Cum se configurează criptarea BitLocker pe Windows
BitLocker este un instrument construit în Windows care vă permite să criptați un întreg hard disk pentru o securitate îmbunătățită. Iată cum să configurați acest lucru.
Atunci când TrueCrypt a închis magazin controversat, au recomandat utilizatorilor să treacă de la TrueCrypt la utilizarea BitLocker sau Veracrypt. BitLocker a fost în jurul valorii de Windows suficient de lung pentru a fi considerat matur și este un produs de criptare, în general, bine apreciat de profesioniștii în domeniul securității. În acest articol, vom vorbi despre modul în care îl puteți configura pe PC.
Notă: BitLocker Drive Encryption și BitLocker To Go necesită o ediție Professional sau Enterprise de Windows 8 sau 10 sau versiunea Ultimate a Windows 7. Cu toate acestea, începând cu Windows 8.1, edițiile Home și Pro de Windows includ o caracteristică "Device Encryption" o caracteristică inclusă și în Windows 10) care funcționează în mod similar. Recomandăm Encryption Device dacă computerul dvs. acceptă acest lucru, utilizatorii BitLocker pentru Pro care nu pot utiliza Encryption Device și VeraCrypt pentru utilizatorii care utilizează o versiune Home a Windows unde Encryption Device nu va funcționa.
Criptați o întreagă unitate sau creați un container criptat?
Multe ghiduri de acolo vorbesc despre crearea unui container BitLocker care funcționează la fel ca un container criptat pe care îl puteți crea cu produse precum TrueCrypt sau Veracrypt. Este puțin un nume greșit, dar puteți obține un efect similar. BitLocker funcționează prin criptarea unităților întregi. Aceasta ar putea fi unitatea dvs. de sistem, o unitate fizică diferită sau o unitate hard disk virtuală (VHD) care există ca fișier și este montată în Windows.
Diferența este în mare parte semantică. În alte produse de criptare, de obicei, creați un container criptat și apoi îl montați ca unitate în Windows atunci când trebuie să îl utilizați. Cu BitLocker, creați un hard disk virtual și apoi îl criptați. Dacă doriți să utilizați mai degrabă un container decât să spuneți că ați criptat sistemul sau unitatea de stocare existentă, consultați ghidul nostru de creare a unui fișier de container criptat cu BitLocker.
Pentru acest articol, ne vom concentra pe activarea BitLocker pentru o unitate fizică existentă.
Cum se creează un drive cu BitLocker
Pentru a utiliza BitLocker pentru o unitate, tot ce trebuie să faceți este să o activați, să alegeți o metodă de deblocare, o parolă, codul PIN și așa mai departe - și apoi să setați câteva alte opțiuni. Înainte de a intra în acest lucru, trebuie să știți că utilizând criptarea full-disk a BitLocker pe un a unitate de sistem în general, necesită un computer cu un modul Trusted Platform Module (TPM) pe placa de bază a PC-ului dvs. Acest chip generează și stochează cheile de criptare utilizate de BitLocker. Dacă PC-ul dvs. nu are un TPM, puteți utiliza Politica de grup pentru a permite utilizarea BitLocker fără TPM. Este puțin mai sigur, dar mai sigur decât să nu folosiți deloc criptarea.
Puteți cripta o unitate non-sistem sau o unitate detașabilă fără TPM și fără a trebui să activați setarea Group Policy.
Pe această notă, trebuie să știți că există două tipuri de criptare a unităților BitLocker pe care le puteți activa:
- BitLocker Drive Encryption: Uneori menționată la fel ca BitLocker, aceasta este o caracteristică "de criptare completă a discului" care criptează o unitate întreagă. Când computerul se învârte, încărcătorul de încărcare Windows se încarcă din partiția System Reserved și încărcătorul de boot vă solicită metoda de deblocare - de exemplu, o parolă. BitLocker apoi decriptează unitatea și încarcă Windows. În mod normal, criptarea este transparentă - fișierele dvs. apar ca în mod normal într-un sistem necriptat, dar sunt stocate pe disc într-o formă criptată. De asemenea, puteți cripta alte unități decât unitatea de sistem.
- BitLocker Pentru a merge: Puteți cripta unitățile externe, cum ar fi unitățile flash USB și hard disk-urile externe, cu BitLocker To Go. Veți fi solicitat metoda dvs. de deblocare - de exemplu, o parolă - atunci când conectați unitatea la computer. Dacă cineva nu are metoda de deblocare, nu poate accesa fișierele de pe unitate.
