הגדרת BitLocker בכוננים חיצוניים שלב אחר שלב

אם אתם עובדים עם כוננים קשיחים חיצוניים או כונני הבזק מסוג USB מלאים במידע רגיש, הגדרת BitLocker בכוננים חיצוניים זוהי כנראה אחת מהחלטות האבטחה הטובות ביותר שתוכלו לקבל ב-Windows. תכונת ההצפנה הזו של מיקרוסופט מאפשרת לכם להגן על כל תוכן הכונן כך שבלעדיו, ללא סיסמה או מפתח שחזור, הנתונים הללו יהיו בלתי נגישים לחלוטין.

עם זאת, להצפנת מכשירי BitLocker ו-Windows יש ניואנסים משלהם: זה לא עובד אותו דבר על כונן המערכת כמו שזה עובד על כונן קשיח חיצוני.ישנם הבדלים בין גרסאות Windows, זה משנה אם יש לכם שבב TPM או לא, זה יכול להשפיע במידה מסוימת על הביצועים (במיוחד בחלק מכונני ה-SSD), ויש גם חלופות כאשר גרסת Windows שלכם אינה כוללת את BitLocker. בואו נבחן, שלב אחר שלב ובפירוט, את כל מה שאתם צריכים לדעת כדי להצפין כוננים חיצוניים מבלי לפגוע בדברים ובלי לאבד נתונים.

BitLocker והצפנת מכשירים: מהו כל אחד מהם וכיצד הם שונים

ב-Windows, קיימים שני מושגים דומים מאוד אך לא בדיוק אותו הדבר: הצפנת מכשיר y הצפנת כונן BitLockerהבנת ההבדל הזה עוזרת לך לדעת מה אתה יכול ומה לא יכול לעשות עם הכוננים הקשיחים החיצוניים שלך.

הצפנת מכשירים היא תכונה שמחשבי Windows מסוימים מופעלים כברירת מחדל. כשאתה מפעיל מחשב חדש עם חשבון Microsoft, בין אם בעבודה או בבית הספרהמערכת יכולה להפעיל באופן אוטומטי הצפנת דיסק פנימית. מפתח השחזור נטען לחשבון זה מבלי שתצטרך לעשות דבר. עם זאת, עם חשבון מקומי, בדרך כלל הוא לא מופעל באופן אוטומטי.

ההבדל הגדול הוא שהצפנת מכשירים מיועדת עבור משתמשים לא מתקדמים ומחשבים שבדרך כלל מגיעים עם Windows Homeבעוד ש-BitLocker ה"קלאסי" (הגרסה המלאה עם כל האפשרויות) זמין רק במהדורות Pro, Enterprise ו-Education. מבחינה מעשית, BitLocker מעניק לך שליטה רבה יותר: אתה יכול להצפין כוננים חיצוניים, כונני הבזק מסוג USB, מחיצות נוספות ואת כונן המערכת באמצעות שיטות ומפתחות שונים.

אם ברצונך לדעת מדוע אפשרות הצפנת המכשיר אינה מופיעה במחשב שלך, תוכל לפתוח את הכלי "מידע מערכת" כמנהל מערכת ולהסתכל על הערך של תאימות אוטומטית עם הצפנת מכשיריםשם תראו הודעות כגון "עומד בדרישות", "לא ניתן להשתמש ב-TPM", "WinRE אינו מוגדר" או "קישור PCR7 אינו נתמך", אשר יציינו איזה חלק חסר כדי שיופעל אוטומטית.

כיצד BitLocker פועל: סיסמאות, מפתחות והתנהגות כוננים

BitLocker מצפין כוננים שלמים, בין אם פנימיים או חיצוניים. כשמפעילים הצפנה, תצטרכו להגדיר סיסמה לפתיחת הכונן או השתמשו באמצעי הגנה אחרים כגון מפתחות שחזור, כרטיסים חכמים או כונן USB. סיסמה זו היא קריטית: אם תאבדו אותה ולא שמרתם כראוי את מפתח השחזור, סביר להניח שהנתונים לא יהיו ניתנים לשחזור.

