- BitLocker umožňuje šifrovat celé externí disky pomocí hesel a obnovovacích klíčů, čímž chrání fyzický přístup k datům.
- Použití TPM, skupinových politik a volba algoritmu (XTS-AES, AES-CBC) definuje úroveň zabezpečení a dopad na výkon.
- Správná správa záloh a klíčů pro obnovení je nezbytná, aby se zabránilo trvalé ztrátě šifrovaných informací.
- Pokud BitLocker není k dispozici, nástroje jako VeraCrypt nabízejí robustní alternativu pro šifrování externích disků.
Pokud pracujete s externími pevnými disky nebo USB flash disky plnými citlivých informací, Konfigurace BitLockeru na externích discích Je to pravděpodobně jedno z nejlepších bezpečnostních rozhodnutí, které můžete ve Windows učinit. Tato šifrovací funkce od společnosti Microsoft umožňuje chránit veškerý obsah disku tak, že bez hesla nebo obnovovacího klíče jsou tato data zcela nepřístupná.
Šifrování BitLockeru a zařízení se systémem Windows však má své nuance: Na systémovém disku to nefunguje stejně jako na externím pevném disku.Mezi verzemi Windows existují rozdíly, záleží na tom, zda máte čip TPM, či nikoli, může do jisté míry ovlivnit výkon (zejména na některých SSD discích) a existují také alternativy, pokud vaše edice Windows neobsahuje BitLocker. Pojďme se krok za krokem a podrobně podívat na vše, co potřebujete vědět pro šifrování externích disků, aniž byste je narušili a ztratili data.
BitLocker a šifrování zařízení: co je to a jak se liší
Ve Windows koexistují dva koncepty, které jsou sice velmi podobné, ale ne úplně stejné: šifrování zařízení y Šifrování disku BitLockeremPochopení tohoto rozdílu vám pomůže zjistit, co s externími pevnými disky můžete a nemůžete dělat.
Šifrování zařízení je funkce, která je v některých počítačích se systémem Windows ve výchozím nastavení povolena. Když spustíte nový počítač s účtem Microsoft, ať už v práci nebo ve školeSystém může automaticky aktivovat interní šifrování disku. Obnovovací klíč se na tento účet nahraje, aniž byste museli cokoli dělat. U lokálního účtu se však obvykle neaktivuje automaticky.
Velký rozdíl je v tom, že šifrování zařízení je navrženo pro nezkušení uživatelé a počítače, které se obvykle dodávají s Windows HomeZatímco „klasický“ BitLocker (plná verze se všemi možnostmi) je k dispozici pouze v edicích Pro, Enterprise a Education. V praxi vám BitLocker poskytuje mnohem větší kontrolu: můžete šifrovat externí disky, USB flash disky, další oddíly a systémový disk pomocí různých metod a klíčů.
Pokud chcete vědět, proč se možnost šifrování zařízení na vašem počítači nezobrazuje, můžete otevřít nástroj „Systémové informace“ jako správce a podívat se na hodnotu Automatická kompatibilita se šifrováním zařízeníZobrazí se vám zprávy jako „splňuje požadavky“, „TPM nelze použít“, „WinRE není nakonfigurováno“ nebo „PCR7 link není podporován“, které vám sdělí, jaká část chybí pro automatickou aktivaci.
Jak funguje BitLocker: hesla, klíče a chování disku
BitLocker šifruje celé disky, ať už interní nebo externí. Po povolení šifrování budete muset definovat Heslo pro odemčení disku Nebo použijte jiné ochranné prvky, jako jsou obnovovací klíče, čipové karty nebo USB disk. Toto heslo je zásadní: pokud ho ztratíte a ani si řádně neuložíte obnovovací klíč, data s největší pravděpodobností nebudou obnovitelná.
Jakmile je externí disk zašifrovaný, je chování docela pohodlné: Všechno, co zkopírujete na disk, je za běhu šifrováno. A vše, co si přečtete, se po odemčení automaticky dešifruje. Nemusíte šifrovat soubor po souboru ani dělat nic neobvyklého; Windows to dělá na pozadí.
