Configurați BitLocker pe unități externe pas cu pas

Dacă lucrați cu hard disk-uri externe sau unități flash USB pline de informații sensibile, Configurați BitLocker pe unități externe Este probabil una dintre cele mai bune decizii de securitate pe care le poți lua în Windows. Această funcție de criptare Microsoft îți permite să protejezi tot conținutul unei unități, astfel încât, fără parolă sau cheie de recuperare, datele respective să fie complet inaccesibile.

Totuși, criptarea dispozitivelor BitLocker și Windows au nuanțele lor: Nu funcționează la fel pe unitatea de sistem ca pe un hard disk extern.Există diferențe între versiunile de Windows, contează dacă aveți sau nu un cip TPM, acesta poate afecta oarecum performanța (în special pe unele SSD-uri) și există și alternative atunci când ediția dvs. de Windows nu include BitLocker. Să analizăm, pas cu pas și în detaliu, tot ce trebuie să știți pentru a cripta unități externe fără a strica lucrurile și fără a pierde date.

BitLocker și criptarea dispozitivelor: ce este fiecare și cum diferă

În Windows, coexistă două concepte care sunt foarte similare, dar nu exact la fel: criptarea dispozitivului y Criptarea unității BitLockerÎnțelegerea acestei diferențe te ajută să știi ce poți și ce nu poți face cu hard disk-urile tale externe.

Criptarea dispozitivului este o funcție pe care anumite computere Windows o au activată în mod implicit. Când porniți un PC nou cu un cont Microsoft, fie că este vorba de serviciu sau de școalăSistemul poate activa automat criptarea internă a discului. Cheia de recuperare este încărcată în acel cont fără a fi nevoie să faceți nimic. Cu un cont local, însă, de obicei nu se activează automat.

Marea diferență este că criptarea dispozitivului este concepută pentru utilizatori neavansați și computere care vin de obicei cu Windows HomeÎn timp ce BitLocker „clasic” (versiunea completă cu toate opțiunile) este disponibil doar în edițiile Pro, Enterprise și Education. În termeni practici, BitLocker vă oferă mult mai mult control: puteți cripta unități externe, unități flash USB, partiții suplimentare și unitatea de sistem folosind diferite metode și chei.

Dacă vrei să știi de ce opțiunea de criptare a dispozitivului nu apare pe PC, poți deschide instrumentul „Informații despre sistem” ca administrator și să vezi valoarea Compatibilitate automată cu criptarea dispozitivuluiAcolo veți vedea mesaje precum „îndeplinește cerințele”, „TPM nu poate fi utilizat”, „WinRE nu este configurat” sau „Legătura PCR7 nu este acceptată”, care vă spun ce piesă lipsește pentru ca acesta să se activeze automat.

Cum funcționează BitLocker: parole, chei și comportamentul unității

BitLocker criptează unități întregi, fie ele interne sau externe. Când activați criptarea, va trebui să definiți un Parolă pentru deblocarea unității Sau folosiți alte protecții, cum ar fi chei de recuperare, carduri inteligente sau o unitate USB. Parola respectivă este esențială: dacă o pierdeți și nu ați salvat corect nici cheia de recuperare, datele vor fi cel mai probabil irecuperabile.

Odată ce o unitate externă este criptată, comportamentul este destul de convenabil: Tot ce copiezi pe unitate este criptat instantaneu. Și tot ce citești este decriptat automat după ce îl deblochezi. Nu trebuie să criptezi fișier cu fișier sau să faci ceva neobișnuit; Windows face asta în fundal.

Dacă criptați unitatea unde se află sistemul de operare, ceea ce se schimbă este momentul în care vi se solicită parola sau autentificarea: chiar înainte de pornirea Windows-uluiDacă nu introduceți cheia BitLocker corectă, sistemul nu va porni complet. Ulterior, vă puteți conecta cu numele de utilizator și parola Windows ca de obicei; acestea sunt două procese separate.

Când vorbim despre discuri de date interne sau externe (fără sistem de operare), este obișnuit ca, la pornirea Windows, să vedeți unitatea cu o pictogramă în formă de lacăt. Când faceți dublu clic pe acea unitate, vi se va solicita parola BitLocker.Odată deblocat, puteți lucra cu el normal până când îl blocați din nou sau opriți computerul.

