Kiel ĉifri dosierujon per BitLocker kaj alternativoj en Vindozo

Protekti tion, kion vi stokas sur via komputilo, ne estas laŭvola: ĝi estas esenca. Vindozo ofertas plurajn tavolojn de sekureco por malhelpi neaŭtorizitan aliron al viaj datumoj, ĉu via komputilo estas ŝtelita aŭ iu provas aliri ĝin de alia sistemo. Per enkonstruitaj iloj (ekzemple, vi povas ĉifri dosierujon per BitLocker), vi povas... Ĉifri dosierojn, dosierujojn, tutajn diskojn kaj eksterajn aparatojn per nur kelkaj klakoj.

En ĉi tiu gvidilo, vi trovos ĉion, kion vi bezonas por ĉifri dosierujon per BitLocker kaj aliaj alternativoj. Vi vidos, kiun eldonon de Vindozo vi bezonas, kiel kontroli ĉu via komputilo havas TPM, kiel uzi EFS por individuaj eroj, kaj Kiel krei kaj ĝuste konservi la retrovan ŝlosilonMi ankaŭ klarigas kion fari se vi ne havas TPM, kiun algoritmon kaj ŝlosillongon elekti, la eblajn efikojn sur rendimenton, kaj kiajn opciojn haveblas se vi serĉas ion kiel pasvort-protektitan ujon/ISO-on.

Kiujn ĉifradajn eblojn ofertas Vindozo kaj kiel ili diferencas?

En Vindozo, tri aliroj kunekzistas:

• Aparata ĉifradoĜi aŭtomate aktivigas protekton se via aparataro plenumas certajn postulojn kaj ligas la reakiran ŝlosilon al via Microsoft-konto post via unua ensaluto. Ĝi kutime haveblas eĉ en Windows Home, sed ne sur ĉiuj komputiloj.
• Bitlocker, Havebla en la eldonoj Pro, Enterprise kaj Education, ĉi tio estas plena ĉifrado de la disko kaj aliaj internaj aŭ eksteraj diskoj (BitLocker To Go). Ĝia ĉefa avantaĝo estas, ke ĝi protektas la tutan volumon de komenco ĝis fino.
• EFS (Ĉifra Dosiersistemo), Destinita por individuaj dosieroj kaj dosierujoj, ĝi estas ligita al via uzantkonto, do nur la persono kiu ĉifras ilin povas malfermi ilin de tiu sama profilo. Ĝi estas ideala por kelkaj sentemaj dokumentoj, sed ĝi ne anstataŭigas BitLocker por ampleksa protekto.

Kiel scii ĉu via aparato subtenas ĉifradon de aparatoj kaj TPM

Por kontroli kongruecon kun "aparata ĉifrado", iru al Start, serĉu "Sistemaj Informoj", dekstre alklaku kaj malfermu "Run kiel administranto". En "Sistema Resumo", trovu la eniron "Subteno por aparata ĉifrado". Se vi vidas "Plenumas antaŭkondiĉojn", vi estas preta; se vi vidas mesaĝojn kiel 'TPM ne uzeblas', 'WinRE ne estas agordita' aŭ 'PCR7-ligilo ne estas subtenata'Vi devos korekti tiujn punktojn (aktivigi TPM/Sekuran Starton, agordi WinRE, malkonekti eksterajn dokojn aŭ grafikajn kartojn dum startado, ktp.).

Por konfirmi ĉu TPM ĉeestas: Premu Vindozon + X, iru al 'Aparatadministrilo', kaj sub 'Sekurecaj aparatoj' serĉu 'Trusted Platform Module (TPM)' kun versio 1.2 aŭ pli nova. Vi ankaŭ povas ruli 'tpm.msc' per Vindozo + R. BitLocker funkcias plej bone kun TPMSed pli sube vi vidos kiel aktivigi ĝin sen tiu ĉipo.

