- Pinapayagan ka ng BitLocker na i-encrypt ang buong external drive gamit ang mga password at recovery key, na pinoprotektahan ang pisikal na pag-access sa data.
- Ang paggamit ng TPM, mga patakaran ng grupo, at pagpili ng algorithm (XTS-AES, AES-CBC) ang tumutukoy sa antas ng seguridad at ang epekto nito sa pagganap.
- Mahalaga ang wastong pamamahala ng mga backup at recovery key upang maiwasan ang permanenteng pagkawala ng naka-encrypt na impormasyon.
- Kapag hindi available ang BitLocker, ang mga tool tulad ng VeraCrypt ay nag-aalok ng isang matibay na alternatibo para sa pag-encrypt ng mga external drive.
Kung gumagamit ka ng mga external hard drive o USB flash drive na puno ng sensitibong impormasyon, I-configure ang BitLocker sa mga external drive Marahil ito ay isa sa mga pinakamahusay na desisyon sa seguridad na magagawa mo sa Windows. Ang feature na ito ng Microsoft encryption ay nagbibigay-daan sa iyong protektahan ang lahat ng nilalaman ng isang drive nang sa gayon, nang walang password o recovery key, ang data na iyon ay ganap na hindi maa-access.
Gayunpaman, ang pag-encrypt ng BitLocker at Windows device ay may kani-kanilang mga nuances: Hindi ito gumagana nang pareho sa system drive gaya ng sa isang external hard drive.May mga pagkakaiba sa pagitan ng mga bersyon ng Windows, mahalaga kung mayroon kang TPM chip o wala, maaari itong makaapekto sa performance nang kaunti (lalo na sa ilang SSD), at mayroon ding mga alternatibo kapag ang iyong edisyon ng Windows ay walang kasamang BitLocker. Tingnan natin, hakbang-hakbang at nang detalyado, ang lahat ng kailangan mong malaman upang i-encrypt ang mga external drive nang hindi nasisira ang mga bagay-bagay at hindi nawawala ang data.
BitLocker at pag-encrypt ng device: ano ang bawat isa at paano sila nagkakaiba
Sa Windows, mayroong dalawang konsepto na halos magkapareho ngunit hindi eksaktong pareho: pag-encrypt ng device y Pag-encrypt ng BitLocker driveAng pag-unawa sa pagkakaibang ito ay makakatulong sa iyo na malaman kung ano ang maaari at hindi mo magagawa sa iyong mga external hard drive.
Ang pag-encrypt ng device ay isang feature na pinagana bilang default ng ilang partikular na Windows computer. Kapag nagsimula ka ng bagong PC gamit ang isang Microsoft account, trabaho man o paaralanAwtomatikong maa-activate ng system ang internal disk encryption. Ina-upload ang recovery key sa account na iyon nang hindi mo na kailangang gumawa ng kahit ano. Gayunpaman, sa isang lokal na account, kadalasan ay hindi ito awtomatikong naa-activate.
Ang malaking pagkakaiba ay ang pag-encrypt ng device ay idinisenyo para sa mga hindi bihasang gumagamit at mga computer na karaniwang may kasamang Windows HomeHabang ang "klasikong" BitLocker (ang buong bersyon na may lahat ng opsyon) ay makukuha lamang sa mga edisyong Pro, Enterprise, at Education. Sa praktikal na termino, binibigyan ka ng BitLocker ng mas maraming kontrol: maaari mong i-encrypt ang mga external drive, USB flash drive, karagdagang mga partisyon, at ang system drive gamit ang iba't ibang mga pamamaraan at key.
Kung gusto mong malaman kung bakit hindi lumalabas ang opsyon sa pag-encrypt ng device sa iyong PC, maaari mong buksan ang tool na "System Information" bilang administrator at tingnan ang halaga ng Awtomatikong pagkakatugma sa pag-encrypt ng deviceDoon mo makikita ang mga mensahe tulad ng "nakakatugon sa mga kinakailangan", "Hindi magagamit ang TPM", "Hindi na-configure ang WinRE" o "Hindi sinusuportahan ang link ng PCR7", na nagsasabi sa iyo kung aling piraso ang nawawala para awtomatiko itong ma-activate.
