Kako šifrirati mapo z BitLockerjem in alternativami v sistemu Windows

Zaščita shranjenih podatkov v računalniku ni neobvezna: je bistvena. Windows ponuja več plasti varnosti, ki preprečuje nepooblaščen dostop do vaših podatkov, ne glede na to, ali je vaš računalnik ukraden ali pa nekdo poskuša dostopati do njega iz drugega sistema. Z vgrajenimi orodji (na primer, mapo lahko šifrirate z BitLockerjem) lahko ... Šifriranje datotek, map, celotnih pogonov in zunanjih naprav z le nekaj kliki.

V tem priročniku boste našli vse, kar potrebujete za šifriranje mape z BitLockerjem in drugimi alternativami. Videli boste, katero izdajo sistema Windows potrebujete, kako preveriti, ali ima vaš računalnik TPM, kako uporabljati EFS za posamezne elemente in Kako ustvariti in pravilno shraniti ključ za obnovitevPojasnil bom tudi, kaj storiti, če nimate TPM-ja, kateri algoritem in dolžino ključa izbrati, možne vplive na zmogljivost in katere možnosti so na voljo, če iščete nekaj takega kot z geslom zaščiten vsebnik/ISO.

Katere možnosti šifriranja ponuja Windows in kako se razlikujejo?

V sistemu Windows obstajajo trije pristopi:

• Šifriranje napraveSamodejno aktivira zaščito, če vaša strojna oprema izpolnjuje določene zahteve, in po prvi prijavi poveže ključ za obnovitev z vašim Microsoftovim računom. Običajno je na voljo celo v sistemu Windows Home, vendar ne v vseh računalnikih.
• BitLocker, Na voljo v izdajah Pro, Enterprise in Education, to šifriranje celotnega diska za sistemski pogon in druge notranje ali zunanje pogone (BitLocker To Go). Njegova glavna prednost je, da ščiti celoten nosilec podatkov od začetka do konca.
• EFS (šifrirni datotečni sistem), Zasnovan je za posamezne datoteke in mape ter je povezan z vašim uporabniškim računom, zato jih lahko iz istega profila odpre le oseba, ki jih šifrira. Idealen je za peščico občutljivih dokumentov, vendar ne nadomešča BitLockerja za celovito zaščito.

Kako ugotoviti, ali vaša naprava podpira šifriranje naprave in TPM

Če želite preveriti združljivost »šifriranja naprav«, pojdite v meni Start, poiščite »Sistemske informacije«, kliknite z desno tipko miške in odprite »Zaženi kot skrbnik«. V razdelku »Povzetek sistema« poiščite vnos »Podpora za šifriranje naprav«. Če vidite »Izpolnjuje predpogoje«, ste pripravljeni; če vidite sporočila, kot je »TPM ni mogoče uporabiti«, »WinRE ni konfiguriran« ali »Vezanje PCR7 ni podprto«Te točke boste morali popraviti (aktivirati TPM/Secure Boot, konfigurirati WinRE, odklopiti zunanje priklopne postaje ali grafične kartice med zagonom itd.).

Če želite preveriti, ali je TPM prisoten: pritisnite Windows + X, pojdite v »Upravitelj naprav« in v razdelku »Varnostne naprave« poiščite »Modul zaupanja vredne platforme (TPM)« z različico 1.2 ali novejšo. Datoteko »tpm.msc« lahko zaženete tudi s kombinacijo tipk Windows + R. BitLocker deluje najbolje s TPMAmpak spodaj boste videli, kako ga aktivirati brez tega čipa.

Šifriranje datotek in map z EFS (Windows Pro/Enterprise/Education)

Če želite zaščititi le določeno mapo ali nekaj datotek, je EFS hiter in enostaven. Z desno miškino tipko kliknite element, pojdite na »Lastnosti« in kliknite »Napredno«. Označite »Šifriraj vsebino za zaščito podatkov« in potrdite. Če šifrirate mapo, vas bo sistem vprašal, ali želite spremembo uporabiti samo za mapo ali tudi za njene podmape in datoteke. Izberite možnost, ki najbolj ustreza vašim potrebam..

Ko je aktivirana, boste na ikoni videli majhno ključavnico. EFS šifrira za trenutnega uporabnika; če to datoteko kopirate v drug računalnik ali jo poskusite odpreti iz drugega računa, je ne bo mogoče brati. Bodite previdni pri začasnih datotekah (na primer iz aplikacij, kot sta Word ali Photoshop): če korenska mapa ni šifrirana, drobtine bi lahko ostale nezaščiteneZato je priporočljivo šifrirati celotno mapo, ki vsebuje vaše dokumente.

Zelo priporočljivo: varnostno kopirajte šifrirni certifikat. Windows vas bo pozval, da zdaj »varnostno kopirate ključ«. Sledite čarovniku za izvoz certifikata, shranite ključ na pogon USB in ga zaščitite z močnim geslom. Če znova namestite Windows ali zamenjate uporabnika in ključa niste izvozili, lahko izgubite dostop..

