Windows'ta BitLocker ve alternatifleriyle bir klasör nasıl şifrelenir

Bilgisayarınızda sakladıklarınızı korumak isteğe bağlı değil, olmazsa olmazdır. Windows, bilgisayarınız çalındığında veya başka bir sistemden erişmeye çalışıldığında, verilerinize yetkisiz erişimi önlemek için birden fazla güvenlik katmanı sunar. Yerleşik araçlarla (örneğin, bir klasörü BitLocker ile şifreleyebilirsiniz) şunları yapabilirsiniz... Dosyaları, klasörleri, tüm sürücüleri ve harici cihazları şifreleyin sadece birkaç tıklamayla.

Bu kılavuzda, BitLocker ve diğer alternatiflerle bir klasörü şifrelemek için ihtiyacınız olan her şeyi bulacaksınız. Hangi Windows sürümüne ihtiyacınız olduğunu, bilgisayarınızda TPM olup olmadığını nasıl kontrol edeceğinizi, tek tek öğeler için EFS'yi nasıl kullanacağınızı ve Kurtarma anahtarı nasıl oluşturulur ve doğru şekilde kaydedilir?Ayrıca, bir TPM'niz yoksa ne yapmanız gerektiğini, hangi algoritmayı ve anahtar uzunluğunu seçeceğinizi, olası performans etkilerini ve parola korumalı bir kapsayıcı/ISO gibi bir şey arıyorsanız hangi seçeneklerin mevcut olduğunu da açıklıyorum.

Windows hangi şifreleme seçeneklerini sunuyor ve bunlar arasındaki farklar nelerdir?

Windows'ta üç yaklaşım bir arada bulunur:

• cihaz şifrelemeDonanımınız belirli gereksinimleri karşılıyorsa korumayı otomatik olarak etkinleştirir ve ilk oturum açışınızdan sonra kurtarma anahtarını Microsoft hesabınıza bağlar. Genellikle Windows Home'da bile mevcuttur, ancak tüm bilgisayarlarda mevcut değildir.
• BitLocker, Pro, Enterprise ve Education sürümlerinde mevcut olan bu özellik, sistem sürücüsü ve diğer dahili veya harici sürücüler için tam disk şifrelemesidir (BitLocker To Go). Başlıca avantajı, tüm birimi uçtan uca korumasıdır.
• EFS (Şifreleme Dosya Sistemi), Tek tek dosya ve klasörler için tasarlanmıştır ve kullanıcı hesabınıza bağlıdır, böylece yalnızca şifreleyen kişi aynı profilden dosyaları açabilir. Birkaç hassas belge için idealdir, ancak kapsamlı koruma için BitLocker'ın yerini tutmaz.

Cihazınızın cihaz şifrelemesini ve TPM'yi destekleyip desteklemediğini nasıl anlarsınız?

'Cihaz şifrelemesi' uyumluluğunu kontrol etmek için Başlat'a gidin, 'Sistem Bilgileri'ni arayın, sağ tıklayın ve 'Yönetici olarak çalıştır'ı açın. 'Sistem Özeti'nde 'Cihaz şifrelemesi desteği' girişini bulun. 'Ön koşulları karşılıyor' ifadesini görüyorsanız, her şey tamam demektir; şu tür mesajlar görüyorsanız: 'TPM kullanılamıyor', 'WinRE yapılandırılmamış' veya 'PCR7 bağlaması desteklenmiyor'Bu noktaları düzeltmeniz gerekecektir (TPM/Güvenli Önyüklemeyi etkinleştirin, WinRE'yi yapılandırın, önyükleme sırasında harici dock'ları veya grafik kartlarını çıkarın, vb.).

TPM'nin mevcut olup olmadığını doğrulamak için: Windows + X tuşlarına basın, 'Aygıt Yöneticisi'ne gidin ve 'Güvenlik aygıtları' altında 1.2 veya üzeri sürüme sahip 'Güvenilir Platform Modülü (TPM)' öğesini arayın. Windows + R ile 'tpm.msc' komutunu da çalıştırabilirsiniz. BitLocker, TPM ile en iyi şekilde çalışırAma biraz aşağıda çip olmadan nasıl aktifleştireceğinizi göreceksiniz.