Paano gumagana ang BitLocker: mga password, key, at gawi ng drive
Ine-encrypt ng BitLocker ang buong drive, internal man o external. Kapag pinagana mo ang encryption, kakailanganin mong magtakda ng Password para ma-unlock ang drive O gumamit ng iba pang proteksyon tulad ng mga recovery key, smart card, o USB drive. Napakahalaga ng password na iyon: kung mawala mo ito at hindi mo rin maayos na na-save ang recovery key, malamang na hindi na mababawi ang data.
Kapag na-encrypt na ang isang panlabas na drive, ang pag-uugali ay medyo maginhawa: Lahat ng kinokopya mo sa drive ay naka-encrypt nang mabilisan. At lahat ng iyong nababasa ay awtomatikong ide-decrypt pagkatapos mo itong i-unlock. Hindi mo kailangang i-encrypt ang file por file o gumawa ng anumang hindi pangkaraniwang bagay; ginagawa ito ng Windows sa background.
Kung i-encrypt mo ang drive kung saan matatagpuan ang operating system, ang magbabago ay kapag hiniling sa iyo ang iyong password o authentication: kahit bago pa man magsimula ang WindowsKung hindi mo ilalagay ang tamang BitLocker key, hindi matatapos ang pagsisimula ng system. Pagkatapos, maaari kang mag-log in gamit ang iyong Windows username at password gaya ng dati; ang mga ito ay dalawang magkahiwalay na proseso.
Kapag pinag-uusapan natin ang mga internal o external na data disk (walang operating system), karaniwan na, kapag binubuksan ang Windows, makikita mo ang drive na may icon na padlock. Kapag nag-double click ka sa drive na iyon, hihilingin sa iyo ang iyong password sa BitLocker.Kapag na-unlock na, maaari mo na itong gamitin nang normal hanggang sa i-lock mo itong muli o patayin ang computer.
Mga algorithm, lakas ng pag-encrypt, at ang epekto nito sa pagganap
Maaaring gumana ang BitLocker sa iba't ibang algorithm ng pag-encrypt at haba ng susi. Bilang default, ang mga modernong internal hard drive ay gumagamit ng XTS-AES na may 128-bit key.Habang sa mga naaalis na drive at USB drive, karaniwan itong gumagamit ng AES-CBC, na nasa 128 bits din, para sa pagiging tugma sa mga mas lumang bersyon ng Windows.
Ang XTS-AES ay isang mas bago at na-optimize na mode: Nagbibigay ito ng mas mataas na seguridad laban sa ilang partikular na manipulasyon sa bloke at kadalasan ay mas mabilis.Ligtas pa rin ang AES-CBC kahit na gumagamit ka ng malalakas na password, ngunit medyo hindi ito gaanong mahusay at may mas maraming cryptographic na disbentaha, kaya itinuturing itong transisyonal.
Sa mga propesyonal na edisyon ng Windows, maaari kang gumawa ng higit pang hakbang at, sa pamamagitan ng mga direktiba ng lokal na grupoMaaari mong isaayos ang parehong algorithm (XTS-AES o AES-CBC) at ang haba ng susi (128 o 256 bits). Mula sa praktikal na pananaw, ang 256 bits ay nag-aalok ng mas malaking teoretikal na margin ng seguridad, at sa mga modernong sistema, ang pagkakaiba sa pagganap ay minimal lamang, lalo na kung sinusuportahan ng processor ang AES-NI.
