Kako šifrirati mapu pomoću BitLockera i alternative u sustavu Windows

Zaštita onoga što pohranjujete na računalu nije opcionalna: ona je bitna. Windows nudi više slojeva sigurnosti kako bi spriječio neovlašteni pristup vašim podacima, bez obzira je li vaše računalo ukradeno ili mu netko pokušava pristupiti s drugog sustava. Pomoću ugrađenih alata (na primjer, možete šifrirati mapu pomoću BitLockera) možete... Šifriranje datoteka, mapa, cijelih diskova i vanjskih uređaja sa samo nekoliko klikova.

U ovom vodiču pronaći ćete sve što vam je potrebno za šifriranje mape pomoću BitLockera i drugih alternativa. Vidjet ćete koje vam je izdanje sustava Windows potrebno, kako provjeriti ima li vaše računalo TPM, kako koristiti EFS za pojedinačne stavke i Kako stvoriti i pravilno spremiti ključ za oporavakTakođer objašnjavam što učiniti ako nemate TPM, koji algoritam i duljinu ključa odabrati, moguće utjecaje na performanse i koje su opcije dostupne ako tražite nešto poput spremnika/ISO-a zaštićenog lozinkom.

Koje opcije šifriranja nudi Windows i po čemu se razlikuju?

U sustavu Windows postoje tri pristupa:

• šifriranje uređajaAutomatski aktivira zaštitu ako vaš hardver ispunjava određene zahtjeve i povezuje ključ za oporavak s vašim Microsoft računom nakon vaše prve prijave. Obično je dostupan čak i na Windows Home, ali ne na svim računalima.
• BitLocker, Dostupno u izdanjima Pro, Enterprise i Education, ovo je potpuno šifriranje diska za sistemski pogon i ostale interne ili eksterne pogone (BitLocker To Go). Njegova glavna prednost je što štiti cijeli volumen od početka do kraja.
• EFS (Šifrirni datotečni sustav), Dizajniran za pojedinačne datoteke i mape, povezan je s vašim korisničkim računom, tako da ih samo osoba koja ih šifrira može otvoriti iz istog profila. Idealan je za nekoliko osjetljivih dokumenata, ali ne zamjenjuje BitLocker za sveobuhvatnu zaštitu.

Kako saznati podržava li vaš uređaj šifriranje uređaja i TPM

Za provjeru kompatibilnosti 'šifriranja uređaja', idite na Start, potražite 'Informacije o sustavu', kliknite desnom tipkom miša i otvorite 'Pokreni kao administrator'. U 'Sažetku sustava' pronađite unos 'Podrška za šifriranje uređaja'. Ako vidite 'Ispunjava preduvjete', spremni ste; ako vidite poruke poput 'TPM se ne može koristiti', 'WinRE nije konfiguriran' ili 'PCR7 vezanje nije podržano'Morat ćete ispraviti te točke (aktivirati TPM/Secure Boot, konfigurirati WinRE, odspojiti vanjske priključne stanice ili grafičke kartice prilikom pokretanja itd.).

Za potvrdu prisutnosti TPM-a: Pritisnite Windows + X, idite na 'Upravitelj uređaja' i pod 'Sigurnosni uređaji' potražite 'Trusted Platform Module (TPM)' verzije 1.2 ili novije. Također možete pokrenuti 'tpm.msc' pomoću Windows + R. BitLocker najbolje radi s TPM-omAli dalje ćete vidjeti kako ga aktivirati bez tog čipa.

Šifriranje datoteka i mapa pomoću EFS-a (Windows Pro/Enterprise/Education)

Ako želite zaštititi samo određenu mapu ili nekoliko datoteka, EFS je brz i jednostavan. Desnom tipkom miša kliknite stavku, idite na 'Svojstva' i kliknite 'Napredno'. Označite 'Šifriraj sadržaj radi zaštite podataka' i potvrdite. Ako šifrirate mapu, sustav će vas pitati želite li primijeniti promjenu samo na mapu ili i na njezine podmape i datoteke. Odaberite opciju koja najbolje odgovara vašim potrebama..

Nakon aktivacije, na ikoni ćete vidjeti mali lokot. EFS šifrira za trenutnog korisnika; ako kopirate tu datoteku na drugo računalo ili je pokušate otvoriti s drugog računa, neće biti čitljiva. Budite oprezni s privremenim datotekama (na primjer, iz aplikacija poput Worda ili Photoshopa): ako korijenska mapa nije šifrirana, mrvice bi mogle ostati nezaštićeneZato se preporučuje šifriranje cijele mape koja sadrži vaše dokumente.

Preporučuje se: napravite sigurnosnu kopiju certifikata za šifriranje. Windows će vas zatražiti da "sada napravite sigurnosnu kopiju ključa". Slijedite čarobnjaka za izvoz certifikata, spremite ključ na USB pogon i zaštitite ga jakom lozinkom. Ako ponovno instalirate Windows ili promijenite korisnika, a niste izvezli ključ, mogli biste izgubiti pristup..

