نحوه رمزگذاری درایو سیستم پین ویندوز 7 نحوه رمزگذاری کل هارد دیسک با استفاده از VeraCrypt. BitLocker چگونه کار می کند

در این مجموعه به طور خلاصه در مورد فناوری BitLocker که یک ابزار امنیتی در سیستم عامل های مدرن ویندوز است صحبت کردیم. در اصل، مقاله معماری این ابزار را توضیح داد که هنگام انجام رمزگذاری دیسک خود در خانه یا سازمان، کاربرد چندانی نخواهد داشت. همچنین از مقاله اول می توانید متوجه شوید که برای استفاده کامل از این فناوری، رایانه هایی که برای آنها رمزگذاری انجام می شود باید به ماژولی مانند Trusted Platform Module (TPM) مجهز باشند که متأسفانه می تواند دور از هر رایانه ای یافت می شود. از این رو در مقالات بعدی این مجموعه در هنگام تشریح نحوه کار با ماژول پلتفرم مورد اعتماد، تنها شبیه ساز آن در ماشین مجازی مورد توجه قرار خواهد گرفت. همچنین، فکر می‌کنم شایان ذکر است که نه این و نه مقاله‌های بعدی در این مجموعه درباره مسدود کردن درایوهای داده هنگام استفاده از کارت‌های هوشمند بحث نمی‌کنند.

همانطور که احتمالا می دانید، فناوری BitLocker به شما امکان می دهد کل یک درایو را رمزگذاری کنید، در حالی که سیستم فایل رمزگذاری (EFS) به شما امکان می دهد فقط فایل های جداگانه را رمزگذاری کنید. به طور طبیعی، در برخی موارد فقط باید فایل های خاصی را رمزگذاری کنید و به نظر می رسد رمزگذاری کل پارتیشن فایده ای ندارد، اما توصیه می شود از EFS فقط در رایانه های موجود در اینترانت استفاده کنید که بین بخش ها و دفاتر جابه جا نمی شوند. به عبارت دیگر، اگر کاربر شما لپ‌تاپ دارد، باید به طور دوره‌ای در سفرهای کاری سفر کند و چنین کاربری مثلاً فقط چند ده فایل روی رایانه‌اش دارد که باید رمزگذاری شوند، بهتر است لپ‌تاپ او از فناوری BitLocker به جای یک سیستم فایل رمزگذاری شده استفاده کنید. این با این واقعیت توضیح داده می شود که با EFS نمی توانید عناصر حیاتی سیستم عامل مانند فایل های رجیستری را رمزگذاری کنید. و اگر مهاجمی به رجیستری لپ‌تاپ شما برسد، می‌تواند اطلاعات جالب زیادی برای خود پیدا کند، مانند داده‌های ذخیره‌شده برای حساب دامنه کاربر شما، هش رمز عبور و موارد دیگر، که در آینده می‌تواند آسیب قابل توجهی به همراه داشته باشد. ضرر نه تنها برای این کاربر، بلکه کل شرکت به عنوان یک کل. و با کمک فناوری BitLocker، بر خلاف یک سیستم فایل رمزگذاری شده، همانطور که در بالا ذکر شد، تمام داده های موجود در دیسک رمزگذاری شده لپ تاپ کاربر شما روی لپ تاپ کاربر رمزگذاری می شود. بسیاری ممکن است بپرسند: چگونه سایر کاربران در سازمان می توانند از فایل هایی که با استفاده از این فناوری رمزگذاری شده اند استفاده کنند؟ در واقع، همه چیز بسیار ساده است: اگر رایانه‌ای با فایل‌های رمزگذاری‌شده با استفاده از فناوری BitLocker به اشتراک گذاشته شود، کاربران مجاز می‌توانند به راحتی با چنین فایل‌هایی تعامل کنند که گویی هیچ رمزگذاری روی رایانه آن کاربر وجود ندارد. علاوه بر این، اگر فایل‌های موجود بر روی یک دیسک رمزگذاری شده در رایانه دیگری یا روی یک دیسک رمزگذاری نشده کپی شوند، این فایل‌ها به طور خودکار رمزگشایی می‌شوند.

در بخش‌های بعدی، نحوه رمزگذاری سیستم و پارتیشن‌های ثانویه را در لپ‌تاپ غیر TPM با ویندوز 7 خواهید آموخت.

رمزگذاری BitLocker را برای پارتیشن سیستم فعال کنید

هیچ چیز پیچیده ای در مورد فعال کردن رمزگذاری درایو BitLocker در پارتیشن سیستم در رایانه ای که بخشی از یک دامنه نیست وجود ندارد. قبل از رمزگذاری دیسک سیستم، فکر می کنم باید به این نکته توجه کنید که در لپ تاپی که دیسک ها روی آن رمزگذاری می شوند، سه پارتیشن ایجاد شده است و دو پارتیشن اول باید رمزگذاری شوند:

برنج. 1. Windows Explorer روی لپ تاپی که دیسک ها روی آن رمزگذاری خواهند شد

برای رمزگذاری پارتیشن سیستم، مراحل زیر را دنبال کنید:

  1. اول از همه، از آنجایی که لپ تاپ در این مثال که درایوها روی آن رمزگذاری می شوند، TPM ندارد، توصیه می شود برخی از مراحل اولیه را انجام دهید. باید اسنپ را باز کنید "ویرایشگر خط مشی گروه محلی"و به Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives بروید. در اینجا می توانید شش تنظیمات مختلف خط مشی را پیدا کنید. از آنجایی که قبلاً ذکر شد که این لپ تاپ به ماژول TPM مجهز نیست، باید مطمئن شوید که قبل از بارگیری سیستم عامل، از یک درایو USB حاوی یک کلید ویژه طراحی شده برای تأیید احراز هویت و بوت بعدی سیستم استفاده کنید. تنظیم خط مشی مورد استفاده برای انجام این عملیات است "احراز هویت اضافی مورد نیاز هنگام راه اندازی". در کادر محاوره‌ای خواص برای این تنظیم خط‌مشی، باید گزینه‌ها را بررسی کنید "Allow BitLocker بدون TPM سازگار". در این حالت، از آنجایی که این تنها گزینه ای است که ممکن است هنگام رمزگذاری یک دیسک در یک گروه کاری مورد علاقه ما باشد، تغییرات ایجاد شده را ذخیره کنید. کادر محاوره‌ای خصوصیات برای این تنظیم خط‌مشی در تصویر زیر نشان داده شده است:

    2. برنج. 2. نیاز به احراز هویت اضافی در جعبه گفتگوی تنظیمات تنظیمات خط مشی راه اندازی

    تنظیمات مختلف Group Policy برای مدیریت فناوری BitLocker وجود دارد. این گزینه ها در مقاله آینده در مورد فناوری BitLocker به طور مفصل مورد بحث قرار خواهند گرفت.

  2. باز کن "صفحه کنترل"، به دسته بندی بروید "سیستم و ایمنی"و سپس انتخاب کنید "رمزگذاری درایو BitLocker";
  3. در پنجره کنترل پنل ظاهر شده، پارتیشن سیستم را انتخاب کنید و سپس روی پیوند کلیک کنید "فعال کردن BitLocker". شایان ذکر است که فقط در صورتی می توانید یک پارتیشن را رمزگذاری کنید که روی یک دیسک اصلی قرار داشته باشد. اگر پارتیشن هایی را روی یک دیسک پویا ایجاد کرده اید، قبل از رمزگذاری آنها باید دیسک را از پویا به پایه تبدیل کنید. تصویر زیر پنجره را نشان می دهد "رمزگذاری درایو BitLocker":

    4. برنج. 3. پنجره کنترل پنل BitLocker Drive Encryption

  4. پس از بررسی پیکربندی رایانه خود، در صفحه اول BitLocker Drive Encryption Wizard، می توانید گزینه های مختلف راه اندازی را مشخص کنید. اما از آنجایی که لپ تاپ من TPM ندارد و تنظیمات Group Policy تغییر کرده است تا رمزگذاری BitLocker روی سخت افزارهای غیر فعال TPM امکان پذیر باشد، من فقط می توانم "در راه اندازی کلید درخواست کنید". صفحه اول ویزارد در زیر نشان داده شده است:

    5. برنج. 4. گزینه راه اندازی BitLocker Drive Encryption Wizard

  5. در صفحه "ذخیره کلید راه اندازی"در جادوگر رمزگذاری درایو BitLocker، باید یک درایو فلش را به رایانه خود متصل کنید و سپس آن را در لیست انتخاب کنید. پس از انتخاب درایو، روی دکمه کلیک کنید "صرفه جویی";
  6. در صفحه سوم جادوگر، باید مکان کلید بازیابی را مشخص کنید. کلید بازیابی یک فایل متنی کوچک است که حاوی دستورالعمل‌ها، برچسب درایو، شناسه رمز عبور و کلید بازیابی 48 نویسه‌ای است. لازم به یادآوری است که این کلید با کلید راه اندازی تفاوت دارد زیرا برای دسترسی به داده ها در مواردی که دسترسی به آن از طریق دیگر غیرممکن است استفاده می شود. می توانید یکی از سه گزینه زیر را انتخاب کنید: کلید بازیابی را در درایو فلش USB ذخیره کنید, کلید بازیابی را در یک فایل ذخیره کنیدیا کلید بازیابی چاپ. لطفاً توجه داشته باشید که هنگام انتخاب گزینه اول، باید کلیدهای بازیابی و راه اندازی را در درایوهای فلش مختلف ذخیره کنید. از آنجایی که توصیه می‌شود چندین کلید بازیابی را ذخیره کنید و در رایانه‌هایی غیر از کلید رمزگذاری شده، در مورد من، کلید بازیابی در یک پوشه شبکه در یکی از سرورهای من و همچنین در درایو ابری HP ذخیره شده است. اکنون محتویات کلید بازیابی فقط برای من و HP شناخته می شود ، اگرچه به احتمال زیاد آنها ما را از محرمانه بودن کامل اطلاعات متقاعد می کنند. اگر یک کلید بازیابی را چاپ می کنید، مایکروسافت توصیه می کند سند را در یک گاوصندوق قفل شده ذخیره کنید. توصیه می کنم فقط این 48 عدد را به خاطر بسپارید و بعد از خواندن سند فقط آن را بسوزانید :). صفحه "چگونه کلید بازیابی را ذخیره کنیم؟"جادوگر رمزگذاری BitLocker در شکل زیر نشان داده شده است:

    7. برنج. 5. ذخیره کلید بازیابی برای داده های رمزگذاری شده با BitLocker

  7. این آخرین صفحه از Drive Encryption Wizard است زیرا در این مرحله می توانید یک بررسی سیستم BitLocker را اجرا کنید تا اطمینان حاصل کنید که در صورت لزوم می توانید به راحتی از کلید بازیابی خود استفاده کنید. برای تکمیل بررسی سیستم، از شما خواسته می شود کامپیوتر خود را مجددا راه اندازی کنید. در اصل این مرحله اجباری نیست، اما انجام این بررسی همچنان توصیه می شود. در زیر می توانید آخرین صفحه جادوگر را مشاهده کنید:

    8. برنج. 6. آخرین صفحه از Disk Encryption Wizard

  8. بلافاصله پس از تست POST، از شما خواسته می شود که یک فلش درایو با کلید راه اندازی برای راه اندازی سیستم عامل وارد کنید. هنگامی که رایانه مجدداً راه اندازی می شود و BitLocker می داند که هیچ شرایط غیرقابل پیش بینی پس از رمزگذاری رخ نخواهد داد، خود فرآیند رمزگذاری دیسک آغاز می شود. این را از روی نماد نمایش داده شده در قسمت اعلان یا اگر به پنجره بروید متوجه خواهید شد "رمزگذاری درایو BitLocker"از کنترل پنل فرآیند رمزگذاری خود در پس‌زمینه اجرا می‌شود، یعنی می‌توانید در حالی که رمزگذاری در حال اجرا است، به کار بر روی رایانه خود ادامه دهید، اما BitLocker به شدت از منابع پردازنده و فضای خالی روی دیسک رمزگذاری شده استفاده می‌کند. برای اینکه ببینید چند درصد از درایو شما قبلاً رمزگذاری شده است، به دنبال نماد در قسمت اعلان بگردید "رمزگذاری %volume_name% با استفاده از رمزگذاری درایو BitLocker"و روی آن دوبار کلیک کنید. نماد اعلان BitLocker و کادر گفتگو "رمزگذاری درایو BitLocker"در ذیل نشان داده شده است:

    9. برنج. 7. رمزگذاری را انجام دهید

  9. پس از تکمیل فرآیند رمزگذاری درایو BitLocker، به شما اطلاع داده می شود که رمزگذاری درایو انتخابی با موفقیت انجام شده است. این کادر محاوره ای در زیر قابل مشاهده است:

    10. برنج. 8. تکمیل رمزگذاری درایو BitLocker

برای کسانی که برای اولین بار است که یک دیسک را رمزگذاری می کنند، باید توجه داشته باشم که این روش به صورت آنی انجام نمی شود و مثلاً 70 دقیقه طول کشید تا یک دیسک سیستم با ظرفیت 75 گیگابایت را رمزگذاری کنم.

اکنون همانطور که در تصویر زیر مشاهده می کنید، در Windows Explorer روی نماد پارتیشن سیستم یک قفل وجود دارد، به این معنی که این پارتیشن با استفاده از فناوری BitLocker رمزگذاری شده است:

برنج. 9. Windows Explorer با یک پارتیشن سیستم رمزگذاری شده

نتیجه

در این مقاله نحوه رمزگذاری درایو با استفاده از فناوری BitLocker را یاد گرفتید. فرآیند آماده سازی برای رمزگذاری و رمزگذاری خود دیسک با استفاده از یک رابط گرافیکی در نظر گرفته شده است. از آنجایی که در ابتدای مقاله اشاره کردم که دو درایو روی این لپ تاپ رمزگذاری خواهند شد، در مقاله بعدی یاد خواهید گرفت که چگونه می توانید با استفاده از فناوری BitLocker با استفاده از ابزار خط فرمان، یک درایو را رمزگذاری کنید. مدیریت-dbe .

