Як зашыфраваць тэчку з дапамогай BitLocker і альтэрнатывы ў Windows

Абарона дадзеных, якія вы захоўваеце на сваім ПК, не з'яўляецца абавязковай: яна неабходная. Windows прапануе некалькі ўзроўняў бяспекі, каб прадухіліць несанкцыянаваны доступ да вашых дадзеных, незалежна ад таго, ці быў ваш камп'ютар скрадзены, ці хтосьці спрабуе атрымаць да яго доступ з іншай сістэмы. З дапамогай убудаваных інструментаў (напрыклад, вы можаце зашыфраваць тэчку з дапамогай BitLocker) вы можаце... Шыфраваць файлы, тэчкі, цэлыя дыскі і знешнія прылады усяго ў некалькі клікаў.

У гэтым кіраўніцтве вы знойдзеце ўсё неабходнае для шыфравання тэчкі з дапамогай BitLocker і іншых альтэрнатыў. Вы даведаецеся, якая версія Windows вам патрэбна, як праверыць, ці ёсць на вашым кампутары TPM, як выкарыстоўваць EFS для асобных элементаў і Як стварыць і правільна захаваць ключ аднаўленняЯ таксама тлумачу, што рабіць, калі ў вас няма TPM, які алгарытм і даўжыню ключа выбраць, магчымы ўплыў на прадукцыйнасць і якія варыянты даступныя, калі вы шукаеце нешта накшталт кантэйнера/ISO, абароненага паролем.

Якія варыянты шыфравання прапануе Windows і чым яны адрозніваюцца?

У Windows суіснуюць тры падыходы:

• шыфраванне прыладыЁн аўтаматычна актывуе абарону, калі ваша абсталяванне адпавядае пэўным патрабаванням, і прывязвае ключ аднаўлення да вашага ўліковага запісу Microsoft пасля першага ўваходу. Звычайна ён даступны нават у Windows Home, але не на ўсіх камп'ютарах.
• BitLocker, Даступнае ў версіях Pro, Enterprise і Education, гэта поўнае шыфраванне дыска для сістэмнага дыска і іншых унутраных або знешніх дыскаў (BitLocker To Go). Яго галоўная перавага заключаецца ў тым, што яно абараняе ўвесь том ад пачатку да канца.
• EFS (сістэма шыфравання файлаў), Распрацаваны для асобных файлаў і папак, ён звязаны з вашым уліковым запісам карыстальніка, таму толькі той, хто іх шыфруе, можа адкрыць іх з таго ж профілю. Ён ідэальна падыходзіць для некалькіх канфідэнцыйных дакументаў, але не замяняе BitLocker для поўнай абароны.

Як даведацца, ці падтрымлівае ваша прылада шыфраванне і TPM

Каб праверыць сумяшчальнасць «шыфравання прылады», перайдзіце ў меню «Пуск», знайдзіце «Інфармацыя аб сістэме», пстрыкніце правай кнопкай мышы і адкрыйце «Запуск ад імя адміністратара». У раздзеле «Зводка па сістэме» знайдзіце запіс «Падтрымка шыфравання прылады». Калі вы бачыце «Адпавядае патрабаванням», усё гатова; калі вы бачыце паведамленні, падобныя на «TPM не можа быць выкарыстаны», «WinRE не настроены» або «Прывязка PCR7 не падтрымліваецца»Вам трэба будзе выправіць гэтыя моманты (актываваць TPM/Secure Boot, наладзіць WinRE, адключыць знешнія док-станцыі або відэакарты пры загрузцы і г.д.).

Каб праверыць наяўнасць TPM: націсніце Windows + X, перайдзіце ў «Дыспетчар прылад» і ў раздзеле «Прылады бяспекі» знайдзіце «Модуль даверанай платформы (TPM)» версіі 1.2 або больш позняй. Вы таксама можаце запусціць «tpm.msc» з дапамогай Windows + R. BitLocker найлепш працуе з TPMАле далей вы ўбачыце, як актываваць яго без гэтага чыпа.

