Khi TrueCrypt đóng cửa một cách gây tranh cãi, họ khuyên người dùng của họ nên chuyển từ TrueCrypt sang sử dụng BitLocker hoặc Veracrypt. BitLocker đã có mặt trong Windows đủ lâu để được coi là trưởng thành, và là một sản phẩm mã hóa thường được các chuyên gia bảo mật đánh giá cao. Trong bài viết này, chúng ta sẽ nói về cách bạn có thể thiết lập nó trên máy tính của mình.
chú thích: BitLocker Drive Encryption và BitLocker To Go yêu cầu phiên bản Professional hoặc Enterprise của Windows 8 hoặc 10 hoặc phiên bản Ultimate của Windows 7. Tuy nhiên, bắt đầu với Windows 8.1, phiên bản Home và Pro của Windows bao gồm tính năng "Mã hóa thiết bị" ( một tính năng cũng có trong Windows 10) hoạt động tương tự. Chúng tôi khuyên bạn nên sử dụng Mã hóa thiết bị nếu máy tính của bạn hỗ trợ tính năng này, người dùng BitLocker cho Pro không thể sử dụng Mã hóa thiết bị và VeraCrypt cho những người đang sử dụng phiên bản Home của Windows, nơi Mã hóa thiết bị sẽ không hoạt động.
Mã hóa toàn bộ Drive hoặc Tạo vùng chứa được mã hóa?
Nhiều hướng dẫn ở đó nói về việc tạo một thùng chứa BitLocker hoạt động giống như loại vùng chứa được mã hóa mà bạn có thể tạo với các sản phẩm như TrueCrypt hoặc Veracrypt. Đó là một chút nhầm lẫn, nhưng bạn có thể đạt được một hiệu ứng tương tự. BitLocker hoạt động bằng cách mã hóa toàn bộ ổ đĩa. Đó có thể là ổ đĩa hệ thống của bạn, một ổ đĩa vật lý khác hoặc một ổ cứng ảo (VHD) tồn tại dưới dạng tệp và được gắn trong Windows.
Sự khác biệt phần lớn là ngữ nghĩa. Trong các sản phẩm mã hóa khác, bạn thường tạo một vùng chứa được mã hóa và sau đó gắn nó như một ổ đĩa trong Windows khi bạn cần sử dụng nó. Với BitLocker, bạn tạo một ổ cứng ảo và sau đó mã hóa nó. Nếu bạn muốn sử dụng vùng chứa thay vì, giả sử, mã hóa hệ thống hoặc ổ lưu trữ hiện tại của bạn, hãy xem hướng dẫn tạo tệp vùng chứa được mã hóa bằng BitLocker của chúng tôi.
Đối với bài viết này, chúng ta sẽ tập trung vào việc kích hoạt BitLocker cho một ổ đĩa vật lý hiện có.
Làm thế nào để mã hóa một ổ đĩa với BitLocker
Để sử dụng BitLocker cho một ổ đĩa, tất cả những gì bạn thực sự phải làm là kích hoạt nó, chọn một phương pháp mở khóa - mật khẩu, mã PIN, vv… và sau đó thiết lập một vài tùy chọn khác. Tuy nhiên, trước khi bắt đầu, bạn nên biết rằng sử dụng mã hóa toàn bộ đĩa của BitLocker trên ổ đĩa hệ thống thường yêu cầu máy tính có Mô-đun nền tảng đáng tin cậy (TPM) trên bo mạch chủ của PC. Chip này tạo và lưu trữ các khóa mã hóa mà BitLocker sử dụng. Nếu PC của bạn không có TPM, bạn có thể sử dụng Group Policy để cho phép sử dụng BitLocker không có TPM. Tính năng này kém an toàn hơn nhưng vẫn an toàn hơn không sử dụng mã hóa.
Bạn có thể mã hóa ổ đĩa không phải hệ thống hoặc ổ đĩa di động mà không cần TPM và không cần phải bật cài đặt Chính sách nhóm.
Trên lưu ý đó, bạn cũng nên biết rằng có hai loại mã hóa ổ đĩa BitLocker mà bạn có thể bật:
- Mã hóa ổ BitLocker: Đôi khi được gọi là BitLocker, đây là tính năng "mã hóa toàn bộ đĩa" mã hóa toàn bộ ổ đĩa. Khi PC của bạn khởi động, bộ nạp khởi động Windows tải từ phân vùng System Reserved và bộ tải khởi động sẽ nhắc bạn về phương thức mở khóa của bạn - ví dụ, một mật khẩu. BitLocker sau đó giải mã ổ đĩa và tải Windows. Mã hóa là minh bạch - các tệp của bạn xuất hiện như bình thường trên một hệ thống không được mã hóa, nhưng chúng được lưu trữ trên đĩa dưới dạng được mã hóa. Bạn cũng có thể mã hóa các ổ đĩa khác ngoài ổ đĩa hệ thống.