سلام دوستان! در این مقاله به بررسی سیستم های تعبیه شده در ویندوز که برای افزایش امنیت داده های ما طراحی شده اند، ادامه خواهیم داد. امروزه این سیستم رمزگذاری دیسک Bitlocker است. رمزگذاری داده ها برای جلوگیری از استفاده افراد غریبه از اطلاعات شما ضروری است. اینکه او چگونه به آنها خواهد رسید یک سوال دیگر است.

رمزگذاری فرآیند تبدیل داده ها است به طوری که فقط افراد مناسب می توانند به آن دسترسی داشته باشند. معمولاً از کلیدها یا رمزهای عبور برای دسترسی استفاده می شود.

هنگامی که هارد دیسک خود را به رایانه دیگری متصل می کنید، رمزگذاری کل درایو از دسترسی به داده ها جلوگیری می کند. سیستم مهاجم ممکن است سیستم عامل دیگری را برای دور زدن حفاظت نصب کرده باشد، اما اگر از BitLocker استفاده می کنید این کار کمکی نمی کند.

فناوری BitLocker با انتشار سیستم عامل ویندوز ویستا ظاهر شد و در ویندوز 7 بهبود یافت. Bitlocker در نسخه های Windows 7 Ultimate و Enterprise و همچنین در Windows 8 Pro موجود است. صاحبان نسخه های دیگر باید به دنبال جایگزینی باشند.

نحوه کارکرد رمزگذاری درایو BitLocker

بدون پرداختن به جزئیات، به نظر می رسد. سیستم کل دیسک را رمزگذاری می کند و کلیدهای آن را به شما می دهد. اگر دیسک سیستم را رمزگذاری کنید، کامپیوتر بدون کلید شما بوت نمی شود. همان کلید آپارتمان. شما آنها را دارید، وارد آن خواهید شد. گم شده، باید از یک یدک استفاده کنید (کد بازیابی (صدور در هنگام رمزگذاری)) و قفل را تغییر دهید (رمزگذاری را دوباره با کلیدهای دیگر انجام دهید)

برای محافظت مطمئن، داشتن TPM (ماژول پلتفرم قابل اعتماد) در رایانه شما مطلوب است. اگر وجود داشته باشد و نسخه آن 1.2 یا بالاتر باشد، روند را کنترل می کند و روش های حفاظتی قوی تری خواهید داشت. اگر وجود نداشته باشد، فقط می توان از کلید در درایو USB استفاده کرد.

BitLocker به شرح زیر عمل می کند. هر بخش از دیسک به طور جداگانه با استفاده از یک کلید (کلید رمزگذاری تمام حجم، FVEK) رمزگذاری می شود. از الگوریتم AES با کلید 128 بیتی و دیفیوزر استفاده شده است. کلید را می توان در سیاست های امنیتی گروه به 256 بیت تغییر داد.

برای انجام این کار، از جستجو در ویندوز 7 استفاده کنید. منوی Start را باز کنید و در قسمت جستجو "policies" را بنویسید و Change group policy را انتخاب کنید.

در پنجره ای که در سمت چپ باز می شود، مسیر را دنبال کنید

پیکربندی رایانه > الگوهای اداری > اجزای ویندوز > رمزگذاری درایو BitLocker

در سمت راست، روی Select disk encryption method and encryption power دوبار کلیک کنید

در پنجره باز شده روی Enable Policy کلیک کنید. در قسمت Select encryption method، مورد دلخواه را از لیست کشویی انتخاب کنید

قابل اعتمادترین AES با کلید 256 بیتی با دیفیوزر است. در این حالت، به احتمال زیاد بار روی پردازنده مرکزی کمی بیشتر خواهد بود، اما نه زیاد، و در رایانه های مدرن شما تفاوت را متوجه نخواهید شد. اما داده ها با اطمینان بیشتری محافظت می شوند.

استفاده از دیفیوزر قابلیت اطمینان را بیشتر می کند زیرا منجر به تغییرات قابل توجهی در اطلاعات رمزگذاری شده با تغییر جزئی در داده های اصلی می شود. یعنی هنگام رمزگذاری دو بخش با داده های تقریباً یکسان، نتیجه به طور قابل توجهی متفاوت خواهد بود.

خود کلید FVEK در میان ابرداده هارد دیسک قرار دارد و همچنین با استفاده از کلید اصلی صدا (VMK) رمزگذاری می شود. VMK نیز با استفاده از ماژول TPM رمزگذاری می شود. اگر مورد دوم وجود ندارد، از کلید موجود در درایو USB استفاده کنید.

اگر درایو USB با کلید در دسترس نیست، باید از کد بازیابی 48 رقمی استفاده کنید. پس از این، سیستم قادر خواهد بود کلید اصلی صدا را رمزگشایی کند، که با آن کلید FVEK را رمزگشایی می کند، که با آن قفل دیسک باز می شود و سیستم عامل بوت می شود.

بهبود BitLocker در ویندوز 7

هنگام نصب ویندوز 7 از درایو فلش یا دیسک، از شما خواسته می شود که دیسک را پارتیشن بندی یا پیکربندی کنید. هنگام تنظیم دیسک، یک پارتیشن بوت 100 مگابایتی اضافی ایجاد می شود. احتمالاً من تنها کسی نیستم که در مورد انتصاب او سؤال داشتم. این دقیقاً همان بخشی است که برای کارکرد فناوری Bitlocker مورد نیاز است.

این پارتیشن مخفی و قابل بوت است و رمزگذاری نشده است در غیر این صورت بارگذاری سیستم عامل ممکن نخواهد بود.

در ویندوز ویستا این پارتیشن یا حجم باید 1.5 گیگابایت باشد. در ویندوز 7 100 مگابایت ساخته شد.

اگر هنگام نصب سیستم عامل، آن را با برنامه های شخص ثالث پارتیشن بندی کردید، یعنی پارتیشن بوت ایجاد نکردید، در ویندوز 7 BitLocker خود پارتیشن لازم را آماده می کند. در ویندوز ویستا، شما باید آن را با استفاده از نرم افزار اضافی موجود در سیستم عامل ایجاد کنید.

ویندوز 7 همچنین فناوری BitLocker To Go را برای رمزگذاری درایوهای فلش و هارد اکسترنال معرفی کرد. بیایید بعداً به آن نگاه کنیم.

نحوه فعال کردن رمزگذاری درایو BitLocker

به طور پیش فرض، BitLocker به گونه ای پیکربندی شده است که با ماژول TPM اجرا شود و در صورت عدم وجود آن، نمی خواهد راه اندازی شود. (ابتدا فقط سعی کنید رمزگذاری را فعال کنید و اگر شروع شد، نیازی به غیرفعال کردن چیزی در خط مشی های گروه ندارید)

برای شروع رمزگذاری، به Control Panel\System and Security\BitLocker Drive Encryption بروید

دیسک مورد نظر را انتخاب کنید (در مثال ما پارتیشن سیستم است) و روی Enable BitLocker کلیک کنید

اگر تصویری مانند زیر می بینید

شما باید خط مشی های گروه را ویرایش کنید.

با استفاده از جستجو از منوی Start، ویرایشگر سیاست گروه محلی را فراخوانی کنید

در طول راه برویم

پیکربندی رایانه > قالب های اداری > اجزای ویندوز > رمزگذاری درایو BitLocker > درایوهای سیستم عامل

در سمت راست، احراز هویت اضافی مورد نیاز را انتخاب کنید

در پنجره ای که باز می شود، روی Enable کلیک کنید، سپس باید مطمئن شوید که چک باکس Allow use of BitLocker without a compatible TPM علامت زده شده است و روی OK کلیک کنید.

پس از این، BitLocker می تواند راه اندازی شود. از شما خواسته می شود که تنها گزینه امنیتی را انتخاب کنید - درخواست کلید راه اندازی هنگام راه اندازی. این چیزی است که ما انتخاب می کنیم

درایو فلش USB را که کلید راه اندازی روی آن نوشته می شود را وارد کرده و روی Save کلیک کنید

اکنون باید کلید بازیابی را ذخیره کنید تا درایو فلش با کلید راه اندازی در منطقه دسترسی نباشد. می‌توانید کلید را روی یک فلش درایو (ترجیحاً یکی دیگر) ذخیره کنید، کلید را در یک فایل ذخیره کنید تا بعداً به رایانه دیگری منتقل شود یا بلافاصله آن را چاپ کنید.

کلید بازیابی باید به طور طبیعی در مکانی امن ذخیره شود. من کلید را در یک فایل ذخیره می کنم

کلید بازیابی یک سند متنی ساده با خود کلید است

سپس پنجره نهایی را مشاهده خواهید کرد که در آن به شما توصیه می شود قبل از رمزگذاری درایو، اسکن سیستم BitLocker را اجرا کنید. روی Continue کلیک کنید

همه اسناد باز را ذخیره کنید و روی بارگذاری مجدد کلیک کنید

در اینجا چیزی است که اگر مشکلی پیش بیاید خواهید دید

اگر همه چیز کار کند، پس از راه اندازی مجدد رایانه، رمزگذاری شروع می شود

زمان به قدرت پردازنده شما، ظرفیت پارتیشن یا حجمی که در حال رمزگذاری هستید و سرعت تبادل اطلاعات با درایو (SSD یا HDD) بستگی دارد. یک درایو حالت جامد 60 گیگابایتی که تقریباً به اندازه ظرفیت پر شده است در حدود 30 دقیقه رمزگذاری می شود، در حالی که محاسبات توزیع شده داوطلبانه هنوز کار می کند.

هنگامی که رمزگذاری کامل شد، تصویر زیر را مشاهده خواهید کرد

پنجره را ببندید و بررسی کنید که آیا کلید راه اندازی و کلید بازیابی در مکان های امن هستند یا خیر.

رمزگذاری درایو فلش - BitLocker To Go

با ظهور فناوری BitLocker To Go در ویندوز 7، امکان رمزگذاری درایوهای فلش، کارت های حافظه و هاردهای اکسترنال فراهم شد. این بسیار راحت است زیرا از دست دادن یک فلش مموری بسیار راحت تر از لپ تاپ یا نت بوک است.

از طریق جستجو یا دنبال کردن مسیر

Start > Control Panel > System and Security > BitLocker Drive Encryption

پنجره کنترل را باز کنید درایو فلشی را که می خواهید رمزگذاری کنید وارد کنید و در قسمت BitLocker To Go رمزگذاری را برای درایو USB مورد نظر فعال کنید.

برای باز کردن قفل درایو باید روشی را انتخاب کنید. انتخاب بزرگ نیست: رمز عبور یا سیم کارت با کد پین. سیم کارت ها توسط بخش های ویژه در شرکت های بزرگ صادر می شود. بیایید از یک رمز عبور ساده استفاده کنیم.

کادر کنار استفاده از رمز عبور برای باز کردن قفل دیسک را علامت بزنید و رمز عبور را دو بار وارد کنید. به طور پیش فرض، حداقل طول رمز عبور 8 کاراکتر است (در خط مشی های گروه قابل تغییر است). روی Next کلیک کنید

ما انتخاب می کنیم که چگونه کلید بازیابی را ذخیره کنیم. احتمالاً چاپ آن بی خطر خواهد بود. ذخیره کنید و روی Next کلیک کنید

روی Start encryption کلیک کنید و از داده های خود محافظت کنید

زمان رمزگذاری به ظرفیت فلش مموری، میزان پر بودن آن از اطلاعات، قدرت پردازنده شما و سرعت تبادل اطلاعات با کامپیوتر بستگی دارد.

در درایوهای فلش بزرگ یا هاردهای اکسترنال، این روش می تواند زمان زیادی طول بکشد. در تئوری، این فرآیند را می توان در رایانه دیگری تکمیل کرد. برای انجام این کار، رمزگذاری را متوقف کرده و درایو را به درستی حذف کنید. شما آن را در رایانه دیگری قرار می دهید، با وارد کردن رمز عبور، قفل آن را باز می کنید و رمزگذاری به طور خودکار ادامه می یابد.

اکنون وقتی فلش درایو را روی رایانه خود نصب می کنید، پنجره ای در زیر ظاهر می شود که از شما می خواهد رمز عبور را وارد کنید.

اگر به این رایانه اعتماد دارید و نمی‌خواهید دائماً رمز عبور را وارد کنید، کادر Next را علامت بزنید تا قفل این رایانه به طور خودکار باز شود و روی باز کردن قفل کلیک کنید. در این رایانه دیگر نیازی به وارد کردن رمز عبور این فلش مموری نخواهید داشت.

برای اینکه اطلاعات موجود در درایو USB رمزگذاری شده در رایانه‌هایی که ویندوز ویستا یا XP دارند استفاده شود، درایو فلش باید به سیستم فایل FAT32 فرمت شود. در این سیستم عامل ها تنها با وارد کردن رمز عبور امکان باز کردن قفل فلش وجود خواهد داشت و اطلاعات فقط خواندنی خواهند بود. اطلاعات ضبط در دسترس نیست.

مدیریت پارتیشن رمزگذاری شده

مدیریت از پنجره رمزگذاری درایو BitLocker انجام می شود. می توانید این پنجره را با استفاده از جستجو پیدا کنید یا می توانید به آدرس مراجعه کنید

کنترل پنل > سیستم و امنیت > رمزگذاری درایو BitLocker

شما می توانید رمزگذاری را با کلیک بر روی "Turn off BitLocker" غیرفعال کنید. در این حالت دیسک یا حجم رمزگشایی می شود. این کار کمی طول می کشد و هیچ کلیدی نیاز نخواهد بود.

همچنین می‌توانید حفاظت را در اینجا متوقف کنید

این عملکرد برای استفاده هنگام به روز رسانی BIOS یا ویرایش دیسک بوت توصیه می شود. (همان با حجم 100 مگابایت). شما می توانید محافظت را فقط در درایو سیستم (پارتیشن یا حجمی که ویندوز روی آن نصب شده است) متوقف کنید.