Gayunpaman, hindi lahat ng ito ay may mga bentaha. Ang ilang high-end NVMe SSD ay natuklasang may mga isyu sa performance. kapag ang BitLocker ay gumagana sa ganap na software-based na modeAng mga random na bilis ng pagbasa/pagsulat ay maaaring bumaba nang malaki. Halimbawa, sa isang 4TB Samsung 990 Pro, ang mga pagbaba ng hanggang 45% ay naobserbahan sa ilang partikular na pagsubok kung saan naka-enable ang BitLocker.
Sa mga matinding kasong iyon, ang mga opsyon ay i-disable ang BitLocker (isinasakripisyo ang seguridad) o I-configure ang SSD para gumamit ng hardware-based encryptiono suriin ang mga hakbang upang paganahin ang write caching sa mga external drive at pabilisin ang mga paglilipat, na karaniwang kinabibilangan ng muling pag-install ng Windows at pagtiyak na ang drive ay na-configure nang tama mula sa simula. Gayunpaman, para sa karamihan ng mga gumagamit, ang epekto ay halos hindi mahahalata.
Ano ang isang patakaran ng grupo at kung paano baguhin ang paraan ng pag-encrypt
Ang mga patakaran ng grupo sa Windows ay isang advanced na paraan ng ayusin ang pag-uugali ng operating system kapwa sa antas ng pangkat at gumagamit. Sa isang kapaligirang pangtahanan, pinag-uusapan natin ang mga patakaran ng lokal na grupo, na ina-edit gamit ang gpedit.msc utility sa Pro, Enterprise, at mga katulad na edisyon.
Para isaayos ang algorithm at lakas ng pag-encrypt ng BitLocker, buksan ang policy editor (Win + R, i-type ang gpedit.msc) at pumunta sa: Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption. Doon mo makikita ang ilang patakaran na partikular sa bersyon ng iyong Windows.
Makakakita ka ng magkakahiwalay na patakaran para sa mga mas lumang bersyon at para sa Windows 10 at mas bagoSa mga pinakabagong bersyon, maaari kang pumili ng ibang algorithm para sa mga internal boot disk, internal data disk, at removable/USB drive. Para sa bawat isa, maaari kang pumili ng XTS-AES o AES-CBC, pati na rin ang 128 o 256 bits, at kung maglalapat o hindi ng karagdagang diffuser sa mga lumang system.
Pakitandaan na ang mga pagbabagong ito ay nalalapat lamang sa mga disc na iyong ine-encode mula sa sandaling iyonMapapanatili ng mga naka-encrypt na drive ang kanilang orihinal na configuration. Bukod pa rito, magkakabisa lamang ang mga patakarang ito kung tumutugma ang mga ito sa aktwal na naka-install na bersyon ng Windows.
Kapag nagawa mo na ang mga kinakailangang pagbabago, ipinapayong pilitin ang pag-update ng patakaran upang maiwasan ang paghihintay sa karaniwang pagitan (humigit-kumulang 90 minuto). Para gawin ito, buksan ang Run (Win + R) at ilunsad ang command. gpupdate /target:Computer /forceAgad nitong ilalapat ang mga pagbabago, at pagkatapos ay maaari mong i-encrypt ang mga bagong drive gamit ang napiling configuration.
Paano i-activate ang BitLocker sa mga internal at external drive mula sa graphical interface
Nag-aalok ang Windows ng ilang graphical na paraan para paganahin ang BitLocker nang hindi gumagamit ng mga command. Sa lahat ng mga ito, ang mahalaga ay ang drive ay... naka-format at may nakatalagang fontKung hindi, hindi ito lilitaw bilang maaaring i-encrypt.
Ang pinakadirektang ruta ay sa pamamagitan ng File Explorer: Mag-right-click sa internal o external drive. Piliin ang device na gusto mong protektahan at pagkatapos ay piliin ang "I-on ang BitLocker." Bubuksan nito ang wizard kung saan mo pipiliin ang iyong unlock password, kung paano i-save ang iyong recovery key, at ang uri ng encryption.