Za dešifriranje ponovite postopek: lastnosti, napredno, Počistite polje »Šifriraj vsebino za zaščito podatkov« In to velja. Obnašanje v sistemu Windows 11 je enako, zato je postopek korak za korakom enak.

Šifriranje mape z BitLockerjem (Windows Pro/Enterprise/Education)

BitLocker šifrira celotne nosilce podatkov, notranje ali zunanje. V Raziskovalcu z desno tipko miške kliknite pogon, ki ga želite zaščititi, in izberite »Vklopi BitLocker«. Če se možnost ne prikaže, vaša različica sistema Windows te možnosti ne vključuje. Če se prikaže opozorilo o manjkajočem modulu TPM, Brez skrbi, lahko se uporablja brez TPM-ja.Zahteva le prilagoditev politike, ki jo bom razložil takoj zatem.

Pomočnik vas bo vprašal, kako odkleniti pogon: z geslom ali pametno kartico. Najbolje je uporabiti geslo z dobro entropijo (velike črke, male črke, številke in simboli). Nato izberite, kam želite shraniti ključ za obnovitev: v Microsoftov račun, na pogon USB, v datoteko ali ga natisniti. Shrani v Microsoftov račun Je zelo praktično (dostop prek onedrive.live.com/recoverykey), vendar mu priložite dodatno kopijo brez povezave.

V naslednjem koraku se odločite, ali boste šifrirali samo uporabljeni prostor ali celoten pogon. Prva možnost je hitrejša za nove pogone; za že uporabljene računalnike je bolje šifrirati celoten pogon, da zaščitite izbrisane podatke, ki jih je še mogoče obnoviti. Večja varnost pomeni več začetnega časa..

Na koncu izberite način šifriranja: »novo« za sodobne sisteme ali »združljivo«, če pogon premikate med računalniki s starejšimi različicami sistema Windows. »Zaženi preverjanje sistema BitLocker« In se nadaljuje. Če gre za sistemski pogon, se bo računalnik znova zagnal in ob zagonu zahteval geslo za BitLocker; če gre za podatkovni pogon, se bo šifriranje začelo v ozadju in lahko boste nadaljevali z delom.

Če si premislite, v Raziskovalcu z desno tipko miške kliknite šifrirani pogon in pojdite na »Upravljanje BitLockerja«, da onemogočite, spremenite geslo, ponovno ustvarite ključ za obnovitev ali omogočite samodejno odklepanje v tem računalniku. BitLocker ne deluje brez vsaj enega načina preverjanja pristnosti.

Uporaba BitLockerja brez TPM: pravilnik skupine in možnosti zagona

Če nimate TPM-ja, odprite urejevalnik lokalnih skupinskih pravilnikov z »gpedit.msc« (Windows + R) in se pomaknite do »Konfiguracija računalnika« > »Skrbniške predloge« > »Komponente sistema Windows« > »Šifriranje pogona BitLocker« > »Pogoni operacijskega sistema«. Odprite možnost »Zahtevaj dodatno preverjanje pristnosti ob zagonu« in jo nastavite na »Omogočeno«. Potrdite polje poleg možnosti »Dovoli BitLocker brez združljivega TPM-ja«. Uporabite spremembe in zaženite 'gpupdate /target:Computer /force' da bi prisilili k njegovi uporabi.

Ko zaženete čarovnika BitLocker na sistemskem disku, vam bo ponudil dva načina: »Vstavite pogon USB« (s tem boste shranili zagonski ključ .BEK, ki ga je treba priključiti ob vsakem zagonu) ali »Vnesite geslo« (PIN/geslo pred zagonom). Če uporabljate USB, spremenite vrstni red zagona v nastavitvah BIOS-a/UEFI, da se bo računalnik lahko zagnal s pogona USB. Ne poskušajte zagnati sistema s tega USB pogona.Med postopkom ne odstranjujte pogona USB, dokler ni vse končano.

Pred šifriranjem lahko BitLocker izvede 'preizkus sistema' da potrdite, da boste med zagonom lahko dostopali do ključa. Če zagon ne uspe in prikaže se sporočilo o zagonu, preverite vrstni red zagona in varnostne možnosti (Varni zagon itd.) ter poskusite znova.

BitLocker To Go: Zaščita USB-pogonov in zunanjih trdih diskov

Priključite zunanjo napravo, z desno miškino tipko kliknite pogon v Raziskovalcu in izberite »Vklopi BitLocker«. Nastavite geslo in shranite obnovitveni ključ. Če želite omogočiti samodejno odklepanje, lahko označite možnost »Ne vprašaj več v tem računalniku«. V drugih računalnikih, Geslo bo zahtevano ob vzpostavitvi povezave preden bi lahko prebrali njegovo vsebino.