Pokud zašifrujete disk, na kterém se nachází operační systém, změní se výzva k zadání hesla nebo ověření: ještě před spuštěním WindowsPokud nezadáte správný klíč BitLockeru, systém se nedokončí. Poté se můžete přihlásit pomocí uživatelského jména a hesla systému Windows jako obvykle; jedná se o dva samostatné procesy.
Když mluvíme o interních nebo externích datových discích (bez operačního systému), je běžné, že při spuštění systému Windows uvidíte disk s ikonou visacího zámku. Po dvojitém kliknutí na danou jednotku budete vyzváni k zadání hesla pro BitLocker.Jakmile je odemčený, můžete s ním normálně pracovat, dokud jej znovu nezamknete nebo nevypnete počítač.
Algoritmy, síla šifrování a jejich vliv na výkon
BitLocker dokáže pracovat s různými šifrovacími algoritmy a délkami klíčů. Moderní interní pevné disky standardně používají XTS-AES se 128bitovým klíčem.Na vyměnitelných discích a USB discích se obvykle používá AES-CBC, také na 128 bitech, pro kompatibilitu se staršími verzemi Windows.
XTS-AES je novější a optimalizovaný režim: Poskytuje větší zabezpečení proti určitým manipulacím s bloky a je obvykle rychlejší.AES-CBC je stále bezpečný, pokud používáte silná hesla, ale je o něco méně efektivní a má více kryptografických nevýhod, takže je považován za přechodný.
V profesionálních edicích systému Windows můžete jít ještě o krok dál a prostřednictvím směrnice místní skupinyMůžete upravit jak algoritmus (XTS-AES nebo AES-CBC), tak délku klíče (128 nebo 256 bitů). Z praktického hlediska nabízí 256 bitů větší teoretickou bezpečnostní rezervu a na moderních systémech je rozdíl ve výkonu minimální, zejména pokud procesor podporuje AES-NI.
To ale nejsou všechny výhody. U některých špičkových NVMe SSD disků byly zjištěny problémy s výkonem. když BitLocker běží v plně softwarovém režimuRychlost náhodného čtení/zápisu může výrazně klesnout. Například u 4TB disku Samsung 990 Pro byly v některých testech s povoleným BitLockerem pozorovány poklesy až o 45 %.
V těchto extrémních případech je možné BitLocker zakázat (a tím obětovat zabezpečení), nebo Konfigurace SSD disku pro použití hardwarového šifrovánínebo posoudit opatření k povolit ukládání do mezipaměti zápisu na externích discích a zrychlit přenosy, což obvykle zahrnuje přeinstalaci systému Windows a zajištění správné konfigurace disku od samého začátku. Pro většinu uživatelů však bude dopad téměř nepostřehnutelný.
Co je to skupinová politika a jak změnit metodu šifrování
Zásady skupiny ve Windows jsou pokročilým způsobem upravit chování operačního systému na úrovni týmu i uživatele. V domácím prostředí mluvíme o lokálních skupinových zásadách, které se v edicích Pro, Enterprise a podobných upravují pomocí nástroje gpedit.msc.
Chcete-li upravit šifrovací algoritmus a sílu BitLockeru, otevřete editor zásad (Win + R, zadejte gpedit.msc) a přejděte na: Zásady místního počítače > Konfigurace počítače > Šablony pro správu > Součásti systému Windows > Šifrování jednotky BitLocker. Zde uvidíte několik zásad specifických pro vaši verzi systému Windows.
Najdete zde samostatné zásady pro starší verze a pro Windows 10 a novějšíV nejnovějších verzích si můžete zvolit jiný algoritmus pro interní bootovací disky, interní datové disky a vyměnitelné/USB disky. Pro každý z nich můžete zvolit XTS-AES nebo AES-CBC, 128 nebo 256 bitů a také to, zda se na starších systémech má použít další difuzor.
Upozorňujeme, že tyto změny se týkají pouze disky, které od daného okamžiku kódujeteŠifrované disky si zachovají svou původní konfiguraci. Tyto zásady navíc platí pouze v případě, že odpovídají aktuálně nainstalované verzi systému Windows.
Jakmile provedete potřebné změny, je vhodné vynutit aktualizaci zásad, abyste se vyhnuli čekání na standardní interval (přibližně 90 minut). Chcete-li to provést, otevřete nabídku Spustit (Win + R) a spusťte příkaz gpupdate /target:Počítač /forceTím se změny projeví okamžitě a vy pak můžete zašifrovat nové disky s vybranou konfigurací.
