17Jul
BitLocker je nástroj zabudovaný do systému Windows, který umožňuje šifrování celého pevného disku za účelem zvýšení bezpečnosti. Zde je návod, jak jej nastavit.
Když TruCrypt kontroverzně uzavřel obchod, doporučili svým uživatelům přechod od TrueCryptu k použití BitLocker nebo Veracrypt. BitLocker je v systému Windows dostatečně dlouhý, aby mohl být považován za zralý, a je šifrovacím produktem, který obecně považují bezpečnostní pracovníci. V tomto článku budeme hovořit o tom, jak jej můžete nastavit v počítači.
Poznámka : Šifrování jednotky BitLocker Drive a BitLocker To Go vyžadují profesionální nebo podnikovou edici systému Windows 8 nebo 10 nebo Ultimate verze systému Windows 7. Počínaje operačním systémem Windows 8.1 však verze Home a Pro verze systému Windows obsahují "Device Encryption"(Funkce zahrnuta také v systému Windows 10), která funguje podobně.Doporučujeme šifrování zařízení, pokud jej počítač podporuje, u uživatelů BitLocker pro Pro, kteří nemohou používat šifrování zařízení, a VeraCrypt pro uživatele, kteří používají domovskou verzi systému Windows, kde funkce šifrování zařízení nebude fungovat.
Šifrování celé jednotky nebo vytvoření šifrovaného kontejneru?
Mnoho průvodců tam hovoří o vytvoření kontejneru BitLocker, který funguje stejně jako druh zašifrovaného kontejneru, který můžete vytvořit pomocí produktů TrueCrypt nebo Veracrypt. Je to trochu nesprávné pojmenování, ale můžete dosáhnout podobného účinku. BitLocker funguje šifrováním všech jednotek. Může to být vaše systémová jednotka, jiný fyzický disk nebo virtuální pevný disk( VHD), který existuje jako soubor a je připojen v systému Windows.
Rozdíl je z velké části sémantický.V jiných šifrovacích produktech obvykle vytváříte zašifrovaný kontejner a poté jej připojte jako jednotku v systému Windows, když jej budete potřebovat. S nástrojem BitLocker vytvoříte virtuální pevný disk a potom ho zašifrujete. Pokud chcete používat kontejner spíše než, řekněme, šifrovat existující systém nebo paměťovou jednotku, podívejte se na náš průvodce vytvořením šifrovaného souboru kontejneru s nástrojem BitLocker.
Pro tento článek se budeme soustředit na to, že umožníme BitLockeru pro existující fyzickou jednotku.
Jak šifrovat disk s nástrojem BitLocker
Chcete-li použít nástroj BitLocker pro jednotku, musíte opravdu povolit, zvolit metodu odemknutí, heslo, kód PIN atd. A nastavit několik dalších možností.Než se k tomu dostaneme, měli byste vědět, že pomocí šifrování celého disku BitLocker na systémové jednotce obecně vyžaduje počítač s modulem Trusted Platform Module( TPM) na základní desce vašeho počítače. Tento čip generuje a ukládá šifrovací klíče, které BitLocker používá.Pokud počítač neobsahuje modul TPM, můžete použít Zásady skupiny k povolení používání nástroje BitLocker bez modulu TPM.Je to trochu méně bezpečné, ale ještě bezpečnější, než kdyby vůbec nebylo šifrováno.
Můžete šifrovat nesystémovou jednotku nebo vyměnitelnou jednotku bez modulu TPM a nemusíte povolovat nastavení zásad skupiny.
V této poznámce byste měli také vědět, že existují dva typy šifrování jednotek BitLocker, které můžete povolit:
- Šifrování jednotek BitLocker : Někdy označováno jako BitLocker, je to funkce "šifrování celého disku", která šifruje celou jednotku. Po spuštění počítače se spouštěcí zavaděč systému Windows načte z oddílu System Reserved a spouštěcí zavaděč vás požádá o způsob odemknutí - například heslo. BitLocker pak dešifruje disk a načte systém Windows.Šifrování je jinak transparentní - vaše soubory se zdají jako obvykle v nešifrovaném systému, ale jsou uloženy na disku ve šifrované podobě.Můžete také šifrovat jiné jednotky než jen systémovou jednotku.
