วิธีการตั้งค่า BitLocker บนไดรฟ์ภายนอกทีละขั้นตอน

หากคุณใช้งานฮาร์ดไดรฟ์ภายนอกหรือแฟลชไดรฟ์ USB ที่มีข้อมูลสำคัญอยู่ ตั้งค่า BitLocker บนไดรฟ์ภายนอก นี่อาจเป็นหนึ่งในมาตรการรักษาความปลอดภัยที่ดีที่สุดที่คุณสามารถทำได้ใน Windows คุณสมบัติการเข้ารหัสของ Microsoft นี้ช่วยให้คุณปกป้องเนื้อหาทั้งหมดในไดรฟ์ เพื่อให้ข้อมูลเหล่านั้นไม่สามารถเข้าถึงได้เลยหากไม่มีรหัสผ่านหรือรหัสกู้คืน

อย่างไรก็ตาม BitLocker และการเข้ารหัสอุปกรณ์ Windows ก็มีรายละเอียดปลีกย่อยที่แตกต่างกัน: วิธีการใช้งานบนไดรฟ์ระบบจะไม่เหมือนกับการใช้งานบนฮาร์ดไดรฟ์ภายนอกมีความแตกต่างกันระหว่าง Windows แต่ละเวอร์ชัน การมีชิป TPM หรือไม่ก็มีความสำคัญ ซึ่งอาจส่งผลต่อประสิทธิภาพการทำงานบ้าง (โดยเฉพาะใน SSD บางรุ่น) และยังมีทางเลือกอื่น ๆ หาก Windows เวอร์ชันของคุณไม่มี BitLocker มาดูกันทีละขั้นตอนอย่างละเอียดเกี่ยวกับทุกสิ่งที่คุณจำเป็นต้องรู้ในการเข้ารหัสไดรฟ์ภายนอกโดยไม่ทำให้เกิดความเสียหายและไม่สูญเสียข้อมูล

BitLocker และการเข้ารหัสอุปกรณ์: แต่ละอย่างคืออะไรและแตกต่างกันอย่างไร

ในระบบปฏิบัติการ Windows มีสองแนวคิดที่คล้ายคลึงกันมาก แต่ไม่เหมือนกันเสียทีเดียว: การเข้ารหัสอุปกรณ์ y การเข้ารหัสไดรฟ์ BitLockerการเข้าใจความแตกต่างนี้จะช่วยให้คุณรู้ว่าคุณสามารถทำอะไรได้บ้างและทำอะไรไม่ได้บ้างกับฮาร์ดไดรฟ์ภายนอกของคุณ

การเข้ารหัสอุปกรณ์เป็นคุณสมบัติที่คอมพิวเตอร์ Windows บางรุ่นเปิดใช้งานโดยค่าเริ่มต้น เมื่อคุณเริ่มต้นใช้งานพีซีเครื่องใหม่ด้วยบัญชี Microsoft ไม่ว่าจะเป็นบัญชีทำงานหรือบัญชีโรงเรียนระบบสามารถเปิดใช้งานการเข้ารหัสฮาร์ดดิสก์ภายในโดยอัตโนมัติได้ รหัสกู้คืนจะถูกอัปโหลดไปยังบัญชีนั้นโดยที่คุณไม่ต้องทำอะไรเลย อย่างไรก็ตาม สำหรับบัญชีภายในเครื่อง มักจะไม่เปิดใช้งานโดยอัตโนมัติ

ความแตกต่างที่สำคัญคือ การเข้ารหัสอุปกรณ์ได้รับการออกแบบมาเพื่อ ผู้ใช้งานทั่วไปที่ไม่เชี่ยวชาญ และคอมพิวเตอร์ที่มักมาพร้อมกับระบบปฏิบัติการ Windows Homeแม้ว่า BitLocker เวอร์ชัน "คลาสสิก" (เวอร์ชันเต็มที่มีตัวเลือกทั้งหมด) จะมีให้ใช้งานเฉพาะในรุ่น Pro, Enterprise และ Education เท่านั้น แต่ในทางปฏิบัติ BitLocker ช่วยให้คุณควบคุมได้มากกว่ามาก คุณสามารถเข้ารหัสไดรฟ์ภายนอก แฟลชไดรฟ์ USB พาร์ติชั่นเพิ่มเติม และไดรฟ์ระบบโดยใช้วิธีการและคีย์ที่แตกต่างกันได้

หากคุณต้องการทราบว่าเหตุใดตัวเลือกการเข้ารหัสอุปกรณ์จึงไม่ปรากฏบนพีซีของคุณ คุณสามารถเปิดเครื่องมือ "ข้อมูลระบบ" ในฐานะผู้ดูแลระบบ และตรวจสอบค่าของ รองรับการเข้ารหัสอุปกรณ์โดยอัตโนมัติคุณจะเห็นข้อความต่างๆ เช่น "ตรงตามข้อกำหนด", "ไม่สามารถใช้ TPM ได้", "WinRE ยังไม่ได้กำหนดค่า" หรือ "ไม่รองรับ PCR7 link" ซึ่งจะบอกคุณว่าส่วนใดขาดหายไปเพื่อให้ระบบเปิดใช้งานโดยอัตโนมัติ

BitLocker ทำงานอย่างไร: รหัสผ่าน คีย์ และพฤติกรรมของไดรฟ์

BitLocker เข้ารหัสไดรฟ์ทั้งหมด ไม่ว่าจะเป็นไดรฟ์ภายในหรือภายนอก เมื่อคุณเปิดใช้งานการเข้ารหัส คุณจะต้องกำหนดค่า รหัสผ่านสำหรับปลดล็อกไดรฟ์ หรือใช้การป้องกันอื่นๆ เช่น รหัสกู้คืน สมาร์ทการ์ด หรือไดรฟ์ USB รหัสผ่านนั้นสำคัญมาก: หากคุณทำรหัสผ่านหายและไม่ได้บันทึกรหัสกู้คืนไว้อย่างถูกต้อง ข้อมูลก็จะกู้คืนไม่ได้เลย

