Thực đơn
trang chủYandex

Bitlocker - mã hóa và giải mã ổ cứng. Mở khóa các ổ D, E, v.v. trong môi trường Windows. Phải làm gì với khóa khôi phục, phải làm gì nếu bị mất

Bạn có thể mở khóa ổ dữ liệu di động bằng mật khẩu, thẻ thông minh hoặc bạn có thể định cấu hình bảo vệ SID để mở khóa ổ đĩa bằng thông tin xác thực tên miền. Khi quá trình mã hóa ổ đĩa đã bắt đầu, nó cũng có thể được mở khóa tự động trên một máy tính cụ thể cho một tài khoản người dùng. Quản trị viên hệ thống có thể định cấu hình các tùy chọn có sẵn cho người dùng cũng như các yêu cầu về độ phức tạp và độ dài tối thiểu đối với mật khẩu. Để mở khóa bằng bảo vệ SID, hãy sử dụng Quản lý-bde:

Quản lý-bde -protectors -add e: -sid tên miền\tên người dùng

Sự khác biệt giữa mật khẩu khôi phục, khóa khôi phục, mã PIN, mã PIN bảo mật và khóa khởi động là gì?

Để biết các bảng liệt kê và mô tả các mục như mật khẩu khôi phục, khóa khôi phục và mã PIN, hãy xem Công cụ bảo mật khóa BitLocker và Phương thức xác thực BitLocker.

Nơi lưu trữ mật khẩu khôi phục và khóa khôi phục?

Bạn có thể lưu mật khẩu khôi phục hoặc khóa khôi phục cho đĩa hệ điều hành hoặc đĩa dữ liệu không thể tháo rời trong một thư mục, trên một hoặc nhiều thiết bị USB, trong tài khoản Microsoft của bạn hoặc in nó.

Bạn có thể lưu mật khẩu khôi phục và khóa khôi phục cho ổ dữ liệu di động trong một thư mục hoặc tài khoản Microsoft hoặc in chúng. Theo mặc định, khóa khôi phục cho phương tiện di động không thể được lưu trữ trên phương tiện di động.

Quản trị viên miền có thể định cấu hình Chính sách nhóm tùy chọn để tự động tạo mật khẩu khôi phục và lưu trữ chúng trong Dịch vụ miền Active Directory (AD DS) cho tất cả các ổ đĩa được bảo vệ bằng BitLocker.

Có thể thêm phương thức xác thực bổ sung mà không cần giải mã ổ đĩa nếu chỉ bật phương thức xác thực TPM không?

Bạn có thể sử dụng công cụ dòng lệnh Mana-bde.exe để thay đổi chế độ xác thực chỉ TPM thành chế độ xác thực đa yếu tố. Ví dụ: nếu BitLocker chỉ sử dụng xác thực TPM và bạn muốn thêm xác thực mã PIN, hãy chạy các lệnh sau tại dấu nhắc lệnh quản trị, thay thế Mã PIN số 4-20 chữ số mã PIN số bạn muốn sử dụng.

quản lý-bde –protectors –delete %systemdrive% -type tpm

quản lý-bde –protectors –add %systemdrive% -tpmandpin Mã PIN số 4-20 chữ số

Khi nào bạn nên xem xét một phương pháp xác thực bổ sung?

Với phần cứng tương thích mới, mã PIN không còn là một tính năng bảo mật quan trọng nữa và việc có TPM có thể là đủ, tuân theo các chính sách như khóa thiết bị. Ví dụ: các thiết bị Surface Pro và Surface Book không có cổng DMA bên ngoài, cổng này có thể được sử dụng để tấn công. Nếu bạn có thiết bị cũ hơn có thể yêu cầu mã PIN, chúng tôi khuyên bạn nên bật tính năng Mã PIN nâng cao, cho phép bạn sử dụng các ký tự không phải số như chữ cái và dấu chấm câu, đồng thời chọn độ dài mã PIN dựa trên khả năng và khả năng chịu rủi ro của thiết bị của bạn. -chức năng brute Force mật khẩu có sẵn cho các mô-đun nền tảng đáng tin cậy trên máy tính của bạn.

Tôi có thể khôi phục dữ liệu được bảo vệ bằng BitLocker nếu tôi mất thông tin cần thiết để khôi phục không?

BitLocker được thiết kế sao cho không thể khôi phục ổ đĩa được mã hóa nếu không yêu cầu xác thực. Ở chế độ khôi phục, người dùng cần có mật khẩu khôi phục hoặc khóa khôi phục để mở khóa ổ đĩa được mã hóa.

Lưu trữ thông tin khôi phục trong Dịch vụ miền Active Directory, cùng với tài khoản Microsoft của bạn hoặc ở một vị trí an toàn khác.

Có thể lưu trữ khóa khôi phục trên cùng một ổ flash USB nơi lưu trữ khóa khởi động không?

Về mặt kỹ thuật, việc lưu trữ cả hai khóa trên cùng một ổ flash USB là có thể nhưng không được khuyến khích. Nếu ổ flash USB chứa khóa khởi động bị mất hoặc bị đánh cắp, bạn cũng sẽ mất quyền truy cập vào khóa khôi phục. Ngoài ra, khi một khóa như vậy được chèn vào, máy tính sẽ tự động khởi động bằng khóa khôi phục, ngay cả khi các tệp có chỉ báo do TPM xác định đã thay đổi và quá trình kiểm tra tính toàn vẹn của hệ thống sẽ không được thực hiện.

Có thể lưu trữ khóa khởi động trên nhiều ổ flash USB không?

Có, khóa khởi động máy tính của bạn có thể được lưu trữ trên nhiều ổ flash USB. Nhấp chuột phải vào ổ đĩa được bảo vệ BitLocker và chọn Quản lý BitLockerđể mở các tùy chọn sao chép khóa khôi phục.

Có thể lưu trữ nhiều khóa khởi động khác nhau trên một ổ flash USB không?

Có, bạn có thể lưu trữ khóa khởi động BitLocker cho các máy tính khác nhau trên một ổ flash USB.

Có thể tạo nhiều khóa khởi động khác nhau cho một máy tính không?

Sử dụng tập lệnh, bạn có thể tạo các khóa khởi động khác nhau cho cùng một máy tính. Nhưng đối với các máy tính có TPM, việc tạo các khóa khởi động khác nhau sẽ ngăn BitLocker sử dụng tính năng kiểm tra tính toàn vẹn của hệ thống mà TPM thực hiện.

Tôi có thể tạo nhiều tổ hợp mã PIN không?

Không thể tạo nhiều tổ hợp mã PIN.

BitLocker sử dụng khóa mã hóa nào? Họ làm việc cùng nhau như thế nào?

Dữ liệu thô được mã hóa bằng khóa mã hóa toàn bộ khối lượng, sau đó được mã hóa bằng khóa chính khối lượng. Ngược lại, khóa chính của ổ đĩa được mã hóa bằng một trong số các phương pháp khả thi, tùy thuộc vào loại xác thực (sử dụng bộ bảo vệ khóa hoặc TPM) và các tình huống khôi phục.

Các khóa mã hóa được lưu trữ ở đâu?

Khóa mã hóa âm lượng đầy đủ được mã hóa bằng khóa chính âm lượng và được lưu trữ trên đĩa được mã hóa. Khóa chính của ổ đĩa được mã hóa bằng bộ bảo vệ khóa phù hợp và được lưu trữ trên đĩa được mã hóa. Nếu tính năng bảo vệ BitLocker bị tạm dừng, khóa không được bảo vệ mã hóa khóa chính của tập đĩa cũng được lưu trữ trên ổ đĩa được mã hóa cùng với khóa chính của tập đĩa được mã hóa.

Quy trình lưu trữ này đảm bảo rằng khóa chính của tập đĩa không bao giờ được lưu trữ mà không mã hóa và luôn được bảo vệ trừ khi mã hóa BitLocker bị tắt. Các khóa cũng được lưu trữ ở hai vị trí đĩa bổ sung để dự phòng. Trình quản lý khởi động có thể đọc và xử lý các phím.

Tại sao tôi cần sử dụng các phím chức năng để nhập mã PIN hoặc mật khẩu khôi phục 48 ký tự?

Các phím F1–F10 có mã bỏ phiếu chung có sẵn trong môi trường tiền khởi động trên tất cả các máy tính với mọi ngôn ngữ. Các phím số từ 0 đến 9 không được sử dụng trong môi trường khởi động trước trên tất cả các bàn phím.

Nếu sử dụng mã PIN nâng cao, người dùng nên thực hiện kiểm tra hệ thống bổ sung trong quá trình thiết lập BitLocker để đảm bảo rằng có thể nhập đúng mã PIN trong môi trường tiền khởi động.

BitLocker bảo vệ mã PIN ổ đĩa hệ điều hành của bạn khỏi những kẻ tấn công như thế nào?

Kẻ tấn công có thể lấy được mã PIN thông qua một cuộc tấn công vũ phu. Một cuộc tấn công vũ phu được thực hiện bằng cách sử dụng một công cụ tự động kiểm tra các kết hợp mã PIN khác nhau cho đến khi tìm thấy mã chính xác. Đối với các máy tính được bảo vệ bằng BitLocker, kiểu tấn công này, còn được gọi là tấn công từ điển, yêu cầu kẻ tấn công phải có quyền truy cập vật lý vào máy tính.

TPM có khả năng tích hợp để phát hiện và chống lại các cuộc tấn công như vậy. Vì TPM từ các nhà sản xuất khác nhau có các biện pháp khác nhau để chống lại các cuộc tấn công bạo lực bằng mã PIN, hãy liên hệ với nhà sản xuất mô-đun để xác định cách mô-đun trên máy tính của bạn chống lại các cuộc tấn công bạo lực bằng mã PIN. Khi bạn đã xác định được nhà sản xuất TPM, hãy liên hệ với nhà sản xuất để có được thông tin về TPM mà chỉ nhà sản xuất mới có thể cung cấp. Hầu hết các nhà sản xuất đều tăng thời gian khóa giao diện mã PIN theo cấp số nhân khi số lượng lỗi mã PIN tăng lên. Tuy nhiên, mỗi nhà sản xuất đều có những quy định riêng về việc đặt lại bộ đếm lỗi hoặc giảm giá trị của nó.

Làm cách nào tôi có thể xác định nhà sản xuất TPM của mình?

Bạn có thể xác định TPM theo nhà sản xuất trong Trung tâm bảo mật của bộ bảo vệ Windows > Bảo mật thiết bị > thông tin bảo mật bộ xử lý.

