BitLocker er et verktøy innebygd i Windows som lar deg kryptere en hel harddisk for forbedret sikkerhet. Slik konfigurerer du det.
Da TrueCrypt kontroversielt lukket butikken, anbefalte de sine brukere å gå over fra TrueCrypt til å bruke BitLocker eller Veracrypt . BitLocker har eksistert lenge i Windows for å bli ansett som moden, og er en kryptering produkt generelt sett godt ansett av sikkerhetsproffene. I denne artikkelen skal vi snakke om hvordan du kan sette den opp på PC-en din.
I SLEKT: Bør du oppgradere til den profesjonelle utgaven av Windows 10?
Merk : BitLocker Drive Encryption og BitLocker To Go krever en Profesjonell eller Enterprise-utgave av Windows 8 eller 10, eller den endelige versjonen av Windows 7. Fra og med Windows 8.1, Home og Pro-utgavene av Windows inkluderer en "Enhetskryptering" funksjon (en funksjon som også er inkludert i Windows 10) som fungerer på samme måte. Vi anbefaler Enhetskryptering hvis datamaskinen din støtter den, BitLocker for Pro-brukere som ikke kan bruke Enhetskryptering, og VeraCrypt for folk som bruker en hjemmeversjon av Windows der Enhetskryptering ikke fungerer.
Kryptere en hel stasjon eller opprette en kryptert beholder?
Mange guider der ute snakker om å lage en BitLocker-container som fungerer omtrent som den typen kryptert container du kan lage med produkter som TrueCrypt eller Veracrypt. Det er litt feilaktig å si, men du kan oppnå en lignende effekt. BitLocker fungerer ved å kryptere hele stasjoner. Det kan være systemstasjonen din, en annen fysisk stasjon eller en virtuell harddisk (VHD) som eksisterer som en fil og er montert i Windows.
I SLEKT: Hvordan lage en kryptert containerfil med BitLocker på Windows
Forskjellen er stort sett semantisk. I andre krypteringsprodukter oppretter du vanligvis en kryptert beholder, og monterer den deretter som en stasjon i Windows når du trenger å bruke den. Med BitLocker oppretter du en virtuell harddisk, og krypterer den deretter. Hvis du vil bruke en container i stedet for, for eksempel, kryptere det eksisterende systemet eller lagringsstasjonen, kan du sjekke ut vår guide for å opprette en kryptert containerfil med BitLocker .
For denne artikkelen skal vi konsentrere oss om å aktivere BitLocker for en eksisterende fysisk stasjon.
Hvordan kryptere en stasjon med BitLocker
I SLEKT: Slik bruker du BitLocker uten en Trusted Platform Module (TPM)
For å bruke BitLocker til en stasjon, er alt du virkelig trenger å gjøre å aktivere den, velge en opplåsingsmetode - passord, PIN og så videre - og deretter angi noen andre alternativer. Før vi går inn på det, bør du imidlertid vite at bruk av BitLockers full-disk-kryptering på en systemstasjonen krever vanligvis en datamaskin med en Trusted Platform Module (TPM) på PC-ens hovedkort. Denne brikken genererer og lagrer krypteringsnøklene som BitLocker bruker. Hvis PCen din ikke har TPM, kan du bruk gruppepolicy for å aktivere bruk av BitLocker uten TPM . Det er litt mindre sikkert, men fortsatt sikrere enn ikke å bruke kryptering i det hele tatt.
Du kan kryptere en ikke-systemstasjon eller en flyttbar stasjon uten TPM og uten å måtte aktivere gruppepolicyinnstillingen.
På det notatet bør du også vite at det er to typer BitLocker-stasjonskryptering du kan aktivere:
- BitLocker Drive-kryptering : Noen ganger referert til som BitLocker, dette er en "full-disk kryptering" -funksjon som krypterer en hel stasjon. Når PC-en din starter, lastes Windows-opplasteren fra den systemreserverte partisjonen , og boot loader ber deg om å låse opp metoden - for eksempel et passord. BitLocker dekrypterer deretter stasjonen og laster inn Windows. Krypteringen er ellers gjennomsiktig - filene dine ser ut som de ville gjort på et ukryptert system, men de er lagret på disken i en kryptert form. Du kan også kryptere andre stasjoner enn bare systemstasjonen.
- BitLocker To Go : Du kan kryptere eksterne stasjoner - for eksempel USB-flashstasjoner og eksterne harddisker - med BitLocker To Go. Du blir bedt om å låse opp metoden - for eksempel et passord - når du kobler stasjonen til datamaskinen. Hvis noen ikke har låse opp metoden, kan de ikke få tilgang til filene på stasjonen.
