Jak skonfigurować szyfrowanie BitLocker w systemie Windows
BitLocker to narzędzie wbudowane w system Windows, które umożliwia szyfrowanie całego dysku twardego w celu zwiększenia bezpieczeństwa. Oto jak to skonfigurować.
Kiedy TrueCrypt kontrowersyjnie zamknął sklep, zalecił swoim użytkownikom przejście z TrueCrypt do korzystania z BitLocker lub Veracrypt. Funkcja BitLocker działa w systemie Windows wystarczająco długo, aby mogła być uważana za dojrzałą i jest produktem szyfrującym, powszechnie uznawanym przez specjalistów od bezpieczeństwa. W tym artykule porozmawiamy o tym, jak możesz je skonfigurować na swoim komputerze.
Uwaga: Szyfrowanie dysków funkcją BitLocker i funkcja BitLocker To Go wymaga profesjonalnej lub korporacyjnej wersji systemu Windows 8 lub 10 lub wersji Ultimate systemu Windows 7. Jednak począwszy od wersji Windows 8.1 wersje Home i Pro systemu Windows zawierają funkcję "Device Encryption" ( funkcja dostępna również w systemie Windows 10), która działa podobnie. Zalecamy szyfrowanie urządzeń, jeśli Twój komputer go obsługuje, użytkowników BitLocker dla Pro, którzy nie mogą używać szyfrowania urządzeń, i VeraCrypt dla osób używających domowej wersji systemu Windows, w których szyfrowanie urządzenia nie będzie działać.
Zaszyfruj cały dysk lub utwórz zaszyfrowany kontener?
Wiele przewodników mówi o tworzeniu kontenera BitLocker, który działa podobnie do rodzaju zaszyfrowanego kontenera, który można utworzyć za pomocą produktów takich jak TrueCrypt lub Veracrypt. To trochę mylące, ale możesz osiągnąć podobny efekt. Funkcja BitLocker działa poprzez szyfrowanie całych dysków. Może to być dysk systemowy, inny dysk fizyczny lub wirtualny dysk twardy (VHD), który istnieje jako plik i jest montowany w systemie Windows.
Różnica jest w dużej mierze semantyczna. W innych produktach szyfrujących zazwyczaj tworzy się zaszyfrowany kontener, a następnie montuje się go jako dysk w systemie Windows, gdy trzeba go użyć. Za pomocą funkcji BitLocker tworzysz wirtualny dysk twardy, a następnie go zaszyfrujesz. Jeśli chcesz użyć kontenera zamiast szyfrowania istniejącego dysku systemowego lub pamięci masowej, zapoznaj się z naszym przewodnikiem dotyczącym tworzenia zaszyfrowanego pliku kontenera za pomocą funkcji BitLocker.
W tym artykule skupimy się na włączaniu funkcji BitLocker dla istniejącego fizycznego dysku.
Jak zaszyfrować dysk za pomocą funkcji BitLocker
Aby użyć funkcji BitLocker dla napędu, wystarczy włączyć ją, wybrać metodę odblokowania - hasło, kod PIN itd. - a następnie ustawić kilka innych opcji. Zanim jednak to zrobimy, powinieneś wiedzieć, że używając pełnego szyfrowania BitLocker na napęd systemowy zazwyczaj wymaga komputera z modułem TPM (Trusted Platform Module) na płycie głównej komputera. Ten układ generuje i przechowuje klucze szyfrujące, których używa funkcja BitLocker. Jeśli komputer nie ma modułu TPM, można użyć zasad grupy, aby włączyć funkcję BitLocker bez modułu TPM. Jest trochę mniej bezpieczny, ale nadal bezpieczniejszy niż nieużywanie szyfrowania.
Można szyfrować dysk niesystemowy lub dysk wymienny bez modułu TPM i bez konieczności włączania ustawienia zasad grupy.
W tej notatce należy również wiedzieć, że istnieją dwa typy szyfrowania dysków funkcją BitLocker, które można włączyć:
- Szyfrowanie dysków bitlocker: Czasami określany jako BitLocker, jest to funkcja "pełnego szyfrowania dysku", która szyfruje cały dysk. Po uruchomieniu komputera program ładujący system Windows ładuje się z partycji System Reserved, a program ładujący ładujący monituje o metodę odblokowania - na przykład hasło. BitLocker następnie odszyfruje napęd i ładuje system Windows. Szyfrowanie jest poza tym przejrzyste - twoje pliki wyglądają tak, jak normalnie w niezaszyfrowanym systemie, ale są przechowywane na dysku w zaszyfrowanej postaci. Można również szyfrować inne dyski niż tylko dysk systemowy.
- BitLocker To Go: Za pomocą funkcji BitLocker To Go można szyfrować dyski zewnętrzne, takie jak dyski flash USB i zewnętrzne dyski twarde. Zostaniesz poproszony o podanie metody odblokowania - na przykład hasło - po podłączeniu dysku do komputera. Jeśli ktoś nie ma metody odblokowania, nie może uzyskać dostępu do plików na dysku.
