วิธีตั้งค่า BitLocker พร้อม TPM, PIN และปลดล็อกเครือข่ายใน Windows 11

การปรับปรุงครั้งล่าสุด: 30/06/2025
ผู้แต่ง: ไอแซก
  • การรวมกันของ TPMPIN และการปลดล็อคเครือข่ายช่วยให้คุณปกป้องและจัดการ รองเท้า ปลอดภัยทั้งในสภาพแวดล้อมทางวิชาชีพและส่วนตัว
  • การกำหนดค่า BitLocker ต้องมีการตั้งค่าขั้นสูงในนโยบายความปลอดภัย ฮาร์ดแวร์ (UEFI/TPM) และโครงสร้างพื้นฐานเครือข่าย (WDS, ใบรับรอง, DHCP, GPO)
  • ตัวเลือกการกู้คืนและนโยบายการเข้ารหัสจะต้องได้รับการวางแผนอย่างรอบคอบเพื่อป้องกันการสูญเสียการเข้าถึงข้อมูลและเพื่อให้เป็นไปตามกฎระเบียบ

NIS2 คำสั่งด้านความปลอดภัยทางไซเบอร์ของยุโรป-9

ความปลอดภัยของข้อมูลเป็นเรื่องสำคัญสำหรับธุรกิจและผู้ใช้รายบุคคลที่ต้องการปกป้องทั้งความสมบูรณ์และความลับของข้อมูลที่จัดเก็บไว้ในคอมพิวเตอร์ของตน หน้าต่าง 11ด้วยฟังก์ชันการเข้ารหัสขั้นสูง เช่น BitLocker ทำให้สามารถป้องกันการเข้าถึงดิสก์โดยใช้วิธีการตรวจสอบสิทธิ์ที่แตกต่างกัน โดยรวมความแข็งแกร่งของ TPM ไว้ด้วยกัน (Secure Platform Module), การตรวจสอบ PIN และระบบพิเศษ ปลดล็อคเครือข่าย สำหรับการปลดล็อคเครือข่าย

หากคุณกำลังสงสัยว่าจะกำหนดค่า BitLocker เพื่อใช้ประโยชน์จากตัวเลือกการป้องกันเหล่านี้ได้อย่างไร โดยเฉพาะความสามารถในการใช้ TPM, PIN สำหรับการบูต และอนุญาตให้ปลดล็อกอัตโนมัติผ่านเครือข่ายองค์กรได้พร้อมกัน นี่คือคู่มือที่ละเอียดและครอบคลุมที่สุดที่มีอยู่ในปัจจุบัน ซึ่งปรับให้เป็นภาษาสเปนและอัปเดตด้วยข้อมูลด้านเทคนิคและฟังก์ชันทั้งหมดที่มีอยู่ในอุตสาหกรรม

BitLocker คืออะไรและมีข้อดีอะไรบ้าง?

BitLocker

BitLocker เป็นคุณลักษณะการเข้ารหัสดิสก์ที่ครอบคลุมซึ่งรวมอยู่ในรุ่น Professional และ Enterprise ของ Windows. จุดประสงค์หลักคือเพื่อปกป้องข้อมูลในกรณีที่สูญหาย ถูกขโมย หรือเข้าถึงคอมพิวเตอร์โดยไม่ได้รับอนุญาต เนื้อหาทั้งหมดของดิสก์สามารถเข้ารหัสได้ ทำให้ไม่สามารถเข้าถึงข้อมูลได้แม้ว่าจะนำดิสก์ออกและเชื่อมต่อกับคอมพิวเตอร์เครื่องอื่นก็ตาม

การรวม TPM ช่วยเพิ่มความปลอดภัยด้วยการจัดเก็บคีย์การเข้ารหัสและความลับการตรวจสอบสิทธิ์อื่น ๆ อย่างปลอดภัย ป้องกันการโจมตีแบบบรูทฟอร์ซหรือการเข้าถึงทางกายภาพโดยตรง ความสามารถในการเพิ่ม PIN สำหรับการบูตจะช่วยเพิ่มการป้องกันภัยคุกคามทั้งภายในและภายนอกให้แข็งแกร่งยิ่งขึ้น นอกจากนี้ โหมดปลดล็อกเครือข่ายยังช่วยให้เครื่องบูตโดยอัตโนมัติเมื่อเชื่อมต่อกับเครือข่ายองค์กรและเซิร์ฟเวอร์บางตัว ทำให้การจัดการในสภาพแวดล้อมองค์กรที่มีการใช้งานคอมพิวเตอร์จำนวนมากเป็นเรื่องง่ายขึ้น

