Как да настроите криптиране на BitLocker в Windows

BitLocker е инструмент, вграден в Windows, който ви позволява да шифровате цял твърд диск за подобрена сигурност. Ето как да го настроите.

Когато TrueCrypt противоречиво затвори магазина, те препоръчаха на своите потребители да преминат от TrueCrypt към използване на BitLocker или Veracrypt. BitLocker съществува в Windows достатъчно дълго, за да се счита за зрял, и е продукт за криптиране, който обикновено се разглежда добре от професионалистите по сигурността. В тази статия ще говорим за това как можете да го настроите на вашия компютър.

СВЪРЗАНИ: Трябва ли да надстроите до професионалното издание на Windows 10?

Забележка : BitLocker Drive Encryption и BitLocker To Go изискват професионално или корпоративно издание на Windows 8 или 10 или Ultimate версия на Windows 7. Въпреки това, като се започне с Windows 8.1, Home и Pro изданията на Windows включват функция „Encryption Device“ (функция, включена и в Windows 10), която работи по подобен начин. Препоръчваме Device Encryption, ако компютърът ви го поддържа, BitLocker за Pro потребители, които не могат да използват Device Encryption, и VeraCrypt за хора, използващи домашна версия на Windows, където Device Encryption няма да работи.

Да шифровате цяло устройство или да създадете шифрован контейнер?

Много ръководства там говорят за създаване на контейнер BitLocker, който работи подобно на вида криптиран контейнер, който можете да създадете с продукти като TrueCrypt или Veracrypt. Това е малко погрешно наименование, но можете да постигнете подобен ефект. BitLocker работи чрез криптиране на цели устройства. Това може да бъде вашето системно устройство, различно физическо устройство или виртуален твърд диск (VHD), който съществува като файл и е монтиран в Windows.

СВЪРЗАНИ: Как да създам шифрован файл с контейнер с BitLocker на Windows

Разликата е до голяма степен семантична. В други продукти за криптиране обикновено създавате шифрован контейнер и след това го монтирате като устройство в Windows, когато трябва да го използвате. С BitLocker създавате виртуален твърд диск и след това го шифровате. Ако искате да използвате контейнер, вместо, да речем, да шифровате съществуващата си система или устройство за съхранение, вижте нашето ръководство за създаване на шифрован файл на контейнер с BitLocker.

За тази статия ще се концентрираме върху активирането на BitLocker за съществуващо физическо устройство.

Как да шифровам устройство с BitLocker

СВЪРЗАНИ: Как да използвам BitLocker без надежден платформен модул (TPM)

За да използвате BitLocker за устройство, всичко, което наистина трябва да направите, е да го активирате, да изберете метод за отключване - парола, ПИН и т.н. - и след това да зададете няколко други опции. Преди да влезем в това обаче, трябва да знаете, че използването на шифроването на пълен диск на BitLocker на системно устройство обикновено изисква компютър с модул Trusted Platform Module (TPM) на дънната платка на вашия компютър. Този чип генерира и съхранява ключовете за криптиране, които BitLocker използва. Ако вашият компютър няма TPM, можете да използвате групови правила, за да активирате използването на BitLocker без TPM. Това е малко по-малко сигурно, но все пак по-сигурно, отколкото изобщо да не се използва криптиране.

Можете да шифровате несистемно устройство или сменяемо устройство без TPM и без да се налага да активирате настройката на груповите правила.

В тази бележка трябва също да знаете, че има два типа криптиране на устройството BitLocker, които можете да активирате:

  • Шифроване на устройството BitLocker : Понякога наричано просто BitLocker, това е функция за „шифроване на пълен диск“, която криптира цялото устройство. Когато компютърът ви се стартира, зареждащият файл на Windows се зарежда от системния дял, който е запазен, и зареждащият компютър ви подканва за вашия метод за отключване - например парола. След това BitLocker дешифрира устройството и зарежда Windows. В противен случай криптирането е прозрачно - вашите файлове изглеждат както обикновено в нешифрована система, но се съхраняват на диска в криптирана форма. Можете също да шифровате други устройства, освен само системното устройство.
  • BitLocker To Go : Можете да шифровате външни устройства - като USB флаш устройства и външни твърди дискове - с BitLocker To Go. Ще бъдете подканени за метода си за отключване - например парола - когато свържете устройството към компютъра си. Ако някой няма метода за отключване, той няма достъп до файловете на устройството.