เมื่อเข้ารหัสไดรฟ์ภายนอกแล้ว การทำงานจะค่อนข้างสะดวก: ทุกสิ่งที่คุณคัดลอกไปยังไดรฟ์จะถูกเข้ารหัสแบบเรียลไทม์ และทุกสิ่งที่คุณอ่านจะถูกถอดรหัสโดยอัตโนมัติหลังจากที่คุณปลดล็อกแล้ว คุณไม่จำเป็นต้องเข้ารหัสไฟล์ทีละไฟล์หรือทำอะไรที่ผิดปกติ Windows จะดำเนินการในเบื้องหลังเอง

หากคุณเข้ารหัสไดรฟ์ที่ติดตั้งระบบปฏิบัติการ สิ่งที่จะเปลี่ยนแปลงคือเวลาที่ระบบจะขอให้คุณป้อนรหัสผ่านหรือยืนยันตัวตน: แม้กระทั่งก่อนที่ Windows จะเริ่มทำงานหากคุณป้อนรหัส BitLocker ไม่ถูกต้อง ระบบจะไม่สามารถเริ่มต้นทำงานได้สำเร็จ หลังจากนั้น คุณสามารถเข้าสู่ระบบด้วยชื่อผู้ใช้และรหัสผ่าน Windows ของคุณได้ตามปกติ ซึ่งเป็นสองกระบวนการที่แยกจากกัน

เมื่อพูดถึงดิสก์เก็บข้อมูลภายในหรือภายนอก (ที่ไม่มีระบบปฏิบัติการ) โดยทั่วไปแล้ว เมื่อเริ่มใช้งาน Windows คุณจะเห็นไดรฟ์ที่มีไอคอนรูปแม่กุญแจ เมื่อคุณดับเบิ้ลคลิกที่ไดรฟ์นั้น ระบบจะขอให้คุณป้อนรหัสผ่าน BitLocker ของคุณเมื่อปลดล็อกแล้ว คุณสามารถใช้งานได้ตามปกติจนกว่าจะล็อกอีกครั้งหรือปิดคอมพิวเตอร์

อัลกอริทึม ความแข็งแกร่งของการเข้ารหัส และผลกระทบต่อประสิทธิภาพ

BitLocker สามารถใช้งานร่วมกับอัลกอริธึมการเข้ารหัสและความยาวคีย์ที่หลากหลายได้ โดยปกติแล้ว ฮาร์ดไดรฟ์ภายในรุ่นใหม่จะใช้การเข้ารหัส XTS-AES ที่มีคีย์ 128 บิตในขณะที่บนไดรฟ์แบบถอดได้และไดรฟ์ USB โดยปกติจะใช้ AES-CBC ที่ความละเอียด 128 บิต เพื่อความเข้ากันได้กับ Windows เวอร์ชันเก่า

XTS-AES เป็นโหมดที่ใหม่กว่าและได้รับการปรับปรุงให้เหมาะสมยิ่งขึ้น: มันให้ความปลอดภัยที่มากกว่าในการป้องกันการเปลี่ยนแปลงบล็อกบางประเภท และโดยทั่วไปแล้วจะเร็วกว่าAES-CBC ยังคงปลอดภัยหากคุณใช้รหัสผ่านที่รัดกุม แต่มีประสิทธิภาพน้อยกว่าเล็กน้อยและมีข้อเสียด้านการเข้ารหัสมากกว่า ดังนั้นจึงถือว่าเป็นวิธีการเข้ารหัสแบบเปลี่ยนผ่าน

ในระบบปฏิบัติการ Windows รุ่นสำหรับมืออาชีพ คุณสามารถก้าวไปอีกขั้นได้ โดยผ่านทาง... คำสั่งกลุ่มท้องถิ่นคุณสามารถปรับแต่งได้ทั้งอัลกอริธึม (XTS-AES หรือ AES-CBC) และความยาวของคีย์ (128 หรือ 256 บิต) ในทางปฏิบัติแล้ว 256 บิตให้ความปลอดภัยเชิงทฤษฎีที่สูงกว่า และในระบบสมัยใหม่ ความแตกต่างด้านประสิทธิภาพนั้นน้อยมาก โดยเฉพาะอย่างยิ่งหากโปรเซสเซอร์รองรับ AES-NI

อย่างไรก็ตาม ไม่ใช่ว่าจะมีแต่ข้อดีเสมอไป SSD NVMe ระดับไฮเอนด์บางรุ่นก็พบว่ามีปัญหาด้านประสิทธิภาพเช่นกัน เมื่อ BitLocker ทำงานในโหมดซอฟต์แวร์เต็มรูปแบบความเร็วในการอ่าน/เขียนแบบสุ่มอาจลดลงอย่างมาก ตัวอย่างเช่น ในฮาร์ดไดรฟ์ Samsung 990 Pro ขนาด 4TB พบว่าความเร็วลดลงถึง 45% ในการทดสอบบางครั้งเมื่อเปิดใช้งาน BitLocker