เหตุใดจึงต้องใช้ TPM, PIN และการปลดล็อกเครือข่ายร่วมกัน

การผสมผสานระหว่าง TPM, PIN และการปลดล็อกเครือข่ายทำให้เกิดการป้องกันเชิงลึกและสร้างสมดุลที่สมบูรณ์แบบระหว่างความปลอดภัยและการจัดการ TPM ช่วยให้แน่ใจว่าคีย์จะไม่หลุดออกจากฮาร์ดแวร์ PIN ต้องมีปฏิสัมพันธ์ทางกายภาพ เพื่อปลดล็อคอุปกรณ์ – เหมาะสำหรับ แบบพกพา และคอมพิวเตอร์ในสำนักงานที่ใช้ร่วมกัน– และ Network Unlock ช่วยให้กระบวนการบูตบนเครือข่ายองค์กรที่ปลอดภัยเป็นไปโดยอัตโนมัติโดยไม่ต้องให้ผู้ใช้เข้ามาแทรกแซง ช่วยให้การบริหารจัดการระยะไกล การอัปเดต และการสนับสนุนด้านเทคนิคเป็นไปได้สะดวกยิ่งขึ้น

แนวทางนี้ถือเป็นแนวทางที่ปลอดภัยที่สุดสำหรับบริษัทที่มีคอมพิวเตอร์จำนวนมาก และแนะนำเป็นอย่างยิ่งสำหรับผู้ใช้ขั้นสูงที่กังวลเกี่ยวกับการปกป้องข้อมูลส่วนบุคคลหรือคอมพิวเตอร์ที่มีข้อมูลละเอียดอ่อน

ข้อกำหนดเบื้องต้น: การพิจารณาฮาร์ดแวร์ ซอฟต์แวร์ และโครงสร้างพื้นฐาน

ปลดล็อคเครือข่าย

ก่อนที่คุณจะเปิดใช้งานและใช้ประโยชน์จากคุณลักษณะทั้งหมดของ BitLocker คุณจำเป็นต้องปฏิบัติตามข้อกำหนดหลายประการสำหรับฮาร์ดแวร์ เฟิร์มแวร์ เครือข่าย และการกำหนดค่า Windows 11 ของคุณ นี่คือทุกสิ่งที่คุณต้องการ:

  • คอมพิวเตอร์ที่รองรับ Windows 11 ในรุ่น Pro, Enterprise หรือ Education
  • เปิดใช้งานโมดูล TPM 2.0 จาก BIOS/UEFI อุปกรณ์บางอย่างช่วยให้คุณทำงานได้โดยไม่ต้องใช้ TPM แต่จะมีความปลอดภัยน้อยกว่าและต้องใช้ขั้นตอนด้วยตนเองมากขึ้น
  • การเข้าถึงของผู้ดูแลระบบในระบบปฏิบัติการ
  • เครือข่ายองค์กรที่มีการเปิดใช้งาน DHCP บนอะแดปเตอร์เครือข่ายอย่างน้อยหนึ่งตัว (ควรเป็นแบบรวม)
  • มีการติดตั้งและกำหนดค่า Windows Server ที่มีบทบาท Windows Deployment Services (WDS) และคุณลักษณะการปลดล็อกเครือข่ายแล้ว
  • โครงสร้างพื้นฐานคีย์สาธารณะสำหรับสร้างและจัดเตรียมใบรับรองที่จำเป็น (อาจเป็น CA ขององค์กรหรือใบรับรองที่ลงนามเอง)
  • สิทธิ์ในการแก้ไขนโยบายกลุ่ม (GPO) ในสภาพแวดล้อมโดเมน
  • แม้ว่าจะไม่จำเป็นอย่างยิ่ง แต่ขอแนะนำว่าควรมี Active Directory สำหรับ การเก็บรักษา คีย์การกู้คืนประกันภัยและเพื่อการบริหารจัดการที่ง่ายขึ้น
  วิธีแก้ไขปัญหา Office เมื่อเปิดไฟล์ขนาดใหญ่: คำแนะนำที่สมบูรณ์และอัปเดต