Jak aktivovat BitLocker na interních a externích discích z grafického rozhraní
Systém Windows nabízí několik grafických způsobů, jak povolit BitLocker bez použití příkazů. Ve všech z nich je důležité, aby byl disk... formátováno a s přiřazeným písmemJinak se nebude jevit jako šifrovatelný.
Nejpřímější cesta vede přes Průzkumník souborů: Klikněte pravým tlačítkem myši na interní nebo externí disk. Vyberte zařízení, které chcete chránit, a poté vyberte možnost „Zapnout BitLocker“. Otevře se průvodce, kde si vyberete heslo pro odemknutí, způsob uložení klíče pro obnovení a typ šifrování.
Další možností je přes klasické Ovládací panely. V nabídce Start otevřete Ovládací panely > Systém a zabezpečení > Šifrování jednotek BitLocker. Zobrazí se seskupený seznam jednotek: systémový disk, datové disky a dále vyměnitelná zařízení, kde přichází na řadu BitLocker To Go pro USB flash disky a externí pevné disky.
Můžete k němu také přistupovat z aplikace Nastavení (zejména ve Windows 10/11). Přejděte do Systém > O aplikaci a dole byste měli vidět odkaz na Konfigurace BitLockeru, což vás přesměruje na stejný administrační panel.
Když spustíte průvodce na konkrétním disku, prvním krokem bude definování hesla pro odemčení. Mělo by obsahovat velká písmena, malá písmena, čísla a symbolyDále se budete muset rozhodnout, jak uložit klíč pro obnovení (účet Microsoft, soubor, USB, výtisk) a zda šifrovat pouze použité místo nebo celý disk – což je obzvláště důležité, pokud externí disk již obsahuje [něco chybí v původním textu]. stará data smazána které by se daly získat zpět.
Šifrování externího disku a BitLocker To Go
Pro externí disky (USB disky, flash disky atd.) používá systém Windows specifický režim s názvem BitLocker To GoZ praktických důvodů je rozhraní téměř identické, ale interně je výchozí algoritmus upraven tak, aby maximalizoval kompatibilitu s ostatními počítači se systémem Windows, které nejsou plně aktualizovány.
Postup je velmi jednoduchý: připojte externí disk, počkejte, až se zobrazí v Průzkumníku souborů, klikněte pravým tlačítkem myši na disk a vyberte možnost „Zapnout BitLocker“. Průvodce vás poté požádá o konfiguraci. heslo pro odemčenía poté vám systém navrhne zálohování klíče pro obnovení.
Když později připojíte tento disk k jinému kompatibilnímu počítači se systémem Windows, systém zjistí, že je zašifrovaný a Zobrazí se pole pro zadání hesla.Zaškrtnutím políčka jej můžete v budoucnu na daném počítači automaticky odemknout, což je velmi užitečné, pokud se jedná o důvěryhodný počítač.
V pokročilém nastavení již zašifrovaného disku budete mít možnosti, jako je změna hesla, jeho odstranění (pokud nakonfigurujete jinou metodu ověřování), generování nových kopií obnovovacího klíče, Povolit automatické odemykání nebo úplně zakažte BitLocker pro dešifrování disku.
Pokud stále používáte velmi staré systémy, jako je Windows XP nebo Vista, ty nativně nerozpoznávají disky BitLocker To Go. V takovém případě společnost Microsoft nabídla nástroj s názvem „BitLocker To Go Reader“, který umožňoval alespoň přístup pouze pro čtení k USB diskům šifrovaným ve formátu FAT, pokud byl zadán správný klíč.
TPM: Čip, který posiluje BitLocker (a jak ho používat bez TPM)
TPM (Trusted Platform Module) je malý čip na základní desce, který je určen k… ukládat kryptografické klíče a kontrolovat integritu bootováníV kombinaci s BitLockerem je část šifrovacího klíče uložena v TPM a druhá část na disku, takže útočník nemůže disk jednoduše přesunout do jiného počítače a přečíst si ho.
