- Világos különbség az EFS, a BitLocker és az eszköztitkosítás között, és hogy mikor melyiket kell használni.
- Legfontosabb ellenőrzések: TPM, Secure Boot, WinRE és hardverkompatibilitás titkosítás előtt.
- A helyreállítási kulcsok és a BitLocker-védők biztonságos kezelése meghajtókon és USB-meghajtókon.
- Módosítsa az algoritmus/intenzitás beállításait, ha teljesítménybeli változást észlel az SSD-n.
A számítógépen tárolt adatok védelme nem opcionális: elengedhetetlen. A Windows többrétegű biztonságot kínál az adatokhoz való jogosulatlan hozzáférés megakadályozására, függetlenül attól, hogy a számítógépet ellopják, vagy valaki egy másik rendszerről próbálja meg elérni. A beépített eszközökkel (például titkosíthat egy mappát a BitLockerrel)... Fájlok, mappák, teljes meghajtók és külső eszközök titkosítása mindössze néhány kattintással.
Ebben az útmutatóban mindent megtalál, amire szüksége van egy mappa BitLockerrel és más alternatívákkal történő titkosításához. Láthatja, hogy a Windows melyik kiadására van szüksége, hogyan ellenőrizheti, hogy a számítógépén van-e TPM, hogyan használhatja az EFS-t egyes elemekhez, és A helyreállítási kulcs létrehozása és megfelelő mentéseAzt is elmagyarázom, mit kell tenni, ha nincs TPM-ed, melyik algoritmust és kulcshosszt válaszd, milyen lehetséges teljesítményhatások vannak, és milyen lehetőségek állnak rendelkezésre, ha valami olyasmit keresel, mint egy jelszóval védett konténer/ISO.
Milyen titkosítási lehetőségeket kínál a Windows, és miben különböznek ezek?
A Windowsban három megközelítés létezik egyszerre:
- eszköz titkosításaAutomatikusan aktiválja a védelmet, ha a hardver megfelel bizonyos követelményeknek, és az első bejelentkezés után összekapcsolja a helyreállítási kulcsot a Microsoft-fiókjával. Általában Windows Home rendszeren is elérhető, de nem minden számítógépen.
- BitLocker, A Pro, Enterprise és Education kiadásokban elérhető teljes lemeztitkosítás a rendszermeghajtóra és más belső vagy külső meghajtókra (BitLocker To Go). Fő előnye, hogy a teljes kötetet végponttól végpontig védi.
- EFS (Titkosító fájlrendszer), Egyedi fájlok és mappák titkosításához tervezték, és a felhasználói fiókodhoz van csatolva, így csak az a személy tudja megnyitni őket ugyanabból a profilból, aki titkosítja őket. Ideális néhány bizalmas dokumentumhoz, de nem helyettesíti a BitLockert az átfogó védelem érdekében.
Hogyan állapítható meg, hogy az eszköz támogatja-e az eszköztitkosítást és a TPM-et?
Az „eszköztitkosítás” kompatibilitásának ellenőrzéséhez lépjen a Start menübe, keresse meg a „Rendszerinformáció” kifejezést, kattintson rá jobb gombbal, és válassza a „Futtatás rendszergazdaként” lehetőséget. A „Rendszerösszefoglaló” részben keresse meg az „Eszköztitkosítás-támogatás” bejegyzést. Ha a „Megfelel az előfeltételeknek” üzenetet látja, akkor minden készen áll; ha olyan üzeneteket lát, mint a „TPM nem használható”, „A WinRE nincs konfigurálva” vagy „A PCR7 kötés nem támogatott”Ezeket a pontokat ki kell javítani (aktiválni a TPM/Secure Boot-ot, konfigurálni a WinRE-t, leválasztani a külső dokkolóegységeket vagy grafikus kártyákat indításkor stb.).
A TPM jelenlétének ellenőrzéséhez nyomja meg a Windows + X billentyűkombinációt, lépjen az „Eszközkezelő” menüpontra, és a „Biztonsági eszközök” alatt keresse meg az 1.2-es vagy újabb verziójú „Trusted Platform Module (TPM)” elemet. A „tpm.msc” fájlt a Windows + R billentyűkombinációval is futtathatja. A BitLocker a TPM-mel működik a legjobbanDe lejjebb megtudhatod, hogyan lehet aktiválni chip nélkül.