Algoritmi, puterea criptării și impactul acestora asupra performanței

BitLocker poate funcționa cu diverși algoritmi de criptare și lungimi de chei. În mod implicit, hard disk-urile interne moderne utilizează XTS-AES cu o cheie de 128 de biți.În timp ce pe unitățile amovibile și unitățile USB, se folosește de obicei AES-CBC, tot la 128 de biți, pentru compatibilitate cu versiunile mai vechi de Windows.

XTS-AES este un mod mai nou și optimizat: Oferă o securitate mai mare împotriva anumitor manipulări ale blocurilor și este de obicei mai rapid.AES-CBC este în continuare sigur dacă utilizați parole puternice, dar este puțin mai puțin eficient și are mai multe dezavantaje criptografice, așa că este considerat tranzitoriu.

În edițiile profesionale de Windows, puteți merge mai departe și, prin directivele grupului localPuteți ajusta atât algoritmul (XTS-AES sau AES-CBC), cât și lungimea cheii (128 sau 256 de biți). Din punct de vedere practic, 256 de biți oferă o marjă de securitate teoretică mai mare, iar pe sistemele moderne diferența de performanță este minimă, mai ales dacă procesorul suportă AES-NI.

Totuși, nu sunt toate avantajele. S-a constatat că unele SSD-uri NVMe de înaltă performanță au probleme de performanță. când BitLocker rulează în mod complet bazat pe softwareVitezele aleatorii de citire/scriere pot scădea semnificativ. De exemplu, pe un Samsung 990 Pro de 4 TB, în anumite teste cu BitLocker activat s-au observat scăderi de până la 45%.

În cazuri extreme, opțiunile sunt dezactivarea BitLocker (sacrificând securitatea) sau Configurați SSD-ul să utilizeze criptarea bazată pe hardwaresau să evalueze măsurile pentru activați memoria cache de scriere pe unități externe și accelerarea transferurilor, ceea ce implică de obicei reinstalarea Windows și asigurarea că unitatea este configurată corect de la început. Pentru majoritatea utilizatorilor, însă, impactul va fi aproape imperceptibil.

Ce este o politică de grup și cum se modifică metoda de criptare

Politicile de grup din Windows sunt o modalitate avansată de ajustați comportamentul sistemului de operare atât la nivel de echipă, cât și la nivel de utilizator. Într-un mediu de acasă, vorbim despre politici de grup locale, care sunt editate cu utilitarul gpedit.msc în edițiile Pro, Enterprise și similare.

Pentru a ajusta algoritmul și puterea de criptare BitLocker, deschideți editorul de politici (Win + R, tastați gpedit.msc) și navigați la: Politica computerului local > Configurare computer > Șabloane administrative > Componente Windows > Criptare unitate BitLocker. Acolo veți vedea mai multe politici specifice versiunii dvs. de Windows.

Veți găsi politici separate pentru versiunile mai vechi și pentru Windows 10 și versiuni ulterioareÎn cele mai recente versiuni, puteți alege un algoritm diferit pentru discurile de boot interne, discurile de date interne și unitățile amovibile/USB. Pentru fiecare, puteți selecta XTS-AES sau AES-CBC, precum și 128 sau 256 de biți și dacă doriți sau nu să aplicați un difuzor suplimentar pe sistemele mai vechi.

Vă rugăm să rețineți că aceste modificări se aplică numai pentru discurile pe care le codificați din acel momentUnitățile criptate își vor păstra configurația originală. În plus, aceste politici intră în vigoare numai dacă corespund versiunii instalate de Windows.

După ce ați făcut modificările necesare, este recomandabil să forțați o actualizare a politicii pentru a evita așteptarea intervalului standard (aproximativ 90 de minute). Pentru a face acest lucru, deschideți Run (Win + R) și lansați comanda gpupdate /target:Computer /forceAceasta aplică modificările instantaneu, iar apoi puteți cripta noile unități cu configurația aleasă.

