Keď TrueCrypt kontroverzne uzavreli obchod, odporučili svojim používateľom prechod od TrueCryptu k používaniu BitLocker alebo Veracrypt. BitLocker bol v systéme Windows dostatočne dlhý na to, aby bol považovaný za vyspelý a je šifrovacím produktom, ktorý je všeobecne považovaný za bezpečnostných profesionálov. V tomto článku budeme hovoriť o tom, ako ho môžete nastaviť na počítači.
Poznámka: Šifrovanie jednotiek BitLocker a BitLocker To Go vyžadujú profesionálnu alebo podnikovú edíciu systému Windows 8 alebo 10 alebo verziu Ultimate systému Windows 7. Na začiatku Windows 8.1 však vydanie Home a Pro Windows obsahuje funkciu "Device Encryption" funkcia zahrnutá aj v systéme Windows 10), ktorá funguje podobne. Odporúčame šifrovanie zariadenia, ak ho váš počítač podporuje, používatelia BitLocker for Pro, ktorí nemôžu používať šifrovanie zariadení a VeraCrypt pre ľudí, ktorí používajú domácu verziu systému Windows, kde nefunguje šifrovanie zariadení.
Zašifrovať celú jednotku alebo vytvoriť šifrovaný kontajner?
Mnohí sprievodcovia tam hovoria o vytvorení kontajnera BitLocker, ktorý funguje podobne ako druh zašifrovaného kontajnera, ktorý môžete vytvoriť pomocou produktov ako TrueCrypt alebo Veracrypt. Je to trochu nesprávne pomenovanie, ale môžete dosiahnuť podobný účinok. Program BitLocker funguje šifrovaním celých jednotiek. Môže to byť vaša systémová jednotka, iná fyzická jednotka alebo virtuálny pevný disk (VHD), ktorý existuje ako súbor a je pripojený v systéme Windows.
Rozdiel je do značnej miery sémantický. V iných šifrovacích produktoch zvyčajne vytvoríte zašifrovaný kontajner a potom ho pripojte ako jednotku v systéme Windows, keď ho budete potrebovať. Pomocou nástroja BitLocker vytvoríte virtuálny pevný disk a potom ho zašifrujete. Ak chcete používať kontajner skôr než, povedzme, šifrovať existujúci systém alebo pamäťovú jednotku, prečítajte si náš návod na vytvorenie šifrovaného súboru kontajnera s nástrojom BitLocker.
Pre tento článok sa budeme sústrediť na to, aby sme BitLocker umožnili existujúcu fyzickú jednotku.
Ako šifrovať disk pomocou nástroja BitLocker
Ak chcete používať nástroj BitLocker pre jednotku, stačí, aby ste to umožnili, vyberte spôsob odomknutia, heslo, kód PIN atď. A potom nastavte niekoľko ďalších možností. Predtým, než sa dostaneme do toho, mali by ste vedieť, že pomocou šifrovania na plný disk BitLocker na systémová jednotka vo všeobecnosti vyžaduje počítač s modulom Trusted Platform Module (TPM) na základnej doske počítača. Tento čip generuje a ukladá šifrovacie kľúče, ktoré používa nástroj BitLocker. Ak váš počítač nemá modul TPM, môžete pomocou Zásady skupiny povoliť používanie nástroja BitLocker bez modulu TPM. Je to o niečo menej bezpečné, ale stále bezpečnejšie ako vôbec nepoužíva šifrovanie.
Môžete šifrovať nesystémovú jednotku alebo vymeniteľnú jednotku bez modulu TPM a bez toho, aby ste museli povoliť nastavenie Zásady skupiny.
Na tomto mieste by ste mali tiež vedieť, že existujú dva typy šifrovania jednotiek BitLocker, ktoré môžete povoliť:
- Šifrovanie jednotiek BitLocker: Niekedy sa označuje ako BitLocker, je to funkcia "šifrovania s celým diskom", ktorá šifruje celý disk. Po spustení počítača zavádza zavádzač zavádzania systému Windows zo systémovo vyhradeného oddielu a spúšťač vás vyzve na váš spôsob odomknutia - napríklad heslo. BitLocker potom dešifruje disk a načíta systém Windows. Šifrovanie je inak transparentné - vaše súbory sa zdajú ako normálne v nešifrovanom systéme, ale sú uložené na disku v šifrovanej forme. Môžete tiež šifrovať iné jednotky ako len systémovú jednotku.
