Как да настроите шифроване на BitLocker в Windows
BitLocker е инструмент, вграден в Windows, който ви позволява да шифровате целия твърд диск за по-голяма сигурност. Ето как да го настроите.
Когато TrueCrypt спорно затвори магазина, те препоръчаха на своите потребители да преминат от TrueCrypt към BitLocker или Veracrypt. BitLocker присъства в Windows достатъчно дълго, за да бъде считан за зрял, и е продукт за шифроване, който обикновено се разглежда добре от професионалистите в областта на сигурността. В тази статия ще говорим за това как можете да го настроите на вашия компютър.
Забележка: Шифроването на устройства с BitLocker и BitLocker To Go изискват Professional или Enterprise версия на Windows 8 или 10 или версията на Ultimate на Windows 7. Въпреки това, като се започне с Windows 8.1, изданията на Home и Pro на Windows включват функция „Encryption на устройството“ ( функция, включена в Windows 10), която работи подобно. Препоръчваме шифроване на устройства, ако компютърът ви го поддържа, BitLocker за професионални потребители, които не могат да използват устройството за шифроване, и VeraCrypt за хора, които използват начална версия на Windows, където функцията за кодиране на устройства няма да работи.
Криптирайте цялото устройство или Създайте шифрован контейнер?
Много ръководства говорят за създаването на BitLocker контейнер, който работи много подобно на вида шифрован контейнер, който можете да създавате с продукти като TrueCrypt или Veracrypt. Това е малко погрешно название, но можете да постигнете подобен ефект. BitLocker работи чрез криптиране на цели дискове. Това може да е системното ви устройство, друго физическо устройство или виртуален твърд диск (VHD), който съществува като файл и е монтиран в Windows.
Разликата е до голяма степен семантична. В други продукти за криптиране обикновено създавате шифрован контейнер и след това го монтирате като диск в Windows, когато трябва да го използвате. С BitLocker създавате виртуален твърд диск и след това го шифровате. Ако искате да използвате контейнер, а не, да кажем, да шифровате съществуващата система или устройство за съхранение, разгледайте нашето ръководство за създаване на шифрован файл с контейнер с BitLocker.
За тази статия ще се концентрираме върху активирането на BitLocker за съществуващо физическо устройство.
Как да шифровате устройство с BitLocker
За да използвате BitLocker за устройство, всичко, което наистина трябва да направите, е да го активирате, да изберете метод за отключване-парола, PIN и т.н. и след това да зададете няколко други опции. Преди да се заемем с това обаче, трябва да знаете, че използването на шифроване на пълен диск на BitLocker на задвижване на системата обикновено изисква компютър с модул за надеждна платформа (TPM) на дънната платка на компютъра ви. Този чип генерира и съхранява ключовете за шифроване, които BitLocker използва. Ако вашият компютър няма TPM, можете да използвате групови правила, за да активирате използването на BitLocker без TPM. Той е малко по-сигурен, но все пак е по-сигурен, отколкото да не използва криптиране.
Можете да шифровате несистемно устройство или преносимо устройство без TPM и без да се налага да активирате настройката на груповите правила.
На тази бележка трябва също да знаете, че има два вида шифроване на устройство с BitLocker, които можете да разрешите:
- Шифроване на устройства с BitLocker: Понякога наричан само BitLocker, това е функция за шифроване на цял диск, която криптира цялото устройство. Когато вашият компютър се стартира, зареждащото устройство за зареждане на Windows зарежда от системния резервиран дял, а зареждащото устройство ви подканва да въведете метода за отключване - например парола. След това BitLocker декриптира устройството и зарежда Windows. В противен случай криптирането е прозрачно - файловете ви изглеждат като на некриптирана система, но се съхраняват на диск в криптирана форма. Можете също да шифровате други устройства, освен само системното устройство.