I Windows 7 til 10 trenger du virkelig ikke å bekymre deg for å gjøre valget selv. Windows håndterer ting bak kulissene, og grensesnittet du vil bruke for å aktivere BitLocker ser ikke annerledes ut. Hvis du ender opp med å låse opp en kryptert stasjon på Windows XP eller Vista, ser du merkevaren BitLocker to Go, så vi tenkte at du i det minste burde vite om det.
Så med det ut av veien, la oss gå gjennom hvordan dette faktisk fungerer.
Trinn 1: Aktiver BitLocker for en stasjon
Den enkleste måten å aktivere BitLocker for en stasjon er å høyreklikke på stasjonen i et File Explorer-vindu, og deretter velge kommandoen "Slå på BitLocker". Hvis du ikke ser dette alternativet på hurtigmenyen, har du sannsynligvis ikke en Pro- eller Enterprise-utgave av Windows, og du må søke en annen krypteringsløsning.
Det er bare så enkelt. Veiviseren som dukker opp, veileder deg gjennom å velge flere alternativer, som vi har delt inn i avsnittene som følger.
Trinn to: Velg en opplåsingsmetode
Den første skjermen du ser i veiviseren "BitLocker Drive Encryption" lar deg velge hvordan du skal låse opp stasjonen. Du kan velge flere forskjellige måter å låse opp stasjonen på.
Hvis du krypterer systemstasjonen på en datamaskin som gjør ikke det har en TPM, kan du låse opp stasjonen med et passord eller en USB-stasjon som fungerer som en nøkkel. Velg låsemetode og følg instruksjonene for den metoden (skriv inn passord eller koble til USB-stasjonen).
I SLEKT: Slik aktiverer du en BitBocker-PIN-kode før oppstart på Windows
Hvis datamaskinen din gjør har en TPM, ser du flere alternativer for å låse opp systemstasjonen. For eksempel kan du konfigurere automatisk opplåsing ved oppstart (hvor datamaskinen henter krypteringsnøklene fra TPM og automatisk dekrypterer stasjonen). Du kan også bruk en PIN-kode i stedet for et passord, eller til og med velge biometriske alternativer som et fingeravtrykk.
Hvis du krypterer en ikke-systemstasjon eller en flyttbar stasjon, ser du bare to alternativer (enten du har en TPM eller ikke). Du kan låse opp stasjonen med et passord eller et smartkort (eller begge deler).
Trinn tre: Sikkerhetskopier gjenopprettingsnøkkelen
BitLocker gir deg en gjenopprettingsnøkkel som du kan bruke til å få tilgang til de krypterte filene dine hvis du noen gang mister hovednøkkelen - for eksempel hvis du glemmer passordet ditt eller hvis PC-en med TPM dør og du må få tilgang til stasjonen fra et annet system.
Du kan lagre nøkkelen til din Microsoft-konto , en USB-stasjon, en fil eller til og med skrive den ut. Disse alternativene er de samme enten du krypterer et system eller en ikke-systemstasjon.
Hvis du sikkerhetskopierer gjenopprettingsnøkkelen til Microsoft-kontoen din, kan du få tilgang til nøkkelen senere kl https://onedrive.live.com/recoverykey . Hvis du bruker en annen gjenopprettingsmetode, må du holde denne nøkkelen trygg - hvis noen får tilgang til den, kan de dekryptere stasjonen din og omgå kryptering.
Du kan også sikkerhetskopiere gjenopprettingsnøkkelen flere måter hvis du vil. Bare klikk på hvert alternativ du vil bruke etter tur, og følg deretter instruksjonene. Når du er ferdig med å lagre gjenopprettingsnøklene, klikker du på "Neste" for å gå videre.
Merk : Hvis du krypterer en USB eller annen flyttbar stasjon, har du ikke muligheten til å lagre gjenopprettingsnøkkelen på en USB-stasjon. Du kan bruke et av de tre andre alternativene.
Trinn fire: Krypter og låse opp stasjonen
BitLocker krypterer automatisk nye filer når du legger til dem, men du må velge hva som skjer med filene som er på stasjonen. Du kan kryptere hele stasjonen - inkludert ledig plass - eller bare kryptere de brukte diskfilene for å øke hastigheten på prosessen. Disse alternativene er også de samme enten du krypterer et system eller en ikke-systemstasjon.