Za dešifriranje ponovite postupak: svojstva, napredno, Poništite odabir opcije "Šifriraj sadržaj radi zaštite podataka" I primjenjuje se. Ponašanje u sustavu Windows 11 je identično, tako da je postupak korak po korak isti.

Šifriranje mape pomoću BitLockera (Windows Pro/Enterprise/Education)

BitLocker šifrira cijele volumene, interne ili eksterne. U Exploreru datoteka desnom tipkom miša kliknite pogon koji želite zaštititi i odaberite 'Uključi BitLocker'. Ako se opcija ne pojavi, vaša verzija sustava Windows je ne uključuje. Ako primite upozorenje o nedostajućem TPM-u, Ne brinite, može se koristiti bez TPM-aTo samo zahtijeva prilagodbu politike koju ću objasniti odmah nakon toga.

Asistent će vas pitati kako otključati pogon: lozinkom ili pametnom karticom. Najbolje je koristiti lozinku s dobrom entropijom (velika slova, mala slova, brojevi i simboli). Zatim odaberite gdje ćete spremiti ključ za oporavak: na Microsoftov račun, na USB pogon, u datoteku ili ga ispisati. Spremi na Microsoftov račun Vrlo je praktično (pristup putem onedrive.live.com/recoverykey), ali uz njega priložite i dodatnu izvanmrežnu kopiju.

U sljedećem koraku odlučite hoćete li šifrirati samo korišteni prostor ili cijeli disk. Prva opcija je brža za nove diskove; za prethodno korištena računala bolje je šifrirati cijeli disk kako biste zaštitili izbrisane podatke koji se još uvijek mogu oporaviti. Veća sigurnost znači više početnog vremena..

Na kraju odaberite način šifriranja: 'novo' za moderne sustave ili 'kompatibilno' ako premještate pogon između računala sa starijim verzijama sustava Windows. 'Pokreni BitLocker provjeru sustava' I nastavlja se. Ako je riječ o sistemskom pogonu, računalo će se ponovno pokrenuti i prilikom pokretanja zatražiti vašu BitLocker lozinku; ako je riječ o podatkovnom pogonu, šifriranje će započeti u pozadini i možete nastaviti raditi.

Ako se predomislite, u Exploreru desnom tipkom miša kliknite šifrirani pogon i idite na 'Upravljanje BitLockerom' da biste onemogućili, promijenili lozinku, regenerirali ključ za oporavak ili omogućili automatsko otključavanje na tom računalu. BitLocker ne radi bez barem jedne metode autentifikacije.

Korištenje BitLockera bez TPM-a: Grupne politike i mogućnosti pokretanja

Ako nemate TPM, otvorite Uređivač lokalnih grupnih pravila s 'gpedit.msc' (Windows + R) i idite na 'Konfiguracija računala' > 'Administrativni predlošci' > 'Komponente sustava Windows' > 'BitLocker šifriranje pogona' > 'Pogoni operativnog sustava'. Otvorite 'Zahtijeva dodatnu provjeru autentičnosti pri pokretanju' i postavite je na 'Omogućeno'. Označite okvir pored 'Dopusti BitLocker bez kompatibilnog TPM-a'. Primijenite promjene i pokrenite 'gpupdate /target:Computer /force' prisiliti na njegovu primjenu.

Kada pokrenete čarobnjak za BitLocker na sistemskom disku, ponudit će dvije metode: 'Umetnite USB flash pogon' (ovo će spremiti .BEK ključ za pokretanje koji se mora spojiti pri svakom pokretanju) ili 'Unesite lozinku' (PIN/lozinka prije pokretanja). Ako koristite USB, promijenite redoslijed pokretanja u postavkama BIOS-a/UEFI-ja kako bi se računalo moglo pokrenuti s USB pogona. Ne pokušavajte pokrenuti sustav s tog USB pogona.Tijekom procesa nemojte vaditi USB pogon dok sve ne bude završeno.

Prije šifriranja, BitLocker može izvršiti 'test sustava' kako biste potvrdili da ćete moći pristupiti ključu tijekom pokretanja. Ako ne uspije s porukom o pokretanju, provjerite redoslijed pokretanja i sigurnosne opcije (Secure Boot itd.) i pokušajte ponovno.

BitLocker To Go: Zaštitite USB pogone i vanjske tvrde diskove

Spojite vanjski uređaj, desnom tipkom miša kliknite pogon u programu File Explorer i odaberite 'Uključi BitLocker'. Postavite lozinku i spremite ključ za oporavak. Možete označiti 'Ne pitaj više na ovom računalu' kako biste omogućili automatsko otključavanje. Na drugim računalima, Lozinka će biti zatražena prilikom povezivanja prije nego što bude moguće pročitati njegov sadržaj.

