- Sự khác biệt rõ ràng giữa EFS, BitLocker và mã hóa thiết bị, cũng như thời điểm sử dụng từng loại.
- Kiểm tra chính: TPM, Secure Boot, WinRE và khả năng tương thích phần cứng trước khi mã hóa.
- Quản lý an toàn các khóa khôi phục và trình bảo vệ BitLocker trên ổ đĩa và USB.
- Điều chỉnh cài đặt và tùy chọn thuật toán/cường độ nếu bạn nhận thấy hiệu suất bị ảnh hưởng trên SSD.
Việc bảo vệ những gì bạn lưu trữ trên PC không phải là tùy chọn: mà là thiết yếu. Windows cung cấp nhiều lớp bảo mật để ngăn chặn truy cập trái phép vào dữ liệu của bạn, cho dù máy tính của bạn bị đánh cắp hay ai đó cố gắng truy cập nó từ một hệ thống khác. Với các công cụ tích hợp (ví dụ: bạn có thể mã hóa thư mục bằng BitLocker), bạn có thể... Mã hóa tập tin, thư mục, toàn bộ ổ đĩa và thiết bị bên ngoài chỉ với vài cú nhấp chuột.
Trong hướng dẫn này, bạn sẽ tìm thấy mọi thứ cần thiết để mã hóa thư mục bằng BitLocker và các giải pháp thay thế khác. Bạn sẽ biết mình cần phiên bản Windows nào, cách kiểm tra xem máy tính của bạn có TPM hay không, cách sử dụng EFS cho từng mục riêng lẻ và... Cách tạo và lưu khóa khôi phục đúng cáchTôi cũng giải thích những việc cần làm nếu bạn không có TPM, thuật toán và độ dài khóa nào cần chọn, những tác động có thể xảy ra đối với hiệu suất và những tùy chọn nào khả dụng nếu bạn đang tìm kiếm thứ gì đó như container/ISO được bảo vệ bằng mật khẩu.
Windows cung cấp những tùy chọn mã hóa nào và chúng khác nhau như thế nào?
Trong Windows, có ba cách tiếp cận cùng tồn tại:
- mã hóa thiết bịTính năng này sẽ tự động kích hoạt bảo vệ nếu phần cứng của bạn đáp ứng các yêu cầu nhất định và liên kết khóa khôi phục với tài khoản Microsoft của bạn sau lần đăng nhập đầu tiên. Tính năng này thường khả dụng ngay cả trên Windows Home, nhưng không phải trên tất cả các máy tính.
- BitLocker, Có sẵn trong các phiên bản Pro, Enterprise và Education, đây là giải pháp mã hóa toàn bộ ổ đĩa cho ổ đĩa hệ thống và các ổ đĩa trong hoặc ngoài khác (BitLocker To Go). Ưu điểm chính của giải pháp này là bảo vệ toàn bộ ổ đĩa từ đầu đến cuối.
- EFS (Hệ thống tập tin mã hóa), Được thiết kế cho từng tệp và thư mục riêng lẻ, nó được liên kết với tài khoản người dùng của bạn, vì vậy chỉ người mã hóa chúng mới có thể mở chúng từ cùng một hồ sơ đó. Nó lý tưởng cho một số ít tài liệu nhạy cảm, nhưng không thể thay thế BitLocker về khả năng bảo vệ toàn diện.
Cách nhận biết thiết bị của bạn có hỗ trợ mã hóa thiết bị và TPM hay không
Để kiểm tra khả năng tương thích của "mã hóa thiết bị", hãy vào Start, tìm "System Information", nhấp chuột phải và mở "Run as administrator". Trong "System Summary", tìm mục "Device encryption support". Nếu bạn thấy "Đáp ứng điều kiện tiên quyết", bạn đã hoàn tất; nếu bạn thấy các thông báo như 'Không thể sử dụng TPM', 'WinRE không được cấu hình' hoặc 'Liên kết PCR7 không được hỗ trợ'Bạn sẽ cần phải sửa những điểm đó (kích hoạt TPM/Secure Boot, cấu hình WinRE, ngắt kết nối dock ngoài hoặc card đồ họa khi khởi động, v.v.).
Để xác nhận xem TPM có hoạt động hay không: Nhấn Windows + X, vào "Trình quản lý Thiết bị" và tìm "Mô-đun Nền tảng Đáng tin cậy (TPM)" trong mục "Thiết bị Bảo mật" với phiên bản 1.2 trở lên. Bạn cũng có thể chạy "tpm.msc" bằng tổ hợp phím Windows + R. BitLocker hoạt động tốt nhất với TPMNhưng ở phần sau bạn sẽ thấy cách kích hoạt nó mà không cần con chip đó.