Modul TPM také pomáhá detekovat podezřelé změny v hardwaru nebo firmwaru. Pokud například aktualizujete systém BIOS, vyměníte kritické komponenty nebo upravíte určité parametry spouštění, může modul TPM považovat prostředí za nedůvěryhodné a Bude vyžadováno zadání obnovovacího klíče. BitLocker při dalším spuštění.
Nejde jen o výhody: pokud se čip TPM jako fyzická součástka pokazí nebo jej vyměníte bez zálohy klíčů pro obnovení, můžete ztratit přístup k šifrovaným datům. Navíc ne všechny systémy nebo programy plně využívají TPM a vždy existuje možnost implementačních chyb, chyb nebo zranitelností.
Chcete-li zkontrolovat, zda má váš počítač aktivní TPM, stiskněte klávesy Win + R a spusťte rpm.mscPokud otevřete konzoli pro správu a uvidíte stav jako „TPM připraven k použití“, jste na správné cestě. Pokud se zobrazí chyba, která označuje, že kompatibilní TPM nebyl nalezen, může být zakázán v systému BIOS/UEFI nebo vaše základní deska jej vůbec nemá.
BitLocker však nevyžaduje TPM jako povinný požadavek. Je možné Použití nástroje BitLocker bez TPM povolením zásady Soubor gpedit.msc umožňuje vyžadovat dodatečné ověřování při spuštění a povolit jeho použití bez modulu TPM. V těchto případech může být primárním bezpečnostním opatřením heslo nebo klíč uložený na USB disku, který musíte mít připojený ke spuštění.
Používání nástroje BitLocker s TPM a bez něj na systémovém disku
Šifrování disku, na kterém je nainstalován operační systém, je velmi účinné bezpečnostní opatření, ale vyžaduje určité další aspekty. BitLocker vytváří malý nešifrovaný bootovací oddíl kde ukládá soubory potřebné ke spuštění systému a hlavní systémový oddíl zůstává šifrovaný, dokud není ověřeno ověření.
Pokud máte TPM, ideálním přístupem je kombinovat jej s dalším PINem nebo heslem v režimu „TPM + PIN“, aby se zesílil proces spouštění. Tímto způsobem, i když vám někdo ukradne celý počítač, budou potřebovat jak hardware, tak heslo, které znáte. Systém Windows tuto kombinaci spravuje relativně transparentně.
Pokud není k dispozici žádný modul TPM nebo jej nechcete používat, měli byste v editoru skupinových zásad použít zásadu „Vyžadovat další ověření při spuštění“ na jednotkách operačního systému. Povolení možnosti povolit BitLocker bez TPMPrůvodce vám umožní použít heslo při spuštění nebo USB disk obsahující soubor s klíčem pro odemknutí.
V tomto scénáři vás asistent požádá o vložte USB flash disk Pro uložení spouštěcího klíče nebo pro nastavení složitého hesla. Tuto jednotku USB nelze během procesu šifrování ani během počátečního restartu odebrat. Je také vhodné upravit pořadí spouštění v systému BIOS, aby se počítač nepokoušel spustit systém z jednotky USB obsahující klíč.
Jakmile je šifrování dokončeno a ověříte, že se systém správně spustí, je vhodné uložit kopie tohoto spouštěcího klíče (a obnovovacího klíče) na velmi bezpečné místo: jiné šifrované zařízení, správce hesel nebo, pokud jej používáte, váš účet Microsoft/OneDrive.
BitLocker a sítě: chování šifrovaných externích disků
Jeden detail, který často vyvolává pochybnosti, je to, jak se chová externí pevný disk šifrovaný pomocí BitLockeru při sdílení v sítiJe důležité si uvědomit, že BitLocker chrání před přímým fyzickým přístupem k zařízení; nefunguje jako ověřovací systém v síti.
To znamená, že například nemůžete zadat heslo BitLockeru z jiného vzdáleného počítače a odemknout disk. První věc, kterou musíte udělat, je odemknout disk v počítači, ke kterému je fyzicky připojenPoté můžete sdílet složky nebo celý svazek pomocí možností sdílení souborů ve Windows.
Jakmile je disk sdílen, uživatelé sítě k nim budou přistupovat pomocí svých obvyklých přihlašovacích údajů systému Windows (uživatelské jméno/heslo sítě, oprávnění NTFS a sdílení atd.), ale šifrování BitLockerem je řešeno počítačem, k němuž je disk připojen. Pokud se tento počítač disk vypne nebo uzamkne, prostředek se stane nedostupným.