В Windows 7 до 10 наистина не е нужно да се притеснявате да направите сами избора. Windows се справя с нещата зад кулисите и интерфейсът, който ще използвате, за да активирате BitLocker, не изглежда по-различно. Ако в крайна сметка отключите криптиран диск на Windows XP или Vista, ще видите марката BitLocker to Go, така че сме решили, че поне трябва да знаете за нея.

И така, с това, което се отстранява, нека да разгледаме как всъщност работи това.

Първа стъпка: Активирайте BitLocker за устройство

Най-лесният начин да активирате BitLocker за устройство е да щракнете с десния бутон върху устройството в прозореца на File Explorer и след това да изберете командата „Включване на BitLocker“. Ако не виждате тази опция в контекстното си меню, вероятно нямате Pro или Enterprise издание на Windows и ще трябва да потърсите друго решение за криптиране.

Просто е толкова просто. Съветникът, който се появява, ви превежда през избора на няколко опции, които сме разделили на секциите, които следват.

Стъпка втора: Изберете метод за отключване

Първият екран, който ще видите в съветника „Шифроване на устройство BitLocker“, ви позволява да изберете как да отключите устройството си. Можете да изберете няколко различни начина за отключване на устройството.

Ако шифровате системното устройство на компютър, който  няма TPM, можете да отключите устройството с парола или USB устройство, което функционира като ключ. Изберете метода за отключване и следвайте инструкциите за него (въведете парола или включете USB устройството).

СВЪРЗАНИ: Как да активирам ПИН код за предварително стартиране на BitLocker в Windows

Ако компютърът ви няма да има TPM, ще видите допълнителни опции за отключване на вашата система за задвижване. Например можете да конфигурирате автоматично отключване при стартиране (където компютърът ви грабва ключовете за криптиране от TPM и автоматично дешифрира устройството). Можете също да използвате ПИН вместо парола или дори да изберете биометрични опции като пръстов отпечатък.

Ако шифровате несистемно устройство или сменяемо устройство, ще видите само две опции (независимо дали имате TPM или не). Можете да отключите устройството с парола или смарт карта (или и двете).

Стъпка трета: Архивирайте вашия ключ за възстановяване

BitLocker ви предоставя ключ за възстановяване, който можете да използвате за достъп до своите криптирани файлове, ако някога загубите основния си ключ - например, ако забравите паролата си или ако компютърът с TPM умре и трябва да осъществите достъп до устройството от друга система.

Можете да запазите ключа в акаунта си в Microsoft, USB устройство, файл или дори да го отпечатате. Тези опции са еднакви, независимо дали шифровате системно или несистемно устройство.

Ако направите резервно копие на ключа за възстановяване във вашия акаунт в Microsoft, можете да получите достъп до ключа по-късно на //onedrive.live.com/recoverykey. Ако използвате друг метод за възстановяване, не забравяйте да запазите този ключ в безопасност - ако някой получи достъп до него, той може да дешифрира вашето устройство и да заобиколи криптирането.

Можете също така да архивирате ключа си за възстановяване по няколко начина, ако искате. Просто кликнете върху всяка опция, която искате да използвате на свой ред, и след това следвайте указанията. Когато приключите със запазването на ключовете за възстановяване, щракнете върху „Напред“, за да продължите напред.

Забележка : Ако шифровате USB или друго сменяемо устройство, няма да имате възможност да запазите ключа си за възстановяване на USB устройство. Можете да използвате някоя от останалите три опции.

Стъпка четвърта: Шифроване и отключване на устройството

BitLocker автоматично кодира нови файлове, докато ги добавяте, но трябва да изберете какво да се случва с файловете, които в момента са на вашето устройство. Можете да шифровате цялото устройство - включително свободното пространство - или просто да шифровате използваните дискови файлове, за да ускорите процеса. Тези опции също са еднакви, независимо дали шифровате системно или несистемно устройство.

