Amikor a TrueCrypt ellentmondásosan bezárta a boltot, azt ajánlotta, hogy a felhasználók a TrueCrypt-től távolodjanak el a BitLocker vagy a Veracrypt használatával. A BitLocker már a Windows alatt olyan hosszú volt, hogy érettnek tekinthető, és egy titkosító termék, amelyet általában a biztonsági profik is jól ismernek. Ebben a cikkben arról fogunk beszélni, hogyan állíthatja fel a számítógépén.
jegyzet: A BitLocker Drive Encryption és a BitLocker To Go a Windows 8 vagy 10 vagy a Windows 7 Ultimate verziójának Professional vagy Enterprise kiadását igényli. A Windows 8.1-es verziójától kezdve a Windows otthoni és pro verziói tartalmazzák az "Eszközkódolás" funkciót ( egy olyan szolgáltatás, amely szintén szerepel a Windows 10 rendszerben), ami hasonlóan működik. Az eszköz titkosítását javasoljuk, ha a számítógép támogatja, a BitLocker for Pro felhasználók, akik nem használják az eszköz titkosítását, és a VeraCrypt a Windows otthoni verzióját használó személyek számára, ahol az eszközkódolás nem fog működni.
A teljes meghajtó titkosítása vagy titkosított konténer létrehozása?
Számos útmutatás van ott beszélni egy BitLocker konténer létrehozásáról, amely nagyon hasonlít a titkosított konténerhez, amelyet olyan termékekkel hozhat létre, mint a TrueCrypt vagy a Veracrypt. Ez egy kicsit helytelen elnevezés, de hasonló hatást érhet el. A BitLocker teljes meghajtók titkosításával működik. Ez lehet a rendszer meghajtója, egy másik fizikai meghajtó vagy egy virtuális merevlemez (VHD), amely fájlként létezik, és a Windows rendszerre van szerelve.
A különbség nagyrészt szemantikai. Más titkosítási termékeknél általában titkosított tartályt hoz létre, majd a meghajtóként a Windows rendszerben csatlakoztassa, amikor használni akarja. A BitLocker segítségével virtuális merevlemezt hoz létre, majd titkosítja. Ha inkább tárolót szeretne használni, mintsem titkosítani a meglévő rendszert vagy a tárolóeszközt, nézze meg útmutatót a titkosított konténerfájl létrehozásához a BitLocker segítségével.
Ehhez a cikkhez a BitLocker meglévő fizikai meghajtóra való engedélyezésére koncentrálunk.
A meghajtó titkosítása a BitLocker segítségével
A BitLocker meghajtó használatához csak annyit kell tennie, hogy engedélyezze, válasszon feloldási módot - jelszót, PIN-kódot stb., Majd állítson be néhány más lehetőséget. Mielőtt belekezdenénk ehhez, azonban tudnia kell, hogy a BitLocker teljes lemezes titkosítását a rendszer meghajtó általában számítógépet igényel a Trusted Platform Module (TPM) a számítógép alaplapján. Ez a chip generálja és tárolja a BitLocker által használt titkosítási kulcsokat. Ha a számítógépen nincs TPM, a Csoportházirend segítségével engedélyezheti a BitLocker TPM nélkül történő használatát. Ez egy kicsit kevésbé biztonságos, de még biztonságosabb, mint egyáltalán nem titkosítás.
Nem rendszer-meghajtót vagy cserélhető meghajtót titkosíthat a TPM nélkül, és nem engedélyezi a Csoportházirend-beállítást.
Ezen a feljegyzésen azt is tudnia kell, hogy kétféle BitLocker meghajtó titkosítás lehetséges:
- BitLocker meghajtótitkosítás: Néha csak BitLocker néven hivatkozunk, ez egy teljes lemezes titkosítási szolgáltatás, amely egy teljes meghajtót titkosít. A számítógép indításakor a Windows indító betöltő betöltődik a Rendszerfenntartott partícióból, és a rendszerbetöltő felszólítja a feloldási módszert - például egy jelszót. A BitLocker ezután visszafejteti a meghajtót és betölti a Windows rendszert. A titkosítás egyébként átlátszó - a fájlok úgy jelennek meg, mintha egy titkosítatlan rendszeren lennének, de titkosított formában vannak a lemezen. Más meghajtókat is titkosítasz, mint a rendszer meghajtót.