Klíče pro obnovení a zálohy: vaše záchranná síť
Pokaždé, když zašifrujete disk pomocí nástroje BitLocker, průvodce vygeneruje 48místný obnovovací klíčJe to vaše záchranné lano, když zapomenete své obvyklé heslo nebo když se systém kvůli změnám hardwaru či firmwaru rozhodne, že při spuštění potřebuje zadat tento další klíč.
Systém Windows nabízí několik způsobů, jak tento klíč uložit: ve vašem účtu Microsoft (je uložen ve vašem profilu OneDrive), na nešifrovaném disku USB, v textovém souboru nebo přímo vytištěn na papír. V ideálním případě by se měly kombinovat alespoň dvě metody. a nikdy nenechávejte jedinou kopii klíče na disku, který šifrujete.
Pokud šifrujete více disků, každý soubor s klíčem pro obnovení má ve svém názvu jedinečný identifikátor (GUID), který se shoduje s identifikátorem zobrazeným při zobrazení výzvy k zadání klíče. Udržování tohoto vztahu je zásadní pro to, abyste v případě nouze věděli, který soubor odpovídá kterému disku.
Kromě BitLockeru je jedinou spolehlivou strategií proti selhání hardwaru, poškození nebo bezpečnostním nedostatkům udržování úplné zálohy na samostatných zařízeníchPokud jsou tyto kopie uloženy také na jiném šifrovaném disku nebo v cloudové službě, která data také šifruje, budete mít velmi vysokou úroveň ochrany před ztrátou nebo krádeží.
Nezapomeňte, že pokud dojde k fyzickému poškození šifrovaného disku, i když se vám podaří obnovit izolované sektory pomocí forenzních technik, Bez správných klíčů zůstanou tato data zašifrovaná. a nebudou čitelné. Proto je kombinace šifrování a redundantního zálohování tak důležitá.
PowerShell a cmdlety pro pokročilou správu BitLockeru
Kromě grafického rozhraní a konzolového nástroje manage-bde obsahuje systém Windows také Rutiny PowerShellu specifické pro BitLockervelmi užitečné, když chcete automatizovat úkoly nebo spravovat více jednotek najednou a měření diskových I/O operací na proces.
Základní příkaz pro zobrazení stavu jednotek je Get-BitLockerVolumekterý přijímá parametr -MountPoint pro určení konkrétní jednotky. Přidáním "| fl" na konec získáte podrobný výstup se všemi nakonfigurovanými ochranami, stavem šifrování, procentem dokončení atd.
Chcete-li přidat různé typy ochrany (heslo, klíč pro obnovení, heslo pro obnovení nebo spouštěcí klíč), použijte Přidat BitLockerKeyProtector s příslušnými parametry pro každý případ (například -PasswordProtector, -RecoveryKeyPath, -StartupKeyProtector…). Tímto způsobem můžete připravit disk se všemi jeho metodami odemykání před aktivací šifrování.
cmdlet, který ve skutečnosti spouští šifrování, je Povolit BitLockerTomuto příkazu předáte písmeno jednotky (-MountPoint) a ochrany, které chcete v daném okamžiku použít. Chcete-li zastavit nebo obnovit šifrování nebo ručně uzamknout či odemknout svazek, máte k dispozici příkazy jako Lock-BitLocker, Unlock-BitLocker, Enable-BitLockerAutoUnlock nebo Disable-BitLockerAutoUnlock.
Nakonec, pokud se kdykoli rozhodnete disk úplně dešifrovat a odebrat BitLocker, použijete Zakázat BitLockerProces může chvíli trvat v závislosti na velikosti disku a rychlosti hardwaru, ale po dokončení se svazek vrátí do stavu prostého textu a bez jakýchkoli přidružených ochranných prvků.
Běžné problémy s BitLockerem a jak je řešit
Přestože se jedná o poměrně stabilní technologii, BitLocker se občas neobejde bez závad. Jednou z nejčastějších je, že po aktualizaci BIOSu, změně hardwaru nebo jakékoli změně konfigurace spouštění... Systém se při každém spuštění začne ptát na obnovovací klíč..