چرا باید رمزگذاری را متوقف کنید؟ تا BitLocker درایو شما را مسدود نکند و به روش بازیابی متوسل نشوید. پارامترهای سیستم (BIOS و محتویات پارتیشن بوت) در هنگام رمزگذاری برای محافظت بیشتر قفل می شوند. تغییر آنها ممکن است کامپیوتر شما را مسدود کند.

اگر مدیریت BitLocker را انتخاب کنید، می توانید کلید بازیابی را ذخیره یا چاپ کنید و کلید راه اندازی را کپی کنید.

اگر یکی از کلیدها (کلید راه اندازی یا کلید بازیابی) گم شد، می توانید آنها را از اینجا بازیابی کنید.

رمزگذاری درایوهای خارجی را مدیریت کنید

عملکردهای زیر برای مدیریت تنظیمات رمزگذاری درایو فلش در دسترس هستند:

می توانید رمز عبور را تغییر دهید تا قفل آن باز شود. تنها در صورتی می توانید رمز عبور را حذف کنید که از کارت هوشمند برای باز کردن قفل آن استفاده کنید. همچنین می توانید کلید بازیابی را ذخیره یا چاپ کنید و باز کردن قفل دیسک را به صورت خودکار برای این رایانه فعال کنید.

بازیابی دسترسی به دیسک

بازیابی دسترسی به دیسک سیستم

اگر درایو فلش با کلید خارج از منطقه دسترسی باشد، کلید بازیابی وارد عمل می شود. هنگامی که کامپیوتر خود را بوت می کنید چیزی شبیه به زیر خواهید دید:

برای بازیابی دسترسی و بارگذاری ویندوز، Enter را فشار دهید

صفحه ای را مشاهده می کنید که از شما می خواهد کلید بازیابی خود را وارد کنید.

هنگامی که آخرین رقم را وارد می کنید، به شرط اینکه کلید بازیابی صحیح باشد، سیستم عامل به طور خودکار بوت می شود.

بازیابی دسترسی به درایوهای قابل جابجایی

برای بازیابی دسترسی به اطلاعات درایو فلش یا HDD خارجی، روی رمز عبور خود را فراموش کرده اید؟

کلید بازیابی را وارد کنید

و این کد 48 رقمی وحشتناک را وارد کنید. روی Next کلیک کنید

اگر کلید بازیابی مناسب باشد، دیسک باز می شود

پیوندی برای مدیریت BitLocker ظاهر می‌شود که در آن می‌توانید رمز عبور را برای باز کردن قفل درایو تغییر دهید.

نتیجه

در این مقاله یاد گرفتیم که چگونه از اطلاعات خود با رمزگذاری با استفاده از ابزار داخلی BitLocker محافظت کنیم. ناامید کننده است که این فناوری فقط در نسخه های قدیمی یا پیشرفته سیستم عامل ویندوز موجود است. همچنین مشخص شد که چرا این پارتیشن مخفی و قابل بوت با حجم 100 مگابایت هنگام راه اندازی دیسک با استفاده از ویندوز ایجاد می شود.

شاید از رمزگذاری درایوهای فلش یا هارد اکسترنال استفاده کنم. اما این بعید است زیرا جایگزین های خوبی در قالب سرویس های ذخیره سازی داده های ابری مانند DropBox، Google Drive، Yandex Drive و موارد مشابه وجود دارد.

با احترام، آنتون دیاچنکو

YouPK.ru

Bitlocker را در ویندوز فعال یا غیرفعال کنید

هیچ کس از این واقعیت تعجب نمی کند که اطلاعات صرفاً شخصی یا داده های شرکتی با ارزش بالا را می توان در رایانه شخصی ذخیره کرد. اگر چنین اطلاعاتی به دست اشخاص ثالثی بیفتد که می توانند از آن استفاده کنند نامطلوب است و باعث ایجاد مشکلات جدی برای مالک سابق رایانه شخصی می شود.


بسته به شرایط، Bitlocker را می توان فعال یا غیرفعال کرد.

به همین دلیل است که بسیاری از کاربران تمایل به انجام اقداماتی با هدف محدود کردن دسترسی به تمام فایل های ذخیره شده در رایانه دارند. چنین رویه ای در واقع وجود دارد. با انجام برخی دستکاری ها، هیچ فرد خارجی، بدون دانستن رمز عبور یا کلید بازیابی آن، نمی تواند به اسناد دسترسی پیدا کند.

شما می توانید با رمزگذاری درایو خود با Bitlocker از اطلاعات مهم در برابر دسترسی اشخاص ثالث محافظت کنید. چنین اقداماتی به اطمینان از محرمانه بودن کامل اسناد نه تنها در یک رایانه شخصی خاص، بلکه در مواردی که شخصی هارد دیسک را برداشته و آن را در رایانه شخصی دیگری وارد می کند، کمک می کند.

الگوریتم فعال و غیرفعال کردن تابع

رمزگذاری دیسک Bitlocker در ویندوز 7، 8 و 10 کار می کند، اما نه همه نسخه ها. فرض بر این است که مادربرد مجهز به رایانه خاصی که کاربر می خواهد روی آن رمزگذاری انجام دهد باید دارای یک ماژول TPM باشد.

مشاوره. اگر مطمئن هستید که چنین ماژول خاصی روی مادربرد شما وجود ندارد، ناراحت نشوید. ترفندهایی وجود دارد که به شما امکان می دهد چنین الزامی را "نادیده بگیرید" و بر این اساس بدون چنین ماژول نصب کنید.

قبل از شروع فرآیند رمزگذاری همه فایل ها، مهم است که توجه داشته باشید که این روش بسیار طولانی است. تعیین زمان دقیق از قبل دشوار است. همه چیز به مقدار اطلاعات روی هارد دیسک بستگی دارد. در طول فرآیند رمزگذاری، ویندوز 10 به کار خود ادامه می دهد، اما بعید است که شما را با عملکرد خود خوشحال کند، زیرا شاخص عملکرد به میزان قابل توجهی کاهش می یابد.

فعال کردن ویژگی

اگر ویندوز 10 را روی رایانه خود نصب کرده اید و تمایل فعالی برای فعال کردن رمزگذاری داده ها دارید، از نکات ما استفاده کنید تا نه تنها موفق شوید، بلکه راه تحقق این خواسته دشوار نیست. در ابتدا کلید "Win" را روی صفحه کلید خود پیدا کنید، گاهی اوقات با نماد ویندوز همراه است، آن را نگه دارید و همزمان کلید "R" را نگه دارید. با فشردن همزمان این دو کلید پنجره Run باز می شود.

در پنجره ای که باز می شود، یک خط خالی خواهید دید که در آن باید "gpedit.msc" را وارد کنید. پس از کلیک بر روی دکمه "Ok"، یک پنجره جدید "Local Group Policy Editor" باز می شود. در این پنجره راه کوتاهی در پیش داریم.

در سمت چپ پنجره، خط "Computer Configuration" را پیدا کرده و بلافاصله روی آن کلیک کنید، در زیر منوی باز شده، "Administrative Templates" را پیدا کنید و سپس در زیر منوی بعدی که باز می شود، به گزینه ای که ابتدا در لیست قرار دارد بروید. و "کامپوننت های ویندوز" نامیده می شود.

اکنون نگاه خود را به سمت راست پنجره ببرید، "Bitlocker Disk Encryption" را در آن پیدا کنید و برای فعال کردن آن دوبار کلیک کنید. اکنون لیست جدیدی باز می شود که هدف بعدی شما باید خط "دیسک های سیستم عامل" باشد. روی این خط نیز کلیک کنید، فقط باید یک انتقال دیگر انجام دهید تا به پنجره ای که Bitlocker مستقیماً در آن پیکربندی می شود نزدیک شوید و به شما امکان می دهد آن را روشن کنید، دقیقا همان چیزی است که می خواهید.

خط "این تنظیم خط مشی به شما امکان می دهد تا نیاز برای احراز هویت اضافی را در هنگام راه اندازی پیکربندی کنید" را پیدا کنید، برای گسترش این تنظیم دوبار کلیک کنید. در پنجره باز کلمه مورد نظر "فعال کردن" را پیدا خواهید کرد که در کنار آن یک چک باکس پیدا خواهید کرد، در آن باید علامت خاصی را به شکل تیک رضایت خود قرار دهید.

درست در زیر در این پنجره یک زیربخش "پلتفرم ها" وجود دارد که در آن باید کادر کنار پیشنهاد استفاده از BitLocker بدون ماژول خاص را علامت بزنید. این بسیار مهم است، به خصوص اگر ویندوز 10 شما دارای ماژول TPM نباشد.

پیکربندی تابع مورد نظر در این پنجره تکمیل شده است، بنابراین می توانید آن را ببندید. اکنون نشانگر ماوس را روی نماد "windows" ببرید، فقط روی آن کلیک راست کنید، که به شما امکان می دهد یک زیر منوی اضافی ظاهر شود. در آن خط "کنترل پنل" را پیدا خواهید کرد، به آن بروید و سپس به خط بعدی "رمزگذاری دیسک Bitlocker" بروید.

حتماً مشخص کنید که کجا می خواهید رمزگذاری انجام شود. این کار بر روی هر دو درایو سخت و قابل جابجایی قابل انجام است. پس از انتخاب شی مورد نظر، بر روی دکمه “Enable Bitlocker” کلیک کنید.

اکنون ویندوز 10 یک فرآیند خودکار را شروع می کند و گهگاه توجه شما را به خود جلب می کند و از شما می خواهد خواسته های خود را مشخص کنید. البته، بهتر است قبل از انجام چنین فرآیندی یک نسخه پشتیبان تهیه کنید. در غیر این صورت، در صورت گم شدن رمز عبور و کلید آن، حتی صاحب رایانه نیز قادر به بازیابی اطلاعات نخواهد بود.

در مرحله بعد، فرآیند آماده سازی دیسک برای رمزگذاری بعدی آغاز می شود. در حالی که این فرآیند در حال اجرا است، شما مجاز به خاموش کردن رایانه نیستید، زیرا این عمل می تواند آسیب جدی به سیستم عامل وارد کند. پس از چنین شکستی، شما به سادگی نمی توانید ویندوز 10 خود را راه اندازی کنید، بنابراین، به جای رمزگذاری، باید یک سیستم عامل جدید نصب کنید و زمان اضافی را تلف کنید.

به محض اینکه آماده سازی دیسک با موفقیت کامل شد، راه اندازی واقعی دیسک برای رمزگذاری آغاز می شود. از شما خواسته می شود که یک رمز عبور وارد کنید، که امکان دسترسی بعدی به فایل های رمزگذاری شده را فراهم می کند. همچنین از شما خواسته می شود یک کلید بازیابی ایجاد و وارد کنید. هر دوی این اجزای مهم بهتر است در مکانی امن و ترجیحا چاپ شده نگهداری شوند. بسیار احمقانه است که رمز عبور و کلید بازیابی را روی خود رایانه شخصی ذخیره کنید.

در طول فرآیند رمزگذاری، سیستم ممکن است از شما بپرسد که به طور خاص کدام قسمت را می خواهید رمزگذاری کنید. بهتر است کل فضای دیسک را تحت این روش قرار دهید، اگرچه گزینه ای برای رمزگذاری فقط فضای اشغال شده وجود دارد.

تنها چیزی که باقی می ماند این است که یک گزینه عمل مانند "حالت رمزگذاری جدید" را انتخاب کنید و سپس اسکن خودکار سیستم عامل BitLocker را اجرا کنید. در مرحله بعد، سیستم با خیال راحت این روند را ادامه می دهد، پس از آن از شما خواسته می شود کامپیوتر خود را مجددا راه اندازی کنید. البته این شرط را برآورده کنید و راه اندازی مجدد کنید.

پس از راه اندازی بعدی ویندوز 10، متقاعد خواهید شد که دسترسی به اسناد بدون وارد کردن رمز عبور غیرممکن خواهد بود. فرآیند رمزگذاری ادامه خواهد داشت، می توانید با کلیک بر روی نماد BitLocker واقع در پانل اعلان، آن را کنترل کنید.

غیرفعال کردن ویژگی

اگر به دلایلی فایل های موجود در رایانه شما دیگر از اهمیت بالایی برخوردار نیستند و واقعاً دوست ندارید هر بار برای دسترسی به آنها رمز عبور وارد کنید، پیشنهاد می کنیم به سادگی عملکرد رمزگذاری را غیرفعال کنید.

برای انجام چنین اقداماتی، به پنل اعلان ها بروید، نماد BitLocker را در آنجا پیدا کنید و روی آن کلیک کنید. در پایین پنجره باز، خط "Manage BitLocker" را پیدا خواهید کرد، روی آن کلیک کنید.

اکنون سیستم از شما می خواهد که انتخاب کنید کدام عمل برای شما ارجح است:

  • بایگانی کلید بازیابی؛
  • تغییر رمز عبور برای دسترسی به فایل های رمزگذاری شده؛
  • حذف رمز عبور از قبل تنظیم شده
  • BitLocker را غیرفعال کنید.

البته، اگر تصمیم به غیرفعال کردن BitLocker دارید، باید آخرین گزینه ارائه شده را انتخاب کنید. بلافاصله یک پنجره جدید روی صفحه ظاهر می شود که در آن سیستم می خواهد مطمئن شود که واقعاً می خواهید عملکرد رمزگذاری را غیرفعال کنید.

توجه. به محض کلیک بر روی دکمه "Disable BitLocker"، فرآیند رمزگشایی بلافاصله آغاز می شود. متأسفانه، این روند با سرعت بالا مشخص نمی شود، بنابراین قطعاً باید خود را برای مدتی آماده کنید، که در طی آن به سادگی باید منتظر بمانید.

البته، اگر در این لحظه نیاز به استفاده از رایانه دارید، می توانید آن را بپردازید؛ هیچ منع قطعی در این مورد وجود ندارد. با این حال، باید خود را برای این واقعیت آماده کنید که عملکرد رایانه شخصی در این لحظه ممکن است بسیار پایین باشد. درک دلیل این کندی کار دشواری نیست، زیرا سیستم عامل باید حجم عظیمی از اطلاعات را باز کند.

