Com xifrar una carpeta amb BitLocker i alternatives al Windows

Protegir el que guardes al teu PC no és opcional: cal. Al Windows comptes amb diverses capes de seguretat per evitar que tercers llegeixin les teves dades sense permís, ja sigui que robaràs l'equip o intentin accedir-hi des d'un altre sistema. Amb les eines natives (per exemple, es pot xifrar una carpeta amb Bitlocker) podràs xifrar fitxers, carpetes, unitats completes i dispositius externs amb uns quants clics.

En aquesta guia trobaràs tot allò que necessites per xifrar una carpeta amb BitLocker i altres alternatives. Veureu quina edició de Windows necessiteu, com comprovar si el vostre equip té TPM, com utilitzar EFS per a elements solts i com crear i desar correctament la clau de recuperació. També t'explico què fer si no tens TPM, quin algoritme i longitud de clau triar, els possibles impactes en rendiment i quines opcions hi ha si busques alguna mena de contenidor/ISO protegit per contrasenya.

Quines opcions de xifratge ofereix Windows i en què es diferencien

A Windows conviuen tres enfocaments:

• Xifrat de dispositiu. Activa automàticament la protecció si el maquinari compleix certs requisits i adjunta la clau de recuperació al teu compte de Microsoft després del primer inici de sessió. Sol estar disponible fins i tot a Windows Home, però no a tots els equips.
• BitLocker, present en edicions Pro, Enterprise i Education. És un xifrat de disc complet per a la unitat del sistema i altres unitats, internes o externes (BitLocker To Go). La seva gran carta és que protegeix tot el volum d'extrem a extrem.
• EFS (Encrypting File System), pensat per a arxius i carpetes individuals. Està vinculat al teu usuari, per la qual cosa només qui els xifra els pot obrir en aquest mateix perfil. És ideal per a un grapat de documents sensibles, però no substitueix BitLocker en protecció global.

Com saber si el teu equip suporta xifrat de dispositiu i TPM

Per verificar la compatibilitat del 'xifrat de dispositiu', a Inici cerca 'Informació del sistema', fes clic dret i obre 'Executar com a administrador'. A 'Resum del sistema', localitza la línia 'Compatibilitat amb xifratge de dispositiu'. Si veus 'Compleix els requisits previs', ho tens a tret; si apareixen missatges com 'El TPM no es pot utilitzar', 'WinRE no està configurat' o 'L'enllaç PCR7 no és compatible', hauràs de corregir aquests punts (activar TPM/Secure Boot, configurar WinRE, desconnectar bases o gràfiques externes en arrencar, etc.).

Per confirmar si hi ha TPM: prem Windows + X, entra a 'Administrador de dispositius' ia 'Dispositius de seguretat' busca 'Mòdul de plataforma segura (TPM)' amb versió 1.2 o posterior. També podeu executar 'tpm.msc' amb Windows + R. BitLocker funciona millor amb TPM, però més avall veuràs com activar-ho sense aquest xip.

Xifrar fitxers i carpetes amb EFS (Windows Pro/Enterprise/Education)

Si només voleu protegir una carpeta determinada o pocs fitxers, EFS és ràpid i còmode. Fes clic dret a l'element, entra a 'Propietats' i fes clic a 'Avançats'. Marca 'Xifrar contingut per protegir dades' i confirma. Si xifres una carpeta, el sistema et preguntarà si apliques el canvi només a la carpeta o també a les subcarpetes i fitxers; tria l'opció que encaixi millor amb la teva necessitat.

Un cop activat, veuràs un petit cadenat a la icona. EFS xifra per a lusuari actual; si copies aquest fitxer a un altre PC o intentes obrir-lo des d'un altre compte, no es podrà llegir. Compte amb els fitxers temporals (per exemple, d'apps com Word o Photoshop): si la carpeta arrel no està xifrada, podrien quedar-se molles sense protegir. Per això és recomanable xifrar la carpeta completa que allotja els documents.

Molt recomanable: feu còpia de seguretat del certificat de xifratge. Windows us mostrarà un avís per 'realitzar còpia de seguretat de la clau ara'. Segueix l'assistent d'exportació de certificats, desa la clau en una memòria USB i protegiu-la amb una contrasenya robusta. Si reinstal·leu Windows o canvieu d'usuari i no exporteu la clau, podeu perdre l'accés.