Ang isa pang paraan ay sa pamamagitan ng klasikong Control Panel. Mula sa Start menu, buksan ang Control Panel > System and Security > BitLocker Drive Encryption. Makakakita ka ng nakagrupong listahan ng mga drive: system disk, data disk, at sa mas mababang bahagi, mga removable device, kung saan ginagamit ang BitLocker To Go para sa mga USB flash drive at external hard drive.
Maaari mo rin itong ma-access mula sa Settings app (lalo na sa Windows 10/11). Pumunta sa System > About at sa ibaba, dapat mong makita ang link papunta sa Configuration ng BitLocker, na magdadala sa iyo sa parehong panel ng administrasyon.
Kapag sinimulan mo ang wizard sa isang partikular na drive, ang unang hakbang ay ang pagtukoy ng unlock password. Dapat kasama rito ang malaki, maliit, numero at simboloSusunod, kakailanganin mong magpasya kung paano ise-save ang recovery key (Microsoft account, file, USB, printout) at kung ie-encrypt lamang ang ginamit na espasyo o ang buong disk—isang bagay na lalong mahalaga kung ang external drive ay mayroon nang [may kulang sa orihinal na teksto]. tinanggal ang lumang datos na maaaring mabawi.
Pag-encrypt ng panlabas na disk at BitLocker To Go
Para sa mga external drive (USB drive, flash drive, atbp.) gumagamit ang Windows ng isang partikular na mode na tinatawag na BitLocker To GoPara sa mga praktikal na layunin, halos magkapareho ang interface, ngunit sa loob, ang default na algorithm ay inayos upang ma-maximize ang pagiging tugma sa iba pang mga computer ng Windows na hindi pa ganap na na-update.
Napakasimple ng proseso: ikonekta ang external drive, hintaying lumitaw ito sa File Explorer, i-right-click ang drive, at piliin ang "Turn on BitLocker." Pagkatapos ay hihilingin sa iyo ng wizard na i-configure ang password sa pag-unlock, at pagkatapos ay imumungkahi nitong i-back up mo ang iyong recovery key.
Kapag ikinonekta mo ang drive na iyon sa ibang compatible na Windows PC, matutukoy ng system na naka-encrypt ito at Magpapakita ito ng isang kahon para ilagay ang password.Maaari mong lagyan ng tsek ang kahon upang awtomatiko itong ma-unlock sa partikular na computer na iyon sa hinaharap, na lubhang kapaki-pakinabang kung ito ay isang mapagkakatiwalaang PC.
Sa mga advanced na setting ng naka-encrypt nang drive, magkakaroon ka ng mga opsyon tulad ng pagpapalit ng password, pag-alis nito (kung magko-configure ka ng ibang paraan ng pagpapatunay), pagbuo ng mga bagong kopya ng recovery key, Paganahin ang awtomatikong pag-unlock o ganap na i-disable ang BitLocker upang i-decrypt ang disk.
Kung gumagamit ka pa rin ng mga lumang sistema tulad ng Windows XP o Vista, hindi nila natively nakikilala ang mga BitLocker To Go drive. Sa kasong iyon, nag-alok ang Microsoft ng isang tool na tinatawag na "BitLocker To Go Reader" na nagpapahintulot ng kahit man lang read-only na access sa mga FAT-formatted encrypted na USB drive, basta't naipasok ang tamang key.
TPM: Ang chip na nagpapalakas sa BitLocker (at kung paano ito gamitin nang walang TPM)
Ang TPM (Trusted Platform Module) ay isang maliit na chip sa motherboard na idinisenyo upang iimbak ang mga cryptographic key at suriin ang integridad ng bootKapag isinama sa BitLocker, ang bahagi ng encryption key ay nakaimbak sa TPM at ang isa pang bahagi ay nasa disk, kaya hindi basta-basta maililipat ng isang attacker ang disk sa ibang computer at mabasa ito.