În Windows 7 până la 10, într-adevăr nu trebuie să vă faceți griji cu privire la efectuarea selecției. Windows gestionează lucrurile în spatele scenei, iar interfața pe care o veți utiliza pentru a activa BitLocker nu arată diferit. Dacă ați terminat deblocarea unei unități criptate pe Windows XP sau Vista, veți vedea marca BitLocker to Go, așa că ne-am gândit că ar trebui să știți cel puțin despre asta.
Deci, cu asta din drum, să vedem cum funcționează de fapt.
Pasul unu: activați BitLocker pentru o unitate
Cea mai ușoară modalitate de a activa BitLocker pentru o unitate este să faceți clic dreapta pe unitate într-o fereastră File Explorer și apoi să alegeți comanda "Porniți BitLocker". Dacă nu vedeți această opțiune în meniul contextual, probabil că nu aveți o ediție Pro sau Enterprise de Windows și va trebui să căutați o altă soluție de criptare.
Este atât de simplu. Vrăjitorul care va apărea vă face să alegeți mai multe opțiuni, pe care le-am împărțit în secțiunile care urmează.
Pasul al doilea: alegeți o metodă de deblocare
Primul ecran pe care îl veți vedea în expertul "BitLocker Drive Encryption" vă permite să alegeți modul de deblocare a unității. Puteți selecta mai multe modalități diferite de deblocare a unității.
Dacă criptați unitatea de sistem pe un computer pe care îl utilizați nu aveți un TPM, puteți debloca unitatea cu o parolă sau o unitate USB care funcționează ca o cheie. Selectați metoda de deblocare și urmați instrucțiunile pentru acea metodă (introduceți o parolă sau conectați unitatea USB).
În cazul în care calculatorul dumneavoastră face aveți un TPM, veți vedea opțiuni suplimentare pentru deblocarea unității de sistem. De exemplu, puteți configura deblocarea automată la pornire (în cazul în care computerul dvs. apucă cheile de criptare de la TPM și decriptează automat unitatea). De asemenea, puteți utiliza un cod PIN în loc de o parolă sau chiar puteți alege opțiuni biometrice, cum ar fi o amprentă digitală.
Dacă criptați o unitate non-sistem sau unitate amovibilă, veți vedea numai două opțiuni (indiferent dacă aveți sau nu TPM). Puteți debloca unitatea cu o parolă sau o cartelă inteligentă (sau ambele).
Pasul al treilea: creați o copie de rezervă a cheii de recuperare
BitLocker vă oferă o cheie de recuperare pe care o puteți utiliza pentru a accesa fișierele criptate în cazul pierderii vreunei taste principale - de exemplu, dacă ați uitat parola sau dacă PC-ul cu TPM moare și trebuie să accesați unitatea dintr-un alt sistem.
Puteți salva cheia în contul dvs. Microsoft, o unitate USB, un fișier sau chiar să o imprimați. Aceste opțiuni sunt identice, indiferent dacă criptați o unitate de sistem sau non-sistem.
Dacă faceți o copie de rezervă a cheii de recuperare în contul dvs. Microsoft, puteți accesa cheia ulterior la adresa https://onedrive.live.com/recoverykey. Dacă utilizați o altă metodă de recuperare, asigurați-vă că păstrați această cheie sigură - dacă cineva obține accesul la aceasta, ar putea decripta unitatea dvs. și ar putea ocoli criptarea.
De asemenea, puteți să faceți o copie de rezervă a cheii de recuperare în mai multe moduri, dacă doriți. Doar faceți clic pe fiecare opțiune pe care doriți să o utilizați la rândul său, apoi urmați instrucțiunile. După ce ați salvat cheile de recuperare, faceți clic pe "Înainte" pentru a trece mai departe.
Notă: Dacă criptați o unitate USB sau o altă unitate detașabilă, nu veți avea opțiunea de a salva cheia de recuperare pe o unitate USB. Puteți utiliza oricare din celelalte trei opțiuni.
Pasul patru: Criptați și deblocați unitatea
BitLocker criptează automat fișierele noi pe măsură ce le adăugați, dar trebuie să alegeți ce se întâmplă cu fișierele aflate în prezent pe unitatea dvs. Puteți cripta întreaga unitate - inclusiv spațiul liber - sau doar să criptați fișierele disc folosite pentru a accelera procesul. Aceste opțiuni sunt, de asemenea, identice, indiferent dacă criptați o unitate de sistem sau non-sistem.
