- Perbezaan yang jelas antara EFS, BitLocker dan penyulitan peranti serta masa untuk menggunakan setiap satu.
- Pemeriksaan utama: TPM, Secure Boot, WinRE dan keserasian perkakasan sebelum menyulitkan.
- Pengurusan selamat kunci pemulihan dan pelindung BitLocker pada pemacu dan USB.
- Laraskan tetapan dan pilihan algoritma/intensiti jika anda melihat kesan prestasi pada SSD.
Melindungi perkara yang anda simpan pada PC anda bukan pilihan: ia penting. Windows menawarkan berbilang lapisan keselamatan untuk menghalang akses tanpa kebenaran kepada data anda, sama ada komputer anda dicuri atau seseorang cuba mengaksesnya daripada sistem lain. Dengan alatan terbina dalam (contohnya, anda boleh menyulitkan folder dengan BitLocker), anda boleh... Sulitkan fail, folder, keseluruhan pemacu dan peranti luaran dengan hanya beberapa klik.
Dalam panduan ini, anda akan menemui semua yang anda perlukan untuk menyulitkan folder dengan BitLocker dan alternatif lain. Anda akan melihat edisi Windows yang anda perlukan, cara menyemak sama ada komputer anda mempunyai TPM, cara menggunakan EFS untuk item individu dan Cara mencipta dan menyimpan kunci pemulihan dengan betulSaya juga menerangkan perkara yang perlu dilakukan jika anda tidak mempunyai TPM, algoritma dan panjang kunci untuk dipilih, kesan prestasi yang mungkin dan pilihan yang tersedia jika anda mencari sesuatu seperti bekas/ISO yang dilindungi kata laluan.
Apakah pilihan penyulitan yang ditawarkan oleh Windows dan bagaimana ia berbeza?
Dalam Windows, tiga pendekatan wujud bersama:
- penyulitan perantiIa mengaktifkan perlindungan secara automatik jika perkakasan anda memenuhi keperluan tertentu dan memautkan kunci pemulihan ke akaun Microsoft anda selepas log masuk pertama anda. Ia biasanya tersedia walaupun pada Windows Home, tetapi tidak pada semua komputer.
- BitLocker, Tersedia dalam edisi Pro, Perusahaan dan Pendidikan, ini ialah penyulitan cakera penuh untuk pemacu sistem dan pemacu dalaman atau luaran lain (BitLocker To Go). Kelebihan utamanya ialah ia melindungi keseluruhan volum hujung ke hujung.
- EFS (Menyulitkan Sistem Fail), Direka bentuk untuk fail dan folder individu, ia dipautkan ke akaun pengguna anda, jadi hanya orang yang menyulitkannya boleh membukanya daripada profil yang sama. Ia sesuai untuk segelintir dokumen sensitif, tetapi ia tidak menggantikan BitLocker untuk perlindungan menyeluruh.
Bagaimana untuk mengetahui sama ada peranti anda menyokong penyulitan peranti dan TPM
Untuk menyemak keserasian 'penyulitan peranti', pergi ke Mula, cari 'Maklumat Sistem', klik kanan dan buka 'Jalankan sebagai pentadbir'. Dalam 'Ringkasan Sistem', cari entri 'Sokongan penyulitan peranti'. Jika anda melihat 'Memenuhi prasyarat', anda sudah bersedia; jika anda melihat mesej seperti 'TPM tidak boleh digunakan', 'WinRE tidak dikonfigurasikan' atau 'pengikatan PCR7 tidak disokong'Anda perlu membetulkan titik tersebut (aktifkan TPM/Secure Boot, konfigurasi WinRE, putuskan sambungan dok luaran atau kad grafik semasa but, dsb.).
Untuk mengesahkan sama ada TPM ada: Tekan Windows + X, pergi ke 'Pengurus Peranti' dan di bawah 'Peranti keselamatan' cari 'Modul Platform Dipercayai (TPM)' dengan versi 1.2 atau lebih baru. Anda juga boleh menjalankan 'tpm.msc' dengan Windows + R. BitLocker berfungsi paling baik dengan TPMTetapi lebih jauh ke bawah anda akan melihat bagaimana untuk mengaktifkannya tanpa cip itu.