- BitLocker to Go: A BitLocker To Go segítségével külső meghajtókat - például USB flash meghajtókat és külső merevlemezeket - titkosíthat. A rendszer felkéri a feloldási módszert - például jelszót -, amikor a meghajtót a számítógéphez csatlakoztatja. Ha valaki nem rendelkezik a feloldási módszerrel, akkor nem férhet hozzá a meghajtón lévő fájlokhoz.
A Windows 7-től 10-ig valóban nem kell aggódnia, hogy maga választja ki magát. A Windows kezeli a dolgokat a jelenetek mögött, és a BitLocker engedélyezéséhez használt felület nem tűnik másnak. Ha befejezi a titkosított meghajtó feloldását Windows XP vagy Vista rendszeren, akkor megjelenik a BitLocker to Go márkaépítés, így azt gondoltuk, hogy legalább tudnia kell róla.
Tehát ezzel az úton, menjünk át, hogyan működik ez tényleg.
Első lépés: Engedélyezze a BitLocker meghajtót
A BitLocker meghajtóhoz való engedélyezésének legegyszerűbb módja, ha a jobb egérgombbal kattintson a meghajtóra a Fájlböngésző ablakban, majd válassza a "Turn on BitLocker" parancsot. Ha nem látja ezt az opciót a helyi menüben, akkor valószínűleg nincs a Windows Pro vagy Enterprise kiadása, és egy másik titkosítási megoldást kell keresnie.
Második lépés: Válasszon egy feloldási módszert
A "BitLocker Drive Encryption" varázsló első képernyője lehetővé teszi a meghajtó feloldásának módját. A meghajtó feloldásának számos módja közül választhat.
Ha titkosítja a rendszert meghajtót a számítógépen, hogynem rendelkezzen TPM-mel, akkor a meghajtót feloldhatja jelszóval vagy egy kulccsal működő USB-meghajtóval.Válassza ki a feloldási módot, és kövesse az adott módszer utasításait (írjon be egy jelszót vagy csatlakoztassa az USB-meghajtót).
Ha a számítógéped csinál rendelkezzen TPM-mel, további lehetőségeket talál a rendszer meghajtó feloldásához. Például beállíthatja az automatikus feloldást indításkor (ahol a számítógép megragadja a titkosítási kulcsokat a TPM-ből, és automatikusan meghajtja a meghajtót). Használhat PIN-kódot is a jelszó helyett, vagy akár biometrikus beállításokat is választhat, például ujjlenyomatot.
Ha nem rendszer-meghajtót vagy cserélhető meghajtót titkosít, csak két lehetőséget fog látni (függetlenül attól, hogy van-e TPM vagy sem). A meghajtót feloldhatja jelszóval vagy intelligens kártyával (vagy mindkettővel).
Harmadik lépés: A visszaállító kulcs visszaállítása
A BitLocker olyan helyreállítási kulcsot biztosít, amelyet a titkosított fájlok eléréséhez használhat, ha valaha elveszti a fő kulcsot - például, ha elfelejti a jelszavát, vagy ha a TPM számítógéppel hal meg, és más meghajtót kell elérnie.
A kulcsot mentheti a Microsoft-fiókba, egy USB-meghajtóba, egy fájlba, vagy akár kinyomtathatja. Ezek a beállítások megegyeznek azzal, hogy titkosított-e egy rendszert vagy nem rendszert meghajtót.
Ha visszaadja a Microsoft-fiókhoz tartozó helyreállítási kulcsot, akkor később érheti el a kulcsot a https://onedrive.live.com/recoverykey címen. Ha egy másik helyreállítási módot használ, győződjön meg róla, hogy ezt a kulcsot biztonságban tartja - ha valaki hozzáférést kap, eldöntheti a meghajtót és megkerüli a titkosítást.
jegyzet: Ha titkosítja az USB vagy más cserélhető meghajtót, akkor nem lesz lehetősége menteni a helyreállítási kulcsot USB meghajtóra. A másik három lehetőség közül választhat.