การเปิดใช้งานและการกำหนดค่า BitLocker: ขั้นตอนเบื้องต้นและการตั้งค่าเริ่มต้น

กระบวนการเปิดใช้งาน BitLocker ใน Windows 11 สามารถทำได้จากแผงควบคุม การตั้งค่า หรือใช้เครื่องมือขั้นสูง (PowerShell, เส้นของ คำสั่ง ด้วย manage-bde.exe หรือสคริปต์อัตโนมัติผ่าน GPO) เราจะแบ่งขั้นตอนที่พบได้บ่อยที่สุดออกเป็นดังนี้:

  1. การเข้าถึงจากเมนูเริ่มและแผงควบคุม: คุณสามารถค้นหา 'BitLocker' หรือ 'จัดการ BitLocker' ในแถบค้นหาของ Windows หรือไปที่ 'ระบบและความปลอดภัย' ในแผงควบคุม จากนั้น 'การเข้ารหัสไดรฟ์ BitLocker'
  2. การเข้าถึงจาก File Explorer: คลิกขวาที่ไดรฟ์ที่คุณต้องการเข้ารหัส และเลือก "เปิด BitLocker" จากนั้นตัวช่วยแนะนำจะปรากฏขึ้นเพื่อเลือก วิธีการปลดล็อก และตัวเลือกการกู้คืน
  3. การเข้าถึงขั้นสูงโดยใช้ PowerShell: หากคุณจำเป็นต้องดำเนินการกระบวนการอัตโนมัติบนคอมพิวเตอร์หลายเครื่องหรือต้องการใช้บรรทัดคำสั่ง คุณสามารถใช้ cmdlets เฉพาะ BitLocker เช่น Enable-BitLocker, Add-BitLockerKeyProtector และอื่นๆ

ตัวเลือกการป้องกัน: TPM เท่านั้น, TPM + PIN, TPM + คีย์ USB และการผสมผสานขั้นสูง

BitLocker อนุญาตให้ใช้วิธีการตรวจสอบหลายวิธีเพื่อปลดล็อกไดรฟ์ระบบ:

  • เฉพาะ TPM เท่านั้น: การเริ่มต้นที่โปร่งใส เหมาะกับอุปกรณ์ที่อยู่ภายใต้การควบคุมทางกายภาพที่เข้มงวด
  • TPM + รหัส PIN: คุณจะต้องป้อนรหัสตัวเลขระหว่าง 6 ถึง 20 หลักเพื่อเริ่ม Windows
  • TPM + คีย์เริ่มต้น (USB): จำเป็นต้องเสียบแฟลชไดรฟ์ USB เฉพาะเมื่อเริ่มต้นระบบ
  • TPM + PIN + คีย์ USB (ตัวเลือก): สองปัจจัยรวมกันความปลอดภัยสูงสุด
  • โดยไม่มี TPM ('ความเข้ากันได้'): สามารถใช้รหัสผ่านหรือคีย์ USB ได้ แต่มีการรับประกันความสมบูรณ์และความปลอดภัยน้อยกว่า

ขอแนะนำตัวเลือก PIN อย่างยิ่งสำหรับแล็ปท็อปและคอมพิวเตอร์ที่อาจถูกทิ้งไว้โดยไม่มีใครดูแล ในขณะที่คีย์การเริ่มต้นระบบ USB นั้นใช้งานได้จริงในสภาพแวดล้อมที่มีข้อจำกัดหรือเป็นส่วนเสริมของเครือข่าย

กลยุทธ์การกู้คืนข้อมูล: คีย์ รหัสผ่าน และการจัดเก็บข้อมูลที่ปลอดภัย

ก่อนเปิดใช้งาน BitLocker คุณต้องเลือกวิธีบันทึกคีย์การกู้คืน สิ่งสำคัญคือต้องเก็บคีย์นี้ไว้ในสถานที่ที่ปลอดภัย เนื่องจากหากทำหายอาจสูญเสียการเข้าถึงข้อมูลของคุณอย่างถาวร