Fájlok és mappák titkosítása EFS-sel (Windows Pro/Enterprise/Education)
Ha csak egy adott mappát vagy néhány fájlt szeretne védeni, az EFS gyors és egyszerű. Kattintson a jobb gombbal az elemre, lépjen a „Tulajdonságok” menüpontra, majd kattintson a „Speciális” gombra. Jelölje be a „Tartalom titkosítása az adatok védelme érdekében” jelölőnégyzetet, és erősítse meg. Ha titkosít egy mappát, a rendszer megkérdezi, hogy csak a mappára szeretné-e alkalmazni a módosítást, vagy az almappáira és fájljaira is. Válassza ki az igényeinek leginkább megfelelő lehetőséget..
Aktiválás után egy kis lakat jelenik meg az ikonon. Az EFS az aktuális felhasználó számára titkosít; ha a fájlt egy másik számítógépre másolja, vagy egy másik fiókból próbálja megnyitni, akkor nem lesz olvasható. Legyen óvatos az ideiglenes fájlokkal (például olyan alkalmazásokból, mint a Word vagy a Photoshop): ha a gyökérmappa nincs titkosítva, a morzsák védtelenül maradhatnakEzért ajánlott titkosítani a dokumentumokat tartalmazó teljes mappát.
Erősen ajánlott: készítsen biztonsági másolatot a titkosítási tanúsítványáról. A Windows felszólítja a „kulcs biztonsági mentése most” lehetőségre. Kövesse a tanúsítvány exportálása varázsló utasításait, mentse a kulcsot egy USB-meghajtóra, és védje erős jelszóval. Ha újratelepíti a Windows rendszert vagy felhasználót vált, és nem exportálja a kulcsot, elveszítheti a hozzáférést..
A visszafejtéshez ismételje meg a folyamatot: tulajdonságok, speciális, Törölje a jelölést a „Tartalom titkosítása az adatok védelme érdekében” jelölőnégyzetből. És ez így is van. A Windows 11 működése megegyezik, így a lépésenkénti folyamat is ugyanaz.
Mappa titkosítása BitLockerrel (Windows Pro/Enterprise/Education)
A BitLocker teljes köteteket titkosít, legyenek azok belsőek vagy külsők. A Fájlkezelőben kattintson jobb gombbal a védeni kívánt meghajtóra, és válassza a „BitLocker bekapcsolása” lehetőséget. Ha a lehetőség nem jelenik meg, a Windows verziója nem tartalmazza. Ha figyelmeztetést kap a hiányzó TPM-ről, Ne aggódj, TPM nélkül is használható.Csupán egy irányelv-módosítást igényel, amit rögtön utána kifejtek.
Az asszisztens megkérdezi, hogyan oldhatja fel a meghajtót: jelszóval vagy intelligens kártyával. A legjobb, ha jó entrópiájú jelszót használ (nagybetűk, kisbetűk, számok és szimbólumok). Ezután válassza ki, hová menti a helyreállítási kulcsot: a Microsoft-fiókjába, USB-meghajtóra, fájlba vagy nyomtassa ki. Mentés Microsoft-fiókba Nagyon praktikus (hozzáférés a onedrive.live.com/recoverykey oldalon), de érdemes egy offline példányt is mellékelni hozzá.
A következő lépésben döntse el, hogy csak a használt területet vagy a teljes meghajtót titkosítja-e. Az első lehetőség gyorsabb az új meghajtók esetében; korábban használt számítógépek esetében jobb, ha a teljes meghajtót titkosítja, hogy megvédje a törölt adatokat, amelyek még helyreállíthatók. A nagyobb biztonság több kezdeti időt jelent..
Végül válassza ki a titkosítási módot: „új” modern rendszerekhez, vagy „kompatibilis”, ha a meghajtót régebbi Windows verziókat futtató számítógépek között helyezi át. „BitLocker rendszerellenőrzés futtatása” És ez folytatódik. Ha a rendszermeghajtóról van szó, a számítógép újraindul, és indításkor kéri a BitLocker jelszavát; ha adatmeghajtóról van szó, a titkosítás a háttérben indul el, és folytathatja a munkát.
