- Ine-encrypt ng BitLocker To Go ang mga USB drive at external hard drive, na nangangailangan ng password o recovery key para ma-access ang data.
- Maaaring i-sentralisa ang configuration nito gamit ang mga patakaran ng grupo, pagpapatupad ng mga algorithm, password, at key storage sa Active Directory.
- Gamitin TPM y PowerShell Pinapayagan nito ang advanced na pamamahala ng BitLocker, sa parehong internal at removable drive.
- Nag-aalok ang BitLocker ng mas malawak na proteksyon kaysa sa EFS at maaaring dagdagan ng mga tool tulad ng VeraCrypt depende sa sitwasyon.
Kung nagtatrabaho ka mga panlabas na hard drive, USB flash drive o SD cardMas mataas ang posibilidad na mawala ang iyong device o mahulog ito sa maling mga kamay kaysa sa inaasahan natin. Dito pumapasok ang BitLocker To Go, ang solusyon ng Microsoft para matiyak na kahit mawala mo ang iyong device, walang makakabasa ng kahit isang byte nang wala ang iyong password o recovery key.
Sa buong gabay na ito, makikita mo, nang mas detalyado kaysa dati, Ano nga ba ang BitLocker To Go, paano mo ito iko-configure sa Windows, paano mo ito pinamamahalaan gamit ang mga patakaran ng grupo, at ano ang gagawin kung mawala mo ang iyong password? At ano ang mga alternatibo mo kung gusto mong mas palawakin pa ang paggamit ng encryption? Tatalakayin din natin ang karaniwang BitLocker, ang papel ng TPM chip, ang epekto nito sa performance, at marami pang iba. Trick mga advanced na feature gamit ang PowerShell para makontrol mo ang tool na parang galing ka sa IT department.
Ano ang BitLocker at ano ang idinaragdag ng BitLocker To Go?
Ang BitLocker ay ang function ng pag-encrypt ng drive na kasama sa Windows sa mga edisyong Pro, Enterprise, at Education (mula Windows Vista pataas). Ang layunin nito ay protektahan ang lahat ng nilalaman ng isang disk (kabilang ang operating system) upang walang sinuman ang makabasa ng data nang walang tamang password, kahit na i-boot nila ang computer mula sa ibang system o ikonekta ang disk sa ibang computer.
Sa kaso ng mga device na pinamamahalaan sa mga kumpanya, karaniwang kasama ang BitLocker encryption. sentralisadong kinokontrol ng departamento ng ITMaraming organisasyon ang humihingi pa nga ng pag-encrypt ng ilang partikular na disk o lahat ng mga ito. laptop sa pamamagitan ng mga patakaran ng grupo, nang hindi nakakapagdesisyon ang user.
Mula sa Control Panel, maaari mong ma-access ang module ng Pag-encrypt ng BitLocker Drive, kung saan ipinapakita sa iyo ng Windows ang lahat ng drive na may mga nakatalagang letra: ang operating system drive, mga internal data drive, at mga removable drive, na siyang mga interesado kami para sa BitLocker To Go.
Ang BitLocker To Go ay ang variant ng BitLocker na sadyang ginawa para sa Mga natatanggal na media: Mga USB flash drive, SD card, at external hard drive may mga sistema ng file NTFS, FAT16, FAT32 o exFAT. Simple lang ang layunin nito: kung may makakita o magnakaw ng iyong USB drive, makakakita lang sila ng naka-lock na drive at hindi makakabasa ng kahit ano kung wala ang password, smart card, o recovery key.
Mga Pagkakaiba sa pagitan ng BitLocker at BitLocker To Go
Bagama't pareho ang kanilang teknolohikal na base, ang BitLocker at BitLocker To Go ay mayroon... bahagyang magkakaibang mga pamamaraanNakatuon ang BitLocker sa pag-encrypt ng system drive at iba pang internal disk, habang ang BitLocker To Go ay nakatuon sa mga naaalis na drive na madalas mong isaksak at i-unplug.
Sa pag-encrypt ng system drive, maaaring pagsamahin ang BitLocker sa TPM, PIN ng bootmga password at key na nakaimbak sa USB Upang matiyak na bubukas ang computer. Kaagad pagkatapos na ma-on, bago pa man mag-load ang Windows, bineberipika ng system ang integridad at hinihiling ang tinukoy na authentication; kung hindi, hindi magbo-boot ang system.
Kapag nag-encrypt ka ng internal data partition o isang non-boot disk, hihingi ang BitLocker ng password kapag i-double click mo ang drive. Nang hindi ipinapasok ang susi, mananatiling naka-encrypt ang nilalaman., anuman ang mga pahintulot sa NTFS na mayroon ang mga folder o mga user ng Windows.