Per desxifrar, repeteix el procés: propietats, avançats, desmarca 'Xifrar contingut per protegir dades' i aplica. El comportament a Windows 11 és idèntic, així que el pas a pas és el mateix.

Xifrar una carpeta amb BitLocker (Windows Pro/Enterprise/Education)

BitLocker xifra volums sencers, interns o externs. A l'Explorador de fitxers, clic dret sobre la unitat que voleu protegir i trieu 'Activar BitLocker'. Si no apareix l'opció, la vostra edició de Windows no l'inclou. Si et salta un avís sobre TPM absent, no et preocupis, es pot fer servir sense TPM; només requereix un ajustament de directiva que t'explico just després.

L'assistent us demanarà com desbloquejar la unitat: amb contrasenya o targeta intel·ligent. El més habitual és fer servir contrasenya amb bona entropia (majúscules, minúscules, números i símbols). Després, escolliu on desar la clau de recuperació: al vostre compte de Microsoft, en una unitat USB, en un fitxer o imprimir-la. Desa en compte Microsoft és molt pràctic (accés via onedrive.live.com/recoverykey), però acompanya'l d'una còpia addicional offline.

Al següent pas decideix si xifres només l'espai usat o tota la unitat. La primera opció és més ràpida per a discs nous; per a equips amb ús previ, millor xifra tota la unitat per protegir dades esborrades que encara es podrien recuperar. Més seguretat implica més temps inicial.

Finalment, tria el mode de xifratge: 'nou' per a sistemes moderns o 'compatible' si moureu aquesta unitat entre PCs amb versions antigues de Windows. Marca 'Executar verificació del sistema BitLocker' i continua. Si és la unitat del sistema, l'equip reiniciarà i us demanarà la contrasenya de BitLocker a l'arrencada; si és un disc de dades, el xifratge començarà en segon pla i podràs continuar treballant.

Si canvieu d'idea, a l'Explorador, clic dret sobre la unitat xifrada i entreu a 'Administrar BitLocker' per desactivar, canviar contrasenya, regenerar la clau de recuperació o activar el desbloqueig automàtic en aquest equip. BitLocker no funciona sense cap mètode d'autenticació.

Usar BitLocker sense TPM: directiva de grup i opcions d'inici

Si no teniu TPM, obriu l'Editor de directives de grup local amb 'gpedit.msc' (Windows + R) i navegueu a 'Configuració de l'equip' > 'Plantilles administratives' > 'Components de Windows' > 'Xifrat d'unitat BitLocker' > 'Unitats del sistema operatiu'. Obre 'Requerir autenticació addicional en iniciar' i marca'l com a 'Habilitat'. Activeu la casella 'Permet BitLocker sense un TPM compatible'. Aplica els canvis i executa 'gpupdate /target:Computer /force' per forçar-ne l'aplicació.

En iniciar l'assistent de BitLocker al disc del sistema, us proposarà dos mètodes: 'Inserir una unitat flash USB' (guardarà una clau d'arrencada .BEK que haurà d'estar connectada a cada arrencada) o 'Escriure una contrasenya' (PIN/contrasenya de prearrencada). Si utilitzeu USB, canvieu l'ordre d'arrencada a BIOS/UEFI perquè l'equip no intenteu arrencar des d'aquest pendrive. Durant el procés, no retireu la unitat USB fins que tot finalitzi.

Abans de xifrar, BitLocker en pot fer una 'prova del sistema' per confirmar que podreu accedir a la clau durant l'arrencada. Si falleu amb un missatge d'arrencada, reviseu l'ordre de boot i les opcions de seguretat (Secure Boot i altres) i torneu-ho a provar.

BitLocker To Go: protegir memòries USB i discos externs

Connecteu el dispositiu extern, a l'Explorador feu clic dret sobre la unitat i trieu 'Activar BitLocker'. Estableix una contrasenya i desa la clau de recuperació. Podràs marcar 'No tornar a sol·licitar en aquest equip' per activar el desbloqueig automàtic. En altres PCs, es demanarà la contrasenya en connectar abans de poder llegir-ne el contingut.