Làm cách nào để đánh giá cơ chế giảm thiểu tấn công từ điển được sử dụng trong TPM?

Hãy hỏi nhà sản xuất TPM của bạn những câu hỏi sau về cơ chế giảm thiểu tấn công từ điển của họ:

  • Cho phép bao nhiêu lần đăng nhập thất bại trước khi bị chặn?
  • Thuật toán nào được sử dụng để xác định thời lượng chặn, có tính đến số lần thử ủy quyền không thành công và các thông số quan trọng khác?
  • Những hành động nào có thể khiến bộ đếm lỗi bị đặt lại, giảm hoặc bị chặn lâu hơn?

Tôi có thể thay đổi độ dài và độ phức tạp của mã PIN bằng Chính sách nhóm không?

Có và không. Bạn có thể đặt độ dài mã PIN tối thiểu trong cài đặt Chính sách nhóm Cài đặt chính sách này cho phép bạn đặt độ dài mã PIN tối thiểu để khởi động và cho phép sử dụng mã PIN chữ và số bằng cách bật cài đặt Chính sách nhóm Cài đặt chính sách này cho phép bạn cho phép sử dụng mã PIN nâng cao khi khởi động máy tính. Tuy nhiên, không thể đặt yêu cầu về độ phức tạp của mã PIN trong Group Policy.

Để biết thêm thông tin, hãy xem Cài đặt chính sách nhóm BitLocker.

Nhận xét

Chúng tôi muốn biết ý kiến ​​​​của bạn. Hãy cho biết bạn muốn nói gì với chúng tôi.

Hệ thống phản hồi của chúng tôi dựa trên nguyên tắc xử lý sự cố trên GitHub. Để biết thêm thông tin, xem .

Nhiều người dùng khi phát hành hệ điều hành Windows 7 đã phải đối mặt với thực tế là một dịch vụ BitLocker khó hiểu đã xuất hiện trong đó. Nhiều người chỉ có thể đoán BitLocker là gì. Hãy làm rõ tình hình bằng các ví dụ cụ thể. Chúng tôi cũng sẽ xem xét các câu hỏi liên quan đến việc nên kích hoạt thành phần này hay vô hiệu hóa nó hoàn toàn.

Dịch vụ BitLocker: Nó dùng để làm gì?

Nếu xem xét kỹ, bạn có thể kết luận rằng BitLocker là một phương tiện mã hóa dữ liệu phổ biến, hoàn toàn tự động được lưu trữ trên ổ cứng của bạn. BitLocker trên ổ cứng là gì? Đây là một dịch vụ thông thường mà không cần sự can thiệp của người dùng, cho phép bạn bảo vệ các thư mục và tệp bằng cách mã hóa chúng và tạo khóa văn bản đặc biệt cung cấp quyền truy cập vào tài liệu. Tại thời điểm người dùng làm việc bằng tài khoản của mình, anh ta thậm chí không nhận ra rằng dữ liệu đã được mã hóa. Tất cả thông tin được hiển thị ở dạng có thể đọc được và quyền truy cập vào các thư mục và tệp không bị chặn đối với người dùng. Nói cách khác, biện pháp bảo mật như vậy chỉ được thiết kế cho những tình huống có thể xảy ra truy cập trái phép vào thiết bị đầu cuối máy tính do nỗ lực can thiệp từ bên ngoài.

Các vấn đề về mật mã và mật khẩu

Nếu chúng ta nói về BitLocker trông như thế nào trong Windows 7 hoặc trong các hệ thống cấp cao hơn, cần lưu ý thực tế khó chịu này: nếu mất mật khẩu đăng nhập, nhiều người dùng không chỉ có thể đăng nhập vào hệ thống mà còn có thể thực hiện một số hành động để xem các tài liệu trước đây có thể di chuyển, sao chép, v.v. Nhưng vấn đề không kết thúc ở đó. Nếu bạn hiểu đúng câu hỏi BitLocker Windows 8 và 10 là gì thì không có sự khác biệt đáng kể nào. Điều duy nhất có thể lưu ý là công nghệ mật mã tiên tiến hơn. Vấn đề ở đây là khác nhau. Vấn đề là bản thân dịch vụ này có khả năng hoạt động ở hai chế độ, lưu trữ khóa giải mã trên ổ cứng hoặc trên ổ USB di động. Điều này gợi ý một kết luận hoàn toàn hợp lý: người dùng, nếu có khóa đã lưu trên ổ cứng, sẽ có quyền truy cập vào tất cả thông tin được lưu trữ trên đó mà không gặp bất kỳ vấn đề gì. Khi khóa được lưu trên ổ flash, vấn đề nghiêm trọng hơn nhiều. Về nguyên tắc, bạn có thể thấy đĩa hoặc phân vùng được mã hóa nhưng bạn sẽ không thể đọc được thông tin. Ngoài ra, nếu chúng ta nói về BitLocker là gì trong Windows 10 và các hệ thống thuộc các phiên bản cũ hơn, cần lưu ý thực tế là dịch vụ này được tích hợp vào menu ngữ cảnh thuộc bất kỳ loại nào, được gọi bằng cách nhấp chuột phải. Điều này đơn giản là gây khó chịu cho nhiều người dùng. Chúng ta đừng vượt lên trên chính mình và xem xét tất cả các khía cạnh chính liên quan đến hoạt động của thành phần này, cũng như khả năng nên ngừng kích hoạt và sử dụng nó.

Phương pháp mã hóa phương tiện và đĩa di động

Điều kỳ lạ nhất là trên các hệ thống khác nhau và các sửa đổi của chúng, theo mặc định, dịch vụ BitLocker của Windows 10 có thể ở chế độ hoạt động hoặc thụ động. Trong Windows 7, nó được bật theo mặc định, trong Windows 8 và Windows 10, đôi khi nó yêu cầu kích hoạt thủ công. Về vấn đề mã hóa, không có gì mới được phát minh ở đây. Thông thường, công nghệ AES dựa trên khóa công khai tương tự được sử dụng, công nghệ này thường được sử dụng nhiều nhất trong các mạng công ty. Do đó, nếu thiết bị đầu cuối máy tính của bạn có hệ điều hành phù hợp được kết nối với mạng cục bộ, bạn có thể hoàn toàn chắc chắn rằng chính sách bảo mật và bảo vệ thông tin được sử dụng liên quan đến việc kích hoạt dịch vụ này. Ngay cả khi bạn có quyền quản trị viên, bạn sẽ không thể thay đổi bất cứ điều gì.

Kích hoạt dịch vụ BitLocker của Windows 10 nếu nó đã bị vô hiệu hóa

Trước khi bắt đầu giải quyết vấn đề liên quan đến BitLocker Windows 10, bạn cần xem xét quá trình kích hoạt và định cấu hình nó. Các bước hủy kích hoạt sẽ cần phải được thực hiện theo thứ tự ngược lại. Việc kích hoạt mã hóa theo cách đơn giản nhất được thực hiện từ “Bảng điều khiển” bằng cách chọn phần mã hóa ổ đĩa. Phương pháp này chỉ có thể được sử dụng nếu khóa không được lưu vào phương tiện di động. Nếu phương tiện không thể tháo rời bị khóa, thì bạn sẽ phải tìm một câu hỏi khác về dịch vụ BitLocker của Windows 10: làm cách nào để tắt thành phần này? Điều này được thực hiện khá đơn giản. Với điều kiện khóa nằm trên phương tiện di động, để giải mã ổ đĩa và phân vùng ổ đĩa, bạn cần cắm nó vào cổng thích hợp, sau đó chuyển đến phần hệ thống bảo mật của Bảng điều khiển. Sau đó, chúng tôi tìm mục mã hóa BitLocker, sau đó xem xét phương tiện và ổ đĩa được cài đặt bảo vệ. Bên dưới sẽ có một siêu liên kết được thiết kế để vô hiệu hóa mã hóa. Bạn cần phải bấm vào nó. Nếu khóa được nhận dạng, quá trình giải mã sẽ được kích hoạt. Tất cả bạn phải làm là chờ cho nó hoàn thành.

Cấu hình các thành phần ransomware: vấn đề

Về vấn đề thiết lập chắc hẳn sẽ không khỏi đau đầu. Trước hết, điều đáng chú ý là hệ thống cung cấp dung lượng dự trữ ít nhất 1,5 GB cho nhu cầu của bạn. Thứ hai, bạn cần điều chỉnh quyền của hệ thống tệp NTFS, chẳng hạn như giảm kích thước âm lượng. Để thực hiện những việc như vậy, bạn nên tắt ngay thành phần này vì hầu hết người dùng không cần đến nó. Ngay cả những người đã bật dịch vụ này theo mặc định trong cài đặt của họ cũng không phải lúc nào cũng biết phải làm gì với dịch vụ đó hoặc liệu nó có cần thiết hay không. Và vô ích... Trên máy tính cục bộ, bạn có thể bảo vệ dữ liệu với sự trợ giúp của nó ngay cả khi hoàn toàn không có phần mềm chống vi-rút.

Cách tắt BitLocker: bắt đầu

Trước hết, bạn cần sử dụng mục được chỉ định trước đó trong “Bảng điều khiển”. Tên của các trường vô hiệu hóa dịch vụ có thể thay đổi tùy theo sửa đổi hệ thống. Ổ đĩa đã chọn có thể được đặt để tạm dừng bảo vệ hoặc cho biết tắt dịch vụ BitLocker. Nhưng đó không phải là vấn đề. Cần đặc biệt chú ý đến việc cần phải tắt hoàn toàn việc cập nhật BIOS và các tệp khởi động hệ thống. Nếu không, quá trình giải mã có thể mất khá nhiều thời gian.

Danh mục

Đây là một mặt của đồng xu BitLocker. Dịch vụ này là gì thì đã rõ ràng rồi. Mặt trái của nó là ngăn cách các menu bổ sung chứa các liên kết đến một dịch vụ nhất định. Để làm được điều này, bạn cần xem xét lại BitLocker. Làm cách nào để xóa tất cả các liên kết đến một dịch vụ khỏi menu ngữ cảnh? Có, rất đơn giản... Khi bạn chọn tệp mong muốn trong Explorer, hãy sử dụng phần dịch vụ và chỉnh sửa của menu ngữ cảnh, đi tới cài đặt, sau đó sử dụng cài đặt lệnh và sắp xếp chúng. Tiếp theo, bạn cần chỉ định giá trị của “Bảng điều khiển” và tìm giá trị bạn cần trong danh sách các thành phần và lệnh của bảng điều khiển tương ứng rồi xóa nó. Sau đó, trong trình chỉnh sửa sổ đăng ký, bạn cần đến nhánh HKCR và tìm phần ROOT Directory Shell, mở rộng nó và xóa phần tử mong muốn bằng cách nhấn phím Del hoặc sử dụng lệnh xóa từ menu chuột phải. Đó là điều cuối cùng về BitLocker. Làm thế nào để vô hiệu hóa nó chắc hẳn bạn đã rõ ràng. Nhưng đừng tự lừa dối mình trước thời hạn. Dịch vụ này sẽ vẫn chạy ở chế độ nền dù bạn có muốn hay không.