Ĉifri dosierojn kaj dosierujojn per EFS (Windows Pro/Enterprise/Education)

Se vi volas protekti nur specifan dosierujon aŭ kelkajn dosierojn, EFS estas rapida kaj facila. Dekstre alklaku la elementon, iru al 'Propraĵoj', kaj alklaku 'Plibonigitaj'. Marku 'Ĉifri enhavon por sekurigi datumojn' kaj konfirmu. Se vi ĉifras dosierujon, la sistemo demandos ĉu vi volas apliki la ŝanĝon nur al la dosierujo aŭ ankaŭ al ĝiaj subdosierujoj kaj dosieroj. Elektu la opcion, kiu plej bone konvenas al viaj bezonoj..

Post aktivigo, vi vidos malgrandan pendseruron sur la ikono. EFS ĉifras por la nuna uzanto; se vi kopias tiun dosieron al alia komputilo aŭ provas malfermi ĝin de alia konto, ĝi ne estos legebla. Atentu pri provizoraj dosieroj (ekzemple, de aplikaĵoj kiel Word aŭ Photoshop): se la radika dosierujo ne estas ĉifrita, paneroj povus esti lasitaj neprotektitajTial estas rekomendinde ĉifri la tutan dosierujon, kiu enhavas viajn dokumentojn.

Tre rekomendinda: faru sekurkopion de via ĉifrada atestilo. Vindozo petos vin "fari sekurkopion de via ŝlosilo nun". Sekvu la asistanton por eksportado de atestilo, konservu la ŝlosilon al USB-disko, kaj protektu ĝin per forta pasvorto. Se vi reinstalas Vindozon aŭ ŝanĝas uzantojn kaj ne eksportis la ŝlosilon, vi eble perdos aliron..

Por malĉifri, ripetu la procezon: ecoj, altnivelaj, Malmarku la opcion "Ĉifri enhavon por protekti datumojn". Kaj ĝi validas. La konduto en Vindozo 11 estas identa, do la paŝon post paŝa procezo estas la sama.

Ĉifri dosierujon per BitLocker (Windows Pro/Enterprise/Education)

BitLocker ĉifras tutajn volumojn, internajn aŭ eksterajn. En Dosieresplorilo, dekstre alklaku la diskon, kiun vi volas protekti, kaj elektu 'Ŝalti BitLocker'. Se la opcio ne aperas, via versio de Vindozo ne inkluzivas ĝin. Se vi ricevas averton pri mankanta TPM, Ne zorgu, ĝi povas esti uzata sen TPM.Ĝi nur postulas politikan alĝustigon, kiun mi klarigos tuj poste.

La asistanto demandos vin kiel malŝlosi la diskon: per pasvorto aŭ inteligenta karto. Plej bone estas uzi pasvorton kun bona entropio (majusklaj literoj, minusklaj literoj, ciferoj kaj simboloj). Poste, elektu kie konservi la retrovan ŝlosilon: en via Microsoft-konto, sur USB-disko, en dosiero aŭ printi ĝin. Konservi al Microsoft-konto Ĝi estas tre praktika (alirebla per onedrive.live.com/recoverykey), sed akompanu ĝin per plia eksterreta kopio.

En la sekva paŝo, decidu ĉu ĉifri nur la uzitan spacon aŭ la tutan diskon. La unua opcio estas pli rapida por novaj diskoj; por antaŭe uzitaj komputiloj, estas pli bone ĉifri la tutan diskon por protekti forigitajn datumojn, kiujn oni ankoraŭ povus reakiri. Pli da sekureco signifas pli da komenca tempo..

Fine, elektu la ĉifran reĝimon: 'nova' por modernaj sistemoj aŭ 'kongrua' se vi movas la diskon inter komputiloj kun pli malnovaj versioj de Vindozo. 'Rulu BitLocker-sisteman konfirmon' Kaj ĝi daŭras. Se temas pri la sistema disko, la komputilo rekomenciĝos kaj petos vian BitLocker-pasvorton ĉe la starto; se temas pri datumdisko, la ĉifrado komenciĝos en la fono kaj vi povos daŭrigi labori.