  • บันทึกลงในบัญชี Microsoft ของคุณ:เหมาะสำหรับผู้ใช้รายบุคคลหรือธุรกิจขนาดเล็ก
  • บันทึกลงใน Active Directory:เหมาะสำหรับองค์กร ช่วยให้ผู้ดูแลระบบกู้คืนคีย์สำหรับคอมพิวเตอร์ที่เข้าร่วมโดเมนได้อย่างง่ายดาย
  • บันทึกลงใน USB พิมพ์ลงกระดาษ หรือบันทึกลงในไฟล์ออฟไลน์ภายนอก

นโยบายการกู้คืนสามารถบังคับใช้ได้ผ่าน GPO เพื่อเรียกร้องการสำรองข้อมูลไปยัง Active Directory และบล็อกการเข้ารหัสจนกว่าจะตรวจยืนยันคีย์ว่าจัดเก็บอย่างถูกต้อง

รายละเอียดทางเทคนิคสำหรับการตั้งค่าขั้นสูง: นโยบายกลุ่มและอัลกอริทึมการเข้ารหัส

การรักษาความปลอดภัยและการจัดการ BitLocker ขึ้นอยู่กับนโยบายกลุ่ม (GPO) เป็นอย่างมาก ซึ่งคุณสามารถแก้ไขได้จาก 'gpedit.msc' หรือผ่านทางคอนโซลการจัดการนโยบายกลุ่มบนเซิร์ฟเวอร์ ตัวเลือกที่เกี่ยวข้องมากที่สุดได้แก่:

  • กำหนดวิธีการเข้ารหัสและความยาวคีย์ (XTS-AES 128 หรือ 256 บิต) ขอแนะนำ 256 บิตบนคอมพิวเตอร์สมัยใหม่และ 128 บิตบนอุปกรณ์รุ่นเก่า
  • ต้องมีการตรวจสอบสิทธิ์เพิ่มเติมเมื่อเริ่มต้นระบบเพื่อปกป้องไดรฟ์ระบบปฏิบัติการ: คุณสามารถบังคับใช้ PIN, คีย์ USB หรือทั้งสองอย่างร่วมกับ TPM ได้ที่นี่
  • อนุญาตการปลดล็อคเครือข่าย: ใช้ได้เฉพาะกับคอมพิวเตอร์ที่เข้าร่วมโดเมนพร้อมโครงสร้างพื้นฐานที่จำเป็นเท่านั้น
  • นโยบายเกี่ยวกับการจัดเก็บคีย์การกู้คืนใน Active Directory
  • ตัวเลือกการกู้คืนในกรณีที่สูญหาย PIN/รหัสผ่าน
  • กำหนดค่าคำเตือนและข้อความแบบกำหนดเองสำหรับหน้าจอก่อนบูต
  คำแนะนำฉบับสมบูรณ์ในการตั้งค่าโหมดคีออสก์ใน Windows 11: ตัวเลือกขั้นสูง ข้อกำหนด และเคล็ดลับ

การกำหนดค่านโยบายเหล่านี้มีความจำเป็นสำหรับการสร้างสภาพแวดล้อมที่ปลอดภัยและอำนวยความสะดวกในการบริหารจัดการแบบรวมศูนย์ในองค์กรขนาดใหญ่

การปลดล็อคเครือข่าย: ความปลอดภัยและการทำงานอัตโนมัติเมื่อเริ่มต้น

การปลดล็อคเครือข่ายเป็นฟีเจอร์ที่ออกแบบมาสำหรับสถานการณ์ที่อุปกรณ์จำเป็นต้องบูตโดยไม่ต้องให้ผู้ใช้เข้ามาแทรกแซง แต่ภายในเครือข่ายองค์กรที่เชื่อถือได้ มีประโยชน์อย่างยิ่งในการปรับใช้การอัปเดต การดำเนินการบำรุงรักษาทุกคืน หรือการบูทเซิร์ฟเวอร์และเดสก์ท็อปโดยไม่ต้องมีบุคลากรอยู่

