Jak nastavit šifrování BitLocker v systému Windows
BitLocker je nástroj zabudovaný do systému Windows, který umožňuje šifrování celého pevného disku za účelem zvýšení bezpečnosti. Zde je návod, jak jej nastavit.
Když společnost TrueCrypt kontroverzně uzavřela prodejnu, doporučila svým uživatelům přechod od aplikace TrueCrypt k použití nástroje BitLocker nebo Veracrypt. BitLocker byl v systému Windows dostatečně dlouhý, aby byl považován za vyspělého, a je šifrovacím produktem, který obecně považují bezpečnostní pracovníci. V tomto článku budeme hovořit o tom, jak jej můžete nastavit na svém počítači.
Poznámka: Šifrování jednotky BitLocker Drive a BitLocker To Go vyžadují profesionální nebo podnikovou edici systému Windows 8 nebo 10 nebo Ultimate verze systému Windows 7. Počínaje Windows 8.1 však verze Home a Pro verze Windows obsahují funkci "Device Encryption" funkce zahrnuta také ve Windows 10), která funguje podobně. Doporučujeme šifrování zařízení, pokud jej podporuje počítač, uživatelé BitLocker pro Pro, kteří nemohou používat šifrování zařízení, a VeraCrypt pro lidi, kteří používají domovskou verzi systému Windows, kde funkce šifrování zařízení nefunguje.
Zašifrovat celý disk nebo vytvořit šifrovaný kontejner?
Mnoho průvodců tam hovoří o vytvoření kontejneru BitLocker, který funguje podobně jako druh šifrovaného kontejneru, který můžete vytvořit pomocí produktů TrueCrypt nebo Veracrypt. Je to trochu nesprávné pojmenování, ale můžete dosáhnout podobného účinku. BitLocker funguje šifrováním celé jednotky. Může to být vaše systémová jednotka, jiný fyzický disk nebo virtuální pevný disk (VHD), který existuje jako soubor a je nainstalován v systému Windows.
Rozdíl je z velké části sémantický. V jiných šifrovacích produktech obvykle vytváříte zašifrovaný kontejner a poté jej připojte jako jednotku v systému Windows, když jej budete potřebovat. S nástrojem BitLocker vytvoříte virtuální pevný disk a potom ho zašifrujete. Pokud chcete použít kontejner spíše než, řekněme, zašifrovat stávající systém nebo paměťovou jednotku, podívejte se na náš průvodce vytvořením šifrovaného souboru kontejneru s nástrojem BitLocker.
Pro tento článek se budeme soustředit na to, abychom umožnili BitLocker pro existující fyzickou jednotku.
Jak šifrovat disk pomocí nástroje BitLocker
Chcete-li používat jednotku BitLocker pro jednotku, musíte ji opravdu povolit, zvolit metodu odemknutí, heslo, kód PIN atd. A poté nastavit několik dalších možností. Než se dostaneme do toho, měli byste vědět, že pomocí šifrování celého disku BitLocker na systémová jednotka obecně vyžaduje počítač s modulem Trusted Platform Module (TPM) na základní desce vašeho počítače. Tento čip generuje a ukládá šifrovací klíče, které BitLocker používá. Pokud váš počítač nemá modul TPM, můžete použít Zásady skupiny k povolení používání nástroje BitLocker bez modulu TPM. Je to trochu méně bezpečné, ale ještě bezpečnější, než kdyby vůbec nebylo šifrováno.
Můžete šifrovat nesystémovou jednotku nebo vyměnitelnou jednotku bez modulu TPM a nemusíte povolovat nastavení zásad skupiny.
Na této poznámce byste měli také vědět, že existují dva typy šifrování jednotky BitLocker, které můžete povolit:
- Šifrování jednotky BitLocker: Někdy odkazoval se na jako BitLocker, to je "full-disk šifrování" funkce, která šifruje celý disk. Po spuštění počítače se spouštěcí zavaděč systému Windows načte z oddílu System Reserved a spouštěcí zavaděč vás vyzve k odemknutí metody - například k zadání hesla. Nástroj BitLocker potom dešifruje disk a načte systém Windows. Šifrování je jinak transparentní - vaše soubory se objevují jako obvykle v nešifrovaném systému, ale jsou uloženy na disku ve šifrované podobě. Můžete také šifrovat jiné jednotky než jen systémovou jednotku.
