BitLocker to narzędzie wbudowane w system Windows, które umożliwia szyfrowanie całego dysku twardego w celu zwiększenia bezpieczeństwa. Oto jak to skonfigurować.
Kiedy TrueCrypt kontrowersyjnie zamknął sklep, zalecił swoim użytkownikom przejście z TrueCrypt do korzystania z BitLocker lub Veracrypt. BitLocker działa w systemie Windows wystarczająco długo, aby można go było uznać za dojrzały, i jest produktem szyfrującym, powszechnie uznanym przez specjalistów od bezpieczeństwa. W tym artykule porozmawiamy o tym, jak możesz go skonfigurować na swoim komputerze.
Uwaga: Szyfrowanie dysków funkcją BitLocker i BitLocker To Go wymaga profesjonalnej lub korporacyjnej wersji systemu Windows 8 lub 10 lub wersji Ultimate systemu Windows 7. Jednak począwszy od wersji Windows 8.1, wersje Home i Pro systemu Windows zawierają funkcję "Device Encryption" ( funkcja dostępna również w systemie Windows 10), która działa podobnie. Zalecamy szyfrowanie urządzenia, jeśli Twój komputer go obsługuje, użytkowników BitLocker dla Pro, którzy nie mogą używać szyfrowania urządzeń, i VeraCrypt dla osób używających domowej wersji systemu Windows, w których szyfrowanie urządzeń nie będzie działać.
Wiele przewodników mówi o tworzeniu kontenera BitLocker, który działa podobnie do rodzaju zaszyfrowanego kontenera, który można utworzyć za pomocą produktów takich jak TrueCrypt lub Veracrypt. To trochę mylące, ale możesz osiągnąć podobny efekt. Funkcja BitLocker działa poprzez szyfrowanie całych dysków. Może to być dysk systemowy, inny dysk fizyczny lub wirtualny dysk twardy (VHD), który istnieje jako plik i jest montowany w systemie Windows.
Różnica jest w dużej mierze semantyczna. W innych produktach szyfrujących zwykle tworzy się zaszyfrowany kontener, a następnie montuje się go jako dysk w systemie Windows, gdy trzeba z niego korzystać. Za pomocą funkcji BitLocker tworzysz wirtualny dysk twardy, a następnie go zaszyfrujesz. Jeśli chcesz użyć kontenera zamiast szyfrowania istniejącego systemu lub dysku pamięci, zapoznaj się z naszym przewodnikiem dotyczącym tworzenia zaszyfrowanego pliku kontenera za pomocą funkcji BitLocker.
W tym artykule skupimy się na włączaniu funkcji BitLocker dla istniejącego fizycznego dysku.
Aby użyć funkcji BitLocker dla napędu, wystarczy włączyć ją, wybrać metodę odblokowania - hasło, kod PIN itd. - a następnie ustawić kilka innych opcji. Zanim jednak to zrobimy, powinieneś wiedzieć, że używając szyfrowania pełnotekstowego BitLocker na napęd systemowy zazwyczaj wymaga komputera z modułem TPM (Trusted Platform Module) na płycie głównej komputera. Ten układ generuje i przechowuje klucze szyfrujące, których używa funkcja BitLocker. Jeśli komputer nie ma modułu TPM, można użyć zasad grupy, aby włączyć funkcję BitLocker bez modułu TPM. Jest trochę mniej bezpieczny, ale nadal bezpieczniejszy niż nieużywanie szyfrowania.
Można szyfrować dysk niesystemowy lub dysk wymienny bez modułu TPM i bez konieczności włączania ustawienia zasad grupy.
W tej notatce należy również wiedzieć, że istnieją dwa typy szyfrowania dysków funkcją BitLocker, które można włączyć:
W Windows od 7 do 10, naprawdę nie musisz się martwić o sam wybór. Windows obsługuje rzeczy za kulisami, a interfejs, którego użyjesz do włączenia funkcji BitLocker, nie będzie wyglądać inaczej. Jeśli w końcu odblokujesz zaszyfrowany dysk w systemie Windows XP lub Vista, zobaczysz logo BitLocker to Go, więc doszliśmy do wniosku, że powinieneś przynajmniej o tym wiedzieć.
