رمزگذاری دیسک ویندوز 10 راه های غیرفعال کردن Bitlocker

به گفته کارشناسان، سرقت لپ تاپ است که یکی از مشکلات اصلی در حوزه امنیت اطلاعات (IS) است.

بر خلاف سایر تهدیدات امنیت سایبری، ماهیت مشکلات "لپ تاپ دزدیده شده" یا "درایو فلش دزدیده شده" نسبتا ابتدایی است. و اگر هزینه دستگاه های ناپدید شده به ندرت از چند هزار دلار آمریکا تجاوز کند، ارزش اطلاعات ذخیره شده روی آنها اغلب به میلیون ها نفر اندازه گیری می شود.

بر اساس گزارش Dell و موسسه Ponemon، سالانه 637000 لپ تاپ تنها در فرودگاه های ایالات متحده گم می شود. و تصور کنید که چند درایو فلش ناپدید می شوند، زیرا آنها بسیار کوچکتر هستند، و انداختن یک فلش درایو تصادفی به آسانی شلیک گلابی است.

زمانی که یک لپ تاپ متعلق به یکی از مدیران ارشد یک شرکت بزرگ مفقود می شود، خسارت یک چنین سرقتی می تواند به ده ها میلیون دلار برسد.

چگونه از خود و شرکت خود محافظت کنید؟

در ادامه سری مقالات در مورد امنیت دامنه ویندوز می پردازیم. در مقاله اول این مجموعه، در مورد راه اندازی ورود به دامنه امن و در مقاله دوم، در مورد راه اندازی انتقال امن داده در سرویس گیرنده ایمیل صحبت کردیم:

1. چگونه از یک توکن برای ایمن تر کردن دامنه ویندوز استفاده کنیم؟ قسمت 1 .
2. چگونه از یک توکن برای ایمن تر کردن دامنه ویندوز استفاده کنیم؟ قسمت 2 .

در این مقاله در مورد راه اندازی رمزگذاری اطلاعات ذخیره شده در هارد دیسک صحبت خواهیم کرد. متوجه خواهید شد که چگونه مطمئن شوید که هیچ کس جز شما نمی تواند اطلاعات ذخیره شده در رایانه شما را بخواند.

تعداد کمی از مردم می دانند که ویندوز دارای ابزارهای داخلی است که به شما کمک می کند اطلاعات را به صورت ایمن ذخیره کنید. بیایید یکی از آنها را در نظر بگیریم.

مطمئناً برخی از شما کلمه "BitLocker" را شنیده اید. ببینیم چیه

BitLocker چیست؟

BitLocker (نام دقیق BitLocker Drive Encryption) یک فناوری برای رمزگذاری محتویات درایوهای رایانه است که توسط مایکروسافت توسعه یافته است. اولین بار در ویندوز ویستا ظاهر شد.

با استفاده از BitLocker، امکان رمزگذاری حجم هارد دیسک وجود داشت، اما بعداً، در ویندوز 7، فناوری مشابه BitLocker To Go ظاهر شد که برای رمزگذاری درایوهای قابل جابجایی و درایوهای فلش طراحی شده است.

BitLocker یک ویژگی استاندارد نسخه های Windows Professional و Server ویندوز است، به این معنی که در حال حاضر برای اکثر موارد استفاده سازمانی در دسترس است. در غیر این صورت، باید لایسنس ویندوز خود را به Professional ارتقا دهید.

BitLocker چگونه کار می کند؟

این فناوری مبتنی بر رمزگذاری با حجم کامل است که با استفاده از الگوریتم AES (Advanced Encryption Standard) انجام می شود. کلیدهای رمزگذاری باید به طور ایمن ذخیره شوند و مکانیسم های مختلفی در BitLocker برای این کار وجود دارد.

ساده ترین و در عین حال ناامن ترین روش رمز عبور است. کلید هر بار به همین صورت از رمز عبور گرفته می شود و بر این اساس اگر شخصی رمز شما را پیدا کند، کلید رمزگذاری مشخص می شود.

برای اینکه کلید در متن واضح ذخیره نشود، می توان آن را در یک TPM (ماژول پلتفرم قابل اعتماد) یا روی یک رمز رمزنگاری یا کارت هوشمند که از الگوریتم RSA 2048 پشتیبانی می کند، رمزگذاری کرد.

TPM یک تراشه است که برای اجرای عملکردهای اساسی مرتبط با امنیت، عمدتاً با استفاده از کلیدهای رمزگذاری طراحی شده است.

ماژول TPM معمولاً روی مادربرد رایانه نصب می شود، با این حال، خرید رایانه با ماژول TPM داخلی در روسیه بسیار دشوار است، زیرا واردات دستگاه های بدون اطلاع رسانی FSB به کشور ما ممنوع است.

استفاده از کارت هوشمند یا توکن برای باز کردن قفل درایو یکی از ایمن‌ترین راه‌ها برای کنترل اینکه چه کسی و چه زمانی یک فرآیند مشخص را انجام می‌دهد است. برای باز کردن قفل در این حالت، هم خود کارت هوشمند و هم پین کد آن مورد نیاز است.