Nakakatulong din ang TPM na matukoy ang mga kahina-hinalang pagbabago sa hardware o firmware. Halimbawa, kung ia-update mo ang BIOS, papalitan ang mahahalagang bahagi, o manipulahin ang ilang partikular na boot parameter, maaaring ituring ng TPM na hindi mapagkakatiwalaan ang kapaligiran at Kakailanganin mong ipasok ang recovery key. BitLocker sa susunod na pag-boot.
Hindi lahat ng bentahe ay: bilang isang pisikal na bahagi, kung ang TPM chip ay masira o papalitan mo ito nang hindi naka-backup ang iyong mga recovery key, maaari mong mawala ang access sa iyong naka-encrypt na data. Bukod pa rito, hindi lahat ng sistema o programa ay lubos na nasasamantala ang TPM, at palaging may posibilidad ng mga depekto sa implementasyon, mga bug, o mga kahinaan.
Para masuri kung ang iyong computer ay may aktibong TPM, maaari mong pindutin ang Win + R at patakbuhin tpm.mscKung bubuksan mo ang management console at makakakita ka ng status na tulad ng "TPM ready for use," nasa tamang landas ka. Kung makakakita ka ng error na nagpapahiwatig na hindi mahanap ang isang compatible na TPM, maaaring naka-disable ito sa BIOS/UEFI o maaaring wala nito ang iyong motherboard.
Gayunpaman, hindi kinakailangan ng BitLocker ang TPM bilang isang mandatoryong kinakailangan. Posible Gamitin ang BitLocker nang walang TPM sa pamamagitan ng pagpapagana ng isang patakaran Ang gpedit.msc file ay nagbibigay-daan sa iyo na mangailangan ng karagdagang authentication sa startup at paganahin ang paggamit nito nang walang TPM module. Sa mga kasong ito, ang pangunahing hakbang sa seguridad ay maaaring isang password o isang key na nakaimbak sa isang USB drive na dapat ay nakakonekta mo para mag-boot.
Paggamit ng BitLocker na mayroon at walang TPM sa system drive
Ang pag-encrypt ng disk kung saan naka-install ang operating system ay isang napakalakas na hakbang sa seguridad, ngunit nangangailangan ito ng ilang karagdagang pagsasaalang-alang. Lumilikha ang BitLocker ng maliit na hindi naka-encrypt na boot partition kung saan iniimbak nito ang mga file na kinakailangan upang simulan ang sistema, at ang pangunahing partisyon ng sistema ay nananatiling naka-encrypt hanggang sa ma-validate ang authentication.
Kung mayroon kang TPM, ang mainam na paraan ay pagsamahin ito sa isang karagdagang PIN o password sa "TPM + PIN" mode upang mapalakas ang proseso ng pag-boot. Sa ganitong paraan, kahit na manakaw ang buong computer mo, kakailanganin pa rin nila ang hardware at ang password na alam mo. Medyo malinaw na pinamamahalaan ng Windows ang kombinasyong ito.
Kapag walang TPM o ayaw mo itong gamitin, dapat mong gamitin ang patakarang "Require additional authentication at startup" sa mga operating system unit sa loob ng group policy editor. Paganahin ang opsyong payagan ang BitLocker nang walang TPMPapayagan ka ng wizard na gumamit ng password sa startup o isang USB drive na naglalaman ng file na may unlock key.
Sa sitwasyong ito, hihilingin sa iyo ng assistant na maglagay ng USB flash drive Para i-save ang boot key, o para magtakda ng kumplikadong password. Hindi maaaring tanggalin ang USB drive na ito habang isinasagawa ang proseso ng pag-encrypt o habang nagsisimulang mag-restart. Mainam din na isaayos ang boot order sa BIOS para hindi subukang mag-boot ang computer mula sa USB drive na naglalaman ng key.
Kapag nakumpleto na ang pag-encrypt at na-verify mo na tama ang pag-boot ng system, ipinapayong i-save ang mga kopya ng boot key na iyon (at ang recovery key) sa isang ligtas na lugar: isa pang naka-encrypt na device, isang password manager, o, kung ginagamit mo ito, ang iyong Microsoft/OneDrive account.