- BitLocker To Go : Pomocí BitLocker To Go můžete šifrovat externí jednotky - například USB flash disky a externí pevné disky. Budete požádáni o způsob odemknutí - například o heslo - při připojení jednotky k počítači. Pokud někdo nemá způsob odemknutí, nemají přístup k souborům na jednotce.
V systémech Windows 7 až 10 se opravdu nemusíte starat o to, abyste sami vybrali výběr. Systém Windows zpracovává věci za scénami a rozhraní, které používáte k povolení funkce BitLocker, nevypadá jinak. Pokud skončíte odemknutím zašifrované jednotky v systému Windows XP nebo Vista, uvidíte značku BitLocker to Go, a tak jsme se domnívali, že byste o tom alespoň měli vědět.
Takže s touto cestou se podíváme, jak to skutečně funguje.
První krok: Povolit nástroj BitLocker pro jednotku
Nejjednodušší způsob, jak povolit nástroj BitLocker pro jednotku, je kliknout pravým tlačítkem na jednotku v okně Průzkumník souborů a poté zvolit příkaz "Zapnout funkci BitLocker".Pokud tuto možnost nevidíte v kontextové nabídce, pravděpodobně nemáte verzi systému Pro nebo Enterprise systému Windows a budete muset hledat další řešení šifrování.
To je prostě tak jednoduché.Průvodce, který se objeví, vás provede výběrem několika možností, které jsme rozdělili do následujících částí.
Druhý krok: Vyberte metodu odemknutí
První obrazovka, která se zobrazí v průvodci šifrování jednotky BitLocker Drive, vám umožňuje vybrat způsob odemknutí disku. Můžete vybrat několik různých způsobů odemknutí jednotky.
Pokud zašifrujete systémovou jednotku v počítači, v němž neobsahuje modul TPM, můžete disk odemknout heslem nebo jednotkou USB, která funguje jako klíč.Vyberte způsob odemknutí a postupujte podle pokynů pro danou metodu( zadejte heslo nebo připojte jednotku USB).
Pokud váš počítač má modul TPM, uvidíte další možnosti odemknutí systémové jednotky. Například můžete nakonfigurovat automatické odblokování při spuštění( kde počítač spustí šifrovací klíče od modulu TPM a automaticky dešifruje jednotku).Můžete také použít kód PIN namísto hesla nebo dokonce zvolit biometrické možnosti jako otisk prstu.
Pokud šifrujete nesystémovou jednotku nebo vyměnitelnou jednotku, uvidíte pouze dvě možnosti( ať už máte TPM nebo ne).Jednotku můžete odemknout heslem nebo čipovou kartou( nebo oběma).
Krok třetí: zálohování klíče pro obnovení
BitLocker vám poskytuje klíč pro obnovení, který můžete použít k přístupu k šifrovaným souborům, pokud byste někdy přišli o hlavní klíč - například pokud zapomenete své heslo nebo pokud PC s TPM zemře amusíte přistupovat k jednotce z jiného systému.
Klíč můžete uložit na účet Microsoft, jednotku USB, soubor nebo dokonce jej vytisknout. Tyto možnosti jsou stejné, ať šifrujete systémovou nebo nesystémovou jednotku.
Pokud zálohujete klíč k vašemu účtu Microsoft, můžete k němu přistupovat později na klávesu https: //onedrive.live.com/.Používáte-li jinou metodu obnovení, nezapomeňte tento klíč zachovat - pokud k němu někdo přistupuje, mohli dešifrovat disk a obejít šifrování.
Klíč pro obnovení můžete také zálohovat několika způsoby, pokud chcete. Stačí kliknout na každou možnost, kterou chcete použít, a postupujte podle pokynů.Po dokončení ukládání klíčů pro obnovení klikněte na tlačítko Další, abyste mohli pokračovat.
Poznámka : Pokud šifrujete USB nebo jinou vyměnitelnou jednotku, nebudete mít možnost uložit klíč pro obnovení na jednotku USB.Můžete použít libovolnou z dalších tří možností.
Krok čtyři: šifrování a odemknutí disku
BitLocker automaticky zašifruje nové soubory, jakmile je přidáte, ale musíte vybrat, co se stane se soubory aktuálně na vaší jednotce. Můžete šifrovat celý disk - včetně volného místa - nebo jednoduše zašifrovat použité diskové soubory, abyste urychlila proces. Tyto možnosti jsou stejné, i když šifrujete systémovou nebo nesystémovou jednotku.
