Jak zaszyfrować folder za pomocą BitLockera i alternatywy w systemie Windows

Ochrona danych przechowywanych na komputerze nie jest opcjonalna: jest niezbędna. System Windows oferuje wiele warstw zabezpieczeń, które zapobiegają nieautoryzowanemu dostępowi do danych, niezależnie od tego, czy komputer zostanie skradziony, czy ktoś spróbuje uzyskać do niego dostęp z innego systemu. Dzięki wbudowanym narzędziom (na przykład szyfrowaniu folderu za pomocą BitLockera) możesz... Szyfruj pliki, foldery, całe dyski i urządzenia zewnętrzne za pomocą kilku kliknięć.

W tym przewodniku znajdziesz wszystko, czego potrzebujesz do zaszyfrowania folderu za pomocą BitLockera i innych alternatyw. Dowiesz się, jakiej wersji systemu Windows potrzebujesz, jak sprawdzić, czy komputer ma moduł TPM, jak używać systemu szyfrowania plików (EFS) do poszczególnych elementów i jak… Jak utworzyć i prawidłowo zapisać klucz odzyskiwaniaWyjaśniam również, co zrobić, jeśli nie masz modułu TPM, jaki algorytm i długość klucza wybrać, jaki może to mieć wpływ na wydajność oraz jakie są dostępne opcje, jeśli szukasz czegoś takiego jak kontener/obraz ISO chroniony hasłem.

Jakie opcje szyfrowania oferuje system Windows i czym się one różnią?

W systemie Windows współistnieją trzy podejścia:

• Szyfrowanie urządzeniaAutomatycznie aktywuje ochronę, jeśli Twój sprzęt spełnia określone wymagania i łączy klucz odzyskiwania z Twoim kontem Microsoft po pierwszym zalogowaniu. Zazwyczaj jest dostępna nawet w systemie Windows Home, ale nie na wszystkich komputerach.
• BitLocker, Dostępne w wersjach Pro, Enterprise i Education, to pełne szyfrowanie dysku systemowego oraz innych dysków wewnętrznych i zewnętrznych (BitLocker To Go). Jego główną zaletą jest kompleksowa ochrona całego woluminu.
• EFS (System Szyfrowania Plików) Zaprojektowany dla pojedynczych plików i folderów, jest powiązany z Twoim kontem użytkownika, dzięki czemu tylko osoba, która je zaszyfrowała, może je otworzyć z tego samego profilu. Jest idealny do przechowywania kilku poufnych dokumentów, ale nie zastępuje BitLockera w zakresie kompleksowej ochrony.

Jak sprawdzić, czy Twoje urządzenie obsługuje szyfrowanie urządzeń i moduł TPM

Aby sprawdzić zgodność funkcji „szyfrowania urządzeń”, przejdź do menu Start, wyszukaj „Informacje o systemie”, kliknij prawym przyciskiem myszy i wybierz „Uruchom jako administrator”. W „Podsumowaniu systemu” znajdź wpis „Obsługa szyfrowania urządzeń”. Jeśli zobaczysz komunikat „Spełnia wymagania wstępne”, wszystko jest gotowe; jeśli zobaczysz komunikaty takie jak „Nie można użyć modułu TPM”, „WinRE nie jest skonfigurowane” lub „Wiązanie PCR7 nie jest obsługiwane”Będziesz musiał poprawić te punkty (aktywować TPM/Secure Boot, skonfigurować WinRE, odłączyć zewnętrzne stacje dokujące lub karty graficzne podczas rozruchu itd.).

Aby sprawdzić, czy moduł TPM jest obecny: Naciśnij klawisze Windows + X, przejdź do Menedżera urządzeń i w sekcji „Urządzenia zabezpieczające” poszukaj modułu „Trusted Platform Module (TPM)” w wersji 1.2 lub nowszej. Możesz również uruchomić plik „tpm.msc” za pomocą kombinacji klawiszy Windows + R. BitLocker działa najlepiej z TPMAle dalej zobaczysz, jak go aktywować bez tego chipa.