ברגע שכונן חיצוני מוצפן, ההתנהגות נוחה למדי: כל מה שאתה מעתיק לכונן מוצפן תוך כדי תנועה. וכל מה שאתם קוראים מפוענח אוטומטית לאחר שאתם פותחים את הנעילה. אינכם צריכים להצפין קובץ אחר קובץ או לעשות שום דבר יוצא דופן; ​​Windows עושה זאת ברקע.

אם תצפין את הכונן שבו ממוקמת מערכת ההפעלה, מה שמשתנה הוא כאשר תתבקש להזין את הסיסמה או האימות שלך: אפילו לפני ש-Windows מופעלאם לא תזין את מפתח BitLocker הנכון, המערכת לא תסיים את ההפעלה. לאחר מכן, תוכל להתחבר באמצעות שם המשתמש והסיסמה שלך ב-Windows כרגיל; אלו שני תהליכים נפרדים.

כשאנחנו מדברים על דיסקים פנימיים או חיצוניים (ללא מערכת הפעלה), מקובל שכאשר מפעילים את Windows, תראו את הכונן עם סמל מנעול. כאשר תלחץ פעמיים על כונן זה, תתבקש להזין את סיסמת BitLocker שלך.לאחר הפתיחה, תוכלו לעבוד איתו כרגיל עד שתנעלו אותו שוב או תכבו את המחשב.

אלגוריתמים, עוצמת הצפנה והשפעתם על הביצועים

BitLocker יכול לעבוד עם אלגוריתמי הצפנה ואורכי מפתחות שונים. כברירת מחדל, כוננים קשיחים פנימיים מודרניים משתמשים ב-XTS-AES עם מפתח של 128 סיביות.בעוד שבכוננים נשלפים וכונני USB הוא בדרך כלל משתמש ב-AES-CBC, גם הוא ב-128 סיביות, לצורך תאימות עם גרסאות ישנות יותר של Windows.

XTS-AES הוא מצב חדש יותר וממוטב: זה מספק אבטחה רבה יותר מפני מניפולציות מסוימות בבלוקים ובדרך כלל מהיר יותר.AES-CBC עדיין מאובטח אם משתמשים בסיסמאות חזקות, אך הוא מעט פחות יעיל ויש לו יותר חסרונות קריפטוגרפיים, ולכן הוא נחשב למעבר.

במהדורות מקצועיות של Windows, ניתן להתקדם צעד אחד קדימה, ובאמצעות הנחיות קבוצה מקומיותניתן להתאים הן את האלגוריתם (XTS-AES או AES-CBC) והן את אורך המפתח (128 או 256 סיביות). מבחינה מעשית, 256 סיביות מציעות מרווח אבטחה תיאורטי גדול יותר, ובמערכות מודרניות ההבדל בביצועים הוא מינימלי, במיוחד אם המעבד תומך ב-AES-NI.

עם זאת, זה לא רק היתרונות. נמצא כי חלק מכונני SSD מסוג NVMe מתקדמים סובלים מבעיות ביצועים. כאשר BitLocker פועל במצב מבוסס תוכנה מלאמהירויות קריאה/כתיבה אקראיות יכולות לרדת משמעותית. לדוגמה, בכונן Samsung 990 Pro בנפח 4TB, נצפו ירידות של עד 45% בבדיקות מסוימות עם BitLocker מופעל.

במקרים קיצוניים אלה, האפשרויות הן להשבית את BitLocker (ולפגוע באבטחה) או הגדר את ה-SSD לשימוש בהצפנה מבוססת חומרהאו להעריך אמצעים כדי הפעלת אחסון במטמון כתיבה בכוננים חיצוניים ולהאיץ העברות, שבדרך כלל כרוכות בהתקנה מחדש של Windows וודאו שהכונן מוגדר כהלכה מההתחלה. עם זאת, עבור רוב המשתמשים, ההשפעה תהיה כמעט בלתי מורגשת.

מהי מדיניות קבוצתית וכיצד לשנות את שיטת ההצפנה

מדיניות קבוצתית ב-Windows היא דרך מתקדמת של להתאים את התנהגות מערכת ההפעלה הן ברמת הצוות והן ברמת המשתמש. בסביבה ביתית, אנחנו מדברים על מדיניות קבוצתית מקומית, אשר נערכת באמצעות כלי השירות gpedit.msc במהדורות Pro, Enterprise ודומותיהן.