V zelo starih sistemih (Windows XP/Vista) ni izvorne podpore za odklepanje, vendar je Microsoft izdal »BitLocker To Go Reader« za dostop samo za branje na diskih, formatiranih s FAT. Če načrtujete združljivost s prejšnjimi različicami, razmislite o uporabi »združljiv« način šifriranja v čarovniku.

Šifrirni algoritem in moč ter njun vpliv na delovanje

BitLocker privzeto uporablja XTS-AES s 128-bitnim ključem na notranjih pogonih in AES-CBC 128 na zunanjih pogonih. Šifriranje lahko povečate na 256 bitov ali prilagodite algoritem v nastavitvah: »Šifriranje pogona BitLocker« > »Izberite način in moč šifriranja…«. Glede na različico sistema Windows je to razdeljeno po vrsti pogona (zagonski, podatkovni, odstranljivi). Priporočen je XTS-AES za robustnost in zmogljivost.

Pri sodobnih procesorjih (AES-NI) je vpliv običajno minimalen, vendar obstajajo primeri, ko se zmogljivost zmanjša, zlasti na nekaterih SSD-jih z operacijskim sistemom Windows 11 Pro, ko se BitLocker uveljavlja prek programske opreme na diskih s strojnim šifriranjem. Pri določenih modelih (na primer Samsung 990 Pro 4TB) je bila pri naključnih branjih izmerjena do 45 % manjša zmogljivost. Če opazite hudo poslabšanje, lahko: 1) Onemogočite BitLocker v tem nosilcu (žrtvovanje varnosti) ali 2) ponovno namestite in vsilite strojno šifriranje samega SSD-ja, če je zanesljiv (bolj zapleten postopek in odvisen od proizvajalca).

Ne pozabite, da močnejše šifriranje (256 bitov) pomeni nekoliko večjo obremenitev, vendar je na trenutni opremi razlika običajno obvladljiva. Dajte prednost varnosti če obravnavate občutljive ali regulirane podatke.

Ključi za obnovitev: kje jih shraniti in kako jih uporabljati

Ko omogočite BitLocker, vedno ustvarite in shranite obnovitveni ključ. Razpoložljive možnosti: »Shrani v Microsoftov račun« (centraliziran dostop), »Shrani na pogon USB«, »Shrani v datoteko« ali »Natisni ključ«. Ključ je 48-mestna koda, ki vam omogoča odklepanje računa, če pozabite geslo ali če BitLocker zazna anomalijo pri zagonu na sistemski enoti.

Če šifrirate več pogonov, bo imel vsak ključ enoličen identifikator. Ime datoteke ključa običajno vključuje GUID, ki ga BitLocker zahteva med obnovitvijo. Če si želite ogledati ključe, shranjene v vašem Microsoftovem računu, obiščite onedrive.live.com/recoverykey, ko ste prijavljeni. Izogibajte se shranjevanju ključev na istem šifriranem disku in hranite kopije brez povezave.

BitLocker integrira upravljalna konzola kjer lahko: spremenite geslo, dodate ali odstranite varnostne ukrepe (geslo, PIN+TPM, pametna kartica), ponovno ustvarite ključ za obnovitev in onemogočite šifriranje, ko ga ne potrebujete več.

Z geslom zaščitene datoteke ISO: zanesljive alternative v sistemu Windows 11

Windows ne ponuja izvorne datoteke ISO, zaščitene z geslom. Nekatera orodja pretvorijo datoteke v lastne formate (kot je ».DAA« v PowerISO), kar ni idealno, če morate obdržati datoteko ».ISO«. Namesto tega ustvarite šifrirana posoda z VeraCryptom in ga namestiti na zahtevo: deluje kot z geslom zaščiten »virtualni pogon« in je prenosljiv.

Če želite nekaj lahkega za skupno rabo, sodobni arhivarji omogočajo šifriranje z AES: ustvarite arhiv '.zip' ali '.7z', zaščiten z geslom, z orodji, kot sta 7-Zip ali WinRAR, in izberite možnost šifriranja imen datotek. Za zunanje pogone je v sistemu Windows Pro priporočena metoda BitLocker To Go; v sistemu Home pa ... VeraCrypt odlično izpolnjuje svoj namen..

Z vsem zgoraj navedenim se lahko odločite, ali želite šifrirati mapo z EFS, celoten pogon z BitLockerjem ali ustvariti vsebnik z VeraCryptKljučno je izbrati metodo, ki ustreza vaši izdaji in strojni opremi sistema Windows, shraniti ključ za obnovitev na varnem in prilagoditi algoritem/dolžino glede na vaše prioritete. Če boste upoštevali te tri točke, boste imeli svoje podatke zaščitene, ne da bi si pri tem zapletli življenje..