วิธีตั้งค่าการเข้ารหัส BitLocker บน Windows

เนื้อหาที่ไม่ถูกแคช

BitLocker เป็นเครื่องมือในตัว Windows ที่ให้คุณเข้ารหัสฮาร์ดไดรฟ์ทั้งหมดเพื่อเพิ่มความปลอดภัย วิธีตั้งค่ามีดังนี้

เมื่อ TrueCrypt ปิดร้านค้าพวกเขาแนะนำให้ผู้ใช้เปลี่ยนจาก TrueCrypt ไปใช้ BitLocker หรือ เวราคริปต์ . BitLocker อยู่ใน Windows มานานพอที่จะถือว่าเป็นผู้ใหญ่และเป็นไฟล์ การเข้ารหัส ผลิตภัณฑ์โดยทั่วไปได้รับการยกย่องจากผู้เชี่ยวชาญด้านความปลอดภัย ในบทความนี้เราจะพูดถึงวิธีการตั้งค่าบนพีซีของคุณ

ที่เกี่ยวข้อง: คุณควรอัปเกรดเป็น Windows 10 รุ่น Professional หรือไม่

บันทึก : BitLocker Drive Encryption และ BitLocker To Go ต้องการไฟล์ รุ่น Professional หรือ Enterprise ของ Windows 8 หรือ 10 หรือรุ่น Ultimate ของ Windows 7 อย่างไรก็ตามเริ่มต้นด้วย Windows 8.1 รุ่น Home และ Pro ของ Windows มี“ การเข้ารหัสอุปกรณ์” คุณลักษณะ (คุณลักษณะที่รวมอยู่ใน Windows 10) ที่ทำงานในลักษณะเดียวกัน เราขอแนะนำให้ใช้การเข้ารหัสอุปกรณ์หากคอมพิวเตอร์ของคุณรองรับ BitLocker สำหรับผู้ใช้ Pro ที่ไม่สามารถใช้การเข้ารหัสอุปกรณ์และ VeraCrypt สำหรับผู้ที่ใช้ Windows เวอร์ชัน Home โดยที่การเข้ารหัสอุปกรณ์ไม่ทำงาน

เข้ารหัสไดรฟ์ทั้งหมดหรือสร้างคอนเทนเนอร์ที่เข้ารหัส?

คำแนะนำมากมายพูดถึงการสร้างคอนเทนเนอร์ BitLocker ที่ทำงานเหมือนกับคอนเทนเนอร์ที่เข้ารหัสที่คุณสามารถสร้างด้วยผลิตภัณฑ์เช่น TrueCrypt หรือ Veracrypt มันเป็นการเรียกชื่อผิดเล็กน้อย แต่คุณสามารถได้ผลลัพธ์ที่คล้ายกัน BitLocker ทำงานโดยการเข้ารหัสไดรฟ์ทั้งหมด นั่นอาจเป็นไดรฟ์ระบบของคุณไดรฟ์ทางกายภาพอื่นหรือฮาร์ดไดรฟ์เสมือน (VHD) ที่มีอยู่เป็นไฟล์และติดตั้งใน Windows

ที่เกี่ยวข้อง: วิธีสร้างไฟล์คอนเทนเนอร์ที่เข้ารหัสด้วย BitLocker บน Windows

ความแตกต่างส่วนใหญ่มีความหมาย ในผลิตภัณฑ์การเข้ารหัสอื่น ๆ คุณมักจะสร้างคอนเทนเนอร์ที่เข้ารหัสแล้วต่อเชื่อมเป็นไดรฟ์ใน Windows เมื่อคุณต้องการใช้งาน ด้วย BitLocker คุณจะสร้างฮาร์ดไดรฟ์เสมือนจากนั้นเข้ารหัส หากคุณต้องการใช้คอนเทนเนอร์มากกว่าเช่นเข้ารหัสระบบหรือไดรฟ์จัดเก็บที่มีอยู่ลองดูของเรา คำแนะนำในการสร้างไฟล์คอนเทนเนอร์ที่เข้ารหัสด้วย BitLocker .