כדי להתאים את אלגוריתם ההצפנה של BitLocker ואת עוצמתו, פתחו את עורך המדיניות (Win + R, הקלדו gpedit.msc) ונווט אל: מדיניות מחשב מקומית > תצורת מחשב > תבניות ניהול > רכיבי Windows > הצפנת כונן BitLocker. שם תראה מספר מדיניות ספציפיות לגרסת Windows שלך.

תמצאו מדיניות נפרדת עבור גרסאות ישנות יותר ועבור Windows 10 ואילךבגרסאות האחרונות, ניתן לבחור אלגוריתם שונה עבור דיסקים פנימיים של אתחול, דיסקים פנימיים של נתונים וכוננים נשלפים/USB. עבור כל אחד מהם, ניתן לבחור XTS-AES או AES-CBC, כמו גם 128 או 256 סיביות, והאם להחיל מפזר נוסף על מערכות ישנות יותר.

שימו לב ששינויים אלה חלים רק על דיסקים שאתה מקודד מאותו רגע ואילךכוננים מוצפנים ישמרו על התצורה המקורית שלהם. יתר על כן, מדיניות זו נכנסת לתוקף רק אם היא תואמת את הגרסה המותקנת בפועל של Windows.

לאחר שביצעת את השינויים הדרושים, מומלץ לאלץ עדכון מדיניות כדי להימנע מהמתנה למרווח הסטנדרטי (כ-90 דקות). לשם כך, פתח את הפקודה Run (Win + R) והפעל את הפקודה gpupdate /target:מחשב /forceפעולה זו מחילה את השינויים באופן מיידי, ולאחר מכן ניתן להצפין כוננים חדשים עם התצורה שנבחרה.

כיצד להפעיל את BitLocker בכוננים פנימיים וחיצוניים מהממשק הגרפי

Windows מציע מספר דרכים גרפיות להפעלת BitLocker מבלי להשתמש בפקודות. בכולן, הדבר החשוב הוא שהכונן... מעוצב ועם גופן שהוקצהאחרת, זה לא ייראה כניתן להצפנה.

הדרך הישירה ביותר היא דרך סייר הקבצים: לחץ לחיצה ימנית על הכונן הפנימי או החיצוני. בחר את המכשיר שברצונך להגן עליו ולאחר מכן בחר "הפעל את BitLocker". פעולה זו פותחת את האשף שבו תבחר את סיסמת הנעילה שלך, כיצד לשמור את מפתח השחזור שלך ואת סוג ההצפנה.

דרך נוספת היא דרך לוח הבקרה הקלאסי. מתפריט התחל, פתחו את לוח הבקרה > מערכת ואבטחה > הצפנת כונן BitLocker. תראו רשימה מקובצת של כוננים: דיסק מערכת, דיסקים נתונים, ובהמשך, התקנים נשלפים, שם נכנס לתמונה BitLocker To Go עבור כונני הבזק מסוג USB ודיסקים קשיחים חיצוניים.

ניתן לגשת אליו גם מאפליקציית ההגדרות (במיוחד ב-Windows 10/11). עבור אל מערכת > אודות ובתחתית, אמורה להופיע קישור אל תצורת BitLocker, אשר מוביל אותך לאותו פאנל ניהול.

כאשר תפעילו את האשף בכונן ספציפי, השלב הראשון יהיה להגדיר את סיסמת הנעילה. היא צריכה לכלול אותיות רישיות, קטנות, מספרים וסמליםבשלב הבא, תצטרכו להחליט כיצד לשמור את מפתח השחזור (חשבון מיקרוסופט, קובץ, USB, הדפסה) והאם להצפין רק את השטח שנעשה בו שימוש או את כל הדיסק - דבר שרלוונטי במיוחד אם בכונן החיצוני כבר יש [משהו חסר בטקסט המקורי]. נתונים ישנים נמחקו שניתן היה לשחזר.

