- Aiškus skirtumas tarp EFS, „BitLocker“ ir įrenginių šifravimo, ir kada naudoti kiekvieną iš jų.
- Svarbiausi patikrinimai: TPM, saugus įkrovimas, „WinRE“ ir aparatinės įrangos suderinamumas prieš šifravimą.
- Saugus atkūrimo raktų ir „BitLocker“ apsaugų valdymas diskuose ir USB atmintinėse.
- Jei pastebite poveikį SSD našumui, pakoreguokite algoritmo / intensyvumo nustatymus ir parinktis.
Apsaugoti kompiuteryje saugomus duomenis nėra nebūtina: tai būtina. „Windows“ siūlo kelis saugos sluoksnius, kad būtų išvengta neteisėtos prieigos prie jūsų duomenų, nesvarbu, ar jūsų kompiuteris pavogtas, ar kas nors bando jį pasiekti iš kitos sistemos. Naudodami integruotus įrankius (pavyzdžiui, galite užšifruoti aplanką naudodami „BitLocker“), galite... Šifruokite failus, aplankus, ištisus diskus ir išorinius įrenginius vos keliais paspaudimais.
Šiame vadove rasite viską, ko reikia norint užšifruoti aplanką naudojant „BitLocker“ ir kitas alternatyvas. Pamatysite, kurios „Windows“ versijos jums reikia, kaip patikrinti, ar jūsų kompiuteryje yra TPM, kaip naudoti EFS atskiriems elementams ir Kaip sukurti ir tinkamai išsaugoti atkūrimo raktąTaip pat paaiškinu, ką daryti, jei neturite TPM, kokį algoritmą ir rakto ilgį pasirinkti, kokį poveikį tai gali turėti našumui ir kokios parinktys yra prieinamos, jei ieškote kažko panašaus į slaptažodžiu apsaugotą konteinerį / ISO.
Kokias šifravimo parinktis siūlo „Windows“ ir kuo jos skiriasi?
„Windows“ sistemoje egzistuoja trys metodai:
- Įrenginio šifravimasJi automatiškai įjungia apsaugą, jei jūsų aparatinė įranga atitinka tam tikrus reikalavimus, ir susieja atkūrimo raktą su jūsų „Microsoft“ paskyra po pirmojo prisijungimo. Paprastai ji pasiekiama net „Windows Home“, bet ne visuose kompiuteriuose.
- "BitLocker", Ši technologija, pasiekiama „Pro“, „Enterprise“ ir „Education“ leidimuose, yra visiškas sistemos disko ir kitų vidinių arba išorinių diskų („BitLocker To Go“) šifravimas. Pagrindinis jos privalumas yra tas, kad ji apsaugo visą tomą nuo pradžios iki galo.
- EFS (šifruojanti failų sistema), Sukurtas individualiems failams ir aplankams, jis susietas su jūsų vartotojo paskyra, todėl tik juos užšifravęs asmuo gali juos atidaryti iš to paties profilio. Tai idealiai tinka keletui slaptų dokumentų, tačiau nepakeičia „BitLocker“, kad būtų užtikrinta visapusiška apsauga.
Kaip sužinoti, ar jūsų įrenginys palaiko įrenginių šifravimą ir TPM
Norėdami patikrinti, ar suderinamas „įrenginio šifravimas“, eikite į „Pradėti“, ieškokite „Sistemos informacija“, spustelėkite dešiniuoju pelės mygtuku ir atidarykite „Vykdyti kaip administratorius“. Skiltyje „Sistemos suvestinė“ raskite įrašą „Įrenginio šifravimo palaikymas“. Jei matote „Atitinka būtinus reikalavimus“, viskas nustatyta; jei matote tokius pranešimus kaip „TPM negalima naudoti“, „WinRE nesukonfigūruota“ arba „PCR7 susiejimas nepalaikomas“Turėsite ištaisyti šiuos punktus (aktyvuoti TPM / saugų paleidimą, sukonfigūruoti „WinRE“, atjungti išorinius dokus arba vaizdo plokštes paleidimo metu ir pan.).
Norėdami patikrinti, ar yra TPM: paspauskite „Windows“ + X, eikite į „Įrenginių tvarkytuvę“ ir skiltyje „Saugos įrenginiai“ ieškokite „Patikimos platformos modulio (TPM)“, kurio versija yra 1.2 arba naujesnė. Taip pat galite paleisti „tpm.msc“ naudodami „Windows“ + R. „BitLocker“ geriausiai veikia su TPMTačiau toliau pamatysite, kaip jį aktyvuoti be to lusto.