BitLocker چگونه کار می کند:

1. هنگامی که BitLocker با استفاده از یک مولد اعداد شبه تصادفی فعال می شود، یک دنباله بیت اصلی تولید می شود. این کلید رمزگذاری صدا - FVEK (کلید رمزگذاری حجم کامل) است. محتویات هر بخش را رمزگذاری می کند. کلید FVEK در شدیدترین حالت محرمانه نگهداری می شود.
2. FVEK با استفاده از کلید VMK (کلید اصلی صدا) رمزگذاری می شود. کلید FVEK (رمزگذاری شده با کلید VMK) روی دیسک در فراداده حجم ذخیره می شود. با این حال، هرگز نباید به صورت رمزگشایی شده روی دیسک قرار گیرد.
3. خود VMK نیز رمزگذاری شده است. روش رمزگذاری توسط کاربر انتخاب می شود.
4. VMK به طور پیش‌فرض با SRK (کلید ریشه ذخیره‌سازی) رمزگذاری می‌شود که روی یک کارت هوشمند رمزنگاری یا توکن ذخیره می‌شود. به طور مشابه، این اتفاق برای TPM رخ می دهد.
   به هر حال، کلید رمزگذاری درایو سیستم در BitLocker با استفاده از کارت هوشمند یا توکن قابل محافظت نیست. این به این دلیل است که کتابخانه‌های فروشنده برای دسترسی به کارت‌های هوشمند و توکن‌ها استفاده می‌شوند و البته قبل از بارگیری سیستم‌عامل در دسترس نیستند.
   اگر TPM وجود ندارد، BitLocker پیشنهاد می کند که کلید پارتیشن سیستم را روی یک درایو فلش USB ذخیره کنید، که البته بهترین ایده نیست. اگر سیستم شما TPM ندارد، رمزگذاری درایوهای سیستم را توصیه نمی کنیم.
   به طور کلی، رمزگذاری درایو سیستم ایده بدی است. هنگامی که به درستی پیکربندی شود، تمام داده های مهم جدا از داده های سیستم نگهداری می شوند. این حداقل از نظر پشتیبان گیری آنها راحت تر است. به علاوه، رمزگذاری فایل های سیستم عملکرد سیستم را به طور کلی کاهش می دهد و عملکرد یک دیسک سیستم رمزگذاری نشده با فایل های رمزگذاری شده بدون کاهش سرعت انجام می شود.
5. کلیدهای رمزگذاری برای سایر درایوهای غیر سیستمی و قابل جابجایی را می توان با استفاده از کارت هوشمند یا توکن و همچنین TPM محافظت کرد.
   اگر TPM یا کارت هوشمند وجود ندارد، به جای SRK، از یک کلید تولید شده بر اساس رمز عبوری که وارد کرده اید برای رمزگذاری کلید VMK استفاده می شود.

هنگامی که از یک دیسک راه‌اندازی رمزگذاری شده راه‌اندازی می‌شود، سیستم تمام کلیدهای ذخیره‌سازی ممکن را بررسی می‌کند - TPM را بررسی می‌کند، پورت‌های USB را بررسی می‌کند، یا در صورت لزوم از کاربر درخواست می‌کند (که به آن بازیابی می‌گویند). کشف Keystore به ویندوز اجازه می دهد تا VMK را رمزگشایی کند، که FVEK را رمزگشایی می کند، که قبلاً داده ها را روی دیسک رمزگشایی می کند.

هر بخش از حجم به طور جداگانه رمزگذاری می شود و بخشی از کلید رمزگذاری توسط شماره بخش تعیین می شود. در نتیجه، دو بخش حاوی داده‌های رمزگذاری نشده یکسان به شکل رمزگذاری‌شده متفاوت به نظر می‌رسند، که فرآیند تعیین کلیدهای رمزگذاری را با نوشتن و رمزگشایی داده‌های شناخته شده قبلی بسیار پیچیده می‌کند.

علاوه بر FVEK، VMK، و SRK، BitLocker از نوع دیگری از کلید استفاده می کند که "فقط در مورد" تولید می شود. اینها کلیدهای بازیابی هستند.

برای مواقع اضطراری (کاربر رمز را گم کرده، پین خود را فراموش کرده است، و غیره)، BitLocker ایجاد یک کلید بازیابی را در آخرین مرحله پیشنهاد می‌کند. امتناع از ایجاد آن در سیستم ارائه نشده است.

چگونه رمزگذاری داده ها را در هارد دیسک فعال کنیم؟

قبل از ادامه روند رمزگذاری حجم ها در هارد دیسک، مهم است که در نظر داشته باشید که این روش مدتی طول می کشد. مدت زمان آن به میزان اطلاعات موجود در هارد دیسک بستگی دارد.

