برنامه BitLocker ابزاری است که در ویندوز تعبیه شده و به شما اجازه میدهد کل یک درایو را در هارد خود رمزگذاری کنید و امنیت آن را افزایش دهید. روش راهاندازی آن از قرار زیر است:
زمانی که برنامه TrueCrypt به شکلی بحثبرانگیز کنار رفت، به کاربران خود پیشنهاد دادند از TrueCrypt دست کشیده و به استفاده از BitLocker یا Veracrypt روی آورند. برنامه BitLocker بهاندازهی کافی در ویندوز بوده است که بتوان آن را برنامهای پخته بهحساب آورد و محصول رمزگذاری مناسبی است که حرفهایهای امنیت عموماً از آن تعریف کردهاند. در این مقاله قصد داریم دربارهی راهاندازی این ابزار بر روی رایانهی شخصی صحبت کنیم.
نکته: برنامههای BitLocker Drive Encryption و BitLocker To Go، هر دو نیازمند نسخهی Professional یا Enterprise از ویندوز 8 یا 10 یا نسخهی نهایی ویندوز 7 هستند؛ اما از ویندوز 8.1 به بعد، ویژگی «Device Encryption» در نسخههای Home و Pro (که در ویندوز 10 هم موجود است) عملکردی مشابه دارد. اگر رایانهی شما از Device Encryption پشتیبانی میکند، پیشنهاد ما استفاده از این ویژگی است. برنامه BitLocker برای کاربران نسخهی Pro که نمیتوانند از Device Encryption استفاده کنند و VeraCrypt برای افرادی که از نسخهی Home ویندوز استفاده میکنند و Device Encryption در آن کار نمیکند.
کل یک درایو را رمزگذاری کنیم، یا یک فضای رمزگذاری شده بسازیم؟
در بسیاری از راهنماهای موجود، صحبت از خلق فضای BitLocker است که عملکردی شبیه یک فضای رمزگذاری شده دارد که میتوانید با محصولاتی نظیر TrueCrypt یا Veracrypt بسازید. کار BitLocker رمزگذاری یک درایو کامل است. این درایو میتواند درایو سیستم شما، یک درایو فیزیکی متفاوت، یا یک «درایو مجازی» (VHD) باشد که بهعنوان یک فایل موجود بوده و روی ویندوز نصب میگردد.
تفاوت موجود، بیشتر یک تفاوت معنایی به شمار میرود. در محصولات رمزگذاری دیگر، معمولاً یک محفظهی رمزگذاری شده میسازید و سپس هر وقت نیاز به استفاده از آن باشد، آن را بهعنوان یک درایو بر روی ویندوز نصب میکنید. با استفاده از BitLocker، یک درایو مجازی میسازید و سپس آن را رمزگذاری میکنید.
روش رمزگذاری یک درایو به کمک BitLocker
برای استفاده از BitLocker برای یک درایو، فقط کافی است آن را فعال کرده و یک روش قفلگشایی مانند رمز عبور، PIN و غیره را انتخاب نمایید. پس از آن چند گزینهی دیگر را تعیین میکنید؛ اما قبل از همهی اینها باید بدانید که استفاده از رمزگذاری کل دیسک توسط BitLocker روی یک درایو سیستم نیازمند رایانهای است که ماژول امنیتی TPM را بر روی مادربرد خود داشته باشد. این تراشه کلیدهای رمزگذاری مورد استفاده در BitLocker را تولید و ذخیره میکند. اگر رایانهی شما TPM ندارد، میتوانید از Group Policy استفاده کنید تا بدون داشتن TPM، استفاده از BitLocker را فعال سازید. امنیت آن کمی پایینتر است؛ اما حداقل بهتر از آن است که هیچگونه رمزگذاری وجود نداشته باشد.
میتوانید بدون TPM و بدون اینکه لازم باشد تنظیمات Group Policy را فعال کنید، یک درایو غیرسیستمی یا درایو جداشدنی را رمزگذاری نمایید.