بنابراین، اگر می خواهید فایل ها را در رایانه خود رمزگذاری یا رمزگشایی کنید، فقط باید توصیه های ما را بخوانید، سپس بدون عجله هر مرحله از الگوریتم مشخص شده را انجام دهید و پس از اتمام، از نتیجه به دست آمده خوشحال شوید.

NastroyVse.ru

راه اندازی Bitlocker

Bitlocker ابزاری است که رمزگذاری داده‌ها را در سطح حجم ارائه می‌کند (یک حجم می‌تواند بخشی از یک دیسک را اشغال کند یا می‌تواند شامل آرایه‌ای از چندین دیسک باشد.) Bitlocker برای محافظت از داده‌های شما در صورت گم شدن یا سرقت لپ‌تاپ/رایانه استفاده می‌شود. . در نسخه اصلی خود، BitLocker تنها برای یک جلد - دیسک با سیستم عامل محافظت می کرد. BitLocker با تمام نسخه های Server 2008 R2 و Server 2008 (به جز نسخه Itanium)، به علاوه Windows 7 Ultimate and Enterprise و Windows Vista گنجانده شده است. در نسخه‌های Windows Server 2008 و Vista SP1، مایکروسافت حفاظتی را برای حجم‌های مختلف از جمله حجم داده‌های محلی پیاده‌سازی کرده است. در نسخه‌های Windows Server 2008 R2 و Windows 7، توسعه‌دهندگان پشتیبانی از دستگاه‌های ذخیره‌سازی اطلاعات قابل جابجایی (دستگاه‌های حافظه فلش USB و هارد دیسک‌های خارجی) را اضافه کردند. این ویژگی BitLocker To Go نام دارد. فناوری BitLocker از الگوریتم رمزگذاری AES استفاده می‌کند؛ کلید را می‌توان در یک TMP (ماژول پلتفرم قابل اعتماد - مدار ویژه‌ای که در حین ساخت در رایانه نصب شده و کلیدهای رمزگذاری را ذخیره می‌کند) یا در یک دستگاه USB ذخیره کرد. ترکیب های دسترسی زیر امکان پذیر است:

TPM - TPM + PIN - TPM + PIN + کلید USB - TPM + کلید USB - کلید USB از آنجایی که رایانه ها اغلب TMP ندارند، می خواهم مرحله به مرحله نحوه پیکربندی BitLocker با درایو USB را شرح دهم.

به "رایانه" بروید و روی درایو محلی که می خواهیم رمزگذاری کنیم کلیک راست کنید (در این مثال درایو محلی C را رمزگذاری می کنیم) و "Enable BitLocker" را انتخاب کنید.


بعد از این مراحل با خطا مواجه خواهیم شد.

همانطور که قبلاً نوشتم قابل درک است - ماژول TMP در این رایانه وجود ندارد و این نتیجه است ، اما همه اینها را می توان به راحتی برطرف کرد ، فقط به سیاست های محلی رایانه بروید و تنظیمات را در آنجا تغییر دهید ، برای این کار باید به ویرایشگر سیاست های محلی بروید - در قسمت جستجوی gpedit .msc بنویسید و "Enter" را فشار دهید.

در نتیجه، پنجره سیاست های محلی باز می شود، به مسیر "پیکربندی کامپیوتر - قالب های اداری - اجزای ویندوز - رمزگذاری درایو Bit-Locker - درایوهای سیستم عامل" بروید و در سیاست احراز هویت اضافی مورد نیاز هنگام راه اندازی، آن را بر روی فعال کنید. همچنین باید مطمئن شوید که چک باکس Allow use of BitLocker without a compatible TPM علامت زده شده باشد. روی «تأیید» کلیک کنید.

اکنون، اگر مراحل اول را برای فعال کردن BitLocker در یک درایو محلی تکرار کنید، پنجره ای برای پیکربندی رمزگذاری دیسک باز می شود؛ در هنگام راه اندازی گزینه "درخواست راه اندازی کلید" را انتخاب کنید (اما، ما انتخابی نداشتیم، این به دلیل کمبود است. یک TPM).

در پنجره بعدی، دستگاه USB که کلید روی آن ذخیره می شود را انتخاب کنید.

سپس محل ذخیره کلید بازیابی را انتخاب می کنیم (این کلیدی است که در صورت از دست دادن رسانه با کلید اصلی به صورت دستی وارد می شود)، توصیه می کنم این کار را در یک درایو USB دیگر یا در رایانه دیگری انجام دهید یا آن را چاپ کنید. اگر کلید بازیابی را در یک رایانه یا در همان درایو USB ذخیره کنید، در صورت گم کردن USB که کلید روی آن ذخیره شده است، نمی‌توانید ویندوز را راه‌اندازی کنید. در این مثال، من در درایو USB دیگری ذخیره کردم.

در پنجره بعدی، چک سیستم Bitlocker را با کلیک کردن بر روی دکمه "ادامه" اجرا کنید، پس از آن کامپیوتر دوباره راه اندازی می شود.

پس از بوت شدن کامپیوتر، پنجره فرآیند رمزگذاری ظاهر می شود. این اغلب یک روش طولانی است که چندین ساعت نیاز دارد.

در نتیجه، ما یک درایو رمزگذاری شده C داریم که بدون درایو USB با کلید یا کلید بازیابی راه اندازی نمی شود.

pk-help.com

نحوه تنظیم رمزگذاری داده BitLocker برای ویندوز

برای محافظت در برابر دسترسی غیرمجاز به فایل های ذخیره شده روی هارد دیسک و همچنین درایوهای قابل جابجایی (درایوهای خارجی یا درایوهای فلش USB)، کاربران سیستم عامل ویندوز این امکان را دارند که آنها را با استفاده از نرم افزار رمزگذاری داخلی BitLocker و BitLocker To Go رمزگذاری کنند.

برنامه رمزگذاری BitLocker و BitLocker To Go در نسخه های حرفه ای و Enterprise سیستم عامل ویندوز 8/8.1 و همچنین در نسخه Ultimate ویندوز 7 از قبل نصب شده است. اما کاربران نسخه اصلی ویندوز 8.1 نیز به گزینه Device Encryption، که به عنوان آنالوگ BitLocker در نسخه های پیشرفته تر سیستم عامل عمل می کند.

نرم افزار رمزگذاری BitLocker را فعال کنید

برای فعال کردن برنامه رمزگذاری BitLocker، Control Panel را باز کنید و سپس به System and Security > BitLocker Drive Encryption بروید. همچنین می‌توانید Windows Explorer ("رایانه") را باز کنید، روی درایو انتخاب شده کلیک راست کرده و "Enable BitLocker" را از منوی کشویی انتخاب کنید. اگر خط بالا در منو نیست، شما نسخه اشتباهی از سیستم عامل ویندوز دارید.

برای فعال کردن BitLocker برای درایو سیستم، درایو داده یا درایو قابل جابجایی، باید Enable BitLocker را انتخاب کنید.

در این پنجره، 2 نوع رمزگذاری درایو BitLocker در دسترس شما است:

  • رمزگذاری درایو BitLocker - هارد دیسک ها: این ویژگی به شما امکان می دهد کل درایو خود را رمزگذاری کنید. هنگامی که کامپیوتر خود را بوت می کنید، بوت لودر ویندوز داده ها را از ناحیه هارد دیسک رزرو شده توسط سیستم بارگیری می کند و از شما خواسته می شود که نوع قفلی که مشخص کرده اید را وارد کنید، مثلاً رمز عبور را وارد کنید. سپس BitLocker فرآیند رمزگشایی داده ها را انجام می دهد و فرآیند بوت ویندوز ادامه می یابد. به عبارت دیگر، رمزگذاری را می توان به عنوان فرآیندی در نظر گرفت که بدون توجه کاربر رخ می دهد. طبق معمول، شما با فایل ها و داده ها کار می کنید که به نوبه خود روی دیسک رمزگذاری می شوند. علاوه بر این، می توانید از رمزگذاری نه تنها برای درایوهای سیستم استفاده کنید.
  • "رمزگذاری درایو BitLocker - BitLocker To Go": دستگاه های ذخیره سازی خارجی مانند درایوهای فلش USB یا هارد دیسک های خارجی را می توان با استفاده از ابزار BitLocker To Go رمزگذاری کرد. هنگامی که یک دستگاه رمزگذاری شده را به رایانه خود متصل می کنید، برای مثال از شما خواسته می شود که یک رمز عبور وارد کنید، که از داده های شما در برابر افراد غریبه محافظت می کند.

استفاده از BitLocker بدون TPM

اگر سعی کنید با استفاده از BitLocker در رایانه شخصی بدون ماژول پلتفرم مورد اعتماد (TPM) رمزگذاری کنید، پنجره زیر باز می شود و از شما می خواهد گزینه «Allow BitLocker بدون TPM سازگار» را فعال کنید.

نرم افزار رمزگذاری BitLocker برای عملکرد صحیح به رایانه شخصی با TPM سخت افزاری برای محافظت از درایو سیستم نیاز دارد. ماژول TPM یک تراشه کوچک است که روی مادربرد نصب شده است. BitLocker می تواند کلیدهای رمزگذاری را در آنجا ذخیره کند، که گزینه ای امن تر از ذخیره آنها در یک درایو داده معمولی است. ماژول TPM کلیدها را تنها پس از راه اندازی و بررسی وضعیت سیستم ارائه می دهد، که امکان رمزگشایی داده ها را در صورت دزدیده شدن هارد دیسک یا ایجاد تصویر دیسک رمزگذاری شده برای هک کردن در رایانه دیگری از بین می برد.

برای فعال کردن گزینه بالا باید حقوق مدیر داشته باشید. فقط باید Local Group Policy Editor را باز کنید و گزینه زیر را فعال کنید.

کلیدهای ترکیبی Win + R را فشار دهید تا گفتگوی Run اجرا شود، دستور gpedit.msc را وارد کنید. بعد، به نکات زیر بروید - پیکربندی رایانه > قالب های اداری > اجزای ویندوز > رمزگذاری درایو BitLocker > درایوهای سیستم عامل. بر روی گزینه "نیاز به احراز هویت اضافی در هنگام راه اندازی" دوبار کلیک کنید، گزینه "فعال" را انتخاب کنید و کادر "Allow BitLocker without a compatible TPM" را علامت بزنید. برای ذخیره تنظیمات روی "اعمال" کلیک کنید.

انتخاب روش باز کردن قفل دیسک

اگر مراحل بالا را با موفقیت انجام دادید، پنجره «انتخاب نحوه باز کردن قفل درایو در هنگام راه‌اندازی» از شما خواسته می‌شود. اگر رایانه شما دارای ماژول TPM نیست، دو گزینه دارید: یک رمز عبور وارد کنید یا از یک درایو فلش USB ویژه (کارت هوشمند) به عنوان کلید باز کردن قفل استفاده کنید.

اگر یک ماژول TPM روی مادربرد وجود داشته باشد، گزینه های بیشتری در دسترس شما خواهد بود. به عنوان مثال، پیکربندی باز کردن قفل خودکار هنگام بوت شدن رایانه امکان پذیر است - همه کلیدها در ماژول TPM ذخیره می شوند و به طور خودکار برای رمزگشایی داده ها روی دیسک استفاده می شوند. همچنین می توانید یک رمز عبور پین را روی بوت لودر قرار دهید، که سپس کلیدهای رمزگشایی ذخیره شده در TPM و سپس کل دیسک را باز می کند.

روشی را که برای شما مناسب تر است انتخاب کنید و دستورالعمل های نصب کننده را دنبال کنید.

ایجاد یک کلید پشتیبان

BitLocker همچنین به شما امکان ایجاد یک کلید پشتیبان را می دهد. اگر کلید اصلی خود را فراموش کرده یا گم کرده اید، از این کلید برای دسترسی به داده های رمزگذاری شده استفاده می شود، به عنوان مثال، رمز ورود کلید را فراموش کرده اید یا هارد دیسک را به رایانه شخصی جدید با ماژول TPM جدید و غیره منتقل می کنید.

می توانید کلید را در یک فایل ذخیره کنید، آن را چاپ کنید، آن را در یک درایو USB خارجی قرار دهید، یا آن را در حساب مایکروسافت خود (برای کاربران ویندوز 8 و 8.1) ذخیره کنید. نکته اصلی این است که مطمئن شوید که این کلید پشتیبان در مکانی امن ذخیره می شود، در غیر این صورت یک مهاجم به راحتی می تواند BitLocker را دور بزند و به تمام داده های مورد علاقه خود دسترسی پیدا کند. اما با وجود این، ایجاد یک کلید پشتیبان ضروری است، زیرا اگر کلید اصلی را بدون کلید پشتیبان گم کنید، تمام اطلاعات خود را از دست خواهید داد.

رمزگذاری و رمزگشایی دیسک

BitLocker فایل های جدید را به صورت خودکار رمزگذاری می کند، اما شما باید انتخاب کنید که چگونه می خواهید بقیه فضای دیسک خود را رمزگذاری کنید. شما می توانید کل دیسک (از جمله فضای آزاد) را رمزگذاری کنید - گزینه دوم در تصویر زیر، یا فقط فایل ها - گزینه اول، که روند رمزگذاری را سرعت می بخشد.

هنگام استفاده از BitLocker در رایانه شخصی جدید (یعنی با سیستم عامل تازه نصب شده)، بهتر است از رمزگذاری فضای اشغال شده توسط فایل ها استفاده کنید، زیرا این کار کمی طول می کشد. با این حال، اگر رمزگذاری را برای دیسکی که برای مدت طولانی استفاده شده است، فعال کنید، بهتر است از روشی استفاده کنید که در آن کل دیسک رمزگذاری شود، حتی با فضای خالی. این روش بازیابی فایل های حذف شده قبلی که رمزگذاری نشده اند را غیرممکن می کند. بنابراین، روش اول سریعتر است، اما روش دوم قابل اعتمادتر است.

هنگام تنظیم بیشتر رمزگذاری، BitLocker سیستم را تجزیه و تحلیل کرده و کامپیوتر را مجددا راه اندازی می کند. پس از راه اندازی مجدد رایانه شخصی، فرآیند رمزگذاری شروع می شود. در سینی به عنوان یک نماد نمایش داده می شود که با کمک آن درصد پیشرفت فرآیند را مشاهده خواهید کرد. همچنان می توانید از رایانه خود استفاده کنید، اما به دلیل اجرای همزمان رمزگذاری فایل، سرعت سیستم کمی کاهش می یابد.