Phần kết luận

Cần nói thêm rằng đây không phải là tất cả những gì có thể nói về thành phần hệ thống mã hóa BitLocker. Chúng tôi đã tìm ra BitLocker là gì. Bạn cũng đã học cách tắt và xóa các lệnh menu. Câu hỏi đặt ra là: có đáng để vô hiệu hóa BitLocker không? Ở đây chúng tôi có thể đưa ra một lời khuyên: trong mạng công ty, bạn hoàn toàn không nên tắt thành phần này. Nhưng nếu chúng ta đang nói về một thiết bị đầu cuối máy tính gia đình thì tại sao không.

máy tính học.ru

BitLocker: nó là gì và làm cách nào để mở khóa nó?

Với việc phát hành hệ điều hành Windows 7, nhiều người dùng đã phải đối mặt với thực tế là một dịch vụ BitLocker hơi khó hiểu đã xuất hiện trong đó. BitLocker là gì, nhiều người chỉ có thể đoán. Hãy cố gắng làm rõ tình hình bằng các ví dụ cụ thể. Trong quá trình này, chúng tôi sẽ xem xét các câu hỏi liên quan đến mức độ thích hợp để kích hoạt thành phần này hoặc vô hiệu hóa nó hoàn toàn.

BitLocker: BitLocker là gì, tại sao cần dịch vụ này

Nếu bạn nhìn vào nó, BitLocker là một phương tiện mã hóa dữ liệu được lưu trữ trên ổ cứng phổ biến và hoàn toàn tự động. BitLocker trên ổ cứng là gì? Có, chỉ là một dịch vụ bảo vệ các tệp và thư mục mà không cần sự can thiệp của người dùng bằng cách mã hóa chúng và tạo khóa văn bản đặc biệt cung cấp quyền truy cập vào tài liệu.

Khi người dùng làm việc trong hệ thống bằng tài khoản của chính mình, anh ta thậm chí có thể không nhận ra rằng dữ liệu đã được mã hóa vì thông tin được hiển thị ở dạng có thể đọc được và quyền truy cập vào các tệp và thư mục không bị chặn. Nói cách khác, một công cụ bảo vệ như vậy chỉ được thiết kế cho những trường hợp khi truy cập trái phép vào thiết bị đầu cuối máy tính, chẳng hạn như khi cố gắng can thiệp từ bên ngoài (tấn công Internet).

Các vấn đề về mật khẩu và mật mã

Tuy nhiên, nếu chúng ta nói về BitLocker là gì trong Windows 7 hoặc các hệ thống có thứ hạng cao hơn, thì cần lưu ý một thực tế khó chịu là nếu mất mật khẩu đăng nhập, nhiều người dùng không những không thể đăng nhập vào hệ thống mà còn thực hiện một số hành động duyệt web. các tài liệu trước đây có sẵn để sao chép, di chuyển, v.v.

Nhưng đó không phải là tất cả. Nếu bạn nhìn vào câu hỏi BitLocker Windows 8 hay 10 là gì, thì không có sự khác biệt đáng kể nào, ngoại trừ việc chúng có công nghệ mã hóa tiên tiến hơn. Vấn đề ở đây rõ ràng là khác nhau. Thực tế là bản thân dịch vụ này có khả năng hoạt động ở hai chế độ, lưu trữ khóa giải mã trên ổ cứng hoặc trên ổ USB di động.

Điều này gợi ý một kết luận đơn giản nhất: nếu khóa được lưu trên ổ cứng, người dùng sẽ có quyền truy cập vào tất cả thông tin được lưu trữ trên đó mà không gặp vấn đề gì. Nhưng khi chìa khóa được lưu trên ổ flash thì vấn đề nghiêm trọng hơn nhiều. Về nguyên tắc, bạn có thể thấy đĩa hoặc phân vùng được mã hóa nhưng không thể đọc thông tin.

Ngoài ra, nếu nói về BitLocker là gì trong các hệ thống Windows 10 trở về trước, chúng ta không thể không lưu ý rằng dịch vụ này được tích hợp vào bất kỳ loại menu ngữ cảnh nhấp chuột phải nào, điều này đơn giản gây khó chịu cho nhiều người dùng. Nhưng chúng ta đừng vượt lên trên chính mình mà hãy xem xét tất cả các khía cạnh chính liên quan đến hoạt động của thành phần này và khả năng nên sử dụng hoặc hủy kích hoạt nó.

Phương pháp mã hóa đĩa và phương tiện di động

Điều kỳ lạ nhất là trên các hệ thống khác nhau và các sửa đổi của chúng, dịch vụ BitLocker có thể ở cả chế độ hoạt động và thụ động theo mặc định. Trong "bảy", nó được bật theo mặc định, trong phiên bản thứ tám và thứ mười, đôi khi cần phải kích hoạt thủ công.

Về vấn đề mã hóa, không có gì đặc biệt mới được phát minh ở đây. Theo quy định, công nghệ AES dựa trên khóa công khai tương tự sẽ được sử dụng, công nghệ này thường được sử dụng nhiều nhất trong các mạng công ty. Do đó, nếu thiết bị đầu cuối máy tính của bạn có hệ điều hành phù hợp trên máy được kết nối với mạng cục bộ, bạn có thể chắc chắn rằng chính sách bảo mật và bảo vệ dữ liệu hiện hành bao hàm việc kích hoạt dịch vụ này. Nếu không có quyền quản trị viên (ngay cả khi bạn bắt đầu thay đổi cài đặt với tư cách quản trị viên), bạn sẽ không thể thay đổi bất cứ điều gì.

Kích hoạt BitLocker nếu dịch vụ bị tắt

Trước khi giải quyết vấn đề liên quan đến BitLocker (cách tắt dịch vụ, cách xóa các lệnh của nó khỏi menu ngữ cảnh), hãy xem việc bật và định cấu hình, đặc biệt vì các bước hủy kích hoạt sẽ cần được thực hiện theo thứ tự ngược lại.

Việc kích hoạt mã hóa theo cách đơn giản nhất được thực hiện từ “Bảng điều khiển” bằng cách chọn phần mã hóa ổ đĩa. Phương pháp này chỉ có thể áp dụng nếu khóa không được lưu vào phương tiện di động.

Nếu thiết bị bị khóa là ổ đĩa không thể tháo rời, bạn sẽ phải tìm câu trả lời cho một câu hỏi khác về dịch vụ BitLocker: làm cách nào để tắt thành phần này trên ổ đĩa flash? Điều này được thực hiện khá đơn giản.

Với điều kiện khóa nằm trên phương tiện di động, để giải mã ổ đĩa và phân vùng ổ đĩa, trước tiên bạn cần cắm nó vào cổng (đầu nối) thích hợp, sau đó đi đến phần hệ thống bảo mật của Bảng điều khiển. Sau đó, chúng tôi tìm mục mã hóa BitLocker, sau đó xem xét các ổ đĩa và phương tiện mà tính năng bảo vệ được cài đặt trên đó. Ở phía dưới cùng, bạn sẽ thấy một siêu liên kết để tắt mã hóa mà bạn cần nhấp vào. Nếu khóa được nhận dạng, quá trình giải mã sẽ được kích hoạt. Tất cả những gì còn lại là chờ đợi nó hoàn thành.

Sự cố khi định cấu hình các thành phần ransomware

Về phần thiết lập, bạn không thể không đau đầu. Đầu tiên, hệ thống đề xuất dự trữ ít nhất 1,5 GB cho nhu cầu của bạn. Thứ hai, bạn cần điều chỉnh quyền của hệ thống tệp NTFS, giảm kích thước âm lượng, v.v. Để tránh làm những điều như vậy, tốt hơn hết là bạn nên tắt ngay thành phần này, vì hầu hết người dùng đơn giản là không cần đến nó. Ngay cả tất cả những người đã bật dịch vụ này trong cài đặt mặc định của họ cũng không phải lúc nào cũng biết phải làm gì với nó hoặc liệu nó có cần thiết hay không. Nhưng vô ích. Bạn có thể sử dụng nó để bảo vệ dữ liệu trên máy tính cục bộ của mình ngay cả khi bạn không có phần mềm chống vi-rút.

BitLocker: cách tắt. Giai đoạn đầu

Một lần nữa, hãy sử dụng mục được chỉ định trước đó trong “Bảng điều khiển”. Tùy thuộc vào sửa đổi hệ thống, tên của các trường vô hiệu hóa dịch vụ có thể thay đổi. Ổ đĩa được chọn có thể có một dòng để tạm dừng bảo vệ hoặc một chỉ báo trực tiếp để tắt BitLocker.

Đó không phải là vấn đề. Ở đây điều đáng chú ý là bạn sẽ cần phải tắt hoàn toàn việc cập nhật BIOS và các tập tin khởi động của hệ thống máy tính. Nếu không, quá trình giải mã có thể mất khá nhiều thời gian.

Danh mục

Đây chỉ là một mặt của đồng xu BitLocker. BitLocker là gì có lẽ đã rõ ràng. Nhưng mặt trái là cách ly các menu bổ sung khỏi sự hiện diện của các liên kết đến dịch vụ này trong đó.

Để làm điều này, chúng ta hãy nhìn lại BitLocker. Làm cách nào để xóa tất cả các liên kết đến một dịch vụ khỏi menu ngữ cảnh? Tiểu học! Trong Explorer, khi bạn chọn tệp hoặc thư mục mong muốn, hãy sử dụng phần dịch vụ và chỉnh sửa menu ngữ cảnh tương ứng, đi tới cài đặt, sau đó sử dụng cài đặt lệnh và sắp xếp chúng.