اگر هنگام رمزگذاری یا رمزگشایی رایانه شما خاموش شود یا در حالت خواب زمستانی قرار گیرد، دفعه بعد که ویندوز را راه اندازی کردید، این فرآیندها از همان جایی که متوقف شدند ادامه خواهند یافت.

حتی در طی فرآیند رمزگذاری، می توان از سیستم ویندوز استفاده کرد، اما بعید است که بتواند شما را با عملکرد خود راضی کند. در نتیجه، پس از رمزگذاری، عملکرد دیسک حدود 10٪ کاهش می یابد.

اگر BitLocker در سیستم شما موجود است، پس از کلیک راست بر روی نام درایوی که می خواهید رمزگذاری کنید، مورد در منوی باز شده ظاهر می شود. BitLocker را روشن کنید.

در نسخه های سرور ویندوز، باید یک نقش اضافه کنید رمزگذاری درایو BitLocker.

بیایید پیکربندی رمزگذاری حجم غیر سیستمی را شروع کنیم و از کلید رمزگذاری با استفاده از یک نشانه رمزنگاری محافظت کنیم.

ما از توکن تولید شده توسط شرکت اکتیو استفاده خواهیم کرد. به ویژه، توکن Rutoken EDS PKI.

I. Rutoken EDS PKI را برای کار آماده کنید.

در اکثر سیستم‌های ویندوز با پیکربندی معمولی، پس از اولین اتصال Rutoken EDS PKI، یک کتابخانه ویژه برای کار با توکن‌های تولید شده توسط Aktiv - Aktiv Rutoken minidriver به طور خودکار دانلود و نصب می‌شود.

مراحل نصب چنین کتابخانه ای به شرح زیر است.

وجود کتابخانه minidriver Aktiv Rutoken را می توان از طریق بررسی کرد مدیریت دستگاه.

اگر به دلایلی دانلود و نصب کتابخانه انجام نشد، باید کیت Rutoken Drivers for Windows را نصب کنید.

II. اطلاعات روی درایو را با استفاده از BitLocker رمزگذاری کنید.

روی نام دیسک کلیک کرده و مورد را انتخاب کنید BitLocker را روشن کنید.

همانطور که قبلاً گفتیم، از یک توکن برای محافظت از کلید رمزگذاری دیسک استفاده خواهیم کرد.
درک این نکته مهم است که برای استفاده از رمز یا کارت هوشمند با BitLocker، باید حاوی کلیدهای RSA 2048 و یک گواهی باشد.

اگر از سرویس Certificate Authority در یک دامنه Windows استفاده می کنید، الگوی گواهی باید شامل محدوده گواهی "Disk Encryption" باشد (اطلاعات بیشتر در مورد راه اندازی Certificate Authority در قسمت اول سری مقالات ما در مورد امنیت دامنه Windows).

اگر دامنه ندارید یا نمی توانید خط مشی صدور گواهی را تغییر دهید، می توانید از مسیر جایگزین استفاده کنید، با استفاده از یک گواهی خودامضا، جزئیات نحوه صدور گواهی خود امضا شده برای خود شرح داده شده است.
حالا بیایید کادر مربوطه را بررسی کنیم.

در مرحله بعد روشی را برای ذخیره کلید بازیابی انتخاب می کنیم (توصیه می کنیم انتخاب کنید کلید بازیابی را چاپ کنید).

یک تکه کاغذ با کلید بازیابی چاپ شده باید در مکانی امن و ترجیحاً در گاوصندوق نگهداری شود.

مرحله بعدی شروع فرآیند رمزگذاری دیسک است. پس از تکمیل این فرآیند، ممکن است لازم باشد سیستم خود را مجددا راه اندازی کنید.

هنگامی که رمزگذاری فعال است، نماد دیسک رمزگذاری شده تغییر می کند.

و حالا وقتی می‌خواهیم این درایو را باز کنیم، سیستم از شما می‌خواهد یک توکن وارد کنید و پین آن را وارد کنید.

استقرار و پیکربندی BitLocker و TPM را می توان با استفاده از ابزار WMI یا اسکریپت های Windows PowerShell خودکار کرد. نحوه پیاده سازی اسکریپت ها به محیط بستگی دارد. دستورات BitLocker در Windows PowerShell در مقاله توضیح داده شده است.

در صورت گم شدن توکن چگونه اطلاعات رمزگذاری شده توسط BitLocker را بازیابی کنیم؟

اگر می خواهید داده های رمزگذاری شده را در ویندوز باز کنید

برای انجام این کار، به کلید بازیابی نیاز دارید که قبلاً چاپ کردیم. کافی است آن را در قسمت مربوطه وارد کنید تا قسمت رمزگذاری شده باز شود.

اگر می خواهید داده های رمزگذاری شده را در سیستم های گنو/لینوکس و مک او اس ایکس باز کنید

این به ابزار DisLocker و یک کلید بازیابی نیاز دارد.

ابزار DisLocker در دو حالت کار می کند:

• FILE - کل پارتیشن رمزگذاری شده با BitLocker در یک فایل رمزگشایی می شود.
• FUSE - فقط بلوکی که سیستم به آن دسترسی دارد رمزگشایی می شود.