پس از اتمام رمزگذاری و دفعه بعد که رایانه شخصی خود را راه اندازی می کنید، BitLocker پنجره ای را به شما نشان می دهد که در آن باید رمز عبور، پین یا درایو USB را به عنوان کلید وارد کنید (بسته به نحوه پیکربندی قبلی دسترسی به کلید).

با فشردن کلید Escape در این پنجره، در صورتی که دسترسی به کلید اصلی از بین رفته باشد، به پنجره ای برای وارد کردن کلید پشتیبان هدایت می شوید.

اگر روش رمزگذاری BitLocker To Go را برای دستگاه های خارجی انتخاب کنید، با یک جادوگر راه اندازی مشابه روبرو خواهید شد، اما در این صورت، نیازی به راه اندازی مجدد رایانه خود نخواهید داشت. تا زمانی که فرآیند رمزگذاری کامل نشده است، درایو خارجی را جدا نکنید.

دفعه بعد که دستگاه رمزگذاری شده را به رایانه شخصی متصل می کنید، از شما رمز عبور یا کارت هوشمند برای باز کردن قفل آن درخواست می شود. یک دستگاه محافظت شده با BitLocker با نماد مربوطه در مدیر فایل یا Windows Explorer ظاهر می شود.

شما می توانید درایو رمزگذاری شده (تغییر رمز عبور، خاموش کردن رمزگذاری، ایجاد نسخه پشتیبان از کلید و غیره) را با استفاده از پنجره کنترل پنل BitLocker مدیریت کنید. با کلیک راست بر روی درایو رمزگذاری شده و انتخاب "Manage BitLocker" به مقصد می رسید.

مانند هر روش دیگری برای محافظت از اطلاعات، رمزگذاری بیدرنگ در حال حرکت با BitLocker البته برخی از منابع رایانه شما را اشغال می کند. این عمدتا منجر به افزایش بار CPU به دلیل رمزگذاری مداوم داده ها از دیسک به دیسک می شود. اما از سوی دیگر، برای افرادی که اطلاعات آنها باید به طور قابل اعتماد در برابر چشمان کنجکاو محافظت شود، اطلاعاتی که می تواند برگ برنده های مخربی را در دست مهاجمان ایجاد کند، این کاهش بهره وری سازشکارانه ترین راه حل است.

osmaster.org.ua

رمزگذاری در ویندوز 7 با استفاده از BitLocker

ولادیمیر بزمالی

در 7 ژانویه 2009، مایکروسافت نسخه بعدی سیستم عامل را برای ایستگاه های کاری - ویندوز 7 برای آزمایش ارائه کرد. در این سیستم عامل، همانطور که مرسوم شده است، فناوری های امنیتی به طور گسترده ای ارائه شده است، از جمله آنهایی که قبلا در ویندوز ویستا ارائه شده بودند. امروز در مورد فناوری رمزگذاری ویندوز BitLocker صحبت خواهیم کرد که از زمان معرفی آن در ویندوز ویستا دستخوش تغییرات قابل توجهی شده است. به نظر می رسد امروزه هیچ کس نیازی به قانع شدن نیاز به رمزگذاری داده ها بر روی هارد دیسک ها و رسانه های قابل جابجایی ندارد، با این وجود، ما استدلال هایی را به نفع این راه حل ارائه خواهیم داد.

از دست دادن داده های محرمانه به دلیل سرقت یا گم شدن دستگاه های تلفن همراه

امروزه هزینه سخت افزار چندین برابر کمتر از هزینه اطلاعات موجود در دستگاه است. داده های از دست رفته می تواند منجر به از دست دادن شهرت، از دست دادن رقابت پذیری و دعوی قضایی بالقوه شود.

در سراسر جهان، مسائل مربوط به رمزگذاری داده ها مدت هاست که توسط قوانین مربوطه تنظیم شده است. بنابراین، برای مثال، در ایالات متحده آمریکا، ایالات متحده قانون اصلاح امنیت اطلاعات دولتی (GISRA) برای محافظت از اطلاعات حساس دولتی به رمزگذاری داده ها نیاز دارد. کشورهای اتحادیه اروپا دستورالعمل حفظ حریم خصوصی داده های اتحادیه اروپا را پذیرفته اند. کانادا و ژاپن قوانین خاص خود را دارند.

همه این قوانین برای از دست دادن اطلاعات شخصی یا شرکتی مجازات های شدیدی را در نظر می گیرند. هنگامی که دستگاه شما به سرقت رفت (گم شد)، ممکن است اطلاعات شما همراه با آن از بین برود. از رمزگذاری داده ها می توان برای جلوگیری از دسترسی غیرمجاز به داده ها استفاده کرد. علاوه بر این، خطراتی مانند دسترسی غیرمجاز به داده ها در طول تعمیرات (از جمله گارانتی) یا فروش دستگاه های دست دوم را فراموش نکنید.

و این واقعیت که اینها کلمات خالی نیستند، افسوس که بارها توسط حقایق تأیید شده است. یک کارمند مستقل وزارت کشور بریتانیا یک کارت حافظه حاوی اطلاعات شخصی بیش از صدها هزار جنایتکار، از جمله کسانی که در حال گذراندن دوران محکومیت بودند، گم کرد. در پیام این اداره آمده است. رسانه ها حاوی اسامی، آدرس و در برخی موارد جزئیات اتهامات 84000 زندانی در زندان های بریتانیا بودند. همچنین روی کارت حافظه آدرس 30 هزار نفر با سابقه کیفری شش یا بیشتر درج شده است. همانطور که این وزارتخانه تصریح کرد، اطلاعات کارت حافظه توسط محققی از RA Consulting استفاده شده است. ما از یک نقض امنیتی که منجر به از دست دادن اطلاعات شخصی در مورد قانون شکنان در انگلستان و ولز شد، یک کارمند قراردادی مطلع شدیم. یک نماینده وزارت امور داخله گفت: اکنون تحقیقات کامل در جریان است.

وزیر امور داخلی دولت "سایه"، دومینیک گریو، قبلاً در این مورد اظهار نظر کرده است. وی خاطرنشان کرد که مالیات دهندگان بریتانیایی از رفتار دولت بریتانیا با اطلاعات طبقه بندی شده "کاملاً شوکه خواهند شد".

گریو یادآور شد که این اولین مورد از دست دادن اطلاعات محرمانه توسط سازمان ها و بخش های مختلف در بریتانیا نیست.

در ماه آوریل، یک بانک بزرگ بریتانیایی، HSBC، به از دست دادن دیسکی که اطلاعات شخصی 370 هزار مشتری آن در آن ذخیره شده بود، اعتراف کرد. در اواسط فوریه، مشخص شد که یک لپ تاپ با اطلاعات پزشکی 5 هزار و 123 بیمار از بیمارستان بریتانیایی راسلز هال در شهر دادلی (وست میدلندز) به سرقت رفته است. در پایان ژانویه گزارش شد که یک لپ‌تاپ با اطلاعات شخصی ۲۶ هزار کارمند از سوپرمارکت‌های زنجیره‌ای بریتانیایی مارکس اند اسپنسر به سرقت رفته است. دس براون رئیس وزارت دفاع بریتانیا در 21 ژانویه اعلام کرد که سه لپ تاپ با اطلاعات شخصی هزاران نفر از این وزارتخانه به سرقت رفته است.

دسامبر گذشته فاش شد که یک شرکت خصوصی آمریکایی سوابق سه میلیون متقاضی گواهینامه رانندگی بریتانیا را از دست داده است. آنها روی هارد دیسک کامپیوتر قرار داشتند. اطلاعات از دست رفته شامل نام، آدرس و شماره تلفن متقاضیان گواهینامه رانندگی بین سپتامبر 2004 تا آوریل 2007 است.

در پایان اکتبر 2007، دو دیسک حاوی اطلاعات 25 میلیون دریافت کننده کمک هزینه کودک و حساب های بانکی آنها در مسیر بین دو سازمان دولتی ناپدید شد. عملیات جستجوی گسترده ای که 500000 پوند برای مالیات دهندگان هزینه داشت، هیچ نتیجه ای نداشت.

همچنین در خرداد ماه سال جاری بسته ای حاوی اسناد محرمانه (http://korrespondent.net/world/493585) حاوی اطلاعاتی درباره مبارزه با تامین مالی تروریسم، قاچاق مواد مخدر و پولشویی در یکی از قطارهای عازم لندن کشف شد. پیش از این بسته ای حاوی اسناد محرمانه مربوط به آخرین اطلاعات درباره شبکه تروریستی القاعده (http://korrespondent.net/world/490374) روی صندلی قطار در لندن کشف شده بود. سوال این است که کاربران چه فکری می کردند که اجازه این اتفاق را داد؟

در اینجا واقعیت دیگری وجود دارد که باید صاحبان دستگاه های تلفن همراه را به فکر وادار کند

طبق گزارش موسسه Ponemon (http://computerworld.com/action/inform.do?command=search&searchTerms=The+Ponemon+Institute)، سالانه تقریباً 637000 لپ‌تاپ در فرودگاه‌های بزرگ و متوسط ​​در ایالات متحده گم می‌شود. طبق این نظرسنجی، لپ تاپ ها معمولاً در پست های بازرسی امنیتی گم می شوند.

هر هفته حدود 10278 لپ تاپ در 36 فرودگاه بزرگ آمریکا گم می شود و 65 درصد از آنها به صاحبانشان بازگردانده نمی شود. در فرودگاه‌های متوسط، تقریباً 2000 لپ‌تاپ گم شده و 69 درصد از آنها به صاحبانشان بازگردانده نمی‌شوند. این موسسه در 106 فرودگاه در 46 کشور نظرسنجی انجام داد و با 864 نفر مصاحبه کرد.

رایج‌ترین مکان‌هایی که لپ‌تاپ‌ها گم می‌شوند، پنج فرودگاه زیر هستند:

  • لس آنجلس بین المللی
  • میامی بین المللی
  • جان اف کندی بین المللی
  • شیکاگو اوهار
  • نیوآرک لیبرتی اینترنشنال

مسافران مطمئن نیستند که لپ تاپ های گم شده به آنها بازگردانده شود.

حدود 77 درصد از افراد مورد بررسی گفتند که هیچ امیدی به بازگرداندن لپ تاپ گم شده خود ندارند و 16 درصد نیز گفته اند که اگر لپ تاپ خود را گم کنند، کاری انجام نمی دهند. حدود 53 درصد گفتند که لپ تاپ ها حاوی اطلاعات محرمانه شرکت هستند و 65 درصد گفتند که هیچ کاری برای محافظت از اطلاعات انجام نداده اند.

(http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=17&articleId=9105198&intsrc=hm_topic)

چه چیزی را می توان با این مخالفت کرد؟ فقط رمزگذاری داده ها

در این مورد، رمزگذاری به عنوان آخرین خط دفاع فیزیکی برای رایانه شخصی شما عمل می کند. امروزه انواع زیادی از فناوری های رمزگذاری هارد دیسک وجود دارد. طبیعتاً مایکروسافت پس از نمایش موفقیت آمیز فناوری BitLocker خود به عنوان بخشی از Windows Vista Enterprise و Windows Vista Ultimate نتوانست این فناوری را در ویندوز 7 قرار دهد. اما انصافاً شایان ذکر است که در سیستم عامل جدید شاهد خواهیم بود. یک فناوری رمزگذاری که به طور قابل توجهی دوباره طراحی شده است.

رمزگذاری در ویندوز 7

بنابراین، آشنایی ما با نصب ویندوز 7 بر روی رایانه شخصی شما آغاز می شود. در ویندوز ویستا، برای استفاده از رمزگذاری، باید یکی از دو کار را انجام می دادید: یا ابتدا هارد دیسک خود را با استفاده از خط فرمان با پارتیشن بندی مناسب آن آماده کنید، یا بعداً با استفاده از نرم افزار ویژه مایکروسافت (ابزار آماده سازی دیسک BitLocker) این کار را انجام دهید. در ویندوز 7، مشکل در ابتدا، هنگام پارتیشن بندی هارد دیسک حل می شود. پس موقع نصب یه پارتیشن سیستمی با ظرفیت 39 گیگ مشخص کردم و ... 2 پارتیشن گرفتم! حجم یکی 200 مگابایت و دومی کمی بیش از 38 گیگابایت است. علاوه بر این، در پنجره استاندارد Explorer تصویر زیر را مشاهده می کنید (شکل 1).

برنج. 1. پنجره کاوشگر

اما با باز کردن Start – All Programs – Administrative Tools – Computer Management – ​​Disk Management موارد زیر را مشاهده خواهید کرد (شکل 2):

برنج. 2. مدیریت کامپیوتر

همانطور که می بینید پارتیشن اول با حجم 200 مگابایت به سادگی مخفی شده است. به طور پیش فرض، پارتیشن سیستم، فعال و اصلی است. برای کسانی که قبلاً با رمزگذاری در ویندوز ویستا آشنا هستند، در این مرحله چیز جدیدی وجود ندارد، به جز اینکه پارتیشن بندی به این روش به طور پیش فرض انجام می شود و هارد دیسک از قبل برای رمزگذاری بعدی در مرحله نصب آماده شده است. تنها تفاوت قابل توجه اندازه آن است - 200 مگابایت در مقابل 1.5 گیگابایت در ویندوز ویستا.

البته ، چنین پارتیشن بندی دیسک به پارتیشن ها بسیار راحت تر است ، زیرا اغلب کاربر هنگام نصب سیستم عامل بلافاصله به این فکر نمی کند که آیا هارد دیسک را رمزگذاری می کند یا خیر.

بلافاصله پس از نصب سیستم عامل، در Control Panel در قسمت System and Security می توانیم (شکل 3) BitLocker Drive Encryption را انتخاب کنیم.