Шыфраванне файлаў і папак з дапамогай EFS (Windows Pro/Enterprise/Education)

Калі вы хочаце абараніць толькі пэўную тэчку або некалькі файлаў, EFS — гэта хутка і проста. Пстрыкніце правай кнопкай мышы на элеменце, перайдзіце ў раздзел «Уласцівасці» і націсніце «Дадаткова». Пастаўце галачку насупраць «Шыфраваць змесціва для абароны дадзеных» і пацвердзіце. Калі вы шыфруеце тэчку, сістэма спытае, ці хочаце вы прымяніць змены толькі да тэчкі, ці таксама да яе падтэчак і файлаў. Выберыце варыянт, які найлепшым чынам адпавядае вашым патрэбам..

Пасля актывацыі на значку вы ўбачыце невялікі замок. EFS шыфруе файлы для бягучага карыстальніка; калі вы скапіруеце гэты файл на іншы камп'ютар або паспрабуеце адкрыць яго з іншага ўліковага запісу, ён не будзе чытацца. Будзьце асцярожныя з часовымі файламі (напрыклад, з такіх праграм, як Word або Photoshop): калі каранёвая тэчка не зашыфравана, крошкі могуць заставацца без абароныВось чаму рэкамендуецца зашыфраваць усю тэчку, якая змяшчае вашы дакументы.

Настойліва рэкамендуецца: зрабіце рэзервовую копію сертыфіката шыфравання. Windows прапануе вам «зрабіць рэзервовую копію ключа зараз». Выканайце інструкцыі майстра экспарту сертыфікатаў, захавайце ключ на USB-назапашвальніку і абараніце яго надзейным паролем. Калі вы пераўсталюеце Windows або зменіце карыстальніка і не экспартуеце ключ, вы можаце страціць доступ..

Каб расшыфраваць, паўтарыце працэс: уласцівасці, дадаткова, Зніміце сцяжок «Шыфраваць кантэнт для абароны дадзеных» І гэта дастасоўна. Паводзіны ў Windows 11 ідэнтычныя, таму пакрокавы працэс той жа.

Шыфраванне тэчкі з дапамогай BitLocker (Windows Pro/Enterprise/Education)

BitLocker шыфруе цэлыя тамы, як унутраныя, так і знешнія. У Правадніку файлаў пстрыкніце правай кнопкай мышы на дыску, які вы хочаце абараніць, і абярыце «Уключыць BitLocker». Калі опцыя не адлюстроўваецца, значыць, ваша версія Windows яе не ўключае. Калі вы атрымаеце папярэджанне аб адсутнасці TPM, Не хвалюйцеся, яго можна выкарыстоўваць без TPMГэта проста патрабуе карэкціроўкі палітыкі, пра якую я растлумачу адразу пасля.

Памочнік спытае вас, як разблакіраваць дыск: з дапамогай пароля або смарт-карты. Лепш за ўсё выкарыстоўваць пароль з добрай энтрапіяй (вялікія літары, малыя літары, лічбы і сімвалы). Затым выберыце, дзе захаваць ключ аднаўлення: у вашым акаўнце Microsoft, на USB-назапашвальніку, у файле або раздрукаваць яго. Захаваць ва ўліковым запісе Microsoft Гэта вельмі практычна (доступ праз onedrive.live.com/recoverykey), але дадайце да яго дадатковую афлайн-копію.

На наступным этапе вырашыце, ці шыфраваць толькі выкарыстаную прастору, ці ўвесь дыск. Першы варыянт хутчэйшы для новых дыскаў; ​​для раней выкарыстаных кампутараў лепш зашыфраваць увесь дыск, каб абараніць выдаленыя дадзеныя, якія яшчэ можна аднавіць. Большая бяспека азначае большы першапачатковы час..

Нарэшце, абярыце рэжым шыфравання: «новы» для сучасных сістэм або «сумяшчальны», калі вы пераносіце дыск паміж ПК са старымі версіямі Windows. «Запусціць праверку сістэмы BitLocker» І гэта працягваецца. Калі гэта сістэмны дыск, камп'ютар перазагрузіцца і запытае пароль BitLocker пры запуску; калі гэта дыск з дадзенымі, шыфраванне пачнецца ў фонавым рэжыме, і вы зможаце працягваць працаваць.