BitLocker at mga network: pag-uugali ng mga naka-encrypt na external drive
Ang isang detalyeng kadalasang nagdudulot ng pagdududa ay kung paano ito kumikilos isang external hard drive na naka-encrypt gamit ang BitLocker kapag ibinahagi sa isang networkMahalagang maunawaan na pinoprotektahan ng BitLocker ang direktang pisikal na pag-access sa device; hindi ito kumikilos bilang isang sistema ng pagpapatotoo sa network.
Nangangahulugan ito na hindi mo maaaring, halimbawa, ilagay ang iyong password sa BitLocker mula sa ibang remote computer para i-unlock ang drive. Ang unang dapat gawin ay i-unlock ang drive sa computer kung saan ito pisikal na nakakonektaPagkatapos nito, maaari mong ibahagi ang mga folder o ang buong volume gamit ang mga opsyon sa pagbabahagi ng file ng Windows.
Kapag naibahagi na, ia-access ng mga user ng network ang data gamit ang kanilang karaniwang mga kredensyal sa Windows (username/password ng network, NTFS at mga pahintulot sa pagbabahagi, atbp.), ngunit ang pag-encrypt ng BitLocker ay hahawakan ng computer na may konektadong drive. Kung ang computer na iyon ay magsasara o magla-lock ng drive, ang resource ay magiging hindi magagamit.
Mga recovery key at backup: ang iyong safety net
Sa bawat pagkakataong i-encrypt mo ang isang drive gamit ang BitLocker, bubuo ang wizard ng 48-digit na recovery keyIto ang iyong lifeline kapag nakalimutan mo ang iyong karaniwang password o kapag, dahil sa mga pagbabago sa hardware o firmware, nagpasya ang system na kailangan nitong humingi ng karagdagang key na iyon sa startup.
Nag-aalok ang Windows ng ilang paraan para i-save ang key na iyon: sa iyong Microsoft account (nakaimbak ito sa iyong OneDrive profile), sa isang hindi naka-encrypt na USB drive, sa isang text file, o direktang naka-print sa papel. Sa isip, hindi bababa sa dalawang pamamaraan ang dapat pagsamahin. at huwag na huwag mong iiwan ang tanging kopya ng key sa disk na iyong ini-encrypt.
Kung mag-e-encrypt ka ng maraming drive, ang bawat recovery key file ay may natatanging identifier sa pangalan nito (isang GUID) na tumutugma sa ipinapakita kapag hiniling sa iyo ng system ang key. Mahalagang mapanatili ang ugnayang ito upang malaman kung aling file ang tumutugma sa aling drive kung sakaling magkaroon ng emergency.
Higit pa sa BitLocker, ang tanging matibay na estratehiya laban sa mga pagkabigo ng hardware, katiwalian, o mga pagkukulang sa seguridad ay ang pagpapanatili kumpletong backup sa magkakahiwalay na deviceKung ang mga kopyang ito ay nakaimbak din sa isa pang naka-encrypt na disk o sa isang cloud service na nag-e-encrypt din ng data, magkakaroon ka ng napakataas na antas ng proteksyon laban sa pagkawala o pagnanakaw.
Tandaan na kung ang isang naka-encrypt na drive ay magdusa ng pisikal na pinsala, kahit na nagawa mong mabawi ang mga nakahiwalay na sektor gamit ang mga pamamaraan ng forensic, Kung wala ang mga tamang susi, mananatiling naka-encrypt ang datos na iyon. at hindi na mababasa ang mga ito. Kaya naman napakahalaga ng kombinasyon ng encryption at paulit-ulit na backup.