برنج. 3. سیستم و امنیت

با انتخاب Protect your computer by encrypting data on disk، پنجره ای ظاهر می شود (شکل 4)

برنج. 4. رمزگذاری درایو BitLocker

لطفاً توجه داشته باشید (در شکل با رنگ قرمز مشخص شده است) گزینه هایی که در ویندوز ویستا وجود ندارند یا به طور متفاوتی سازماندهی شده اند. بنابراین، در ویندوز ویستا، رسانه های قابل جابجایی تنها در صورتی می توانند رمزگذاری شوند که از سیستم فایل NTFS استفاده کنند، و رمزگذاری مطابق با قوانین مربوط به هارد دیسک ها انجام می شود. و رمزگذاری پارتیشن دوم هارد (در این مورد درایو D:) فقط پس از رمزگذاری پارتیشن سیستم (درایو C:) امکان پذیر بود.

با این حال، فکر نکنید که وقتی گزینه Turn on BitLocker را انتخاب کردید، خوب هستید. اینطور نیست! اگر BitLocker را بدون گزینه های اضافی فعال کنید، تنها چیزی که به دست می آورید رمزگذاری هارد دیسک در این رایانه بدون استفاده از TPM است، که همانطور که قبلاً در مقاله هایم اشاره کردم، مثال خوبی نیست. با این حال، کاربران در برخی از کشورها، به عنوان مثال، فدراسیون روسیه یا اوکراین، به سادگی هیچ انتخاب دیگری ندارند، زیرا واردات کامپیوترهای دارای TRM در این کشورها ممنوع است. در این حالت Turn on BitLocker را انتخاب کرده و به شکل 5 می رسید.

برنج. 5. رمزگذاری درایو BitLocker

اگر می خواهید از TPM برای استفاده از قدرت کامل رمزگذاری استفاده کنید، باید از ویرایشگر Group Policy استفاده کنید. برای انجام این کار، باید حالت خط فرمان (cmd.exe) را راه اندازی کنید و gpedit.msc را در خط فرمان تایپ کنید (شکل 6)، و ویرایشگر Group Policy را راه اندازی کنید (شکل 7).

برنج. 6. Group Policy Editor را اجرا کنید

برنج. 7. ویرایشگر خط مشی گروه

بیایید نگاهی دقیق‌تر به گزینه‌های Group Policy که می‌توان برای مدیریت رمزگذاری BitLocker استفاده کرد، بیندازیم.

گزینه های خط مشی گروه رمزگذاری درایو BitLocker

ذخیره اطلاعات بازیابی BitLocker در Active Directory Domain Services (ویندوز سرور 2008 و ویندوز ویستا)

با استفاده از این گزینه Group Policy، می توانید خدمات دامنه Active Directory (AD DS) را مدیریت کنید تا از اطلاعات برای بازیابی رمزگذاری درایو BitLocker بعدی نسخه پشتیبان تهیه کنید. این گزینه فقط برای رایانه های دارای ویندوز سرور 2008 یا ویندوز ویستا کاربرد دارد.

وقتی این گزینه تنظیم شود، وقتی BitLocker فعال است، اطلاعات بازیابی آن به طور خودکار در AD DS کپی می شود.

اگر این گزینه خط مشی را غیرفعال کنید یا آن را در حالت پیش فرض قرار دهید، اطلاعات بازیابی BitLocker در AD DS کپی نمی شود.

پوشه پیش فرض را برای رمز عبور بازیابی انتخاب کنید

این گزینه خط مشی به شما امکان می دهد مکان پوشه پیش فرض را برای ذخیره رمز عبور بازیابی تعریف کنید، که در صورت درخواست توسط BitLocker Drive Encryption Wizard نمایش داده می شود. این گزینه زمانی اعمال می شود که رمزگذاری BitLocker را فعال می کنید. البته لازم به ذکر است که کاربر می تواند رمز بازیابی را در هر پوشه دیگری ذخیره کند.

نحوه بازیابی درایوهای محافظت شده توسط BitLocker (ویندوز سرور 2008 و ویندوز ویستا) را انتخاب کنید.

این گزینه به شما امکان می دهد تا گزینه های بازیابی BitLocker را که توسط جادوگر نصب نمایش داده می شود، کنترل کنید. این خط‌مشی برای رایانه‌های دارای Windows Server 2008 و Windows Vista اعمال می‌شود. این گزینه زمانی اعمال می شود که BitLocker فعال باشد.

برای بازیابی اطلاعات رمزگذاری شده، کاربر می تواند از یک رمز عبور دیجیتال 48 رقمی یا یک درایو USB حاوی کلید بازیابی 256 بیتی استفاده کند.

با استفاده از این گزینه می توانید اجازه دهید که کلید رمز عبور 256 بیتی در درایو USB به عنوان یک فایل نامرئی و یک فایل متنی حاوی رمز عبور بازیابی 48 رقمی ذخیره شود.

اگر این قانون Group Policy را غیرفعال کنید یا پیکربندی نکنید، BitLocker Setup Wizard به کاربر اجازه می دهد تا گزینه های بازیابی را انتخاب کند.

اگر این تنظیم خط مشی را غیرفعال کنید یا پیکربندی نکنید، BitLocker Setup Wizard راه های دیگری را برای حفظ گزینه های بازیابی در اختیار کاربران قرار می دهد.

روش رمزگذاری درایو و قدرت رمز را انتخاب کنید

با استفاده از این قانون می توانید الگوریتم رمزگذاری و طول کلید مورد استفاده را انتخاب کنید. اگر درایو از قبل رمزگذاری شده باشد و شما تصمیم بگیرید که طول کلید را تغییر دهید، هیچ اتفاقی نمی افتد. روش رمزگذاری پیش فرض AES با کلید 128 بیتی و دیفیوزر است.

شناسه های منحصر به فرد سازمان خود را ارائه دهید

این قانون خط مشی به شما امکان می دهد برای هر درایو جدیدی که متعلق به سازمان شما است و توسط BitLocker محافظت می شود، شناسه های منحصر به فرد ایجاد کنید. این شناسه ها به عنوان فیلدهای اول و دوم شناسه ذخیره می شوند. اولین فیلد ID به شما این امکان را می دهد که یک شناسه سازمانی منحصر به فرد را روی درایوهای محافظت شده توسط BitLocker تنظیم کنید. این شناسه به طور خودکار به درایوهای جدید محافظت شده با BitLocker اضافه می شود و می توان آن را برای درایوهای رمزگذاری شده با BitLocker موجود با استفاده از نرم افزار خط فرمان Manage-BDE به روز کرد.

فیلد ID دوم در ترکیب با قانون خط مشی "عدم دسترسی به رسانه قابل جابجایی که توسط BitLocker محافظت نمی شود" استفاده می شود و می تواند برای مدیریت درایوهای قابل جابجایی در شرکت شما استفاده شود.

ترکیبی از این فیلدها می تواند برای تعیین اینکه آیا یک درایو به سازمان شما تعلق دارد یا خیر استفاده شود.

اگر مقدار این قانون تعریف نشده یا غیرفعال باشد، فیلدهای شناسایی لازم نیست.

فیلد شناسایی می تواند حداکثر 260 کاراکتر باشد.

از بازنویسی حافظه در راه اندازی مجدد جلوگیری کنید

این قانون با جلوگیری از بازنویسی حافظه، عملکرد رایانه شما را بهبود می بخشد، اما باید بدانید که کلیدهای BitLocker از حافظه حذف نمی شوند.

اگر این قانون غیرفعال باشد یا پیکربندی نشده باشد، با راه اندازی مجدد رایانه، کلیدهای BitLocker از حافظه حذف خواهند شد.

برای افزایش امنیت، این قانون باید به عنوان پیش فرض باقی بماند.

شناسه شی گواهی کارت هوشمند را پیکربندی کنید

این قانون به شناسه شی گواهی کارت هوشمند اجازه می دهد تا با درایو رمزگذاری شده BitLocker مرتبط شود.

هارد دیسک های ثابت

این بخش قوانین Group Policy را که برای دیسک های داده (نه پارتیشن های سیستم) اعمال می شود، توضیح می دهد.

پیکربندی استفاده از کارت های هوشمند در درایوهای داده ثابت

این قانون تعیین می‌کند که آیا می‌توان از کارت‌های هوشمند برای اجازه دسترسی به داده‌های روی هارد دیسک رایانه شخصی استفاده کرد یا خیر.

اگر این قانون را غیرفعال کنید، کارت های هوشمند قابل استفاده نیستند.

به طور پیش فرض می توان از کارت های هوشمند استفاده کرد.

دسترسی نوشتن به درایوهای ثابتی که توسط BitLocker محافظت نشده اند را رد کنید

این قانون تعیین می کند که آیا می توانید در درایوهایی که توسط BitLocker محافظت نمی شوند، بنویسید یا نه. اگر این قانون تعریف شده باشد، تمام درایوهایی که توسط BitLocker محافظت نمی شوند، فقط خواندنی خواهند بود. اگر درایو با استفاده از BitLocker رمزگذاری شود، قابل خواندن و نوشتن خواهد بود. اگر این قانون غیرفعال باشد یا تعریف نشده باشد، تمام هارد درایوهای کامپیوتر قابل خواندن و نوشتن خواهند بود.

اجازه دسترسی به درایوهای داده ثابت محافظت شده با BitLocker از نسخه های قبلی ویندوز را بدهید

این قانون خط‌مشی کنترل می‌کند که آیا درایوهای دارای سیستم فایل FAT می‌توانند در رایانه‌های دارای Windows Server 2008، Windows Vista، Windows XP SP3 و Windows XP SP2 باز و خوانده شوند یا خیر.

اگر این قانون فعال یا پیکربندی نشده باشد، دیسک های داده فرمت شده با سیستم فایل FAT ممکن است در رایانه هایی که سیستم عامل های فوق را اجرا می کنند قابل خواندن باشند.

اگر این قانون غیرفعال باشد، درایوهای مربوطه را نمی توان در رایانه های دارای Windows Server 2008، Windows Vista، Windows XP SP3 و Windows XP SP2 باز کرد.

توجه! این قانون برای درایوهای فرمت شده NTFS اعمال نمی شود.

این قانون تعیین می کند که آیا برای باز کردن قفل درایوهای محافظت شده توسط BitLocker به رمز عبور نیاز است یا خیر. اگر می خواهید از رمز عبور استفاده کنید، می توانید پیچیدگی رمز عبور و حداقل طول رمز عبور را تعیین کنید. شایان ذکر است که برای تنظیم الزامات پیچیدگی، باید شرط پیچیدگی رمز عبور را در بخش Password Policies در Group Policy تنظیم کنید.

اگر این قانون تعریف شده باشد، کاربران می توانند رمزهای عبوری را پیکربندی کنند که الزامات انتخاب شده را برآورده کند.

رمز عبور باید حداقل 8 کاراکتر باشد (پیش فرض).

نحوه بازیابی درایوهای ثابت محافظت شده با BitLocker را انتخاب کنید

این قانون به شما امکان می دهد تا بازیابی دیسک های رمزگذاری شده را کنترل کنید.

اگر این قانون پیکربندی یا مسدود نشده باشد، گزینه های بازیابی پیش فرض در دسترس هستند.

درایوهای سیستم عامل

این بخش قوانین Group Policy را که برای پارتیشن های سیستم عامل (معمولاً درایو C:) اعمال می شود، توضیح می دهد.

نیاز به احراز هویت اضافی در هنگام راه اندازی

این قانون خط مشی گروه به شما امکان می دهد تعیین کنید که آیا از ماژول پلتفرم قابل اعتماد (TMP) برای احراز هویت استفاده می کنید یا خیر.

توجه! شایان ذکر است که تنها یکی از گزینه ها را می توان در هنگام راه اندازی مشخص کرد، در غیر این صورت با خطای خط مشی مواجه خواهید شد.

وقتی فعال باشد، کاربران می‌توانند گزینه‌های راه‌اندازی پیشرفته را در BitLocker Setup Wizard پیکربندی کنند.

اگر این خط‌مشی غیرفعال یا پیکربندی نشده باشد، گزینه‌های اصلی را فقط می‌توان در رایانه‌هایی که TPM دارند پیکربندی کرد.

توجه! اگر می خواهید از یک پین و یک درایو USB استفاده کنید، باید BitLocker را با استفاده از خط فرمان bde به جای جادوگر رمزگذاری درایو BitLocker پیکربندی کنید.

نیاز به احراز هویت اضافی در هنگام راه اندازی (ویندوز سرور 2008 و ویندوز ویستا)

این خط‌مشی فقط برای رایانه‌های دارای ویندوز 2008 یا ویندوز ویستا اعمال می‌شود.

در رایانه های مجهز به TPM، می توانید یک پارامتر امنیتی اضافی - یک کد پین (از 4 تا 20 رقم) تنظیم کنید.

در رایانه هایی که مجهز به TRM نیستند، از یک دیسک USB با اطلاعات کلیدی استفاده می شود.

اگر این گزینه فعال باشد، ویزارد پنجره ای را نمایش می دهد که در آن کاربر می تواند گزینه های راه اندازی BitLocker اضافی را پیکربندی کند.

اگر این گزینه غیرفعال باشد یا پیکربندی نشده باشد، جادوگر نصب مراحل اولیه اجرای BitLocker را در رایانه های دارای TPM نمایش می دهد.

حداقل طول پین را برای راه اندازی پیکربندی کنید

این پارامتر به شما امکان می دهد حداقل طول کد پین را برای راه اندازی رایانه پیکربندی کنید.

کد پین می تواند از 4 تا 20 رقم باشد.

نحوه بازیابی درایوهای سیستم عامل محافظت شده توسط BitLocker را انتخاب کنید

این قانون خط مشی گروه به شما امکان می دهد در صورت گم شدن کلید رمزگذاری، نحوه بازیابی درایوهای رمزگذاری شده با BitLocker را تعیین کنید.

نمایه اعتبار سنجی پلت فرم TPM را پیکربندی کنید

با استفاده از این قانون می توانید مدل TPM را پیکربندی کنید. اگر ماژول مربوطه وجود نداشته باشد، این قانون اعمال نمی شود.