Dosyaları ve klasörleri EFS ile şifreleyin (Windows Pro/Enterprise/Eğitim)

Yalnızca belirli bir klasörü veya birkaç dosyayı korumak istiyorsanız, EFS hızlı ve kolaydır. Öğeye sağ tıklayın, "Özellikler"e gidin ve "Gelişmiş"e tıklayın. "Verileri korumak için içeriği şifrele" seçeneğini işaretleyin ve onaylayın. Bir klasörü şifrelerseniz, sistem değişikliği yalnızca klasöre mi yoksa alt klasörlerine ve dosyalarına da uygulamak isteyip istemediğinizi soracaktır. İhtiyaçlarınıza en uygun seçeneği seçin..

Etkinleştirildiğinde, simgenin üzerinde küçük bir asma kilit göreceksiniz. EFS, geçerli kullanıcı için şifreleme yapar; bu dosyayı başka bir bilgisayara kopyalarsanız veya başka bir hesaptan açmaya çalışırsanız okunamaz. Geçici dosyalara (örneğin, Word veya Photoshop gibi uygulamalardan) dikkat edin: Kök klasör şifrelenmemişse, kırıntılar korunmasız bırakılabilirBu nedenle belgelerinizin bulunduğu klasörün tamamını şifrelemeniz önerilir.

Şiddetle tavsiye edilir: Şifreleme sertifikanızı yedekleyin. Windows, "anahtarınızı şimdi yedekleyin" uyarısını verecektir. Sertifika dışa aktarma sihirbazını izleyin, anahtarı bir USB sürücüye kaydedin ve güçlü bir parola ile koruyun. Windows'u yeniden yüklerseniz veya kullanıcı değiştirirseniz ve anahtarı dışa aktarmazsanız erişiminizi kaybedebilirsiniz..

Şifreyi çözmek için şu işlemi tekrarlayın: özellikler, gelişmiş, 'Verileri korumak için içeriği şifrele' seçeneğinin işaretini kaldırın Ve geçerlidir. Windows 11'deki davranış aynıdır, dolayısıyla adım adım süreç de aynıdır.

BitLocker ile bir klasörü şifreleme (Windows Pro/Enterprise/Eğitim)

BitLocker, dahili veya harici tüm birimleri şifreler. Dosya Gezgini'nde, korumak istediğiniz sürücüye sağ tıklayın ve "BitLocker'ı Etkinleştir"i seçin. Seçenek görünmüyorsa, Windows sürümünüz bu seçeneği içermiyor demektir. Eksik bir TPM hakkında uyarı alırsanız, Endişelenmeyin, TPM olmadan da kullanılabilirSadece birazdan açıklayacağım bir politika ayarlaması gerekiyor.

Yardımcı, sürücünün kilidini nasıl açacağınızı soracaktır: parola ile mi yoksa akıllı kart ile mi? En iyi seçenek, entropisi yüksek (büyük harf, küçük harf, sayı ve semboller) bir parola kullanmaktır. Ardından, kurtarma anahtarını nereye kaydedeceğinizi seçin: Microsoft hesabınızda, bir USB sürücüde, bir dosyada veya yazdırabilirsiniz. Microsoft hesabına kaydet Çok pratiktir (onedrive.live.com/recoverykey adresinden erişebilirsiniz), ancak buna çevrimdışı bir kopya daha eklemeniz gerekir.

Bir sonraki adımda, yalnızca kullanılan alanı mı yoksa tüm sürücüyü mü şifreleyeceğinize karar verin. İlk seçenek yeni sürücüler için daha hızlıdır; daha önce kullanılmış bilgisayarlar içinse, kurtarılabilecek silinmiş verileri korumak adına tüm sürücüyü şifrelemek daha iyidir. Daha fazla güvenlik, daha fazla başlangıç ​​süresi demektir..

Son olarak, şifreleme modunu seçin: modern sistemler için 'yeni' veya sürücüyü eski Windows sürümlerine sahip bilgisayarlar arasında taşıyorsanız 'uyumlu'. 'BitLocker sistem doğrulamasını çalıştır' Ve devam ediyor. Sistem sürücüsüyse, bilgisayar yeniden başlatılacak ve başlangıçta BitLocker parolanızı isteyecek; veri sürücüsüyse, şifreleme arka planda başlayacak ve çalışmaya devam edebileceksiniz.

