BitLocker är ett inbyggt verktyg i Windows som låter dig kryptera en hel hårddisk för förbättrad säkerhet. Så här ställer du in det.
När TrueCrypt kontroversiellt stängde butiken rekommenderade de sina användare att övergå från TrueCrypt till att använda BitLocker eller Veracrypt . BitLocker har funnits i Windows tillräckligt länge för att betraktas som moget och är en kryptering produkt i allmänhet väl ansedd av säkerhetsproffs. I den här artikeln ska vi prata om hur du kan ställa in det på din dator.
RELATERAD: Ska du uppgradera till Professional Edition av Windows 10?
Notera : BitLocker Drive Encryption och BitLocker To Go kräver en Professionell eller Enterprise-utgåva av Windows 8 eller 10, eller den ultimata versionen av Windows 7. Från och med Windows 8.1, Home och Pro-versionerna av Windows inkluderar en "Encryption" funktion (en funktion som också ingår i Windows 10) som fungerar på samma sätt. Vi rekommenderar Enhetskryptering om din dator stöder den, BitLocker för Pro-användare som inte kan använda Enhetskryptering och VeraCrypt för personer som använder en hemversion av Windows där Enhetskryptering inte fungerar.
Kryptera en hel enhet eller skapa en krypterad behållare?
Många guider där ute talar om att skapa en BitLocker-behållare som fungerar ungefär som den typ av krypterad behållare du kan skapa med produkter som TrueCrypt eller Veracrypt. Det är lite felaktigt, men du kan uppnå en liknande effekt. BitLocker fungerar genom att kryptera hela enheter. Det kan vara din systemdisk, en annan fysisk enhet eller en virtuell hårddisk (VHD) som finns som en fil och är monterad i Windows.
RELATERAD: Hur man skapar en krypterad behållarfil med BitLocker på Windows
Skillnaden är till stor del semantisk. I andra krypteringsprodukter skapar du vanligtvis en krypterad behållare och monterar den sedan som en enhet i Windows när du behöver använda den. Med BitLocker skapar du en virtuell hårddisk och krypterar den sedan. Om du vill använda en container istället för att säga kryptera ditt befintliga system eller lagringsenhet, kolla in vår guide för att skapa en krypterad containerfil med BitLocker .
För den här artikeln kommer vi att koncentrera oss på att aktivera BitLocker för en befintlig fysisk enhet.
Hur man krypterar en enhet med BitLocker
RELATERAD: Hur man använder BitLocker utan en Trusted Platform Module (TPM)
För att använda BitLocker för en enhet är allt du behöver göra att aktivera det, välja en upplåsningsmetod - lösenord, PIN och så vidare - och ange några andra alternativ. Innan vi går in på det borde du dock veta att du använder BitLockers fullständiga kryptering på en systemdrivenhet kräver vanligtvis en dator med en Trusted Platform Module (TPM) på datorns moderkort. Detta chip genererar och lagrar krypteringsnycklarna som BitLocker använder. Om din dator inte har en TPM kan du göra det Använd grupprincip för att aktivera användning av BitLocker utan TPM . Det är lite mindre säkert, men ändå säkrare än att inte använda kryptering alls.
Du kan kryptera en icke-systemdisk eller flyttbar enhet utan TPM och utan att behöva aktivera grupprincipinställningen.
På den noten bör du också veta att det finns två typer av BitLocker-enhetskryptering som du kan aktivera:
- BitLocker Drive-kryptering : Ibland kallas det precis som BitLocker, det här är en “full-disk kryptering” -funktion som krypterar en hel enhet. När din dator startar laddas Windows boot loader från den systemreserverade partitionen , och startladdaren uppmanar dig att låsa upp din metod - till exempel ett lösenord. BitLocker dekrypterar sedan enheten och laddar Windows. Krypteringen är annars transparent - dina filer ser ut som de normalt skulle vara i ett okrypterat system, men de lagras på disken i krypterad form. Du kan också kryptera andra enheter än bara systemdisken.