มันทำงานอย่างไร เมื่อบูตเครื่อง ไคลเอ็นต์จะตรวจพบการมีอยู่ของโล่ปลดล็อคเครือข่าย และใช้โปรโตคอล UEFI DHCP เพื่อสื่อสารกับเซิร์ฟเวอร์ WDS ผ่านเซสชันที่ปลอดภัย เครื่องจะได้รับคีย์ ซึ่งเมื่อรวมกับคีย์ที่จัดเก็บไว้ใน TPM จะทำให้สามารถถอดรหัสไดรฟ์และบูตเครื่องต่อไปได้ หากไม่สามารถใช้การปลดล็อคเครือข่ายได้ ไคลเอ็นต์จะได้รับแจ้งให้ป้อน PIN หรือจะใช้การปลดล็อคแบบกำหนดค่าอื่น

ข้อกำหนดในการดำเนินการปลดล็อคเครือข่าย:

  • เซิร์ฟเวอร์ WDS บนเครือข่ายที่มีบทบาทการปลดล็อคเครือข่าย BitLocker ได้รับการติดตั้งและกำหนดค่าอย่างถูกต้อง
  • ใบรับรอง X.509 RSA อย่างน้อย 2048 บิตเพื่อเข้ารหัสคีย์เครือข่าย ออกโดยโครงสร้างพื้นฐานคีย์สาธารณะภายใน (CA) หรือลงนามด้วยตนเอง
  • นโยบายกลุ่ม (GPO) ที่แจกจ่ายใบรับรองการปลดล็อคเครือข่ายไปยังไคลเอนต์
  • เฟิร์มแวร์ไคลเอนต์ UEFI จะต้องรองรับ DHCP และได้รับการกำหนดค่าอย่างถูกต้องเพื่อบูตในโหมดเนทีฟ

การปลดล็อคเครือข่ายได้รับการสนับสนุนบนคอมพิวเตอร์ที่เข้าร่วมโดเมนเท่านั้น ไม่สามารถใช้ได้กับคอมพิวเตอร์ส่วนบุคคลหรือคอมพิวเตอร์ที่อยู่นอกสภาพแวดล้อมขององค์กร

การตั้งค่าในทางปฏิบัติ: ติดตั้ง ปรับใช้ และตรวจสอบการปลดล็อคเครือข่าย

  1. การติดตั้งบทบาท Windows Deployment Services (WDS): จาก Server Manager หรือ PowerShell (Install-WindowsFeature WDS-Deployment).
  2. ติดตั้งคุณสมบัติปลดล็อคเครือข่ายบนเซิร์ฟเวอร์ WDS: (Install-WindowsFeature BitLocker-NetworkUnlock).
  3. กำหนดค่าโครงสร้างพื้นฐานใบรับรอง: สร้างเทมเพลตใบรับรองที่เหมาะสมสำหรับการปลดล็อคเครือข่ายที่ผู้มีอำนาจออกใบรับรอง (CA) ของบริษัท โดยปฏิบัติตามคำแนะนำอย่างเป็นทางการ (ชื่อที่อธิบาย การสนับสนุนการส่งออกคีย์ส่วนตัว การใช้ส่วนขยาย OID 1.3.6.1.4.1.311.67.1.1 ฯลฯ)
  4. ออกและส่งออกใบรับรอง: ส่งออกไฟล์ .cer (คีย์สาธารณะ) และ .pfx (คีย์ส่วนตัว) และแจกจ่ายอย่างระมัดระวัง
  5. นำเข้าใบรับรองเข้าสู่เซิร์ฟเวอร์ WDS: ในโฟลเดอร์ 'ปลดล็อกเครือข่ายการเข้ารหัสไดรฟ์ BitLocker' ในคอนโซลใบรับรองคอมพิวเตอร์ภายในเครื่อง
  6. แจกจ่ายใบรับรองให้กับลูกค้า: ผ่านทาง GPO นำเข้าใบรับรอง .cer ไปยังการตั้งค่านโยบายกลุ่มที่สอดคล้องกัน
  7. กำหนดค่า GPO เป็น 'อนุญาตให้ปลดล็อกเครือข่ายเมื่อเริ่มต้นระบบ' และกำหนดให้ใช้ PIN ถัดจาก TPM: ตั้งค่านโยบาย 'ต้องใช้ PIN เริ่มต้น TPM' เพื่อบังคับใช้ PIN และการปลดล็อกเครือข่ายร่วมกัน
  8. ตรวจสอบว่านโยบายเข้าถึงไคลเอนต์และรีบูตเพื่อใช้การเปลี่ยนแปลง
  9. ทดสอบการบูตเครือข่าย (โดยใช้สายเคเบิลอีเทอร์เน็ต) และการตรวจสอบสิทธิ์อัตโนมัติผ่านการปลดล็อคเครือข่าย