- BitLocker To Go: Pomocou BitLocker To Go môžete šifrovať externé jednotky, ako sú jednotky USB Flash a externé pevné disky. Pri pripojení jednotky k počítaču sa zobrazí výzva na váš spôsob odomknutia - napríklad heslo. Ak niekto nemá metódu odomknutia, nemôže získať prístup k súborom na jednotke.
V systéme Windows 7 až 10 sa naozaj nemusíte obávať výberu sami. Systém Windows spracováva veci za scénami a rozhranie, ktoré použijete na povolenie nástroja BitLocker, nevyzerá nijako inak. Ak skončíte s odomknutím zašifrovanej jednotky v systéme Windows XP alebo Vista, uvidíte značku BitLocker to Go a mysleli sme si, že o nej by ste mali aspoň vedieť.
Takže, s tým, že z cesty, poďme, ako to vlastne funguje.
Prvý krok: Povolenie nástroja BitLocker pre disk
Najjednoduchší spôsob, ako povoliť nástroj BitLocker pre jednotku, je kliknúť pravým tlačidlom na jednotku v okne Prieskumník súborov a potom zvoliť príkaz "Zapnúť BitLocker". Ak sa táto možnosť nezobrazuje v kontextovej ponuke, pravdepodobne nemáte verziu Pro alebo Enterprise systému Windows a budete musieť hľadať ďalšie riešenie šifrovania.
Druhý krok: Vyberte spôsob odomknutia
Prvá obrazovka, ktorú uvidíte v sprievodcovi "BitLocker Drive Encryption", vám umožňuje vybrať, ako odomknúť disk. Môžete vybrať niekoľko rôznych spôsobov odomknutia jednotky.
Ak šifrujete systémovú jednotku v počítači,nie je máte modul TPM, môžete jednotku odomknúť heslom alebo jednotkou USB, ktorá funguje ako kľúč.Vyberte spôsob odomknutia a postupujte podľa pokynov pre danú metódu (zadajte heslo alebo pripojte USB disk).
Ak váš počítač robí máte modul TPM, uvidíte ďalšie možnosti odblokovania systémovej jednotky. Napríklad môžete nakonfigurovať automatické odblokovanie pri štarte (kde váš počítač uchopí šifrovacie kľúče z TPM a automaticky dešifruje jednotku). Môžete tiež použiť kód PIN namiesto hesla alebo dokonca vybrať biometrické možnosti ako odtlačok prsta.
Ak šifrujete nesystémovú jednotku alebo vymeniteľnú jednotku, uvidíte iba dve možnosti (či už máte TPM alebo nie). Jednotku môžete odomknúť heslom alebo čipovou kartou (alebo oboma).
Tretí krok: zálohujte kľúč na obnovenie
BitLocker vám poskytuje kľúč na obnovenie, ktorý môžete použiť na prístup k šifrovaným súborom, ak by ste niekedy stratili hlavný kľúč - napríklad ak zabudnete svoje heslo alebo počítač PC s TPM zomrie a budete musieť pristupovať k disku z iného systému.
Môžete uložiť kľúč do svojho účtu Microsoft, jednotky USB, súboru alebo ho dokonca vytlačiť. Tieto možnosti sú rovnaké, či šifrujete systémovú alebo nesystémovú jednotku.
Ak zálohujete kľúč na obnovu do svojho účtu Microsoft, prístup k nemu môžete získať neskôr na adrese https://onedrive.live.com/recoverykey. Ak používate inú metódu obnovenia, uistite sa, že tento kľúč je bezpečný - ak niekto získa prístup k nemu, mohol dešifrovať disk a šifrovať obvod.
Poznámka: Ak šifrujete USB alebo inú vymeniteľnú jednotku, nebudete mať možnosť uložiť kľúč na obnovenie na jednotku USB. Môžete použiť ktorúkoľvek z ďalších troch možností.