Szyfrowanie plików i folderów za pomocą EFS (Windows Pro/Enterprise/Education)

Jeśli chcesz chronić tylko konkretny folder lub kilka plików, EFS jest szybki i prosty. Kliknij prawym przyciskiem myszy element, przejdź do „Właściwości” i kliknij „Zaawansowane”. Zaznacz „Szyfruj zawartość, aby zabezpieczyć dane” i potwierdź. Jeśli zaszyfrujesz folder, system zapyta, czy chcesz zastosować zmianę tylko do folderu, czy również do jego podfolderów i plików. Wybierz opcję, która najlepiej odpowiada Twoim potrzebom..

Po aktywacji na ikonie pojawi się mała kłódka. System EFS szyfruje dla bieżącego użytkownika; jeśli skopiujesz ten plik na inny komputer lub spróbujesz go otworzyć z innego konta, nie będzie można go odczytać. Zachowaj ostrożność w przypadku plików tymczasowych (na przykład z aplikacji takich jak Word czy Photoshop): jeśli folder główny nie jest zaszyfrowany, okruszki mogą pozostać niezabezpieczoneDlatego zaleca się zaszyfrowanie całego folderu zawierającego dokumenty.

Zdecydowanie zalecane: utwórz kopię zapasową certyfikatu szyfrowania. System Windows wyświetli monit „Utwórz kopię zapasową klucza”. Postępuj zgodnie z instrukcjami kreatora eksportu certyfikatu, zapisz klucz na dysku USB i zabezpiecz go silnym hasłem. Jeśli ponownie zainstalujesz system Windows lub zmienisz użytkownika i nie wyeksportujesz klucza, możesz utracić dostęp..

Aby odszyfrować, powtórz proces: właściwości, zaawansowane, Odznacz opcję „Szyfruj zawartość, aby chronić dane” I to się sprawdza. W systemie Windows 11 zachowanie jest identyczne, więc proces krok po kroku jest taki sam.

Szyfrowanie folderu za pomocą funkcji BitLocker (Windows Pro/Enterprise/Education)

BitLocker szyfruje całe woluminy, wewnętrzne lub zewnętrzne. W Eksploratorze plików kliknij prawym przyciskiem myszy dysk, który chcesz zabezpieczyć, i wybierz opcję „Włącz BitLocker”. Jeśli ta opcja się nie pojawi, Twoja wersja systemu Windows jej nie zawiera. Jeśli pojawi się ostrzeżenie o braku modułu TPM, Nie martw się, można go używać bez TPMWymaga to jedynie zmiany polityki, którą wyjaśnię zaraz potem.

Asystent zapyta Cię, jak odblokować dysk: za pomocą hasła lub karty inteligentnej. Najlepiej użyć hasła z dobrą entropią (wielkie i małe litery, cyfry i symbole). Następnie wybierz miejsce, w którym chcesz zapisać klucz odzyskiwania: na koncie Microsoft, na dysku USB, w pliku lub go wydrukować. Zapisz na koncie Microsoft Jest to bardzo praktyczne rozwiązanie (dostępne przez onedrive.live.com/recoverykey), ale należy pamiętać o dodaniu dodatkowej kopii offline.

W następnym kroku zdecyduj, czy zaszyfrować tylko używaną przestrzeń, czy cały dysk. Pierwsza opcja jest szybsza w przypadku nowych dysków; w przypadku komputerów, które były wcześniej używane, lepiej zaszyfrować cały dysk, aby chronić usunięte dane, które nadal można odzyskać. Większe bezpieczeństwo oznacza więcej czasu na rozpoczęcie współpracy..

Na koniec wybierz tryb szyfrowania: „nowy” w przypadku nowoczesnych systemów lub „zgodny”, jeśli przenosisz dysk między komputerami ze starszymi wersjami systemu Windows. „Uruchom weryfikację systemu BitLocker” I tak dalej. Jeśli to dysk systemowy, komputer uruchomi się ponownie i poprosi o podanie hasła BitLockera; jeśli to dysk danych, szyfrowanie rozpocznie się w tle i będziesz mógł kontynuować pracę.