สำหรับบทความนี้เราจะมุ่งเน้นไปที่การเปิดใช้งาน BitLocker สำหรับไดรฟ์จริงที่มีอยู่

วิธีเข้ารหัสไดรฟ์ด้วย BitLocker

ที่เกี่ยวข้อง: วิธีใช้ BitLocker โดยไม่ใช้ Trusted Platform Module (TPM)

ในการใช้ BitLocker สำหรับไดรฟ์สิ่งที่คุณต้องทำจริงๆคือเปิดใช้งานเลือกวิธีการปลดล็อก - รหัสผ่าน PIN และอื่น ๆ จากนั้นตั้งค่าตัวเลือกอื่น ๆ อย่างไรก็ตามก่อนที่เราจะพูดถึงเรื่องนี้คุณควรทราบว่าการใช้การเข้ารหัสแบบเต็มดิสก์ของ BitLocker ไดรฟ์ระบบ โดยทั่วไปต้องใช้คอมพิวเตอร์ที่มี Trusted Platform Module (TPM) บนแผงวงจรหลักของพีซีของคุณ ชิปนี้สร้างและจัดเก็บคีย์การเข้ารหัสที่ BitLocker ใช้ หากพีซีของคุณไม่มี TPM คุณสามารถทำได้ ใช้นโยบายกลุ่มเพื่อเปิดใช้งานโดยใช้ BitLocker โดยไม่ต้องใช้ TPM . มีความปลอดภัยน้อยกว่าเล็กน้อย แต่ยังปลอดภัยกว่าการไม่ใช้การเข้ารหัสเลย

คุณสามารถเข้ารหัสไดรฟ์ที่ไม่ใช่ระบบหรือไดรฟ์แบบถอดได้โดยไม่ต้องใช้ TPM และไม่ต้องเปิดใช้งานการตั้งค่านโยบายกลุ่ม

คุณควรทราบด้วยว่าการเข้ารหัสไดรฟ์ BitLocker มีสองประเภทที่คุณสามารถเปิดใช้งานได้:

• การเข้ารหัสไดรฟ์ BitLocker : บางครั้งเรียกว่า BitLocker ซึ่งเป็นคุณลักษณะ "การเข้ารหัสแบบเต็มดิสก์" ที่เข้ารหัสไดรฟ์ทั้งหมด เมื่อพีซีของคุณบูตเครื่องบูต Windows จะโหลดจากไฟล์ พาร์ติชัน System Reserved และบูตโหลดเดอร์จะแจ้งให้คุณทราบถึงวิธีการปลดล็อกตัวอย่างเช่นรหัสผ่าน BitLocker จะถอดรหัสไดรฟ์และโหลด Windows การเข้ารหัสจะมีความโปร่งใสไฟล์ของคุณจะปรากฏตามปกติในระบบที่ไม่ได้เข้ารหัส แต่จะถูกเก็บไว้ในดิสก์ในรูปแบบที่เข้ารหัส คุณยังสามารถเข้ารหัสไดรฟ์อื่น ๆ นอกเหนือจากไดรฟ์ระบบได้อีกด้วย
• BitLocker To Go : คุณสามารถเข้ารหัสไดรฟ์ภายนอกเช่นแฟลชไดรฟ์ USB และฮาร์ดไดรฟ์ภายนอกด้วย BitLocker To Go คุณจะได้รับแจ้งให้ระบุวิธีการปลดล็อกตัวอย่างเช่นรหัสผ่านเมื่อคุณเชื่อมต่อไดรฟ์เข้ากับคอมพิวเตอร์ หากใครไม่มีวิธีปลดล็อกก็จะไม่สามารถเข้าถึงไฟล์ในไดรฟ์ได้

ใน Windows 7 ถึง 10 คุณไม่ต้องกังวลกับการเลือกด้วยตัวเอง Windows จัดการสิ่งต่างๆเบื้องหลังและอินเทอร์เฟซที่คุณจะใช้เพื่อเปิดใช้งาน BitLocker ก็ดูไม่แตกต่างไปจากเดิม หากคุณปลดล็อกไดรฟ์ที่เข้ารหัสบน Windows XP หรือ Vista คุณจะเห็นการสร้างแบรนด์ BitLocker to Go ดังนั้นเราคิดว่าอย่างน้อยคุณควรรู้เกี่ยวกับเรื่องนี้

ดังนั้นเรามาดูวิธีการใช้งานจริงกันดีกว่า

ขั้นตอนที่หนึ่ง: เปิดใช้งาน BitLocker สำหรับไดรฟ์

วิธีที่ง่ายที่สุดในการเปิดใช้งาน BitLocker สำหรับไดรฟ์คือคลิกขวาที่ไดรฟ์ในหน้าต่าง File Explorer จากนั้นเลือกคำสั่ง“ เปิด BitLocker” หากคุณไม่เห็นตัวเลือกนี้ในเมนูบริบทแสดงว่าคุณไม่มี Windows รุ่น Pro หรือ Enterprise และคุณจะต้องค้นหาโซลูชันการเข้ารหัสอื่น