البته باید این را بدانید که دو نوع رمزگذاری درایو BitLocker وجود دارد که میتوانید فعال کنید:
از ویندوز 7 تا 10 واقعاً نیازی نیست خودتان نگران انتخاب آن باشید. ویندوز این امور را پشت صحنه انجام خواهد داد و رابط کاربری مورد استفادهی شما برای فعالسازی BitLocker تفاوت ظاهری نخواهد داشت. اگر روزی خواستید یک درایو رمزگذاری شده را در ویندوز XP یا Vista قفلگشایی کنید، نام تجاری BitLocker to Go را مشاهده خواهید کرد. برای همین آن را مطرح کردیم که حداقل نام آن را قبلاً دیده باشید.
حالا که این مانع را از سر راه برداشتیم، در ادامهی مطلب، روش کار آن را مرور خواهیم کرد.
گام اول: BitLocker را برای یک درایو فعال کنید
سادهترین روش فعالسازی BitLocker برای یک درایو این است که در پنجرهی File Explorer روی آن درایو راستکلیک کنید و سپس فرمان «Turn on BitLocker» را انتخاب نمایید. اگر این گزینه را در منوی خود مشاهده نمیکنید، پس احتمالاً نسخهی Pro یا Enterprise ویندوز را ندارید و باید به دنبال راه دیگری برای رمزگذاری باشید.
به همین راحتی است که میبینید. راهنمایی که ظاهر میشود، شما را در ارتباط با انتخاب گزینههای مختلف راهنمایی خواهد کرد و ما این گزینهها را به بخشهایی که در ادامه خواهیم گفت، تقسیم کردهایم.
گام دوم: یک روش رمزگشایی انتخاب کنید
در اولین صفحهای که در راهنمای «BitLocker Drive Encryption» مشاهده خواهید کرد، میتوانید روش رمزگشایی درایو خود را انتخاب نمایید. میتوانید روشهای گوناگونی را برای رمزگشایی درایو انتخاب کنید.
اگر با رایانهای میخواهید درایو سیستم خود را رمزگذاری کنید که TPM ندارد، میتوانید با استفاده از رمز عبور یا یک درایو USB که بهعنوان کلید کار میکند، درایو را رمزگشایی کنید. روش رمزگشایی خود را انتخاب کرده و از توضیحات آن روش پیروی نمایید (رمز عبور وارد کنید یا درایو USB خود را متصل کنید).
اگر رایانهی شما TPM را داشته باشد، گزینههای بیشتری برای رمزگشایی درایو سیستم خود مشاهده خواهید کرد. مثلاً میتوانید گزینهی رمزگشایی خودکار به هنگام بالا آمدن را پیکربندی کنید که در این روش، رایانه کلیدهای رمز را از TPM میگیرد و بهصورت خودکار درایو را رمزگشایی میکند. همچنین میتوانید بهجای رمزعبور از یک پین استفاده کنید یا حتی به سراغ گزینههای بیومتریک نظیر اثرانگشت بروید.
اگر قصد دارید یک درایو غیرسیستمی یا درایو جداشدنی را رمزگذاری کنید، تنها دو گزینه پیش رو خواهید داشت، چه TPM داشته باشید چه نداشته باشید. میتوانید با استفاده از یک رمز عبور یا کارت هوشمند (هردو) درایو را رمزگشایی کنید.
گام سوم: از کلید بازیابی خود پشتیبان بگیرید
ابزار BitLocker یک کلید بازیابی به شما میدهد تا اگر روزی کلید اصلی خود را گم کردید، بتوانید با استفاده از آن به فایلهای رمزگذاری شدهی خود دسترسی یابید؛ مثلاً اگر رمزعبور خود را فراموش کنید یا رایانهای که TPM داشت، از بین برود و مجبور باشید از یک سیستم دیگر به آن درایو دسترسی پیدا کنید.
میتوانید این کلید را در حساب کاربری خود در مایکروسافت، در یک درایو USB یا یک فایل ذخیره کنید یا حتی از آن پرینت بگیرید. این گزینهها برای رمزگذاری درایو سیستمی و غیرسیستمی یکسان هستند.