Failų ir aplankų šifravimas naudojant EFS („Windows Pro“ / „Enterprise“ / „Education“)
Jei norite apsaugoti tik konkretų aplanką ar kelis failus, EFS yra greitas ir paprastas būdas. Dešiniuoju pelės mygtuku spustelėkite elementą, eikite į „Ypatybės“ ir spustelėkite „Išplėstiniai nustatymai“. Pažymėkite „Užšifruoti turinį, kad apsaugotumėte duomenis“ ir patvirtinkite. Jei užšifruosite aplanką, sistema paklaus, ar norite pakeitimą taikyti tik aplankui, ar ir jo poaplankiams bei failams. Pasirinkite geriausiai jūsų poreikius atitinkantį variantą..
Aktyvavus, ant piktogramos pamatysite mažą spynos simbolį. EFS šifruoja dabartiniam vartotojui; jei nukopijuosite tą failą į kitą kompiuterį arba bandysite jį atidaryti iš kitos paskyros, jo nebus galima perskaityti. Būkite atsargūs su laikinais failais (pavyzdžiui, iš tokių programų kaip „Word“ ar „Photoshop“): jei šakninis aplankas nėra užšifruotas, trupiniai galėjo likti neapsaugotiŠtai kodėl rekomenduojama užšifruoti visą aplanką, kuriame yra jūsų dokumentai.
Labai rekomenduojama: sukurkite šifravimo sertifikato atsarginę kopiją. „Windows“ paragins jus „sukurti rakto atsarginę kopiją dabar“. Vykdykite sertifikato eksportavimo vedlio nurodymus, išsaugokite raktą USB atmintinėje ir apsaugokite jį stipriu slaptažodžiu. Jei iš naujo įdiegsite „Windows“ arba pakeisite vartotojus ir neeksportuosite rakto, galite prarasti prieigą..
Norėdami iššifruoti, pakartokite procesą: savybės, išplėstinė Nuimkite žymėjimą nuo „Šifruoti turinį, kad apsaugotumėte duomenis“ Ir tai taikoma. „Windows 11“ veikimas yra identiškas, todėl nuoseklus procesas yra toks pat.
Aplanko šifravimas naudojant „BitLocker“ („Windows Pro“ / „Enterprise“ / „Education“)
„BitLocker“ šifruoja ištisus tomus – vidinius arba išorinius. Failų naršyklėje dešiniuoju pelės mygtuku spustelėkite norimą apsaugoti diską ir pasirinkite „Įjungti „BitLocker“. Jei parinktis nerodoma, jūsų „Windows“ versijoje jos nėra. Jei gaunate įspėjimą apie trūkstamą TPM, Nesijaudinkite, jį galima naudoti ir be TPMTam tereikia politikos koregavimo, kurį paaiškinsiu iškart po to.
Asistentas paklaus, kaip atrakinti diską: slaptažodžiu arba išmaniąja kortele. Geriausia naudoti slaptažodį su gera entropija (didžiosios raidės, mažosios raidės, skaičiai ir simboliai). Tada pasirinkite, kur norite išsaugoti atkūrimo raktą: „Microsoft“ paskyroje, USB atmintinėje, faile arba atsispausdinti. Išsaugoti „Microsoft“ paskyroje Tai labai praktiška (pasiekiama per onedrive.live.com/recoverykey), tačiau prie jos pridėkite papildomą neprisijungus pasiekiamą kopiją.
Kitame žingsnyje nuspręskite, ar šifruoti tik panaudotą vietą, ar visą diską. Pirmasis variantas yra greitesnis naujiems diskams; anksčiau naudotiems kompiuteriams geriau šifruoti visą diską, kad apsaugotumėte ištrintus duomenis, kuriuos vis dar galima atkurti. Didesnis saugumas reiškia daugiau laiko pradžioje..
Galiausiai pasirinkite šifravimo režimą: „naujas“ šiuolaikinėms sistemoms arba „suderinamas“, jei perkeliate diską tarp kompiuterių su senesnėmis „Windows“ versijomis. „Vykdyti „BitLocker“ sistemos patikrinimą“ Ir tai tęsiasi. Jei tai sistemos diskas, kompiuteris bus paleistas iš naujo ir paleidimo metu paprašys jūsų „BitLocker“ slaptažodžio; jei tai duomenų diskas, šifravimas prasidės fone ir galėsite tęsti darbą.