ง่ายๆแค่นั้นเอง วิซาร์ดที่ปรากฏขึ้นจะแนะนำคุณตลอดการเลือกตัวเลือกต่างๆซึ่งเราได้แยกย่อยออกเป็นส่วนต่อไปนี้

ขั้นตอนที่สอง: เลือกวิธีการปลดล็อก

หน้าจอแรกที่คุณจะเห็นในวิซาร์ด“ BitLocker Drive Encryption” ช่วยให้คุณเลือกวิธีปลดล็อกไดรฟ์ได้ คุณสามารถเลือกวิธีการปลดล็อกไดรฟ์ได้หลายวิธี

หากคุณกำลังเข้ารหัสไดรฟ์ระบบของคุณบนคอมพิวเตอร์ ไม่ มี TPM คุณสามารถปลดล็อกไดรฟ์ด้วยรหัสผ่านหรือไดรฟ์ USB ที่ทำหน้าที่เป็นกุญแจ เลือกวิธีการปลดล็อกของคุณและทำตามคำแนะนำสำหรับวิธีนั้น (ป้อนรหัสผ่านหรือเสียบไดรฟ์ USB ของคุณ)

ที่เกี่ยวข้อง: วิธีเปิดใช้งาน Pre-Boot BitLocker PIN บน Windows

หากคอมพิวเตอร์ของคุณ ทำ มี TPM คุณจะเห็นตัวเลือกเพิ่มเติมสำหรับการปลดล็อกไดรฟ์ระบบของคุณ ตัวอย่างเช่นคุณสามารถกำหนดค่าการปลดล็อกอัตโนมัติเมื่อเริ่มต้นระบบ (โดยที่คอมพิวเตอร์ของคุณจับคีย์การเข้ารหัสจาก TPM และถอดรหัสไดรฟ์โดยอัตโนมัติ) คุณยังสามารถ ใช้ PIN แทนรหัสผ่านหรือแม้กระทั่งเลือกตัวเลือกไบโอเมตริกซ์เช่นลายนิ้วมือ

หากคุณกำลังเข้ารหัสไดรฟ์ที่ไม่ใช่ระบบหรือไดรฟ์แบบถอดได้คุณจะเห็นเพียงสองตัวเลือกเท่านั้น (ไม่ว่าคุณจะมี TPM หรือไม่ก็ตาม) คุณสามารถปลดล็อกไดรฟ์ด้วยรหัสผ่านหรือสมาร์ทการ์ด (หรือทั้งสองอย่าง)

ขั้นตอนที่สาม: สำรองคีย์การกู้คืนของคุณ

BitLocker มีคีย์การกู้คืนที่คุณสามารถใช้เพื่อเข้าถึงไฟล์ที่เข้ารหัสของคุณหากคุณทำคีย์หลักของคุณหายเช่นหากคุณลืมรหัสผ่านหรือพีซีที่มี TPM ตายและคุณต้องเข้าถึงไดรฟ์จากระบบอื่น

คุณสามารถบันทึกคีย์ลงในไฟล์ บัญชีไมโครซอฟท์ ไดรฟ์ USB ไฟล์หรือแม้แต่พิมพ์ ตัวเลือกเหล่านี้จะเหมือนกันไม่ว่าคุณจะเข้ารหัสระบบหรือไดรฟ์ที่ไม่ใช่ระบบ

หากคุณสำรองคีย์การกู้คืนไว้ในบัญชี Microsoft ของคุณคุณสามารถเข้าถึงคีย์ได้ในภายหลังที่ https://onedrive.live.com/recoverykey . หากคุณใช้วิธีการกู้คืนวิธีอื่นอย่าลืมเก็บคีย์นี้ไว้อย่างปลอดภัย - หากมีคนเข้าถึงได้พวกเขาสามารถถอดรหัสไดรฟ์ของคุณและข้ามการเข้ารหัสได้

คุณยังสามารถสำรองคีย์การกู้คืนได้หลายวิธีหากคุณต้องการ เพียงคลิกแต่ละตัวเลือกที่คุณต้องการใช้แล้วทำตามคำแนะนำ เมื่อคุณบันทึกคีย์การกู้คืนเสร็จแล้วให้คลิก“ ถัดไป” เพื่อดำเนินการต่อ