Tak więc, z tym na uboczu, spójrzmy, jak to działa.
Najprostszym sposobem włączenia funkcji BitLocker dla napędu jest kliknięcie prawym przyciskiem myszy napędu w oknie Eksploratora plików, a następnie wybranie polecenia "Włącz funkcję BitLocker". Jeśli nie widzisz tej opcji w menu kontekstowym, prawdopodobnie nie masz wersji Pro lub Enterprise systemu Windows i musisz poszukać innego rozwiązania szyfrowania.
To takie proste. Kreator, który wyskoczy, przeprowadzi cię przez wybór kilku opcji, które podzieliliśmy na następujące sekcje.
Pierwszy ekran, który zobaczysz w kreatorze "BitLocker Drive Encryption", pozwala wybrać sposób odblokowania dysku. Możesz wybrać kilka różnych sposobów odblokowania napędu.
Jeśli szyfrujesz dysk systemowy na komputerze, którynie robi mieć moduł TPM, możesz odblokować dysk za pomocą hasła lub dysku USB, który działa jako klucz. Wybierz metodę odblokowania i postępuj zgodnie z instrukcjami dla tej metody (wprowadź hasło lub podłącz dysk USB).
Jeśli twój komputer robi mieć moduł TPM, zobaczysz dodatkowe opcje odblokowania dysku systemowego. Na przykład można skonfigurować automatyczne odblokowywanie przy starcie (gdy komputer przechwytuje klucze szyfrowania z modułu TPM i automatycznie odszyfrowuje dysk).Można również użyć kodu PIN zamiast hasła, a nawet wybrać opcje biometryczne, takie jak odcisk palca.
Jeśli szyfrujesz dysk niesystemowy lub dysk wymienny, zobaczysz tylko dwie opcje (bez względu na to, czy masz moduł TPM, czy nie). Możesz odblokować dysk za pomocą hasła lub karty inteligentnej (lub obu).
Funkcja BitLocker zapewnia klucz odzyskiwania, za pomocą którego można uzyskać dostęp do zaszyfrowanych plików w przypadku utraty klucza głównego - na przykład w przypadku zapomnienia hasła lub zgonu komputera z modułem TPM i konieczności uzyskania dostępu do dysku z innego systemu.
Możesz zapisać klucz na swoim koncie Microsoft, dysku USB, pliku, a nawet wydrukować. Te opcje są takie same, niezależnie od tego, czy szyfrujesz system, czy dysk systemowy.
Jeśli utworzysz kopię zapasową klucza odzyskiwania na swoje konto Microsoft, możesz uzyskać dostęp do klucza później na stronie https://onedrive.live.com/recoverykey. Jeśli używasz innej metody odzyskiwania, pamiętaj o zachowaniu tego klucza - jeśli ktoś uzyska do niego dostęp, może odszyfrować dysk i ominąć szyfrowanie.
Jeśli chcesz, możesz również wykonać kopię zapasową klucza odzyskiwania na wiele sposobów. Po prostu kliknij każdą opcję, której chcesz użyć po kolei, a następnie postępuj zgodnie ze wskazówkami. Po zakończeniu zapisywania kluczy odzyskiwania kliknij "Dalej", aby przejść dalej.
Uwaga: Jeśli szyfrujesz USB lub inny dysk wymienny, nie będziesz mieć możliwości zapisania klucza odzyskiwania na dysku USB. Możesz użyć dowolnej z trzech pozostałych opcji.
Funkcja BitLocker automatycznie szyfruje nowe pliki podczas ich dodawania, ale musisz wybrać, co dzieje się z plikami znajdującymi się na dysku. Możesz zaszyfrować cały dysk - w tym wolną przestrzeń - lub po prostu zaszyfrować używane pliki dysków, aby przyspieszyć proces. Te opcje są również takie same, niezależnie od tego, czy szyfrujesz system, czy dysk systemowy.
Jeśli konfigurujesz funkcję BitLocker na nowym komputerze, zaszyfruj tylko używaną przestrzeń dyskową - jest to znacznie szybsze. Jeśli ustawiasz funkcję BitLocker na komputerze, którego używasz od jakiegoś czasu, powinieneś zaszyfrować cały dysk, aby nikt nie mógł odzyskać usuniętych plików.