הצפנת דיסק חיצונית ו-BitLocker To Go

עבור כוננים חיצוניים (כונני USB, כונני הבזק וכו') Windows משתמש במצב ספציפי הנקרא BitLocker עבורלמטרות מעשיות, הממשק כמעט זהה, אך באופן פנימי אלגוריתם ברירת המחדל מותאם כדי למקסם את התאימות עם מחשבי Windows אחרים שאינם מעודכנים במלואם.

ההליך פשוט מאוד: חברו את הכונן החיצוני, המתינו עד שיופיע בסייר הקבצים, לחצו לחיצה ימנית על הכונן ובחרו "הפעל את BitLocker". לאחר מכן, האשף יבקש מכם להגדיר... סיסמת הנעילה, ולאחר מכן הוא יציע לך לגבות את מפתח השחזור שלך.

כאשר תחבר מאוחר יותר את הכונן למחשב Windows תואם אחר, המערכת תזהה שהוא מוצפן ו יוצג תיבה להזנת הסיסמה.ניתן לסמן את התיבה כך שהנעילה תבוטל אוטומטית במחשב הספציפי הזה בעתיד, וזה מאוד שימושי אם מדובר במחשב מהימן.

בהגדרות המתקדמות של הכונן שכבר מוצפן, יהיו לך אפשרויות כגון שינוי הסיסמה, הסרתה (בתנאי שתגדיר שיטת אימות אחרת), יצירת עותקים חדשים של מפתח השחזור, הפעלת פתיחה אוטומטית או להשבית לחלוטין את BitLocker כדי לפענח את הדיסק.

אם אתם עדיין משתמשים במערכות ישנות מאוד כמו Windows XP או Vista, הן לא מזהות באופן טבעי כונני BitLocker To Go. במקרה כזה, מיקרוסופט הציעה כלי בשם "BitLocker To Go Reader" שאפשר גישה לקריאה בלבד לפחות לכונני USB מוצפנים בפורמט FAT, בתנאי שהמפתח הנכון הוזן.

TPM: השבב שמחזק את BitLocker (וכיצד להשתמש בו ללא TPM)

מודול ה-TPM (Trusted Platform Module) הוא שבב קטן בלוח האם שנועד אחסון מפתחות קריפטוגרפיים ובדיקת תקינות האתחולבשילוב עם BitLocker, חלק ממפתח ההצפנה מאוחסן ב-TPM וחלק אחר בדיסק, כך שתוקף לא יכול פשוט להעביר את הדיסק למחשב אחר ולקרוא אותו.

ה-TPM מסייע גם בזיהוי שינויים חשודים בחומרה או בקושחה. אם, לדוגמה, תעדכנו את ה-BIOS, תחליפו רכיבים קריטיים או תשנו פרמטרי אתחול מסוימים, ה-TPM עשוי להתייחס לסביבה כלא מהימנה ו... זה ידרוש ממך להזין את מפתח השחזור. BitLocker באתחול הבא.

לא רק היתרונות: כרכיב פיזי, אם שבב ה-TPM נכשל או שתחליף אותו מבלי לגבות את מפתחות השחזור שלך, אתה עלול לאבד גישה לנתונים המוצפנים שלך. יתר על כן, לא כל המערכות או התוכניות מנצלות את מלוא היתרונות של TPM, ותמיד קיימת אפשרות לפגמים, באגים או פגיעויות ביישום.

כדי לבדוק אם במחשב שלך יש TPM פעיל, תוכל ללחוץ על Win + R ולהפעיל tpm.mscאם תפתחו את קונסולת הניהול ותראו סטטוס כמו "TPM מוכן לשימוש", אתם בדרך הנכונה. אם אתם רואים שגיאה המציינת שלא ניתן למצוא TPM תואם, ייתכן שהוא מושבת ב-BIOS/UEFI או שללוח האם שלכם אין כזה כלל.

למרות זאת, BitLocker אינו דורש TPM כדרישה חובה. ייתכן השתמש ב-BitLocker ללא TPM על ידי הפעלת מדיניות קובץ gpedit.msc מאפשר לך לדרוש אימות נוסף בעת האתחול ולאפשר את השימוש בו ללא מודול TPM. במקרים אלה, אמצעי האבטחה העיקרי יכול להיות סיסמה או מפתח המאוחסן בכונן USB שעליך לחבר כדי לאתחל.