การแก้ไขปัญหาทั่วไปและแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย

การตั้งค่า BitLocker พร้อมการปลดล็อกเครือข่ายนั้นไม่ใช่เรื่องที่ปราศจากปัญหา ต่อไปนี้คือคำแนะนำหลักและขั้นตอนการแก้ไขปัญหา:

  • ตรวจสอบให้แน่ใจว่าอะแดปเตอร์เครือข่ายหลักของคุณรองรับและเปิดใช้งาน DHCP
  • ตรวจสอบความเข้ากันได้ของเฟิร์มแวร์ UEFI (เวอร์ชัน โหมดเนทีฟ ไม่มี CSM)
  • ตรวจสอบว่าบริการ WDS ได้เริ่มทำงานและทำงานอย่างถูกต้อง
  • ยืนยันการเผยแพร่และความถูกต้องของใบรับรองบนเซิร์ฟเวอร์และไคลเอนต์ ตรวจสอบทั้งคอนโซลใบรับรองและรีจิสทรี (คีย์ FVE_NKP)
  • ตรวจสอบให้แน่ใจว่านโยบายกลุ่มถูกนำไปใช้กับหน่วยองค์กรที่ต้องการอย่างถูกต้อง
  • ตรวจสอบบันทึกเหตุการณ์ BitLocker และ WDS เพื่อดูข้อความแสดงข้อผิดพลาดหรือคำเตือน
  วิธีการปักหมุดโฟลเดอร์และไฟล์ลงในเมนูเริ่มของ Windows 11

อย่าลืมสำรองคีย์การกู้คืนของคุณเป็นประจำและตรวจสอบการเปลี่ยนแปลงที่เกิดขึ้นกับฮาร์ดแวร์หรือเฟิร์มแวร์ของคอมพิวเตอร์ เนื่องจากการเปลี่ยนแปลงเหล่านี้อาจทำให้คุณต้องป้อนคีย์การกู้คืนแม้ว่าคุณจะได้กำหนดค่าการบูตผ่านเครือข่ายก็ตาม

ตัวเลือกการเข้ารหัสสำหรับไดรฟ์ข้อมูลแบบคงที่และแบบถอดออกได้

BitLocker ไม่เพียงแค่ปกป้องไดรฟ์ระบบแต่ยังให้การป้องกันแบบเต็มรูปแบบสำหรับไดรฟ์ข้อมูลคงที่และไดรฟ์แบบถอดได้ (BitLocker To Go) อีกด้วย จากนโยบายกลุ่ม คุณสามารถกำหนดนโยบายเฉพาะสำหรับประเภทไดรฟ์แต่ละประเภทได้:

  • บังคับเข้ารหัสก่อนที่จะอนุญาตให้เข้าถึงการเขียน
  • กำหนดอัลกอริทึมการเข้ารหัสสำหรับไดรฟ์แต่ละประเภท
  • ควบคุมการใช้รหัสผ่านหรือสมาร์ทการ์ดเพื่อปลดล็อคข้อมูล
  • ซ่อนหรือแสดงตัวเลือกการกู้คืนในตัวช่วยติดตั้ง

สำหรับไดรฟ์แบบถอดได้ คุณสามารถปฏิเสธการเข้าถึงการเขียนไปยังอุปกรณ์ที่กำหนดค่าในองค์กรอื่นโดยใช้ตัวระบุเฉพาะที่ตั้งค่าไว้ในนโยบายโดเมนของคุณ

การจัดการและการดำเนินการทั่วไป: ระงับ, ดำเนินการต่อ, รีเซ็ต และปิดใช้งาน BitLocker

การจัดการ BitLocker รายวันประกอบด้วยฟีเจอร์ต่างๆ ในการระงับการป้องกันชั่วคราว ดำเนินการป้องกันต่อ ปรับเปลี่ยนการป้องกัน (PIN, รหัสผ่าน, คีย์การกู้คืน) รีเซ็ตคีย์ และปิดการใช้งานการเข้ารหัสหากจำเป็น