Po dokonaniu wyboru kliknij przycisk "Dalej".
Jeśli używasz systemu Windows 10, zobaczysz dodatkowy ekran pozwalający wybrać metodę szyfrowania. Jeśli używasz systemu Windows 7 lub 8, przejdź do następnego kroku.
Windows 10 wprowadził nową metodę szyfrowania o nazwie XTS-AES. Zapewnia lepszą integralność i wydajność w porównaniu z AES używanymi w systemach Windows 7 i 8. Jeśli wiesz, że dysk, który szyfrujesz, będzie używany tylko na komputerach z systemem Windows 10, wybierz opcję "Nowy tryb szyfrowania". Jeśli sądzisz, że w pewnym momencie będziesz musiał użyć dysku ze starszą wersją systemu Windows (szczególnie jeśli jest to dysk wymienny), wybierz opcję "Tryb zgodności".
Niezależnie od wybranej opcji (i znowu są one takie same dla dysków systemowych i niesystemowych), po zakończeniu kliknij przycisk "Dalej", a na następnym ekranie kliknij przycisk "Rozpocznij szyfrowanie".
Proces szyfrowania może trwać od sekund do minut lub nawet dłużej, w zależności od wielkości dysku, ilości danych, które są szyfrowane, oraz od tego, czy zdecydujesz się zaszyfrować wolne miejsce.
Jeśli szyfrujesz dysk systemowy, pojawi się monit o sprawdzenie systemu BitLocker i ponowne uruchomienie systemu. Upewnij się, że opcja jest wybrana, kliknij przycisk "Kontynuuj", a następnie ponownie uruchom komputer, gdy zostanie wyświetlony monit. Po pierwszym uruchomieniu komputera po raz pierwszy Windows szyfruje dysk.
Jeśli szyfrujesz dysk niesystemowy lub wymienny, system Windows nie musi się ponownie uruchamiać, a szyfrowanie rozpoczyna się natychmiast.
Niezależnie od tego, jaki rodzaj dysku szyfrujesz, możesz sprawdzić ikonę Szyfrowania dysków funkcją BitLocker na pasku zadań, aby zobaczyć jego postępy, i możesz dalej używać komputera podczas szyfrowania dysków - będzie działał wolniej.
Jeśli dysk systemowy jest zaszyfrowany, odblokowanie go zależy od wybranej metody (i od tego, czy komputer ma moduł TPM). Jeśli masz moduł TPM i wybrano automatyczne odblokowanie dysku, nie zauważysz niczego innego - po prostu uruchomisz system Windows, jak zawsze. Jeśli wybierzesz inną metodę odblokowania, system Windows wyświetli monit o odblokowanie dysku (wpisując hasło, podłączając dysk USB lub cokolwiek innego).
Jeśli utraciłeś (lub zapomniałeś) metodę odblokowania, naciśnij Escape na ekranie monitów, aby wprowadzić klucz odzyskiwania.
Jeśli zaszyfrowano dysk niesystemowy lub wymienny, system Windows wyświetli monit o odblokowanie dysku przy pierwszym dostępie do niego po uruchomieniu systemu Windows (lub po podłączeniu go do komputera, jeśli jest to dysk wymienny). Wpisz swoje hasło lub włóż kartę inteligentną, a napęd powinien zostać odblokowany, abyś mógł z niego korzystać.
W Eksploratorze plików zaszyfrowane dyski pokazują złotą blokadę ikony (po lewej). Ta blokada zmieni kolor na szary i będzie odblokowywana po odblokowaniu napędu (po prawej).
Podobnie jak wszystkie szyfrowania, funkcja BitLocker dodaje trochę narzutów. Oficjalne FAQ BitLocker Microsoftu mówi, że "generalnie nakłada on na siebie jednocyfrowe procentowe obciążenie." Jeśli szyfrowanie jest dla Ciebie ważne, ponieważ masz wrażliwe dane - na przykład laptop pełen dokumentów biznesowych - zwiększone bezpieczeństwo jest warte handlu z wydajnością -poza.