به عنوان مثال، ما از سیستم عامل لینوکس و حالت کاربردی FUSE استفاده خواهیم کرد.

در نسخه های اخیر توزیع های رایج لینوکس، بسته dislocker قبلاً در توزیع گنجانده شده است، به عنوان مثال در اوبونتو از نسخه 16.10.

اگر به دلایلی بسته dislocker وجود نداشت، باید ابزار را دانلود کرده و آن را کامپایل کنید:

tar -xvjf dislocker.tar.gz

بیایید فایل INSTALL.TXT را باز کنیم و بررسی کنیم که کدام بسته ها را باید نصب کنیم.

در مورد ما، ما باید بسته libfuse-dev را نصب کنیم:

sudo apt-get نصب libfuse-dev

بیایید ساخت بسته را شروع کنیم. بیایید به پوشه src برویم و از دستور make and make install استفاده کنیم:

cd src/ make make install

وقتی همه چیز کامپایل شد (یا بسته را نصب کردید)، شروع به تنظیم آن می کنیم.

بیایید به پوشه mnt برویم و دو پوشه در آن ایجاد کنیم:

• Encrypted-partition- برای یک پارتیشن رمزگذاری شده.
• پارتیشن رمزگشایی - برای پارتیشن رمزگشایی شده.

cd /mnt mkdir پارتیشن رمزگذاری شده mkdir پارتیشن رمزگشایی شده

بیایید پارتیشن رمزگذاری شده را پیدا کنیم. بیایید با استفاده از ابزار آن را رمزگشایی کنیم و به پوشه Encrypted-partition منتقل کنیم:

dislocker -r -V /dev/sda5 -p recovery_key /mnt/Encrypted-partition(کلید بازیابی خود را جایگزین recovery_key کنید)

بیایید لیستی از فایل ها را در پوشه پارتیشن رمزگذاری شده نمایش دهیم:

ls Encrypted-partition/

دستور نصب پارتیشن را وارد کنید:

mount -o loop Driveq/dislocker-file Decrypted-partition/

برای مشاهده پارتیشن رمزگشایی شده، به پوشه Encrypted-partition برویم.

خلاصه کردن

فعال کردن رمزگذاری حجم با BitLocker بسیار ساده است. همه اینها بدون زحمت و رایگان انجام می شود (البته به شرطی که نسخه حرفه ای یا سرور ویندوز را داشته باشید).

برای محافظت از کلید رمزگذاری که درایو را رمزگذاری می کند، می توانید از رمز رمزنگاری یا کارت هوشمند استفاده کنید که سطح امنیت را به میزان قابل توجهی افزایش می دهد.

برای رمزگذاری داده های شخصی شما و به طور خاص تر، نرم افزار شخص ثالث می توان از روش های زیادی استفاده کرد. اما چرا، اگر BitLocker از مایکروسافت وجود دارد. متأسفانه برخی از افراد پس از رمزگذاری با BitLocker در بازیابی فایل ها با مشکل مواجه می شوند. هنگام رمزگذاری BitLocker، باید یک کلید بازیابی خاص ایجاد کنید، باید آن را ذخیره کنید، و مهم نیست در کجا، چیز اصلی امن است. می‌توانید آن را با استفاده از یک حساب کاربری چاپ کنید یا ذخیره کنید، اما نه محلی، بلکه از مایکروسافت. اگر دیسک خود را باز نمی کند، باید از همان کلید استفاده کنید، در غیر این صورت هیچ چیز.

اما مواردی نیز وجود دارد که کلید گم می شود. آن وقت چه باید کرد؟ گاهی اوقات ممکن است برای ورود به سیستم رمز عبور را فراموش کنید که فرآیند رمزگشایی را بسیار دشوار می کند. بیایید سعی کنیم همه این مشکلات را مطالعه کنیم و نحوه ادامه کار را درک کنیم. این مقاله باید به شما در حل مشکلات BitLocker کمک کند .

چند مقاله در مورد رمزگذاری داده ها:

با کلید بازیابی چه کار کنیم، اگر گم شود چه کنیم؟

پس عامل انسانی چنان چیزی است که وقتی صحبت از حافظه می شود که در یک لحظه بسیار ضروری است، ما را از کار می اندازد. شما فراموش کرده اید که کلید بازیابی را کجا قرار داده اید، سپس به یاد بیاورید که چگونه آن را در BitLocker ذخیره کرده اید. از آنجایی که این ابزار سه راه برای ذخیره کلید ارائه می دهد - چاپ، ذخیره در یک فایل و ذخیره در یک حساب. در هر صورت باید یکی از این روش ها را انتخاب می کردید.