- BitLocker To Go: Можете да шифровате външни устройства като USB флаш памети и външни твърди дискове с BitLocker To Go. Ще бъдете подканени да използвате метода за отключване - например парола, когато свържете устройството към компютъра. Ако някой не разполага с метода за отключване, те не могат да получат достъп до файловете на устройството.
В Windows 7 до 10, наистина не е нужно да се притеснявате за самият избор. Windows обработва нещата зад кулисите, а интерфейсът, който ще използвате, за да активирате BitLocker, не изглежда по-различно. Ако в крайна сметка отключите шифрован диск на Windows XP или Vista, ще видите марката на BitLocker да върви, така че смятахме, че трябва поне да знаете за него.
Така че, с това от пътя, нека прегледаме как това всъщност работи.
Първа стъпка: активирайте BitLocker за устройство
Най-лесният начин да активирате BitLocker за устройство е да щракнете с десния бутон на мишката в прозореца File Explorer и след това да изберете командата "Включване на BitLocker". Ако не виждате тази опция в контекстното си меню, вероятно нямате Pro или Enterprise версия на Windows и ще трябва да потърсите друго решение за криптиране..
Толкова е просто. Съветникът, който се появи, ви води чрез избиране на няколко опции, които сме разбили в следващите секции.
Стъпка втора: Изберете метод за отключване
Първият екран, който ще видите в съветника за шифроване на дискове BitLocker, ви позволява да изберете как да отключите устройството. Можете да изберете няколко различни начина за отключване на устройството.
Ако шифровате системното си устройство на компютър, който не имате TPM, можете да отключите устройството с парола или USB устройство, което функционира като ключ. Изберете метода за отключване и следвайте инструкциите за този метод (въведете парола или включете USB устройството си).
Ако компютърът ви прави имате TPM, ще видите допълнителни опции за отключване на системното устройство. Например, можете да конфигурирате автоматично отключване при стартиране (когато компютърът грабва ключовете за криптиране от TPM и автоматично декриптира устройството). Можете също да използвате ПИН вместо парола или дори да изберете биометрични опции като пръстов отпечатък.
Ако шифровате несистемно устройство или сменяем диск, ще видите само две опции (независимо дали имате TPM или не). Можете да отключите устройството с парола или смарт карта (или и двете).
Трета стъпка: Архивирайте ключа за възстановяване
BitLocker ви осигурява ключ за възстановяване, който можете да използвате за достъп до криптираните файлове, ако някога загубите основния ключ - например, ако забравите паролата си или ако компютърът с TPM умира и трябва да имате достъп до устройството от друга система.
Можете да запишете ключа в профила си в Microsoft, USB устройство, файл или дори да го отпечатате. Тези опции са едни и същи, независимо дали криптирате системно или несистемно устройство.
Ако архивирате ключа за възстановяване в профила си в Microsoft, можете да получите достъп до ключа по-късно на адрес https://onedrive.live.com/recoverykey. Ако използвате друг метод за възстановяване, уверете се, че този ключ е безопасен - ако някой получи достъп до него, те биха могли да дешифрират диска и да заобикалят шифроването.
Можете също така да архивирате ключа за възстановяване по няколко начина, ако искате. Трябва само да кликнете върху всяка опция, която искате да използвате, а след това да следвате указанията. Когато приключите със запазването на ключовете за възстановяване, кликнете върху „Напред“, за да продължите.
Забележка: Ако шифровате USB или друг преносим диск, няма да имате възможност да запазите ключа за възстановяване на USB устройство. Можете да използвате някоя от другите три опции.
Четвърта стъпка: Шифрирайте и отключете устройството
BitLocker автоматично кодира новите файлове, докато ги добавяте, но трябва да изберете какво ще се случи с файловете, които се намират в момента на вашето устройство. Можете да шифровате целия диск, включително свободното пространство, или просто да шифровате използваните дискови файлове, за да ускорите процеса. Тези опции са едни и същи, независимо дали криптирате системно или несистемно устройство.