Sulitkan fail dan folder dengan EFS (Windows Pro/Enterprise/Education)
Jika anda hanya mahu melindungi folder tertentu atau beberapa fail, EFS adalah pantas dan mudah. Klik kanan pada item, pergi ke 'Properties', dan klik 'Advanced'. Semak 'Sulitkan kandungan untuk menjamin data' dan sahkan. Jika anda menyulitkan folder, sistem akan bertanya sama ada anda mahu menggunakan perubahan hanya pada folder atau juga pada subfolder dan failnya. Pilih pilihan yang paling sesuai dengan keperluan anda..
Setelah diaktifkan, anda akan melihat gembok kecil pada ikon. EFS menyulitkan untuk pengguna semasa; jika anda menyalin fail itu ke PC lain atau cuba membukanya dari akaun lain, ia tidak akan dapat dibaca. Berhati-hati dengan fail sementara (contohnya, daripada apl seperti Word atau Photoshop): jika folder akar tidak disulitkan, serbuk boleh dibiarkan tanpa perlindunganItulah sebabnya disyorkan untuk menyulitkan keseluruhan folder yang mengandungi dokumen anda.
Sangat disyorkan: sandarkan sijil penyulitan anda. Windows akan menggesa anda untuk 'sandarkan kunci anda sekarang'. Ikuti wizard eksport sijil, simpan kunci pada pemacu USB dan lindunginya dengan kata laluan yang kukuh. Jika anda memasang semula Windows atau menukar pengguna dan tidak mengeksport kunci, anda mungkin kehilangan akses..
Untuk menyahsulit, ulangi proses: sifat, lanjutan, Nyahtanda 'Sulitkan kandungan untuk melindungi data' Dan ia terpakai. Tingkah laku dalam Windows 11 adalah sama, jadi proses langkah demi langkah adalah sama.
Menyulitkan folder dengan BitLocker (Windows Pro/Enterprise/Education)
BitLocker menyulitkan keseluruhan volum, dalaman atau luaran. Dalam File Explorer, klik kanan pemacu yang anda ingin lindungi dan pilih 'Hidupkan BitLocker'. Jika pilihan itu tidak muncul, versi Windows anda tidak menyertakannya. Jika anda menerima amaran tentang kehilangan TPM, Jangan risau, ia boleh digunakan tanpa TPMIa hanya memerlukan pelarasan dasar yang akan saya jelaskan selepas itu.
Pembantu akan bertanya kepada anda cara membuka kunci pemacu: dengan kata laluan atau kad pintar. Sebaiknya gunakan kata laluan dengan entropi yang baik (huruf besar, huruf kecil, nombor dan simbol). Kemudian, pilih tempat untuk menyimpan kunci pemulihan: dalam akaun Microsoft anda, pada pemacu USB, dalam fail atau cetaknya. Simpan ke akaun Microsoft Ia sangat praktikal (akses melalui onedrive.live.com/recoverykey), tetapi sertakan dengan salinan luar talian tambahan.
Dalam langkah seterusnya, tentukan sama ada untuk menyulitkan hanya ruang yang digunakan atau keseluruhan pemacu. Pilihan pertama adalah lebih pantas untuk pemacu baharu; untuk komputer yang digunakan sebelum ini, adalah lebih baik untuk menyulitkan keseluruhan pemacu untuk melindungi data yang dipadam yang masih boleh dipulihkan. Lebih banyak keselamatan bermakna lebih banyak masa permulaan..
Akhir sekali, pilih mod penyulitan: 'baharu' untuk sistem moden atau 'serasi' jika anda mengalihkan pemacu antara PC dengan versi Windows yang lebih lama. 'Jalankan pengesahan sistem BitLocker' Dan ia berterusan. Jika ia adalah pemacu sistem, komputer akan dimulakan semula dan meminta kata laluan BitLocker anda semasa permulaan; jika ia adalah pemacu data, penyulitan akan bermula di latar belakang dan anda boleh terus bekerja.
