نحوه رمزگذاری پوشه با BitLocker و جایگزین‌های آن در ویندوز

محافظت از آنچه در رایانه شخصی خود ذخیره می‌کنید اختیاری نیست: ضروری است. ویندوز لایه‌های امنیتی متعددی را برای جلوگیری از دسترسی غیرمجاز به داده‌های شما ارائه می‌دهد، چه رایانه شما دزدیده شود و چه کسی سعی کند از سیستم دیگری به آن دسترسی پیدا کند. با ابزارهای داخلی (به عنوان مثال، می‌توانید یک پوشه را با BitLocker رمزگذاری کنید)، می‌توانید... رمزگذاری فایل‌ها، پوشه‌ها، کل درایوها و دستگاه‌های خارجی فقط با چند کلیک.

در این راهنما، هر آنچه برای رمزگذاری یک پوشه با BitLocker و سایر گزینه‌های دیگر نیاز دارید را خواهید یافت. خواهید دید که به کدام نسخه از ویندوز نیاز دارید، چگونه بررسی کنید که آیا رایانه شما دارای TPM است، چگونه از EFS برای موارد خاص استفاده کنید و نحوه ایجاد و ذخیره صحیح کلید بازیابیهمچنین توضیح می‌دهم که اگر TPM ندارید چه کاری باید انجام دهید، چه الگوریتم و طول کلیدی را انتخاب کنید، چه تأثیراتی بر عملکرد سیستم دارد و اگر به دنبال چیزی مانند یک کانتینر/ISO محافظت‌شده با رمز عبور هستید، چه گزینه‌هایی در دسترس است.

ویندوز چه گزینه‌های رمزگذاری ارائه می‌دهد و چه تفاوتی با هم دارند؟

در ویندوز، سه رویکرد همزمان وجود دارد:

• رمزگذاری دستگاهاگر سخت‌افزار شما شرایط خاصی را برآورده کند، به‌طور خودکار محافظت را فعال می‌کند و پس از اولین ورود، کلید بازیابی را به حساب مایکروسافت شما متصل می‌کند. این قابلیت معمولاً حتی در ویندوز هوم نیز موجود است، اما در همه رایانه‌ها موجود نیست.
• بیت‌لاکر, این برنامه که در نسخه‌های Pro، Enterprise و Education موجود است، رمزگذاری کامل دیسک برای درایو سیستم و سایر درایوهای داخلی یا خارجی (BitLocker To Go) را ارائه می‌دهد. مزیت اصلی آن این است که از کل درایو به صورت سرتاسری محافظت می‌کند.
• EFS (سیستم رمزگذاری فایل)، این برنامه که برای فایل‌ها و پوشه‌های شخصی طراحی شده است، به حساب کاربری شما متصل است، بنابراین فقط شخصی که آنها را رمزگذاری می‌کند می‌تواند از همان پروفایل آنها را باز کند. این برنامه برای تعداد انگشت‌شماری از اسناد حساس ایده‌آل است، اما برای محافظت جامع جایگزین BitLocker نمی‌شود.

چگونه بفهمیم دستگاه ما از رمزگذاری دستگاه و TPM پشتیبانی می‌کند؟

برای بررسی سازگاری «رمزگذاری دستگاه»، به منوی شروع بروید، «اطلاعات سیستم» را جستجو کنید، کلیک راست کنید و «اجرای به عنوان مدیر» را باز کنید. در «خلاصه سیستم»، ورودی «پشتیبانی از رمزگذاری دستگاه» را پیدا کنید. اگر عبارت «مطابق با پیش‌نیازها» را دیدید، همه چیز آماده است؛ اگر پیام‌هایی مانند این را دیدید «TPM قابل استفاده نیست»، «WinRE پیکربندی نشده است» یا «اتصال PCR7 پشتیبانی نمی‌شود»شما باید آن نکات را اصلاح کنید (فعال کردن TPM/Secure Boot، پیکربندی WinRE، جدا کردن داک‌ها یا کارت‌های گرافیک خارجی هنگام بوت شدن و غیره).

برای تأیید وجود TPM: کلیدهای Windows + X را فشار دهید، به «Device Manager» بروید و در قسمت «Security devices» به دنبال «Trusted Platform Module (TPM)» با نسخه ۱.۲ یا بالاتر بگردید. همچنین می‌توانید با فشردن کلیدهای Windows + R، «tpm.msc» را اجرا کنید. BitLocker با TPM بهترین عملکرد را دارد.اما در ادامه خواهید دید که چگونه آن را بدون آن تراشه فعال کنید.

