Як зашифрувати папку за допомогою BitLocker та альтернативи у Windows

Захист даних, які ви зберігаєте на своєму ПК, не є необов’язковим: це важливо. Windows пропонує кілька рівнів безпеки, щоб запобігти несанкціонованому доступу до ваших даних, незалежно від того, чи ваш комп’ютер викрадено, чи хтось намагається отримати до нього доступ з іншої системи. За допомогою вбудованих інструментів (наприклад, ви можете зашифрувати папку за допомогою BitLocker) ви можете... Шифруйте файли, папки, цілі диски та зовнішні пристрої лише кількома клацаннями.

У цьому посібнику ви знайдете все необхідне для шифрування папки за допомогою BitLocker та інших альтернатив. Ви дізнаєтесь, яка версія Windows вам потрібна, як перевірити, чи є на вашому комп’ютері TPM, як використовувати EFS для окремих елементів, а також Як створити та правильно зберегти ключ відновленняЯ також пояснюю, що робити, якщо у вас немає TPM, який алгоритм і довжину ключа вибрати, можливий вплив на продуктивність і які опції доступні, якщо ви шукаєте щось на кшталт контейнера/ISO, захищеного паролем.

Які варіанти шифрування пропонує Windows і чим вони відрізняються?

У Windows співіснують три підходи:

• шифрування пристроюВін автоматично активує захист, якщо ваше обладнання відповідає певним вимогам, і пов’язує ключ відновлення з вашим обліковим записом Microsoft після першого входу. Зазвичай він доступний навіть у Windows Home, але не на всіх комп’ютерах.
• BitLocker, Доступне у версіях Pro, Enterprise та Education, це повне шифрування диска для системного диска та інших внутрішніх або зовнішніх дисків (BitLocker To Go). Його головна перевага полягає в тому, що воно захищає весь том від початку до кінця.
• EFS (Шифрована файлова система), Розроблений для окремих файлів і папок, він пов’язаний з вашим обліковим записом користувача, тому лише людина, яка їх шифрує, може відкрити їх з того самого профілю. Він ідеально підходить для кількох конфіденційних документів, але не замінює BitLocker для комплексного захисту.

Як дізнатися, чи підтримує ваш пристрій шифрування та TPM

Щоб перевірити сумісність «шифрування пристрою», перейдіть до меню «Пуск», знайдіть «Відомості про систему», клацніть правою кнопкою миші та відкрийте «Запуск від імені адміністратора». У розділі «Зведення системи» знайдіть запис «Підтримка шифрування пристрою». Якщо ви бачите «Відповідає вимогам», все готово; якщо ви бачите повідомлення типу «TPM не можна використовувати», «WinRE не налаштовано» або «Прив’язка PCR7 не підтримується»Вам потрібно буде виправити ці пункти (активувати TPM/Secure Boot, налаштувати WinRE, відключити зовнішні док-станції або відеокарти під час завантаження тощо).

Щоб перевірити наявність TPM: натисніть Windows + X, перейдіть до «Диспетчера пристроїв» і в розділі «Пристрої безпеки» знайдіть «Модуль довіреної платформи (TPM)» версії 1.2 або пізнішої. Ви також можете запустити «tpm.msc» за допомогою Windows + R. BitLocker найкраще працює з TPMАле далі ви побачите, як активувати його без цього чіпа.

Шифрування файлів і папок за допомогою EFS (Windows Pro/Enterprise/Education)

Якщо ви хочете захистити лише певну папку або кілька файлів, EFS — це швидко та легко. Клацніть правою кнопкою миші на елементі, перейдіть до розділу «Властивості» та натисніть «Додатково». Поставте позначку «Зашифрувати вміст для захисту даних» та підтвердьте. Якщо ви зашифруєте папку, система запитає, чи хочете ви застосувати зміни лише до папки, чи також до її підпапок та файлів. Оберіть варіант, який найкраще відповідає вашим потребам..

Після активації на значку ви побачите маленький замок. EFS шифрує дані поточного користувача; якщо ви скопіюєте цей файл на інший ПК або спробуєте відкрити його з іншого облікового запису, він не буде читабельним. Будьте обережні з тимчасовими файлами (наприклад, з таких програм, як Word або Photoshop): якщо коренева папка не зашифрована, крихти можуть залишитися незахищенимиОсь чому рекомендується зашифрувати всю папку, яка містить ваші документи.