שימוש ב-BitLocker עם ובלי TPM בכונן המערכת

הצפנת הדיסק שבו מותקנת מערכת ההפעלה היא אמצעי אבטחה רב עוצמה, אך היא דורשת כמה שיקולים נוספים. BitLocker יוצר קביעה קטנה מחיצת אתחול לא מוצפנת שם הוא מאחסן את הקבצים הדרושים להפעלת המערכת, ומחיצת המערכת הראשית נשארת מוצפנת עד לאימות האימות.

אם יש לכם TPM, הגישה האידיאלית היא לשלב אותו עם קוד סודי או סיסמה נוספים במצב "TPM + PIN" כדי לחזק את תהליך האתחול. בדרך זו, גם אם כל המחשב שלכם נגנב, הם יזדקקו גם לחומרה וגם לסיסמה שאתם יודעים. Windows מנהל את השילוב הזה בצורה שקופה יחסית.

כאשר אין TPM או שאינך מעוניין להשתמש בו, עליך להשתמש במדיניות "דרוש אימות נוסף בעת אתחול" ביחידות מערכת ההפעלה בתוך עורך המדיניות הקבוצתית. הפעלת האפשרות לאפשר BitLocker ללא TPMהאשף יאפשר לך להשתמש בסיסמה בעת ההפעלה או בכונן USB המכיל קובץ עם מפתח הנעילה.

בתרחיש זה, העוזר יבקש ממך הכנס כונן הבזק מסוג USB כדי לשמור את מפתח האתחול, או כדי להגדיר סיסמה מורכבת. לא ניתן להסיר את כונן ה-USB הזה במהלך תהליך ההצפנה או במהלך הפעלה מחדש ראשונית. מומלץ גם להתאים את סדר האתחול ב-BIOS כדי שהמחשב לא ינסה לאתחל מכונן ה-USB המכיל את המפתח.

לאחר השלמת ההצפנה ווידאת שהמערכת מאותחלת כראוי, מומלץ לשמור עותקים של מפתח האתחול (ומפתח השחזור) במקום מאובטח מאוד: מכשיר מוצפן אחר, מנהל סיסמאות, או, אם אתם משתמשים בו, חשבון Microsoft/OneDrive שלכם.

BitLocker ורשתות: התנהגות של כוננים חיצוניים מוצפנים

פרט אחד שלעתים קרובות מעורר ספקות הוא אופן ההתנהגות שלו כונן קשיח חיצוני מוצפן עם BitLocker בעת שיתוף ברשתחשוב להבין ש-BitLocker מגן מפני גישה פיזית ישירה למכשיר; הוא אינו פועל כמערכת אימות ברשת.

פירוש הדבר שאינך יכול, למשל, להזין את סיסמת BitLocker שלך ממחשב מרוחק אחר כדי לפתוח את נעילת הכונן. הדבר הראשון שיש לעשות הוא ביטול נעילת הכונן במחשב שאליו הוא מחובר פיזיתלאחר מכן, תוכל לשתף תיקיות או את כל אמצעי האחסון באמצעות אפשרויות שיתוף הקבצים של Windows.

לאחר השיתוף, משתמשי הרשת ייגשו לנתונים באמצעות אישורי Windows הרגילים שלהם (שם משתמש/סיסמה ברשת, הרשאות NTFS ושיתוף וכו'), אך הצפנת BitLocker מטופלת על ידי המחשב שאליו מחובר הכונן. אם מחשב זה נכבה או נועל את הכונן, המשאב הופך ללא זמין.

מפתחות שחזור וגיבויים: רשת הביטחון שלך

בכל פעם שאתה מצפין כונן באמצעות BitLocker, האשף יוצר מפתח שחזור בן 48 ספרותזהו חבל ההצלה שלך כשאתה שוכח את הסיסמה הרגילה שלך או כאשר, עקב שינויים בחומרה או בקושחה, המערכת מחליטה שהיא צריכה לבקש את המפתח הנוסף הזה בעת ההפעלה.

Windows מציע מספר דרכים לשמור את המפתח הזה: בחשבון Microsoft שלך (הוא מאוחסן בפרופיל OneDrive שלך), בכונן USB לא מוצפן, בקובץ טקסט או מודפס ישירות על נייר. באופן אידיאלי, יש לשלב לפחות שתי שיטות. ולעולם אל תשאיר את העותק היחיד של המפתח בדיסק שאתה מצפין.

