- Perbedaan yang jelas antara EFS, BitLocker dan enkripsi perangkat, dan kapan harus menggunakan masing-masing.
- Pemeriksaan kunci: TPM, Secure Boot, WinRE dan kompatibilitas perangkat keras sebelum enkripsi.
- Manajemen aman kunci pemulihan dan pelindung BitLocker pada drive dan USB.
- Sesuaikan pengaturan dan opsi algoritma/intensitas jika Anda melihat dampak kinerja pada SSD.
Melindungi data yang Anda simpan di PC bukanlah pilihan: ini penting. Windows menawarkan beberapa lapisan keamanan untuk mencegah akses tidak sah ke data Anda, baik komputer Anda dicuri atau seseorang mencoba mengaksesnya dari sistem lain. Dengan alat bawaan (misalnya, Anda dapat mengenkripsi folder dengan BitLocker), Anda dapat... Enkripsi file, folder, seluruh drive, dan perangkat eksternal hanya dengan beberapa klik.
Dalam panduan ini, Anda akan menemukan semua yang dibutuhkan untuk mengenkripsi folder dengan BitLocker dan alternatif lainnya. Anda akan melihat edisi Windows yang Anda butuhkan, cara memeriksa apakah komputer Anda memiliki TPM, cara menggunakan EFS untuk setiap item, dan Cara membuat dan menyimpan kunci pemulihan dengan benarSaya juga menjelaskan apa yang harus dilakukan jika Anda tidak memiliki TPM, algoritma dan panjang kunci mana yang harus dipilih, kemungkinan dampaknya terhadap kinerja, dan opsi apa yang tersedia jika Anda mencari sesuatu seperti kontainer/ISO yang dilindungi kata sandi.
Pilihan enkripsi apa yang ditawarkan Windows dan apa perbedaannya?
Di Windows, tiga pendekatan hidup berdampingan:
- enkripsi perangkatFitur ini secara otomatis mengaktifkan perlindungan jika perangkat keras Anda memenuhi persyaratan tertentu dan menautkan kunci pemulihan ke akun Microsoft Anda setelah masuk pertama kali. Fitur ini biasanya tersedia bahkan di Windows Home, tetapi tidak di semua komputer.
- BitLocker, Tersedia dalam edisi Pro, Enterprise, dan Education, ini adalah enkripsi disk penuh untuk drive sistem dan drive internal atau eksternal lainnya (BitLocker To Go). Keunggulan utamanya adalah melindungi seluruh volume secara menyeluruh.
- EFS (Sistem Berkas Enkripsi), Dirancang untuk file dan folder individual, layanan ini terhubung ke akun pengguna Anda, sehingga hanya orang yang mengenkripsinya yang dapat membukanya dari profil yang sama. Layanan ini ideal untuk beberapa dokumen sensitif, tetapi tidak menggantikan BitLocker untuk perlindungan komprehensif.
Cara mengetahui apakah perangkat Anda mendukung enkripsi perangkat dan TPM
Untuk memeriksa kompatibilitas 'enkripsi perangkat', buka Mulai, cari 'Informasi Sistem', klik kanan, dan buka 'Jalankan sebagai administrator'. Di 'Ringkasan Sistem', cari entri 'Dukungan enkripsi perangkat'. Jika Anda melihat 'Memenuhi prasyarat', Anda sudah siap; jika Anda melihat pesan seperti 'TPM tidak dapat digunakan', 'WinRE tidak dikonfigurasi' atau 'pengikatan PCR7 tidak didukung'Anda perlu memperbaiki poin-poin tersebut (mengaktifkan TPM/Secure Boot, mengonfigurasi WinRE, melepaskan dok eksternal atau kartu grafis saat melakukan booting, dll.).
Untuk memastikan TPM tersedia: Tekan Windows + X, buka "Device Manager", dan di bawah "Security devices", cari "Trusted Platform Module (TPM)" dengan versi 1.2 atau yang lebih baru. Anda juga dapat menjalankan "tpm.msc" dengan Windows + R. BitLocker bekerja paling baik dengan TPMNamun lebih jauh ke bawah Anda akan melihat cara mengaktifkannya tanpa chip itu.