En sistemes molt antics (Windows XP/Vista), no hi ha suport nadiu per al desbloqueig, però Microsoft va publicar 'BitLocker To Go Reader' per a accés de només lectura en unitats amb format FAT. Si planeges compatibilitat retro, valora utilitzar el mode de xifrat 'compatible' a l'assistent.

Algorisme i intensitat del xifratge, i el seu impacte en el rendiment

Per defecte, BitLocker utilitza XTS-AES amb clau de 128 bits en discos interns i AES-CBC 128 en externs. Pots augmentar a 256 bits o ajustar l'algoritme en directives: 'Xifratge d'unitat BitLocker' > 'Elegir mètode de xifratge i intensitat...'. Depenent de la versió de Windows, es divideix per tipus dunitat (arrencada, dades, extraïbles). XTS-AES és el recomanat per robustesa i rendiment.

Amb CPUs modernes (AES-NI) l'impacte sol ser mínim, però hi ha casos on el rendiment cau, especialment en certes SSD amb Windows 11 Pro quan es força BitLocker per programari sobre discos amb xifratge de maquinari. S'ha mesurat fins a un 45% menys en lectures aleatòries en models concrets (per exemple, Samsung 990 Pro 4TB). Si notes degradació severa, pots: 1) desactivar BitLocker en aquest volum (sacrificant seguretat) o 2) reinstal·lar i forçar xifrat per maquinari del propi SSD si és fiable (procés més complex i dependent del fabricant).

Recorda que un xifrat més fort (256 bits) suposa lleugerament més càrrega, però en equips actuals la diferència sol ser assumible. Prioritza seguretat si maneges dades sensibles o regulades.

Claus de recuperació: on guardar-les i com fer-les servir

Sempre crea i desa la clau de recuperació quan habiliteu BitLocker. Opcions disponibles: 'Guardar al teu compte Microsoft' (accés centralitzat), 'Guardar en una unitat flash USB', 'Guardar en un fitxer' o 'Imprimir la clau'. La clau és un codi de 48 dígits que permet desbloquejar si oblides la contrasenya o si BitLocker detecta una anomalia d'arrencada en la unitat de sistema.

Si xifres diversos discs, cada clau tindrà un identificador. El nom del fitxer de la clau sol incloure un GUID que coincideix amb el que el BitLocker et demanarà en recuperar. Per consultar claus desades al compte Microsoft, visiteu onedrive.live.com/recoverykey amb la vostra sessió iniciada. Evita desar claus a la mateixa unitat xifrada i mantingues còpies offline.

BitLocker integra una consola de gestió on pots: canviar la contrasenya, afegir o treure protectors (contrasenya, PIN+TPM, targeta intel·ligent), regenerar la clau de recuperació i desactivar el xifratge quan ja no ho necessitis.

ISO amb contrasenya: alternatives fiables a Windows 11

Windows no ofereix un 'ISO amb contrasenya' nadiu. Algunes utilitats converteixen a formats propis (com '.DAA' a PowerISO), cosa que no és ideal si necessites mantenir '.ISO'. En el seu lloc, crea un contenidor xifrat amb VeraCrypt i munta'l sota demanda: funciona com una 'unitat virtual' protegida per contrasenya i és portable.

Si voleu alguna cosa lleugera per compartir, els arxivadors moderns permeten xifrar amb AES: crea un '.zip' o '.7z' amb contrasenya des d'eines com 7-Zip o WinRAR i marca l'opció de xifrar noms de fitxer. Per a unitats externes, BitLocker To Go és la via recomanada a Windows Pro; a Home, VeraCrypt compleix perfectament.

Amb tot això pots decidir si xifrar una carpeta amb EFS, una unitat sencera amb BitLocker o crear un contenidor amb VeraCrypt. El que és clau és triar el mètode que encaixi amb la teva edició de Windows i el teu maquinari, desar bé la clau de recuperació i ajustar l'algorisme/longitud segons les teves prioritats. Si mimes aquests tres punts, tindràs les teves dades blindades sense complicar-te la vida.