رمزگذاری فایل‌ها و پوشه‌ها با EFS (ویندوز پرو/اینترپرایز/آموزشی)

اگر فقط می‌خواهید از یک پوشه خاص یا چند فایل محافظت کنید، EFS سریع و آسان است. روی مورد کلیک راست کنید، به «Properties» بروید و روی «Advanced» کلیک کنید. «Encrypt contents to secure data» را علامت بزنید و تأیید کنید. اگر یک پوشه را رمزگذاری کنید، سیستم از شما می‌پرسد که آیا می‌خواهید تغییر فقط روی پوشه اعمال شود یا روی زیرپوشه‌ها و فایل‌های آن نیز اعمال شود. گزینه‌ای را انتخاب کنید که به بهترین وجه با نیازهای شما مطابقت داشته باشد..

پس از فعال شدن، یک قفل کوچک روی آیکون مشاهده خواهید کرد. EFS برای کاربر فعلی رمزگذاری می‌کند؛ اگر آن فایل را در رایانه دیگری کپی کنید یا سعی کنید آن را از حساب دیگری باز کنید، قابل خواندن نخواهد بود. در مورد فایل‌های موقت (مثلاً از برنامه‌هایی مانند Word یا Photoshop) مراقب باشید: اگر پوشه ریشه رمزگذاری نشده باشد، خرده نان‌ها می‌توانند بدون محافظ رها شوندبه همین دلیل توصیه می‌شود کل پوشه‌ای که اسناد شما در آن قرار دارد را رمزگذاری کنید.

اکیداً توصیه می‌شود: از گواهی رمزگذاری خود نسخه پشتیبان تهیه کنید. ویندوز از شما می‌خواهد که «اکنون از کلید خود نسخه پشتیبان تهیه کنید». مراحل صدور گواهی را دنبال کنید، کلید را در یک درایو USB ذخیره کنید و با یک رمز عبور قوی از آن محافظت کنید. اگر ویندوز را دوباره نصب کنید یا کاربر را تغییر دهید و کلید را صادر نکرده باشید، ممکن است دسترسی خود را از دست بدهید..

برای رمزگشایی، مراحل زیر را تکرار کنید: properties، advanced، علامت «رمزگذاری محتوا برای محافظت از داده‌ها» را بردارید و این موضوع صدق می‌کند. رفتار در ویندوز ۱۱ یکسان است، بنابراین فرآیند گام به گام نیز یکسان است.

رمزگذاری پوشه با BitLocker (ویندوز پرو/اینترپرایز/آموزشی)

BitLocker کل درایوها، چه داخلی و چه خارجی، را رمزگذاری می‌کند. در File Explorer، روی درایوی که می‌خواهید محافظت کنید کلیک راست کرده و گزینه «روشن کردن BitLocker» را انتخاب کنید. اگر این گزینه ظاهر نشد، نسخه ویندوز شما آن را شامل نمی‌شود. اگر هشداری در مورد فقدان TPM دریافت کردید، نگران نباشید، بدون TPM هم می‌توان از آن استفاده کرد.فقط نیاز به تنظیم سیاست دارد که بعداً توضیح خواهم داد.

دستیار از شما می‌پرسد که چگونه قفل درایو را باز کنید: با رمز عبور یا کارت هوشمند. بهتر است از رمز عبوری با آنتروپی خوب (حروف بزرگ، حروف کوچک، اعداد و نمادها) استفاده کنید. سپس، محل ذخیره کلید بازیابی را انتخاب کنید: در حساب مایکروسافت، روی درایو USB، در یک فایل یا چاپ آن. ذخیره در حساب مایکروسافت خیلی کاربردی است (از طریق onedrive.live.com/recoverykey قابل دسترسی است)، اما یک نسخه آفلاین اضافی هم همراهش داشته باشید.

در مرحله بعد، تصمیم بگیرید که آیا فقط فضای استفاده شده یا کل درایو را رمزگذاری کنید. گزینه اول برای درایوهای جدید سریع‌تر است؛ برای رایانه‌های قبلاً استفاده شده، بهتر است کل درایو را رمزگذاری کنید تا از داده‌های حذف شده‌ای که هنوز قابل بازیابی هستند محافظت شود. امنیت بیشتر به معنای زمان اولیه بیشتر است..

در نهایت، حالت رمزگذاری را انتخاب کنید: برای سیستم‌های مدرن «جدید» یا اگر درایو را بین رایانه‌های شخصی با نسخه‌های قدیمی‌تر ویندوز جابجا می‌کنید، «سازگار» را انتخاب کنید. «اجرای تأیید سیستم BitLocker» و این روند ادامه پیدا می‌کند. اگر درایو سیستم باشد، کامپیوتر مجدداً راه‌اندازی می‌شود و در هنگام راه‌اندازی، رمز عبور BitLocker شما را درخواست می‌کند؛ اگر درایو داده باشد، رمزگذاری در پس‌زمینه آغاز می‌شود و می‌توانید به کار خود ادامه دهید.