PowerShell at mga cmdlet para sa advanced na pamamahala ng BitLocker
Bukod sa graphical interface at sa manage-bde console utility, kasama rin sa Windows ang Mga cmdlet ng PowerShell na partikular sa BitLockerlubhang kapaki-pakinabang kapag gusto mong i-automate ang mga gawain o pamahalaan ang maraming unit nang sabay-sabay at sukatin ang disk I/O bawat proseso.
Ang pangunahing utos para tingnan ang katayuan ng mga yunit ay Get-BitLockerVolumena tumatanggap ng parameter na -MountPoint upang tukuyin ang isang partikular na drive. Ang pagdaragdag ng "| fl" sa dulo ay magbibigay sa iyo ng detalyadong output kasama ang lahat ng na-configure na protector, katayuan ng encryption, porsyento ng nakumpleto, atbp.
Para magdagdag ng iba't ibang uri ng proteksyon (password, recovery key, recovery password, o boot key), gagamitin mo ang Magdagdag ng BitLockerKeyProtector gamit ang mga naaangkop na parameter para sa bawat kaso (halimbawa, -PasswordProtector, -RecoveryKeyPath, -StartupKeyProtector…). Sa ganitong paraan, maihahanda mo ang isang drive kasama ang lahat ng paraan ng pag-unlock nito bago i-activate ang encryption.
Ang cmdlet na siyang tunay na nagsisimula ng encryption ay Paganahin-BitLockerIpapasa mo ang drive letter (-MountPoint) at ang mga proteksyon na gusto mong ilapat sa sandaling iyon sa utos na ito. Para ihinto o ipagpatuloy ang pag-encrypt, o para manu-manong i-lock o i-unlock ang isang volume, mayroon kang mga utos tulad ng Lock-BitLocker, Unlock-BitLocker, Enable-BitLockerAutoUnlock, o Disable-BitLockerAutoUnlock.
Panghuli, kung sa anumang punto ay magdesisyon kang ganap na i-decrypt ang isang disk at alisin ang BitLocker, gagamitin mo ang Huwag paganahin ang BitLockerMaaaring magtagal ang proseso depende sa laki ng drive at bilis ng hardware, ngunit kapag natapos na ito, babalik sa plain text ang volume at walang anumang kaugnay na protector.
Mga karaniwang problema sa BitLocker at kung paano lutasin ang mga ito
Bagama't isa itong medyo matatag na teknolohiya, ang BitLocker ay mayroon ding paminsan-minsang mga aberya. Isa sa mga pinakakaraniwan ay ang, pagkatapos ng pag-update ng BIOS, pagbabago ng hardware, o anumang pagbabago sa boot configuration, Magsisimulang hingin ng system ang recovery key sa bawat pagsisimula.
Ang karaniwang paraan para ayusin ito ay ang pag-boot nang isang beses sa pamamagitan ng pagpasok ng recovery key, at pagkatapos pansamantalang i-disable ang mga protector Gamit ang `manage-bde` (halimbawa, `manage-bde -protectors -disable C:`), gawin ang mga kinakailangang pagbabago at pagkatapos ay muling paganahin ang mga ito gamit ang `manage-bde -protectors -enable C:`. "Nirereset" nito ang tiwala ng TPM patungkol sa kasalukuyang estado ng makina.
Karaniwan ding makakita ng dilaw na tatsulok sa ibabaw ng drive sa Explorer o Device Manager, na nagpapahiwatig na ang BitLocker ay suspendido o may mga pagbabagong nakabinbin pagkatapos ng isang update. Sa mga kasong ito, karaniwang sapat na ang pumunta sa mga setting ng BitLocker ng apektadong drive at ipagpatuloy ang proteksyon, o gamitin ang manage-bde -resume C: sa isang console na may mga pribilehiyong administrator.
Kung ang mga mensahe ng error ay nagpapahiwatig ng mga problema sa TPM (mula sa tpm.msc o Device Manager), ipinapayong suriin sa BIOS/UEFI na Naka-enable ang TPM/Intel PTT/AMD fTPMI-update ang firmware at, kung kinakailangan, i-clear ang TPM mula sa iyong management console (na siyang magre-regenerate ng mga kaugnay na key at mangangailangan ng muling pag-configure ng BitLocker).