Настійно рекомендується: створіть резервну копію сертифіката шифрування. Windows запропонує вам «створити резервну копію ключа зараз». Дотримуйтесь інструкцій майстра експорту сертифікатів, збережіть ключ на USB-накопичувачі та захистіть його надійним паролем. Якщо ви перевстановите Windows або зміните користувачів і не експортуєте ключ, ви можете втратити доступ..

Щоб розшифрувати, повторіть процес: властивості, додаткові, Зніміть прапорець «Шифрувати вміст для захисту даних» І це стосується справ. Поведінка у Windows 11 ідентична, тому покроковий процес такий самий.

Шифрування папки за допомогою BitLocker (Windows Pro/Enterprise/Education)

BitLocker шифрує цілі томи, внутрішні чи зовнішні. У Провіднику файлів клацніть правою кнопкою миші диск, який потрібно захистити, і виберіть «Увімкнути BitLocker». Якщо цей параметр не відображається, ваша версія Windows його не містить. Якщо ви отримуєте попередження про відсутність TPM, Не хвилюйтеся, його можна використовувати без TPM.Це просто вимагає коригування політики, про що я розповім одразу після.

Помічник запитає вас, як розблокувати диск: за допомогою пароля чи смарт-картки. Найкраще використовувати пароль із гарною ентропією (великі літери, малі літери, цифри та символи). Потім виберіть, де зберегти ключ відновлення: у вашому обліковому записі Microsoft, на USB-накопичувачі, у файлі або роздрукувати його. Зберегти в обліковому записі Microsoft Це дуже практично (доступ через onedrive.live.com/recoverykey), але додайте до нього додаткову офлайн-копію.

На наступному кроці вирішіть, чи шифрувати лише використаний простір, чи весь диск. Перший варіант швидший для нових дисків; для комп’ютерів, що використовувалися раніше, краще зашифрувати весь диск, щоб захистити видалені дані, які ще можна відновити. Більша безпека означає більше початкового часу..

Нарешті, виберіть режим шифрування: «новий» для сучасних систем або «сумісний», якщо ви переміщуєте диск між ПК зі старими версіями Windows. «Запустити перевірку системи BitLocker» І це продовжується. Якщо це системний диск, комп’ютер перезавантажиться та запитає пароль BitLocker під час запуску; якщо це диск із даними, шифрування розпочнеться у фоновому режимі, і ви зможете продовжити роботу.

Якщо ви передумаєте, у Провіднику клацніть правою кнопкою миші на зашифрованому диску та перейдіть до розділу «Керування BitLocker», щоб вимкнути, змінити пароль, повторно створити ключ відновлення або ввімкнути автоматичне розблокування на цьому комп’ютері. BitLocker не працює без хоча б одного методу автентифікації.

Використання BitLocker без TPM: групова політика та параметри запуску

Якщо у вас немає TPM, відкрийте редактор локальної групової політики за допомогою «gpedit.msc» (Windows + R) і перейдіть до розділу «Конфігурація комп’ютера» > «Адміністративні шаблони» > «Компоненти Windows» > «Шифрування диска BitLocker» > «Диски операційної системи». Відкрийте пункт «Вимагати додаткової автентифікації під час запуску» та встановіть для нього значення «Увімкнено». Поставте прапорець навпроти пункту «Дозволити BitLocker без сумісного TPM». Застосуйте зміни та запустіть команду «gpupdate /target:Computer /force» примусити до його застосування.

Коли ви запускаєте майстер BitLocker на системному диску, він пропонує два способи: «Вставте USB-флешку» (це збереже ключ завантаження .BEK, який потрібно підключати під час кожного запуску) або «Введіть пароль» (PIN-код/пароль перед завантаженням). Якщо ви використовуєте USB, змініть порядок завантаження в налаштуваннях BIOS/UEFI, щоб комп’ютер міг завантажуватися з USB-накопичувача. Не намагайтеся завантажитися з цього USB-накопичувача.Під час процесу не виймайте USB-накопичувач, доки все не буде завершено.

Перед шифруванням BitLocker може виконати «системний тест» щоб підтвердити, що ви зможете отримати доступ до ключа під час запуску. Якщо це не вдається і з’являється повідомлення про завантаження, перевірте порядок завантаження та параметри безпеки (Secure Boot тощо) і спробуйте ще раз.

BitLocker To Go: Захист USB-накопичувачів та зовнішніх жорстких дисків

Підключіть зовнішній пристрій, клацніть правою кнопкою миші на диску у Провіднику файлів і виберіть «Увімкнути BitLocker». Встановіть пароль і збережіть ключ відновлення. Ви можете поставити галочку навпроти «Більше не запитувати на цьому ПК», щоб увімкнути автоматичне розблокування. На інших ПК… Пароль буде запрошено під час підключення перш ніж вдасться прочитати його вміст.