Samantala, ang BitLocker To Go ay nakatuon sa praktikal na paggamit ng naka-encrypt na mga USB drive na maaari mong dalhinIkonekta ang USB drive sa isang compatible na Windows computer, ilagay ang password o gamitin ang iyong smart card, at ang drive ay ide-decrypt nang maayos. Kapag kinopya mo ang mga file sa USB drive na iyon, ang mga ito ay agad na naka-encrypt; kapag kinopya mo ang mga ito, awtomatiko itong nade-decrypt.
Sa mga mas lumang sistema tulad ng Windows XP o ilang edisyon ng Vista, na hindi katutubong sumusuporta sa BitLocker To Go, inaalok ng Microsoft ang Mambabasa ng BitLocker To Go, isang maliit na utility na nagbibigay-daan sa iyong magbukas ng mga FAT drive na protektado ng BitLocker sa read-only mode, nang sa gayon ay mabawi mo kahit papaano ang impormasyon.
Mga sinusuportahang bersyon at kinakailangan ng Windows
Ang BitLocker at BitLocker To Go ay makukuha sa Mga edisyon ng Windows Pro, Enterprise, at EducationHindi mo makikita ang mga ito sa mga bersyong Home, kung saan kakailanganin mong gumamit ng mga tool ng third-party tulad ng VeraCrypt kung gusto mong i-encrypt ang buong disk.
En Windows 7, 8, 8.1, 10 at 11, ang mga opsyon sa pag-configure at mga magagamit na algorithm Maaaring bahagyang mag-iba ang mga ito depende sa partikular na bersyon. Simula sa Windows 10 bersyon 1511, ipinakilala ang kakayahang pumili ng iba't ibang paraan ng pag-encrypt para sa mga boot drive, internal data drive, at removable drive sa pamamagitan ng Group Policy.
Maraming aparato ang nagsasama ng isang chip TPM (Trusted Platform Module) sa motherboard, na nagpapatibay sa seguridad ng BitLocker sa pamamagitan ng pagbuo at ligtas na pag-iimbak ng bahagi ng mga susi sa hardwarePara makita ito, maaari mong buksan ang Device Manager at tingnan kung may lumalabas na TPM “Security” device, o patakbuhin tpm.msc gamit ang Windows + R.
Kung ang iyong computer ay walang TPM, huwag mag-alala: maaari mo itong i-configure gamit ang mga patakaran ng grupo. Gumagana ang BitLocker nang walang TPM Gumamit ng mga password o USB drive na may boot key. I-enable lang ang opsyong "Require additional authentication at startup" at lagyan ng tsek ang "Allow BitLocker without a compatible TPM."
Sa usapin ng pagganap, sa karamihan ng mga modernong sistema na may suporta sa pag-encrypt ng hardware ng AES-NI, ang epekto ay medyo katamtamanGayunpaman, kung mapapansin mo mabagal na paglipat sa USBNaobserbahan ang mga makabuluhang pagbaba ng pagganap sa ilan SSD mga detalye (halimbawa, kapansin-pansing pagbawas sa mga random na pagbasa sa ilang partikular na high-end drive) kapag ang BitLocker ay pinapatakbo lamang ng software sa halip na umasa sa sariling hardware encryption ng SSD.
Paano i-access at i-activate ang BitLocker To Go sa Windows
Para pamahalaan ang BitLocker at BitLocker To Go mula sa graphical interface, ang pinakamadaling paraan ay pumunta sa Control Panel > System and Security > BitLocker Drive EncryptionDoon mo makikita ang mga drive na nakapangkat sa: operating system drive, fixed data drive at removable data drive (BitLocker To Go).
Isa pang mabilis na paraan para makarating doon ay sa pamamagitan ng paggamit ng Windows Search. Gamit ang iyong may mga pahintulot ng administrator Kapag nagsimula na, buksan ang Start menu, i-type ang "BitLocker" at piliin ang "Manage BitLocker". Dadalhin ka nito sa parehong Control Panel applet, kung saan lilitaw ang lahat ng drive kasama ang kanilang encryption status.
Sa mga unit kung saan hindi pa ito aktibo, makikita mo ang opsyong "I-activate ang BitLocker"Kapag pinindot mo ito sa isang naaalis na drive, bubukas ang BitLocker To Go wizard, na unang magtatanong sa iyo kung paano mo gustong i-unlock ang drive.