بنابراین، اگر کلید را در حساب خود ذخیره کرده اید، باید از مرورگر به OneDrive بروید و وارد بخش شوید. "کلیدهای بازیابی BitLocker". ما با اعتبار خود وارد می شویم. کلید قطعا وجود خواهد داشت، مشروط بر اینکه آن را در آنجا آپلود کرده باشید. اگر وجود ندارد، شاید آن را در حساب دیگری ذخیره کرده اید؟

این اتفاق می افتد که کاربر بیش از یک کلید ایجاد می کند، سپس می توانید با استفاده از شناسه در ابزار BitLocker یک کلید خاص را تعیین کنید و آن را با یکی از کلید مقایسه کنید، اگر مطابقت دارند، این کلید صحیح است.

اگر کامپیوتر به دلیل BitLocker نمی خواهد به سیستم بوت شود؟

فرض کنید درایو سیستم را رمزگذاری کرده اید و مشکلی وجود دارد که در آن سیستم نمی خواهد قفل را باز کند، پس احتمالاً نوعی مشکل در ماژول TPM وجود دارد. باید قفل سیستم را به طور خودکار باز کند. اگر این درست باشد، تصویری جلوی چشمان شما ظاهر می شود که در آن نوشته شده است: و از شما خواسته می شود که کلید بازیابی را وارد کنید. و اگر آن را ندارید، زیرا آن را گم کرده اید، بعید است که بتوانید وارد سیستم شوید. به احتمال زیاد فقط نصب مجدد سیستم کمک خواهد کرد. تا به حال، من نمی دانم چگونه می توان قفل بیت لاکر را بدون کلید باز کرد، اما سعی می کنم این موضوع را بررسی کنم.

چگونه درایوهای رمزگذاری شده BitLocker را در ویندوز باز کنیم؟

اگر چند پارتیشن یا هارد اکسترنال رمزگذاری شده با BitLocker دارید، اما باید قفل آن را باز کنید، سعی می کنم کمک کنم.

دستگاه را به رایانه شخصی (اگر خارجی است) وصل کنید. "کنترل پنل" را راه اندازی کنید، می توانید از جستجو، و به بخش "سیستم و امنیت" بروید. بخش را پیدا کنید "رمزگذاری درایو BitLocker". به هر حال، این عملیات فقط در نسخه های PRO قابل انجام است، این را در نظر داشته باشید.

درایوی را که رمزگذاری کرده اید و می خواهید رمزگشایی کنید را از لیست پیدا کنید. روی گزینه کنار کلیک کنید "باز کردن قفل درایو".

اکنون اطلاعات بازگشایی مورد نیاز (پین یا رمز عبور) را وارد کنید. آیا این داده ها را ندارید؟ آیا آنها را به خاطر می آورید؟ سپس کلیک کنید "گزینه های اضافی"و مورد را انتخاب کنید.

به عنوان جمع بندی می خواهم یک نکته را بگویم. اگر رمز عبور یا کد پین خود را گم کردید، می توانید با استفاده از کلید بازیابی، دسترسی به درایو را بازیابی کنید، این 100٪ است. باید آن را در مکانی امن نگهداری کنید و همیشه به یاد داشته باشید که کجاست. اگر این کلید را گم کرده اید، می توانید با داده های خود خداحافظی کنید. تاکنون روشی پیدا نکرده ام که بتوانید بیت لاکر را بدون کلید رمزگشایی کنید.

اگر رایانه شما از ویندوز 10 پرو یا اینترپرایز استفاده می کند، می توانید از ویژگی BitLocker استفاده کنید که اطلاعات روی هارد دیسک شما را رمزگذاری می کند. درباره نحوه تنظیم آن بیشتر بدانید.

یکی از ویژگی های اضافی که با ویندوز 10 پرو دریافت می کنید، برخلاف Home، BitLocker است. این امکان را به شما می دهد تا داده ها را روی هارد دیسک خود رمزگذاری کنید تا هیچ کس نتواند بدون وارد کردن رمز عبور به آن دسترسی پیدا کند.

اگر شخصی درایو را از رایانه شما حذف کند و سعی کند از طریق دیگری به آن دسترسی پیدا کند، محتویات قابل خواندن نخواهد بود. این یک ابزار مفید برای دور نگه داشتن اطلاعات خصوصی از چشم کنجکاو است، اما معایب و الزاماتی وجود دارد که قبل از فعال کردن این ویژگی باید از آنها آگاه باشید:

1. BitLocker عملکرد را کاهش می دهد، به خصوص در هنگام استفاده از رمزگذاری مبتنی بر نرم افزار.
2. اگر رمز عبور خود را فراموش کنید، نمی توانید به فایل های خود دسترسی پیدا کنید.
3. برای محافظت بهتر، از کلید راه اندازی TPM استفاده می شود.
4. همچنین باید بدانید که یک جایگزین برای BitLocker وجود دارد: یک SSD با رمزگذاری کامل دیسک. محتوا به صورت خودکار رمزگذاری می شود.