Enkripsi file dan folder dengan EFS (Windows Pro/Enterprise/Education)
Jika Anda hanya ingin melindungi folder tertentu atau beberapa berkas, EFS cepat dan mudah. Klik kanan item tersebut, buka "Properti", lalu klik "Lanjutan". Centang "Enkripsi konten untuk mengamankan data" dan konfirmasi. Jika Anda mengenkripsi folder, sistem akan menanyakan apakah Anda ingin menerapkan perubahan hanya pada folder tersebut atau juga pada subfolder dan berkasnya. Pilih opsi yang paling sesuai dengan kebutuhan Anda..
Setelah diaktifkan, Anda akan melihat gembok kecil pada ikonnya. EFS mengenkripsi untuk pengguna saat ini; jika Anda menyalin berkas tersebut ke PC lain atau mencoba membukanya dari akun lain, berkas tersebut tidak akan terbaca. Berhati-hatilah dengan berkas sementara (misalnya, dari aplikasi seperti Word atau Photoshop): jika folder root tidak dienkripsi, remah-remahnya bisa dibiarkan tanpa perlindunganItulah mengapa direkomendasikan untuk mengenkripsi seluruh folder yang berisi dokumen Anda.
Sangat disarankan: cadangkan sertifikat enkripsi Anda. Windows akan meminta Anda untuk "mencadangkan kunci Anda sekarang". Ikuti panduan ekspor sertifikat, simpan kunci ke drive USB, dan lindungi dengan kata sandi yang kuat. Jika Anda menginstal ulang Windows atau mengganti pengguna dan tidak mengekspor kunci, Anda mungkin kehilangan akses..
Untuk mendekripsi, ulangi prosesnya: properti, lanjutan, Hapus tanda centang 'Enkripsi konten untuk melindungi data' Dan itu berlaku. Perilaku di Windows 11 identik, jadi proses langkah demi langkahnya sama.
Mengenkripsi folder dengan BitLocker (Windows Pro/Enterprise/Education)
BitLocker mengenkripsi seluruh volume, baik internal maupun eksternal. Di File Explorer, klik kanan drive yang ingin Anda lindungi dan pilih "Aktifkan BitLocker". Jika opsi ini tidak muncul, versi Windows Anda tidak menyediakannya. Jika Anda menerima peringatan tentang TPM yang hilang, Jangan khawatir, ini bisa digunakan tanpa TPMYang dibutuhkan hanyalah penyesuaian kebijakan yang akan saya jelaskan nanti.
Asisten akan menanyakan cara membuka kunci drive: dengan kata sandi atau kartu pintar. Sebaiknya gunakan kata sandi dengan entropi yang baik (huruf besar, huruf kecil, angka, dan simbol). Kemudian, pilih lokasi penyimpanan kunci pemulihan: di akun Microsoft Anda, di drive USB, dalam berkas, atau cetak. Simpan ke akun Microsoft Sangat praktis (akses melalui onedrive.live.com/recoverykey), tetapi sertakan dengan salinan offline tambahan.
Pada langkah berikutnya, tentukan apakah Anda ingin mengenkripsi hanya ruang yang terpakai atau seluruh drive. Opsi pertama lebih cepat untuk drive baru; untuk komputer yang sudah pernah digunakan, lebih baik mengenkripsi seluruh drive untuk melindungi data terhapus yang masih dapat dipulihkan. Keamanan yang lebih tinggi berarti waktu awal yang lebih lama..
Terakhir, pilih mode enkripsi: 'baru' untuk sistem modern atau 'kompatibel' jika Anda memindahkan drive antar PC dengan versi Windows yang lebih lama. 'Jalankan verifikasi sistem BitLocker' Dan begitulah seterusnya. Jika itu drive sistem, komputer akan restart dan meminta kata sandi BitLocker Anda saat startup; jika itu drive data, enkripsi akan dimulai di latar belakang dan Anda dapat melanjutkan bekerja.