Cum se activează BitLocker pe unități interne și externe din interfața grafică

Windows oferă mai multe modalități grafice de a activa BitLocker fără a utiliza comenzi. În toate acestea, important este ca unitatea să fie... formatat și cu fontul atribuitAltfel, nu va apărea ca fiind criptabil.

Cea mai directă rută este prin File Explorer: Faceți clic dreapta pe unitatea internă sau externă. Selectați dispozitivul pe care doriți să îl protejați, apoi selectați „Activați BitLocker”. Aceasta deschide expertul unde veți alege parola de deblocare, modul de salvare a cheii de recuperare și tipul de criptare.

O altă modalitate este prin intermediul clasicului Panou de control. Din meniul Start, deschideți Panou de control > Sistem și securitate > Criptare unitate BitLocker. Veți vedea o listă grupată de unități: disc de sistem, discuri de date și, mai jos, dispozitive amovibile, unde intervine BitLocker To Go pentru unități flash USB și hard disk-uri externe.

De asemenea, îl puteți accesa din aplicația Setări (în special în Windows 10/11). Accesați Sistem > Despre și în partea de jos, ar trebui să vedeți un link către Configurarea BitLocker, care te duce la același panou de administrare.

Când porniți expertul pe o anumită unitate, primul pas va fi să definiți parola de deblocare. Aceasta ar trebui să includă majuscule, minuscule, numere și simboluriApoi, va trebui să decideți cum să salvați cheia de recuperare (cont Microsoft, fișier, USB, imprimare) și dacă să criptați doar spațiul utilizat sau întregul disc - lucru relevant în special dacă unitatea externă are deja [ceva lipsă în textul original]. date vechi șterse care ar putea fi recuperată.

Criptarea discului extern și BitLocker To Go

Pentru unitățile externe (unități USB, unități flash etc.), Windows utilizează un mod specific numit BitLocker Pentru a mergeÎn scopuri practice, interfața este aproape identică, dar intern algoritmul implicit este ajustat pentru a maximiza compatibilitatea cu alte computere Windows care nu sunt complet actualizate.

Procedura este foarte simplă: conectați unitatea externă, așteptați să apară în File Explorer, faceți clic dreapta pe unitate și alegeți „Activați BitLocker”. Asistentul vă va solicita apoi să configurați parola de deblocare, iar apoi vă va sugera să faceți o copie de rezervă a cheii de recuperare.

Când conectați ulterior unitatea respectivă la un alt PC Windows compatibil, sistemul va detecta că este criptată și Va afișa o casetă pentru introducerea parolei.Poți bifa caseta pentru ca dispozitivul să fie deblocat automat pe computerul respectiv în viitor, ceea ce este foarte util dacă este un PC de încredere.

În setările avansate ale unității deja criptate, veți avea opțiuni precum schimbarea parolei, eliminarea acesteia (cu condiția să configurați o altă metodă de autentificare), generarea de noi copii ale cheii de recuperare, Activează deblocarea automată sau dezactivați complet BitLocker pentru a decripta discul.

Dacă încă utilizați sisteme foarte vechi, precum Windows XP sau Vista, acestea nu recunosc nativ unitățile BitLocker To Go. În acest caz, Microsoft a oferit un instrument numit „BitLocker To Go Reader” care permitea accesul cel puțin doar pentru citire la unitățile USB criptate în format FAT, cu condiția introducerii cheii corecte.

TPM: Cipul care întărește BitLocker (și cum să îl folosești fără TPM)

TPM (Trusted Platform Module) este un mic cip de pe placa de bază conceput pentru a stocarea cheilor criptografice și verificarea integrității bootăriiÎn combinație cu BitLocker, o parte din cheia de criptare este stocată în TPM și o altă parte pe disc, astfel încât un atacator nu poate pur și simplu muta discul pe un alt computer și să-l citească.

TPM ajută, de asemenea, la detectarea modificărilor suspecte în hardware sau firmware. Dacă, de exemplu, actualizați BIOS-ul, înlocuiți componente critice sau manipulați anumiți parametri de bootare, TPM poate considera mediul ca fiind nesigur și Va trebui să introduceți cheia de recuperare. BitLocker la următoarea pornire.