- BitLocker To Go : Du kan kryptera externa enheter - till exempel USB-flashenheter och externa hårddiskar - med BitLocker To Go. Du blir ombedd att låsa upp din metod - till exempel ett lösenord - när du ansluter enheten till din dator. Om någon inte har upplåsningsmetoden kan de inte komma åt filerna på enheten.
I Windows 7 till 10 behöver du verkligen inte oroa dig för att göra valet själv. Windows hanterar saker bakom kulisserna, och gränssnittet som du använder för att aktivera BitLocker ser inte annorlunda ut. Om du slutar låsa upp en krypterad enhet på Windows XP eller Vista ser du BitLocker to Go-märket, så vi tänkte att du åtminstone borde veta om det.
Så med det ur vägen, låt oss gå igenom hur detta faktiskt fungerar.
Steg ett: Aktivera BitLocker för en enhet
Det enklaste sättet att aktivera BitLocker för en enhet är att högerklicka på enheten i ett File Explorer-fönster och sedan välja kommandot "Slå på BitLocker". Om du inte ser det här alternativet på din snabbmeny har du förmodligen ingen Pro- eller Enterprise-utgåva av Windows och du måste söka en annan krypteringslösning.
Det är bara så enkelt. Guiden som dyker upp guidar dig genom att välja flera alternativ som vi har delat upp i de avsnitt som följer.
Steg två: Välj en upplåsningsmetod
Den första skärmen som visas i guiden "BitLocker Drive Encryption" låter dig välja hur du låser upp din enhet. Du kan välja flera olika sätt att låsa upp enheten.
Om du krypterar din systemdisk på en dator som inte har en TPM kan du låsa upp enheten med ett lösenord eller en USB-enhet som fungerar som en nyckel. Välj din upplåsningsmetod och följ instruktionerna för den metoden (ange ett lösenord eller anslut din USB-enhet).
RELATERAD: Så här aktiverar du en BitBocker-PIN-kod före start i Windows
Om din dator gör har en TPM, ser du ytterligare alternativ för att låsa upp din systemdisk. Du kan till exempel konfigurera automatisk upplåsning vid start (där din dator tar tag i krypteringsnycklarna från TPM och automatiskt dekrypterar enheten). Du kan också använd en PIN-kod istället för ett lösenord eller till och med välja biometriska alternativ som ett fingeravtryck.
Om du krypterar en icke-systemdisk eller flyttbar enhet ser du bara två alternativ (oavsett om du har en TPM eller inte). Du kan låsa upp enheten med ett lösenord eller ett smartkort (eller båda).
Steg tre: Säkerhetskopiera din återställningsnyckel
BitLocker ger dig en återställningsnyckel som du kan använda för att komma åt dina krypterade filer om du någonsin tappar din huvudnyckel - till exempel om du glömmer lösenordet eller om datorn med TPM dör och du måste komma åt enheten från ett annat system.
Du kan spara nyckeln till din Microsoft konto , en USB-enhet, en fil eller till och med skriva ut den. Dessa alternativ är desamma oavsett om du krypterar ett system eller en icke-enhet.
Om du säkerhetskopierar återställningsnyckeln till ditt Microsoft-konto kan du komma åt nyckeln senare på https://onedrive.live.com/recoverykey . Om du använder en annan återställningsmetod, se till att hålla den här nyckeln säker - om någon får åtkomst till den kan de dekryptera din enhet och kringgå kryptering.
Du kan också säkerhetskopiera din återställningsnyckel flera sätt om du vill. Klicka bara på varje alternativ du vill använda i tur och ordning och följ sedan anvisningarna. När du är klar med att spara återställningsnycklarna klickar du på "Nästa" för att gå vidare.
Notera : Om du krypterar en USB eller annan flyttbar enhet har du inte möjlighet att spara din återställningsnyckel på en USB-enhet. Du kan använda något av de andra tre alternativen.
Steg fyra: Kryptera och låsa upp enheten
BitLocker krypterar automatiskt nya filer när du lägger till dem, men du måste välja vad som händer med filerna som för närvarande finns på din enhet. Du kan kryptera hela enheten - inklusive ledigt utrymme - eller bara kryptera de använda diskfilerna för att påskynda processen. Dessa alternativ är också desamma oavsett om du krypterar ett system eller en icke-enhet.