ในกรณีสุดขั้วเหล่านั้น ทางเลือกคือการปิดใช้งาน BitLocker (ซึ่งจะทำให้ความปลอดภัยลดลง) หรือ ตั้งค่า SSD ให้ใช้การเข้ารหัสแบบฮาร์ดแวร์หรือประเมินมาตรการเพื่อ เปิดใช้งานการแคชการเขียนบนไดรฟ์ภายนอก และช่วยเร่งความเร็วในการถ่ายโอนข้อมูล ซึ่งโดยปกติแล้วจะต้องติดตั้ง Windows ใหม่และตรวจสอบให้แน่ใจว่าไดรฟ์ได้รับการกำหนดค่าอย่างถูกต้องตั้งแต่เริ่มต้น อย่างไรก็ตาม สำหรับผู้ใช้ส่วนใหญ่ ผลกระทบจะแทบไม่รู้สึกเลย

นโยบายกลุ่มคืออะไร และจะเปลี่ยนวิธีการเข้ารหัสได้อย่างไร

นโยบายกลุ่มใน Windows เป็นวิธีการขั้นสูงในการจัดการ ปรับเปลี่ยนพฤติกรรมของระบบปฏิบัติการ ทั้งในระดับทีมและระดับผู้ใช้ ในสภาพแวดล้อมภายในบ้าน เรากำลังพูดถึงนโยบายกลุ่มภายในเครื่อง ซึ่งแก้ไขได้โดยใช้ยูทิลิตี้ gpedit.msc ในเวอร์ชัน Pro, Enterprise และเวอร์ชันอื่นๆ ที่คล้ายกัน

ในการปรับแต่งอัลกอริธึมการเข้ารหัสและความแข็งแกร่งของ BitLocker ให้เปิดตัวแก้ไขนโยบาย (กด Win + R แล้วพิมพ์) gpedit.mscจากนั้นไปที่: นโยบายคอมพิวเตอร์ภายในเครื่อง > การกำหนดค่าคอมพิวเตอร์ > แม่แบบการดูแลระบบ > ส่วนประกอบของ Windows > การเข้ารหัสไดรฟ์ BitLocker คุณจะเห็นนโยบายหลายรายการที่เฉพาะเจาะจงสำหรับเวอร์ชัน Windows ของคุณ

คุณจะพบนโยบายแยกต่างหากสำหรับเวอร์ชันเก่าและสำหรับ Windows 10 และใหม่กว่าในเวอร์ชันล่าสุด คุณสามารถเลือกอัลกอริธึมที่แตกต่างกันสำหรับดิสก์บูตภายใน ดิสก์ข้อมูลภายใน และไดรฟ์แบบถอดได้/USB ได้ สำหรับแต่ละประเภท คุณสามารถเลือก XTS-AES หรือ AES-CBC รวมถึง 128 หรือ 256 บิต และว่าจะใช้ตัวกระจายสัญญาณเพิ่มเติมสำหรับระบบรุ่นเก่าหรือไม่

โปรดทราบว่าการเปลี่ยนแปลงเหล่านี้มีผลเฉพาะกับ แผ่นดิสก์ที่คุณเข้ารหัสตั้งแต่นั้นเป็นต้นมาไดรฟ์ที่เข้ารหัสจะยังคงรักษาการกำหนดค่าเดิมไว้ นอกจากนี้ นโยบายเหล่านี้จะมีผลก็ต่อเมื่อตรงกับเวอร์ชันของ Windows ที่ติดตั้งอยู่จริงเท่านั้น

เมื่อคุณทำการเปลี่ยนแปลงที่จำเป็นเสร็จแล้ว ขอแนะนำให้บังคับอัปเดตนโยบายเพื่อหลีกเลี่ยงการรอตามช่วงเวลามาตรฐาน (ประมาณ 90 นาที) ในการทำเช่นนั้น ให้เปิด Run (Win + R) และเรียกใช้คำสั่ง gpupdate /target:Computer /forceการดำเนินการนี้จะมีผลการเปลี่ยนแปลงทันที และคุณสามารถเข้ารหัสไดรฟ์ใหม่ด้วยการตั้งค่าที่เลือกไว้ได้

วิธีการเปิดใช้งาน BitLocker บนไดรฟ์ภายในและภายนอกผ่านทางอินเทอร์เฟซแบบกราฟิก

Windows มีวิธีการเปิดใช้งาน BitLocker หลายวิธีโดยไม่ต้องใช้คำสั่ง สิ่งสำคัญในทุกวิธีคือไดรฟ์นั้นต้อง... จัดรูปแบบและกำหนดแบบอักษรแล้วมิเช่นนั้น ข้อมูลจะไม่ปรากฏว่าสามารถเข้ารหัสได้

วิธีที่ตรงที่สุดคือการใช้ File Explorer: คลิกขวาที่ไดรฟ์ภายในหรือไดรฟ์ภายนอก เลือกอุปกรณ์ที่คุณต้องการปกป้อง จากนั้นเลือก "เปิดใช้งาน BitLocker" ซึ่งจะเปิดวิซาร์ดขึ้นมาเพื่อให้คุณเลือก รหัสผ่านปลดล็อก วิธีบันทึกรหัสกู้คืน และประเภทการเข้ารหัส

อีกวิธีหนึ่งคือการใช้แผงควบคุม (Control Panel) แบบดั้งเดิม จากเมนู Start ให้เปิด Control Panel > System and Security > BitLocker Drive Encryption คุณจะเห็นรายการไดรฟ์ที่จัดกลุ่มไว้ ได้แก่ ดิสก์ระบบ ดิสก์ข้อมูล และด้านล่างสุดคืออุปกรณ์แบบถอดได้ ซึ่ง BitLocker To Go สำหรับแฟลชไดรฟ์ USB และฮาร์ดไดรฟ์ภายนอกจะเข้ามามีบทบาทในส่วนนี้