Jika anda berubah fikiran, dalam Explorer, klik kanan pada pemacu yang disulitkan dan pergi ke 'Urus BitLocker' untuk melumpuhkan, menukar kata laluan, menjana semula kunci pemulihan atau mendayakan buka kunci automatik pada komputer itu. BitLocker tidak berfungsi tanpa sekurang-kurangnya satu kaedah pengesahan.
Menggunakan BitLocker tanpa TPM: Dasar Kumpulan dan Pilihan Permulaan
Jika anda tidak mempunyai TPM, buka Editor Dasar Kumpulan Tempatan dengan 'gpedit.msc' (Windows + R) dan navigasi ke 'Konfigurasi Komputer' > 'Templat Pentadbiran' > 'Komponen Windows' > 'Penyulitan Pemacu BitLocker' > 'Pemacu Sistem Pengendalian'. Buka 'Memerlukan pengesahan tambahan pada permulaan' dan tetapkannya kepada 'Didayakan'. Tandai kotak di sebelah 'Benarkan BitLocker tanpa TPM yang serasi'. Gunakan perubahan dan jalankan 'gpupdate /target:Computer /force' untuk memaksa penggunaannya.
Apabila anda memulakan wizard BitLocker pada cakera sistem anda, ia akan menawarkan dua kaedah: 'Masukkan pemacu kilat USB' (ini akan menyimpan kunci but .BEK yang mesti disambungkan pada setiap permulaan) atau 'Masukkan kata laluan' (PIN/kata laluan prabut). Jika anda menggunakan USB, tukar susunan but dalam tetapan BIOS/UEFI anda supaya komputer anda boleh but daripada pemacu USB. Jangan cuba boot dari pemacu USB itu.Semasa proses, jangan keluarkan pemacu USB sehingga semuanya selesai.
Sebelum menyulitkan, BitLocker boleh melakukan a 'ujian sistem' untuk mengesahkan bahawa anda akan dapat mengakses kunci semasa permulaan. Jika ia gagal dengan mesej but, semak susunan but dan pilihan keselamatan (Secure Boot, dsb.) dan cuba lagi.
BitLocker To Go: Lindungi pemacu USB dan pemacu keras luaran
Sambungkan peranti luaran, klik kanan pada pemacu dalam File Explorer, dan pilih 'Hidupkan BitLocker'. Tetapkan kata laluan dan simpan kunci pemulihan. Anda boleh menyemak 'Jangan tanya lagi pada PC ini' untuk mendayakan buka kunci automatik. Pada PC lain, Kata laluan akan diminta semasa sambungan sebelum dapat membaca kandungannya.
Pada sistem yang sangat lama (Windows XP/Vista), tiada sokongan asli untuk membuka kunci, tetapi Microsoft mengeluarkan 'BitLocker To Go Reader' untuk akses baca sahaja pada pemacu berformat FAT. Jika anda merancang untuk keserasian ke belakang, pertimbangkan untuk menggunakan mod penyulitan 'serasi' dalam ahli sihir.
Algoritma dan kekuatan penyulitan, dan kesannya terhadap prestasi
Secara lalai, BitLocker menggunakan XTS-AES dengan kunci 128-bit pada pemacu dalaman dan AES-CBC 128 pada pemacu luaran. Anda boleh meningkatkan penyulitan kepada 256 bit atau melaraskan algoritma dalam tetapan: 'Penyulitan Pemacu BitLocker' > 'Pilih kaedah dan kekuatan penyulitan…'. Bergantung pada versi Windows, ini dibahagikan mengikut jenis pemacu (but, data, boleh tanggal). XTS-AES adalah yang disyorkan untuk keteguhan dan prestasi.
Dengan CPU moden (AES-NI), kesannya biasanya minimum, tetapi terdapat kes di mana prestasi menurun, terutamanya pada SSD tertentu dengan Windows 11 Pro apabila BitLocker dikuatkuasakan melalui perisian pada pemacu dengan penyulitan perkakasan. Sehingga 45% kurang prestasi telah diukur dalam bacaan rawak pada model tertentu (contohnya, Samsung 990 Pro 4TB). Jika anda melihat kemerosotan yang teruk, anda boleh: 1) Lumpuhkan BitLocker dalam jumlah itu (mengorbankan keselamatan) atau 2) pasang semula dan paksa penyulitan perkakasan SSD itu sendiri jika ia boleh dipercayai (proses yang lebih kompleks dan bergantung kepada pengilang).