Калі вы перадумаеце, у Правадніку пстрыкніце правай кнопкай мышы на зашыфраваным дыску і перайдзіце ў раздзел «Кіраванне BitLocker», каб адключыць, змяніць пароль, перагенераваць ключ аднаўлення або ўключыць аўтаматычную разблакіроўку на гэтым кампутары. BitLocker не працуе без хаця б аднаго метаду аўтэнтыфікацыі.

Выкарыстанне BitLocker без TPM: групавая палітыка і параметры запуску

Калі ў вас няма TPM, адкрыйце рэдактар ​​лакальнай групавой палітыкі з дапамогай «gpedit.msc» (Windows + R) і перайдзіце ў раздзел «Канфігурацыя кампутара» > «Адміністрацыйныя шаблоны» > «Кампаненты Windows» > «Шыфраванне дыска BitLocker» > «Дыскі аперацыйнай сістэмы». Адкрыйце «Патрабуйце дадатковую аўтэнтыфікацыю пры запуску» і ўсталюйце для яго значэнне «Уключана». Пастаўце галачку побач з «Дазволіць BitLocker без сумяшчальнага TPM». Ужыйце змены і запусціце каманду «gpupdate /target:Computer /force». прымусіць да яго прымянення.

Калі вы запусціце майстар BitLocker на сістэмным дыску, ён прапануе два спосабы: «Уставіць флэшку USB» (гэта захавае ключ загрузкі .BEK, які трэба падключаць пры кожным запуску) або «Увесці пароль» (PIN-код/пароль перад загрузкай). Калі вы выкарыстоўваеце USB, змяніце парадак загрузкі ў наладах BIOS/UEFI, каб камп'ютар мог загрузіцца з USB-назапашвальніка. Не спрабуйце загрузіцца з гэтага USB-назапашвальніка.Падчас працэсу не вымайце USB-назапашвальнік, пакуль усё не будзе завершана.

Перад шыфраваннем BitLocker можа выканаць сістэмны тэст каб пераканацца, што вы зможаце атрымаць доступ да ключа падчас запуску. Калі гэта не атрымаецца і з'явіцца паведамленне аб загрузцы, праверце парадак загрузкі і параметры бяспекі (бяспечная загрузка і г.д.) і паспрабуйце яшчэ раз.

BitLocker To Go: абарона USB-назапашвальнікаў і знешніх жорсткіх дыскаў

Падключыце знешнюю прыладу, пстрыкніце правай кнопкай мышы на дыску ў Правадніку і абярыце «Уключыць BitLocker». Усталюйце пароль і захавайце ключ аднаўлення. Вы можаце паставіць галачку «Больш не пытацца на гэтым ПК», каб уключыць аўтаматычную разблакіроўку. На іншых ПК... Пароль будзе запытаны пры падключэнні перш чым паспець прачытаць яго змест.

На вельмі старых сістэмах (Windows XP/Vista) няма ўбудаванай падтрымкі разблакіроўкі, але Microsoft выпусціла «BitLocker To Go Reader» для доступу толькі для чытання на дысках, адфарматаваных у FAT. Калі вы плануеце зваротную сумяшчальнасць, падумайце аб выкарыстанні «сумяшчальны» рэжым шыфравання у памочніку.

Алгарытм шыфравання і яго надзейнасць, а таксама іх уплыў на прадукцыйнасць

Па змаўчанні BitLocker выкарыстоўвае XTS-AES са 128-бітным ключом на ўнутраных дысках і AES-CBC 128 на знешніх дысках. Вы можаце павялічыць шыфраванне да 256 біт або змяніць алгарытм у наладах: «Шыфраванне дыска BitLocker» > «Выбраць метад і трываласць шыфравання…». У залежнасці ад версіі Windows, гэта падзяляецца па тыпу дыска (загрузачны, для дадзеных, здымны). Рэкамендаваны варыянт — XTS-AES. для трываласці і прадукцыйнасці.