Mã hóa tệp và thư mục bằng EFS (Windows Pro/Enterprise/Education)
Nếu bạn chỉ muốn bảo vệ một thư mục cụ thể hoặc một vài tệp, EFS là giải pháp nhanh chóng và dễ dàng. Nhấp chuột phải vào mục đó, vào "Thuộc tính" và chọn "Nâng cao". Chọn "Mã hóa nội dung để bảo mật dữ liệu" và xác nhận. Nếu bạn mã hóa một thư mục, hệ thống sẽ hỏi bạn muốn áp dụng thay đổi chỉ cho thư mục đó hay cho cả các thư mục con và tệp của nó. Chọn tùy chọn phù hợp nhất với nhu cầu của bạn..
Sau khi kích hoạt, bạn sẽ thấy một ổ khóa nhỏ trên biểu tượng. EFS mã hóa cho người dùng hiện tại; nếu bạn sao chép tệp đó sang máy tính khác hoặc cố gắng mở nó từ một tài khoản khác, tệp đó sẽ không thể đọc được. Hãy cẩn thận với các tệp tạm thời (ví dụ: từ các ứng dụng như Word hoặc Photoshop): nếu thư mục gốc không được mã hóa, vụn bánh mì có thể không được bảo vệĐó là lý do tại sao bạn nên mã hóa toàn bộ thư mục chứa tài liệu của mình.
Khuyến nghị: hãy sao lưu chứng chỉ mã hóa của bạn. Windows sẽ nhắc bạn "sao lưu khóa ngay". Hãy làm theo hướng dẫn xuất chứng chỉ, lưu khóa vào ổ USB và bảo vệ bằng mật khẩu mạnh. Nếu bạn cài đặt lại Windows hoặc chuyển đổi người dùng và không xuất khóa, bạn có thể mất quyền truy cập..
Để giải mã, hãy lặp lại quy trình: thuộc tính, nâng cao, Bỏ chọn 'Mã hóa nội dung để bảo vệ dữ liệu' Và điều này cũng đúng. Hành vi trong Windows 11 cũng tương tự, nên quy trình từng bước cũng giống nhau.
Mã hóa thư mục bằng BitLocker (Windows Pro/Enterprise/Education)
BitLocker mã hóa toàn bộ ổ đĩa, cả ổ đĩa nội bộ lẫn ổ đĩa ngoài. Trong File Explorer, nhấp chuột phải vào ổ đĩa bạn muốn bảo vệ và chọn "Bật BitLocker". Nếu tùy chọn này không xuất hiện, phiên bản Windows của bạn không có tính năng này. Nếu bạn nhận được cảnh báo về việc thiếu TPM, Đừng lo lắng, nó có thể được sử dụng mà không cần TPMNó chỉ cần điều chỉnh chính sách mà tôi sẽ giải thích ngay sau đây.
Trợ lý sẽ hỏi bạn cách mở khóa ổ đĩa: bằng mật khẩu hay bằng thẻ thông minh. Tốt nhất nên sử dụng mật khẩu có độ phức tạp tốt (chữ in hoa, chữ thường, số và ký hiệu). Sau đó, chọn nơi lưu khóa khôi phục: trong tài khoản Microsoft, trên ổ USB, trong tệp hoặc in ra. Lưu vào tài khoản Microsoft Rất thực tế (truy cập qua onedrive.live.com/recoverykey), nhưng cần kèm theo một bản sao ngoại tuyến bổ sung.
Ở bước tiếp theo, hãy quyết định chỉ mã hóa dung lượng đã sử dụng hay toàn bộ ổ đĩa. Tùy chọn đầu tiên nhanh hơn cho các ổ đĩa mới; đối với các máy tính đã qua sử dụng, tốt hơn nên mã hóa toàn bộ ổ đĩa để bảo vệ dữ liệu đã xóa vẫn có thể khôi phục. Bảo mật hơn có nghĩa là thời gian ban đầu lâu hơn..
Cuối cùng, hãy chọn chế độ mã hóa: 'mới' cho các hệ thống hiện đại hoặc 'tương thích' nếu bạn đang di chuyển ổ đĩa giữa các PC có phiên bản Windows cũ hơn. 'Chạy xác minh hệ thống BitLocker' Và nó vẫn tiếp tục. Nếu là ổ đĩa hệ thống, máy tính sẽ khởi động lại và yêu cầu mật khẩu BitLocker khi khởi động; nếu là ổ đĩa dữ liệu, quá trình mã hóa sẽ bắt đầu ở chế độ nền và bạn có thể tiếp tục làm việc.