Sau đó, trong trình chỉnh sửa sổ đăng ký, hãy nhập nhánh HKCR, nơi chúng tôi tìm thấy phần ROOTDirectoryShell, mở rộng nó và xóa phần tử mong muốn bằng cách nhấn phím Del hoặc lệnh xóa từ menu chuột phải. Trên thực tế, đó là điều cuối cùng về thành phần BitLocker. Làm thế nào để vô hiệu hóa nó, tôi nghĩ, đã rõ ràng. Nhưng đừng tự lừa dối mình. Tương tự, dịch vụ này sẽ hoạt động ở chế độ nền (để đề phòng), cho dù bạn có muốn hay không.

Thay vì lời bạt

Vẫn cần nói thêm rằng đây không phải là tất cả những gì có thể nói về thành phần hệ thống mã hóa BitLocker. BitLocker là gì, chúng tôi đã tìm ra cách tắt nó và xóa các lệnh menu. Câu hỏi đặt ra là: bạn có nên tắt BitLocker không? Ở đây chúng tôi chỉ có thể đưa ra một lời khuyên: trong mạng cục bộ của công ty, bạn hoàn toàn không nên tắt thành phần này. Nhưng nếu đó là một thiết bị đầu cuối máy tính ở nhà thì tại sao không?

fb.ru

Mã hóa Bitlocker của ổ đĩa flash và đĩa trong Windows 10

Nhiều người trong chúng ta thường mang theo những thông tin quan trọng, có giá trị trên các thiết bị bên ngoài. Đây có thể là ổ ssd hoặc ổ đĩa ngoài khác để lưu trữ dữ liệu. Phổ biến nhất có lẽ là ổ đĩa flash thông thường, trên đó một người thường chuyển những thông tin cần thiết nhất. Nhưng phải làm gì nếu bạn bị mất ổ đĩa flash? Hoặc một ổ ssd di động bên ngoài? Trả lời: mã hóa các thiết bị bên ngoài của bạn và đặt mật khẩu vào ổ flash để nếu bạn tìm thấy thì không ai có thể sử dụng thông tin của bạn. Có rất nhiều phần mềm của bên thứ ba để bảo vệ ổ đĩa flash, nhưng tại sao lại cần thiết nếu chương trình được cài đặt có thể bị xóa theo thời gian do sơ suất. Trong bài viết này, chúng ta sẽ xem cách bảo vệ thiết bị của bạn bằng công cụ Windows 10 tích hợp sẵn.

Lưu ý: Chúng tôi sẽ sử dụng BitLocker, có trong phiên bản Pro hoặc Enterpris của Windows 10.

Tôi cũng khuyên bạn nên xem:

Cách đặt mật khẩu bảo vệ thư mục, file bằng hàm EFS

Đặt mật khẩu vào thư mục không có chương trình

BitLocker là gì?

BitLocker là một tính năng mã hóa cho phương tiện di động, bao gồm ổ flash USB, thẻ SD và ổ cứng ngoài. BitLocker hỗ trợ các hệ thống tệp NTFS, FAT32, exFAT. Được định dạng bằng bất kỳ hệ thống tệp nào trong số này đều có thể được bảo vệ bằng BitLocker. Không giống như mã hóa EFS, được thiết kế để mã hóa các thư mục và tệp, BitLocker không thể hoạt động với các tệp; nó dành cho phương tiện di động.

Cách đặt mật khẩu trên ổ đĩa flash và đĩa trong Windows 10

  • Kết nối ổ flash USB hoặc ổ cứng ngoài với Windows 10.
  • Nhấp chuột phải vào ổ đĩa bạn muốn bảo vệ và nhấp vào Bật BitLocker.
  • Chọn hộp kiểm Sử dụng mật khẩu để mở khóa đĩa.
  • Tạo mật khẩu của riêng bạn để bảo vệ dữ liệu của bạn.
  • Chọn lưu trữ khóa Lưu tệp.
  • Lưu tệp ở vị trí thuận tiện cho bạn; bạn sẽ cần nó để mở khóa ổ đĩa flash nếu bạn quên mật khẩu.
  • Tôi khuyên bạn nên Mã hóa toàn bộ đĩa.
  • Chọn chế độ mã hóa Chế độ tương thích.
  • Đợi quá trình hoàn tất.

Truy cập vào dữ liệu được bảo vệ bằng mật khẩu

  • Cắm thiết bị được mã hóa của bạn vào cổng USB trên máy tính và mở nó.
  • Nhập mật khẩu mà bạn đã tạo khi bắt đầu mã hóa.
  • Nếu bạn quên mật khẩu ổ đĩa flash, hãy nhấp vào Tùy chọn nâng cao và nhập mã khôi phục mà bạn đã lưu vào máy tính.

Vô hiệu hóa BitLocker và xóa mật khẩu khỏi ổ đĩa flash

Để xóa mật khẩu được chỉ định và làm cho ổ flash hoạt động bình thường trở lại, bạn cần tắt Bitlocker. Để thực hiện việc này, hãy cắm thiết bị USB của bạn vào máy tính và nhập mật khẩu mở khóa.

  • Sau khi mở khóa, nhấp chuột phải vào ổ flash và chọn Quản lý BitLocker.
  • Tìm thiết bị bạn muốn xóa mật khẩu và nhấp vào Tắt BitLocker ở dưới cùng.

Xem thêm:

Bình luận được cung cấp bởi HyperComments Báo cáo lỗi

mywebpc.ru

Cách mã hóa ổ đĩa hoặc ổ flash bằng dữ liệu bí mật bằng Bitlocker

Chào mọi người! Bảo vệ dữ liệu cá nhân khỏi bị truy cập trái phép là một điểm quan trọng đối với người dùng PC. Điều này đặc biệt đúng đối với các máy tính văn phòng nơi lưu trữ thông tin thương mại hoặc bất kỳ thông tin nào khác cần được ẩn khỏi việc xem trái phép. Hôm nay tôi sẽ đề cập đến chủ đề “Mã hóa ổ đĩa Bitlocker trong Windows 10”. Tài liệu này sẽ giúp bảo mật dữ liệu không chỉ trên ổ cứng mà còn trên phương tiện di động bằng cách sử dụng các công cụ “hàng chục” tiêu chuẩn.

Tiện ích BitLocker lần đầu tiên xuất hiện trong Windows 7 (phiên bản mở rộng), sau đó được triển khai trong các bản phát hành hệ điều hành tiếp theo. Chỉ có sẵn trong các phiên bản chuyên nghiệp và doanh nghiệp. Thiết lập Mã hóa thiết bị đơn giản được cung cấp cho người dùng gia đình.

Bản chất của mã hóa

Nó là gì? Quá trình này bao gồm việc sử dụng một thuật toán đặc biệt để chuyển đổi dữ liệu sang định dạng đặc biệt mà chỉ chủ sở hữu mới có thể đọc được. Ngay cả khi ai đó cố mở các tệp được bảo vệ, một loạt các chữ cái và số vô nghĩa sẽ được hiển thị.

Kích hoạt BitLocker

Quan tâm đến cách kích hoạt mã hóa? Hướng dẫn chi tiết sau.

  1. Trong Bảng điều khiển, hãy chuyển đến phần “Hệ thống và bảo mật” và chọn tab “Mã hóa đĩa”.
  2. Cách thứ hai. Nhấp chuột phải vào ổ đĩa, tập tin hoặc thư mục mong muốn. Chọn mục menu ngữ cảnh “Bật”. BitLocker." Nếu tùy chọn này không có trong danh sách thì bạn đang sử dụng phiên bản hệ điều hành không được hỗ trợ. Chúng tôi làm tương tự để mã hóa ổ đĩa flash.
  3. Một cửa sổ sẽ mở ra cho phép bạn chọn một trong hai tùy chọn: “Hard Drives” và “BitLocker To Go”.

Phương pháp đầu tiên phù hợp để mã hóa toàn bộ ổ cứng. Trong trường hợp này, khi tải PC, bạn sẽ cần chỉ định mật khẩu bạn đã đặt. Chỉ sau đó bộ giải mã mới thực hiện công việc của mình và hệ thống sẽ khởi động.

Phương pháp thứ hai phù hợp với các ổ đĩa ngoài. Khi ổ đĩa flash như vậy được kết nối với PC, bạn có thể mở nội dung của đĩa sau khi nhập mật khẩu.

  • Trong trường hợp mô-đun TPM không được cài đặt trên máy tính (đây là con chip trên chipset có khả năng lưu trữ khóa mã hóa. Tăng mức độ bảo mật. Ngay cả khi ổ đĩa bị đánh cắp, dữ liệu sẽ vẫn bị đóng) thì bạn sẽ nhận được cửa sổ lỗi sau. Nó sẽ yêu cầu bạn cho phép BitLocker mà không bật TPM:

  • Để vô hiệu hóa TRM và tôi nghĩ ít người có nó, chúng ta sẽ sử dụng tiện ích gpedit.msc (đăng nhập qua bảng điều khiển Win + R) để thay đổi chính sách nhóm. Chúng ta hãy đi qua cây thư mục:
“Cấu hình PC” - “Mẫu quản trị” - “Thành phần Windows” - “BitLocker” - “Đĩa hệ điều hành”.
  • Ở bên phải cửa sổ, tìm mục “Yêu cầu xác thực…” và thay đổi trạng thái thành “Bật”. Chúng tôi cũng cho phép sử dụng mã hóa mà không cần TPM bằng cách chọn hộp thích hợp:

Có một vài câu hỏi? Hay mọi thứ đều cực kỳ đơn giản? Nếu khó khăn nảy sinh (xét cho cùng, ngay cả những hướng dẫn phổ quát nhất cũng có thể không hiệu quả trong những trường hợp cụ thể), thì hãy đặt câu hỏi thông qua biểu mẫu nhận xét sau bài viết.

Các phương pháp mở khóa

Sau khi hoàn thành thành công tất cả các bước của hướng dẫn trước đó, bạn sẽ cần chọn phương pháp để có thể mở khóa đĩa. Tùy chọn phổ biến nhất là đặt mật khẩu. Nhưng bạn có thể tạo một phương tiện bên ngoài đặc biệt để lưu trữ các khóa giải mã. Nếu có chip TPM trên bo mạch chủ, việc lựa chọn các tùy chọn sẽ mở rộng đáng kể. Ví dụ: sẽ thực tế hơn nếu chỉ định giải mã tự động trong khi khởi động PC hoặc đặt mã PIN để giải mã và mã bổ sung trên đĩa.

Chọn phương pháp bạn thích nhất từ ​​tất cả các phương pháp có sẵn.