Jika Anda berubah pikiran, di Explorer, klik kanan pada drive yang dienkripsi dan buka 'Kelola BitLocker' untuk menonaktifkan, mengubah kata sandi, membuat ulang kunci pemulihan, atau mengaktifkan pembukaan kunci otomatis pada komputer tersebut. BitLocker tidak berfungsi tanpa setidaknya satu metode autentikasi.
Menggunakan BitLocker tanpa TPM: Kebijakan Grup dan Opsi Startup
Jika Anda tidak memiliki TPM, buka Editor Kebijakan Grup Lokal dengan 'gpedit.msc' (Windows + R) dan buka 'Konfigurasi Komputer' > 'Templat Administratif' > 'Komponen Windows' > 'Enkripsi Drive BitLocker' > 'Drive Sistem Operasi'. Buka 'Wajibkan autentikasi tambahan saat startup' dan atur ke 'Aktif'. Centang kotak di samping 'Izinkan BitLocker tanpa TPM yang kompatibel'. Terapkan perubahan dan jalankan 'gpupdate /target:Computer /force' untuk memaksakan penerapannya.
Saat Anda menjalankan wizard BitLocker pada disk sistem Anda, akan ada dua metode yang ditawarkan: "Masukkan flash drive USB" (ini akan menyimpan kunci boot .BEK yang harus dihubungkan setiap kali komputer dinyalakan) atau "Masukkan kata sandi" (PIN/kata sandi pra-boot). Jika Anda menggunakan USB, ubah urutan boot di pengaturan BIOS/UEFI Anda agar komputer Anda dapat boot dari drive USB. Jangan mencoba melakukan booting dari drive USB tersebut.Selama proses berlangsung, jangan cabut drive USB sampai semuanya selesai.
Sebelum melakukan enkripsi, BitLocker dapat melakukan 'uji sistem' untuk mengonfirmasi bahwa Anda dapat mengakses kunci saat memulai. Jika gagal dengan pesan boot, periksa urutan boot dan opsi keamanan (Boot Aman, dll.) lalu coba lagi.
BitLocker To Go: Lindungi drive USB dan hard drive eksternal
Hubungkan perangkat eksternal, klik kanan drive di File Explorer, lalu pilih "Aktifkan BitLocker". Atur kata sandi dan simpan kunci pemulihan. Anda dapat mencentang "Jangan tanya lagi di PC ini" untuk mengaktifkan pembukaan kunci otomatis. Di PC lain, Kata sandi akan diminta saat koneksi sebelum dapat membaca isinya.
Pada sistem yang sangat lama (Windows XP/Vista), tidak ada dukungan bawaan untuk membuka kunci, tetapi Microsoft merilis 'BitLocker To Go Reader' untuk akses baca-saja pada drive berformat FAT. Jika Anda berencana untuk kompatibilitas mundur, pertimbangkan untuk menggunakan mode enkripsi 'kompatibel' dalam wizard.
Algoritma dan kekuatan enkripsi, serta dampaknya terhadap kinerja
Secara default, BitLocker menggunakan XTS-AES dengan kunci 128-bit pada drive internal dan AES-CBC 128 pada drive eksternal. Anda dapat meningkatkan enkripsi menjadi 256 bit atau menyesuaikan algoritmanya di pengaturan: 'Enkripsi Drive BitLocker' > 'Pilih metode dan kekuatan enkripsi…'. Tergantung pada versi Windows, ini dibagi berdasarkan jenis drive (boot, data, dan dapat dilepas). XTS-AES adalah yang direkomendasikan untuk ketahanan dan kinerja.
Dengan CPU modern (AES-NI), dampaknya biasanya minimal, tetapi ada beberapa kasus di mana kinerja menurun, terutama pada SSD tertentu dengan Windows 11 Pro ketika BitLocker diterapkan melalui perangkat lunak pada drive dengan enkripsi perangkat keras. Penurunan kinerja hingga 45% telah diukur dalam pembacaan acak pada model tertentu (misalnya, Samsung 990 Pro 4TB). Jika Anda melihat penurunan yang parah, Anda dapat: 1) Nonaktifkan BitLocker dalam volume tersebut (mengorbankan keamanan) atau 2) menginstal ulang dan memaksakan enkripsi perangkat keras pada SSD itu sendiri jika dapat diandalkan (proses lebih rumit dan bergantung pada produsen).