4. lépés: A meghajtó titkosítása és feloldása
A BitLocker automatikusan új fájlokat titkosít, amikor hozzáadja őket, de ki kell választania, hogy mi történik a jelenleg a meghajtón lévő fájlokkal. A teljes meghajtót titkosítani - beleértve a szabad területet -, vagy csak titkosítani a használt lemezfájlokat a folyamat felgyorsítására. Ezek a beállítások ugyanúgy érvényesek, hogy titkosított-e egy rendszert vagy nem rendszert meghajtót.
Ha új BitLockert állít be egy új számítógépen, csak a használt lemezterület titkosítása - sokkal gyorsabb. Ha beállítja a BitLockert egy olyan számítógépen, amelyet egy ideig használ, akkor titkosítania kell a teljes meghajtót, hogy senki ne tudja helyreállítani a törölt fájlokat.
Ötödik lépés: Titkosítási mód kiválasztása (csak Windows 10 esetén)
Ha Windows 10-et használ, megjelenik egy további képernyő, amely lehetővé teszi, hogy titkosítási módot válasszon. Ha Windows 7 vagy 8 operációs rendszert használ, ugorjon előre a következő lépésre.
A Windows 10 új titkosítási eljárást vezetett be az XTS-AES néven. A Windows 7 és 8 rendszerben használt AES-en javított integritást és teljesítményt nyújt. Ha tudja, hogy a titkosított meghajtót csak Windows 10 rendszerű számítógépeken használják, folytassa és válassza az "Új titkosítási mód" opciót. Ha úgy gondolja, hogy a meghajtónak egy bizonyos régebbi Windows verzióval kell rendelkeznie (különösen fontos, ha cserélhető meghajtó), válassza a "Kompatibilis mód" opciót.
Hatodik lépés: befejezése
A titkosítási folyamat másodpercenként percenként vagy akár hosszabb ideig is eltarthat, attól függően, hogy mekkora a meghajtó, a titkosított adatok mennyisége, és hogy szabad tér titkosítását választotta-e.
Ha titkosítja a rendszer meghajtót, a rendszer kéri a BitLocker rendszerellenőrzésének futtatását és a rendszer újraindítását. Győződjön meg arról, hogy az opció van kiválasztva, kattintson a "Folytatás" gombra, majd kérés esetén indítsa újra a számítógépet. Miután a PC először indít biztonsági másolatot, a Windows titkosítja a meghajtót.
Bármely típusú meghajtót is titkosít, ellenőrizheti a BitLocker Drive Encryption ikont a tálcán, hogy megnézze a folyamatát, és továbbra is használja a számítógépet a meghajtók titkosítása közben - csak lassabban végez.
A meghajtó feloldása
Ha a rendszer meghajtója titkosítva van, a feloldás attól függ, hogy milyen módszert választott (és hogy a számítógép TPM-je van-e). Ha rendelkezik TPM-vel és megválasztja, hogy a meghajtó automatikusan fel legyen oldva, nem fog észrevenni semmi másat - csak rendszeresen indít a Windowsba, mint mindig. Ha másik feloldási módot választott, a Windows felkéri a meghajtót a meghajtó feloldására (a jelszó beírásával, az USB-meghajtó csatlakoztatásával vagy bármi mással).
Ha nem rendszer vagy cserélhető meghajtót titkosítottak, a Windows felkéri a meghajtót a Windows indításakor (vagy amikor csatlakoztathatja a számítógépéhez, ha cserélhető meghajtó), amikor felkapcsolja a meghajtót. Írja be a jelszavát vagy illessze be az intelligens kártyát, és a meghajtónak ki kell nyitnia, hogy használhassa azt.
Mint minden titkosításhoz, a BitLocker többet is tartalmaz. A Microsoft hivatalos BitLocker GYIK-jei azt mondják, hogy "Általában egyjegyű százalékos teljesítményt feltételez." Ha a titkosítás fontos számodra, mert érzékeny adataink vannak - pl. Üzleti dokumentumokkal teli laptop -, a megnövelt biztonság megéri a teljesítménykereskedelmet -ki.