Ha meggondolja magát, az Intézőben kattintson jobb gombbal a titkosított meghajtóra, és válassza a „BitLocker kezelése” lehetőséget a letiltáshoz, a jelszó módosításához, a helyreállítási kulcs újragenerálásához vagy az automatikus feloldás engedélyezéséhez az adott számítógépen. A BitLocker nem működik legalább egy hitelesítési módszer nélkül.
BitLocker használata TPM nélkül: Csoportházirend és indítási beállítások
Ha nincs TPM-ed, nyisd meg a Helyi csoportházirend-szerkesztőt a „gpedit.msc” paranccsal (Windows + R), és lépj a „Számítógép konfigurációja” > „Felügyeleti sablonok” > „Windows-összetevők” > „BitLocker meghajtótitkosítás” > „Operációs rendszer meghajtói” menüpontra. Nyisd meg a „További hitelesítés kérése indításkor” beállítást, és állítsd „Engedélyezve” értékre. Jelöld be a „BitLocker engedélyezése kompatibilis TPM nélkül” melletti négyzetet. Alkalmazd a módosításokat, és futtasd a 'gpupdate /target:Computer /force' parancsot alkalmazásának kikényszerítésére.
Amikor elindítja a BitLocker varázslót a rendszerlemezen, két módszert kínál fel: „Helyezzen be egy USB flash meghajtót” (ez egy .BEK rendszerindító kulcsot ment, amelyet minden indításkor csatlakoztatni kell) vagy „Írja be a jelszót” (indítás előtti PIN-kód/jelszó). Ha USB-t használ, módosítsa a rendszerindítási sorrendet a BIOS/UEFI beállításokban, hogy a számítógép az USB-meghajtóról tudjon indulni. Ne próbálj meg arról az USB meghajtóról bootolni.A folyamat során ne távolítsa el az USB-meghajtót, amíg minden be nem fejeződik.
Titkosítás előtt a BitLocker végrehajthat egy „rendszerteszt” ... gombra a kulcs eléréséhez indításkor. Ha a hiba indítási üzenettel meghiúsul, ellenőrizze a rendszerindítási sorrendet és a biztonsági beállításokat (Biztonságos rendszerindítás stb.), és próbálja újra.
BitLocker To Go: Védje az USB-meghajtókat és a külső merevlemezeket
Csatlakoztassa a külső eszközt, kattintson jobb gombbal a meghajtóra a Fájlkezelőben, és válassza a „BitLocker bekapcsolása” lehetőséget. Állítson be jelszót, és mentse el a helyreállítási kulcsot. Az automatikus feloldás engedélyezéséhez bejelölheti a „Ne kérdezze meg újra ezen a számítógépen” jelölőnégyzetet. Más számítógépeken Csatlakozáskor a jelszót kérni fogják mielőtt elolvashatta volna a tartalmát.
Nagyon régi rendszereken (Windows XP/Vista) nincs beépített támogatás a feloldáshoz, de a Microsoft kiadta a „BitLocker To Go Reader” alkalmazást, amely csak olvasható hozzáférést biztosít FAT formátumú meghajtókon. Ha visszafelé kompatibilitást tervez, érdemes megfontolni a következő használatát: „kompatibilis” titkosítási mód az asszisztensben.
Titkosítási algoritmus és erőssége, valamint ezek hatása a teljesítményre
Alapértelmezés szerint a BitLocker XTS-AES titkosítást használ 128 bites kulccsal a belső meghajtókon, és AES-CBC 128-at a külső meghajtókon. A titkosítást 256 bitre növelheti, vagy módosíthatja az algoritmust a beállításokban: „BitLocker meghajtótitkosítás” > „Titkosítási módszer és erősség kiválasztása…”. A Windows verziójától függően ez meghajtótípus szerint van felosztva (rendszerindító, adat, cserélhető). Az XTS-AES az ajánlott a robusztusság és a teljesítmény érdekében.
Modern CPU-k (AES-NI) esetén a hatás általában minimális, de vannak olyan esetek, amikor a teljesítmény csökken, különösen bizonyos Windows 11 Pro rendszerű SSD-ken, amikor a BitLocker szoftveresen érvényesül hardveres titkosítással rendelkező meghajtókon. Egyes modelleken (például a Samsung 990 Pro 4TB) véletlenszerű olvasások során akár 45%-kal kisebb teljesítményt is mértek. Ha súlyos romlást észlel, a következőket teheti: 1) Tiltsa le a BitLockert abban a kötetben (feláldozva a biztonságot), vagy 2) újratelepíteni és hardveres titkosítást kikényszeríteni magának az SSD-nek, ha az megbízható (összetettebb folyamat és a gyártótól függ).