Ingat bahawa penyulitan yang lebih kuat (256 bit) bermakna beban yang lebih tinggi sedikit, tetapi pada peralatan semasa perbezaannya biasanya boleh diurus. Utamakan keselamatan jika anda mengendalikan data sensitif atau terkawal.
Kunci pemulihan: tempat menyimpannya dan cara menggunakannya
Sentiasa buat dan simpan kunci pemulihan apabila anda mendayakan BitLocker. Pilihan yang tersedia: 'Simpan ke akaun Microsoft anda' (akses terpusat), 'Simpan ke pemacu kilat USB', 'Simpan ke fail' atau 'Cetak kunci'. Kuncinya ialah kod 48 digit yang membolehkan anda membuka kunci akaun anda jika anda terlupa kata laluan anda atau jika BitLocker mengesan anomali but pada unit sistem.
Jika anda menyulitkan berbilang pemacu, setiap kunci akan mempunyai pengecam unik. Nama fail utama biasanya termasuk GUID yang akan diminta oleh BitLocker semasa pemulihan. Untuk melihat kunci yang disimpan pada akaun Microsoft anda, lawati onedrive.live.com/recoverykey semasa log masuk. Elakkan menyimpan kunci pada pemacu yang disulitkan yang sama dan simpan salinan luar talian.
BitLocker menyepadukan a konsol pengurusan di mana anda boleh: menukar kata laluan, menambah atau mengalih keluar langkah keselamatan (kata laluan, PIN+TPM, kad pintar), menjana semula kunci pemulihan dan melumpuhkan penyulitan apabila anda tidak memerlukannya lagi.
ISO yang dilindungi kata laluan: alternatif yang boleh dipercayai dalam Windows 11
Windows tidak menawarkan 'ISO yang dilindungi kata laluan' asli. Sesetengah utiliti menukar kepada format mereka sendiri (seperti '.DAA' dalam PowerISO), yang tidak sesuai jika anda perlu menyimpan fail '.ISO'. Sebaliknya, buat a bekas yang disulitkan dengan VeraCrypt dan pasangkannya atas permintaan: ia berfungsi sebagai 'pemacu maya' yang dilindungi kata laluan dan mudah alih.
Jika anda mahukan sesuatu yang ringan untuk dikongsi, arkib moden membenarkan penyulitan dengan AES: buat arkib '.zip' atau '.7z' yang dilindungi kata laluan menggunakan alatan seperti 7-Zip atau WinRAR dan pilih pilihan untuk menyulitkan nama fail. Untuk pemacu luaran, BitLocker To Go ialah kaedah yang disyorkan dalam Windows Pro; dalam Rumah, VeraCrypt memenuhi tujuannya dengan sempurna..
Dengan semua perkara di atas, anda boleh memutuskan sama ada untuk menyulitkan folder dengan EFS, keseluruhan pemacu dengan BitLocker atau mencipta bekas dengan VeraCryptPerkara utama ialah memilih kaedah yang sesuai dengan edisi Windows dan perkakasan anda, pastikan kunci pemulihan selamat dan laraskan algoritma/panjang mengikut keutamaan anda. Jika anda menjaga tiga perkara tersebut, data anda akan dilindungi tanpa merumitkan hidup anda..
Editor khusus dalam isu teknologi dan internet dengan lebih daripada sepuluh tahun pengalaman dalam media digital yang berbeza. Saya telah bekerja sebagai editor dan pencipta kandungan untuk e-dagang, komunikasi, pemasaran dalam talian dan syarikat pengiklanan. Saya juga telah menulis di laman web ekonomi, kewangan dan sektor lain. Kerja saya juga minat saya. Sekarang, melalui artikel saya dalam Tecnobits, saya cuba meneroka semua berita dan peluang baharu yang dunia teknologi tawarkan kepada kita setiap hari untuk memperbaiki kehidupan kita.