اگر این قانون را فعال کنید، می‌توانید پیکربندی کنید که کدام مؤلفه‌های بوت استرپ توسط TPM بررسی شوند قبل از اینکه اجازه دسترسی به درایو رمزگذاری شده را بدهید.

رسانه قابل جابجایی

کنترل استفاده از BitLocker در درایوهای قابل جابجایی

این قانون Group Policy به شما امکان می دهد رمزگذاری BitLocker را در درایوهای قابل جابجایی کنترل کنید.

شما می توانید انتخاب کنید که کاربران از چه تنظیماتی می توانند برای پیکربندی BitLocker استفاده کنند.

به طور خاص، برای اجازه دادن به جادوگر تنظیم رمزگذاری BitLocker برای اجرا بر روی یک درایو قابل جابجایی، باید "Allow users to application protect BitLocker on removable data drives" را انتخاب کنید.

اگر "Allow users to suspend and decrypt BitLocker on Removable data drive" را انتخاب کنید، کاربر می تواند درایو قابل جابجایی شما را رمزگشایی کند یا رمزگذاری را متوقف کند.

اگر این قانون پیکربندی نشده باشد، کاربران می توانند از BitLocker در رسانه های قابل جابجایی استفاده کنند.

اگر این قانون غیرفعال باشد، کاربران نمی توانند از BitLocker در درایوهای قابل جابجایی استفاده کنند.

پیکربندی استفاده از کارت های هوشمند در درایوهای داده قابل جابجایی

این تنظیم خط‌مشی به شما امکان می‌دهد تعیین کنید که آیا کارت‌های هوشمند می‌توانند برای احراز هویت یک کاربر و دسترسی به درایوهای قابل جابجایی در رایانه شخصی مورد استفاده قرار گیرند یا خیر.

دسترسی نوشتن به درایوهای قابل جابجایی که BitLocker محافظت نشده است را رد کنید

با استفاده از این قانون، می توانید از نوشتن در درایوهای قابل جابجایی که توسط BitLocker محافظت نمی شوند جلوگیری کنید. در این حالت، تمام درایوهای قابل جابجایی که توسط BitLocker محافظت نمی شوند، فقط خواندنی خواهند بود.

اگر گزینه «عدم دسترسی نوشتن به دستگاه‌های پیکربندی شده در سازمان دیگری» انتخاب شده باشد، نوشتن فقط روی دیسک‌های قابل جابجایی که متعلق به سازمان شما هستند در دسترس خواهد بود. بررسی در برابر دو فیلد شناسایی انجام می‌شود که طبق قانون خط‌مشی گروه «شناسه‌های منحصربه‌فرد برای سازمان خود ارائه کنید» تعریف شده‌اند.

اگر این قانون را غیرفعال کنید یا پیکربندی نشده باشد، همه دیسک های قابل جابجایی هم قابل خواندن و هم نوشتن خواهند بود.

توجه! این قانون را می‌توان با تنظیمات خط‌مشی User ConfigurationAdministrative TemplatesSystem Removable Storage Access لغو کرد. اگر قانون "Removable Disks: Deny write access" فعال باشد، این قانون نادیده گرفته می شود.

اجازه دسترسی به درایوهای داده قابل جابجایی محافظت شده با BitLocker از نسخه های قبلی ویندوز را بدهید

این قانون تعیین می کند که آیا درایوهای قابل جابجایی فرمت شده به صورت FAT را می توان در رایانه های دارای Windows 2008، Windows Vista، Windows XP SP3 و Windows XP SP2 باز کرد و مشاهده کرد.

اگر این قانون فعال یا پیکربندی نشده باشد، درایوهای قابل جابجایی با سیستم فایل FAT را می‌توان در رایانه‌های دارای Windows 2008، Windows Vista، Windows XP SP3 و Windows XP SP2 باز کرده و مشاهده کرد. در این صورت این دیسک ها فقط خواندنی خواهند بود.

اگر این قانون مسدود شود، دیسک‌های قابل جابجایی مربوطه را نمی‌توان در رایانه‌های دارای Windows 2008، Windows Vista، Windows XP SP3 و Windows XP SP2 باز کرد و مشاهده کرد.

این قانون برای درایوهای فرمت شده با NTFS اعمال نمی شود.

الزامات پیچیدگی رمز عبور و حداقل طول را پیکربندی کنید

این قانون سیاست تعیین می کند که آیا درایوهای قابل جابجایی قفل شده با BitLocker باید با رمز عبور باز شوند یا خیر. اگر اجازه استفاده از رمز عبور را می دهید، می توانید الزامات پیچیدگی رمز عبور و حداقل طول رمز عبور را تعیین کنید. شایان توجه است که در این مورد، الزامات پیچیدگی باید با الزامات خط‌مشی رمز عبور مطابقت داشته باشد.

نحوه بازیابی درایوهای قابل جابجایی محافظت شده توسط BitLocker را انتخاب کنید

این قانون به شما امکان می دهد نحوه بازیابی درایوهای قابل جابجایی محافظت شده توسط BitLocker را انتخاب کنید.

با این حال، اجازه دهید به رمزگذاری هارد دیسک ادامه دهیم. از آنجایی که قبلاً مشاهده کرده‌اید که تغییرات در Group Policy به شما امکان می‌دهد از قابلیت‌های رمزگذاری BitLocker بسیار گسترده‌تر استفاده کنید، اجازه دهید به سمت ویرایش Group Policy برویم. برای انجام این کار، اهداف و شرایط استفاده از رمزگذاری خود را فرموله می کنیم.

1. رایانه تحت آزمایش ماژول TRM را نصب کرده است

2. رمزگذاری می کنیم:

  • دیسک سیستم
  • دیسک داده
  • رسانه های قابل جابجایی، هم NTFS و هم FAT.

علاوه بر این، ما باید بررسی کنیم که آیا رسانه قابل جابجایی فرمت‌شده تحت FAT روی رایانه‌ای که هم Windows XP SP2 و هم Windows Vista SP1 دارد در دسترس خواهد بود یا خیر.

بیایید به روند رمزگذاری برویم.

برای شروع، در خط مشی های گروه BitLocker، الگوریتم رمزگذاری و طول کلید را انتخاب کنید (شکل 8).

برنج. 8. انتخاب الگوریتم رمزگذاری و طول کلید

سپس در قسمت Operation System Drive، قانون Require extra authentication at startup را انتخاب کنید (شکل 9).

برنج. 9. قانون "نیاز به احراز هویت اضافی در راه اندازی"

پس از این، با استفاده از قانون Configure minimum PIN length for startup حداقل طول پین را روی 6 کاراکتر تنظیم می کنیم.

برای رمزگذاری بخش داده، الزامات پیچیدگی و حداقل طول رمز عبور 8 کاراکتر را تعیین می کنیم (شکل 10).

برنج. 10. تنظیم الزامات برای حداقل طول رمز عبور و پیچیدگی

لازم به یادآوری است که باید الزامات حفاظت از رمز عبور را تنظیم کنید (شکل 11).

برنج. 11. الزامات حفاظت از رمز عبور

برای دیسک های قابل جابجایی، تنظیمات زیر را انتخاب کنید:

  • خواندن دیسک های قابل جابجایی با سیستم فایل FAT در نسخه های پایین تر ویندوز مجاز نیست.
  • رمز عبور باید الزامات پیچیدگی را برآورده کند.
  • حداقل طول رمز عبور 8 کاراکتر است.

پس از این، از دستور gpupdate.exe /force در پنجره خط فرمان برای به روز رسانی خط مشی استفاده کنید (شکل 12).

برنج. 12. تنظیمات Group Policy را به روز کنید

از آنجایی که تصمیم گرفتیم در هر راه‌اندازی مجدد از یک کد پین استفاده کنیم، (شکل 13) در هر راه‌اندازی نیاز به یک پین را انتخاب می‌کنیم.

برنج. 13. هر بار که بوت می شوید پین را وارد کنید

برنج. 14. وارد کردن کد پین

یک کد پین به طول 4 کاراکتر وارد کنید (شکل 15)

برنج. 15. پین الزامات حداقل طول را برآورده نمی کند

حداقل طول کد پین مشخص شده در خط مشی 6 رقم است؛ پس از وارد کردن کد پین جدید، دعوتنامه ای برای ذخیره کلید در درایو USB و به عنوان یک فایل متنی دریافت می کنیم.

برنج. 16. ذخیره یک کلید رمزگذاری پشتیبان

پس از این، سیستم را ریبوت می کنیم و فرآیند واقعی رمزگذاری درایو C: آغاز می شود.

پس از این، من و شما پارتیشن دوم هارد دیسک خود را رمزگذاری می کنیم - درایو D: (شکل 17)

برنج. 17. رمزگذاری درایو D:

قبل از رمزگذاری درایو D: باید رمز عبور این درایو را وارد کنیم. در این مورد، رمز عبور باید حداقل طول رمز عبور و الزامات پیچیدگی رمز عبور را برآورده کند. شایان ذکر است که امکان باز کردن خودکار این دیسک در این رایانه شخصی وجود دارد.

بر این اساس، ما به طور مشابه رمز بازیابی را در یک درایو USB ذخیره می کنیم.

شایان ذکر است که وقتی رمز عبور خود را برای اولین بار ذخیره می کنید، در یک فایل متنی در همان درایو USB نیز ذخیره می شود!

باید در نظر داشت که هنگام رمزگذاری یک پارتیشن داده 120 گیگابایتی (که 100 گیگابایت رایگان است)، Windows Explorer همیشه پیامی در مورد کمبود فضا در پارتیشن نمایش می دهد (شکل 18).

برنج. 18. پنجره Windows Explorer

بیایید سعی کنیم یک درایو USB فرمت شده با سیستم فایل FAT را رمزگذاری کنیم.

رمزگذاری درایو USB با درخواست از ما برای وارد کردن رمز عبور برای درایو رمزگذاری شده آینده آغاز می شود. طبق قوانین خاص سیاست، حداقل طول رمز عبور 8 کاراکتر است. در این مورد، رمز عبور باید الزامات پیچیدگی را برآورده کند (شکل 19)

برنج. 19. وارد کردن رمز عبور برای رمزگذاری درایو USB قابل جابجایی

پس از تکمیل رمزگذاری، سعی کردم این درایو USB را روی رایانه دیگری که Windows Vista Home Premium SP1 دارد، مشاهده کنم. نتیجه در شکل نشان داده شده است. 21.

برنج. 21. تلاش برای خواندن یک درایو USB رمزگذاری شده در رایانه ای که Windows Vista SP1 دارد

همانطور که می بینید، اگر دیسک شما گم شود، اطلاعات خوانده نمی شود؛ علاوه بر این، به احتمال زیاد دیسک به سادگی فرمت می شود.

هنگامی که سعی می کنید همان درایو USB را به رایانه ای با ویندوز 7 بتا 1 متصل کنید، موارد زیر را مشاهده خواهید کرد (شکل 22).

نتیجه

بنابراین، ما دیدیم که چگونه رمزگذاری در ویندوز 7 انجام می شود. چه می توانیم بگوییم - در مقایسه با ویندوز ویستا، قوانین بسیار بیشتری در خط مشی های گروهی دارد و بر این اساس، مسئولیت کارکنان فناوری اطلاعات برای استفاده صحیح و ساخت صحیح آنهاست. روابط به هم پیوسته افزایش می یابد.


نحوه حذف نقاط بازیابی سیستم در ویندوز 7

BitLocker - قابلیت های جدید رمزگذاری دیسک

از دست دادن اطلاعات محرمانه اغلب پس از دسترسی مهاجم به اطلاعات روی هارد دیسک رخ می دهد. به عنوان مثال، اگر یک کلاهبردار به نحوی فرصت خواندن فایل های سیستم را پیدا کرد، می تواند سعی کند از آنها برای یافتن رمزهای عبور کاربر، استخراج اطلاعات شخصی و غیره استفاده کند.

ویندوز 7 شامل ابزاری به نام BitLocker است که به شما امکان می دهد کل درایو خود را رمزگذاری کنید و اطلاعات موجود در آن را از چشمان کنجکاو محافظت کنید. فناوری رمزگذاری BitLocker در ویندوز ویستا معرفی شد و در سیستم عامل جدید بیشتر توسعه یافته است. بیایید جالب ترین نوآوری ها را فهرست کنیم:

  • فعال کردن BitLocker از منوی زمینه Explorer.
  • ایجاد خودکار یک پارتیشن دیسک بوت مخفی.
  • پشتیبانی از Data Recovery Agent (DRA) برای تمام حجم های محافظت شده.

یادآوری می کنیم که این ابزار در تمام نسخه های ویندوز اجرا نمی شود، بلکه فقط در نسخه های «پیشرفته»، «شرکتی» و «حرفه ای» اجرا می شود.

محافظت از دیسک با استفاده از فناوری BitLocker تقریباً در هر شرایط فورس ماژور - در صورت از دست دادن رسانه قابل جابجایی، سرقت، دسترسی غیرمجاز به دیسک و غیره، اطلاعات محرمانه کاربر را حفظ می کند. فناوری رمزگذاری داده BitLocker را می توان برای هر فایل موجود در درایو سیستم و همچنین برای هر رسانه متصل اضافی اعمال کرد. اگر داده های موجود در یک دیسک رمزگذاری شده به رسانه دیگری کپی شود، اطلاعات بدون رمزگذاری منتقل می شود.

برای ارائه امنیت بیشتر، BitLocker می تواند از رمزگذاری چند سطحی استفاده کند - استفاده همزمان از چندین نوع حفاظت، از جمله روش های سخت افزاری و نرم افزاری. ترکیبی از روش های حفاظت از داده ها به شما امکان می دهد چندین حالت مختلف عملکرد سیستم رمزگذاری BitLocker را بدست آورید. هر کدام از آنها مزایای خاص خود را دارند و همچنین سطح امنیتی خاص خود را ارائه می دهند:

  • حالت با استفاده از یک ماژول پلت فرم قابل اعتماد؛
  • حالت با استفاده از یک ماژول پلت فرم قابل اعتماد و یک دستگاه USB.
  • حالت با استفاده از یک ماژول پلت فرم قابل اعتماد و شماره شناسایی شخصی (PIN).
  • حالت با استفاده از یک دستگاه USB حاوی یک کلید.