- BitLocker To Go: BitLocker To Go můžete šifrovat externí jednotky, například USB flash disky a externí pevné disky. Budete požádáni o způsob odemknutí - například o heslo - při připojení jednotky k počítači. Pokud někdo nemá způsob odemknutí, nemají přístup k souborům na jednotce.
V systémech Windows 7 až 10 se opravdu nemusíte starat o to, abyste výběr provedli sami. Systém Windows zpracovává věci za scénami a rozhraní, které používáte k povolení funkce BitLocker, nevypadá jinak. Pokud skončíte odemčení šifrované jednotky v systému Windows XP nebo Vista, uvidíte značku BitLocker to Go, takže jsme se domnívali, že byste o tom měli aspoň vědět.
Takže s touto cestou, pojďme se podívat, jak to skutečně funguje.
Krok první: Povolte nástroj BitLocker pro jednotku
Nejjednodušší způsob, jak povolit nástroj BitLocker pro jednotku, je kliknout pravým tlačítkem na jednotku v okně Průzkumník souborů a poté zvolit příkaz "Zapnout funkci BitLocker". Pokud tuto možnost nevidíte v kontextové nabídce, pravděpodobně nemáte verzi systému Pro nebo Enterprise systému Windows a budete muset hledat další řešení šifrování.
Je to tak jednoduché. Průvodce, který se objeví, vás provede výběrem několika možností, které jsme rozdělili do následujících částí.
Druhý krok: Vyberte metodu odemknutí
První obrazovka, která se zobrazí v průvodci "Šifrování jednotky šifrování BitLocker", vám umožňuje zvolit, jak odemknout disk. Můžete vybrat několik různých způsobů odemknutí jednotky.
Pokud zašifrujete systémovou jednotku v počítači, který je není máte modul TPM, můžete jednotku odemknout heslem nebo jednotkou USB, která funguje jako klíč. Vyberte způsob odemknutí a postupujte podle pokynů pro danou metodu (zadejte heslo nebo připojte USB disk).
Pokud váš počítač dělá máte TPM, uvidíte další možnosti odemknutí systémové jednotky. Můžete například nakonfigurovat automatické odblokování při spuštění (kde počítač zachycuje šifrovací klíče z modulu TPM a automaticky dešifruje jednotku). Můžete také použít kód PIN namísto hesla nebo dokonce vybrat biometrické možnosti, jako je například otisk prstu.
Pokud zašifrujete nesystémovou jednotku nebo vyměnitelnou jednotku, uvidíte pouze dvě možnosti (ať už máte TPM nebo ne). Jednotku můžete odemknout heslem nebo čipovou kartou (nebo oběma).
Krok třetí: Zálohujte klíč pro obnovení
BitLocker vám poskytuje klíč k obnovení, který můžete použít k přístupu k šifrovaným souborům, kdybyste někdy přišli o svůj hlavní klíč - například pokud zapomenete své heslo nebo pokud počítač s TPM zemře a musíte přistupovat k disku z jiného systému.
Můžete uložit klíč do účtu Microsoft, jednotky USB, souboru nebo dokonce vytisknout. Tyto možnosti jsou stejné, ať šifrujete systémovou nebo nesystémovou jednotku.
Pokud zálohujete klíč k vašemu účtu Microsoft, můžete k němu přistupovat později na adrese https://onedrive.live.com/recoverykey. Pokud používáte jinou metodu obnovení, ujistěte se, že je tento klíč v bezpečí - pokud k němu někdo přistupuje, mohli dešifrovat disk a obejít šifrování.
Pokud chcete, zálohovací klíč můžete také zálohovat několika způsoby. Stačí kliknout na každou možnost, kterou chcete použít, a postupujte podle pokynů. Po dokončení ukládání klíčů pro obnovení klikněte na tlačítko Další, abyste mohli pokračovat.
Poznámka: Pokud šifrujete USB nebo jinou vyměnitelnou jednotku, nebudete mít možnost uložit klíč pro obnovení na jednotku USB. Můžete použít libovolnou z dalších tří možností.
Krok čtyři: šifrování a odemknutí disku
BitLocker automaticky zašifruje nové soubory, jak je přidáváte, ale musíte vybrat, co se stane se soubory aktuálně na vaší jednotce. Můžete šifrovat celou jednotku - včetně volného místa - nebo jednoduše šifrovat použité diskové soubory, abyste urychlila proces. Tyto možnosti jsou stejné, i když šifrujete systémovou nebo nesystémovou jednotku.