คุณสามารถเข้าถึงได้จากแอปการตั้งค่า (โดยเฉพาะใน Windows 10/11) ไปที่ ระบบ > เกี่ยวกับ และที่ด้านล่าง คุณจะเห็นลิงก์ไปยัง การกำหนดค่า BitLockerซึ่งจะนำคุณไปยังแผงควบคุมการจัดการเดียวกัน

เมื่อคุณเริ่มใช้งานตัวช่วยสร้างบนไดรฟ์ที่กำหนด ขั้นตอนแรกคือการกำหนดรหัสผ่านปลดล็อก ซึ่งควรประกอบด้วย ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์ถัดไป คุณจะต้องตัดสินใจว่าจะบันทึกรหัสกู้คืนอย่างไร (บัญชี Microsoft, ไฟล์, USB, หรือเอกสารที่พิมพ์ออกมา) และว่าจะเข้ารหัสเฉพาะพื้นที่ที่ใช้งานอยู่หรือทั้งดิสก์ ซึ่งเป็นสิ่งสำคัญอย่างยิ่งหากไดรฟ์ภายนอกมี [บางอย่างหายไปในข้อความต้นฉบับ] อยู่แล้ว ข้อมูลเก่าถูกลบแล้ว ซึ่งสามารถกู้คืนได้

การเข้ารหัสฮาร์ดดิสก์ภายนอกและ BitLocker To Go

สำหรับไดรฟ์ภายนอก (ไดรฟ์ USB, แฟลชไดรฟ์ ฯลฯ) Windows จะใช้โหมดเฉพาะที่เรียกว่า BitLocker To Goในทางปฏิบัติ อินเทอร์เฟซแทบจะเหมือนกันทุกประการ แต่ภายในแล้ว อัลกอริทึมเริ่มต้นจะถูกปรับเพื่อให้เข้ากันได้ดีที่สุดกับคอมพิวเตอร์ Windows เครื่องอื่นที่ยังไม่ได้อัปเดตอย่างสมบูรณ์

ขั้นตอนนั้นง่ายมาก: เสียบฮาร์ดไดรฟ์ภายนอก รอจนกว่ามันจะปรากฏใน File Explorer คลิกขวาที่ไดรฟ์ แล้วเลือก "เปิดใช้งาน BitLocker" จากนั้นตัวช่วยสร้างจะขอให้คุณกำหนดค่า รหัสผ่านปลดล็อกจากนั้นระบบจะแนะนำให้คุณสำรองข้อมูลรหัสกู้คืนของคุณ

เมื่อคุณเชื่อมต่อไดรฟ์นั้นกับพีซี Windows เครื่องอื่นที่ใช้งานร่วมกันได้ในภายหลัง ระบบจะตรวจพบว่าไดรฟ์นั้นได้รับการเข้ารหัสแล้ว ระบบจะแสดงช่องให้ป้อนรหัสผ่านคุณสามารถเลือกช่องทำเครื่องหมายเพื่อให้ระบบปลดล็อกโดยอัตโนมัติบนคอมพิวเตอร์เครื่องนั้นในอนาคต ซึ่งจะเป็นประโยชน์อย่างมากหากเป็นคอมพิวเตอร์ที่คุณไว้วางใจ

ในการตั้งค่าขั้นสูงของไดรฟ์ที่เข้ารหัสไว้แล้ว คุณจะมีตัวเลือกต่างๆ เช่น การเปลี่ยนรหัสผ่าน การลบรหัสผ่าน (หากคุณได้กำหนดค่าวิธีการตรวจสอบสิทธิ์อื่นไว้) การสร้างสำเนาใหม่ของรหัสกู้คืน เป็นต้น เปิดใช้งานการปลดล็อกอัตโนมัติ หรือปิดใช้งาน BitLocker อย่างสมบูรณ์เพื่อถอดรหัสดิสก์

หากคุณยังคงใช้ระบบปฏิบัติการรุ่นเก่ามาก เช่น Windows XP หรือ Vista ระบบเหล่านั้นจะไม่รู้จักไดรฟ์ BitLocker To Go โดยตรง ในกรณีเช่นนั้น Microsoft ได้เสนอเครื่องมือที่เรียกว่า "BitLocker To Go Reader" ซึ่งช่วยให้สามารถเข้าถึงไดรฟ์ USB ที่เข้ารหัสแบบ FAT ได้อย่างน้อยในโหมดอ่านอย่างเดียว โดยต้องป้อนรหัสที่ถูกต้อง

TPM: ชิปที่ช่วยเสริมความปลอดภัยให้กับ BitLocker (และวิธีการใช้งานโดยไม่มี TPM)

TPM (Trusted Platform Module) คือชิปขนาดเล็กบนเมนบอร์ดที่ออกแบบมาเพื่อ จัดเก็บคีย์เข้ารหัสและตรวจสอบความสมบูรณ์ของการบูตเมื่อใช้งานร่วมกับ BitLocker ส่วนหนึ่งของคีย์การเข้ารหัสจะถูกเก็บไว้ใน TPM และอีกส่วนหนึ่งจะถูกเก็บไว้ในดิสก์ ดังนั้นผู้โจมตีจึงไม่สามารถย้ายดิสก์ไปยังคอมพิวเตอร์เครื่องอื่นแล้วอ่านข้อมูลได้

TPM ยังช่วยตรวจจับการเปลี่ยนแปลงที่น่าสงสัยในฮาร์ดแวร์หรือเฟิร์มแวร์ด้วย ตัวอย่างเช่น หากคุณอัปเดต BIOS เปลี่ยนส่วนประกอบที่สำคัญ หรือแก้ไขพารามิเตอร์การบูตบางอย่าง TPM อาจพิจารณาว่าสภาพแวดล้อมนั้นไม่น่าเชื่อถือและ ระบบจะขอให้คุณป้อนรหัสกู้คืน BitLocker จะเปิดใช้งานเมื่อบูตเครื่องครั้งถัดไป