- BitLocker To Go: Bạn có thể mã hóa các ổ đĩa ngoài - chẳng hạn như ổ đĩa flash USB và ổ cứng ngoài - với BitLocker To Go. Bạn sẽ được nhắc về phương pháp mở khóa - ví dụ: mật khẩu - khi bạn kết nối ổ đĩa với máy tính của mình. Nếu ai đó không có phương pháp mở khóa, họ không thể truy cập các tệp trên ổ đĩa.
Trong Windows 7 đến 10, bạn thực sự không phải lo lắng về việc tự chọn. Windows xử lý mọi thứ đằng sau hậu trường và giao diện bạn sẽ sử dụng để bật BitLocker trông không khác gì. Nếu bạn kết thúc mở khóa một ổ đĩa được mã hóa trên Windows XP hoặc Vista, bạn sẽ thấy thương hiệu BitLocker to Go, vì vậy chúng tôi cho rằng ít nhất bạn nên biết về nó.
Vì vậy, với điều đó ra khỏi con đường, chúng ta hãy đi qua cách này thực sự hoạt động.
Bước một: Bật BitLocker cho Drive
Cách dễ nhất để kích hoạt BitLocker cho một ổ đĩa là nhấn chuột phải vào ổ đĩa trong cửa sổ File Explorer, và sau đó chọn lệnh “Turn on BitLocker”. Nếu bạn không thấy tùy chọn này trên menu ngữ cảnh thì có thể bạn không có phiên bản Windows hoặc Enterprise và Windows và bạn sẽ cần tìm một giải pháp mã hóa khác.
Bước hai: Chọn phương pháp mở khóa
Màn hình đầu tiên bạn sẽ thấy trong thuật sĩ "Mã hóa ổ đĩa BitLocker Drive" cho phép bạn chọn cách mở khóa ổ đĩa của mình. Bạn có thể chọn một số cách khác nhau để mở khóa ổ đĩa.
Nếu bạn đang mã hóa ổ đĩa hệ thống trên máy tínhkhông có một TPM, bạn có thể mở khóa ổ đĩa bằng mật khẩu hoặc ổ USB có chức năng như một khóa.Chọn phương pháp mở khóa của bạn và làm theo các hướng dẫn cho phương pháp đó (nhập mật khẩu hoặc cắm vào ổ USB của bạn).
Nếu máy tính của bạn làm có một TPM, bạn sẽ thấy các tùy chọn bổ sung để mở khóa ổ đĩa hệ thống của bạn. Ví dụ, bạn có thể cấu hình mở khóa tự động khi khởi động (nơi máy tính của bạn lấy các khóa mã hóa từ TPM và tự động giải mã ổ đĩa). Bạn cũng có thể sử dụng mã PIN thay vì mật khẩu hoặc thậm chí chọn tùy chọn sinh trắc học như dấu vân tay.
Nếu bạn đang mã hóa ổ đĩa ngoài hệ thống hoặc ổ đĩa di động, bạn sẽ chỉ thấy hai tùy chọn (cho dù bạn có TPM hay không). Bạn có thể mở khóa ổ đĩa bằng mật khẩu hoặc thẻ thông minh (hoặc cả hai).
Bước ba: Sao lưu khóa khôi phục của bạn
BitLocker cung cấp cho bạn khóa khôi phục mà bạn có thể sử dụng để truy cập các tệp đã mã hóa nếu bạn mất khóa chính - ví dụ, nếu bạn quên mật khẩu hoặc nếu máy tính bị TPM chết và bạn phải truy cập ổ đĩa từ hệ thống khác.
Bạn có thể lưu khóa vào tài khoản Microsoft của mình, ổ USB, tệp hoặc thậm chí in nó. Các tùy chọn này giống nhau cho dù bạn đang mã hóa hệ thống hoặc ổ đĩa không thuộc hệ thống.
Nếu bạn sao lưu khóa khôi phục vào tài khoản Microsoft của mình, bạn có thể truy cập khóa sau tại https://onedrive.live.com/recoverykey. Nếu bạn sử dụng phương pháp khôi phục khác, hãy nhớ giữ khóa này an toàn - nếu ai đó có quyền truy cập vào nó, họ có thể giải mã ổ đĩa của bạn và bỏ qua mã hóa.
chú thích: Nếu bạn đang mã hóa USB hoặc ổ đĩa di động khác, bạn sẽ không có tùy chọn lưu khóa khôi phục của mình vào ổ USB. Bạn có thể sử dụng bất kỳ tùy chọn nào trong số ba tùy chọn còn lại.