Dacă configurați BitLocker pe un PC nou, criptați numai spațiul de disc utilizat - este mult mai rapid. Dacă setați BitLocker pe un PC pe care îl utilizați o perioadă de timp, ar trebui să criptați întreaga unitate pentru a vă asigura că nimeni nu poate recupera fișierele șterse.
După ce ați făcut selecția, faceți clic pe butonul "Următorul".
Pasul Cinci: Alegeți un mod de criptare (numai pentru Windows 10)
Dacă utilizați Windows 10, veți vedea un ecran suplimentar care vă permite să alegeți o metodă de criptare. Dacă utilizați Windows 7 sau 8, treceți la pasul următor.
Windows 10 a introdus o nouă metodă de criptare numită XTS-AES. Oferă integritate îmbunătățită și performanță peste AES folosit în Windows 7 și 8. Dacă știți că unitatea criptată va fi utilizată numai pe PC-urile Windows 10, mergeți mai departe și alegeți opțiunea "Mod de criptare nou". Dacă credeți că ar trebui să utilizați unitatea cu o versiune mai veche de Windows la un moment dat (mai ales dacă este o unitate detașabilă), alegeți opțiunea "Mod compatibil".
Indiferent de opțiunea pe care o alegeți (și din nou, acestea sunt aceleași pentru unitățile de sistem și non-sistem), mergeți mai departe și faceți clic pe butonul "Următorul" când ați terminat, iar în ecranul următor faceți clic pe butonul "Începeți criptarea".
Etapa a șase: Finalizarea
Procesul de criptare poate dura oriunde, de la secunde la minute sau chiar mai mult, în funcție de dimensiunea unității, cantitatea de date pe care o criptați și dacă ați ales să criptați spațiul liber.
Dacă criptați unitatea de sistem, vi se va cere să executați o verificare a sistemului BitLocker și să reporniți sistemul. Asigurați-vă că ați selectat opțiunea, faceți clic pe butonul "Continuați" și reporniți computerul când vi se solicită. După ce computerul pornește din nou pentru prima dată, Windows criptează unitatea.
Dacă criptați o unitate non-sistem sau amovibilă, Windows nu trebuie să repornească și criptarea începe imediat.
Indiferent de tipul de unitate pe care îl criptați, puteți verifica pictograma BitLocker Drive Encryption din bara de sistem pentru a vedea progresul acesteia și puteți continua să utilizați computerul în timp ce unitățile sunt criptate - aceasta va funcționa mai lent.
Deblocarea unității
Dacă unitatea de sistem este criptată, deblocarea acesteia depinde de metoda pe care ați ales-o (și dacă PC-ul are un TPM). Dacă aveți un TPM și ați ales ca unitatea să fie deblocată automat, nu veți observa nimic diferit - pur și simplu veți porni în Windows ca întotdeauna. Dacă alegeți o altă metodă de deblocare, Windows vă solicită să deblocați unitatea (introducând parola, conectând unitatea USB sau orice altceva).
Dacă ați pierdut (sau ați uitat) metoda de deblocare, apăsați tasta Escape din ecranul prompt pentru a introduce cheia de recuperare.
Dacă ați criptat o unitate care nu este sistem sau detașabilă, Windows vă solicită să deblocați unitatea la prima accesare a acesteia după ce ați pornit Windows (sau când îl conectați la PC dacă este o unitate detașabilă). Introduceți parola sau introduceți cardul inteligent, iar unitatea ar trebui să se deblocheze pentru a putea să o utilizați.
În File Explorer, unitățile criptate prezintă o blocare a aurului pe pictograma (pe partea stângă). Această încuietoare se schimbă în gri și apare deblocată când deblocați unitatea (în partea dreaptă).
Puteți gestiona o unitate blocată - schimbați parola, dezactivați BitLocker, creați copii de rezervă pentru cheia de recuperare sau efectuați alte acțiuni - din fereastra de pe panoul de control BitLocker. Faceți clic cu butonul din dreapta pe orice unitate criptată și apoi selectați "Gestionați BitLocker" pentru a merge direct la acea pagină.
Ca toate criptarea, BitLocker adaugă unele costuri generale. Întrebarea frecventă despre BitLocker a Microsoft spune că "În general, impune un procent de performanță procentuală dintr-o singură cifră." Dacă criptarea este importantă pentru dvs. deoarece aveți date sensibile - de exemplu, un laptop plin de documente de afaceri - -off.