ไม่ใช่ว่าจะมีแต่ข้อดี: ในฐานะที่เป็นส่วนประกอบทางกายภาพ หากชิป TPM เสียหายหรือคุณเปลี่ยนชิปโดยไม่ได้สำรองข้อมูลรหัสกู้คืนไว้ คุณอาจสูญเสียการเข้าถึงข้อมูลที่เข้ารหัสไว้ นอกจากนี้ ระบบหรือโปรแกรมบางระบบอาจไม่ได้ใช้ประโยชน์จาก TPM อย่างเต็มที่ และมีความเป็นไปได้เสมอที่จะเกิดข้อบกพร่องในการใช้งาน บั๊ก หรือช่องโหว่

หากต้องการตรวจสอบว่าคอมพิวเตอร์ของคุณมี TPM ที่ทำงานอยู่หรือไม่ คุณสามารถกดปุ่ม Win + R แล้วเรียกใช้คำสั่งต่อไปนี้ tpm. ปริญญาโทหากคุณเปิดคอนโซลการจัดการและเห็นสถานะเช่น "TPM พร้อมใช้งาน" แสดงว่าคุณมาถูกทางแล้ว แต่ถ้าคุณเห็นข้อผิดพลาดที่ระบุว่าไม่พบ TPM ที่เข้ากันได้ อาจเป็นเพราะ TPM ถูกปิดใช้งานใน BIOS/UEFI หรือเมนบอร์ดของคุณอาจไม่มี TPM เลยก็ได้

ถึงกระนั้น BitLocker ก็ไม่ได้กำหนดให้ TPM เป็นข้อกำหนดที่บังคับใช้ เป็นไปได้ที่จะใช้ TPM ใช้ BitLocker โดยไม่ต้องใช้ TPM โดยการเปิดใช้งานนโยบาย ไฟล์ gpedit.msc ช่วยให้คุณสามารถกำหนดให้มีการตรวจสอบสิทธิ์เพิ่มเติมเมื่อเริ่มต้นระบบ และเปิดใช้งานการใช้งานโดยไม่ต้องใช้โมดูล TPM ในกรณีเหล่านี้ มาตรการรักษาความปลอดภัยหลักอาจเป็นรหัสผ่านหรือคีย์ที่จัดเก็บไว้ในไดรฟ์ USB ที่คุณต้องเสียบไว้เพื่อบูตระบบ

การใช้งาน BitLocker ทั้งแบบมีและไม่มี TPM บนไดรฟ์ระบบ

การเข้ารหัสดิสก์ที่ติดตั้งระบบปฏิบัติการเป็นมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพสูงมาก แต่ต้องคำนึงถึงปัจจัยเพิ่มเติมบางประการ BitLocker จะสร้างไฟล์ขนาดเล็ก พาร์ติชั่นบูตที่ไม่ได้เข้ารหัส ซึ่งเป็นที่เก็บไฟล์ที่จำเป็นในการเริ่มต้นระบบ และพาร์ติชั่นระบบหลักจะยังคงเข้ารหัสอยู่จนกว่าการตรวจสอบสิทธิ์จะเสร็จสมบูรณ์

หากคุณมี TPM วิธีที่ดีที่สุดคือการรวมเข้ากับ PIN หรือรหัสผ่านเพิ่มเติมในโหมด "TPM + PIN" เพื่อเพิ่มความปลอดภัยในการบูต ด้วยวิธีนี้ แม้ว่าคอมพิวเตอร์ของคุณจะถูกขโมยไปทั้งหมด พวกเขาก็ยังต้องการทั้งฮาร์ดแวร์และรหัสผ่านที่คุณรู้ Windows จัดการการรวมกันนี้ได้อย่างค่อนข้างโปร่งใส

หากไม่มี TPM หรือคุณไม่ต้องการใช้งาน TPM คุณควรใช้ตัวเลือก "กำหนดให้มีการตรวจสอบสิทธิ์เพิ่มเติมเมื่อเริ่มต้นระบบ" ในหน่วยระบบปฏิบัติการภายในตัวแก้ไขนโยบายกลุ่ม เปิดใช้งานตัวเลือกเพื่ออนุญาต BitLocker โดยไม่ต้องใช้ TPMตัวช่วยสร้างจะอนุญาตให้คุณใช้รหัสผ่านเมื่อเริ่มต้นระบบ หรือใช้ไดรฟ์ USB ที่มีไฟล์รหัสปลดล็อก

ในสถานการณ์นี้ ผู้ช่วยจะขอให้คุณทำดังต่อไปนี้ เสียบแฟลชไดรฟ์ USB เพื่อบันทึกรหัสบูต หรือตั้งรหัสผ่านที่ซับซ้อน ห้ามถอดไดรฟ์ USB นี้ออกระหว่างกระบวนการเข้ารหัสหรือระหว่างการรีสตาร์ทครั้งแรก นอกจากนี้ ควรปรับลำดับการบูตใน BIOS เพื่อไม่ให้คอมพิวเตอร์พยายามบูตจากไดรฟ์ USB ที่มีรหัสบูตอยู่

เมื่อการเข้ารหัสเสร็จสมบูรณ์และคุณได้ตรวจสอบแล้วว่าระบบบูตได้อย่างถูกต้อง ขอแนะนำให้บันทึกสำเนาของรหัสบูต (และรหัสกู้คืน) ไว้ในที่ที่ปลอดภัยมาก เช่น อุปกรณ์เข้ารหัสอื่น โปรแกรมจัดการรหัสผ่าน หรือหากคุณใช้งานอยู่ ก็ให้บันทึกไว้ในบัญชี Microsoft/OneDrive ของคุณ