اگر نظرتان عوض شد، در اکسپلورر، روی درایو رمزگذاری شده کلیک راست کنید و به «مدیریت BitLocker» بروید تا بتوانید آن را غیرفعال کنید، رمز عبور را تغییر دهید، کلید بازیابی را دوباره تولید کنید یا قفل‌گشایی خودکار را در آن رایانه فعال کنید. BitLocker بدون حداقل یک روش احراز هویت کار نمی‌کند..

استفاده از BitLocker بدون TPM: Group Policy و گزینه‌های Startup

اگر TPM ندارید، ویرایشگر سیاست گروه محلی را با استفاده از 'gpedit.msc' (Windows + R) باز کنید و به 'Computer Configuration' > 'Administrative Templates' > 'Windows Components' > 'BitLocker Drive Encryption' > 'Operating System Drives' بروید. 'Require additional authentication at startup' را باز کنید و آن را روی 'Enabled' تنظیم کنید. کادر کنار 'Allow BitLocker without a compatible TPM' را علامت بزنید. تغییرات را اعمال کنید و دستور 'gpupdate /target:Computer /force' را اجرا کنید. برای اعمال فشار بر کاربرد آن.

وقتی جادوگر BitLocker را روی دیسک سیستم خود اجرا می‌کنید، دو روش ارائه می‌دهد: «یک درایو فلش USB وارد کنید» (این کار یک کلید بوت .BEK ذخیره می‌کند که باید در هر راه‌اندازی متصل شود) یا «یک رمز عبور وارد کنید» (پین/رمز عبور قبل از بوت). اگر از USB استفاده می‌کنید، ترتیب بوت را در تنظیمات BIOS/UEFI خود تغییر دهید تا رایانه شما بتواند از درایو USB بوت شود. سعی نکنید از آن درایو USB بوت کنید.در طول فرآیند، تا زمانی که همه چیز تمام نشده است، درایو USB را جدا نکنید.

قبل از رمزگذاری، BitLocker می‌تواند یک عملیات را انجام دهد «آزمایش سیستم» برای تأیید اینکه می‌توانید در هنگام راه‌اندازی به کلید دسترسی داشته باشید، این کار را انجام دهید. اگر با نمایش پیام بوت ناموفق بود، ترتیب بوت و گزینه‌های امنیتی (بوت امن و غیره) را بررسی کنید و دوباره امتحان کنید.

BitLocker To Go: محافظت از درایوهای USB و هارد دیسک‌های اکسترنال

دستگاه خارجی را وصل کنید، روی درایو در فایل اکسپلورر کلیک راست کنید و «روشن کردن BitLocker» را انتخاب کنید. یک رمز عبور تنظیم کنید و کلید بازیابی را ذخیره کنید. می‌توانید برای فعال کردن باز کردن خودکار قفل، گزینه «دیگر در این رایانه سؤال نشود» را علامت بزنید. در رایانه‌های دیگر، رمز عبور پس از اتصال درخواست خواهد شد قبل از اینکه بتوانید محتوای آن را بخوانید.

در سیستم‌های بسیار قدیمی (ویندوز XP/ویستا)، هیچ پشتیبانی بومی برای باز کردن قفل وجود ندارد، اما مایکروسافت «BitLocker To Go Reader» را برای دسترسی فقط خواندنی در درایوهای با فرمت FAT منتشر کرد. اگر قصد دارید از سازگاری با نسخه‌های قبلی استفاده کنید، استفاده از حالت رمزگذاری «سازگار» در دستیار.

الگوریتم و قدرت رمزگذاری، و تأثیر آنها بر عملکرد

به طور پیش‌فرض، BitLocker از XTS-AES با کلید ۱۲۸ بیتی در درایوهای داخلی و AES-CBC 128 در درایوهای خارجی استفاده می‌کند. می‌توانید رمزگذاری را به ۲۵۶ بیت افزایش دهید یا الگوریتم را در تنظیمات تنظیم کنید: 'BitLocker Drive Encryption' > 'Choose encryption method and strength…'. بسته به نسخه ویندوز، این بر اساس نوع درایو (boot، data، removable) تقسیم می‌شود. XTS-AES مورد توصیه شده است برای استحکام و عملکرد.