به عنوان یک قاعده، رمزگذاری به طور پیش فرض فعال نیست، بنابراین ممکن است لازم باشد نرم افزار سازنده (به عنوان مثال، جادوگر سامسونگ) را دانلود کنید. در حین نصب ممکن است برنامه از شما بخواهد که دیسک را فرمت کنید، سپس باید داده ها را در رسانه دیگری ذخیره کنید و اگر این پارتیشن سیستم C است، ویندوز را مجددا نصب کنید.

آیا برای BitLocker به کلید TPM نیاز دارم؟

کلید اختیاری است، BitLocker از روش نرم افزاری استفاده می کند که ایمن نیست.

حالت برنامه عملکرد خواندن و نوشتن را کاهش می دهد. با رمزگذاری سخت افزاری، باید هر بار که کامپیوتر خود را بوت می کنید، یک دستگاه USB را با یک کلید متصل کنید و رمز عبور را وارد کنید. هنگام استفاده از کلید، بایوس باید از بوت شدن از دستگاه های USB پشتیبانی کند.

برای بررسی اینکه آیا رایانه شما با BitLocker در ویندوز 10 نسخه 1803 یا بالاتر سازگار است، Windows Defender Security Center را باز کنید، تب Device Security را انتخاب کنید.

برای فعال کردن حفاظت، کنترل پنل را باز کنید و به بخش رمزگذاری درایو BitLocker بروید.

درایو را از لیستی که اطلاعات شخصی شما در آن ذخیره می شود انتخاب کنید و روی پیوند "Turn on BitLocker" کلیک کنید.

راه دیگر برای فعال کردن رمزگذاری این است که File Explorer را باز کنید، به تب "This PC" بروید و روی هر دیسک سخت کلیک راست کنید.

سپس دستورالعمل های روی صفحه را دنبال کنید تا محافظت از دیسک را تنظیم کنید.

اگر دیسک در حال حاضر به اندازه کافی پر شده باشد، این روند زمان زیادی طول خواهد کشید

پس از فعال کردن محافظت، یک نماد قفل در درایو در Explorer ظاهر می شود.

رمزگذاری سخت افزاری یا نرم افزاری

تابع از هر دو روش پشتیبانی می کند. اگر رمزگذاری سخت افزار TPM را فعال کنید، می توانید کل درایو را رمزگذاری کنید.

هنگامی که تصمیم به رمزگذاری یک جلد (یعنی یک یا چند پارتیشن) دارید، از رمزگذاری نرم افزاری استفاده کنید. اگر رایانه شما الزامات BitLocker را برآورده نمی کند، می توانید از روش برنامه نویسی استفاده کنید.

اگر کامپیوتر من با BitLocker سازگار نیست چه کار کنم

اگر به‌جای راه‌اندازی جادوگر نصب، اعلانی شبیه به زیر مشاهده کردید، می‌توانید آن را دور بزنید.

اخطار لزوماً به معنای ناسازگاری تجهیزات نیست. گزینه های مربوطه در BIOS ممکن است فعال نباشند. Bios/UEFI را باز کنید، تنظیمات TPM را پیدا کنید و مطمئن شوید که فعال است.

اگر کامپیوتر روی مادربرد AMD ساخته شده باشد، پارامتر در قسمت PSP قرار دارد. این پلتفرم امنیتی پردازنده است که در خود تراشه پردازنده یکپارچه شده است، مانند Ryzen که به جای TPM دارای یک ماژول امنیتی است.

لطفاً توجه داشته باشید، در ژانویه 2018، AMD PSP دارای یک حفره امنیتی بود، بنابراین به‌روزرسانی‌های میان‌افزار (ارائه شده از طریق به‌روزرسانی‌های امنیتی ویندوز) غیرفعال هستند. در این صورت نمی توانید از حالت سخت افزاری استفاده کنید.

هنگام فعال کردن حالت برنامه‌نویسی، که عملکرد خواندن/نوشتن را کاهش می‌دهد، از ویرایشگر خط‌مشی گروه محلی استفاده کنید.

کلید Windows + R را فشار دهید، gpedit.msc را تایپ کنید.

در قسمت سمت چپ مسیر را دنبال کنید:

پیکربندی کامپیوتر - الگوهای اداری - اجزای ویندوز - رمزگذاری درایو BitLocker - درایوهای سیستم عامل.

در سمت راست پنجره، روی "این تنظیم خط مشی به شما اجازه می دهد تا نیاز برای احراز هویت اضافی در هنگام راه اندازی را پیکربندی کنید" دوبار کلیک کنید. در پنجره ای که باز می شود، مقدار را روی "Enable" تنظیم کنید و "Allow the use of BitLocker without a compatible TPM" را علامت بزنید.

Bitlocker یک برنامه باج افزار است که برای اولین بار در ویندوز 7 ظاهر شد. می توان از آن برای رمزگذاری حجم هارد دیسک (حتی پارتیشن سیستم)، درایوهای فلش USB و MicroSD استفاده کرد. اما اغلب اتفاق می افتد که کاربر به سادگی رمز ورود به داده های رمزگذاری شده Bitlocker را فراموش می کند. نحوه باز کردن قفل اطلاعات در یک رسانه رمزگذاری شده را در چارچوب این مقاله بخوانید.