Chìa khóa dự phòng

Bạn nghĩ điều gì sẽ xảy ra nếu bạn quên mật khẩu hoặc mất phương tiện có khóa chính? Hoặc cài đặt ổ cứng vào một PC khác (có TPM khác)? Làm thế nào để khôi phục quyền truy cập trong tình huống như vậy? Windows 10 cung cấp khả năng lưu khóa dự phòng (vào đĩa, ổ flash) hoặc in ra. Điều quan trọng là phải đảm bảo rằng bản sao được lưu trữ an toàn để không ai có thể lấy được. Nếu không, mọi nỗ lực đảm bảo bảo vệ sẽ trở thành con số không.

Chú ý! Nếu bạn mất tất cả chìa khóa, bạn sẽ mất dữ liệu vĩnh viễn! Chính xác hơn là bạn sẽ không thể giải mã được chúng! Đơn giản là không thể vô hiệu hóa sự bảo vệ như vậy.

Tiện ích BitLocker hoạt động ngoại tuyến và mã hóa các tệp và thư mục mới được thêm (được tạo) trên ổ đĩa. Trong trường hợp này, có hai con đường bạn có thể đi.

  1. Mã hóa toàn bộ đĩa, bao gồm cả dung lượng trống (chưa sử dụng). Phương pháp đáng tin cậy nhưng chậm. Thích hợp cho những trường hợp bạn cần ẩn đi mọi thông tin (ngay cả về những file đã bị xóa từ lâu và có thể khôi phục lại được).
  2. Chỉ bảo vệ không gian đã sử dụng (phân vùng bị chiếm dụng). Đây là phương pháp nhanh hơn mà tôi khuyên bạn nên chọn trong hầu hết các tình huống.

Sau bước này, quá trình phân tích hệ thống sẽ bắt đầu. Máy tính sẽ khởi động lại và quá trình mã hóa sẽ bắt đầu. Bạn có thể di chuột qua biểu tượng trong vùng thông báo để theo dõi tiến trình của mình. Cần lưu ý rằng hiệu suất có giảm nhẹ do tiêu thụ RAM.

Lần khởi động tiếp theo của PC sẽ đi kèm với sự xuất hiện của cửa sổ nhập mã PIN hoặc lời nhắc cắm ổ USB bằng phím. Tất cả phụ thuộc vào phương pháp bạn chọn.

Nếu cần sử dụng khóa dự phòng, bạn nên nhấn Esc trên bàn phím và làm theo các yêu cầu của trình hướng dẫn khôi phục.

Sử dụng BitLocker để đi

Quá trình thiết lập ban đầu của tiện ích mã hóa ổ đĩa ngoài cũng giống như hướng dẫn ở trên. Nhưng bạn sẽ không cần phải khởi động lại PC.

Tâm điểm! Không được tháo ổ đĩa cho đến khi quá trình hoàn tất, nếu không kết quả có thể không như mong đợi.

Ngay khi bạn kết nối ổ flash "được bảo vệ" với máy tính xách tay, một cửa sổ nhập mật khẩu sẽ xuất hiện:

Thay đổi cài đặt BitLocker

Sẽ phản trực giác nếu người dùng không thể thay đổi mật khẩu và các cài đặt khác. Bạn muốn biết làm thế nào để loại bỏ bảo vệ? Điều này được thực hiện đơn giản. Nhấp chuột phải vào ổ đĩa mong muốn và chọn “Quản lý BitLocker”.

Ở bên phải sẽ có một danh sách các khả năng. Mục cuối cùng “Tắt…” chịu trách nhiệm tắt mã hóa.

Kinh nghiệm sử dụng cá nhân

Tôi luôn mang theo một ổ đĩa flash được mã hóa bằng Bitlocker bên mình vì tôi lưu trữ mật khẩu, ảnh và dữ liệu công việc trên đó. Trong một chuyến công tác, tôi bị mất ổ đĩa flash, nhưng tôi không hề buồn chút nào vì tôi hiểu rằng tất cả dữ liệu đã được mã hóa và người tìm thấy nó sẽ không thể sử dụng được. Đối với những người quan tâm đến sự an toàn thì đây là giải pháp tối ưu nhất.

Vì vậy, chúng tôi đã tìm ra chủ đề khó khăn nhưng quan trọng này. Cuối cùng, tôi muốn lưu ý rằng việc sử dụng biện pháp bảo vệ như vậy sẽ làm tăng tải cho bộ xử lý và tiêu tốn tài nguyên RAM. Nhưng đây chỉ là những hy sinh nhỏ so với việc mất thông tin không được bảo vệ do bị đánh cắp và truy cập trái phép. Bạn có đồng ý không?

Trân trọng, Victor

it-tehnik.ru

BitLocker. Câu hỏi và câu trả lời

Áp dụng cho: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

Phần này dành cho các chuyên gia CNTT, trả lời các câu hỏi thường gặp liên quan đến các yêu cầu sử dụng, nâng cấp, triển khai và quản trị cũng như các chính sách quản lý khóa cho BitLocker.

BitLocker hoạt động với các ổ đĩa hệ điều hành

BitLocker có thể được sử dụng để loại bỏ nguy cơ truy cập dữ liệu trái phép trên máy tính bị mất hoặc bị đánh cắp bằng cách mã hóa tất cả các tệp hệ thống và người dùng trên ổ đĩa hệ điều hành, bao gồm tệp trang và tệp ngủ đông, đồng thời bằng cách xác minh tính toàn vẹn của các thành phần được tải trước đó và dữ liệu cấu hình khởi động .

BitLocker hoạt động với các ổ đĩa di động và cố định

BitLocker có thể được sử dụng để mã hóa toàn bộ nội dung của ổ dữ liệu. Bằng cách sử dụng Chính sách nhóm, bạn có thể yêu cầu bật BitLocker trên ổ đĩa trước khi dữ liệu có thể được ghi vào ổ đĩa. BitLocker có thể định cấu hình các phương pháp mở khóa khác nhau cho ổ dữ liệu và ổ dữ liệu hỗ trợ nhiều phương pháp mở khóa.

Có, BitLocker hỗ trợ xác thực đa yếu tố cho ổ đĩa hệ điều hành. Nếu bạn bật BitLocker trên máy tính đã cài đặt TPM 1.2 hoặc 2.0, bạn có thể sử dụng các hình thức xác thực bổ sung dựa trên mô-đun đó.

Để sử dụng tất cả các tính năng của BitLocker, máy tính của bạn phải đáp ứng các yêu cầu về phần cứng và phần mềm được liệt kê trong phần Cấu hình Drive được BitLocker hỗ trợ trong phần tổng quan kỹ thuật Mã hóa ổ đĩa BitLocker.

Cần có hai phân vùng để BitLocker hoạt động vì xác thực trước khi khởi động và xác minh tính toàn vẹn hệ thống phải được thực hiện trên một phân vùng riêng biệt không giống với ổ đĩa hệ điều hành được mã hóa. Cấu hình này giúp bảo vệ hệ điều hành và dữ liệu trên ổ đĩa được mã hóa.

BitLocker hỗ trợ các phiên bản TPM được liệt kê trong phần Yêu cầu của tổng quan kỹ thuật Mã hóa ổ đĩa BitLocker.

Để biết thông tin về cách thực hiện việc này, hãy xem Tìm thông tin trình điều khiển TPM.

Để biết thông tin về cách thực hiện việc này, hãy xem Tìm thông tin trình điều khiển TPM.

Có, bạn có thể bật BitLocker trên ổ đĩa hệ điều hành không có TPM 1.2 hoặc 2.0 nếu chương trình cơ sở BIOS hoặc UEFI hỗ trợ đọc từ ổ flash USB trong khi khởi động. Điều này có thể xảy ra vì BitLocker không mở khóa ổ đĩa được bảo vệ cho đến khi nó lấy được khóa chính của âm lượng BitLocker từ TPM trên máy tính hoặc từ ổ flash USB có chứa khóa khởi động BitLocker cho máy tính đó. Tuy nhiên, các máy tính không có TPM sẽ không thể thực hiện kiểm tra tính toàn vẹn của hệ thống mà BitLocker hỗ trợ.

Để xác minh rằng thiết bị USB có thể được đọc trong quá trình khởi động, hãy sử dụng kiểm tra hệ thống BitLocker trong quá trình cài đặt BitLocker. Quá trình quét này chạy thử nghiệm để đảm bảo rằng thiết bị USB có thể được đọc vào đúng thời điểm và máy tính đáp ứng các yêu cầu khác của BitLocker.

Để biết thông tin về cách bật BitLocker trên máy tính không có TPM, hãy xem BitLocker: Cách bật BitLocker.

Để biết thêm thông tin về các phiên bản TPM và hệ điều hành Windows bắt buộc, hãy xem phần Yêu cầu trong tổng quan kỹ thuật Mã hóa ổ đĩa BitLocker.

Hãy hỏi nhà sản xuất máy tính của bạn để biết chương trình cơ sở BIOS hoặc UEFI đáp ứng các tiêu chuẩn TCG và đáp ứng các yêu cầu sau.

    Nó đã được chứng nhận bởi logo, nếu có, và tương thích với các phiên bản được liệt kê trong danh sách Ứng dụng ở đầu phần này.

    Tuân thủ các tiêu chuẩn TCG cho máy khách.

    Cơ chế cập nhật an toàn ngăn chặn việc cài đặt chương trình cơ sở BIOS hoặc phần mềm khởi động độc hại trên máy tính của bạn.

Việc bật, tắt và thay đổi cấu hình BitLocker trên ổ đĩa hệ điều hành và ổ dữ liệu cố định yêu cầu phải là thành viên trong nhóm Quản trị viên cục bộ. Người dùng thông thường có thể bật, tắt và cấu hình lại BitLocker trên các ổ dữ liệu di động.

Để biết thêm thông tin, hãy xem Yêu cầu trong tổng quan kỹ thuật Mã hóa ổ đĩa BitLocker.

Bạn phải định cấu hình cài đặt khởi động của máy tính để ổ cứng đứng đầu trong thứ tự khởi động, trước tất cả các ổ đĩa khác, chẳng hạn như CD/DVD hoặc ổ USB. Nếu ổ cứng không phải là ổ đầu tiên và bạn thường khởi động từ ổ cứng, bạn có thể phát hiện hoặc giả định có thay đổi trong thứ tự khởi động khi phát hiện thấy phương tiện di động trong quá trình khởi động. Thứ tự khởi động thường ảnh hưởng đến phép đo hệ thống mà BitLocker xác minh và việc thay đổi thứ tự khởi động sẽ nhắc bạn yêu cầu khóa khôi phục BitLocker. Vì lý do tương tự, nếu bạn có một máy tính xách tay được gắn đế, hãy đảm bảo ổ cứng đứng đầu trong thứ tự khởi động cả khi được gắn vào đế và khi tháo ra.