Ne feledd, hogy az erősebb titkosítás (256 bit) valamivel nagyobb terhelést jelent, de a jelenlegi eszközökön a különbség általában kezelhető. A biztonság előtérbe helyezése ha érzékeny vagy szabályozott adatokat kezel.
Helyreállító kulcsok: hol tároljuk őket és hogyan használjuk őket
Mindig hozzon létre és mentsen el egy helyreállítási kulcsot, amikor engedélyezi a BitLockert. Elérhető lehetőségek: „Mentés Microsoft-fiókjába” (központosított hozzáférés), „Mentés USB flash meghajtóra”, „Mentés fájlba” vagy „Kulcs nyomtatása”. A kulcs egy 48 jegyű kód, amely lehetővé teszi a fiók feloldását, ha elfelejti jelszavát, vagy ha a BitLocker rendszerindítási rendellenességet észlel a rendszeregységen.
Ha több meghajtót titkosít, minden kulcs egyedi azonosítót kap. A kulcsfájl neve általában tartalmaz egy GUID-ot, amelyet a BitLocker a helyreállítás során kér. A Microsoft-fiókjába mentett kulcsok megtekintéséhez látogasson el a onedrive.live.com/recoverykey oldalra, miután bejelentkezett. Kerülje a kulcsok ugyanazon a titkosított meghajtón való tárolását és offline másolatokat is őrizzen meg.
A BitLocker integrálja a következőket: kezelőkonzol ahol a következőket teheti: jelszó módosítása, biztonsági intézkedések (jelszó, PIN+TPM, intelligens kártya) hozzáadása vagy eltávolítása, helyreállítási kulcs újragenerálása, és a titkosítás letiltása, ha már nincs rá szüksége.
Jelszóval védett ISO-k: megbízható alternatívák a Windows 11-ben
A Windows nem kínál natív „jelszóval védett ISO” fájlt. Néhány segédprogram a saját formátumára konvertálja a fájlokat (például „.DAA” a PowerISO-ban), ami nem ideális, ha meg kell őrizni az „.ISO” fájlt. Ehelyett hozzon létre egy titkosított konténer VeraCrypt segítségével és igény szerint csatlakoztatható: jelszóval védett „virtuális meghajtóként” működik, és hordozható.
Ha valami könnyű megosztásra vágysz, a modern archiválóprogramok lehetővé teszik az AES titkosítást: hozz létre egy jelszóval védett „.zip” vagy „.7z” archívumot olyan eszközökkel, mint a 7-Zip vagy a WinRAR, és válaszd ki a fájlnevek titkosításának lehetőségét. Külső meghajtók esetén a BitLocker To Go az ajánlott módszer Windows Pro rendszerben; Home rendszerben A VeraCrypt tökéletesen betölti a célját..
A fentiek alapján eldöntheti, hogy egy mappát titkosít-e EFS-sel, egy egész meghajtót BitLockerrel, vagy létrehoz egy konténert a következővel: VeraCryptA lényeg, hogy a Windows kiadásodnak és hardverednek megfelelő módszert válaszd, a helyreállítási kulcsot biztonságban tartsd, és az algoritmust/hosszúságot a prioritásaidnak megfelelően állítsd be. Ha ezt a három pontot figyelembe veszed, adataid védve lesznek anélkül, hogy bonyolítanád az életedet..
Technológiára és internetes kérdésekre szakosodott szerkesztő, több mint tíz éves tapasztalattal a különböző digitális médiában. Szerkesztőként és tartalomkészítőként dolgoztam e-kereskedelmi, kommunikációs, online marketing és reklámcégeknél. Írtam közgazdasági, pénzügyi és egyéb ágazati weboldalakra is. A munkám egyben a szenvedélyem is. Most a cikkeimen keresztül Tecnobits, Igyekszem minden újdonságot és új lehetőséget feltárni, amit a technológia világa kínál nekünk nap mint nap életünk javítása érdekében.