Nếu bạn đổi ý, trong Explorer, hãy nhấp chuột phải vào ổ đĩa được mã hóa và đi tới 'Quản lý BitLocker' để tắt, thay đổi mật khẩu, tạo lại khóa khôi phục hoặc bật tính năng mở khóa tự động trên máy tính đó. BitLocker không hoạt động nếu không có ít nhất một phương pháp xác thực.
Sử dụng BitLocker mà không cần TPM: Chính sách nhóm và Tùy chọn khởi động
Nếu bạn không có TPM, hãy mở Local Group Policy Editor bằng 'gpedit.msc' (Windows + R) và điều hướng đến 'Cấu hình Máy tính' > 'Mẫu Quản trị' > 'Thành phần Windows' > 'Mã hóa Ổ đĩa BitLocker' > 'Ổ đĩa Hệ điều hành'. Mở 'Yêu cầu xác thực bổ sung khi khởi động' và đặt thành 'Đã bật'. Đánh dấu vào ô bên cạnh 'Cho phép BitLocker không có TPM tương thích'. Áp dụng các thay đổi và chạy 'gpupdate /target:Computer /force' để buộc áp dụng nó.
Khi bạn khởi động trình hướng dẫn BitLocker trên ổ đĩa hệ thống, nó sẽ cung cấp hai phương pháp: 'Cắm ổ đĩa flash USB' (điều này sẽ lưu khóa khởi động .BEK, phải được kết nối mỗi khi khởi động) hoặc 'Nhập mật khẩu' (mã PIN/mật khẩu trước khi khởi động). Nếu bạn sử dụng USB, hãy thay đổi thứ tự khởi động trong cài đặt BIOS/UEFI để máy tính của bạn có thể khởi động từ ổ đĩa USB. Không nên cố khởi động từ ổ USB đó.Trong quá trình thực hiện, không được tháo ổ USB cho đến khi mọi thứ hoàn tất.
Trước khi mã hóa, BitLocker có thể thực hiện 'kiểm tra hệ thống' để xác nhận bạn có thể truy cập khóa trong quá trình khởi động. Nếu không thành công và có thông báo khởi động, hãy kiểm tra thứ tự khởi động và các tùy chọn bảo mật (Khởi động An toàn, v.v.) rồi thử lại.
BitLocker To Go: Bảo vệ ổ USB và ổ cứng ngoài
Kết nối thiết bị ngoại vi, nhấp chuột phải vào ổ đĩa trong File Explorer và chọn "Bật BitLocker". Đặt mật khẩu và lưu khóa khôi phục. Bạn có thể chọn "Không hỏi lại trên PC này" để bật tính năng mở khóa tự động. Trên các PC khác, Mật khẩu sẽ được yêu cầu khi kết nối trước khi có thể đọc được nội dung của nó.
Trên các hệ thống rất cũ (Windows XP/Vista), không có hỗ trợ mở khóa gốc, nhưng Microsoft đã phát hành 'BitLocker To Go Reader' để truy cập chỉ đọc trên các ổ đĩa định dạng FAT. Nếu bạn dự định sử dụng tính năng tương thích ngược, hãy cân nhắc sử dụng chế độ mã hóa 'tương thích' trong trợ lý.
Thuật toán mã hóa và sức mạnh, cũng như tác động của chúng đến hiệu suất
Theo mặc định, BitLocker sử dụng XTS-AES với khóa 128 bit trên ổ đĩa trong và AES-CBC 128 trên ổ đĩa ngoài. Bạn có thể tăng độ mã hóa lên 256 bit hoặc điều chỉnh thuật toán trong phần cài đặt: 'Mã hóa ổ đĩa BitLocker' > 'Chọn phương thức và cường độ mã hóa…'. Tùy thuộc vào phiên bản Windows, tùy chọn này được chia theo loại ổ đĩa (khởi động, dữ liệu, ổ đĩa di động). XTS-AES là lựa chọn được khuyến nghị để có độ bền và hiệu suất cao.
Với CPU hiện đại (AES-NI), tác động thường rất nhỏ, nhưng vẫn có những trường hợp hiệu suất giảm, đặc biệt là trên một số ổ SSD chạy Windows 11 Pro khi BitLocker được áp dụng thông qua phần mềm trên các ổ đĩa có mã hóa phần cứng. Hiệu suất giảm tới 45% đã được đo lường trong các lần đọc ngẫu nhiên trên một số mẫu máy cụ thể (ví dụ: Samsung 990 Pro 4TB). Nếu bạn nhận thấy sự suy giảm nghiêm trọng, bạn có thể: 1) Vô hiệu hóa BitLocker trong ổ đĩa đó (hy sinh tính bảo mật) hoặc 2) cài đặt lại và buộc mã hóa phần cứng của chính SSD nếu nó đáng tin cậy (quy trình phức tạp hơn và phụ thuộc vào nhà sản xuất).