Bước 4: Mã hóa và mở khóa Drive
BitLocker tự động mã hóa các tệp mới khi bạn thêm chúng, nhưng bạn phải chọn những gì xảy ra với các tệp hiện có trên ổ đĩa của bạn. Bạn có thể mã hóa toàn bộ ổ đĩa - bao gồm cả không gian trống - hoặc chỉ mã hóa các tệp đĩa đã sử dụng để tăng tốc quá trình. Các tùy chọn này cũng giống nhau nếu bạn đang mã hóa hệ thống hoặc ổ đĩa không thuộc hệ thống.
Nếu bạn đang thiết lập BitLocker trên máy tính mới, hãy mã hóa dung lượng đĩa đã sử dụng chỉ - nhanh hơn rất nhiều. Nếu bạn đang thiết lập BitLocker trên PC mà bạn đã sử dụng một thời gian, bạn nên mã hóa toàn bộ ổ đĩa để đảm bảo không ai có thể phục hồi các tệp đã xóa.
Bước 5: Chọn chế độ mã hóa (chỉ dành cho Windows 10)
Nếu bạn đang sử dụng Windows 10, bạn sẽ thấy màn hình bổ sung cho phép bạn chọn phương thức mã hóa. Nếu bạn đang sử dụng Windows 7 hoặc 8, hãy chuyển sang bước tiếp theo.
Windows 10 đã giới thiệu một phương pháp mã hóa mới có tên là XTS-AES. Nó cung cấp tính toàn vẹn và hiệu năng nâng cao so với AES được sử dụng trong Windows 7 và 8. Nếu bạn biết ổ đĩa bạn đang mã hóa sẽ chỉ được sử dụng trên Windows 10 PC, hãy tiếp tục và chọn tùy chọn “Chế độ mã hóa mới”. Nếu bạn nghĩ rằng bạn có thể cần phải sử dụng ổ đĩa với phiên bản Windows cũ hơn tại một thời điểm nào đó (đặc biệt quan trọng nếu đó là ổ đĩa di động), hãy chọn tùy chọn “Chế độ tương thích”.
Bước 6: Hoàn thành
Quá trình mã hóa có thể mất từ giây đến vài phút hoặc thậm chí lâu hơn, tùy thuộc vào kích thước của ổ đĩa, lượng dữ liệu bạn đang mã hóa và liệu bạn đã chọn mã hóa dung lượng trống hay chưa.
Nếu bạn đang mã hóa ổ đĩa hệ thống, bạn sẽ được nhắc chạy một hệ thống BitLocker kiểm tra và khởi động lại hệ thống của bạn. Hãy chắc chắn rằng tùy chọn được chọn, bấm vào nút "Tiếp tục", và sau đó khởi động lại máy tính của bạn khi được hỏi. Sau khi PC khởi động lại lần đầu tiên, Windows sẽ mã hóa ổ đĩa.
Bất kể loại ổ đĩa nào bạn đang mã hóa, bạn có thể kiểm tra biểu tượng Mã hóa ổ đĩa BitLocker trong khay hệ thống để xem tiến trình của nó và bạn có thể tiếp tục sử dụng máy tính của mình trong khi ổ đĩa đang được mã hóa - nó sẽ hoạt động chậm hơn.
Mở khóa Drive của bạn
Nếu ổ đĩa hệ thống của bạn được mã hóa, mở khóa nó phụ thuộc vào phương pháp bạn chọn (và liệu PC của bạn có TPM) hay không. Nếu bạn có TPM và được bầu để tự động mở khóa, bạn sẽ không nhận thấy bất kỳ điều gì khác biệt - bạn sẽ chỉ khởi động trực tiếp vào Windows như mọi khi. Nếu bạn chọn một phương thức mở khóa khác, Windows sẽ nhắc bạn mở khóa ổ đĩa (bằng cách nhập mật khẩu, kết nối ổ USB hoặc bất kỳ thứ gì).
Nếu bạn đã mã hóa ổ đĩa không có hệ thống hoặc ổ đĩa di động, Windows sẽ nhắc bạn mở khóa ổ đĩa khi bạn truy cập lần đầu tiên sau khi khởi động Windows (hoặc khi bạn kết nối nó với PC nếu đó là ổ đĩa di động). Nhập mật khẩu của bạn hoặc lắp thẻ thông minh của bạn và ổ đĩa sẽ mở khóa để bạn có thể sử dụng nó.
Giống như tất cả các mã hóa, BitLocker có thêm một số chi phí. Câu hỏi thường gặp chính thức của BitLocker của Microsoft nói rằng “Nói chung nó áp đặt chi phí hiệu suất phần trăm một phần.” Nếu mã hóa quan trọng với bạn vì bạn có dữ liệu nhạy cảm - ví dụ, một máy tính xách tay đầy đủ các tài liệu kinh doanh. -tắt.