Bukod sa mga karaniwang kasong ito, ang susi ay huwag basta-basta i-activate ang encryption: palaging ipinapayong tiyakin na mayroon kang mga updated na backup at maraming kopya ng mga recovery key bago gumawa ng malalalim na pagbabago sa hardware o firmware.
Mga alternatibo sa BitLocker para sa pag-encrypt ng mga external drive
Hindi lahat ng computer ay may edisyon ng Windows na tugma sa BitLocker, at hindi palaging sulit na i-upgrade para lang sa feature na iyon. Sa mga sitwasyong iyon, maaari kang gumamit ng iba pang mga tool sa pag-encrypt para protektahan ang mga external hard drive at USB flash drive.
Isa sa mga pinakasikat ay ang VeraCrypt, isang libre at open-source na proyekto na nagpapahintulot sa pag-encrypt. buong disk, maluwag na partisyon, o mga lalagyan (mga file na nagsisilbing naka-encrypt na virtual disk). Sinusuportahan nito ang mga algorithm tulad ng AES, Serpent, o Twofish at mga modernong mode tulad ng XTS, na ginagawa itong napaka-flexible at cross-platform.
Ang isa pang pagpipilian ay ang mga programang nakatuon sa i-encrypt ang mga partikular na folder, tulad ng Anvi Folder Locker o Hook Folder Locker. Iba ang kanilang pamamaraan: sa halip na i-encrypt ang buong drive, pipili ka ng mga partikular na direktoryo, bibigyan ang mga ito ng master password, at ang programa ang bahala sa pag-lock o pag-unlock ng access kung kinakailangan.
Kung mas gusto mong manatili sa loob ng ecosystem ng Windows nang walang BitLocker, mayroon ding EFS (Encrypted File System), na nagbibigay-daan sa iyong i-encrypt ang mga file at folder na nauugnay sa isang partikular na user. Mabilis at medyo maginhawa ito, ngunit Hindi ito kasingtatag o kasing-independiyente ng sistema. Tulad ng BitLocker: ang susi ay nakaimbak sa mismong operating system, maaaring may mga labi ng impormasyon sa mga cache o pansamantalang sektor, at kung may mag-access sa iyong sesyon sa Windows, makikita nila ang data sa simpleng teksto.
Samakatuwid, kapag mayroon kang opsyon, ang pinakamahusay na paraan upang i-encrypt ang mga external drive ay ang paggamit ng BitLocker o, kung hindi, VeraCrypt. Ang mga EFS at folder utilities ay maaari lamang gamitin bilang pansamantalang hakbang, ngunit hindi nito pinapalitan ang buong drive encryption kapag gusto mong protektahan ang isang buong disk.
Sa pangkalahatan, ang pagkakaroon ng mahusay na encryption scheme sa iyong mga external drive, pagsasama-sama nito sa mga regular na backup, at pagkakaroon ng mahusay na pag-unawa sa kung paano gumagana ang mga recovery key ay nagbibigay-daan sa iyo na hawakan ang sensitibong impormasyon nang may higit na kapanatagan ng loob kapwa sa iyong pang-araw-araw na buhay at kapag pisikal mong inilalabas ang mga device na iyon sa iyong bahay o opisina.
Masigasig na manunulat tungkol sa mundo ng mga byte at teknolohiya sa pangkalahatan. Gustung-gusto kong ibahagi ang aking kaalaman sa pamamagitan ng pagsusulat, at iyon ang gagawin ko sa blog na ito, ipakita sa iyo ang lahat ng mga pinaka-kagiliw-giliw na bagay tungkol sa mga gadget, software, hardware, teknolohikal na uso, at higit pa. Ang layunin ko ay tulungan kang mag-navigate sa digital na mundo sa simple at nakakaaliw na paraan.