Fikrinizi değiştirirseniz, Explorer'da şifrelenmiş sürücüye sağ tıklayın ve 'BitLocker'ı Yönet' seçeneğine giderek o bilgisayarda otomatik kilit açmayı devre dışı bırakın, parolayı değiştirin, kurtarma anahtarını yeniden oluşturun veya etkinleştirin. BitLocker en az bir kimlik doğrulama yöntemi olmadan çalışmaz.

TPM Olmadan BitLocker Kullanımı: Grup İlkesi ve Başlatma Seçenekleri

TPM'niz yoksa, 'gpedit.msc' (Windows + R) ile Yerel Grup İlkesi Düzenleyicisi'ni açın ve 'Bilgisayar Yapılandırması' > 'Yönetim Şablonları' > 'Windows Bileşenleri' > 'BitLocker Sürücü Şifrelemesi' > 'İşletim Sistemi Sürücüleri'ne gidin. 'Başlangıçta ek kimlik doğrulaması gerektir' seçeneğini açın ve 'Etkin' olarak ayarlayın. 'Uyumlu bir TPM olmadan BitLocker'a izin ver' seçeneğinin yanındaki kutuyu işaretleyin. Değişiklikleri uygulayın ve 'gpupdate /target:Computer /force' komutunu çalıştırın uygulanmasını zorlamak için.

Sistem diskinizde BitLocker sihirbazını başlattığınızda, size iki yöntem sunulacaktır: 'Bir USB flash sürücü takın' (bu, her başlatmada bağlanması gereken bir .BEK önyükleme anahtarı kaydeder) veya 'Bir parola girin' (önyükleme öncesi PIN/parola). USB kullanıyorsanız, bilgisayarınızın USB sürücüden önyükleme yapabilmesi için BIOS/UEFI ayarlarınızdaki önyükleme sırasını değiştirin. Bu USB sürücüsünden önyükleme yapmayı denemeyin.İşlem sırasında her şey bitene kadar USB belleği çıkarmayın.

Şifrelemeden önce BitLocker bir işlem gerçekleştirebilir 'sistem testi' Başlatma sırasında anahtara erişebileceğinizi onaylamak için. Önyükleme mesajıyla başarısız olursa, önyükleme sırasını ve güvenlik seçeneklerini (Güvenli Önyükleme vb.) kontrol edin ve tekrar deneyin.

BitLocker To Go: USB sürücülerinizi ve harici sabit disklerinizi koruyun

Harici cihazı bağlayın, Dosya Gezgini'nde sürücüye sağ tıklayın ve "BitLocker'ı Aç"ı seçin. Bir parola belirleyin ve kurtarma anahtarını kaydedin. Otomatik kilit açmayı etkinleştirmek için "Bu bilgisayarda bir daha sorma" seçeneğini işaretleyebilirsiniz. Diğer bilgisayarlarda, Bağlantı sırasında şifre istenecektir İçeriğini okuyabilmeden önce.

Çok eski sistemlerde (Windows XP/Vista), kilit açma için yerel destek bulunmaz; ancak Microsoft, FAT biçimli sürücülerde salt okunur erişim için 'BitLocker To Go Reader'ı yayınladı. Geriye dönük uyumluluk istiyorsanız, 'uyumlu' şifreleme modu sihirbazda.

Şifreleme algoritması ve gücü ve performans üzerindeki etkileri

Varsayılan olarak BitLocker, dahili sürücülerde 128 bit anahtarlı XTS-AES, harici sürücülerde ise AES-CBC 128 kullanır. Şifrelemeyi 256 bite çıkarabilir veya algoritmayı ayarlardan düzenleyebilirsiniz: 'BitLocker Sürücü Şifrelemesi' > 'Şifreleme yöntemini ve gücünü seçin…'. Windows sürümüne bağlı olarak, bu değer sürücü türüne (önyükleme, veri, çıkarılabilir) göre değişir. XTS-AES önerilenidir sağlamlık ve performans için.