قبل از اینکه نگاهی دقیق‌تر به نحوه استفاده از BitLocker بیندازیم، توضیحی لازم است. اول از همه، درک اصطلاحات مهم است. ماژول پلتفرم مورد اعتماد یک تراشه رمزنگاری ویژه است که امکان شناسایی را فراهم می کند. چنین تراشه ای را می توان به عنوان مثال در برخی از مدل های لپ تاپ، رایانه های شخصی رومیزی، دستگاه های مختلف تلفن همراه و غیره ادغام کرد.

این تراشه یک "کلید دسترسی ریشه" منحصر به فرد را ذخیره می کند. چنین تراشه "دوخته شده" دیگری محافظت قابل اعتماد اضافی در برابر هک کردن کلیدهای رمزگذاری است. اگر این داده ها روی هر رسانه دیگری ذخیره می شد، خواه یک هارد دیسک یا کارت حافظه باشد، خطر از دست دادن اطلاعات به طور نامتناسبی بیشتر می شد، زیرا دسترسی به این دستگاه ها آسان تر است. با استفاده از "کلید دسترسی ریشه"، تراشه می تواند کلیدهای رمزگذاری خود را ایجاد کند، که فقط توسط TPM قابل رمزگشایی است. رمز عبور مالک اولین باری که TPM مقداردهی اولیه می شود ایجاد می شود. ویندوز 7 از TPM نسخه 1.2 پشتیبانی می کند و همچنین به بایوس سازگار نیاز دارد.

هنگامی که حفاظت منحصراً با استفاده از یک ماژول پلت فرم قابل اعتماد انجام می شود، هنگامی که رایانه روشن است، داده ها در سطح سخت افزار از جمله داده های BIOS و همچنین سایر داده ها جمع آوری می شوند که مجموع آنها صحت سخت افزار را نشان می دهد. این حالت عملکرد "شفاف" نامیده می شود و نیازی به هیچ اقدامی از کاربر ندارد - بررسی انجام می شود و در صورت موفقیت آمیز بودن، دانلود در حالت عادی انجام می شود.

عجیب است که رایانه های حاوی یک ماژول پلت فرم قابل اعتماد هنوز برای کاربران ما فقط یک نظریه هستند، زیرا واردات و فروش چنین دستگاه هایی در روسیه و اوکراین به دلیل مشکلات صدور گواهینامه توسط قانون ممنوع است. بنابراین، تنها گزینه ای که برای ما مرتبط است، محافظت از درایو سیستم با استفاده از درایو USB است که کلید دسترسی روی آن نوشته شده است.

فناوری BitLocker به شما امکان می دهد یک الگوریتم رمزگذاری را برای درایوهای داده ای که از سیستم های فایل exFAT، FAT16، FAT32 یا NTFS استفاده می کنند، اعمال کنید. اگر رمزگذاری روی دیسکی با سیستم عامل اعمال می شود، برای استفاده از فناوری BitLocker، داده های این دیسک باید با فرمت NTFS نوشته شوند. روش رمزگذاری که فناوری BitLocker استفاده می کند بر اساس الگوریتم قوی AES با کلید 128 بیتی است.

یکی از تفاوت های ویژگی Bitlocker در ویندوز 7 با ابزار مشابه در ویندوز ویستا این است که سیستم عامل جدید نیاز به پارتیشن بندی دیسک خاصی ندارد. قبلاً کاربر برای این کار باید از ابزار مایکروسافت BitLocker Disk Preparation Tool استفاده می کرد، اما اکنون کافی است به سادگی مشخص کنید که کدام دیسک باید محافظت شود و سیستم به طور خودکار یک پارتیشن بوت مخفی روی دیسک ایجاد می کند که توسط Bitlocker استفاده می شود. این پارتیشن بوت برای راه اندازی کامپیوتر استفاده می شود، به صورت رمزگذاری نشده ذخیره می شود (در غیر این صورت بوت شدن امکان پذیر نخواهد بود)، اما پارتیشن با سیستم عامل رمزگذاری می شود. در مقایسه با ویندوز ویستا، پارتیشن بوت حدود ده برابر فضای دیسک کمتری را اشغال می کند. به پارتیشن اضافی یک حرف جداگانه اختصاص داده نمی شود و در لیست پارتیشن ها در مدیر فایل ظاهر نمی شود.

برای مدیریت رمزگذاری، استفاده از ابزاری در کنترل پنل به نام BitLocker Drive Encryption راحت است. این ابزار یک مدیر دیسک است که به شما امکان رمزگذاری و باز کردن سریع دیسک ها و همچنین کار با TPM را می دهد. از این پنجره، می توانید رمزگذاری BitLocker را در هر زمان متوقف یا متوقف کنید.

⇡ BitLocker To Go - رمزگذاری دستگاه های خارجی

ابزار جدیدی در ویندوز 7 ظاهر شده است - BitLocker To Go که برای رمزگذاری درایوهای قابل جابجایی - درایوهای USB، کارت های حافظه و غیره طراحی شده است. برای فعال کردن رمزگذاری درایو قابل جابجایی، باید "Explorer" را باز کنید، روی آن راست کلیک کنید. درایو مورد نظر را انتخاب کنید و در منوی زمینه، دستور Turn on BitLocker را انتخاب کنید.

پس از این، جادوگر رمزگذاری برای دیسک انتخاب شده راه اندازی می شود.

کاربر می تواند یکی از دو روش را برای باز کردن قفل درایو رمزگذاری شده انتخاب کند: با استفاده از یک رمز عبور - در این مورد، کاربر باید ترکیبی از مجموعه ای از کاراکترها را وارد کند و همچنین با استفاده از یک کارت هوشمند - در این مورد، آنها نیاز دارند. برای تعیین یک پین کد ویژه برای کارت هوشمند. کل روش رمزگذاری دیسک زمان زیادی را می برد - از چند دقیقه تا نیم ساعت بسته به حجم درایو رمزگذاری شده و همچنین سرعت عملکرد آن.

اگر یک درایو قابل جابجایی رمزگذاری شده متصل کنید، دسترسی به درایوها به روش معمول غیرممکن خواهد بود و هنگام تلاش برای دسترسی به درایو، کاربر پیام زیر را مشاهده می کند:

در Explorer، نماد دیسکی که سیستم رمزگذاری روی آن اعمال می شود نیز تغییر می کند.

برای باز کردن قفل رسانه، باید دوباره روی حرف رسانه در منوی زمینه مدیریت فایل کلیک راست کرده و دستور مناسب را در منوی زمینه انتخاب کنید. پس از اینکه رمز عبور به درستی در پنجره جدید وارد شد، دسترسی به محتویات دیسک باز می شود و سپس می توانید مانند رسانه های رمزگذاری نشده با آن کار کنید.

با جستجوی "BitLocker" و انتخاب "Manage BitLocker" ابزار رمزگذاری را در ویندوز راه اندازی کنید. در پنجره بعدی، می توانید با کلیک بر روی "فعال کردن BitLocker" در کنار هارد دیسک، رمزگذاری را فعال کنید (اگر پیام خطا ظاهر شد، بخش "استفاده از BitLocker بدون TPM" را بخوانید).

اکنون می توانید انتخاب کنید که هنگام باز کردن قفل درایو رمزگذاری شده از یک درایو فلش USB یا رمز عبور استفاده کنید. صرف نظر از گزینه ای که انتخاب می کنید، باید کلید بازیابی را در طول فرآیند راه اندازی ذخیره یا چاپ کنید. اگر رمز عبور خود را فراموش کردید یا درایو فلش خود را گم کردید، به آن نیاز خواهید داشت.

استفاده از BitLocker بدون TPM

راه اندازی BitLocker
BitLocker همچنین بدون تراشه TPM کار می کند - اگرچه این به تنظیماتی در ویرایشگر سیاست گروه محلی نیاز دارد.

اگر رایانه شما دارای تراشه TPM (ماژول پلتفرم قابل اعتماد) نیست، ممکن است لازم باشد برخی تنظیمات را برای فعال کردن BitLocker انجام دهید. در نوار جستجوی ویندوز، "Edit Group Policy" را تایپ کنید و بخش "Local Group Policy Editor" را باز کنید. اکنون در ستون سمت چپ ویرایشگر «Computer Configuration |.» را باز کنید قالب های اداری | اجزای ویندوز | رمزگذاری درایو BitLocker | دیسک‌های سیستم عامل» و در ستون سمت راست، ورودی «احراز هویت اضافی مورد نیاز هنگام راه‌اندازی» را علامت بزنید.

سپس در ستون وسط، روی پیوند «ویرایش تنظیمات سیاست» کلیک کنید. کادر کنار «Enable» را علامت بزنید و کادر کنار «Allow BitLocker without a compatible TPM» را در زیر علامت بزنید. پس از کلیک بر روی "اعمال" و "OK"، می توانید از BitLocker همانطور که در بالا توضیح داده شد استفاده کنید.

جایگزینی به شکل VeraCrypt

برای رمزگذاری پارتیشن سیستم یا کل هارد دیسک با استفاده از جانشین TrueCrypt، VeraCrypt، "Create Volume" را از منوی اصلی VeraCrypt انتخاب کنید و سپس "Encrypt the system partition or whole system drive" را انتخاب کنید. برای رمزگذاری کل هارد دیسک به همراه پارتیشن ویندوز، "Encrypt the whole drive" را انتخاب کنید، سپس دستورالعمل های راه اندازی مرحله به مرحله را دنبال کنید. توجه: VeraCrypt در صورتی که رمز عبور خود را فراموش کنید، یک دیسک نجات ایجاد می کند. بنابراین به یک سی دی خالی نیاز خواهید داشت.

هنگامی که درایو خود را رمزگذاری کردید، باید PIM (Personal Iterations Multiplier) را بعد از رمز عبور خود هنگام بوت کردن مشخص کنید. اگر در حین راه اندازی PIM را نصب نکرده اید، فقط Enter را فشار دهید.

رمزگذاری با اطمینان از اینکه فایل فقط توسط سازنده آن قابل خواندن است، لایه دیگری از امنیت را اضافه می کند. اگر هر کاربر دیگری - حتی کاربری با امتیازات مدیر - سعی کند چنین فایلی را باز کند، یا مجموعه ای بی معنی از کاراکترها را می بیند یا اصلاً هیچ چیز را نخواهد دید. به عبارت دیگر، داده های رمزگذاری شده شما قابل خواندن نیستند مگر اینکه با حساب شخصی خود وارد سیستم شده باشید.

رمزگذاری فایل‌ها و پوشه‌ها در ویندوز 7 روشی مناسب برای محافظت از داده‌های حساس است، اما ذخیره داده‌های رمزگذاری‌شده و رمزگذاری نشده روی یک درایو می‌تواند منجر به نتایج غیرقابل پیش‌بینی شود، همانطور که در بخش رمزگذاری فایل بحث شد. با این حال، دارندگان نسخه های Windows 7 Ultimate و Enterprise می توانند با استفاده از ابزار BitLocker Drive Encryption این مشکل را حل کنند.

Bit Locker تمام داده های یک دیسک را در یک آرشیو بزرگ قرار می دهد و با آن به عنوان یک هارد دیسک مجازی رفتار می کند. در Windows Explorer، شما با فایل‌های رمزگذاری‌شده BitLocker مانند هر داده دیگری رفتار می‌کنید—ویندوز رمزگذاری و رمزگشایی را بی‌صدا در پس‌زمینه انجام می‌دهد. مزیت بزرگ BitLocker این است که فایل‌های ویندوز و تمامی فایل‌های سیستم را رمزگذاری می‌کند و هک رمز عبور شما و دسترسی غیرمجاز به سیستم را برای کسی سخت‌تر می‌کند. علاوه بر این، هنگامی که کل درایو رمزگذاری شده است، نیازی به رمزگذاری فایل های جداگانه نیست.

برای رمزگذاری درایو، صفحه BitLocker Drive Encryption را در کنترل پنل باز کنید. اگر خطای TPM was not found را مشاهده کردید، بررسی کنید که آیا رایانه شما به‌روزرسانی بایوس دارد که از TPM پشتیبانی می‌کند یا خیر.

TPM، Trusted Platform Module، تراشه ای روی مادربرد است که کلید رمزگذاری BitLocker را ذخیره می کند. به لطف آن، رایانه می تواند از یک درایو رمزگذاری شده بوت شود. اگر BIOS از TPM پشتیبانی نمی کند، می توان از یک درایو USB معمولی به عنوان تراشه استفاده کرد.

شما فقط فایل را همانطور که برای رمزگذاری در نظر گرفته شده است علامت گذاری می کنید. ویندوز فایل‌ها را در پس‌زمینه رمزگذاری و رمزگشایی می‌کند در حالی که سازنده فایل به ترتیب آن را می‌نویسد یا مشاهده می‌کند. درست است، در ویندوز 7، رمزگذاری در حین پرواز گاهی اوقات می تواند شگفتی ایجاد کند، و امنیت منطقه ای نیست که بتوانید به شانس اعتماد کنید.

رمزگذاری فایل

رمزگذاری یکی از ویژگی های سیستم فایل NTFS است (که در بخش "انتخاب سیستم فایل مناسب" مورد بحث قرار گرفته است) که در هیچ سیستم فایل دیگری موجود نیست. این بدان معنی است که اگر یک فایل رمزگذاری شده را مثلاً در یک کارت حافظه، درایو USB یا CD کپی کنید، رمزگشایی آن غیرممکن خواهد بود زیرا سیستم فایل NTFS در این دستگاه ها پشتیبانی نمی شود.

نحوه رمزگذاری یک فایل:

  1. روی یک یا چند فایل در Explorer راست کلیک کرده و از منوی زمینه گزینه Properties را انتخاب کنید.
  2. در تب General روی Advanced کلیک کنید.
  3. کادر بررسی رمزگذاری محتویات برای ایمن سازی داده ها را انتخاب کنید، روی OK کلیک کنید، سپس با کلیک مجدد روی OK پنجره را ببندید.