BitLocker to narzędzie wbudowane w system Windows, które umożliwia szyfrowanie całego dysku twardego w celu zwiększenia bezpieczeństwa. Oto jak to skonfigurować.
Kiedy TrueCrypt kontrowersyjnie zamknął sklep, zalecili swoim użytkownikom przejście z TrueCrypt na korzystanie z funkcji BitLocker lub Veracrypt. BitLocker działa w systemie Windows wystarczająco długo, aby można go było uznać za dojrzały, i jest produktem do szyfrowania, który jest powszechnie ceniony przez specjalistów ds. bezpieczeństwa. W tym artykule porozmawiamy o tym, jak możesz to skonfigurować na swoim komputerze.
Uwaga: Szyfrowanie dysków funkcją BitLocker i funkcja BitLocker To Go wymagają wersji Professional lub Enterprise systemu Windows 8 lub 10 albo wersji Ultimate systemu Windows 7. Jednak, począwszy od systemu Windows 8.1, wersje Home i Pro systemu Windows zawierają funkcję „Szyfrowanie urządzenia” ( funkcja zawarta również w systemie Windows 10), która działa podobnie. Zalecamy szyfrowanie urządzeń, jeśli Twój komputer je obsługuje, użytkownikom BitLocker dla wersji Pro, którzy nie mogą korzystać z szyfrowania urządzeń, oraz VeraCrypt dla osób korzystających z domowej wersji systemu Windows, w których szyfrowanie urządzeń nie działa.
Zaszyfrować cały dysk lub utworzyć zaszyfrowany kontener?
Wiele przewodników mówi o tworzeniu kontenera funkcji BitLocker, który działa podobnie do zaszyfrowanego kontenera, który można utworzyć za pomocą produktów takich jak TrueCrypt lub Veracrypt. To trochę myląca nazwa, ale można osiągnąć podobny efekt. Funkcja BitLocker działa poprzez szyfrowanie całych dysków. Może to być dysk systemowy, inny dysk fizyczny lub wirtualny dysk twardy (VHD), który istnieje jako plik i jest zamontowany w systemie Windows.
Różnica jest w dużej mierze semantyczna. W innych produktach do szyfrowania zwykle tworzysz zaszyfrowany kontener, a następnie montujesz go jako dysk w systemie Windows, gdy musisz go użyć. Dzięki funkcji BitLocker tworzysz wirtualny dysk twardy, a następnie go szyfrujesz. Jeśli chcesz użyć kontenera zamiast, powiedzmy, zaszyfrować istniejący system lub dysk pamięci, zapoznaj się z naszym przewodnikiem dotyczącym tworzenia zaszyfrowanego pliku kontenera za pomocą funkcji BitLocker.
W tym artykule skupimy się na włączeniu funkcji BitLocker dla istniejącego dysku fizycznego.
Jak zaszyfrować dysk za pomocą funkcji BitLocker
Aby użyć funkcji BitLocker na dysku, wystarczy ją włączyć, wybrać metodę odblokowania – hasło, kod PIN itd. – a następnie ustawić kilka innych opcji. Zanim jednak do tego przejdziemy, powinieneś wiedzieć, że korzystanie z pełnego szyfrowania dysku BitLocker na dysk systemowy zazwyczaj wymaga komputera z modułem Trusted Platform Module (TPM) na płycie głównej komputera. Ten układ generuje i przechowuje klucze szyfrowania używane przez funkcję BitLocker. Jeśli Twój komputer nie ma modułu TPM, możesz użyć zasad grupy, aby włączyć funkcję BitLocker bez modułu TPM. Jest nieco mniej bezpieczny, ale wciąż bezpieczniejszy niż nieużywanie szyfrowania w ogóle.
Możesz zaszyfrować dysk niesystemowy lub dysk wymienny bez modułu TPM i bez konieczności włączania ustawienia zasad grupy.
W tej notatce powinieneś również wiedzieć, że istnieją dwa typy szyfrowania dysków funkcją BitLocker, które możesz włączyć:
- Szyfrowanie dysków bitlocker: Czasami nazywana po prostu funkcją BitLocker, jest to funkcja „szyfrowania całego dysku”, która szyfruje cały dysk. Po uruchomieniu komputera program ładujący systemu Windows ładuje się z partycji zarezerwowanej przez system, a program ładujący wyświetla monit o podanie metody odblokowania – na przykład hasła. BitLocker następnie odszyfrowuje dysk i ładuje system Windows. Szyfrowanie jest poza tym przejrzyste — Twoje pliki wyglądają tak, jak normalnie w niezaszyfrowanym systemie, ale są przechowywane na dysku w postaci zaszyfrowanej. Możesz także zaszyfrować inne dyski niż tylko dysk systemowy.
- BitLocker, aby przejść: Możesz szyfrować dyski zewnętrzne, takie jak dyski flash USB i zewnętrzne dyski twarde, za pomocą funkcji BitLocker To Go. Zostaniesz poproszony o podanie metody odblokowania — na przykład hasła — po podłączeniu dysku do komputera. Jeśli ktoś nie ma metody odblokowania, nie może uzyskać dostępu do plików na dysku.