W Windows od 7 do 10, naprawdę nie musisz się martwić o sam wybór. Windows obsługuje rzeczy za kulisami, a interfejs, którego użyjesz do włączenia funkcji BitLocker, nie będzie wyglądał inaczej. Jeśli odblokujesz zaszyfrowany dysk w systemie Windows XP lub Vista, zobaczysz logo BitLocker to Go, więc pomyśleliśmy, że powinieneś przynajmniej o tym wiedzieć.
Tak więc, z tym na uboczu, spójrzmy, jak to działa.
Krok pierwszy: Włącz funkcję BitLocker dla dysku
Najprostszym sposobem włączenia funkcji BitLocker dla dysku jest kliknięcie prawym przyciskiem myszy napędu w oknie Eksploratora plików, a następnie wybranie polecenia "Włącz funkcję BitLocker". Jeśli nie widzisz tej opcji w menu kontekstowym, prawdopodobnie nie masz wersji Pro lub Enterprise systemu Windows i musisz poszukać innego rozwiązania szyfrowania.
To takie proste. Pojawiający się kreator przeprowadzi cię przez wybór kilku opcji, które podzieliliśmy na następujące sekcje.
Krok drugi: wybierz metodę odblokowania
Pierwszy ekran, który zobaczysz w kreatorze "BitLocker Drive Encryption", pozwala wybrać sposób odblokowania dysku. Możesz wybrać kilka różnych sposobów odblokowania napędu.
Jeśli szyfrujesz dysk systemowy na komputerze, który nie robi mieć moduł TPM, możesz odblokować dysk za pomocą hasła lub dysku USB, który działa jako klucz. Wybierz swoją metodę odblokowania i postępuj zgodnie z instrukcjami dla tej metody (wpisz hasło lub podłącz dysk USB).
Jeśli twój komputer robi mieć moduł TPM, zobaczysz dodatkowe opcje odblokowania dysku systemowego. Można na przykład skonfigurować automatyczne odblokowywanie przy uruchomieniu (gdy komputer przechwytuje klucze szyfrowania z modułu TPM i automatycznie odszyfrowuje dysk). Można również użyć kodu PIN zamiast hasła, a nawet wybrać opcje biometryczne, takie jak odcisk palca.
Jeśli szyfrujesz dysk niesystemowy lub dysk wymienny, zobaczysz tylko dwie opcje (bez względu na to, czy masz moduł TPM, czy nie). Możesz odblokować dysk za pomocą hasła lub karty inteligentnej (lub obu).
Krok trzeci: Utwórz kopię zapasową klucza odzyskiwania
Funkcja BitLocker zapewnia klucz odzyskiwania, za pomocą którego można uzyskać dostęp do zaszyfrowanych plików w przypadku utraty klucza głównego - na przykład w przypadku utraty hasła lub zgonu komputera z modułem TPM i konieczności uzyskania dostępu do dysku z innego systemu.
Możesz zapisać klucz do swojego konta Microsoft, napędu USB, pliku, a nawet wydrukować. Te opcje są takie same, niezależnie od tego, czy szyfrujesz system, czy dysk systemowy.
Jeśli utworzysz kopię zapasową klucza odzyskiwania na swoje konto Microsoft, możesz uzyskać dostęp do klucza później na stronie https://onedrive.live.com/recoverykey. Jeśli używasz innej metody odzyskiwania, pamiętaj o zachowaniu tego klucza - jeśli ktoś uzyska do niego dostęp, może odszyfrować dysk i ominąć szyfrowanie.
Jeśli chcesz, możesz również wykonać kopię zapasową klucza odzyskiwania na wiele sposobów. Po prostu kliknij każdą opcję, której chcesz użyć po kolei, a następnie postępuj zgodnie ze wskazówkami. Po zakończeniu zapisywania kluczy odzyskiwania kliknij przycisk "Dalej", aby przejść dalej.
Uwaga: Jeśli szyfrujesz USB lub inny dysk wymienny, nie będziesz mieć możliwości zapisania klucza odzyskiwania na dysku USB. Możesz użyć dowolnej z pozostałych trzech opcji.
Krok czwarty: zaszyfruj i odblokuj dysk
Funkcja BitLocker automatycznie szyfruje nowe pliki podczas ich dodawania, ale musisz wybrać, co dzieje się z plikami znajdującymi się na dysku. Możesz zaszyfrować cały dysk - w tym wolną przestrzeń - lub po prostu zaszyfrować używane pliki dysków, aby przyspieszyć proces. Te opcje są takie same, niezależnie od tego, czy szyfrujesz system, czy dysk niesystemowy.