Se vi ŝanĝas vian opinion, en Esplorilo, dekstre alklaku la ĉifritan diskon kaj iru al 'Administri BitLocker' por malŝalti, ŝanĝi la pasvorton, regeneri la retrovan ŝlosilon aŭ ebligi aŭtomatan malŝlosadon sur tiu komputilo. BitLocker ne funkcias sen almenaŭ unu aŭtentikiga metodo.

Uzante BitLocker sen TPM: Gruppolitiko kaj Startopcioj

Se vi ne havas TPM-on, malfermu la Redaktilon de Lokaj Grupaj Politikoj per 'gpedit.msc' (Windows + R) kaj navigu al 'Komputila Agordo' > 'Administraj Ŝablonoj' > 'Komponantoj de Windows' > 'Ĉifrado de BitLocker-Diskoj' > 'Diskoj de Operaciumoj'. Malfermu 'Postuli plian aŭtentikigon ĉe ekfunkciigo' kaj agordu ĝin al 'Ebligita'. Marku la keston apud 'Permesi BitLocker sen kongrua TPM'. Apliku la ŝanĝojn kaj lanĉu 'gpupdate /target:Computer /force' por devigi ĝian aplikon.

Kiam vi lanĉas la BitLocker-asistanton sur via sistemdisko, ĝi proponos du metodojn: 'Enmeti USB-memorilon' (tio konservos .BEK-startigan ŝlosilon, kiu devas esti konektita ĉe ĉiu starto) aŭ 'Enigi pasvorton' (antaŭstarta PIN/pasvorto). Se vi uzas USB, ŝanĝu la startordon en viaj BIOS/UEFI-agordoj, por ke via komputilo povu starti de la USB-memorilo. Ne provu startigi de tiu USB-disko.Dum la procezo, ne forigu la USB-diskon ĝis ĉio finiĝos.

Antaŭ ĉifrado, BitLocker povas plenumi 'sistema testo' por konfirmi, ke vi povos aliri la ŝlosilon dum la startigo. Se ĝi malsukcesas kun startiga mesaĝo, kontrolu la startigan ordon kaj sekurecajn opciojn (Sekura Startigo, ktp.) kaj provu denove.

BitLocker To Go: Protektu USB-diskojn kaj eksterajn diskojn

Konekti la eksteran aparaton, dekstre alklaku la diskon en Dosieresplorilo, kaj elektu 'Ŝalti BitLocker'. Agordu pasvorton kaj konservu la retrovan ŝlosilon. Vi povas marki 'Ne demandi denove en ĉi tiu komputilo' por ebligi aŭtomatan malŝlosadon. En aliaj komputiloj, La pasvorto estos petita post konekto antaŭ ol povi legi ĝian enhavon.

En tre malnovaj sistemoj (Windows XP/Vista), ne ekzistas denaska subteno por malŝlosado, sed Microsoft publikigis 'BitLocker To Go Reader' por nurlegebla aliro al FAT-formatitaj diskoj. Se vi planas retrokongruecon, konsideru uzi la 'kongrua' ĉifrada reĝimo en la asistanto.

Ĉifrada algoritmo kaj forto, kaj ilia efiko sur rendimento

Defaŭlte, BitLocker uzas XTS-AES kun 128-bita ŝlosilo sur internaj diskoj kaj AES-CBC 128 sur eksteraj diskoj. Vi povas pliigi la ĉifradon al 256 bitoj aŭ ĝustigi la algoritmon en la agordoj: 'BitLocker Drive Encryption' > 'Elektu ĉifradmetodon kaj forton…'. Depende de la Vindoza versio, ĉi tio estas dividita laŭ diskotipo (startiga, datuma, forprenebla). XTS-AES estas la rekomendinda por fortikeco kaj rendimento.