Jeśli zmienisz zdanie, w Eksploratorze kliknij prawym przyciskiem myszy zaszyfrowany dysk i przejdź do opcji „Zarządzaj funkcją BitLocker”, aby wyłączyć, zmienić hasło, ponownie wygenerować klucz odzyskiwania lub włączyć automatyczne odblokowywanie na tym komputerze. BitLocker nie działa bez co najmniej jednej metody uwierzytelniania.

Korzystanie z funkcji BitLocker bez modułu TPM: zasady grupy i opcje uruchamiania

Jeśli nie masz modułu TPM, otwórz Edytor lokalnych zasad grupy za pomocą polecenia „gpedit.msc” (Windows + R) i przejdź do „Konfiguracja komputera” > „Szablony administracyjne” > „Składniki systemu Windows” > „Szyfrowanie dysków funkcją BitLocker” > „Dyski systemu operacyjnego”. Otwórz opcję „Wymagaj dodatkowego uwierzytelniania podczas uruchamiania” i ustaw ją na „Włączone”. Zaznacz pole wyboru obok opcji „Zezwalaj na używanie funkcji BitLocker bez zgodnego modułu TPM”. Zastosuj zmiany i uruchom polecenie „gpupdate /target:Computer /force” aby wymusić jego zastosowanie.

Po uruchomieniu kreatora BitLocker na dysku systemowym, zaproponuje on dwie metody: „Włóż dysk flash USB” (zapisuje to klucz rozruchowy .BEK, który musi być podłączony przy każdym uruchomieniu) lub „Wprowadź hasło” (kod PIN/hasło przed uruchomieniem). Jeśli korzystasz z USB, zmień kolejność rozruchu w ustawieniach BIOS/UEFI, aby komputer mógł uruchomić się z dysku USB. Nie próbuj uruchamiać systemu z tego dysku USB.W trakcie procesu nie wyjmuj dysku USB, dopóki cały proces nie zostanie zakończony.

Przed szyfrowaniem BitLocker może wykonać 'test systemu' Aby potwierdzić, że będziesz mieć dostęp do klucza podczas uruchamiania. Jeśli próba się nie powiedzie i pojawi się komunikat o błędzie rozruchu, sprawdź kolejność rozruchu i opcje zabezpieczeń (bezpieczny rozruch itp.) i spróbuj ponownie.

BitLocker To Go: Chroń dyski USB i zewnętrzne dyski twarde

Podłącz urządzenie zewnętrzne, kliknij prawym przyciskiem myszy dysk w Eksploratorze plików i wybierz „Włącz BitLocker”. Ustaw hasło i zapisz klucz odzyskiwania. Możesz zaznaczyć opcję „Nie pytaj ponownie na tym komputerze”, aby włączyć automatyczne odblokowywanie. Na innych komputerach: Po nawiązaniu połączenia zostaniesz poproszony o podanie hasła zanim będziesz mógł przeczytać jego treść.

W bardzo starych systemach (Windows XP/Vista) nie ma natywnego wsparcia dla odblokowywania, ale Microsoft wydał „BitLocker To Go Reader” umożliwiający dostęp tylko do odczytu na dyskach sformatowanych w systemie FAT. Jeśli planujesz wsteczną kompatybilność, rozważ użycie tryb szyfrowania „zgodny” w kreatorze.

Algorytm szyfrowania i jego siła oraz wpływ na wydajność

Domyślnie BitLocker używa szyfrowania XTS-AES z kluczem 128-bitowym na dyskach wewnętrznych i AES-CBC 128 na dyskach zewnętrznych. Możesz zwiększyć szyfrowanie do 256 bitów lub dostosować algorytm w ustawieniach: „Szyfrowanie dysków BitLocker” > „Wybierz metodę i siłę szyfrowania…”. W zależności od wersji systemu Windows, dyski są podzielone według typu (rozruchowy, danych, wymienny). Zalecanym jest XTS-AES pod kątem wytrzymałości i wydajności.