Pokud nastavujete nástroj BitLocker v novém počítači, šifrujte pouze použité místo na disku - je to mnohem rychlejší. Pokud nastavujete nástroj BitLocker na počítači, který jste již nějakou dobu používali, měli byste šifrovat celou jednotku, abyste zajistili, že nikdo nemůže obnovit smazané soubory.
Po provedení výběru klikněte na tlačítko "Další".
Krok 5: Vyberte režim šifrování (pouze Windows 10)
Pokud používáte Windows 10, zobrazí se další obrazovka, která vám umožní zvolit metodu šifrování. Pokud používáte systém Windows 7 nebo 8, přeskočte dopředu na další krok.
Windows 10 představil novou metodu šifrování nazvanou XTS-AES. Poskytuje vylepšenou integritu a výkon v prostředí AES používaném v systémech Windows 7 a 8. Pokud víte, že disk, který šifrujete, bude použit pouze na počítačích se systémem Windows 10, pokračujte a zvolte možnost "Nový režim šifrování". Pokud se domníváte, že v určitém okamžiku budete muset použít disk se starší verzí systému Windows (zvláště důležité, pokud je to vyměnitelná jednotka), zvolte volbu "Kompatibilní režim".
Bez ohledu na to, kterou si vyberete (a to opět pro systémové i nesystémové disky), pokračujte a po dokončení klikněte na tlačítko "Další" a na další obrazovce klikněte na tlačítko "Start Encrypting".
Krok šest: Dokončení
Šifrovací proces může trvat kdekoli od sekund až po minuty nebo dokonce déle, v závislosti na velikosti jednotky, množství dat, které šifrujete a zda jste se rozhodli šifrovat volné místo.
Pokud šifrujete systémovou jednotku, budete vyzváni ke spuštění kontroly systému BitLocker a restartování systému. Ujistěte se, že je vybrána volba, klepněte na tlačítko "Pokračovat" a po spuštění restartujte počítač. Po prvním spuštění počítače se systém Windows zašifruje disk.
Pokud šifrujete disk, který není systémem nebo vyměnitelným, systém Windows nemusí být restartován a šifrování se okamžitě spustí.
Bez ohledu na typ jednotky, kterou šifrujete, můžete zkontrolovat ikonu BitLocker Drive Encryption v systémové liště, abyste viděli její průběh a můžete i nadále používat počítač, zatímco jednotky jsou šifrovány - bude to fungovat pomaleji.
Odemknutí disku
Je-li systémová jednotka šifrována, odblokování závisí na zvolené metodě (a zda má počítač TPM). Pokud máte TPM a rozhodli jste se, že disk bude automaticky odemknut, nebudete si všimnete nic jiného - stačí zavést přímo do Windows, jako vždy. Pokud zvolíte jiný způsob odemknutí, systém Windows vás vyzve k odemknutí disku (zadáním hesla, připojením jednotky USB nebo jakéhokoli jiného).
A pokud jste ztratili (nebo zapomněli) svůj způsob odemknutí, stiskněte klávesu Escape na obrazovce výzvy a zadejte klíč pro obnovení.
Pokud jste zašifrovali nesystémovou nebo vyměnitelnou jednotku, systém Windows vás vyzve k odemčení disku při prvním přístupu po spuštění systému Windows (nebo při připojení k počítači, pokud je to vyměnitelná jednotka). Zadejte své heslo nebo vložte čipovou kartu a jednotka by měla odemknout, abyste ji mohli používat.
V Průzkumníku souborů šifrované jednotky zobrazují na ikoně (vlevo) zlatý zámek. Tato zámka se změní na šedou a při odemknutí disku (vpravo) se odemkne,.
Můžete spravovat uzamčenou jednotku - změnit heslo, vypnout nástroj BitLocker, zálohovat klíč pro obnovení nebo provádět další akce - z okna ovládacího panelu BitLocker. Klepněte pravým tlačítkem myši na libovolnou zašifrovanou jednotku a vyberte "Správa BitLocker" a přejděte přímo na tuto stránku.
Stejně jako všechny šifrování BitLocker přidává některé režie. Microsoft oficiální FAQ BitLocker říká, že "obecně to vyžaduje jednociferné procento výkonu režie." Pokud šifrování je důležité pro vás, protože máte citlivé údaje - například notebook plný obchodních dokumentů - zvýšené zabezpečení stojí za to, -vypnuto.