خود برنامه راه هایی را برای رمزگشایی داده ها در مرحله ایجاد قفل پیشنهاد می کند:

1. درایو را برای رمزگذاری آماده کنید. روی آن کلیک راست کرده و «Enable Bitlocker» را انتخاب کنید.
2. یک روش رمزگذاری را انتخاب کنید.
   معمولاً یک رمز عبور برای باز کردن قفل تنظیم می شود. اگر یک کارت خوان هوشمند USB با تراشه معمولی ISO 7816 دارید، می توانید از آن برای باز کردن قفل استفاده کنید.
   برای رمزگذاری، گزینه ها به طور جداگانه و هر دو به طور همزمان در دسترس هستند.
3. در مرحله بعدی، Drive Encryption Wizard گزینه هایی برای پشتیبان گیری از کلید بازیابی ارائه می دهد. در کل سه مورد وجود دارد:
   
4. هنگامی که گزینه ذخیره کلید بازیابی را انتخاب کردید، بخشی از درایو را که می خواهید رمزگشایی کنید، انتخاب کنید.
   
5. قبل از شروع رمزگذاری داده ها، پنجره ای ظاهر می شود که شما را در مورد فرآیند مطلع می کند. روی Start Encryption کلیک کنید.
   
6. کمی صبر کنید تا مراحل تکمیل شود.
7. درایو اکنون رمزگذاری شده است و پس از اتصال اولیه به رمز عبور (یا کارت هوشمند) نیاز دارد.
   

مهم! می توانید روش رمزگذاری را انتخاب کنید. Bitlocker از رمزگذاری 128 و 256 بیتی XTS AES و AES-CBC پشتیبانی می کند.

تغییر روش رمزگذاری درایو

در ویرایشگر خط مشی گروه محلی (که توسط Windows 10 Home پشتیبانی نمی شود)، می توانید روش رمزگذاری را برای درایوهای داده انتخاب کنید. پیش‌فرض XTS AES 128 بیت برای درایوهای غیر قابل جابجایی و AES-CBC 128 بیت برای هارد دیسک‌ها و درایوهای فلش قابل جابجایی است.

برای تغییر روش رمزگذاری:

پس از تغییر خط مشی، Bitlocker قادر خواهد بود از یک رسانه جدید با پارامترهای انتخاب شده با رمز عبور محافظت کند.

چگونه قفل را باز کنیم؟

فرآیند قفل دو راه برای دسترسی بیشتر به محتویات درایو ارائه می دهد: رمز عبور و اتصال کارت هوشمند. اگر رمز عبور خود را فراموش کرده اید یا دسترسی به کارت هوشمند را از دست داده اید (یا بهتر است بگوییم اصلاً از آن استفاده نکرده اید)، همچنان باید از کلید بازیابی استفاده کنید. هنگام محافظت از رمز عبور یک درایو فلش، لزوماً ایجاد می شود، بنابراین می توانید آن را پیدا کنید:

1. روی یک ورق کاغذ چاپ شده است. شاید شما آن را با اسناد مهم قرار داده اید.
2. در یک سند متنی (یا در درایو فلش USB، اگر پارتیشن سیستم رمزگذاری شده باشد). درایو فلش USB را در رایانه خود قرار دهید و دستورالعمل ها را دنبال کنید. اگر کلید در یک فایل متنی ذخیره شده است، آن را در یک دستگاه رمزگذاری نشده بخوانید.
3. در حساب مایکروسافت. در قسمت «کلیدهای بازیابی Bitlocker» وارد پروفایل خود در سایت شوید.

بعد از اینکه کلید بازیابی را پیدا کردید:

1. روی رسانه قفل شده کلیک راست کرده و "Unlock Drive" را انتخاب کنید.
2. پنجره ای برای وارد کردن رمز عبور Bitlocker در گوشه سمت راست بالای صفحه ظاهر می شود. روی "گزینه های پیشرفته" کلیک کنید.
   
3. Enter Recovery Key را انتخاب کنید.
4. کلید 48 کاراکتری را کپی یا بازنویسی کنید و روی باز کردن قفل کلیک کنید.
5. پس از آن، داده های رسانه برای خواندن در دسترس خواهند بود.

رمزگذاری به طور پیش فرض فعال است، گاهی اوقات نه - به طور کلی، همه چیز پیچیده است. در این مقاله به شما خواهیم گفت که چگونه می توانید بررسی کنید که آیا داده های روی دیسک رمزگذاری شده است یا خیر، و اگر نه، چگونه رمزگذاری را فعال کنید. توجه داشته باشید که این امر نه تنها برای محافظت در برابر نظارت توسط سرویس های ویژه جهان ضروری است. رمزگذاری به محافظت از داده های حساس در صورت سرقت رایانه شما کمک می کند.