اگر از کلید بازیابی خود در حساب کاربری مایکروسافت نسخهی پشتیبان تهیه کنید، میتوانید بعداً از آدرس https://onedrive.live.com/recoverykey به آن کلید دسترسی داشته باشید. اگر از روش بازیابی دیگری استفاده نمایید، دقت کنید که باید این کلید را ایمن نگاه دارید. اگر کسی به آن دسترسی پیدا کند، میتواند درایو شما را رمزگشایی کرده و رمزگذاری آن را دور بزند.
همچنین اگر بخواهید میتوانید به چندین روش از کلید بازیابی خود پشتیبان تهیه کنید. کافی است هر گزینهای را که دوست دارید، بهنوبت بر روی آن کلیک کنید و سپس توضیحات آن را انجام دهید. وقتی کارتان با ذخیرهسازی کلید بازیابی تمام شد، بر روی «Next» کلیک کنید تا به مرحلهی بعد بروید.
نکته: اگر میخواهید یک USB یا درایو جداشدنی را رمزگذاری کنید، دیگر گزینهی ذخیرهی کلید بازیابی در درایو USB را نخواهید داشت. میتوانید هرکدام از سه گزینهی دیگر را استفاده کنید.
گام چهارم: درایو را رمزگذاری و رمزگشایی کنید
ابزار BitLocker بهصورت خودکار فایلهای جدیدی را که اضافه میکنید، رمزگذاری خواهد کرد؛ اما شما باید تصمیم بگیرید چه اتفاقی برای فایلهایی که اکنون در درایو شما هستند، بیافتد. میتوانید کل درایو، حتی فضای خالی یا فقط فایلهای دیسک مورد استفاده را رمزگذاری کنید تا سرعت فرایند را بالا ببرید. این گزینهها نیز برای رمزگذاری درایو سیستمی و غیرسیستمی یکسان هستند.
اگر میخواهید BitLocker را بر روی یک رایانهی جدید راهاندازی کنید، برای افزایش سرعت، فقط فضای دیسک مورد استفاده را رمزگذاری کنید. اگر قصد دارید BitLocker را روی رایانهای فعال کنید که چند وقتی مورد استفادهی شما بوده است، باید کل درایو را رمزگذاری کنید تا مطمئن شوید هیچکس نمیتواند فایلهای حذف شده را بازیابی کند.
پس از آنکه انتخاب خود را انجام دادید، روی دکمهی «Next» کلیک کنید.
گام پنجم: یک حالت رمزگذاری انتخاب کنید (فقط در ویندوز 10)
اگر ویندوز 10 دارید، یک صفحهی دیگر نیز مشاهده خواهید کرد که به شما اجازه میدهد یک روش رمزگذاری انتخاب کنید. اگر ویندوز 7 یا 8 دارید، گام ششم را بخوانید.
ویندوز 10 یک روش رمزگذاری جدید را به نام XTS-AES معرفی کرد. این روش، یکپارچگی و عملکرد بهتری نسبت به AES مورد استفاده در ویندوز 7 و 8 ارائه میدهد. اگر مطمئن هستید درایوی که رمزگذاری میکنید، قرار است تنها در رایانههای دارای ویندوز 10 مورد استفاده قرار گیرد، گزینهی «حالت رمزگذاری جدید» (New encryption mode) را انتخاب کنید. اگر فکر میکنید ممکن است بخواهید این درایو را در آینده در یکی از نسخههای قدیمی ویندوز استفاده کنید، بهویژه اگر درایو جداشدنی باشد، گزینهی «حالت سازگار» (Compatible mode) را انتخاب نمایید.
هر گزینهای که انتخاب کنید، باز هم میگویم این گزینهها برای درایوهای سیستمی و غیرسیستمی یکسان است، کارتان که تمام شد روی «Next» کلیک کرده و در صفحهی بعدی روی دکمهی «Start Encrypting» بزنید.
گام ششم: پایان عملیات
فرایند رمزگذاری ممکن است چیزی بین چند ثانیه تا چند دقیقه یا حتی بیشتر زمان ببرد که به ابعاد درایو، مقدار دادهای که رمزگذاری میشود و اینکه بخواهید فضای خالی را رمزگذاری کنید یا خیر بستگی دارد.