บันทึก : หากคุณกำลังเข้ารหัส USB หรือไดรฟ์แบบถอดได้อื่น ๆ คุณจะไม่มีตัวเลือกในการบันทึกคีย์การกู้คืนลงในไดรฟ์ USB คุณสามารถใช้ตัวเลือกอื่น ๆ จากสามตัวเลือกอื่น ๆ

ขั้นตอนที่สี่: เข้ารหัสและปลดล็อกไดรฟ์

BitLocker จะเข้ารหัสไฟล์ใหม่โดยอัตโนมัติเมื่อคุณเพิ่ม แต่คุณต้องเลือกว่าจะเกิดอะไรขึ้นกับไฟล์ที่อยู่ในไดรฟ์ของคุณ คุณสามารถเข้ารหัสไดรฟ์ทั้งหมดรวมทั้งพื้นที่ว่างหรือเพียงแค่เข้ารหัสไฟล์ดิสก์ที่ใช้แล้วเพื่อเร่งกระบวนการ ตัวเลือกเหล่านี้ยังเหมือนกันไม่ว่าคุณจะเข้ารหัสระบบหรือไดรฟ์ที่ไม่ใช่ระบบ

ที่เกี่ยวข้อง: วิธีการกู้คืนไฟล์ที่ถูกลบ: สุดยอดคู่มือ

หากคุณกำลังตั้งค่า BitLocker บนพีซีเครื่องใหม่ให้เข้ารหัสเฉพาะพื้นที่ดิสก์ที่ใช้เท่านั้นซึ่งเร็วกว่ามาก หากคุณกำลังตั้งค่า BitLocker บนพีซีที่คุณใช้งานมาระยะหนึ่งคุณควรเข้ารหัสไดรฟ์ทั้งหมดเพื่อให้แน่ใจว่าไม่มีใครสามารถ กู้คืนไฟล์ที่ถูกลบ .

เมื่อคุณได้ทำการเลือกแล้วให้คลิกปุ่ม "ถัดไป"

ขั้นตอนที่ห้า: เลือกโหมดการเข้ารหัส (Windows 10 เท่านั้น)

หากคุณใช้ Windows 10 คุณจะเห็นหน้าจอเพิ่มเติมที่ให้คุณเลือกวิธีการเข้ารหัส หากคุณใช้ Windows 7 หรือ 8 ให้ข้ามไปขั้นตอนถัดไป

Windows 10 แนะนำวิธีการเข้ารหัสใหม่ชื่อ XTS-AES ให้ความสมบูรณ์และประสิทธิภาพที่เพิ่มขึ้นเหนือ AES ที่ใช้ใน Windows 7 และ 8 หากคุณทราบว่าไดรฟ์ที่คุณกำลังเข้ารหัสนั้นจะใช้กับพีซี Windows 10 เท่านั้นให้เลือกตัวเลือก "โหมดการเข้ารหัสใหม่" หากคุณคิดว่าคุณอาจจำเป็นต้องใช้ไดรฟ์กับ Windows เวอร์ชันเก่าในบางจุด (สำคัญอย่างยิ่งหากเป็นไดรฟ์แบบถอดได้) ให้เลือกตัวเลือก“ โหมดที่เข้ากันได้”

ไม่ว่าคุณจะเลือกตัวเลือกใด (และอีกครั้งสิ่งเหล่านี้เหมือนกันสำหรับไดรฟ์ระบบและไดรฟ์ที่ไม่ใช่ระบบ) ไปข้างหน้าและคลิกปุ่ม "ถัดไป" เมื่อเสร็จสิ้นและในหน้าจอถัดไปให้คลิกปุ่ม "เริ่มการเข้ารหัส"

ขั้นตอนที่หก: เสร็จสิ้น

กระบวนการเข้ารหัสอาจใช้เวลาตั้งแต่วินาทีถึงนาทีหรือนานกว่านั้นขึ้นอยู่กับขนาดของไดรฟ์ปริมาณข้อมูลที่คุณเข้ารหัสและคุณเลือกเข้ารหัสพื้นที่ว่างหรือไม่

หากคุณกำลังเข้ารหัสไดรฟ์ระบบของคุณคุณจะได้รับแจ้งให้เรียกใช้การตรวจสอบระบบ BitLocker และรีสตาร์ทระบบของคุณ ตรวจสอบให้แน่ใจว่าได้เลือกตัวเลือกแล้วคลิกปุ่ม“ ดำเนินการต่อ” จากนั้นรีสตาร์ทพีซีของคุณเมื่อถูกถาม หลังจากพีซีบู๊ตสำรองข้อมูลเป็นครั้งแรก Windows จะเข้ารหัสไดรฟ์