Để biết thêm thông tin, hãy xem Kiến trúc BitLocker trong tổng quan kỹ thuật Mã hóa ổ đĩa BitLocker.

Đúng. Để nâng cấp từ Windows 7 lên Windows 8 hoặc Windows 8.1 mà không giải mã ổ đĩa hệ điều hành, hãy mở Mã hóa ổ đĩa BitLocker trong Pa-nen điều khiển trong Windows 7, bấm vào Quản lý BitLocker rồi bấm vào Tạm dừng. Việc tạm dừng bảo vệ không giải mã được ổ đĩa mà chỉ vô hiệu hóa các cơ chế xác thực được BitLocker sử dụng và sử dụng khóa không được bảo vệ để truy cập vào ổ đĩa. Tiếp tục quá trình nâng cấp bằng DVD Windows 8 hoặc Nâng cấp Windows 8.1. Sau khi cập nhật hoàn tất, hãy mở File Explorer, nhấp chuột phải vào ổ đĩa và chọn Tiếp tục bảo vệ. Các phương thức xác thực BitLocker được kích hoạt lại và khóa không được bảo vệ sẽ bị xóa.

Lệnh Decrypt loại bỏ hoàn toàn tính năng bảo vệ BitLocker và giải mã hoàn toàn ổ đĩa.

Việc tạm dừng khiến dữ liệu được mã hóa nhưng mã hóa khóa chính của ổ đĩa BitLocker bằng khóa không được bảo vệ. Khóa không được bảo vệ là khóa mật mã được lưu trữ trên đĩa mà không được mã hóa hoặc bảo vệ. Việc lưu trữ khóa này mà không mã hóa cho phép lệnh Tạm dừng thực hiện các thay đổi và nâng cấp cho máy tính mà không cần tốn thời gian và tài nguyên để giải mã và mã hóa lại toàn bộ ổ đĩa. Sau khi thực hiện các thay đổi và kích hoạt lại, BitLocker sẽ niêm phong khóa mã hóa bằng các giá trị mới của các thành phần đã thay đổi trong quá trình nâng cấp, khóa chính của âm lượng được thay đổi, các bộ bảo vệ được cập nhật và khóa không bảo mật sẽ bị xóa.

Bảng sau liệt kê các bước bạn phải thực hiện trước khi thực hiện cập nhật hoặc cài đặt bản cập nhật.

Loại cập nhật

Hoạt động

cửa sổ nâng cấp bất cứ lúc nào

Giải mã

Nâng cấp từ Windows 7 lên Windows 8

Hồi hộp

Cập nhật phần mềm không phải của Microsoft, chẳng hạn như:

    Cập nhật chương trình cơ sở do nhà sản xuất máy tính của bạn cung cấp;

    Cập nhật chương trình cơ sở Mô-đun nền tảng đáng tin cậy;

    cập nhật cho các ứng dụng không phải của Microsoft làm thay đổi thành phần khởi động.

Hồi hộp

Cập nhật phần mềm và hệ điều hành từ Microsoft Update

Những bản cập nhật này không yêu cầu giải mã ổ đĩa hay vô hiệu hóa hay tạm dừng BitLocker.

Có, việc triển khai và cấu hình BitLocker và TPM có thể được tự động hóa bằng cách sử dụng công cụ TPM hoặc tập lệnh Windows PowerShell. Việc thực hiện các tập lệnh phụ thuộc vào môi trường. Bạn cũng có thể sử dụng công cụ dòng lệnh BitLocker Management-bde.exe để định cấu hình BitLocker cục bộ hoặc từ xa. Để biết thêm thông tin về cách viết tập lệnh sử dụng nhà cung cấp WMI BitLocker, hãy xem bài viết MSDN Nhà cung cấp mã hóa ổ đĩa BitLocker. Để biết thêm thông tin về cách sử dụng lệnh ghép ngắn Windows PowerShell với Mã hóa ổ đĩa BitLocker, hãy xem Lệnh ghép ngắn BitLocker trong Windows PowerShell.

Đúng. Trong Windows Vista, BitLocker chỉ mã hóa các ổ đĩa hệ điều hành. Windows Vista SP1 và Windows Server 2008 đã thêm hỗ trợ mã hóa ổ đĩa dữ liệu cố định. Các tính năng mới trong Windows Server 2008 R2 và Windows 7 cho phép BitLocker mã hóa các ổ dữ liệu di động.

Thông thường sự mất hiệu suất không vượt quá mười phần trăm.

Mặc dù mã hóa BitLocker diễn ra ở chế độ nền trong khi bạn tiếp tục làm việc và hệ thống vẫn khả dụng nhưng thời gian mã hóa tùy thuộc vào loại, kích thước và tốc độ ổ đĩa. Sẽ là khôn ngoan khi lên lịch mã hóa các ổ đĩa rất lớn vào thời điểm chúng không được sử dụng.

Các tính năng mới trong Windows 8 và Windows Server 2012 cho phép bạn chọn BitLocker mã hóa toàn bộ ổ đĩa hay chỉ không gian đã sử dụng khi bạn bật BitLocker. Trên ổ cứng mới, mã hóa dung lượng đã sử dụng nhanh hơn đáng kể so với mã hóa toàn bộ ổ đĩa. Khi bạn chọn tùy chọn mã hóa, BitLocker sẽ tự động mã hóa dữ liệu khi nó được lưu trữ và đảm bảo rằng không có dữ liệu nào được lưu trữ mà không mã hóa.

Nếu máy tính của bạn tắt hoặc chuyển sang chế độ ngủ đông, quá trình mã hóa và giải mã BitLocker sẽ tiếp tục ở nơi máy tính đã dừng vào lần tiếp theo bạn khởi động Windows. Điều tương tự cũng xảy ra trong trường hợp mất điện.

Không, BitLocker không mã hóa và giải mã toàn bộ ổ đĩa khi đọc và ghi dữ liệu. Các khu vực được mã hóa trên ổ đĩa được BitLocker bảo vệ chỉ được giải mã khi hoạt động đọc của hệ thống yêu cầu. Các khối được ghi vào đĩa sẽ được mã hóa trước khi hệ thống ghi chúng vào đĩa vật lý. Trên ổ đĩa được bảo vệ bằng BitLocker, dữ liệu không bao giờ không được mã hóa.

Các điều khiển được giới thiệu trong Windows 8 cho phép bạn bật cài đặt Chính sách nhóm sẽ yêu cầu bật tính năng bảo vệ BitLocker trên các ổ dữ liệu trước khi máy tính được bảo vệ bằng BitLocker có thể ghi dữ liệu vào các ổ đĩa đó. Để biết thêm thông tin, hãy xem Ngăn ghi vào ổ đĩa di động không được bảo vệ bằng BitLocker hoặc Ngăn chặn ghi vào ổ đĩa cố định không được bảo vệ bằng BitLocker trong bài viết Cài đặt chính sách nhóm BitLocker.

Khi các cài đặt chính sách này được bật, hệ điều hành được bảo vệ bằng BitLocker sẽ gắn các ổ dữ liệu không được bảo vệ bằng BitLocker ở chế độ chỉ đọc.

Để biết thêm thông tin, bao gồm cách kiểm soát những người dùng có thể vô tình lưu dữ liệu vào ổ đĩa không được mã hóa khi sử dụng máy tính không bật BitLocker, hãy xem BitLocker: Cách ngăn người dùng trực tuyến lưu dữ liệu vào ổ đĩa không được mã hóa.

Các loại thay đổi hệ thống sau đây có thể khiến quá trình kiểm tra tính toàn vẹn không thành công. Trong trường hợp này, TPM không cung cấp khóa BitLocker để giải mã ổ đĩa hệ điều hành được bảo vệ.

    Di chuyển ổ đĩa được bảo vệ bằng BitLocker sang máy tính mới.

    Cài đặt bo mạch chủ mới với TPM mới.

    Tắt, tắt hoặc xóa TPM.

    Thay đổi cài đặt cấu hình khởi động.

    Thay đổi BIOS, chương trình cơ sở UEFI, bản ghi khởi động chính (MBR), khu vực khởi động, trình quản lý khởi động, ROM tùy chọn của các thành phần tiền khởi động khác hoặc dữ liệu cấu hình khởi động.

Để biết thêm thông tin, hãy xem Cách thức hoạt động trong tổng quan kỹ thuật Mã hóa ổ đĩa BitLocker.

Vì BitLocker được thiết kế để bảo vệ máy tính của bạn khỏi nhiều cuộc tấn công nên có nhiều lý do khiến BitLocker có thể khởi động ở chế độ khôi phục. Để biết thông tin về những lý do này, hãy xem Các tình huống khôi phục trong phần tổng quan kỹ thuật Mã hóa ổ đĩa BitLocker.

Có, bạn có thể thay đổi ổ đĩa cứng trên cùng một máy tính đã bật mã hóa BitLocker, miễn là chúng đã bật tính năng bảo vệ BitLocker trên cùng một máy tính. Khóa BitLocker là duy nhất cho ổ đĩa TPM và hệ điều hành. Do đó, để chuẩn bị một đĩa hệ điều hành hoặc đĩa dữ liệu dự phòng trong trường hợp đĩa bị lỗi, bạn phải đảm bảo rằng chúng sử dụng cùng một TPM. Bạn cũng có thể định cấu hình các ổ đĩa cứng khác nhau cho các hệ điều hành khác nhau, sau đó bật BitLocker trên mỗi ổ đĩa bằng các phương thức xác thực khác nhau (ví dụ: một ổ đĩa chỉ có TPM và ổ đĩa khác có TPM có mã PIN) và điều đó sẽ không dẫn đến xung đột.

Có, bạn có thể mở khóa ổ dữ liệu của mình bằng BitLocker Drive Encryption trong Control Panel như bình thường (sử dụng mật khẩu hoặc thẻ thông minh). Nếu đĩa dữ liệu chỉ được cấu hình để tự động mở khóa, bạn phải sử dụng khóa khôi phục. Nếu bạn kết nối ổ đĩa hệ điều hành với một máy tính khác chạy phiên bản hệ điều hành được liệt kê trong danh sách Sử dụng ở đầu phần này, bạn có thể mở khóa ổ cứng được mã hóa bằng cách sử dụng tác nhân khôi phục dữ liệu (nếu được định cấu hình) hoặc sử dụng trình khôi phục. chìa khóa.