اگر درایو سیستم خود را رمزگذاری میکنید، از شما خواسته میشود یک بررسی سیستمی با BitLocker را اجرا کرده و سیستم خود را ریست کنید. فراموش نکنید که این گزینه انتخاب شود و سپس روی «Continue» کلیک کنید، پس از آن هر موقع از شما خواسته شد، رایانه را ریست کنید. بعد از آنکه رایانه برای اولین بار، دوباره بالا بیاید، ویندوز درایو را رمزگذاری میکند.
اگر قصد دارید یک درایو غیرسیستمی یا یک درایو جداشدنی را رمزگذاری کنید، نیازی به ریست کردن ویندوز نیست و رمزگذاری بلافاصله آغاز خواهد شد.
فرقی ندارد کدام نوع درایو را رمزگذاری میکنید. میتوانید آیکون BitLocker Drive Encryption را روی system tray ببینید تا پیشرفت آن را ملاحظه کنید. همچنین، در حالیکه درایوها رمزگذاری میشوند نیز میتوانید همچنان از رایانهی خود استفاده کنید؛ فقط کمی کندتر عمل خواهد کرد.
رمزگشایی درایو
اگر سیستم شما رمزگذاری شده باشد، رمزگشایی آن به روش انتخابی شما بستگی دارد و اینکه رایانهی شما TPM داشته باشد یا خیر. اگر TPM داشته باشید و رمزگشایی خودکار را انتخاب کرده باشید، هیچ تفاوتی احساس نخواهید کرد، سیستم راهاندازی شده و مثل همیشه ویندوز مستقیم بالا میآید. اگر از روش رمزگشایی دیگری استفاده کرده باشید، ویندوز از شما میپرسد که به آن روش درایو را رمزگشایی کنید؛ مثلاً رمز عبور خود را بنویسید، درایو USB را وصل کنید یا هر روش دیگری.
اگر روش رمزگشایی خود را گم (یا فراموش) کردهاید، Escape را روی پنجرهی روی صفحه بزنید تا بتوانید کلید بازیابی خود را وارد کنید.
اگر درایو غیرسیستمی یا جداشدنی را رمزگذاری کرده باشید، اولین باری که پس از بالا آمدن ویندوز یا اتصال درایو جداشدنی به رایانه بخواهید به فایل خود دسترسی پیدا کنید، ویندوز از شما میخواهد درایو خود را رمزگشایی کنید. رمز عبور را بنویسید یا کارت هوشمند خود را وارد کنید و پسازآن قفل درایو باز میشود و میتوانید از آن استفاده کنید.
در File Explorer، آیکون درایوهای رمزگذاری شده یک قفل طلایی خواهند داشت (عکس چپ). زمانی که درایو را رمزگشایی کنید، این قفل خاکستریرنگ و باز خواهد بود (عکس راست).
در پنجرهی کنترل پنل BitLocker میتوانید درایو قفل شده را مدیریت کنید؛ رمز عبور آن را عوض کنید، BitLocker را خاموش نمایید، از کلید بازیابی خود پشتیبان بگیرید یا کارهای دیگری انجام دهید. بر روی هرکدام از درایوهای رمزگذاری شدهای که میخواهید کلیک کرده و سپس «Manage BitLocker» را انتخاب نمایید تا مستقیم به آن صفحه بروید.
برنامه BitLocker مثل دیگر روشهای رمزگذاری، کمی سرعت رایانه را پایین خواهد آورد. در صفحهی پرسشهای متداول BitLocker در سایت رسمی مایکروسافت نوشته شده است که «عموماً یک درصد تکرقمی عملکرد را کند خواهد کرد». اگر به دلیل داشتن دادههای حساس، مثلاً یک لپتاپ پر از اسناد کسبوکار، رمزگذاری برایتان اهمیت دارد، پس داشتن امنیت بیشتر کاملاً ارزش کاهش اندک در عملکرد را خواهد داشت.
منبع: چطورپدیا