Jeśli konfigurujesz funkcję BitLocker na nowym komputerze PC, zaszyfruj tylko używaną przestrzeń dyskową - jest to znacznie szybsze. Jeśli ustawiasz BitLocker na komputerze, którego używasz od jakiegoś czasu, powinieneś zaszyfrować cały dysk, aby nikt nie mógł odzyskać skasowanych plików.
Po dokonaniu wyboru kliknij przycisk "Dalej".
Krok piąty: wybierz tryb szyfrowania (tylko Windows 10)
Jeśli używasz systemu Windows 10, zobaczysz dodatkowy ekran pozwalający wybrać metodę szyfrowania. Jeśli używasz systemu Windows 7 lub 8, przejdź do następnego kroku.
Windows 10 wprowadził nową metodę szyfrowania o nazwie XTS-AES. Zapewnia lepszą integralność i wydajność w porównaniu z AES używanymi w systemach Windows 7 i 8. Jeśli wiesz, że dysk, który szyfrujesz, będzie używany tylko na komputerach z systemem Windows 10, wybierz opcję "Nowy tryb szyfrowania". Jeśli uważasz, że w pewnym momencie będziesz musiał użyć dysku ze starszą wersją systemu Windows (szczególnie jeśli jest to dysk wymienny), wybierz opcję "Tryb zgodności".
Niezależnie od wybranej opcji (i znowu są one takie same dla dysków systemowych i niesystemowych), po zakończeniu kliknij przycisk "Dalej", a na następnym ekranie kliknij przycisk "Rozpocznij szyfrowanie".
Krok szósty: Kończenie
Proces szyfrowania może trwać od sekund do minut lub nawet dłużej, w zależności od wielkości dysku, ilości danych, które są szyfrowane, oraz od tego, czy zdecydujesz się zaszyfrować wolną przestrzeń.
Jeśli szyfrujesz dysk systemowy, pojawi się monit o sprawdzenie systemu BitLocker i ponowne uruchomienie systemu. Upewnij się, że opcja jest wybrana, kliknij przycisk "Kontynuuj", a następnie ponownie uruchom komputer po zapytaniu. Po pierwszym uruchomieniu komputera po raz pierwszy Windows szyfruje dysk.
Jeśli szyfrujesz dysk niesystemowy lub wymienny, system Windows nie musi się ponownie uruchamiać, a szyfrowanie rozpoczyna się natychmiast.
Niezależnie od tego, jaki rodzaj dysku szyfrujesz, możesz sprawdzić ikonę Szyfrowania dysków funkcją BitLocker na pasku zadań, aby zobaczyć jego postęp, i możesz dalej korzystać z komputera podczas szyfrowania dysków - będzie działać wolniej.
Odblokowywanie dysku
Jeśli dysk systemowy jest zaszyfrowany, odblokowanie go zależy od wybranej metody (i od tego, czy komputer ma moduł TPM). Jeśli masz moduł TPM i wybierzesz automatyczne odblokowanie dysku, nie zauważysz niczego innego - po prostu uruchomisz system Windows, jak zawsze. Jeśli wybierzesz inną metodę odblokowania, system Windows wyświetli monit o odblokowanie dysku (wpisując hasło, podłączając dysk USB lub cokolwiek innego).
Jeśli straciłeś (lub zapomniałeś) metodę odblokowania, naciśnij Escape na ekranie monitowym, aby wprowadzić klucz odzyskiwania.
Jeśli zaszyfrowano dysk niesystemowy lub wymienny, system Windows wyświetli monit o odblokowanie dysku przy pierwszym dostępie do niego po uruchomieniu systemu Windows (lub po podłączeniu go do komputera, jeśli jest to dysk wymienny). Wpisz hasło lub włóż kartę inteligentną, a napęd powinien zostać odblokowany, abyś mógł z niego korzystać.
W Eksploratorze plików zaszyfrowane dyski pokazują złotą blokadę ikony (po lewej). Ta blokada zmienia kolor na szary i jest odblokowywana po odblokowaniu napędu (po prawej).
Możesz zarządzać zablokowanym dyskiem - zmień hasło, wyłącz funkcję BitLocker, wykonaj kopię zapasową klucza odzyskiwania lub wykonaj inne czynności - z poziomu okna panelu sterowania funkcji BitLocker. Kliknij prawym przyciskiem myszy dowolny zaszyfrowany dysk, a następnie wybierz opcję "Zarządzaj funkcją BitLocker", aby przejść bezpośrednio do tej strony.
Podobnie jak wszystkie szyfrowania, funkcja BitLocker dodaje trochę narzutów. Oficjalne FAQ BitLocker Microsoftu mówi, że "generalnie nakłada na nie jednocyfrowe procentowe obciążenie." Jeśli szyfrowanie jest dla ciebie ważne, ponieważ masz wrażliwe dane - na przykład laptop pełen dokumentów biznesowych - zwiększone bezpieczeństwo jest warte handlu z wydajnością -poza.