BitLocker je nástroj zabudovaný do systému Windows, který umožňuje šifrování celého pevného disku pro lepší zabezpečení. Zde je postup, jak to nastavit.
Když společnost TrueCrypt kontroverzně uzavřela obchod, doporučila svým uživatelům přechod z TrueCryptu na používání nástroje BitLocker nebo Verakrypt . BitLocker existuje ve Windows dostatečně dlouho, aby byl považován za dospělý, a je šifrování produkt obecně dobře pokládaný bezpečnostními profesionály. V tomto článku budeme hovořit o tom, jak jej můžete nastavit na počítači.
PŘÍBUZNÝ: Měli byste upgradovat na profesionální verzi systému Windows 10?
Poznámka : BitLocker Drive Encryption a BitLocker To Go vyžadují a Profesionální nebo podnikové vydání Windows 8 nebo 10 nebo Ultimate verze Windows 7. Počínaje Windows 8.1 však vydání Home a Pro z Windows obsahují „šifrování zařízení“ funkce (funkce také obsažená ve Windows 10), která funguje podobně. Doporučujeme šifrování zařízení, pokud to váš počítač podporuje, nástroj BitLocker pro uživatele Pro, kteří nemohou používat šifrování zařízení, a VeraCrypt pro lidi, kteří používají domácí verzi systému Windows kde šifrování zařízení nebude fungovat.
Šifrovat celý disk nebo vytvořit šifrovaný kontejner?
Mnoho průvodců mluví o vytvoření kontejneru BitLocker, který funguje podobně jako šifrovaný kontejner, který můžete vytvořit s produkty jako TrueCrypt nebo Veracrypt. Je to trochu nesprávné pojmenování, ale můžete dosáhnout podobného efektu. BitLocker funguje šifrováním celých disků. Může to být vaše systémová jednotka, jiná fyzická jednotka nebo virtuální pevný disk (VHD), který existuje jako soubor a je připojen ve Windows.
PŘÍBUZNÝ: Jak vytvořit šifrovaný soubor kontejneru pomocí nástroje BitLocker v systému Windows
Rozdíl je do značné míry sémantický. V jiných šifrovacích produktech obvykle vytvoříte šifrovaný kontejner a poté ho připojíte jako jednotku v systému Windows, když jej budete potřebovat. Pomocí nástroje BitLocker vytvoříte virtuální pevný disk a poté jej zašifrujete. Pokud byste raději používali kontejner, než byste šifrovali svůj stávající systém nebo úložnou jednotku, podívejte se na naše průvodce vytvořením šifrovaného souboru kontejneru pomocí nástroje BitLocker .
V tomto článku se zaměříme na povolení nástroje BitLocker pro existující fyzickou jednotku.
Jak zašifrovat disk pomocí nástroje BitLocker
PŘÍBUZNÝ: Jak používat nástroj BitLocker bez modulu Trusted Platform Module (TPM)
Chcete-li použít nástroj BitLocker, musíte jej pouze povolit, zvolit způsob odemčení - heslo, PIN atd. - a poté nastavit několik dalších možností. Než se do toho pustíme, měli byste vědět, že použití šifrování celého disku nástroje BitLocker na a systémová jednotka obecně vyžaduje počítač s modulem Trusted Platform Module (TPM) na základní desce vašeho počítače. Tento čip generuje a ukládá šifrovací klíče, které BitLocker používá. Pokud váš počítač nemá TPM, můžete použijte Zásady skupiny k povolení použití nástroje BitLocker bez TPM . Je to o něco méně bezpečné, ale stále bezpečnější než vůbec nepoužívat šifrování.
Můžete zašifrovat nesystémovou jednotku nebo vyměnitelnou jednotku bez TPM a bez nutnosti povolit nastavení zásad skupiny.
V této poznámce byste také měli vědět, že existují dva typy šifrování jednotek BitLocker, které můžete povolit:
- BitLocker Drive Encryption : Někdy se označuje jako BitLocker, jedná se o funkci „šifrování celého disku“, která šifruje celou jednotku. Při spuštění počítače se načte zavaděč systému Windows z systémově vyhrazený oddíl a zavaděč vás vyzve k zadání metody odemknutí - například hesla. BitLocker poté dešifruje jednotku a načte Windows. Šifrování je jinak transparentní - vaše soubory vypadají jako obvykle v nezašifrovaném systému, ale jsou uloženy na disku v šifrované podobě. Můžete také zašifrovat jiné jednotky než jen systémovou jednotku.