W przypadku nowoczesnych procesorów (AES-NI) wpływ jest zazwyczaj minimalny, ale zdarzają się przypadki spadku wydajności, szczególnie na niektórych dyskach SSD z systemem Windows 11 Pro, gdy BitLocker jest wymuszany programowo na dyskach z szyfrowaniem sprzętowym. W przypadku niektórych modeli (na przykład Samsunga 990 Pro 4TB) odnotowano spadek wydajności nawet o 45% w przypadku odczytów losowych. W przypadku zauważenia znacznego pogorszenia wydajności, można: 1) Wyłącz BitLockera na tym woluminie (poświęcając bezpieczeństwo) lub 2) ponownie zainstaluj i wymuś sprzętowe szyfrowanie samego dysku SSD, jeśli jest niezawodny (proces bardziej złożony i zależny od producenta).

Należy pamiętać, że mocniejsze szyfrowanie (256 bitów) oznacza nieco większe obciążenie, jednak w przypadku obecnego sprzętu różnica ta jest zazwyczaj do opanowania. Priorytetem jest bezpieczeństwo jeśli przetwarzasz dane wrażliwe lub podlegające regulacjom.

Klucze odzyskiwania: gdzie je przechowywać i jak z nich korzystać

Zawsze twórz i zapisuj klucz odzyskiwania po włączeniu funkcji BitLocker. Dostępne opcje: „Zapisz na koncie Microsoft” (dostęp scentralizowany), „Zapisz na dysku flash USB”, „Zapisz do pliku” lub „Wydrukuj klucz”. Klucz to 48-cyfrowy kod, który umożliwia odblokowanie konta w przypadku zapomnienia hasła lub jeśli BitLocker wykryje anomalię rozruchu na jednostce systemowej.

Jeśli szyfrujesz wiele dysków, każdy klucz będzie miał unikalny identyfikator. Nazwa pliku klucza zazwyczaj zawiera identyfikator GUID, o który BitLocker poprosi podczas odzyskiwania. Aby wyświetlić klucze zapisane na koncie Microsoft, odwiedź stronę onedrive.live.com/recoverykey po zalogowaniu. Unikaj przechowywania kluczy na tym samym zaszyfrowanym dysku i zachowaj kopie offline.

BitLocker integruje konsola zarządzania gdzie możesz: zmienić hasło, dodać lub usunąć zabezpieczenia (hasło, PIN+TPM, karta inteligentna), ponownie wygenerować klucz odzyskiwania i wyłączyć szyfrowanie, gdy nie jest już potrzebne.

Obrazy ISO chronione hasłem: niezawodne alternatywy w systemie Windows 11

System Windows nie oferuje natywnego pliku ISO chronionego hasłem. Niektóre narzędzia konwertują do własnych formatów (np. „.DAA” w PowerISO), co nie jest idealnym rozwiązaniem, jeśli chcesz zachować plik „.ISO”. Zamiast tego utwórz zaszyfrowany kontener z VeraCrypt i zamontować na żądanie: działa jako zabezpieczony hasłem „dysk wirtualny” i jest przenośny.

Jeśli chcesz udostępnić coś lekkiego, nowoczesne archiwizatory umożliwiają szyfrowanie AES: utwórz chronione hasłem archiwum „.zip” lub „.7z” za pomocą narzędzi takich jak 7-Zip lub WinRAR i wybierz opcję szyfrowania nazw plików. W przypadku dysków zewnętrznych zalecaną metodą w systemie Windows Pro jest BitLocker To Go; w systemie Home… VeraCrypt idealnie spełnia swoje zadanie..

Biorąc pod uwagę powyższe, możesz zdecydować, czy zaszyfrować folder za pomocą EFS, cały dysk za pomocą BitLockera, czy utworzyć kontener za pomocą VeraCryptKluczem jest wybranie metody odpowiedniej do posiadanej wersji systemu Windows i sprzętu, bezpieczne przechowywanie klucza odzyskiwania oraz dostosowanie algorytmu i długości zgodnie z własnymi priorytetami. Jeśli zadbasz o te trzy punkty, Twoje dane będą chronione, a Ty nie będziesz sobie utrudniał życia..