Jei persigalvosite, naršyklėje dešiniuoju pelės mygtuku spustelėkite užšifruotą diską ir eikite į „Tvarkyti „BitLocker“, kad išjungtumėte, pakeistumėte slaptažodį, iš naujo sugeneruotumėte atkūrimo raktą arba įjungtumėte automatinį atrakinimą tame kompiuteryje. „BitLocker“ neveikia be bent vieno autentifikavimo metodo.
„BitLocker“ naudojimas be TPM: grupės politika ir paleisties parinktys
Jei neturite TPM, atidarykite vietinį grupės politikos redaktorių naudodami „gpedit.msc“ („Windows“ + R) ir eikite į „Kompiuterio konfigūracija“ > „Administravimo šablonai“ > „Windows komponentai“ > „BitLocker disko šifravimas“ > „Operacinės sistemos diskai“. Atidarykite „Reikalauti papildomo autentifikavimo paleidžiant“ ir nustatykite jį į „Įgalintas“. Pažymėkite langelį šalia „Leisti „BitLocker“ be suderinamo TPM“. Pritaikykite pakeitimus ir paleiskite „gpupdate /target:Computer /force“ priversti jį taikyti.
Paleidus „BitLocker“ vedlį sistemos diske, bus pasiūlyti du būdai: „Įdėti USB atmintinę“ (tai išsaugos .BEK įkrovos raktą, kurį reikia prijungti kiekvieną kartą paleidžiant) arba „Įvesti slaptažodį“ (priešpaleidžiamąjį PIN kodą / slaptažodį). Jei naudojate USB, pakeiskite įkrovos tvarką BIOS / UEFI nustatymuose, kad kompiuteris galėtų paleisti iš USB atmintinės. Nebandykite paleisti iš to USB disko.Proceso metu neištraukite USB disko, kol viskas nebus baigta.
Prieš šifravimą „BitLocker“ gali atlikti „sistemos testas“ , kad patvirtintumėte, jog galėsite pasiekti raktą paleidimo metu. Jei nepavyksta ir rodomas paleidimo pranešimas, patikrinkite paleidimo tvarką ir saugos parinktis (saugus įkrovimas ir kt.) ir bandykite dar kartą.
„BitLocker To Go“: apsaugokite USB diskus ir išorinius standžiuosius diskus
Prijunkite išorinį įrenginį, failų naršyklėje dešiniuoju pelės mygtuku spustelėkite diską ir pasirinkite „Įjungti „BitLocker“. Nustatykite slaptažodį ir išsaugokite atkūrimo raktą. Galite pažymėti „Don't ask above on this PC“ (neklausti daugiau šiame kompiuteryje), kad įjungtumėte automatinį atrakinimą. Kituose kompiuteriuose Prisijungus bus prašoma slaptažodžio prieš galėdamas perskaityti jo turinį.
Labai senose sistemose („Windows XP“ / „Vista“) nėra integruotos atrakinimo palaikymo, tačiau „Microsoft“ išleido „BitLocker To Go Reader“, skirtą tik skaitymo prieigai FAT formatu suformatuotuose diskuose. Jei planuojate atgalinį suderinamumą, apsvarstykite galimybę naudoti „suderinamas“ šifravimo režimas vedlyje.
Šifravimo algoritmas ir stiprumas bei jų įtaka našumui
Pagal numatytuosius nustatymus „BitLocker“ vidiniuose diskuose naudoja XTS-AES su 128 bitų raktu, o išoriniuose diskuose – AES-CBC 128. Šifravimą galite padidinti iki 256 bitų arba pakoreguoti algoritmą nustatymuose: „BitLocker disko šifravimas“ > „Pasirinkite šifravimo metodą ir stiprumą…“. Priklausomai nuo „Windows“ versijos, tai skirstoma pagal disko tipą (įkrovos, duomenų, išimamas). Rekomenduojamas XTS-AES dėl tvirtumo ir našumo.
Naudojant šiuolaikinius procesorius (AES-NI), poveikis paprastai būna minimalus, tačiau pasitaiko atvejų, kai našumas sumažėja, ypač tam tikruose SSD diskuose su „Windows 11 Pro“, kai diskuose su aparatinės įrangos šifravimu programine įranga įgalinamas „BitLocker“. Atlikus atsitiktinius nuskaitymus tam tikruose modeliuose (pvz., „Samsung 990 Pro 4TB“), našumas sumažėjo iki 45 %. Jei pastebėjote didelį pablogėjimą, galite: 1) Išjunkite „BitLocker“ tame tome (aukojant saugumą) arba 2) iš naujo įdiegti ir priverstinai naudoti paties SSD aparatinės įrangos šifravimą, jei jis patikimas (sudėtingesnis procesas ir priklauso nuo gamintojo).