W systemie Windows 7 do 10 naprawdę nie musisz się martwić o samodzielne dokonywanie wyboru. System Windows obsługuje rzeczy za kulisami, a interfejs, którego użyjesz do włączenia funkcji BitLocker, nie wygląda inaczej. Jeśli w końcu odblokujesz zaszyfrowany dysk w systemie Windows XP lub Vista, zobaczysz markę BitLocker to Go, więc pomyśleliśmy, że powinieneś przynajmniej o tym wiedzieć.
Więc pomijając to, przejdźmy do tego, jak to faktycznie działa.
Krok pierwszy: włącz funkcję BitLocker dla dysku
Najłatwiejszym sposobem włączenia funkcji BitLocker dla dysku jest kliknięcie dysku prawym przyciskiem myszy w oknie Eksploratora plików, a następnie wybranie polecenia „Włącz funkcję BitLocker”. Jeśli nie widzisz tej opcji w menu kontekstowym, prawdopodobnie nie masz wersji Pro lub Enterprise systemu Windows i musisz poszukać innego rozwiązania do szyfrowania.
To takie proste. Kreator, który się pojawi, przeprowadzi Cię przez proces wyboru kilku opcji, które podzieliliśmy na kolejne sekcje.
Krok drugi: wybierz metodę odblokowania
Pierwszy ekran, który zobaczysz w kreatorze „Szyfrowanie dysków funkcją BitLocker”, pozwala wybrać sposób odblokowania dysku. Możesz wybrać kilka różnych sposobów odblokowania dysku.
Jeśli szyfrujesz dysk systemowy na komputerze, który:nie? mieć moduł TPM, możesz odblokować dysk za pomocą hasła lub dysku USB, który działa jako klucz. Wybierz metodę odblokowania i postępuj zgodnie z instrukcjami dla tej metody (wprowadź hasło lub podłącz dysk USB).
Jeśli twój komputer robi masz TPM, zobaczysz dodatkowe opcje odblokowania dysku systemowego. Na przykład możesz skonfigurować automatyczne odblokowywanie podczas uruchamiania (gdzie komputer pobiera klucze szyfrowania z modułu TPM i automatycznie odszyfrowuje dysk). Możesz także użyć kodu PIN zamiast hasła, a nawet wybrać opcje biometryczne, takie jak odcisk palca.
Jeśli szyfrujesz dysk niesystemowy lub dysk wymienny, zobaczysz tylko dwie opcje (czy masz moduł TPM, czy nie). Dysk można odblokować za pomocą hasła lub karty inteligentnej (lub obu).
Krok trzeci: Utwórz kopię zapasową klucza odzyskiwania
Funkcja BitLocker zapewnia klucz odzyskiwania, którego możesz użyć w celu uzyskania dostępu do zaszyfrowanych plików w przypadku utraty klucza głównego — na przykład, jeśli zapomnisz hasła lub jeśli komputer z modułem TPM umrze i musisz uzyskać dostęp do dysku z innego systemu.
Możesz zapisać klucz na swoim koncie Microsoft, dysku USB, pliku, a nawet go wydrukować. Te opcje są takie same, niezależnie od tego, czy szyfrujesz dysk systemowy, czy niesystemowy.
Jeśli utworzysz kopię zapasową klucza odzyskiwania na swoim koncie Microsoft, możesz uzyskać dostęp do klucza później pod adresem https://onedrive.live.com/recoverykey. Jeśli używasz innej metody odzyskiwania, pamiętaj, aby przechowywać ten klucz w bezpiecznym miejscu – jeśli ktoś uzyska do niego dostęp, może odszyfrować Twój dysk i ominąć szyfrowanie.
Jeśli chcesz, możesz również wykonać kopię zapasową klucza odzyskiwania na wiele sposobów. Po prostu kliknij każdą opcję, której chcesz użyć po kolei, a następnie postępuj zgodnie ze wskazówkami. Po zakończeniu zapisywania kluczy odzyskiwania kliknij „Dalej”, aby przejść dalej.
Uwaga: jeśli szyfrujesz dysk USB lub inny dysk wymienny, nie będziesz mieć możliwości zapisania klucza odzyskiwania na dysku USB. Możesz użyć dowolnej z pozostałych trzech opcji.
Krok czwarty: zaszyfruj i odblokuj dysk
Funkcja BitLocker automatycznie szyfruje nowe pliki podczas ich dodawania, ale musisz wybrać, co stanie się z plikami znajdującymi się obecnie na dysku. Możesz zaszyfrować cały dysk – w tym wolne miejsce – lub po prostu zaszyfrować używane pliki na dysku, aby przyspieszyć proces. Te opcje są również takie same, niezależnie od tego, czy szyfrujesz dysk systemowy, czy niesystemowy.