با پردازنده‌های مدرن (AES-NI)، تأثیر معمولاً حداقل است، اما مواردی وجود دارد که عملکرد کاهش می‌یابد، به خصوص در برخی از SSDها با ویندوز 11 پرو، زمانی که BitLocker از طریق نرم‌افزار روی درایوهایی با رمزگذاری سخت‌افزاری اعمال می‌شود. در مدل‌های خاص (به عنوان مثال، Samsung 990 Pro 4TB) تا 45٪ عملکرد کمتر در خواندن‌های تصادفی اندازه‌گیری شده است. اگر متوجه افت شدید شدید، می‌توانید: ۱) غیرفعال کردن بیت‌لاکر در آن حجم (به خطر انداختن امنیت) یا ۲) اگر قابل اعتماد باشد، رمزگذاری سخت‌افزاری خود SSD را مجدداً نصب و اجباری کنید (فرآیند پیچیده‌تری است و به سازنده بستگی دارد).

به یاد داشته باشید که رمزگذاری قوی‌تر (۲۵۶ بیت) به معنای بار کمی بیشتر است، اما در تجهیزات فعلی این تفاوت معمولاً قابل مدیریت است. ایمنی را در اولویت قرار دهید اگر با داده‌های حساس یا تحت نظارت سروکار دارید.

کلیدهای بازیابی: محل ذخیره و نحوه استفاده از آنها

همیشه هنگام فعال کردن BitLocker، یک کلید بازیابی ایجاد و ذخیره کنید. گزینه‌های موجود: «ذخیره در حساب مایکروسافت شما» (دسترسی متمرکز)، «ذخیره در فلش درایو USB»، «ذخیره در یک فایل» یا «چاپ کلید». این کلید یک کد ۴۸ رقمی است که به شما امکان می‌دهد در صورت فراموش کردن رمز عبور یا ...، حساب خود را باز کنید. اگر BitLocker یک ناهنجاری بوت را تشخیص دهد روی واحد سیستم

اگر چندین درایو را رمزگذاری کنید، هر کلید یک شناسه منحصر به فرد خواهد داشت. نام فایل کلید معمولاً شامل یک GUID است که BitLocker هنگام بازیابی از شما درخواست می‌کند. برای مشاهده کلیدهای ذخیره شده در حساب مایکروسافت خود، هنگام ورود به سیستم، به onedrive.live.com/recoverykey مراجعه کنید. از ذخیره کلیدها در همان درایو رمزگذاری شده خودداری کنید و نسخه‌های آفلاین را نگه دارید.

BitLocker یکپارچه‌سازی می‌کند کنسول مدیریتی جایی که می‌توانید: رمز عبور را تغییر دهید، اقدامات امنیتی (رمز عبور، PIN+TPM، کارت هوشمند) را اضافه یا حذف کنید، کلید بازیابی را دوباره تولید کنید و رمزگذاری را وقتی دیگر به آن نیازی ندارید غیرفعال کنید.

فایل‌های ISO محافظت‌شده با رمز عبور: جایگزین‌های قابل اعتماد در ویندوز ۱۱

ویندوز فایل ISO با رمز عبور را به صورت پیش‌فرض ارائه نمی‌دهد. برخی از ابزارها فایل‌ها را به فرمت‌های خودشان تبدیل می‌کنند (مانند '.DAA' در PowerISO)، که اگر نیاز به نگه داشتن فایل '.ISO' دارید، ایده‌آل نیست. در عوض، یک کانتینر رمزگذاری شده با VeraCrypt و آن را بر اساس تقاضا نصب کنید: به عنوان یک «درایو مجازی» محافظت شده با رمز عبور کار می‌کند و قابل حمل است.

اگر می‌خواهید چیزی سبک برای اشتراک‌گذاری داشته باشید، بایگانی‌کننده‌های مدرن امکان رمزگذاری با AES را فراهم می‌کنند: با استفاده از ابزارهایی مانند 7-Zip یا WinRAR، یک بایگانی با پسوند '.zip' یا '.7z' محافظت‌شده با رمز عبور ایجاد کنید و گزینه رمزگذاری نام فایل‌ها را انتخاب کنید. برای درایوهای خارجی، BitLocker To Go روش پیشنهادی در ویندوز پرو است؛ در ویندوز هوم، VeraCrypt کاملاً به هدف خود عمل می‌کند..

با توجه به تمام موارد فوق، می‌توانید تصمیم بگیرید که آیا یک پوشه را با EFS، کل درایو را با BitLocker رمزگذاری کنید یا یک کانتینر با ... ایجاد کنید. وراکریپتنکته‌ی کلیدی این است که روشی را انتخاب کنید که با نسخه و سخت‌افزار ویندوز شما سازگار باشد، کلید بازیابی را ایمن نگه دارید و الگوریتم/طول را مطابق با اولویت‌های خود تنظیم کنید. اگر به این سه نکته توجه کنید، بدون اینکه زندگی‌تان را پیچیده کنید، از داده‌هایتان محافظت خواهید کرد..