Jak zaszyfrować dysk - BitLocker w Windows

BitLocker to rozwiązanie zintegrowane w profejsonalnych systemach Windows, np: Windows 10 Pro. Pozwala na kryptograficzną ochronę danych na dyskach. Może wykorzystywać sprzętowe moduły Trusted Platform Module.

Pozwala zaszyfrować dyski twarde w komputerze lub laptopie, a także zewnętrzne dyski, pamięci pendrive, karty pamięci flash. Funkcja BitLocker może szyfrować wszystkie dyski komputera i zabezpiecza hasło przed kradzieżą. Jeśli Twój komputer zaginie lub zostanie skradziony, funkcja BitLocker pomoże także zabezpieczyć dane przed niepowołanym dostępem przez fizyczne zainstalowanie zablokowanego dysku na innym komputerze.

Nowe pliki są szyfrowane automatycznie po dodaniu ich do dysku objętego działaniem funkcji BitLocker. Jednak po skopiowaniu tych plików na inny dysk lub komputer zostają one automatycznie odszyfrowane. Jeśli udostępniasz pliki innym osobom (na przykład przez sieć), pliki są zaszyfrowane, dopóki znajdują się na tym samym dysku. Mogą z nich wówczas korzystać autoryzowane osoby lub osoby, które dostały od Ciebie odpowiednie upoważnienie.

BitLocker szyfruje przy pomocy algorytmu AES (128 lub 256 bitów) każdy sektor partycji. Mechanizm szyfrowania i odszyfrowania jest praktycznie niewidzialny dla systemu i aplikacji. Algorytmy kryptograficzne używane w mechanizmach BitLocker posiadają certyfikację FIPS (Federal Information Processing Standard).

Do szyfrowania poszczególnych plików służy system szyfrowania plików (EFS) dostępny w systemie Windows.

1. Wyszukujemy słowo "BitLocker" (Win + Q)  i wybieramy aplikację "Szyfrowanie dysków funkcją BitLocker".

2. W nowym oknie pojawią się informacje o dyskach twardych, obok dysku systemowego klikamy na opcję "Włącz funkcję BitLocker".

3. Wybieramy metodę odblokowania dysku podczas uruchamiania, do dyspozycji mamy hasło lub dysk USB.

4. Przechodzimy do kroku "Jak chcesz wykonać kopię zapasową klucza odzyskiwania?". Wykonujemy kopie bezpieczeństwa klucza. Możemy zrobić kilka kopii, ważne aby były one przechowywane w bezpiecznym miejscu. Po wszystkim klikamy "Dalej".

5. Wybieramy jaka część dysku ma zostać zaszyfrowana. Po wybraniu jednej z dwóch możliwości klikamy "Dalej".

6. Teraz możemy sprawdzić czy BitLocker będzie działał poprawnie, w tym celu należy zaznaczyć pole "Uruchom test systemowy funkcji BitLocker". Test zajmie trochę czasu, dodatkowo wymagane będzie ponowne uruchomienie komputera. Przed przeprowadzeniem testu musimy zapisać wszystkie otwarte dokumenty.

By od razu zacząć szyfrować dane musimy odznaczyć pole "Uruchom test systemowy funkcji BitLocker", a następnie kliknąć na "Rozpocznij szyfrowanie".

1. Obok naszego dysku twardego wybieramy opcję "Włącz funkcję BitLocker".

2. Wybieramy sposób odblokowania dysku. Możemy wybrać hasło oraz kartę inteligentną. Na koniec klikamy "Dalej".

3. Wykonujemy kopie zapasową klucza. Tutaj również można wykonać kilka kopii i trzymać je w bezpiecznym miejscu. Klikamy "Dalej".

4. Dokonujemy wyboru części dysku, która ma zostać zaszyfrowana. Możemy wybrać cały dysk lub tylko zajętą część. Oczywiście po wybraniu opcji klikamy "Dalej".

5. Rozpoczynamy szyfrowanie klikając na przycisk "Rozpocznij szyfrowanie".

1. Podłączamy dysk do portu USB.

2. Obok naszego dysku wymiennego pojawi się opcja "Włącz funkcję BitLocker".

3. Wybieramy jak chcemy odblokowywać nasz dysk, następnie wybieramy "Dalej".

4. Podobnie jak w poprzednich przypadkach, decydujemy gdzie chcemy zapisać kopię zapasowa klucza. Po wybraniu odpowiednich opcji klikamy na "Dalej".