Nu sunt toate avantajele: ca și componentă fizică, dacă cipul TPM se defectează sau îl înlocuiți fără a avea copii de rezervă ale cheilor de recuperare, ați putea pierde accesul la datele criptate. În plus, nu toate sistemele sau programele profită din plin de TPM și există întotdeauna posibilitatea unor defecte de implementare, erori sau vulnerabilități.

Pentru a verifica dacă pe calculatorul tău există un TPM activ, poți apăsa Win + R și executa tpm.mscDacă deschizi consola de administrare și vezi o stare precum „TPM gata de utilizare”, ești pe drumul cel bun. Dacă vezi o eroare care indică faptul că nu se poate găsi un TPM compatibil, este posibil ca acesta să fie dezactivat în BIOS/UEFI sau placa de bază să nu aibă deloc unul.

Chiar și așa, BitLocker nu necesită TPM ca cerință obligatorie. Este posibil Utilizarea BitLocker fără TPM prin activarea unei politici Fișierul gpedit.msc vă permite să solicitați autentificare suplimentară la pornire și să activați utilizarea acesteia fără un modul TPM. În aceste cazuri, principala măsură de securitate poate fi o parolă sau o cheie stocată pe o unitate USB pe care trebuie să o aveți conectată pentru pornire.

Utilizarea BitLocker cu și fără TPM pe unitatea de sistem

Criptarea discului pe care este instalat sistemul de operare este o măsură de securitate foarte puternică, dar necesită câteva considerații suplimentare. BitLocker creează un mic partiție de boot necriptată unde stochează fișierele necesare pentru pornirea sistemului, iar partiția principală a sistemului rămâne criptată până la validarea autentificării.

Dacă aveți un TPM, abordarea ideală este să îl combinați cu un cod PIN sau o parolă suplimentară în modul „TPM + PIN” pentru a consolida procesul de pornire. În acest fel, chiar dacă întregul computer este furat, vor avea nevoie atât de hardware-ul, cât și de parola pe care le cunoașteți. Windows gestionează această combinație relativ transparent.

Când nu există un TPM sau nu doriți să îl utilizați, ar trebui să utilizați politica „Solicită autentificare suplimentară la pornire” pe unitățile sistemului de operare din editorul de politici de grup. Activarea opțiunii de a permite BitLocker fără TPMExpertul vă va permite să utilizați o parolă la pornire sau o unitate USB care conține un fișier cu cheia de deblocare.

În acest scenariu, asistentul vă va ruga să introduceți o unitate flash USB Pentru a salva cheia de boot sau pentru a seta o parolă complexă. Această unitate USB nu poate fi scoasă în timpul procesului de criptare sau în timpul repornirilor inițiale. De asemenea, este o idee bună să ajustați ordinea de boot în BIOS, astfel încât computerul să nu încerce să booteze de pe unitatea USB care conține cheia.

După ce criptarea este completă și ați verificat dacă sistemul pornește corect, este recomandabil să salvați copii ale cheii de pornire respective (și ale cheii de recuperare) într-un loc foarte sigur: un alt dispozitiv criptat, un manager de parole sau, dacă îl utilizați, în contul dvs. Microsoft/OneDrive.

BitLocker și rețele: comportamentul unităților externe criptate

Un detaliu care adesea ridică îndoieli este modul în care se comportă un hard disk extern criptat cu BitLocker atunci când este partajat într-o rețeaEste important să înțelegeți că BitLocker protejează împotriva accesului fizic direct la dispozitiv; nu acționează ca un sistem de autentificare în rețea.

Asta înseamnă că nu poți, de exemplu, să introduci parola BitLocker de pe un alt computer la distanță pentru a debloca unitatea. Primul lucru de făcut este deblocați unitatea de pe computerul la care este conectată fizicDupă aceea, puteți partaja foldere sau întregul volum utilizând opțiunile de partajare a fișierelor din Windows.

Odată partajate, utilizatorii rețelei vor accesa datele folosind acreditările lor obișnuite Windows (nume de utilizator/parolă de rețea, permisiuni NTFS și de partajare etc.), dar criptarea BitLocker este gestionată de computerul cu unitatea conectată. Dacă acel computer oprește sau blochează unitatea, resursa devine indisponibilă.