Hãy nhớ rằng mã hóa mạnh hơn (256 bit) có nghĩa là tải cao hơn một chút, nhưng trên thiết bị hiện tại, sự khác biệt này thường có thể quản lý được. Ưu tiên sự an toàn nếu bạn xử lý dữ liệu nhạy cảm hoặc dữ liệu được quản lý.
Khóa khôi phục: nơi lưu trữ và cách sử dụng chúng
Luôn tạo và lưu khóa khôi phục khi bạn bật BitLocker. Các tùy chọn khả dụng: 'Lưu vào tài khoản Microsoft của bạn' (truy cập tập trung), 'Lưu vào ổ đĩa flash USB', 'Lưu vào tệp' hoặc 'In khóa'. Khóa là mã gồm 48 chữ số cho phép bạn mở khóa tài khoản nếu bạn quên mật khẩu hoặc nếu BitLocker phát hiện ra sự bất thường khi khởi động trên đơn vị hệ thống.
Nếu bạn mã hóa nhiều ổ đĩa, mỗi khóa sẽ có một mã định danh duy nhất. Tên tệp khóa thường bao gồm GUID mà BitLocker sẽ yêu cầu trong quá trình khôi phục. Để xem các khóa đã lưu vào tài khoản Microsoft của bạn, hãy truy cập onedrive.live.com/recoverykey khi đã đăng nhập. Tránh lưu trữ khóa trên cùng một ổ đĩa được mã hóa và lưu giữ các bản sao ngoại tuyến.
BitLocker tích hợp một bảng điều khiển quản lý nơi bạn có thể: thay đổi mật khẩu, thêm hoặc xóa các biện pháp bảo mật (mật khẩu, mã PIN+TPM, thẻ thông minh), tạo lại khóa khôi phục và tắt mã hóa khi bạn không còn cần đến nữa.
ISO được bảo vệ bằng mật khẩu: giải pháp thay thế đáng tin cậy trong Windows 11
Windows không cung cấp sẵn 'ISO được bảo vệ bằng mật khẩu'. Một số tiện ích tự động chuyển đổi sang định dạng riêng (như '.DAA' trong PowerISO), điều này không lý tưởng nếu bạn cần giữ lại tệp '.ISO'. Thay vào đó, hãy tạo một container được mã hóa với VeraCrypt và gắn nó theo yêu cầu: nó hoạt động như một 'ổ đĩa ảo' được bảo vệ bằng mật khẩu và có thể di động.
Nếu bạn muốn chia sẻ một thứ gì đó nhẹ nhàng, các trình lưu trữ hiện đại cho phép mã hóa bằng AES: tạo tệp nén '.zip' hoặc '.7z' được bảo vệ bằng mật khẩu bằng các công cụ như 7-Zip hoặc WinRAR và chọn tùy chọn mã hóa tên tệp. Đối với ổ đĩa ngoài, BitLocker To Go là phương pháp được khuyến nghị trong Windows Pro; trong Home, VeraCrypt hoàn thành mục đích của nó một cách hoàn hảo..
Với tất cả những điều trên, bạn có thể quyết định mã hóa một thư mục bằng EFS, toàn bộ ổ đĩa bằng BitLocker hay tạo một vùng chứa bằng VeraCryptĐiều quan trọng là chọn phương pháp phù hợp với phiên bản Windows và phần cứng của bạn, giữ khóa khôi phục an toàn và điều chỉnh thuật toán/độ dài theo mức độ ưu tiên của bạn. Nếu bạn lưu ý đến ba điểm này, dữ liệu của bạn sẽ được bảo vệ mà không làm cuộc sống của bạn trở nên phức tạp..
Biên tập viên chuyên về các vấn đề công nghệ và internet với hơn mười năm kinh nghiệm trong các lĩnh vực truyền thông kỹ thuật số khác nhau. Tôi đã từng làm biên tập viên và người sáng tạo nội dung cho các công ty thương mại điện tử, truyền thông, tiếp thị và quảng cáo trực tuyến. Tôi cũng đã viết trên các trang web kinh tế, tài chính và các lĩnh vực khác. Công việc của tôi cũng là niềm đam mê của tôi. Bây giờ, qua bài viết của tôi trong Tecnobits, Tôi cố gắng khám phá tất cả những tin tức và cơ hội mới mà thế giới công nghệ mang đến cho chúng ta hàng ngày để cải thiện cuộc sống của chúng ta.