Kun modernaj procesoroj (AES-NI), la efiko estas kutime minimuma, sed estas kazoj kie la rendimento malpliiĝas, precipe ĉe certaj SSD-oj kun Windows 11 Pro kiam BitLocker estas devigita per programaro sur diskoj kun aparatara ĉifrado. Ĝis 45% malpli da rendimento estis mezurita en hazardaj legadoj ĉe specifaj modeloj (ekzemple, la Samsung 990 Pro 4TB). Se vi rimarkas severan degradiĝon, vi povas: 1) Malŝalti BitLocker en tiu volumo (oferante sekurecon) aŭ 2) reinstali kaj devigi aparataran ĉifradon de la SSD mem se ĝi estas fidinda (pli kompleksa procezo kaj dependa de la fabrikanto).

Memoru, ke pli forta ĉifrado (256 bitoj) signifas iom pli altan ŝarĝon, sed ĉe nunaj aparatoj la diferenco estas kutime regebla. Prioritatigu sekurecon se vi pritraktas sentemajn aŭ reguligitajn datumojn.

Reakiraj ŝlosiloj: kie konservi ilin kaj kiel uzi ilin

Ĉiam kreu kaj konservu retrovan ŝlosilon kiam vi ebligas BitLocker. Haveblaj opcioj: 'Konservi al via Microsoft-konto' (centralizita aliro), 'Konservi al USB-memorilo', 'Konservi al dosiero', aŭ 'Presi la ŝlosilon'. La ŝlosilo estas 48-cifera kodo, kiu permesas al vi malŝlosi vian konton se vi forgesas vian pasvorton aŭ se BitLocker detektas startan anomalion sur la sistema unuo.

Se vi ĉifras plurajn diskojn, ĉiu ŝlosilo havos unikan identigilon. La dosiernomo de la ŝlosilo kutime inkluzivas GUID-on, kiun BitLocker petos dum la reakiro. Por vidi ŝlosilojn konservitajn en via Microsoft-konto, vizitu onedrive.live.com/recoverykey dum ensalutinta. Evitu konservi ŝlosilojn sur la sama ĉifrita disko kaj konservi senkonektajn kopiojn.

BitLocker integras administrada konzolo kie vi povas: ŝanĝi la pasvorton, aldoni aŭ forigi sekurecajn rimedojn (pasvorto, PIN+TPM, inteligenta karto), regeneri la retrovan ŝlosilon, kaj malŝalti ĉifradon kiam vi jam ne bezonas ĝin.

Pasvorte protektitaj ISO-oj: fidindaj alternativoj en Vindozo 11

Vindozo ne ofertas denaskan 'pasvort-protektitan ISO-dosieron'. Kelkaj iloj konvertas al siaj propraj formatoj (kiel '.DAA' en PowerISO), kio ne estas ideala se vi bezonas konservi la '.ISO'-dosieron. Anstataŭe, kreu ĉifrita ujo per VeraCrypt kaj munti ĝin laŭpete: ĝi funkcias kiel pasvorte protektita 'virtuala disko' kaj estas portebla.

Se vi volas ion malpezan por kunhavigi, modernaj arkiviloj permesas ĉifradon per AES: kreu pasvort-protektitan '.zip' aŭ '.7z' arkivon uzante ilojn kiel 7-Zip aŭ WinRAR kaj elektu la opcion ĉifri dosiernomojn. Por eksteraj diskoj, BitLocker To Go estas la rekomendinda metodo en Windows Pro; en Home, VeraCrypt perfekte plenumas sian celon..

Kun ĉio ĉi-supra, vi povas decidi ĉu ĉifri dosierujon per EFS, tutan diskon per BitLocker, aŭ krei ujon kun VeraCryptLa ŝlosilo estas elekti la metodon, kiu taŭgas por via Vindoza eldono kaj aparataro, konservi la retrovan ŝlosilon sekure, kaj adapti la algoritmon/longon laŭ viaj prioritatoj. Se vi prizorgos tiujn tri punktojn, vi havos viajn datumojn protektitajn sen kompliki vian vivon..