Obvyklý způsob, jak to vyřešit, je jednorázové spuštění zadáním obnovovacího klíče a poté dočasně deaktivovat ochranné prvky Pomocí příkazu `manage-bde` (například `manage-bde -protectors -disable C:`) proveďte potřebné změny a poté je znovu povolte pomocí `manage-bde -protectors -enable C:`. Tím se „resetuje“ důvěryhodnost TPM ohledně aktuálního stavu počítače.
Je také běžné vidět žlutý trojúhelník nad diskem v Průzkumníku nebo Správci zařízení, což znamená, že BitLocker je pozastaven nebo že po aktualizaci čekají změny. V těchto případech obvykle stačí přejít do nastavení BitLockeru na daném disku a ochrana životopisůnebo použijte příkaz manage-bde -resume C: v konzoli s oprávněními správce.
Pokud chybové zprávy poukazují na problémy s TPM (ze souboru tpm.msc nebo Správce zařízení), je vhodné zkontrolovat v systému BIOS/UEFI, zda Je povolen TPM/Intel PTT/AMD fTPMAktualizujte firmware a v případě potřeby vymažte čip TPM z konzole pro správu (což vygeneruje související klíče a bude vyžadovat překonfigurování nástroje BitLocker).
Kromě těchto typických případů není klíčem k aktivaci šifrování lehkovážně: před provedením rozsáhlých změn hardwaru nebo firmwaru je vždy vhodné zajistit, abyste měli aktuální zálohy a více kopií klíčů pro obnovení.
Alternativy k BitLockeru pro šifrování externích disků
Ne všechny počítače mají verzi systému Windows kompatibilní s nástrojem BitLocker a ne vždy se vyplatí upgradovat jen kvůli této funkci. V takových situacích se můžete uchýlit k další šifrovací nástroje k ochraně externích pevných disků a USB flash disků.
Jedním z nejpopulárnějších je VeraCrypt, bezplatný projekt s otevřeným zdrojovým kódem, který umožňuje šifrování celé disky, volné oddíly nebo kontejnery (soubory, které fungují jako šifrované virtuální disky). Podporuje algoritmy jako AES, Serpent nebo Twofish a moderní režimy jako XTS, díky čemuž je velmi flexibilní a multiplatformní.
Další možností jsou programy zaměřené na šifrování konkrétních složek, například Anvi Folder Locker nebo Hook Folder Locker. Jejich přístup je odlišný: místo šifrování celého disku vyberete konkrétní adresáře, přiřadíte jim hlavní heslo a program se podle potřeby postará o zamykání nebo odemykání přístupu.
Pokud dáváte přednost setrvání v ekosystému Windows bez BitLockeru, existuje také EFS (Encrypted File System), který umožňuje šifrovat soubory a složky spojené s konkrétním uživatelem. Je to rychlé a relativně pohodlné, ale... Není tak robustní ani tak nezávislý na systému. Stejně jako BitLocker: klíč je uložen v samotném operačním systému, v mezipamětech nebo dočasných sektorech mohou být zbytky informací a pokud někdo přistupuje k vaší relaci Windows, uvidí data v prostém textu.
Pokud tedy máte možnost, nejlepším způsobem šifrování externích disků je používat BitLocker nebo, pokud to není možné, VeraCrypt. Nástroje pro EFS a složky jsou jako dočasné opatření v pořádku, ale nenahrazují úplné šifrování disku, pokud chcete chránit celý disk.
Celkově vzato, dobré šifrovací schéma na externích discích, jeho kombinace s pravidelnými zálohami a dobrá znalost fungování klíčů pro obnovení vám umožní zacházejte s citlivými informacemi s mnohem větším klidem v duši jak v každodenním životě, tak i když tato zařízení fyzicky vyndáváte z domova nebo kanceláře.
Vášnivý spisovatel o světě bytů a technologií obecně. Rád sdílím své znalosti prostřednictvím psaní, a to je to, co budu dělat v tomto blogu, ukážu vám všechny nejzajímavější věci o gadgetech, softwaru, hardwaru, technologických trendech a dalších. Mým cílem je pomoci vám orientovat se v digitálním světě jednoduchým a zábavným způsobem.