Jeśli konfigurujesz funkcję BitLocker na nowym komputerze, zaszyfruj tylko używane miejsce na dysku — jest to znacznie szybsze. Jeśli konfigurujesz funkcję BitLocker na komputerze, z którego korzystasz od jakiegoś czasu, zaszyfruj cały dysk, aby nikt nie mógł odzyskać usuniętych plików.
Po dokonaniu wyboru kliknij przycisk „Dalej”.
Krok piąty: wybierz tryb szyfrowania (tylko Windows 10)
Jeśli korzystasz z systemu Windows 10, zobaczysz dodatkowy ekran, na którym możesz wybrać metodę szyfrowania. Jeśli używasz systemu Windows 7 lub 8, przejdź do następnego kroku.
Windows 10 wprowadził nową metodę szyfrowania o nazwie XTS-AES. Zapewnia lepszą integralność i wydajność w porównaniu z AES używanym w Windows 7 i 8. Jeśli wiesz, że dysk, który szyfrujesz, będzie używany tylko na komputerach z systemem Windows 10, wybierz opcję „Nowy tryb szyfrowania”. Jeśli uważasz, że w pewnym momencie może być konieczne użycie dysku ze starszą wersją systemu Windows (szczególnie ważne, jeśli jest to dysk wymienny), wybierz opcję „Tryb zgodności”.
Niezależnie od wybranej opcji (i znowu są one takie same dla dysków systemowych i niesystemowych), kliknij przycisk „Dalej”, gdy skończysz, a na następnym ekranie kliknij przycisk „Rozpocznij szyfrowanie”.
Krok szósty: dokończenie
Proces szyfrowania może trwać od kilku sekund do minut, a nawet dłużej, w zależności od rozmiaru dysku, ilości szyfrowanych danych i tego, czy zdecydujesz się zaszyfrować wolne miejsce.
Jeśli szyfrujesz dysk systemowy, zostaniesz poproszony o uruchomienie sprawdzania systemu BitLocker i ponowne uruchomienie systemu. Upewnij się, że opcja jest wybrana, kliknij przycisk „Kontynuuj”, a następnie uruchom ponownie komputer, gdy zostaniesz o to poproszony. Po pierwszym uruchomieniu komputera system Windows szyfruje dysk.
Jeśli szyfrujesz dysk niesystemowy lub dysk wymienny, system Windows nie musi być ponownie uruchamiany, a szyfrowanie rozpoczyna się natychmiast.
Niezależnie od typu dysku, który szyfrujesz, możesz sprawdzić ikonę Szyfrowanie dysków funkcją BitLocker na pasku zadań, aby zobaczyć jego postęp, i możesz nadal korzystać z komputera, gdy dyski są szyfrowane — po prostu będzie działać wolniej.
Odblokowywanie dysku
Jeśli dysk systemowy jest zaszyfrowany, jego odblokowanie zależy od wybranej metody (i tego, czy Twój komputer ma moduł TPM). Jeśli masz moduł TPM i wybierzesz automatyczne odblokowanie dysku, nie zauważysz niczego innego — po prostu uruchomisz system Windows, jak zawsze. Jeśli wybierzesz inną metodę odblokowania, system Windows wyświetli monit o odblokowanie dysku (poprzez wpisanie hasła, podłączenie dysku USB lub cokolwiek innego).
A jeśli zgubiłeś (lub zapomniałeś) metodę odblokowania, naciśnij Escape na ekranie monitu, aby wprowadzić klucz odzyskiwania.
Jeśli zaszyfrowano dysk niesystemowy lub dysk wymienny, system Windows wyświetli monit o odblokowanie dysku przy pierwszym dostępie do niego po uruchomieniu systemu Windows (lub po podłączeniu go do komputera, jeśli jest to dysk wymienny). Wpisz hasło lub włóż kartę inteligentną, a dysk powinien się odblokować, aby można było z niego korzystać.
W Eksploratorze plików zaszyfrowane dyski pokazują złotą kłódkę na ikonie (po lewej). Ta blokada zmienia kolor na szary i wygląda na odblokowaną po odblokowaniu dysku (po prawej).
Zablokowanym dyskiem można zarządzać — zmieniać hasło, wyłączać funkcję BitLocker, tworzyć kopię zapasową klucza odzyskiwania lub wykonywać inne czynności — z poziomu okna panelu sterowania funkcji BitLocker. Kliknij prawym przyciskiem myszy dowolny zaszyfrowany dysk, a następnie wybierz „Zarządzaj funkcją BitLocker”, aby przejść bezpośrednio do tej strony.
Podobnie jak wszystkie szyfrowanie, funkcja BitLocker zwiększa obciążenie. Oficjalne często zadawane pytania dotyczące funkcji BitLocker firmy Microsoft mówi, że „ogólnie nakłada to jednocyfrowy procent narzutu na wydajność”. Jeśli szyfrowanie jest dla Ciebie ważne, ponieważ masz poufne dane — na przykład laptop pełen dokumentów biznesowych — ulepszone zabezpieczenia są warte kompromisu w zakresie wydajności.