I SLEKT: Slik gjenoppretter du en slettet fil: Den ultimate guiden
Hvis du konfigurerer BitLocker på en ny PC, kan du bare kryptere den brukte diskplassen - det er mye raskere. Hvis du setter opp BitLocker på en PC du har brukt en stund, bør du kryptere hele stasjonen for å sikre at ingen kan gjenopprette slettede filer .
Når du har valgt, klikker du på "Neste" -knappen.
Trinn fem: Velg en krypteringsmodus (kun Windows 10)
Hvis du bruker Windows 10, ser du en ekstra skjerm som lar deg velge en krypteringsmetode. Hvis du bruker Windows 7 eller 8, kan du gå videre til neste trinn.
Windows 10 introduserte en ny krypteringsmetode kalt XTS-AES. Det gir forbedret integritet og ytelse over AES som brukes i Windows 7 og 8. Hvis du vet at stasjonen du krypterer bare skal brukes på Windows 10-PCer, fortsett og velg alternativet "Ny krypteringsmodus". Hvis du tror du kanskje trenger å bruke stasjonen med en eldre versjon av Windows på et eller annet tidspunkt (spesielt viktig hvis det er en flyttbar stasjon), velger du alternativet "Kompatibel modus".
Uansett hvilket alternativ du velger (og igjen, disse er de samme for system- og ikke-systemstasjoner), fortsett og klikk på "Neste" -knappen når du er ferdig, og klikk på "Start kryptering" -knappen på neste skjerm.
Trinn seks: Etterbehandling
Krypteringsprosessen kan ta alt fra sekunder til minutter eller enda lenger, avhengig av størrelsen på stasjonen, mengden data du krypterer, og om du valgte å kryptere ledig plass.
Hvis du krypterer systemstasjonen, blir du bedt om å kjøre en BitLocker-systemkontroll og starte systemet på nytt. Forsikre deg om at alternativet er valgt, klikk på "Fortsett" -knappen, og start deretter PCen på nytt når du blir spurt. Etter at PC-en starter opp for første gang, krypterer Windows stasjonen.
Hvis du krypterer et ikke-system eller en flyttbar stasjon, trenger ikke Windows å starte på nytt, og kryptering begynner umiddelbart.
Uansett hvilken type stasjon du krypterer, kan du sjekke BitLocker Drive Encryption-ikonet i systemstatusfeltet for å se fremdriften, og du kan fortsette å bruke datamaskinen mens stasjoner blir kryptert - den vil bare utføre saktere.
Låser opp stasjonen din
Hvis systemstasjonen din er kryptert, avhenger det av metoden du valgte (og om PCen din har en TPM). Hvis du har en TPM og valgt å låse stasjonen automatisk, vil du ikke merke noe annet - du vil bare starte rett inn i Windows som alltid. Hvis du valgte en annen opplåsingsmetode, ber Windows deg om å låse opp stasjonen (ved å skrive inn passordet ditt, koble til USB-stasjonen eller hva som helst).
I SLEKT: Hvordan gjenopprette filene dine fra en BitLocker-kryptert stasjon
Og hvis du har mistet (eller glemt) opplåsingsmetoden, trykker du Escape på forespørselsskjermen for å skriv inn gjenopprettingsnøkkelen .
Hvis du har kryptert et ikke-system eller en flyttbar stasjon, ber Windows deg om å låse opp stasjonen når du først får tilgang til den etter at du har startet Windows (eller når du kobler den til PCen hvis det er en flyttbar stasjon). Skriv inn passordet ditt eller sett inn smartkortet ditt, og stasjonen skal låses opp slik at du kan bruke det.
I File Explorer viser krypterte stasjoner en gulllås på ikonet (til venstre). Denne låsen endres til grå og ser ut som ulåst når du låser opp stasjonen (til høyre).
Du kan administrere en låst stasjon - endre passordet, slå av BitLocker, sikkerhetskopiere gjenopprettingsnøkkelen eller utføre andre handlinger - fra BitLocker-kontrollpanelvinduet. Høyreklikk på en kryptert stasjon, og velg deretter "Manage BitLocker" for å gå direkte til den siden.
Som all kryptering, legger BitLocker litt overhead. Microsofts offisielle BitLocker-vanlige spørsmål sier at "Generelt pålegger det en ensifret prosentvis ytelse overhead." Hvis kryptering er viktig for deg fordi du har sensitive data - for eksempel en bærbar PC full av forretningsdokumenter - er den forbedrede sikkerheten vel verdt å avveie ytelsen.