СВЪРЗАНИ: Как да възстановите изтрит файл: Крайното ръководство

Ако настройвате BitLocker на нов компютър, шифровайте само използваното дисково пространство - това е много по-бързо. Ако настройвате BitLocker на компютър, който използвате от известно време, трябва да шифровате цялото устройство, за да сте сигурни, че никой не може да възстанови изтрити файлове.

Когато направите своя избор, щракнете върху бутона „Напред“.

Стъпка пета: Изберете режим на шифроване (само за Windows 10)

Ако използвате Windows 10, ще видите допълнителен екран, който ви позволява да изберете метод на криптиране. Ако използвате Windows 7 или 8, преминете към следващата стъпка.

Windows 10 представи нов метод за криптиране, наречен XTS-AES. Той осигурява подобрена цялост и производителност спрямо AES, използван в Windows 7 и 8. Ако знаете, че устройството, което шифровате, ще се използва само на компютри с Windows 10, продължете и изберете опцията „Нов режим на криптиране“. Ако смятате, че в даден момент може да се наложи да използвате устройството с по-стара версия на Windows (особено важно, ако е сменяемо устройство), изберете опцията „Съвместим режим“.

Каквато и опция да изберете (и отново, те са еднакви за системните и несистемните устройства), продължете и кликнете върху бутона „Напред“, когато сте готови, а на следващия екран щракнете върху бутона „Стартиране на шифроването“.

Стъпка шеста: Довършване

Процесът на криптиране може да отнеме от секунди до минути или дори повече, в зависимост от размера на устройството, количеството данни, които шифровате, и дали сте избрали да шифровате свободно пространство.

Ако шифровате системното устройство, ще бъдете подканени да стартирате проверка на системата BitLocker и да рестартирате системата. Уверете се, че опцията е избрана, щракнете върху бутона „Напред“ и след това рестартирайте компютъра си, когато бъдете помолени. След като компютърът се зареди за първи път, Windows шифрова устройството.

Ако шифровате несистемно или сменяемо устройство, Windows няма нужда да се рестартира и криптирането започва незабавно.

Независимо от типа устройство, което шифровате, можете да проверите иконата за шифроване на устройство BitLocker в системната област, за да видите напредъка му, и можете да продължите да използвате компютъра си, докато устройствата се криптират - той просто ще работи по-бавно.

Отключване на вашето устройство

Ако вашето системно устройство е криптирано, отключването зависи от избрания от вас метод (и от това дали вашият компютър има TPM). Ако имате TPM и сте избрали устройството да се отключва автоматично, няма да забележите нищо различно - просто ще стартирате направо в Windows, както винаги. Ако сте избрали друг метод за отключване, Windows ви подканва да отключите устройството (като въведете паролата си, свържете вашето USB устройство или каквото и да е друго).

СВЪРЗАНИ: Как да възстановите вашите файлове от шифрован диск с BitLocker

И ако сте загубили (или сте забравили) метода си за отключване, натиснете Escape на екрана за подкана, за да въведете вашия ключ за възстановяване.

Ако сте шифровали несистемно или сменяемо устройство, Windows ви подканва да отключите устройството, когато за първи път имате достъп до него след стартиране на Windows (или когато го свържете към вашия компютър, ако е сменяемо устройство). Въведете паролата си или поставете смарт картата си и устройството трябва да се отключи, за да можете да го използвате.

В File Explorer криптираните устройства показват златна ключалка на иконата (вляво). Това заключване се променя на сиво и изглежда отключено, когато отключите устройството (вдясно).

Можете да управлявате заключено устройство - да промените паролата, да изключите BitLocker, да направите резервно копие на вашия ключ за възстановяване или да извършите други действия - от прозореца на контролния панел на BitLocker. Щракнете с десния бутон върху кодирано устройство и след това изберете „Управление на BitLocker“, за да отидете директно на тази страница.

Както всяко криптиране, BitLocker добавя някои допълнителни разходи. Официалните често задавани въпроси на Microsoft за BitLocker казват, че „Като цяло това налага едноцифрени процентни разходи за производителност.“ Ако криптирането е важно за вас, тъй като имате поверителни данни - например лаптоп, пълен с бизнес документи - подобрената сигурност си заслужава компромис с производителността.