5. Decydujemy jaka część dysku ma zostać zaszyfrowana i wybieramy przycisk "Dalej".

6. Ostatnia rzecz do zrealizowania, czyli zaszyfrowanie dysku, która nastąpi po kliknięciu na "Rozpocznij szyfrowanie".

Funkcję BitLocker można tymczasowo wstrzymać - na przykład w razie potrzeby zainstalowania nowego oprogramowania, które mogłoby zostać zablokowane przez funkcję BitLocker — a następnie w odpowiednim momencie wznowić jej działanie. Można też całkowicie wyłączyć funkcję BitLocker, co spowoduje odszyfrowanie dysku i brak jego dalszej ochrony.

Jeśli komputer jest wyposażony w moduł TPM, funkcja BitLocker umożliwia zwiększenie bezpieczeństwa przez połączenie modułu TPM z kluczem uruchomienia. W przypadku używania klucza uruchomienia w połączeniu z modułem TPM cześć klucza szyfrowania używana do odblokowania dysku jest przechowywana i zapieczętowywana przez moduł TPM, a druga część tego klucza jest przechowywana na dysku flash USB. Dysk flash USB zawierający wymagane informacje na temat klucza jest nazywany kluczem uruchomienia. Do uzyskania dostępu do dysku chronionego funkcją BitLocker są wymagane zarówno informacje przechowywane w module TPM, jak i klucz uruchomienia.

Kreatora konfiguracji funkcji BitLocker można skonfigurować przy użyciu ustawień zasad grupy w taki sposób, aby umożliwiał utworzenie klucza uruchomienia podczas szyfrowania dysku. Jeśli funkcja BitLocker zostanie skonfigurowana z tą opcją, sprzętowy moduł zabezpieczający TPM nie będzie mógł zwolnić kluczy szyfrowania podczas uruchamiania komputera lub wznawiania jego pracy ze stanu hibernacji, dopóki nie zostanie włożony prawidłowy klucz uruchomienia.

Ponieważ klucz uruchomienia musi być obecny przy każdym ponownym uruchomieniu oraz przy wznawianiu pracy ze stanu hibernacji, włączenie opcji klucza może być niepożądane w przypadkach, gdy interwencja użytkownika przy każdym ponownym uruchomieniu jest niemożliwa.

Moduł TPM (Trusted Platform Module) to mikroukład umożliwiający korzystanie ze wszystkich zaawansowanych funkcji zabezpieczeń, takich jak szyfrowanie dysków funkcją BitLocker. Moduł TPM jest wbudowany w wielu komputerach. Sprawdź informacje dołączone do komputera, aby przekonać się, czy jest on wyposażony w moduł TPM.

Komputer z modułem TPM może tworzyć klucze szyfrowania, które mogą zostać odszyfrowane tylko za pomocą tego samego modułu TPM. Moduł TPM ukrywa klucze szyfrowania za pomocą własnego głównego klucza magazynu przechowywanego w obrębie modułu. Przechowywanie klucza głównego magazynowania danych w mikroukładzie TPM, a nie na dysku twardym, zapewnia lepszą ochronę przed atakami mającymi na celu ujawnienie kluczy szyfrowania.

Podczas uruchamiania komputera z modułem TPM i włączoną funkcją BitLocker moduł TPM sprawdza, czy w systemie operacyjnym istnieją warunki, które mogą wskazywać na zagrożenie bezpieczeństwa. Do warunków tych należą między innymi zmiany w systemie podstawowych operacji wejścia/wyjścia (BIOS) lub innych składnikach uruchomieniowych oraz oznaki, że dysk twardy został wyjęty z jednego komputera i jest uruchamiany w innym. Jeśli moduł TPM wykryje jedno z tych zagrożeń, funkcja BitLocker blokuje partycję systemową do czasu wprowadzenia hasła odzyskiwania.

Podczas pierwszego inicjowania modułu TPM jest tworzone hasło właściciela modułu TPM. Użycie tego hasła pomaga zagwarantować, że tylko autoryzowany właściciel może uzyskać dostęp do modułu TPM w komputerze i nim zarządzać.