- BitLocker To Go : Pomocí nástroje BitLocker To Go můžete šifrovat externí disky - například USB flash disky a externí pevné disky. Když připojíte disk k počítači, budete vyzváni k zadání metody odemčení - například hesla. Pokud někdo nemá metodu odemknutí, nemá přístup k souborům na disku.
Ve Windows 7 až 10 si opravdu nemusíte dělat starosti s výběrem sami. Windows řeší věci v zákulisí a rozhraní, které použijete k povolení nástroje BitLocker, nevypadá jinak. Pokud odemknete zašifrovanou jednotku v systému Windows XP nebo Vista, uvidíte značku BitLocker to Go, takže jsme předpokládali, že byste o ní měli alespoň vědět.
Takže s tím, co bude mimo cestu, pojďme se podívat, jak to ve skutečnosti funguje.
Krok první: Povolte nástroj BitLocker pro jednotku
Nejjednodušší způsob, jak povolit nástroj BitLocker pro jednotku, je kliknout pravým tlačítkem na jednotku v okně Průzkumníka souborů a poté zvolit příkaz „Zapnout nástroj BitLocker“. Pokud tuto možnost nevidíte v místní nabídce, pravděpodobně nemáte verzi Windows Pro nebo Enterprise a budete muset hledat jiné řešení šifrování.
Je to tak jednoduché. Průvodce, který se objeví, vás provede výběrem několika možností, které jsme rozdělili do následujících částí.
Krok dva: Vyberte metodu odemčení
První obrazovka, kterou uvidíte v průvodci „BitLocker Drive Encryption“, vám umožní zvolit způsob odemknutí disku. Můžete si vybrat několik různých způsobů odemknutí disku.
Pokud šifrujete systémovou jednotku na počítači, který ne Pokud máte čip TPM, můžete disk odemknout pomocí hesla nebo jednotky USB, která funguje jako klíč. Vyberte způsob odemčení a postupujte podle pokynů pro tuto metodu (zadejte heslo nebo připojte jednotku USB).
PŘÍBUZNÝ: Jak povolit PIN před spuštěním nástroje BitLocker v systému Windows
Pokud váš počítač dělá máte čip TPM, uvidíte další možnosti odemknutí systémové jednotky. Můžete například nakonfigurovat automatické odemykání při spuštění (kde váš počítač získá šifrovací klíče z TPM a automaticky dešifruje jednotku). Můžete také použijte PIN místo hesla, nebo dokonce zvolit biometrické možnosti, jako je otisk prstu.
Pokud šifrujete nesystémovou nebo vyměnitelnou jednotku, uvidíte pouze dvě možnosti (ať už máte TPM nebo ne). Jednotku můžete odemknout pomocí hesla nebo čipové karty (nebo obou).
Krok třetí: Zálohujte klíč pro obnovení
BitLocker vám poskytuje klíč pro obnovení, který můžete použít pro přístup k šifrovaným souborům, pokud byste někdy ztratili hlavní klíč - například pokud zapomenete heslo nebo pokud počítač s TPM zemře a budete muset přistupovat k jednotce z jiného systému.
Klíč můžete uložit do svého Účet Microsoft , USB disk, soubor nebo ho dokonce vytisknout. Tyto možnosti jsou stejné, ať už šifrujete systémovou nebo nesystémovou jednotku.
Pokud si klíč pro obnovení zazálohujete na svůj účet Microsoft, můžete k němu získat přístup později na adrese https://onedrive.live.com/recoverykey . Pokud použijete jinou metodu obnovení, zajistěte, aby byl tento klíč v bezpečí - pokud k němu někdo získá přístup, mohl by dešifrovat váš disk a obejít šifrování.
Klíč pro obnovení můžete také zálohovat několika způsoby, pokud chcete. Stačí kliknout na jednotlivé možnosti, které chcete postupně použít, a poté postupujte podle pokynů. Po uložení obnovovacích klíčů pokračujte kliknutím na tlačítko Další.
Poznámka : Pokud šifrujete USB nebo jinou vyměnitelnou jednotku, nebudete mít možnost uložit klíč pro obnovení na jednotku USB. Můžete použít kteroukoli z dalších tří možností.
Krok čtyři: Šifrování a odemknutí disku
BitLocker automaticky šifruje nové soubory, jakmile je přidáte, ale musíte zvolit, co se stane se soubory aktuálně na vašem disku. Chcete-li proces urychlit, můžete zašifrovat celou jednotku - včetně volného místa - nebo jen zašifrovat použité soubory na disku. Tyto možnosti jsou stejné, ať už šifrujete systémovou nebo nesystémovou jednotku.