Chei de recuperare și copii de rezervă: plasa ta de siguranță

De fiecare dată când criptați o unitate cu BitLocker, expertul generează o Cheie de recuperare de 48 de cifreEste salvatorul tău atunci când uiți parola obișnuită sau când, din cauza unor modificări hardware sau firmware, sistemul decide că trebuie să solicite acea cheie suplimentară la pornire.

Windows oferă mai multe modalități de a salva acea cheie: în contul Microsoft (este stocată în profilul OneDrive), pe o unitate USB necriptată, într-un fișier text sau imprimată direct pe hârtie. Ideal ar fi să se combine cel puțin două metode. și nu lăsați niciodată singura copie a cheii pe discul pe care îl criptați.

Dacă criptați mai multe unități, fiecare fișier cu cheie de recuperare are un identificator unic în numele său (un GUID) care corespunde cu cel afișat atunci când sistemul vă solicită cheia. Menținerea acestei relații este crucială pentru a ști care fișier corespunde cărei unități în caz de urgență.

Dincolo de BitLocker, singura strategie solidă împotriva defecțiunilor hardware, a coruperii sau a lacunelor de securitate este menținerea copii de rezervă complete pe dispozitive separateDacă aceste copii sunt stocate și pe un alt disc criptat sau într-un serviciu cloud care criptează și el datele, veți avea un nivel foarte ridicat de protecție împotriva pierderii sau furtului.

Rețineți că, dacă o unitate criptată suferă daune fizice, chiar dacă reușiți să recuperați sectoare izolate folosind tehnici criminalistice, Fără cheile corecte, datele respective vor rămâne criptate. și nu vor fi lizibile. De aceea, combinația dintre criptare și backup redundant este atât de importantă.

PowerShell și cmdlet-uri pentru gestionarea avansată a BitLocker

Pe lângă interfața grafică și utilitarul consolei manage-bde, Windows include Cmdlet-uri PowerShell specifice BitLockerfoarte util atunci când doriți să automatizați sarcini sau să gestionați mai multe unități simultan și măsurați I/O-urile pe disc per proces.

Comanda de bază pentru vizualizarea stării unităților este Get-BitLockerVolumecare acceptă parametrul -MountPoint pentru a specifica o anumită unitate. Adăugarea „| fl” la sfârșit vă oferă o ieșire detaliată cu toate protecțiile configurate, starea criptării, procentul de finalizare etc.

Pentru a adăuga diferite tipuri de protecție (parolă, cheie de recuperare, parolă de recuperare sau cheie de bootare), utilizați Adăugați BitLockerKeyProtector cu parametrii corespunzători pentru fiecare caz (de exemplu, -PasswordProtector, -RecoveryKeyPath, -StartupKeyProtector…). În acest fel, puteți pregăti o unitate cu toate metodele sale de deblocare înainte de a activa criptarea.

Cmdletul care pornește efectiv criptarea este Activare BitLockerTransmiteți acestei comenzi litera unității (-MountPoint) și protecțiile pe care doriți să le aplicați în acel moment. Pentru a opri sau a relua criptarea sau pentru a bloca sau debloca manual un volum, aveți comenzi precum Lock-BitLocker, Unlock-BitLocker, Enable-BitLockerAutoUnlock sau Disable-BitLockerAutoUnlock.

În final, dacă în orice moment decideți să decriptați complet un disc și să eliminați BitLocker, veți utiliza Dezactivare BitLockerProcesul poate dura ceva timp, în funcție de dimensiunea unității și de viteza hardware-ului, dar când se termină, volumul va reveni la text simplu și fără protecții asociate.

Probleme frecvente cu BitLocker și cum se rezolvă

Deși este o tehnologie destul de stabilă, BitLocker nu este lipsită de erori ocazionale. Una dintre cele mai frecvente este că, după o actualizare a BIOS-ului, o modificare hardware sau orice modificare a configurației de bootare, Sistemul va începe să solicite cheia de recuperare la fiecare pornire.