  • ระงับ BitLocker: มีประโยชน์ก่อนเปลี่ยนฮาร์ดแวร์ อัปเดต BIOS/เฟิร์มแวร์ หรือบำรุงรักษา จากแผงควบคุมหรือบรรทัดคำสั่ง (PowerShell หรือ manage-bde.exe)
  • เริ่ม BitLocker ใหม่: เมื่อการบำรุงรักษาเสร็จสิ้น สิ่งสำคัญคือต้องเปิดใช้งานการป้องกันจากเมนูหรือคำสั่งเดียวกันอีกครั้ง
  • รีเซ็ต PIN หรือรหัสผ่าน: หากคุณลืม PIN คุณสามารถรีเซ็ต PIN ได้โดยใช้คีย์การกู้คืน คำสั่ง manage-bde -changepin X ช่วยให้คุณเปลี่ยน PIN ได้โดยตรงจากบรรทัดคำสั่ง
  • ปิดใช้งาน BitLocker: ตัวเลือกนี้จะเริ่มกระบวนการถอดรหัสข้อมูล ควรใช้เฉพาะเมื่อไม่จำเป็นต้องมีการป้องกันอีกต่อไปหรือตามข้อกำหนดขององค์กร
  • การกู้คืนจากข้อมูลประจำตัวที่สูญหาย: หากคุณทำ PIN หรือรหัสผ่านหาย การกู้คืนข้อมูลจะขึ้นอยู่กับการมีรหัสกู้คืน 48 หลักที่จัดเก็บไว้ทางออนไลน์หรือบนกระดาษ

การทำงานอัตโนมัติและสคริปต์: PowerShell และ manage-bde.exe

การปรับใช้จำนวนมากและงานการจัดการขั้นสูงสามารถปรับให้เหมาะสมได้ผ่านสคริปต์ PowerShell หรือคำสั่ง manage-bde.exe

ตัวอย่างเช่น:

  • เปิดใช้งาน BitLocker พร้อมด้วยตัวป้องกัน TPM และ PIN:
  • $SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force; Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector
  • ตรวจสอบสถานะ BitLocker:
  • manage-bde.exe -status C:
  • จัดการตัวป้องกันคีย์:
  • manage-bde.exe -protectors -add -sid <usuario o grupo>
  • ถอดตัวป้องกันออก:
  • manage-bde.exe -protectors -delete C: -type TPMandPIN

ข้อควรพิจารณาสำหรับประสิทธิภาพ ความเข้ากันได้ และแนวทางปฏิบัติที่ดีที่สุด

BitLocker ได้รับการปรับปรุงเพื่อลดผลกระทบต่อประสิทธิภาพการทำงานของคอมพิวเตอร์สมัยใหม่ โดยเฉพาะอย่างยิ่งการใช้ XTS-AES 256 บิตและการเข้ารหัสเร่งด้วยฮาร์ดแวร์

  • การเข้ารหัสดิสก์ทั้งหมดจะใช้เวลาและทรัพยากรมากกว่าในคอมพิวเตอร์รุ่นเก่า การเข้ารหัสเฉพาะพื้นที่ที่ใช้งานจะเร็วกว่าและเหมาะสมสำหรับการติดตั้งใหม่
  • โหมดความเข้ากันได้ช่วยให้คุณเข้ารหัสไดรฟ์และใช้งานบนระบบรุ่นเก่าได้ แต่มีระดับความปลอดภัยที่ต่ำกว่า
  • การผสมผสาน TPM, PIN และการปลดล็อกเครือข่ายไม่เพียงแค่ช่วยเพิ่มการป้องกันสูงสุด แต่ยังอำนวยความสะดวกในการจัดการแบบรวมศูนย์ในองค์กรขนาดใหญ่อีกด้วย
  • ควรจัดเก็บคีย์การกู้คืนไว้ในระบบที่ปลอดภัยเสมอ และทดสอบคีย์การกู้คืนก่อนที่จะใช้งาน BitLocker ในระดับขนาดใหญ่

แสดงความคิดเห็น