Sa mga USB drive at external hard drive, maaari kang pumili ng i-unlock ang password o sa pamamagitan ng paggamit ng smart card. Dapat na malakas ang password, na pinagsasama ang malalaki at maliliit na letra, numero, at simbolo; Ang Windows ay mangangailangan ng minimum na haba, at sa mga korporasyon, maaaring mas mahigpit ang patakaran.
Bago simulan ang pag-encrypt, hihilingin sa iyo ng wizard na piliin kung paano i-save ang recovery key, ang lifeline na kakailanganin mo kung Nakalimutan mo ba ang iyong password?Mayroon kang ilang mga opsyon: Microsoft account (na-upload sa OneDrive), hindi naka-encrypt na USB flash drive, text file, o naka-print na papel. Inirerekomenda ng Microsoft, para sa mga computer sa bahay, na i-link ito sa iyong Microsoft account o, kahit man lang, i-save ito sa isang lokasyon na hindi naka-encrypt gamit ang mismong drive.
Mga opsyon sa pag-encrypt: espasyong ginamit, buong disk, at mga algorithm
Kapag sinimulan mo ang pag-encrypt ng isang drive, itatanong ng BitLocker kung gusto mo lang i-encrypt ang ginamit na puwang o ang buong disk. Mas mabilis ang pag-encrypt lamang ng mga ginamit na disk, mainam para sa mga bago o kamakailang na-format na disk; ngunit sa mga disk na may history, ang mga nabura na data ay maaari pa ring nasa mga free sector at maaaring mabawi kung may mag-a-access sa mga ito nang walang encryption.
Para sa mga drive na mayroon nang nilalaman, ang pinakaligtas na opsyon ay ang pag-encrypt. ang buong albumBagama't maaaring mas matagal pa ito. Sa ganitong paraan, kahit ang dating nabura na impormasyon ay nananatiling protektado. Sa maliliit na drive (mga USB drive o mga SSD na may katamtamang kapasidad), ang karagdagang oras na ito ay karaniwang katanggap-tanggap.
Tungkol sa mga algorithm, ginagamit ng Windows bilang default XTS-AES na may 128-bit na susi para sa mga internal drive at AES-CBC na may 128-bit na susi Para sa mga external drive at USB flash drive. Ang XTS-AES ay mas moderno, itinuturing na mas matatag sa ilang partikular na sitwasyon, at karaniwang nag-aalok ng higit na mahusay na pagganap.
Kung gusto mong itaas ang pamantayan para sa seguridad, sa pamamagitan ng editor ng mga patakaran ng lokal na grupo (gpedit.msc) Maaari mong tukuyin ang paggamit ng 256-bit na mga susi para sa parehong XTS-AES at AES-CBC. Sa teorya, pinapataas nito ang resistensya sa mga brute-force attack, kapalit ng bahagyang mas mataas na pagkonsumo ng mapagkukunan, bagama't minimal lamang ang epekto nito sa mga modernong sistema.
Nagbibigay ang Microsoft ng ilang patakaran na tinatawag na “Pumili ng paraan ng pag-encrypt ng drive at lakas ng pag-encrypt para sa…” na nagpapahintulot tukuyin, nang hiwalay, ang algorithm at ang haba ng susi para sa mga system drive, internal data drive at removable drive, na iniaangkop ito sa operating system at sa bersyon nito.
Pamamahala ng BitLocker To Go kasama ang mga patakaran ng grupo sa mga kumpanya
Sa mga korporasyon, hindi makatuwiran para sa bawat gumagamit na magdesisyon kung ie-encrypt o hindi ang kanilang USB drive, kung paano iimbak ang mga key, o kung aling algorithm ang gagamitin. Upang maiwasan ang kaguluhang ito, ipinapatupad ang pag-encrypt gamit ang... mga patakaran ng grupo (GPO), kung saan ipinapatupad ng administrator ang configuration ng BitLocker To Go at awtomatiko ang imbakan mga recovery key sa Active Directory.
Ang mga partikular na patakaran para sa mga naaalis na drive ay matatagpuan sa: Pag-configure ng Computer > Mga Administrative Template > Mga Bahagi ng Windows > Pag-encrypt ng BitLocker Drive > Mga Natatanggal na Data DriveMula doon, halimbawa, maaari mong harangan ang pagsusulat sa mga USB drive na hindi naka-encrypt gamit ang BitLocker.
Ang pangunahing direktiba sa bagay na ito ay "Tanggihan ang write access sa mga naaalis na drive na hindi protektado ng BitLockerKung ie-enable mo ito, anumang hindi naka-encrypt na USB drive ay mai-mount sa read-only mode, at babalaan ka ng Windows na kailangang paganahin ang BitLocker upang makatipid ng data.