Pokud nastavujete nástroj BitLocker na novém počítači, šifrujte pouze použité místo na disku - je to mnohem rychlejší.Pokud nastavujete nástroj BitLocker na počítači, který jste chtěli nějakou dobu používat, měli byste šifrovat celou jednotku, abyste zajistili, že nikdo nemůže obnovit smazané soubory.
Když jste provedli výběr, klikněte na tlačítko "Další".
Krok 5: Vyberte režim šifrování( pouze systém Windows 10)
Pokud používáte Windows 10, zobrazí se další obrazovka, která vám umožní zvolit šifrovací metodu. Pokud používáte Windows 7 nebo 8, přeskočte dopředu na další krok.
Windows 10 představil novou metodu šifrování nazvanou XTS-AES.Poskytuje vylepšenou integritu a výkon v prostředí AES používaném v systémech Windows 7 a 8. Pokud víte, že disk, který šifrujete, bude použit pouze na počítačích se systémem Windows 10, pokračujte a zvolte možnost "Nový režim šifrování".Pokud si myslíte, že v určitém okamžiku budete muset použít disk se starší verzí systému Windows( zvláště důležité, pokud je to vyměnitelná jednotka), zvolte možnost "Kompatibilní režim".
Bez ohledu na to, jakou volbu vyberete( a to opět pro systémové a nesystémové jednotky), pokračujte a po dokončení klikněte na tlačítko "Další" a na další obrazovce klikněte na tlačítko "Začátek šifrování".
Krok šest: Dokončení
Proces šifrování může trvat kdekoli od sekund až po minuty nebo dokonce déle, v závislosti na velikosti jednotky, množství dat, které šifrujete a zda jste se rozhodli šifrovat volné místo.
Pokud šifrujete systémovou jednotku, budete vyzváni ke spuštění systému BitLocker a restartování systému. Ujistěte se, že je vybrána volba, klepněte na tlačítko "Pokračovat" a po spuštění restartujte počítač.Po prvním spuštění počítače se systém Windows zašifruje disk.
Pokud zašifrujete nesystémovou nebo vyměnitelnou jednotku, systém Windows se nemusí restartovat a šifrování se okamžitě spustí.
Bez ohledu na typ disku, který šifrujete, můžete zkontrolovat ikonu BitLocker Drive Encryption v systémové liště, abyste viděli její vývoj a můžete pokračovat v používání počítače, když jsou jednotky šifrovány - to bude fungovat pomaleji.
Odemknutí disku
Pokud je vaše systémová jednotka šifrována, odblokování závisí na zvolené metodě( a zda má počítač TPM).Pokud máte TPM a rozhodnete se, že disk bude automaticky odemknut, nezaznamenáte nic jiného - stačí zavést přímo do Windows, jako vždy. Pokud zvolíte jiný způsob odemknutí, systém Windows vás vyzve k odemknutí jednotky( zadáním hesla, připojením jednotky USB nebo cokoli jiného).
Pokud jste přišli( nebo zapomněli) na způsob odemknutí, stiskněte klávesu Escape na obrazovce výzvy a zadejte klíč pro obnovení.
Pokud jste zašifrovali nesystémovou nebo vyměnitelnou jednotku, systém Windows vás vyzve k odemknutí jednotky po prvním spuštění po spuštění systému Windows( nebo při připojení k počítači, pokud je to vyměnitelná jednotka).Zadejte své heslo nebo vložte čipovou kartu a jednotka by měla odemknout, abyste ji mohli používat.
V Průzkumníku souborů šifrované jednotky zobrazují na ikoně( vlevo) zlatý zámek. Tato zámka se změní na šedou a při odemknutí disku( vpravo) se zobrazí odemčená.
Můžete spravovat uzamčenou jednotku - změnit heslo, vypnout nástroj BitLocker, zálohovat klíč pro obnovení nebo provádět další akce - z okna ovládacího panelu BitLocker. Klepněte pravým tlačítkem myši na libovolnou zašifrovanou jednotku a vyberte "Správa BitLocker" a přejděte přímo na tuto stránku.
Stejně jako všechny šifrování BitLocker přidává některé režie. Microsoft oficiální FAQ BitLocker říká, že "Obecně platí jednociferné procento výkonnosti režie." Pokud je pro vás důležité šifrování, protože máte citlivá data - například notebook plný obchodních dokumentů - zvýšené zabezpečení stojí za to,-vypnuto.