RELATERAD: Så här återställer du en borttagen fil: den ultimata guiden
Om du ställer in BitLocker på en ny dator, krypterar du bara det använda diskutrymmet - det är mycket snabbare. Om du ställer in BitLocker på en dator som du har använt ett tag bör du kryptera hela enheten så att ingen kan återställa raderade filer .
När du har gjort ditt val klickar du på knappen "Nästa".
Steg fem: Välj ett krypteringsläge (endast Windows 10)
Om du använder Windows 10 ser du en ytterligare skärm där du kan välja en krypteringsmetod. Om du använder Windows 7 eller 8, gå vidare till nästa steg.
Windows 10 introducerade en ny krypteringsmetod med namnet XTS-AES. Det ger förbättrad integritet och prestanda över AES som används i Windows 7 och 8. Om du vet att enheten du krypterar bara kommer att användas på Windows 10-datorer, gå vidare och välj alternativet "Nytt krypteringsläge". Om du tror att du kan behöva använda enheten med en äldre version av Windows någon gång (särskilt viktigt om det är en flyttbar enhet), välj alternativet "Kompatibelt läge".
Oavsett vilket alternativ du väljer (och igen, dessa är desamma för system- och icke-enhetsenheter), fortsätt och klicka på "Nästa" när du är klar och klicka på knappen "Starta kryptering" på nästa skärm.
Steg sex: avsluta
Krypteringsprocessen kan ta allt från sekunder till minuter eller till och med längre, beroende på enhetens storlek, mängden data du krypterar och om du väljer att kryptera ledigt utrymme.
Om du krypterar din systemdisk uppmanas du att köra en BitLocker-systemkontroll och starta om ditt system. Se till att alternativet är valt, klicka på knappen "Fortsätt" och starta sedan om datorn när du blir ombedd. När datorn startar upp för första gången krypterar Windows enheten.
Om du krypterar ett icke-system eller en flyttbar enhet behöver Windows inte startas om och kryptering börjar omedelbart.
Oavsett vilken typ av enhet du krypterar kan du kontrollera BitLocker Drive Encryption-ikonen i systemfältet för att se dess framsteg, och du kan fortsätta använda din dator medan enheter krypteras - det kommer bara att fungera långsammare.
Låsa upp din enhet
Om din systemdrift är krypterad beror det på vilken metod du väljer (och om din dator har en TPM). Om du har en TPM och väljer att låsa upp enheten automatiskt kommer du inte att märka något annat - du startar bara rakt in i Windows som alltid. Om du väljer en annan upplåsningsmetod uppmanar Windows dig att låsa upp enheten (genom att skriva ditt lösenord, ansluta din USB-enhet eller vad som helst).
RELATERAD: Hur du återställer dina filer från en BitLocker-krypterad enhet
Och om du har tappat bort (eller glömt) din upplåsningsmetod, tryck Escape på snabbskärmen för att ange din återställningsnyckel .
Om du har krypterat ett icke-system eller en flyttbar enhet uppmanar Windows dig att låsa upp enheten när du först kommer åt den efter att du startat Windows (eller när du ansluter den till din dator om det är en flyttbar enhet). Skriv ditt lösenord eller sätt in ditt smartkort så ska enheten låsa upp så att du kan använda det.
I File Explorer visar krypterade enheter ett guldlås på ikonen (till vänster). Det låset ändras till grått och verkar olåst när du låser upp enheten (till höger).
Du kan hantera en låst enhet - ändra lösenordet, stänga av BitLocker, säkerhetskopiera din återställningsnyckel eller utföra andra åtgärder - från BitLocker-kontrollpanelfönstret. Högerklicka på en krypterad enhet och välj sedan “Hantera BitLocker” för att gå direkt till den sidan.
Liksom all kryptering lägger BitLocker till lite overhead. Microsofts officiella vanliga frågor om BitLocker säger att "Generellt innebär det en ensiffrig procentuell prestationsomkostnad." Om kryptering är viktig för dig eftersom du har känslig data - till exempel en bärbar dator full med affärsdokument - är den förbättrade säkerheten väl värt att göra avvägningen.
