояние BitLocker на компьютере
Запустить старую добрую CDM от имени администратора машины и ввести команду manage-bde -status. Далее смотрим на две важные для нас строчки: Conversion Status и Encryption Method
- Conversion Status рассказывает включено ли в принципе шифрование на машине
- Encryption Method соответственно объясняет какой именно метод при этом задействован.
И если во второй строчке вы получили ответ XTS-AES, то это означает, что функция программного BitLocker активирована. Надпись Hardware Encryption дает вам надежду, что ваш дорогой и быстрый Samsung SSD будет работать на 100% своих возможностей.
Нужно ли отключать шифрование данных?
Вопрос, на который каждый пользователь отвечает сам. Возможно, вы считаете, что лучше пожертвовать скоростью работы SSD, но быть уверенным, что ваши данные под надежной защитой. Есть и такие юзеры, которые полагают, что если включать шифрование, то только «железное».
Отключение BitLocker потребует от вас снова запустить CDM и на этот раз ввести сообщение manage-bde off C, где вместо «С» может быть указано обозначение любого другого диска, на котором вы хотите отключить защиту.
В заключении отметим, что сама идея BitLocker стала реальностью еще в 2016 году. Windows 8.1 Pro и Windows Server 2012 R2 уже имели эту функцию. Однако главное отличие от современных реалий состояло в том, что защита была включена только на машинах с поддержкой TPM, Secure Boot и Modern Standby/HSTI. Все эти фишки нужно было отдельно включать «ручками». Кроме того, Microsoft в то время не настаивал на создании обязательного сетевого аккаунта и большинство пользователей «заходили» в систему с локальной учеткой, а значит BitLocker оставался опцией, которая по дефолту отключена. И только Windows 11 с ее обязательными требованиями к железу, в том числе и к TPM, влияние программной защиты на работу компонентов компьютера стало привлекать внимание экспертов и пользователей.