PŘÍBUZNÝ: Jak obnovit odstraněný soubor: Průvodce Ultimate
Pokud nastavujete nástroj BitLocker na novém počítači, zašifrujte pouze použité místo na disku - je to mnohem rychlejší. Pokud nastavujete nástroj BitLocker na počítači, který už nějakou dobu používáte, měli byste zašifrovat celou jednotku, aby nikdo nemohl obnovit smazané soubory .
Až provedete výběr, klikněte na tlačítko „Další“.
Krok pět: Vyberte režim šifrování (pouze Windows 10)
Pokud používáte Windows 10, zobrazí se další obrazovka, která vám umožní zvolit metodu šifrování. Pokud používáte Windows 7 nebo 8, přejděte k dalšímu kroku.
Windows 10 představil novou metodu šifrování s názvem XTS-AES. Poskytuje vylepšenou integritu a výkon oproti AES použitému ve Windows 7 a 8. Pokud víte, že šifrovaná jednotka bude použita pouze na počítačích se systémem Windows 10, pokračujte a vyberte možnost „Nový režim šifrování“. Pokud si myslíte, že v určitém okamžiku budete muset disk používat se starší verzí systému Windows (obzvláště důležité, pokud se jedná o vyměnitelný disk), vyberte možnost „Kompatibilní režim“.
Bez ohledu na to, kterou možnost vyberete (a opět jsou stejné pro systémové i nesystémové disky), pokračujte a po dokončení klikněte na tlačítko „Další“ a na další obrazovce klikněte na tlačítko „Spustit šifrování“.
Krok šestý: Dokončení
Proces šifrování může trvat kdekoli od sekund až po minuty nebo i déle, v závislosti na velikosti disku, množství dat, která šifrujete, a na tom, zda jste se rozhodli šifrovat volné místo.
Pokud šifrujete svůj systémový disk, budete vyzváni k provedení kontroly systému BitLocker a restartování systému. Ujistěte se, že je vybrána tato možnost, klikněte na tlačítko „Pokračovat“ a po zobrazení výzvy restartujte počítač. Po prvním spuštění počítače se systém Windows zašifruje.
Pokud šifrujete nesystémový nebo vyměnitelný disk, Windows se nemusí restartovat a šifrování začíná okamžitě.
Jakýkoli typ jednotky šifrujete, můžete zkontrolovat její průběh pomocí ikony BitLocker Drive Encryption na systémové liště a můžete pokračovat v používání počítače, zatímco jsou disky šifrovány - bude fungovat pomaleji.
Odemykání disku
Pokud je váš systémový disk šifrovaný, jeho odemknutí závisí na zvolené metodě (a na tom, zda váš počítač má TPM). Pokud máte čip TPM a zvolíte automatické odemykání disku, nic jiného si nevšimnete - stačí spustit systém Windows jako vždy. Pokud jste zvolili jinou metodu odemknutí, systém Windows vás vyzve k odemčení jednotky (zadáním hesla, připojením jednotky USB atd.).
PŘÍBUZNÝ: Jak obnovit soubory z jednotky šifrované pomocí nástroje BitLocker
A pokud jste způsob odemčení ztratili (nebo zapomněli), stiskněte na obrazovce s výzvou Escape zadejte klíč pro obnovení .
Pokud jste zašifrovali nesystémovou nebo vyměnitelnou jednotku, systém Windows vás vyzve k odemknutí jednotky při prvním přístupu po spuštění systému Windows (nebo při připojení k počítači, pokud je to vyměnitelná jednotka). Zadejte heslo nebo vložte čipovou kartu a disk by se měl odemknout, abyste jej mohli používat.
V Průzkumníku souborů šifrované jednotky zobrazují zlatý zámek na ikoně (vlevo). Tento zámek se změní na šedý a objeví se odemčený, když odemknete disk (napravo).
Uzamčenou jednotku můžete změnit - změnit heslo, vypnout nástroj BitLocker, zálohovat klíč pro obnovení nebo provádět jiné akce - z okna ovládacího panelu nástroje BitLocker. Klikněte pravým tlačítkem na libovolnou zašifrovanou jednotku a poté vyberte možnost „Správa nástroje BitLocker“ a přejděte přímo na tuto stránku.
Stejně jako všechna šifrování, BitLocker přidává nějaké režijní náklady. Oficiální Microsoft BitLocker FAQ říká, že „Obecně to vyžaduje jednociferné procento výkonu v režii.“ Pokud je pro vás šifrování důležité, protože máte citlivá data - například notebook plný obchodních dokumentů -, vylepšené zabezpečení stojí za kompromis výkonu.