Ang wizard na bubukas kapag sinimulan ang pag-encrypt ay maaaring ipasadya upang magpakita ng mas kaunting mga opsyon sa gumagamitHalimbawa, maaari mong tukuyin nang maaga na tanging ang ginamit na espasyo o ang buong disk lamang ang laging naka-encrypt, o pumili ng isang partikular na algorithm, mula sa mga GPO na "Ipatupad ang uri ng pag-encrypt ng drive sa mga naaalis na data drive" at "Pumili ng paraan ng pag-encrypt ng drive at lakas ng pag-encrypt".
Tungkol sa pamamahala ng recovery key, karaniwan na i-configure ang "Piliin kung paano i-recover ang mga naaalis na drive na protektado ng BitLocker"at pilitin ang mga ito na awtomatikong maiimbak sa Active Directory. Kung pipiliin din ang "Bypass BitLocker Setup Wizard recovery options", hindi ito mase-save ng mga user sa mga file o mai-print nang mag-isa.
Pagkontrol ng pagkakakilanlan ng organisasyon at pagpapatupad ng password
Isa pang kawili-wiling aspeto ay ang kakayahang Markahan ang mga naka-encrypt na USB drive gamit ang organization identifiersa pamamagitan ng direktiba na "Magbigay ng mga natatanging identifier para sa iyong organisasyon". Ang bawat naka-encrypt na unit ay may label na ID na iyon, na maaaring isang string na hanggang 260 character.
Pinagsasama ang identifier na iyon sa opsyong "Huwag payagan ang write access sa mga device na naka-configure sa ibang organisasyon."(kasama sa parehong kategorya ng mga patakaran ng BitLocker To Go), mapipigilan mo ang mga user na patuloy na gumamit ng mga USB drive na kanilang na-encrypt nang mag-isa bago pa man ipatupad ang patakaran ng korporasyon, o mga hindi nakakatugon sa panloob na pamantayan.
Ang direktiba "I-configure ang paggamit ng password para sa mga naaalis na data driveAng "" ay ginagamit upang isaayos ang minimum na kasalimuotan ng mga password ng BitLocker To Go: haba, halo ng mga uri ng karakter, atbp. Karaniwan, ang mga panuntunang ito ay nakaayos sa pandaigdigang patakaran sa password ng domain upang mapanatili ang isang pare-parehong antas ng seguridad.
Kung idi-disable mo rin ang “Payagan ang mga user na i-suspend at i-decrypt ang proteksyon ng BitLocker sa mga naaalis na data drive”, makakamit mo ang walang makakapag-alis ng encryption mula sa isang corporate USB drive nang mag-isa; tanging mga administrador lamang, mula sa kanilang console, ang magkakaroon ng kakayahang iyon.
Tinitiyak ng buong sentralisadong konpigurasyong ito na ang pag-encrypt ng mga portable drive ay hindi nakasalalay sa kabutihang-loob ng bawat empleyado, kundi sa isang magkakaugnay at naaangkop na patakaran sa seguridad sa buong organisasyon, na lubos na nakakabawas sa panganib ng pagtagas ng impormasyon mula sa mga nawawalang USB drive.
TPM, seguridad sa pag-boot, at paggamit ng BitLocker nang walang TPM
Ang TPM (Trusted Platform Module) ay isang maliit na cryptochip na isinama sa maraming modernong motherboard Malaki ang naitutulong nito upang mapalakas ang seguridad ng BitLocker, lalo na kapag naka-encrypt ang boot drive. Binubuo at iniimbak nito ang bahagi ng mga encryption key at pinapatunayan na hindi napakialaman ang boot environment.
Kabilang sa mga pangunahing tungkulin nito ay ang pag-encrypt ng datos at proteksyon laban sa malware bootAng TPM ay lumilikha ng pares ng susi (pampubliko at pribado), pinapanatili ang bahagi ng pribadong susi, at sinusuri habang nagsisimula na ang boot manager at iba pang mahahalagang bahagi ay hindi nabago. Kung may makita itong anumang kahina-hinala, maaari nitong pigilan ang normal na pagsisimula.
Maaari ring i-activate ng chip ang isang paraan ng kuwarentenas Kapag nakakita ito ng potensyal na problema, pinapayagan nito ang sistema na subukang ayusin bago mag-boot nang normal. Bukod pa rito, nagsisilbi itong ligtas na imbakan para sa mga sertipiko, password, at mga susi ng pag-encrypt, na mas matatag kaysa sa pag-iimbak ng mga ito sa mga disk file.