หากคุณกำลังเข้ารหัสไดรฟ์ที่ไม่ใช่ระบบหรือไดรฟ์แบบถอดได้ Windows ไม่จำเป็นต้องรีสตาร์ทและการเข้ารหัสจะเริ่มขึ้นทันที

ไม่ว่าคุณจะเข้ารหัสไดรฟ์ประเภทใดคุณสามารถตรวจสอบไอคอน BitLocker Drive Encryption ในซิสเต็มเทรย์เพื่อดูความคืบหน้าและคุณสามารถใช้คอมพิวเตอร์ต่อไปได้ในขณะที่ไดรฟ์กำลังเข้ารหัสซึ่งจะทำงานได้ช้าลง

การปลดล็อกไดรฟ์ของคุณ

หากไดรฟ์ระบบของคุณเข้ารหัสการปลดล็อกจะขึ้นอยู่กับวิธีที่คุณเลือก (และพีซีของคุณมี TPM หรือไม่) หากคุณมี TPM และเลือกที่จะปลดล็อกไดรฟ์โดยอัตโนมัติคุณจะไม่สังเกตเห็นสิ่งที่แตกต่างออกไปคุณเพียงแค่บูตเข้าสู่ Windows โดยตรงเช่นเคย หากคุณเลือกวิธีปลดล็อกอื่น Windows จะแจ้งให้คุณปลดล็อกไดรฟ์ (โดยพิมพ์รหัสผ่านเชื่อมต่อไดรฟ์ USB หรืออะไรก็ได้)

ที่เกี่ยวข้อง: วิธีการกู้คืนไฟล์ของคุณจากไดรฟ์ที่เข้ารหัสด้วย BitLocker

และหากคุณทำ (หรือลืม) วิธีการปลดล็อกหายให้กด Escape บนหน้าจอแจ้งเพื่อ ป้อนคีย์การกู้คืนของคุณ .

หากคุณเข้ารหัสไดรฟ์ที่ไม่ใช่ระบบหรือไดรฟ์แบบถอดได้ Windows จะแจ้งให้คุณปลดล็อกไดรฟ์เมื่อคุณเข้าใช้งานครั้งแรกหลังจากเริ่ม Windows (หรือเมื่อคุณเชื่อมต่อกับพีซีหากเป็นไดรฟ์แบบถอดได้) พิมพ์รหัสผ่านหรือใส่สมาร์ทการ์ดจากนั้นไดรฟ์ควรปลดล็อกเพื่อให้คุณใช้งานได้

ใน File Explorer ไดรฟ์ที่เข้ารหัสจะแสดงล็อคสีทองที่ไอคอน (ทางด้านซ้าย) ล็อคนั้นจะเปลี่ยนเป็นสีเทาและปรากฏว่าปลดล็อคเมื่อคุณปลดล็อกไดรฟ์ (ทางด้านขวา)

คุณสามารถจัดการไดรฟ์ที่ถูกล็อก - เปลี่ยนรหัสผ่านปิด BitLocker สำรองคีย์การกู้คืนหรือดำเนินการอื่น ๆ ได้จากหน้าต่างแผงควบคุม BitLocker คลิกขวาที่ไดรฟ์ที่เข้ารหัสแล้วเลือก“ จัดการ BitLocker” เพื่อไปที่หน้านั้นโดยตรง

---

เช่นเดียวกับการเข้ารหัสทั้งหมด BitLocker เพิ่มค่าใช้จ่ายบางส่วน คำถามที่พบบ่อยเกี่ยวกับ BitLocker อย่างเป็นทางการของ Microsoft กล่าวว่า“ โดยทั่วไปจะกำหนดค่าโสหุ้ยประสิทธิภาพเป็นเปอร์เซ็นต์เดียว” หากการเข้ารหัสเป็นสิ่งสำคัญสำหรับคุณเนื่องจากคุณมีข้อมูลที่ละเอียดอ่อนตัวอย่างเช่นแล็ปท็อปที่เต็มไปด้วยเอกสารทางธุรกิจการรักษาความปลอดภัยที่เพิ่มขึ้นนั้นคุ้มค่ากับการแลกเปลี่ยนประสิทธิภาพ