Một số ổ đĩa có thể không hỗ trợ mã hóa BitLocker. Ví dụ: kích thước đĩa có thể quá nhỏ, hệ thống tệp có thể không tương thích, đĩa có thể động hoặc được chỉ định làm phân vùng hệ thống. Theo mặc định, ổ đĩa hệ thống (hoặc phân vùng hệ thống) không được hiển thị trong cửa sổ Máy tính. Tuy nhiên, nếu đĩa không được tạo ở dạng ẩn trong quá trình cài đặt tùy chỉnh hệ điều hành thì nó có thể được hiển thị nhưng không thể được mã hóa.

Tính năng bảo vệ BitLocker được hỗ trợ cho bất kỳ số lượng ổ đĩa cố định bên trong nào. Một số phiên bản hỗ trợ các thiết bị lưu trữ ATA và SATA gắn trực tiếp. Để biết chi tiết về các ổ đĩa được hỗ trợ, hãy xem Cấu hình Drive được BitLocker hỗ trợ trong phần tổng quan kỹ thuật Mã hóa ổ đĩa BitLocker.

BitLocker có thể tạo và sử dụng các khóa khác nhau. Một số là bắt buộc và một số là cầu chì tùy chọn có thể được sử dụng tùy thuộc vào mức độ an toàn cần thiết.

Để biết thêm thông tin, hãy xem Tìm hiểu về BitLocker trong phần tổng quan về kỹ thuật Mã hóa ổ đĩa BitLocker.

Bạn có thể lưu mật khẩu khôi phục hoặc khóa khôi phục cho đĩa hệ điều hành hoặc đĩa dữ liệu không thể tháo rời trong một thư mục, trên một hoặc nhiều thiết bị USB, lưu vào tài khoản Microsoft của bạn hoặc in.

Mật khẩu khôi phục và khóa khôi phục cho ổ dữ liệu di động có thể được lưu vào một thư mục, lưu vào tài khoản Microsoft của bạn hoặc được in. Theo mặc định, khóa khôi phục cho ổ đĩa di động không thể được lưu trữ trên ổ đĩa di động.

Quản trị viên miền có thể định cấu hình Chính sách nhóm tùy chọn để tự động tạo mật khẩu khôi phục và lưu trữ chúng trong Dịch vụ miền cho tất cả các ổ đĩa được bảo vệ bằng BitLocker.

Để biết thêm thông tin, hãy xem BitLocker: Cách lưu trữ mật khẩu và khóa khôi phục.

Bạn có thể sử dụng công cụ dòng lệnh Mana-bde.exe để thay đổi chế độ xác thực chỉ TPM thành chế độ xác thực đa yếu tố. Ví dụ: nếu BitLocker chỉ bật xác thực TPM, để thêm xác thực mã PIN, hãy nhập các lệnh sau từ dấu nhắc lệnh nâng cao, thay thế mã PIN dạng số mong muốn:

quản lý-bde –protectors –delete %systemdrive% -type tpm

quản lý-bde –protectors –add %systemdrive% -tpmandpin

Để biết thêm thông tin, hãy xem Chế độ xác thực trình tự khởi động trong Tổng quan về kỹ thuật mã hóa ổ đĩa BitLocker.

BitLocker được thiết kế sao cho không thể khôi phục ổ đĩa được mã hóa nếu không yêu cầu xác thực. Ở chế độ khôi phục, người dùng cần có mật khẩu khôi phục hoặc khóa khôi phục để mở khóa ổ đĩa được mã hóa.

Về mặt kỹ thuật, việc lưu trữ cả hai khóa trên cùng một ổ flash USB là có thể nhưng không được khuyến khích. Nếu ổ flash USB chứa khóa khởi động bị mất hoặc bị đánh cắp, bạn cũng sẽ mất quyền truy cập vào khóa khôi phục. Ngoài ra, việc chèn một khóa như vậy sẽ khiến máy tính tự động khởi động vào khóa khôi phục, ngay cả khi các tệp do TPM đo đã thay đổi và quá trình kiểm tra tính toàn vẹn của hệ thống không được thực hiện.

Có, khóa khởi động máy tính của bạn có thể được lưu trữ trên nhiều ổ flash USB. Nhấp chuột phải vào ổ đĩa được bảo vệ BitLocker và chọn Quản lý BitLocker để mở các tùy chọn sao chép khóa khôi phục.

Có, bạn có thể lưu trữ khóa khởi động BitLocker cho các máy tính khác nhau trên một ổ flash USB.

Bạn có thể sử dụng tập lệnh để tạo các khóa khởi động khác nhau cho cùng một máy tính, nhưng đối với các máy tính có TPM, việc tạo các khóa khởi động khác nhau sẽ ngăn BitLocker sử dụng tính năng kiểm tra tính toàn vẹn hệ thống của TPM.

Không thể tạo nhiều tổ hợp mã PIN.

Dữ liệu thô được mã hóa bằng khóa mã hóa toàn bộ khối lượng, sau đó được mã hóa bằng khóa chính khối lượng. Ngược lại, khóa chính của ổ đĩa được mã hóa bằng một trong một số phương pháp khả thi tùy thuộc vào loại xác thực (bộ bảo vệ khóa hoặc TPM) và các tình huống khôi phục.

Để biết thêm thông tin về khóa mã hóa, cách chúng được sử dụng và nơi chúng được lưu trữ, hãy xem BitLocker là gì trong tổng quan kỹ thuật Mã hóa ổ đĩa BitLocker.

Khóa mã hóa âm lượng đầy đủ được mã hóa bằng khóa chính âm lượng và được lưu trữ trên đĩa được mã hóa. Khóa chính của ổ đĩa được mã hóa bằng bộ bảo vệ khóa phù hợp và được lưu trữ trên đĩa được mã hóa. Nếu tính năng bảo vệ BitLocker bị tạm dừng, khóa không được bảo vệ mã hóa khóa chính của tập đĩa cũng được lưu trữ trên ổ đĩa được mã hóa cùng với khóa chính của tập đĩa được mã hóa.

Quy trình lưu trữ này đảm bảo rằng khóa chính của tập đĩa không bao giờ được lưu trữ mà không mã hóa và luôn được bảo vệ trừ khi mã hóa BitLocker bị tắt. Các khóa cũng được lưu trữ ở hai vị trí đĩa bổ sung để dự phòng. Các phím có thể được đọc và xử lý bởi trình quản lý khởi động.

Để biết thêm thông tin, hãy xem Cách thức hoạt động trong tổng quan kỹ thuật Mã hóa ổ đĩa BitLocker.

Các phím F1–F10 có mã bỏ phiếu chung có sẵn trong môi trường tiền khởi động trên tất cả các máy tính với mọi ngôn ngữ. Các phím được đánh số từ 0 đến 9 có thể không sử dụng được trong môi trường khởi động trước trên tất cả các bàn phím.

Nếu sử dụng mã PIN bảo mật, người dùng nên thực hiện kiểm tra hệ thống bổ sung trong quá trình cài đặt BitLocker để đảm bảo rằng có thể nhập đúng mã PIN trong môi trường tiền khởi động. Để biết thêm thông tin về mã PIN cải tiến, hãy xem Tìm hiểu BitLocker trong tổng quan kỹ thuật Mã hóa ổ đĩa BitLocker.

Kẻ tấn công có thể tìm ra mã PIN bằng vũ lực. Hack Brute-Force được kẻ tấn công thực hiện bằng cách sử dụng một công cụ tự động để kiểm tra các tổ hợp mã PIN khác nhau cho đến khi tìm thấy mã chính xác. Đối với các máy tính được bảo vệ bằng BitLocker, kiểu tấn công này, còn được gọi là tấn công từ điển, yêu cầu kẻ tấn công phải có quyền truy cập vật lý vào máy tính.

TPM có khả năng tích hợp để phát hiện và chống lại các cuộc tấn công như vậy. Vì TPM từ các nhà sản xuất khác nhau có các biện pháp chống giả mạo khác nhau, hãy liên hệ với nhà sản xuất mô-đun để xác định cách TPM trên máy tính của bạn ngăn chặn các cuộc tấn công vũ phu bằng mã PIN.

Khi bạn đã xác định được nhà sản xuất TPM, hãy liên hệ với họ để có thông tin về quá trình phát triển mô-đun. Hầu hết các nhà sản xuất đều tăng thời gian khóa giao diện mã PIN theo cấp số nhân khi số lượng lỗi mã PIN tăng lên. Tuy nhiên, mỗi nhà sản xuất đều có những quy định riêng về việc giảm hoặc đặt lại bộ đếm lỗi.

Để biết thêm thông tin, hãy xem Tìm thông tin trình điều khiển TPM.

Để xác định nhà sản xuất TPM, hãy xem Tìm thông tin trình điều khiển TPM.

Hãy hỏi nhà sản xuất TPM của bạn những câu hỏi sau về cơ chế giảm thiểu tấn công từ điển của họ.

    Có bao nhiêu lần truy cập không thành công được cho phép trước khi chặn?

    Thuật toán nào được sử dụng để xác định thời lượng chặn, có tính đến số lần truy cập không thành công và các thông số quan trọng khác?

    Những hành động nào có thể giảm hoặc đặt lại số lỗi hoặc thời gian chặn?

Có và không. Bạn có thể đặt độ dài mã PIN tối thiểu trong cài đặt Chính sách nhóm Định cấu hình độ dài mã PIN tối thiểu để khởi động và cho phép sử dụng mã PIN chữ và số bằng cách bật cài đặt Chính sách nhóm Cho phép mã PIN được bảo vệ để khởi động. Tuy nhiên, bạn không thể đặt yêu cầu về độ phức tạp của mã PIN trong Chính sách nhóm.

BitLocker To Go là mã hóa ổ đĩa BitLocker cho các ổ dữ liệu di động. Ổ đĩa flash USB, thẻ SD, ổ cứng ngoài và các ổ đĩa khác có hệ thống tệp NTFS, FAT16, FAT32 hoặc exFAT đều được mã hóa.

Để biết thêm thông tin, bao gồm cách xác thực hoặc mở khóa ổ dữ liệu di động và cách xác minh rằng đầu đọc BitLocker To Go chưa được cài đặt trên các ổ đĩa có định dạng FAT, hãy xem Tổng quan về BitLocker To Go.