Na vrlo starim sustavima (Windows XP/Vista) ne postoji izvorna podrška za otključavanje, ali Microsoft je izdao 'BitLocker To Go Reader' za pristup samo za čitanje na diskovima formatiranim FAT-om. Ako planirate unatrag kompatibilnost, razmislite o korištenju 'kompatibilni' način šifriranja u čarobnjaku.

Algoritam i snaga šifriranja te njihov utjecaj na performanse

Prema zadanim postavkama, BitLocker koristi XTS-AES s 128-bitnim ključem na unutarnjim diskovima i AES-CBC 128 na vanjskim diskovima. Šifriranje možete povećati na 256 bitova ili prilagoditi algoritam u postavkama: 'BitLocker šifriranje pogona' > 'Odaberite metodu i jačinu šifriranja…'. Ovisno o verziji sustava Windows, ovo je podijeljeno prema vrsti pogona (pokretački, podatkovni, prijenosni). XTS-AES je preporučeni za robusnost i performanse.

S modernim CPU-ima (AES-NI), utjecaj je obično minimalan, ali postoje slučajevi pada performansi, posebno na određenim SSD-ovima sa sustavom Windows 11 Pro kada se BitLocker provodi putem softvera na diskovima s hardverskom enkripcijom. Do 45% manje performansi izmjereno je u nasumičnim čitanjima na određenim modelima (na primjer, Samsung 990 Pro 4TB). Ako primijetite ozbiljnu degradaciju, možete: 1) Onemogućite BitLocker u tom volumenu (žrtvujući sigurnost) ili 2) ponovno instalirati i prisiliti hardversko šifriranje samog SSD-a ako je pouzdano (složeniji proces i ovisi o proizvođaču).

Imajte na umu da jača enkripcija (256 bita) znači nešto veće opterećenje, ali na trenutnoj opremi razlika je obično prihvatljiva. Dajte prioritet sigurnosti ako rukujete osjetljivim ili reguliranim podacima.

Ključevi za oporavak: gdje ih pohraniti i kako ih koristiti

Uvijek stvorite i spremite ključ za oporavak kada omogućite BitLocker. Dostupne opcije: 'Spremi na svoj Microsoft račun' (centralizirani pristup), 'Spremi na USB izbrisivi memorijski pogon', 'Spremi u datoteku' ili 'Ispis ključa'. Ključ je 48-znamenkasti kod koji vam omogućuje otključavanje računa ako zaboravite lozinku ili ako BitLocker otkrije anomaliju pri pokretanju na sistemskoj jedinici.

Ako šifrirate više pogona, svaki ključ imat će jedinstveni identifikator. Naziv datoteke ključa obično uključuje GUID koji će BitLocker tražiti tijekom oporavka. Da biste pregledali ključeve spremljene na vaš Microsoft račun, posjetite onedrive.live.com/recoverykey dok ste prijavljeni. Izbjegavajte pohranjivanje ključeva na istom šifriranom disku i čuvajte kopije izvan mreže.

BitLocker integrira upravljačka konzola gdje možete: promijeniti lozinku, dodati ili ukloniti sigurnosne mjere (lozinka, PIN+TPM, pametna kartica), regenerirati ključ za oporavak i onemogućiti šifriranje kada vam više nije potrebno.

ISO datoteke zaštićene lozinkom: pouzdane alternative u sustavu Windows 11

Windows ne nudi izvornu 'ISO datoteku zaštićenu lozinkom'. Neki uslužni programi pretvaraju u vlastite formate (poput '.DAA' u PowerISO-u), što nije idealno ako trebate zadržati '.ISO' datoteku. Umjesto toga, stvorite šifrirani spremnik s VeraCryptom i montirajte ga na zahtjev: radi kao 'virtualni pogon' zaštićen lozinkom i prenosiv je.

Ako želite nešto lagano za dijeljenje, moderni arhiveri omogućuju šifriranje s AES-om: stvorite '.zip' ili '.7z' arhivu zaštićenu lozinkom pomoću alata poput 7-Zip-a ili WinRAR-a i odaberite opciju šifriranja naziva datoteka. Za vanjske pogone, BitLocker To Go je preporučena metoda u sustavu Windows Pro; u sustavu Home, VeraCrypt savršeno ispunjava svoju svrhu..

Uz sve navedeno, možete odlučiti hoćete li šifrirati mapu s EFS-om, cijeli pogon s BitLockerom ili stvoriti spremnik s VeraCryptKljučno je odabrati metodu koja odgovara vašem izdanju sustava Windows i hardveru, čuvati ključ za oporavak na sigurnom i prilagoditi algoritam/duljinu prema svojim prioritetima. Ako se pobrinete za te tri točke, vaši će podaci biti zaštićeni bez kompliciranja života..