Modul obișnuit de a remedia problema este să porniți o dată introducând cheia de recuperare, apoi dezactivați temporar protecțiile Folosind `manage-bde` (de exemplu, `manage-bde -protectors -disable C:`), faceți modificările necesare și apoi reactivați-le cu `manage-bde -protectors -enable C:`. Aceasta „resetează” încrederea TPM-ului în starea curentă a mașinii.

De asemenea, este obișnuit să vedeți un triunghi galben deasupra unității în Explorer sau Device Manager, indicând faptul că BitLocker este suspendat sau că modificările sunt în așteptare după o actualizare. În aceste cazuri, este de obicei suficient să accesați setările BitLocker ale unității afectate și protecția CV-uluisau utilizați manage-bde -resume C: într-o consolă cu privilegii de administrator.

Dacă mesajele de eroare indică probleme cu TPM (din tpm.msc sau Device Manager), este recomandabil să verificați în BIOS/UEFI că TPM/Intel PTT/AMD fTPM este activatActualizați firmware-ul și, dacă este necesar, ștergeți TPM-ul din consola de administrare (ceea ce va regenera cheile asociate și va necesita reconfigurarea BitLocker).

Dincolo de aceste cazuri tipice, cheia nu este să activați criptarea cu ușurință: este întotdeauna recomandabil să vă asigurați că aveți copii de rezervă actualizate și copii multiple ale cheilor de recuperare înainte de a face modificări profunde la hardware sau firmware.

Alternative la BitLocker pentru criptarea unităților externe

Nu toate computerele au o ediție de Windows compatibilă cu BitLocker și nu merită întotdeauna să faceți upgrade doar pentru acea funcționalitate. În aceste situații, puteți recurge la alte instrumente de criptare pentru a proteja hard disk-urile externe și unitățile flash USB.

Unul dintre cele mai populare este VeraCrypt, un proiect gratuit și open-source care permite criptarea discuri întregi, partiții separate sau containere (fișiere care acționează ca discuri virtuale criptate). Acceptă algoritmi precum AES, Serpent sau Twofish și moduri moderne precum XTS, ceea ce îl face foarte flexibil și multiplatformă.

O altă opțiune o reprezintă programele axate pe criptează foldere specifice, cum ar fi Anvi Folder Locker sau Hook Folder Locker. Abordarea lor este diferită: în loc să criptați întreaga unitate, selectați directoare specifice, le atribuiți o parolă principală, iar programul se ocupă de blocarea sau deblocarea accesului după cum este necesar.

Dacă preferați să rămâneți în ecosistemul Windows fără BitLocker, există și EFS (Encrypted File System), care vă permite să criptați fișierele și folderele asociate cu un anumit utilizator. Este rapid și relativ convenabil, dar Nu este la fel de robust și nici la fel de independent de sistem. La fel ca BitLocker: cheia este stocată chiar în sistemul de operare, pot exista rămășițe de informații în cache-uri sau sectoare temporare, iar dacă cineva accesează sesiunea dvs. Windows, vede datele în text simplu.

Prin urmare, atunci când aveți opțiunea, cea mai bună metodă de a cripta unitățile externe este să folosiți BitLocker sau, în caz contrar, VeraCrypt. EFS și utilitarele pentru foldere sunt suficiente ca măsură temporară, dar nu înlocuiesc criptarea completă a unității atunci când doriți să protejați un disc întreg.

Per total, o schemă de criptare bună pe unitățile externe, combinarea acesteia cu copii de rezervă regulate și o bună înțelegere a modului în care funcționează cheile de recuperare vă permite să gestionați informațiile sensibile cu mult mai multă liniște sufletească atât în ​​viața de zi cu zi, cât și atunci când scoți fizic acele dispozitive din casă sau de la birou.

Articol asociat:

Tutorial complet BitLocker To Go: criptare securizată pe unități USB și unități externe

Isaac

Scriitor pasionat despre lumea octeților și a tehnologiei în general. Îmi place să îmi împărtășesc cunoștințele prin scriere și asta voi face în acest blog, să vă arăt toate cele mai interesante lucruri despre gadgeturi, software, hardware, tendințe tehnologice și multe altele. Scopul meu este să vă ajut să navigați în lumea digitală într-un mod simplu și distractiv.