Hindi lahat ng benepisyo ay hatid: ang paggamit ng TPM ay nagpapahiwatig ng isang tiyak na dependency sa hardwareNangangahulugan ito na ang isang pagkabigo ng chip ay maaaring maging dahilan upang hindi ma-access ang naka-encrypt na data kung hindi pa naihahanda ang mga backup at recovery key. Bukod pa rito, hindi lahat ng sistema at aplikasyon ay ganap na magkatugma, at ang pamamahala ay maaaring maging kumplikado para sa mga walang karanasang gumagamit.
Kung ang iyong computer ay walang TPM o gusto mo pa ring i-encrypt ang system drive, maaari mong gamitin ang workaround sa pamamagitan ng pagpapagana ng patakarang "Require additional authentication at startup" at pag-check sa kahon para payagan ang BitLocker nang walang TPM. Sa ganitong kaso, ang proseso ng boot ay sinisiguro gamit ang USB drive na may boot key o pre-boot password, na kakailanganin mong ilagay sa tuwing bubuksan mo ang computer.
Mas mahusay na pamamahala ng BitLocker gamit ang PowerShell
Bukod sa mga graphical tool, ang Windows ay nagbibigay sa iyo ng iba't ibang... Mga cmdlet ng PowerShell para pamahalaan ang BitLocker at BitLocker To Go nang may higit na kakayahang umangkop, mainam para sa pag-automate ng mga gawain, pagsulat ng mga script, o pamamahala ng dose-dosenang mga computer nang sabay-sabay.
Ang PowerShell ay isang napakalakas na console at scripting environment na pinapalitan ang mga lumang .bat file ng MS-DOS. Mula doon, maaari mong suriin ang katayuan ng mga drive, paganahin ang pag-encrypt, magdagdag o mag-alis ng mga proteksyon, i-lock o i-unlock ang mga disk, at i-disable ang BitLocker, lahat batay sa comandos mahusay na tinukoy.
Para tingnan ang katayuan ng isang partikular na yunit, ginagamit ang cmdlet Get-BitLockerVolumena tumatanggap ng MountPoint parameter (halimbawa, F:). Kung magdadagdag ka ng “| fl” sa dulo, makakakuha ka ng detalyadong listahan kasama ang mga na-configure na protector, ang naka-encrypt na porsyento, ang status ng lock, atbp.
Ang pamamahala ng mga tampok ng seguridad (mga password, mga recovery key, mga boot key) ay ginagawa gamit ang Magdagdag ng BitLockerKeyProtectorMaaari kang magdagdag ng password protector, recovery key (na sine-save bilang file sa isang tinukoy na path), 48-digit na recovery password protector, o boot key na nasa USB drive.
Kapag na-configure mo na ang mga ninanais na tagapagtanggol, sisimulan ang pag-encrypt sa pamamagitan ng Paganahin-BitLockerTukuyin ang drive na may MountPoint at ang uri ng proteksyon na gagamitin. Sisimulan ng system ang pag-encrypt ng disk at magpapakita (o maaari mo itong pilitin gamit ang fvenotify.exe) ng isang progress window.
Kapag gusto mong i-lock, i-unlock, o i-configure ang auto-unlock ng isang naka-encrypt na drive, mayroon kang mga sumusunod na opsyon na magagamit. I-lock-BitLocker, I-unlock-BitLocker, Paganahin-BitLockerAutoUnlock at Huwag paganahin-BitLockerAutoUnlockBinibigyang-daan ka ng Unlock-BitLocker na pumili kung aling seguridad ang gusto mong gamitin para buksan ang drive: normal na password, recovery password, o recovery key file.
Ang pag-deactivate at pag-decrypt ng drive na ayaw mo nang protektahan ay nangangailangan ng paggamit ng Huwag paganahin ang BitLockerKapag pinatakbo mo ito, unti-unting ide-decrypt ang drive hanggang sa maging plain text ito, at muli mong masusubaybayan ang progreso sa notification box kung patatakbuhin mo ang fvenotify.exe.
Masigasig na manunulat tungkol sa mundo ng mga byte at teknolohiya sa pangkalahatan. Gustung-gusto kong ibahagi ang aking kaalaman sa pamamagitan ng pagsusulat, at iyon ang gagawin ko sa blog na ito, ipakita sa iyo ang lahat ng mga pinaka-kagiliw-giliw na bagay tungkol sa mga gadget, software, hardware, teknolohikal na uso, at higit pa. Ang layunin ko ay tulungan kang mag-navigate sa digital na mundo sa simple at nakakaaliw na paraan.