Ingat bahwa enkripsi yang lebih kuat (256 bit) berarti beban yang sedikit lebih tinggi, tetapi pada peralatan saat ini perbedaannya biasanya dapat dikelola. Utamakan keselamatan jika Anda menangani data sensitif atau yang diatur.
Kunci pemulihan: tempat menyimpannya dan cara menggunakannya
Selalu buat dan simpan kunci pemulihan saat Anda mengaktifkan BitLocker. Opsi yang tersedia: 'Simpan ke akun Microsoft Anda' (akses terpusat), 'Simpan ke flash drive USB', 'Simpan ke file', atau 'Cetak kunci'. Kuncinya adalah kode 48 digit yang memungkinkan Anda membuka kunci akun jika Anda lupa kata sandi atau jika BitLocker mendeteksi anomali boot pada unit sistem.
Jika Anda mengenkripsi beberapa drive, setiap kunci akan memiliki pengenal unik. Nama berkas kunci biasanya menyertakan GUID yang akan diminta BitLocker selama pemulihan. Untuk melihat kunci yang tersimpan di akun Microsoft Anda, kunjungi onedrive.live.com/recoverykey saat masuk. Hindari menyimpan kunci pada drive terenkripsi yang sama dan menyimpan salinan offline.
BitLocker mengintegrasikan konsol manajemen di mana Anda dapat: mengubah kata sandi, menambah atau menghapus tindakan keamanan (kata sandi, PIN+TPM, kartu pintar), membuat ulang kunci pemulihan, dan menonaktifkan enkripsi saat Anda tidak lagi membutuhkannya.
ISO yang dilindungi kata sandi: alternatif yang andal di Windows 11
Windows tidak menawarkan 'ISO yang dilindungi kata sandi' asli. Beberapa utilitas mengonversi ke format mereka sendiri (seperti '.DAA' di PowerISO), yang kurang ideal jika Anda perlu menyimpan file '.ISO'. Sebagai gantinya, buatlah kontainer terenkripsi dengan VeraCrypt dan memasangnya sesuai permintaan: ia berfungsi sebagai 'drive virtual' yang dilindungi kata sandi dan portabel.
Jika Anda menginginkan sesuatu yang ringan untuk dibagikan, pengarsip modern memungkinkan enkripsi dengan AES: buat arsip '.zip' atau '.7z' yang dilindungi kata sandi menggunakan alat seperti 7-Zip atau WinRAR dan pilih opsi untuk mengenkripsi nama file. Untuk drive eksternal, BitLocker To Go adalah metode yang direkomendasikan di Windows Pro; di Home, VeraCrypt benar-benar memenuhi tujuannya..
Dengan semua hal di atas, Anda dapat memutuskan apakah akan mengenkripsi folder dengan EFS, seluruh drive dengan BitLocker, atau membuat kontainer dengan VeraCryptKuncinya adalah memilih metode yang sesuai dengan edisi Windows dan perangkat keras Anda, menjaga kunci pemulihan tetap aman, dan menyesuaikan algoritma/panjang sesuai dengan prioritas Anda. Jika Anda memperhatikan ketiga hal tersebut, data Anda akan terlindungi tanpa mempersulit hidup Anda..
Editor yang berspesialisasi dalam isu-isu teknologi dan internet dengan pengalaman lebih dari sepuluh tahun di berbagai media digital. Saya telah bekerja sebagai editor dan pembuat konten untuk perusahaan e-commerce, komunikasi, pemasaran online, dan periklanan. Saya juga menulis di situs web ekonomi, keuangan dan sektor lainnya. Pekerjaanku juga merupakan passionku. Sekarang, melalui artikel saya di Tecnobits, Saya mencoba mengeksplorasi semua berita dan peluang baru yang ditawarkan dunia teknologi kepada kita setiap hari untuk meningkatkan kehidupan kita.