برخلاف سایر سیستم عامل های مدرن - Mac OS X، Chrome OS، iOS و Android - هنوز هیچ ابزار رمزگذاری جهانی در ویندوز 10 برای همه کاربران وجود ندارد. شما باید نرم افزار رمزگذاری شخص ثالث را بخرید یا از آن استفاده کنید.

رمزگذاری دستگاه

بسیاری از رایانه های شخصی ویندوز 10 جدید دارای «رمزگذاری دستگاه» به طور پیش فرض فعال هستند. این ویژگی در ویندوز 8.1 معرفی شد و فقط در دستگاه هایی با تنظیمات سخت افزاری خاص استفاده می شود.

همچنین، رمزگذاری تنها در صورتی کار می کند که با حساب مایکروسافت وارد ویندوز شده باشید. در همان زمان، کلید بازیابی اطلاعات در سرورهای مایکروسافت آپلود می شود که در صورت عدم امکان ورود به سیستم به دلایلی، فرصتی برای بازیابی دسترسی به فایل ها می دهد. (و احتمالاً به همین دلیل است که FBI زیاد به این نوع رمزگذاری اهمیت نمی دهد. اما به هر حال، ما در اینجا در مورد رمزگذاری برای محافظت در برابر سرقت لپ تاپ صحبت می کنیم. اگر نگران نظارت NSA هستید، بهتر است نگاه کنید. برای راه های بهتر برای محافظت از خود.)

برای بررسی فعال بودن رمزگذاری دستگاه، رابط تنظیمات را باز کنید، به System > About بروید و ببینید آیا گزینه Device Encryption در پایین پنجره وجود دارد یا خیر. اگر نه، این ویژگی در این رایانه پشتیبانی نمی‌شود.

bitlocker

اگر رمزگذاری دستگاه فعال نیست یا به راه حل کاربردی تری برای رمزگذاری داده ها نیاز دارید، از جمله در درایوهای USB قابل جابجایی، . ابزار BitLocker چندین نسخه پشت سر هم در ویندوز گنجانده شده است و از شهرت خوبی برخوردار است. با این حال، فقط در نسخه حرفه ای ویندوز 10 موجود است.

اگر فقط چنین نسخه ای دارید، در منوی Start کلمه کلیدی "BitLocker" را جستجو کنید و از کنترل پنل BitLocker برای فعال کردن رمزگذاری استفاده کنید. اگر از Windows 7 Professional یا Windows 8.1 Professional به صورت رایگان به ویندوز 10 ارتقا داده اید، پس باید نسخه حرفه ای ویندوز 10 را داشته باشید.

اگر دارید، می توانید با قیمت 99 دلار به ویندوز 10 حرفه ای ارتقا دهید. برای انجام این کار، به سادگی رابط "تنظیمات" را باز کنید، به بخش "به روز رسانی و امنیت> فعال سازی" بروید و روی دکمه "رفتن به فروشگاه" کلیک کنید. هنگامی که ویندوز 10 حرفه ای را ارتقا می دهید، به BitLocker و سایر ویژگی های پیشرفته دسترسی خواهید داشت.

TrueCrypt و مشتقات

پرداخت 99 دلار فقط برای اینکه بتوانید هارد دیسک خود را رمزگذاری کنید، تصمیم آسانی نیست، با توجه به اینکه این روزها رایانه های شخصی ویندوزی اغلب تنها چند صد دلار قیمت دارند. اما خرج کردن پول اصلا ضروری نیست، زیرا بیت لاکر تنها راه حل نیست. بله، BitLocker کاملترین یکپارچگی و پشتیبانی خوب را دارد، اما ابزارهای رمزگذاری دیگری نیز وجود دارد.

یک ابزار رمزگذاری کامل دیسک منبع باز است که بر روی ویندوز 10 اجرا می شود و یک گزینه قابل اجرا است. ابزارهای دیگر مبتنی بر TrueCrypt وجود دارد. همه آنها رایگان هستند و می توانند روی ویندوز 10 هوم و نسخه های قبلی ویندوز نصب شوند تا در صورت عدم دسترسی به BitLocker، هارد دیسک شما را رمزگذاری کند. متأسفانه، در رایانه های مدرن، راه اندازی TrueCrypt باید دشوار باشد. اما اگر این سیستم در روزهای ویندوز 7 خریداری شده و اکنون برای ویندوز 10 به روز شده است، همه چیز بدون مشکل پیش خواهد رفت.

بله، سازندگان TrueCrypt مدتی پیش به طور جدی توسعه را متوقف کردند و فرزندان خود را آسیب پذیر و ناامن اعلام کردند، اما بسیاری از کارشناسان امنیتی هنوز در مورد اینکه آیا این چنین است توافق ندارند. و مهمتر از همه، بحث عمدتاً در مورد محافظت از NSA و سایر خدمات ویژه است. اگر علاقه مند به رمزگذاری برای محافظت از فایل های شخصی در برابر دزدان در صورت سرقت لپ تاپ هستید، نباید به چنین جزئیاتی علاقه مند باشید. برای این اهداف، رمزگذاری TrueCrypt کافی خواهد بود.