BitLocker และเครือข่าย: พฤติกรรมของไดรฟ์ภายนอกที่เข้ารหัส

รายละเอียดหนึ่งที่มักก่อให้เกิดข้อสงสัยคือพฤติกรรมของมัน ฮาร์ดไดรฟ์ภายนอกที่เข้ารหัสด้วย BitLocker เมื่อแชร์ผ่านเครือข่ายสิ่งสำคัญคือต้องเข้าใจว่า BitLocker ป้องกันการเข้าถึงอุปกรณ์โดยตรงทางกายภาพ ไม่ได้ทำหน้าที่เป็นระบบตรวจสอบสิทธิ์บนเครือข่าย

หมายความว่าคุณไม่สามารถป้อนรหัสผ่าน BitLocker จากคอมพิวเตอร์ระยะไกลเครื่องอื่นเพื่อปลดล็อกไดรฟ์ได้ สิ่งแรกที่ต้องทำคือ ปลดล็อกไดรฟ์บนคอมพิวเตอร์ที่เชื่อมต่ออยู่หลังจากนั้น คุณสามารถแชร์โฟลเดอร์หรือไดรฟ์ทั้งหมดได้โดยใช้ตัวเลือกการแชร์ไฟล์ของ Windows

เมื่อแชร์ไดรฟ์แล้ว ผู้ใช้เครือข่ายจะเข้าถึงข้อมูลโดยใช้ข้อมูลประจำตัว Windows ตามปกติ (ชื่อผู้ใช้/รหัสผ่านเครือข่าย, NTFS และสิทธิ์การแชร์ ฯลฯ) แต่การเข้ารหัส BitLocker จะดำเนินการโดยคอมพิวเตอร์ที่มีไดรฟ์เชื่อมต่ออยู่ หากคอมพิวเตอร์เครื่องนั้นปิดเครื่องหรือล็อกไดรฟ์ ทรัพยากรนั้นก็จะไม่สามารถใช้งานได้

รหัสกู้คืนและข้อมูลสำรอง: เครือข่ายความปลอดภัยของคุณ

ทุกครั้งที่คุณเข้ารหัสไดรฟ์ด้วย BitLocker ตัวช่วยสร้างจะสร้างไฟล์ขึ้นมา รหัสกู้คืน 48 หลักมันคือตัวช่วยสำคัญของคุณเมื่อคุณลืมรหัสผ่านปกติ หรือเมื่อระบบตัดสินใจที่จะขอรหัสพิเศษนั้นในระหว่างการเริ่มต้นระบบเนื่องจากการเปลี่ยนแปลงของฮาร์ดแวร์หรือเฟิร์มแวร์

Windows มีหลายวิธีในการบันทึกรหัสลับนั้น ได้แก่ บันทึกในบัญชี Microsoft ของคุณ (โดยจะเก็บไว้ในโปรไฟล์ OneDrive ของคุณ) บันทึกในไดรฟ์ USB ที่ไม่ได้เข้ารหัส บันทึกในไฟล์ข้อความ หรือพิมพ์ลงบนกระดาษโดยตรง โดยหลักการแล้ว ควรใช้วิธีการอย่างน้อยสองวิธีร่วมกัน และห้ามทิ้งสำเนาเดียวของกุญแจไว้ในดิสก์ที่คุณกำลังเข้ารหัสเด็ดขาด

หากคุณเข้ารหัสไดรฟ์หลายตัว ไฟล์รหัสกู้คืนแต่ละไฟล์จะมีตัวระบุเฉพาะในชื่อไฟล์ (GUID) ซึ่งตรงกับตัวระบุที่แสดงเมื่อระบบขอให้คุณป้อนรหัสกู้คืน การรักษาความสัมพันธ์นี้มีความสำคัญอย่างยิ่งเพื่อให้ทราบว่าไฟล์ใดตรงกับไดรฟ์ใดในกรณีฉุกเฉิน

นอกเหนือจาก BitLocker แล้ว กลยุทธ์ที่มั่นคงที่สุดในการป้องกันความล้มเหลวของฮาร์ดแวร์ การเสียหายของข้อมูล หรือช่องโหว่ด้านความปลอดภัย คือการบำรุงรักษาอย่างสม่ำเสมอ สำรองข้อมูลทั้งหมดไว้ในอุปกรณ์แยกต่างหากหากสำเนาเหล่านี้ถูกจัดเก็บไว้ในดิสก์ที่เข้ารหัสอีกตัวหนึ่ง หรือในบริการคลาวด์ที่เข้ารหัสข้อมูลเช่นกัน คุณจะได้รับการปกป้องในระดับสูงมากจากการสูญหายหรือถูกขโมย

โปรดจำไว้ว่า หากไดรฟ์ที่เข้ารหัสเกิดความเสียหายทางกายภาพ แม้ว่าคุณจะสามารถกู้คืนส่วนที่แยกออกมาได้โดยใช้เทคนิคทางนิติวิทยาศาสตร์ก็ตาม หากไม่มีรหัสที่ถูกต้อง ข้อมูลเหล่านั้นจะยังคงอยู่ในสถานะเข้ารหัส และจะไม่สามารถอ่านได้ นั่นเป็นเหตุผลว่าทำไมการเข้ารหัสและการสำรองข้อมูลแบบซ้ำซ้อนจึงมีความสำคัญมาก

PowerShell และ cmdlet สำหรับการจัดการ BitLocker ขั้นสูง

นอกเหนือจากอินเทอร์เฟซแบบกราฟิกและยูทิลิตี้คอนโซล manage-bde แล้ว Windows ยังมีสิ่งอื่นๆ อีกด้วย คำสั่ง PowerShell เฉพาะสำหรับ BitLockerมีประโยชน์มากเมื่อคุณต้องการทำให้งานต่างๆ เป็นไปโดยอัตโนมัติ หรือจัดการหลายหน่วยพร้อมกัน และ วัดปริมาณการอ่าน/เขียนดิสก์ต่อกระบวนการ.