З сучаснымі працэсарамі (AES-NI) уплыў звычайна мінімальны, але бываюць выпадкі, калі прадукцыйнасць падае, асабліва на некаторых SSD-назапашвальніках з Windows 11 Pro, калі BitLocker уключаецца праграмна на дысках з апаратным шыфраваннем. У некаторых мадэлях (напрыклад, Samsung 990 Pro 4TB) пры выпадковым чытанні было зафіксавана зніжэнне прадукцыйнасці да 45%. Калі вы заўважылі сур'ёзнае пагаршэнне, вы можаце: 1) Адключыць BitLocker у гэтым томе (ахвяруючы бяспеку) або 2) пераўсталяваць і прымусова ўсталяваць апаратнае шыфраванне самога SSD-дыска, калі яно надзейнае (больш складаны працэс і залежыць ад вытворцы).

Памятайце, што больш моцнае шыфраванне (256 біт) азначае крыху большую нагрузку, але на сучасным абсталяванні розніца звычайна прымальная. Бяспека — прыярытэт калі вы апрацоўваеце канфідэнцыйныя або рэгуляваныя дадзеныя.

Ключы аднаўлення: дзе іх захоўваць і як імі карыстацца

Заўсёды стварайце і захоўвайце ключ аднаўлення пры ўключэнні BitLocker. Даступныя варыянты: «Захаваць у вашым уліковым запісе Microsoft» (цэнтралізаваны доступ), «Захаваць на флэш-назапашвальніку USB», «Захаваць у файл» або «Раздрукаваць ключ». Ключ — гэта 48-значны код, які дазваляе разблакіраваць уліковы запіс, калі вы забудзеце пароль або калі BitLocker выяўляе анамалію загрузкі у сістэмным блоку.

Калі вы шыфруеце некалькі дыскаў, кожны ключ будзе мець унікальны ідэнтыфікатар. Назва файла ключа звычайна ўключае GUID, які BitLocker запытае падчас аднаўлення. Каб праглядзець ключы, захаваныя ў вашым уліковым запісе Microsoft, наведайце onedrive.live.com/recoverykey пасля ўваходу ў сістэму. Пазбягайце захоўвання ключоў на адным зашыфраваным дыску і захоўваць афлайн-копіі.

BitLocker інтэгруе кансоль кіравання дзе вы можаце: змяніць пароль, дадаць або выдаліць меры бяспекі (пароль, PIN+TPM, смарт-карту), перагенераваць ключ аднаўлення і адключыць шыфраванне, калі яно вам больш не патрэбна.

ISO-файлы, абароненыя паролем: надзейныя альтэрнатывы ў Windows 11

Windows не прапануе ўбудаванага «ISO-файла, абароненага паролем». Некаторыя ўтыліты канвертуюць яго ў свае ўласныя фарматы (напрыклад, «.DAA» у PowerISO), што не ідэальна, калі вам трэба захаваць файл «.ISO». Замест гэтага стварыце зашыфраваны кантэйнер з дапамогай VeraCrypt і мантаваць яго па патрабаванні: ён працуе як абаронены паролем «віртуальны дыск» і з'яўляецца партатыўным.

Калі вам патрэбны лёгкі файл для сумеснага выкарыстання, сучасныя архіватары дазваляюць шыфраваць яго з дапамогай AES: стварыце абаронены паролем архіў «.zip» або «.7z» з дапамогай такіх інструментаў, як 7-Zip або WinRAR, і абярыце опцыю шыфравання імёнаў файлаў. Для знешніх дыскаў у Windows Pro рэкамендуецца выкарыстоўваць BitLocker To Go; у Home — VeraCrypt выдатна выконвае сваё прызначэнне..

З улікам усяго вышэйпералічанага, вы можаце вырашыць, ці шыфраваць тэчку з дапамогай EFS, увесь дыск з дапамогай BitLocker або стварыць кантэйнер з дапамогай VeraCryptГалоўнае — выбраць метад, які падыходзіць для вашай версіі Windows і абсталявання, захоўваць ключ аднаўлення ў бяспецы і карэктаваць алгарытм/даўжыню ў адпаведнасці з вашымі прыярытэтамі. Калі вы будзеце выконваць гэтыя тры пункты, вашы дадзеныя будуць абаронены, не ўскладняючы сабе жыццё..