Krok štyri: šifrovanie a odomknutie disku
BitLocker automaticky šifruje nové súbory, keď ich pridáte, ale musíte vybrať, čo sa stane so súbormi aktuálne na disku. Môžete zašifrovať celý disk - vrátane voľného miesta - alebo jednoducho šifrovať použité diskové súbory na urýchlenie procesu. Tieto možnosti sú rovnaké aj bez ohľadu na to, či šifrujete systémovú alebo nesystémovú jednotku.
Ak nastavujete nástroj BitLocker na novom počítači, zašifrujete len použité miesto na disku - je to oveľa rýchlejšie. Ak nastavujete nástroj BitLocker na počítači, ktorý ste používali na chvíľu, mali by ste zašifrovať celú jednotku, aby ste nikomu nedokázali obnoviť odstránené súbory.
Krok 5: Vyberte režim šifrovania (iba systém Windows 10)
Ak používate systém Windows 10, uvidíte ďalšiu obrazovku, ktorá vám umožní vybrať si metódu šifrovania. Ak používate systém Windows 7 alebo 8, prejdite na nasledujúci krok.
Systém Windows 10 predstavil novú metódu šifrovania s názvom XTS-AES. Poskytuje vylepšenú integritu a výkonnosť v systéme AES používanom v systéme Windows 7 a 8. Ak viete, že disk, ktorý šifrujete, sa bude používať iba na počítačoch so systémom Windows 10, pokračujte ďalej a zvoľte možnosť "Nový režim šifrovania". Ak si myslíte, že v určitom čase budete musieť použiť jednotku so staršou verziou systému Windows (zvlášť dôležitá, ak ide o vymeniteľnú jednotku), zvoľte možnosť "Kompatibilný režim".
Krok šesť: Dokončenie
Šifrovací proces môže trvať od sekúnd po minúty alebo dokonca dlhšie, v závislosti od veľkosti jednotky, množstva údajov, ktoré šifrujete a či ste sa rozhodli šifrovať voľný priestor.
Ak šifrujete systémovú jednotku, zobrazí sa výzva na spustenie kontroly systému BitLocker a na reštartovanie systému. Uistite sa, že je vybratá možnosť, kliknite na tlačidlo "Pokračovať" a po načítaní počítača reštartujte počítač. Po prvom spustení zálohovania počítača systém Windows šifruje disk.
Bez ohľadu na typ disku, ktorý šifrujete, môžete skontrolovať ikonu šifrovania jednotiek nástroja BitLocker v systémovej lište a zobraziť jej priebeh. Počas šifrovania jednotiek môžete pokračovať v používaní počítača - bude to fungovať pomalšie.
Odomknutie disku
Ak je vaša systémová jednotka zašifrovaná, odomknutie závisí od zvolenej metódy (a či má počítač TPM). Ak máte TPM a rozhodnete sa, že jednotka bude odomknutá automaticky, nebudete si všimnúť nič iného - stačí zaviesť priamo do systému Windows, ako vždy. Ak vyberiete iný spôsob odomknutia, systém Windows vás vyzve na odomknutie disku (zadaním hesla, pripojením USB disku alebo podobne).
Ak ste zašifrovali nesystémovú alebo vymeniteľnú jednotku, systém Windows vás vyzve, aby ste odomkli disk po prvom spustení po spustení systému Windows (alebo keď ho pripojíte k počítaču, ak ide o vymeniteľnú jednotku). Zadajte svoje heslo alebo vložte čipovú kartu a jednotka by sa mala odomknúť, aby ste ju mohli používať.
Podobne ako všetko šifrovanie, BitLocker pridáva nejaké režijné náklady. Oficiálna otázka BitLocker od spoločnosti Microsoft hovorí, že "všeobecne stanovuje jednociferné percento výkonnosti." Ak je pre vás dôležité šifrovanie, pretože máte citlivé údaje - napríklad prenosný počítač plný obchodných dokumentov - zvýšená bezpečnosť stojí za to, -off.