คำสั่งพื้นฐานในการดูสถานะของหน่วยต่างๆ คือ รับ BitLockerVolumeซึ่งรับพารามิเตอร์ -MountPoint เพื่อระบุไดรฟ์ที่ต้องการ การเพิ่ม "| fl" ที่ท้ายคำสั่งจะให้ผลลัพธ์โดยละเอียด พร้อมด้วยตัวป้องกันที่กำหนดค่าไว้ทั้งหมด สถานะการเข้ารหัส เปอร์เซ็นต์ความสำเร็จ ฯลฯ

ในการเพิ่มการป้องกันประเภทต่างๆ (รหัสผ่าน, รหัสกู้คืน, รหัสผ่านกู้คืน หรือรหัสบูต) คุณใช้ Add-BitLockerKeyProtector โดยใช้พารามิเตอร์ที่เหมาะสมสำหรับแต่ละกรณี (ตัวอย่างเช่น -PasswordProtector, -RecoveryKeyPath, -StartupKeyProtector…) ด้วยวิธีนี้ คุณสามารถเตรียมไดรฟ์พร้อมวิธีการปลดล็อกทั้งหมดก่อนที่จะเปิดใช้งานการเข้ารหัสได้

คำสั่ง cmdlet ที่เริ่มต้นการเข้ารหัสจริง ๆ คือ เปิดใช้งาน BitLockerคุณต้องระบุตัวอักษรไดรฟ์ (-MountPoint) และการป้องกันที่คุณต้องการใช้ในขณะนั้นให้กับคำสั่งนี้ หากต้องการหยุดหรือเริ่มการเข้ารหัสใหม่ หรือล็อกหรือปลดล็อกไดรฟ์ด้วยตนเอง คุณสามารถใช้คำสั่งต่างๆ เช่น Lock-BitLocker, Unlock-BitLocker, Enable-BitLockerAutoUnlock หรือ Disable-BitLockerAutoUnlock

สุดท้ายนี้ หากเมื่อใดก็ตามที่คุณตัดสินใจที่จะถอดรหัสไดรฟ์ทั้งหมดและลบ BitLocker ออก คุณจะต้องใช้ ปิดใช้งาน BitLockerกระบวนการนี้อาจใช้เวลานานพอสมควร ขึ้นอยู่กับขนาดของไดรฟ์และความเร็วของฮาร์ดแวร์ แต่เมื่อเสร็จสิ้นแล้ว ไดรฟ์นั้นจะกลับมาเป็นข้อความธรรมดาและไม่มีตัวป้องกันใดๆ อีกต่อไป

ปัญหาที่พบบ่อยของ BitLocker และวิธีแก้ไข

แม้ว่า BitLocker จะเป็นเทคโนโลยีที่ค่อนข้างเสถียร แต่ก็ไม่ได้ปราศจากข้อผิดพลาดเป็นครั้งคราว หนึ่งในข้อผิดพลาดที่พบบ่อยที่สุดคือ หลังจากอัปเดต BIOS เปลี่ยนฮาร์ดแวร์ หรือเปลี่ยนแปลงการตั้งค่าการบูตใดๆ ก็ตาม ระบบจะเริ่มขอรหัสกู้คืนทุกครั้งที่เริ่มต้นระบบ.

วิธีแก้ปัญหาปกติคือบูตเครื่องหนึ่งครั้งโดยป้อนรหัสกู้คืน จากนั้น ปิดใช้งานตัวป้องกันชั่วคราว ใช้คำสั่ง `manage-bde` (ตัวอย่างเช่น `manage-bde -protectors -disable C:`) เพื่อทำการเปลี่ยนแปลงที่จำเป็น จากนั้นเปิดใช้งานอีกครั้งด้วยคำสั่ง `manage-bde -protectors -enable C:` การดำเนินการนี้จะ "รีเซ็ต" ความน่าเชื่อถือของ TPM เกี่ยวกับสถานะปัจจุบันของเครื่อง

นอกจากนี้ ยังมักพบเห็นสัญลักษณ์สามเหลี่ยมสีเหลืองปรากฏอยู่เหนือไดรฟ์ใน Explorer หรือ Device Manager ซึ่งบ่งชี้ว่า BitLocker ถูกระงับชั่วคราว หรือมีการเปลี่ยนแปลงที่รอการดำเนินการหลังจากการอัปเดต ในกรณีเหล่านี้ โดยปกติแล้ว การไปที่การตั้งค่า BitLocker ของไดรฟ์ที่ได้รับผลกระทบก็เพียงพอแล้ว การปกป้องประวัติย่อหรือใช้คำสั่ง manage-bde -resume C: บนคอนโซลที่มีสิทธิ์ผู้ดูแลระบบ

หากข้อความแสดงข้อผิดพลาดชี้ไปที่ปัญหาเกี่ยวกับ TPM (จาก tpm.msc หรือ Device Manager) ขอแนะนำให้ตรวจสอบใน BIOS/UEFI ว่า... TPM/Intel PTT/AMD fTPM เปิดใช้งานอยู่อัปเดตเฟิร์มแวร์ และหากจำเป็น ให้ล้าง TPM จากคอนโซลการจัดการของคุณ (ซึ่งจะสร้างคีย์ที่เกี่ยวข้องขึ้นใหม่และต้องกำหนดค่า BitLocker ใหม่)