Ако настройвате BitLocker на нов компютър, шифровайте само използваното дисково пространство - това е много по-бързо. Ако настройвате BitLocker на компютър, който ползвате от известно време, трябва да шифровате целия диск, за да сте сигурни, че никой не може да възстанови изтритите файлове.
Когато направите своя избор, кликнете върху бутона „Напред“.
Пета стъпка: Изберете режим на шифроване (само за Windows 10)
Ако използвате Windows 10, ще видите допълнителен екран, който ви позволява да изберете метод на шифроване. Ако използвате Windows 7 или 8, преминете напред към следващата стъпка.
Windows 10 въведе нов метод за криптиране, наречен XTS-AES. Той осигурява подобрена интегритет и производителност в AES, използван в Windows 7 и 8. Ако знаете, че дискът, който шифровате, ще се използва само на компютри с Windows 10, продължете и изберете опцията “New encryption mode”. Ако смятате, че може да се наложи да използвате устройството с по-стара версия на Windows в някакъв момент (особено важно, ако е преносимо устройство), изберете опцията „Съвместим режим“..
Която и опция да изберете (и отново те са едни и същи за системни и несистемни устройства), продължете и кликнете върху бутона „Напред“, когато сте готови, и на следващия екран кликнете върху бутона „Стартиране на шифроването“..
Шеста стъпка: Довършване
Процесът на шифроване може да отнеме от секунди до минути или дори по-дълго, в зависимост от размера на устройството, количеството данни, които криптирате, и дали сте избрали да кодирате свободно пространство.
Ако шифровате системното си устройство, ще бъдете подканени да изпълните проверка на системата на BitLocker и да рестартирате системата. Уверете се, че опцията е избрана, щракнете върху бутона “Продължи” и след това рестартирайте компютъра, когато бъдете попитани. След като компютърът стартира резервно копие за първи път, Windows криптира устройството.
Ако шифровате несистемен или сменяем диск, Windows не се нуждае от рестартиране и незабавното кодиране.
Независимо от вида на устройството, което криптирате, можете да проверите иконата за шифроване на дискове на BitLocker в системната област, за да видите напредъка й, и можете да продължите да използвате компютъра си, докато дисковете се шифроват - той ще работи по-бавно.
Отключване на устройството
Ако вашето системно устройство е кодирано, отключването зависи от избрания от вас метод (и дали вашият компютър има TPM). Ако имате TPM и сте избрали автоматично да отключите устройството, няма да забележите нищо различно - просто ще се заредите директно в Windows, както винаги. Ако сте избрали друг метод за отключване, Windows ви подканва да отключите устройството (като въведете паролата си, свържете USB устройството или каквото и да е друго).
Ако сте загубили (или забравили) метода за отключване, натиснете Escape в екрана за подкани, за да въведете ключа за възстановяване.
Ако сте шифровали несистемно или сменяемо устройство, Windows ви подканва да отключите устройството, когато за пръв път я стартирате след стартиране на Windows (или когато го свържете към компютъра, ако е преносимо устройство). Въведете паролата си или поставете вашата смарт карта и устройството трябва да се отключи, за да можете да я използвате.
В File Explorer криптираните дискове показват златна ключалка върху иконата (вляво). Това заключване се променя в сиво и се отключва, когато отключите устройството (вдясно).
Можете да управлявате заключената смяна на паролата, да изключите BitLocker, да направите резервно копие на ключа за възстановяване или да извършите други действия от прозореца на контролния панел на BitLocker. Щракнете с десния бутон върху всяко криптирано устройство и след това изберете „Управление на BitLocker“, за да отидете директно на тази страница.
Подобно на цялото шифроване, BitLocker добавя допълнителни разходи. Официалният FAQ на Microsoft за Microsoft BitLocker казва, че "Обикновено той налага еднократен процент на разходите за производителност." -Къщи.