Modern CPU'larda (AES-NI) etki genellikle minimum düzeydedir, ancak özellikle Windows 11 Pro yüklü bazı SSD'lerde, BitLocker donanım şifrelemeli sürücülerde yazılım aracılığıyla uygulandığında performans düşüşleri yaşanabilir. Belirli modellerde (örneğin, Samsung 990 Pro 4TB) rastgele okumalarda %45'e kadar daha düşük performans ölçülmüştür. Ciddi bir performans düşüşü fark ederseniz şunları yapabilirsiniz: 1) BitLocker'ı devre dışı bırakın o birimde (güvenliği feda ederek) veya 2) güvenilir ise SSD'nin donanım şifrelemesini yeniden kurun ve zorlayın (daha karmaşık bir işlemdir ve üreticiye bağlıdır).

Daha güçlü şifrelemenin (256 bit) biraz daha fazla yük anlamına geldiğini unutmayın, ancak mevcut ekipmanlarda fark genellikle yönetilebilir düzeydedir. Güvenliği önceliklendirin hassas veya düzenlenmiş verileri işliyorsanız.

Kurtarma anahtarları: Bunları nerede saklamalı ve nasıl kullanmalısınız?

BitLocker'ı etkinleştirdiğinizde her zaman bir kurtarma anahtarı oluşturun ve kaydedin. Kullanılabilir seçenekler: 'Microsoft hesabınıza kaydedin' (merkezi erişim), 'USB flash sürücüye kaydedin', 'Dosyaya kaydedin' veya 'Anahtarı yazdırın'. Anahtar, parolanızı veya parolanızı unutursanız hesabınızın kilidini açmanızı sağlayan 48 haneli bir koddur. BitLocker bir önyükleme anormalliği tespit ederse sistem biriminde.

Birden fazla sürücüyü şifrelerseniz, her anahtarın benzersiz bir tanımlayıcısı olur. Anahtar dosya adı genellikle BitLocker'ın kurtarma sırasında isteyeceği bir GUID içerir. Microsoft hesabınıza kaydedilen anahtarları görüntülemek için oturumunuz açıkken onedrive.live.com/recoverykey adresini ziyaret edin. Anahtarları aynı şifrelenmiş sürücüde saklamaktan kaçının ve çevrimdışı kopyalarını saklayın.

BitLocker bir yönetim konsolu Burada şunları yapabilirsiniz: şifreyi değiştirebilir, güvenlik önlemlerini ekleyebilir veya kaldırabilirsiniz (şifre, PIN+TPM, akıllı kart), kurtarma anahtarını yeniden oluşturabilir ve artık ihtiyacınız olmadığında şifrelemeyi devre dışı bırakabilirsiniz.

Parola korumalı ISO'lar: Windows 11'de güvenilir alternatifler

Windows, yerel bir 'parola korumalı ISO' sunmaz. Bazı yardımcı programlar kendi biçimlerine dönüştürür (PowerISO'daki '.DAA' gibi). Bu, '.ISO' dosyasını saklamanız gerekiyorsa ideal değildir. Bunun yerine, bir VeraCrypt ile şifrelenmiş kapsayıcı ve talep üzerine monte edilebilir: şifreyle korunan bir 'sanal sürücü' olarak çalışır ve taşınabilirdir.

Paylaşmak için hafif bir şey istiyorsanız, modern arşivleyiciler AES ile şifrelemeye izin verir: 7-Zip veya WinRAR gibi araçları kullanarak parola korumalı bir '.zip' veya '.7z' arşivi oluşturun ve dosya adlarını şifreleme seçeneğini belirleyin. Harici sürücüler için, Windows Pro'da BitLocker To Go önerilen yöntemdir; Home'da ise VeraCrypt amacını mükemmel bir şekilde yerine getiriyor..

Yukarıdakilerin hepsiyle, bir klasörü EFS ile, tüm bir sürücüyü BitLocker ile şifrelemeye veya bir kapsayıcı oluşturmaya karar verebilirsiniz. VeraCryptÖnemli olan, Windows sürümünüze ve donanımınıza uygun yöntemi seçmek, kurtarma anahtarını güvenli bir yerde saklamak ve algoritmayı/uzunluğu önceliklerinize göre ayarlamak. Bu üç noktaya dikkat ettiğiniz takdirde, hayatınızı zorlaştırmadan verilerinizin korunmasını sağlayabilirsiniz..