นอกเหนือจากกรณีทั่วไปเหล่านี้แล้ว สิ่งสำคัญคือไม่ควรเปิดใช้งานการเข้ารหัสอย่างไม่ระมัดระวัง: ควรตรวจสอบให้แน่ใจว่าคุณมีข้อมูลสำรองที่ทันสมัยและสำเนาคีย์กู้คืนหลายชุดก่อนที่จะทำการเปลี่ยนแปลงฮาร์ดแวร์หรือเฟิร์มแวร์อย่างลึกซึ้ง

ทางเลือกอื่นนอกเหนือจาก BitLocker สำหรับการเข้ารหัสไดรฟ์ภายนอก

ไม่ใช่คอมพิวเตอร์ทุกเครื่องที่มี Windows เวอร์ชันที่รองรับ BitLocker และการอัปเกรดเพื่อใช้ฟีเจอร์นั้นก็อาจไม่คุ้มค่าเสมอไป ในสถานการณ์เช่นนั้น คุณสามารถใช้วิธีอื่นได้ เครื่องมือเข้ารหัสอื่นๆ เพื่อปกป้องฮาร์ดไดรฟ์ภายนอกและแฟลชไดรฟ์ USB

หนึ่งในโปรแกรมที่ได้รับความนิยมมากที่สุดคือ VeraCrypt ซึ่งเป็นโครงการโอเพนซอร์สและใช้งานได้ฟรี ที่ช่วยให้สามารถเข้ารหัสข้อมูลได้ ดิสก์ทั้งหมด พาร์ติชั่นแบบแยก หรือคอนเทนเนอร์ (ไฟล์ที่ทำหน้าที่เป็นดิสก์เสมือนที่เข้ารหัส) รองรับอัลกอริทึมต่างๆ เช่น AES, Serpent หรือ Twofish และโหมดที่ทันสมัย ​​เช่น XTS ทำให้มีความยืดหยุ่นสูงและใช้งานได้บนหลายแพลตฟอร์ม

อีกทางเลือกหนึ่งคือโปรแกรมที่เน้นด้านต่างๆ เข้ารหัสโฟลเดอร์ที่ระบุเช่น Anvi Folder Locker หรือ Hook Folder Locker วิธีการทำงานของโปรแกรมเหล่านี้แตกต่างออกไป คือ แทนที่จะเข้ารหัสไดรฟ์ทั้งหมด คุณเลือกไดเร็กทอรีเฉพาะ กำหนดรหัสผ่านหลัก และโปรแกรมจะจัดการการล็อกหรือปลดล็อกการเข้าถึงตามต้องการ

หากคุณต้องการใช้งานภายในระบบนิเวศของ Windows โดยไม่ใช้ BitLocker ก็ยังมี EFS (Encrypted File System) ซึ่งช่วยให้คุณเข้ารหัสไฟล์และโฟลเดอร์ที่เกี่ยวข้องกับผู้ใช้เฉพาะรายได้ มันรวดเร็วและค่อนข้างสะดวก แต่... มันไม่แข็งแกร่งและไม่เป็นอิสระจากระบบเท่าที่ควร เช่นเดียวกับ BitLocker: กุญแจจะถูกเก็บไว้ในระบบปฏิบัติการเอง อาจมีข้อมูลที่เหลืออยู่บ้างในแคชหรือเซกเตอร์ชั่วคราว และหากมีคนเข้าถึงเซสชัน Windows ของคุณ พวกเขาก็จะเห็นข้อมูลในรูปแบบข้อความธรรมดา

ดังนั้น เมื่อคุณมีตัวเลือก วิธีที่ดีที่สุดในการเข้ารหัสไดรฟ์ภายนอกคือการใช้ BitLocker หรือหากทำไม่ได้ ก็ใช้ VeraCrypt EFS และโปรแกรมจัดการโฟลเดอร์นั้นใช้ได้ดีในฐานะมาตรการชั่วคราว แต่ไม่สามารถทดแทนการเข้ารหัสไดรฟ์แบบเต็มรูปแบบได้เมื่อคุณต้องการปกป้องดิสก์ทั้งหมด

โดยรวมแล้ว การมีระบบเข้ารหัสที่ดีบนฮาร์ดไดรฟ์ภายนอก การสำรองข้อมูลเป็นประจำ และความเข้าใจที่ดีเกี่ยวกับวิธีการทำงานของรหัสกู้คืน จะช่วยให้คุณสามารถ... จัดการข้อมูลที่ละเอียดอ่อนได้อย่างสบายใจยิ่งขึ้น ทั้งในชีวิตประจำวันของคุณ และเมื่อคุณนำอุปกรณ์เหล่านั้นออกจากบ้านหรือที่ทำงานของคุณ

บทความที่เกี่ยวข้อง:

คู่มือการใช้งาน BitLocker To Go ฉบับสมบูรณ์: การเข้ารหัสที่ปลอดภัยบนไดรฟ์ USB และไดรฟ์ภายนอก

ไอแซก

นักเขียนผู้หลงใหลเกี่ยวกับโลกแห่งไบต์และเทคโนโลยีโดยทั่วไป ฉันชอบแบ่งปันความรู้ผ่านการเขียน และนั่นคือสิ่งที่ฉันจะทำในบล็อกนี้ เพื่อแสดงให้คุณเห็นสิ่งที่น่าสนใจที่สุดเกี่ยวกับอุปกรณ์ ซอฟต์แวร์ ฮาร์ดแวร์ แนวโน้มทางเทคโนโลยี และอื่นๆ เป้าหมายของฉันคือการช่วยคุณนำทางโลกดิจิทัลด้วยวิธีที่เรียบง่ายและสนุกสนาน