На дуже старих системах (Windows XP/Vista) немає вбудованої підтримки розблокування, але Microsoft випустила «BitLocker To Go Reader» для доступу лише для читання на дисках, відформатованих у FAT. Якщо ви плануєте зворотну сумісність, розгляньте можливість використання «сумісний» режим шифрування у майстрі.

Алгоритм шифрування та його стійкість, а також їхній вплив на продуктивність

За замовчуванням BitLocker використовує XTS-AES зі 128-бітним ключем на внутрішніх дисках та AES-CBC 128 на зовнішніх дисках. Ви можете збільшити шифрування до 256 бітів або налаштувати алгоритм у налаштуваннях: «Шифрування диска BitLocker» > «Вибрати метод та стійкість шифрування…». Залежно від версії Windows, це поділяється за типом диска (завантажувальний, для даних, знімний). Рекомендований варіант – XTS-AES. для надійності та продуктивності.

З сучасними процесорами (AES-NI) вплив зазвичай мінімальний, але бувають випадки падіння продуктивності, особливо на певних SSD-накопичувачах з Windows 11 Pro, коли BitLocker застосовується програмно на дисках з апаратним шифруванням. У випадкових операціях читання на певних моделях (наприклад, Samsung 990 Pro 4TB) було зафіксовано зниження продуктивності до 45%. Якщо ви помітили значне зниження продуктивності, ви можете: 1) Вимкніть BitLocker у цьому томі (жертвуючи безпекою) або 2) перевстановити та примусово шифрувати сам SSD-накопичувач, якщо він надійний (складніший процес, який залежить від виробника).

Пам’ятайте, що сильніше шифрування (256 біт) означає дещо більше навантаження, але на сучасному обладнанні різниця зазвичай прийнятна. Безпека – пріоритет якщо ви обробляєте конфіденційні або регульовані дані.

Ключі відновлення: де їх зберігати та як використовувати

Завжди створюйте та зберігайте ключ відновлення, коли вмикаєте BitLocker. Доступні опції: «Зберегти у вашому обліковому записі Microsoft» (централізований доступ), «Зберегти на USB-флеш-накопичувачі», «Зберегти у файлі» або «Друкувати ключ». Ключ — це 48-значний код, який дозволяє розблокувати обліковий запис, якщо ви забудете пароль або якщо BitLocker виявляє аномалію завантаження на системному блоці.

Якщо ви шифруєте кілька дисків, кожен ключ матиме унікальний ідентифікатор. Ім’я файлу ключа зазвичай містить GUID, який BitLocker запитуватиме під час відновлення. Щоб переглянути ключі, збережені у вашому обліковому записі Microsoft, відвідайте onedrive.live.com/recoverykey, увійшовши в систему. Уникайте зберігання ключів на одному зашифрованому диску та зберігати офлайн-копії.

BitLocker інтегрує консоль керування де ви можете: змінити пароль, додати або видалити заходи безпеки (пароль, PIN+TPM, смарт-картку), повторно створити ключ відновлення та вимкнути шифрування, коли воно вам більше не потрібне.

Захищені паролем ISO-образи: надійні альтернативи у Windows 11

Windows не пропонує вбудованого «ISO-образу, захищеного паролем». Деякі утиліти конвертують його у власні формати (наприклад, «.DAA» у PowerISO), що не ідеально, якщо вам потрібно зберегти файл «.ISO». Натомість створіть зашифрований контейнер за допомогою VeraCrypt і монтувати його на вимогу: він працює як захищений паролем «віртуальний диск» і є портативним.

Якщо вам потрібен легкий файл для спільного використання, сучасні архіватори дозволяють використовувати шифрування за допомогою AES: створіть захищений паролем архів '.zip' або '.7z' за допомогою таких інструментів, як 7-Zip або WinRAR, і виберіть опцію шифрування імен файлів. Для зовнішніх накопичувачів рекомендованим методом у Windows Pro є BitLocker To Go; у Home, VeraCrypt чудово виконує своє призначення..

З огляду на все вищесказане, ви можете вирішити, чи шифрувати папку за допомогою EFS, весь диск за допомогою BitLocker чи створити контейнер за допомогою Вера КриптГоловне — вибрати метод, який відповідає вашій версії Windows та апаратному забезпеченню, зберегти ключ відновлення в безпеці та налаштувати алгоритм/довжину відповідно до ваших пріоритетів. Якщо ви подбаєте про ці три пункти, ваші дані будуть захищені, не ускладнюючи собі життя..