Atminkite, kad stipresnis šifravimas (256 bitai) reiškia šiek tiek didesnę apkrovą, tačiau dabartinėje įrangoje skirtumas paprastai yra įveikiamas. Pirmenybę teikite saugumui jei tvarkote jautrius arba reglamentuojamus duomenis.
Atkūrimo raktai: kur juos saugoti ir kaip juos naudoti
Įjungę „BitLocker“, visada sukurkite ir išsaugokite atkūrimo raktą. Galimos parinktys: „Įrašyti „Microsoft“ paskyroje“ (centralizuota prieiga), „Įrašyti USB atmintinėje“, „Įrašyti faile“ arba „Spausdinti raktą“. Raktas yra 48 skaitmenų kodas, leidžiantis atrakinti paskyrą pamiršus slaptažodį arba jei „BitLocker“ aptinka įkrovos anomaliją ant sistemos bloko.
Jei šifruojate kelis diskus, kiekvienas raktas turės unikalų identifikatorių. Rakto failo pavadinime paprastai yra GUID, kurio „BitLocker“ paprašys atkūrimo metu. Norėdami peržiūrėti „Microsoft“ paskyroje išsaugotus raktus, apsilankykite onedrive.live.com/recoverykey, kai esate prisijungę. Venkite saugoti raktus tame pačiame užšifruotame diske ir saugokite neprisijungus pasiekiamas kopijas.
„BitLocker“ integruoja valdymo konsolė kur galite: pakeisti slaptažodį, pridėti arba pašalinti saugos priemones (slaptažodį, PIN + TPM, išmaniąją kortelę), iš naujo generuoti atkūrimo raktą ir išjungti šifravimą, kai jo nebereikia.
Slaptažodžiu apsaugoti ISO failai: patikimos alternatyvos sistemoje „Windows 11“
„Windows“ nesiūlo įdiegto slaptažodžiu apsaugoto ISO failo. Kai kurios programos konvertuoja į savo formatus (pvz., „.DAA“ programoje „PowerISO“), o tai nėra idealu, jei reikia išsaugoti „.ISO“ failą. Vietoj to sukurkite užšifruotas konteineris su „VeraCrypt“ ir prijungti jį pagal poreikį: jis veikia kaip slaptažodžiu apsaugotas „virtualus diskas“ ir yra nešiojamas.
Jei norite bendrinti ką nors lengvo, šiuolaikinės archyvavimo programos leidžia šifruoti naudojant AES: sukurkite slaptažodžiu apsaugotą „.zip“ arba „.7z“ archyvą naudodami tokias priemones kaip „7-Zip“ arba „WinRAR“ ir pasirinkite failų pavadinimų šifravimo parinktį. Išoriniams diskams „Windows Pro“ rekomenduojamas metodas yra „BitLocker To Go“; „Home“ „VeraCrypt“ puikiai atlieka savo paskirtį..
Atsižvelgiant į visa tai, kas išdėstyta aukščiau, galite nuspręsti, ar šifruoti aplanką naudojant EFS, visą diską naudojant „BitLocker“, ar sukurti konteinerį su VeraCryptSvarbiausia pasirinkti metodą, kuris atitinka jūsų „Windows“ leidimą ir aparatinę įrangą, saugoti atkūrimo raktą ir koreguoti algoritmą / ilgį pagal savo prioritetus. Jei pasirūpinsite šiais trimis punktais, jūsų duomenys bus apsaugoti neapsunkinant gyvenimo..
Redaktorius specializuojasi technologijų ir interneto klausimais, turintis daugiau nei dešimties metų patirtį įvairiose skaitmeninėse laikmenose. Esu dirbusi redaktore ir turinio kūrėja elektroninės prekybos, komunikacijos, internetinės rinkodaros ir reklamos įmonėse. Taip pat rašiau ekonomikos, finansų ir kitų sektorių svetainėse. Mano darbas taip pat yra mano aistra. Dabar per mano straipsnius Tecnobits, stengiuosi ištirti visas naujienas ir naujas galimybes, kurias mums kasdien siūlo technologijų pasaulis, kad pagerintume savo gyvenimą.