אם תצפין מספר כוננים, לכל קובץ מפתח שחזור יש מזהה ייחודי בשמו (GUID) התואם לזה המוצג כאשר המערכת מבקשת ממך את המפתח. שמירה על קשר זה חיונית כדי לדעת איזה קובץ מתאים לאיזה כונן במקרה חירום.

מעבר ל-BitLocker, האסטרטגיה היחידה והיציבה נגד כשלי חומרה, פגיעה או ליקויי אבטחה היא לשמור על גיבויים מלאים על מכשירים נפרדיםאם עותקים אלה מאוחסנים גם בדיסק מוצפן אחר או בשירות ענן שמצפין גם את הנתונים, תהיה לכם רמת הגנה גבוהה מאוד מפני אובדן או גניבה.

זכרו שאם כונן מוצפן סובל נזק פיזי, גם אם תצליחו לשחזר סקטורים מבודדים באמצעות טכניקות פורנזיות, ללא המפתחות הנכונים, הנתונים יישארו מוצפנים. והם לא יהיו קריאים. זו הסיבה שהשילוב של הצפנה וגיבוי יתיר כל כך חשוב.

PowerShell ו-cmdlets לניהול מתקדם של BitLocker

בנוסף לממשק הגרפי ולכלי השירות manage-bde, Windows כולל cmdlets של PowerShell ספציפיים ל-BitLockerשימושי מאוד כשרוצים להפוך משימות לאוטומטיות או לנהל יחידות רבות בו זמנית מדידת קלט/פלט של דיסק לכל תהליך.

הפקודה הבסיסית לצפייה במצב היחידות היא Get-BitLockerVolumeאשר מקבל את הפרמטר -MountPoint כדי לציין כונן ספציפי. הוספת "| fl" בסוף נותנת לך פלט מפורט עם כל המגנים שהוגדרו, סטטוס ההצפנה, אחוז ההשלמה וכו'.

כדי להוסיף סוגים שונים של הגנה (סיסמה, מפתח שחזור, סיסמת שחזור או מפתח אתחול), עליך להשתמש הוסף-BitLockerKeyProtector עם הפרמטרים המתאימים לכל מקרה (לדוגמה, -PasswordProtector, -RecoveryKeyPath, -StartupKeyProtector…). בדרך זו ניתן להכין כונן עם כל שיטות הנעילה שלו לפני הפעלת ההצפנה.

ה-cmdlet שמתחיל בפועל את ההצפנה הוא הפעלת BitLockerעליך להעביר את אות הכונן (-MountPoint) ואת ההגנות שברצונך להחיל באותו רגע לפקודה זו. כדי לעצור או לחדש את ההצפנה, או כדי לנעול או לבטל את הנעילה של אמצעי אחסון באופן ידני, יש לך פקודות כגון Lock-BitLocker, Unlock-BitLocker, Enable-BitLockerAutoUnlock או Disable-BitLockerAutoUnlock.

לבסוף, אם בשלב כלשהו תחליטו לפענח דיסק לחלוטין ולהסיר את BitLocker, תשתמשו השבתת BitLockerהתהליך עשוי להימשך זמן מה בהתאם לגודל הכונן ולמהירות החומרה, אך לאחר סיום התהליך, אמצעי האחסון יחזור לטקסט רגיל וללא כל מגנים קשורים.

בעיות נפוצות ב-BitLocker וכיצד לפתור אותן

למרות שמדובר בטכנולוגיה יציבה למדי, BitLocker אינה חפה מתקלות מזדמנות. אחת הנפוצות ביותר היא שלאחר עדכון BIOS, שינוי חומרה או כל שינוי בתצורת האתחול, המערכת תתחיל לבקש את מפתח השחזור בכל הפעלה.

הדרך הרגילה לתקן את זה היא לאתחל פעם אחת על ידי הזנת מפתח השחזור, ולאחר מכן להשבית זמנית את המגנים באמצעות `manage-bde` (לדוגמה, `manage-bde -protectors -disable C:`), בצעו את השינויים הדרושים ולאחר מכן הפעילו אותם מחדש באמצעות `manage-bde -protectors -enable C:`. פעולה זו "מאפסת" את אמון ה-TPM בנוגע למצב הנוכחי של המכונה.

כמו כן, נפוץ לראות משולש צהוב מעל הכונן בסייר או במנהל ההתקנים, המציין ש-BitLocker מושעה או ששינויים ממתינים לאחר עדכון. במקרים אלה, בדרך כלל מספיק לעבור להגדרות BitLocker של הכונן המושפע ו... הגנה על קורות חיים, או השתמש בפקודה manage-bde -resume C: בקונסולה עם הרשאות מנהל מערכת.

אם הודעות השגיאה מצביעות על בעיות ב-TPM (מ-tpm.msc או ממנהל ההתקנים), מומלץ לבדוק ב-BIOS/UEFI ש... TPM/Intel PTT/AMD fTPM מופעלעדכן את הקושחה, ובמידת הצורך, נקה את ה-TPM מקונסולת הניהול שלך (מה שייצור מחדש את המפתחות המשויכים וידרוש הגדרה מחדש של BitLocker).

מעבר למקרים אופייניים אלה, המפתח הוא לא להפעיל הצפנה בקלות ראש: תמיד מומלץ לוודא שיש לכם גיבויים מעודכנים ועותקים מרובים של מפתחות שחזור לפני ביצוע שינויים עמוקים בחומרה או בקושחה.

חלופות ל-BitLocker להצפנת כוננים חיצוניים

לא לכל המחשבים יש גרסה תואמת BitLocker של Windows, ולא תמיד כדאי לשדרג רק בשביל תכונה זו. במצבים כאלה, ניתן לפנות ל... כלי הצפנה אחרים להגנה על כוננים קשיחים חיצוניים וכונני הבזק מסוג USB.

אחת הפופולריות ביותר היא VeraCrypt, פרויקט חינמי וקוד פתוח המאפשר הצפנה דיסקים שלמים, מחיצות רופפות או מכולות (קבצים הפועלים כדיסקים וירטואליים מוצפנים). הוא תומך באלגוריתמים כגון AES, Serpent או Twofish ובמצבים מודרניים כגון XTS, מה שהופך אותו לגמיש מאוד וחוצה פלטפורמות.

אפשרות נוספת היא תוכניות המתמקדות ב הצפנת תיקיות ספציפיות, כגון Anvi Folder Locker או Hook Folder Locker. הגישה שלהם שונה: במקום להצפין את כל הכונן, בוחרים ספריות ספציפיות, מקצים להן סיסמת אב, והתוכנית מטפלת בנעילה או בפתיחה של הגישה לפי הצורך.

אם אתם מעדיפים להישאר בתוך המערכת האקולוגית של Windows ללא BitLocker, יש גם EFS (מערכת קבצים מוצפנת), המאפשרת לכם להצפין קבצים ותיקיות המשויכים למשתמש ספציפי. זה מהיר ונוח יחסית, אבל זה לא חזק באותה מידה וגם לא עצמאי מהמערכת. כמו BitLocker: המפתח מאוחסן במערכת ההפעלה עצמה, ייתכנו שאריות מידע במטמונים או בסקטורים זמניים, ואם מישהו ניגש לסשן Windows שלך, הוא רואה את הנתונים בטקסט רגיל.

לכן, כאשר יש לכם אפשרות, הדרך הטובה ביותר להצפין כוננים חיצוניים היא להיצמד ל-BitLocker או, אם זה לא עובד, ל-VeraCrypt. תוכנות EFS ​​ותוכניות תיקיות הן בסדר כאמצעי זמני, אך הן אינן מחליפות הצפנה מלאה של הכונן כאשר אתם רוצים להגן על דיסק שלם.

בסך הכל, תוכנית הצפנה טובה בכוננים החיצוניים שלך, שילובה עם גיבויים קבועים והבנה טובה של אופן פעולתם של מפתחות שחזור מאפשרים לך להתמודד עם מידע רגיש בשקט נפשי רב יותר הן בחיי היומיום שלכם והן כשאתם מוציאים פיזית את המכשירים האלה מהבית או מהמשרד.