Nếu bạn bật mã hóa BitLocker trên ổ đĩa trước khi áp dụng Chính sách nhóm để buộc sao lưu, dữ liệu khôi phục sẽ không được tự động sao lưu vào Dịch vụ miền Active Directory khi máy tính tham gia miền hoặc Chính sách nhóm được áp dụng. Tuy nhiên, trong Windows 8, bạn có thể sử dụng cài đặt Chính sách nhóm Chọn phương pháp khôi phục ổ đĩa hệ điều hành được bảo vệ bởi BitLocker, Chọn phương pháp khôi phục ổ đĩa cố định được bảo vệ bởi BitLocker và Chọn phương pháp khôi phục ổ đĩa di động được bảo vệ bởi BitLocker để buộc máy tính tham gia một miền trước khi bật BitLocker. Điều này sẽ đảm bảo rằng dữ liệu khôi phục cho các ổ đĩa được bảo vệ bằng BitLocker của tổ chức được sao lưu vào Dịch vụ miền Active Directory.

Giao diện Công cụ quản lý Windows (WMI) dành cho BitLocker cho phép quản trị viên viết tập lệnh để sao lưu hoặc đồng bộ hóa dữ liệu hiện có nhằm khôi phục máy khách trực tuyến, nhưng BitLocker không tự động quản lý quy trình này. Công cụ dòng lệnh Manager-bde cũng cho phép bạn sao lưu dữ liệu theo cách thủ công để khôi phục vào Dịch vụ miền Active Directory. Ví dụ: để sao lưu tất cả dữ liệu khôi phục trên ổ C: trong Dịch vụ miền Active Directory, hãy chạy lệnh sau tại dấu nhắc lệnh nâng cao: quản lý-bde -protectors -adbackup C:.

Có, một mục được ghi vào nhật ký sự kiện trên máy khách cho biết bản sao lưu Active Directory thành công hay thất bại. Tuy nhiên, ngay cả khi nhật ký sự kiện cho biết thành công, dữ liệu khôi phục có thể bị xóa khỏi Dịch vụ miền Active Directory. Ngoài ra, cấu hình BitLocker có thể thay đổi khiến thông tin trong Active Directory không đủ để mở khóa ổ đĩa (ví dụ: nếu trình bảo vệ khóa mật khẩu khôi phục bị xóa). Cũng có thể làm sai lệch một mục nhật ký.

Để đảm bảo rằng AD DS có bản sao lưu hợp lệ, bạn phải truy vấn AD DS bằng thông tin xác thực của quản trị viên miền bằng cách sử dụng Trình xem mật khẩu BitLocker.

KHÔNG. Mật khẩu khôi phục BitLocker không bị xóa khỏi Dịch vụ miền Active Directory và do đó, nhiều mật khẩu có thể xuất hiện cho mỗi ổ đĩa. Để xác định mật khẩu mới nhất, hãy kiểm tra ngày của đối tượng.

Nếu bản sao lưu ban đầu không thành công, chẳng hạn như khi bộ điều khiển miền không khả dụng trong Trình hướng dẫn thiết lập BitLocker, BitLocker sẽ không thử sao lưu lại dữ liệu khôi phục vào Dịch vụ miền Active Directory.

Nếu quản trị viên chọn hộp kiểm Yêu cầu sao lưu BitLocker vào AD DS trong cài đặt chính sách Lưu trữ thông tin khôi phục trong Dịch vụ miền Active Directory (Windows 2008 và Windows Vista) hoặc (tương đương) chọn Không bật BitLocker cho đến khi dữ liệu khôi phục được lưu trữ trong AD DS đối với hệ thống hộp kiểm dành cho ổ đĩa hệ điều hành (ổ đĩa dữ liệu di động, ổ dữ liệu cố định) trong bất kỳ cài đặt chính sách nào. Chọn phương pháp khôi phục cho ổ đĩa hệ điều hành được bảo vệ bằng BitLocker, Chọn phương pháp khôi phục cho ổ đĩa cố định được bảo vệ bằng BitLocker, Chọn phương thức khôi phục cho ổ đĩa được bảo vệ bằng BitLocker ổ đĩa di động thì người dùng sẽ không thể kích hoạt BitLocker khi máy tính không được kết nối với một miền và dữ liệu khôi phục BitLocker không được sao lưu trong Active Directory Domain Services. Nếu các tùy chọn này được định cấu hình và sao lưu không thành công, bạn không thể bật BitLocker. Điều này đảm bảo rằng quản trị viên có khả năng khôi phục tất cả các ổ đĩa được bảo vệ bằng BitLocker trong tổ chức.

Nếu quản trị viên xóa các hộp kiểm này, ổ đĩa có thể được BitLocker bảo vệ mà không cần sao lưu thành công dữ liệu khôi phục vào Dịch vụ miền Active Directory. Tuy nhiên, BitLocker không tự động thử lại bản sao lưu nếu thất bại. Thay vào đó, quản trị viên có thể tạo tập lệnh sao lưu, như được mô tả trước đây trong câu hỏi Điều gì xảy ra nếu bạn bật BitLocker trên máy tính trước khi tham gia miền?, để thu thập dữ liệu sau khi kết nối được khôi phục.

BitLocker sử dụng thuật toán mã hóa AES với độ dài khóa có thể định cấu hình (128 hoặc 256 bit). Theo mặc định, mã hóa được đặt thành AES-128, nhưng bạn có thể định cấu hình cài đặt bằng Chính sách nhóm.

Để triển khai BitLocker trên ổ đĩa hệ điều hành, chúng tôi khuyên dùng máy tính có TPM phiên bản 1.2 hoặc 2.0 và chương trình cơ sở BIOS hoặc UEFI tuân thủ TCG và mã PIN. Việc yêu cầu mã PIN do người dùng chỉ định ngoài xác minh TPM sẽ ngăn chặn kẻ tấn công giành được quyền truy cập vào máy tính chỉ bằng cách chạy nó.

Trong cấu hình cơ bản, BitLocker trên các ổ đĩa hệ điều hành (có TPM nhưng không có xác thực bổ sung) cung cấp khả năng bảo vệ bổ sung cho chế độ ngủ đông. Việc sử dụng xác thực BitLocker tùy chọn (TPM và mã PIN, TPM và khóa USB hoặc TPM, mã PIN và khóa USB) sẽ cung cấp khả năng bảo vệ bổ sung trong chế độ ngủ đông. Phương pháp này an toàn hơn vì cần phải xác thực BitLocker để quay lại sau chế độ ngủ đông. Bạn nên tắt chế độ ngủ và sử dụng kết hợp TPM/PIN để xác thực.

Hầu hết các hệ điều hành đều sử dụng không gian bộ nhớ dùng chung và hệ điều hành chịu trách nhiệm quản lý bộ nhớ vật lý. TPM là một thành phần phần cứng sử dụng phần sụn và logic bên trong của chính nó để xử lý các hướng dẫn, cung cấp khả năng bảo vệ chống lại các lỗ hổng phần mềm bên ngoài. Để hack TPM, bạn cần có quyền truy cập vật lý vào máy tính. Ngoài ra, việc hack bảo mật phần cứng thường đòi hỏi nhiều công cụ và kỹ năng đắt tiền hơn, không phổ biến như các công cụ hack phần mềm. Vì TPM trên mỗi máy tính là duy nhất nên sẽ mất rất nhiều thời gian và công sức để hack nhiều máy tính bằng TPM.

Tất cả các phiên bản BitLocker có trong hệ điều hành đều đã vượt qua chứng nhận Tiêu chuẩn Thông tin Liên bang và chứng nhận Tiêu chí chung EAL4+. Các chứng nhận này cũng đã được hoàn thành cho Windows 8 và Windows Server 2012, đồng thời đang được tiến hành cho Windows 8.1 và Windows Server 2012 R2.

Mở khóa mạng BitLocker giúp dễ dàng quản lý các máy tính và máy chủ được bảo vệ bằng BitLocker TPM+PIN trong môi trường miền. Khi bạn khởi động lại máy tính được kết nối với mạng công ty có dây, tính năng mở khóa mạng sẽ cho phép bạn bỏ qua lời nhắc mã PIN. Các ổ đĩa hệ điều hành được bảo vệ bằng BitLocker sẽ tự động được mở khóa bằng khóa đáng tin cậy do máy chủ Dịch vụ Triển khai Windows cung cấp dưới dạng phương thức xác thực bổ sung.

Để sử dụng khóa mạng bạn cũng cần thiết lập mã PIN cho máy tính. Nếu máy tính của bạn không được kết nối mạng, bạn phải nhập mã PIN để mở khóa.

Mở khóa mạng BitLocker có các yêu cầu về phần mềm và phần cứng đối với máy khách, Dịch vụ triển khai Windows và bộ điều khiển miền phải được đáp ứng trước khi bạn có thể sử dụng. Để biết thêm thông tin về các yêu cầu này, hãy xem Tổng quan về kỹ thuật hoạt động của mã hóa ổ đĩa BitLocker.

Mở khóa mạng sử dụng hai cầu chì: cầu chì TPM và cầu chì do mạng hoặc mã PIN cung cấp, trong khi mở khóa tự động sử dụng một cầu chì duy nhất được lưu trữ trong TPM. Nếu máy tính tham gia mạng mà không có bộ bảo vệ khóa, bạn sẽ được nhắc nhập mã PIN. Nếu không có mã PIN, bạn sẽ cần khóa khôi phục để mở khóa máy tính không thể kết nối mạng. Để biết thêm thông tin về mở khóa mạng và tự động, hãy xem Tổng quan về kỹ thuật hoạt động của mã hóa ổ đĩa BitLocker.

Có, Hệ thống tệp mã hóa (EFS) có thể được sử dụng để mã hóa tệp trên ổ đĩa được bảo vệ bằng BitLocker. Để biết thêm thông tin, hãy xem Cách thức hoạt động trong tổng quan kỹ thuật Mã hóa ổ đĩa BitLocker.

Đúng. Trong trường hợp này, trình gỡ lỗi phải được bật trước khi bật BitLocker. Việc kích hoạt trình gỡ lỗi trước đảm bảo rằng trạng thái niêm phong trong TPM được tính toán chính xác, cho phép máy tính khởi động chính xác. Nếu bạn cần bật hoặc tắt gỡ lỗi trong khi sử dụng BitLocker, trước tiên hãy tạm dừng BitLocker để ngăn máy tính vào chế độ khôi phục.

BitLocker chứa ngăn xếp trình điều khiển lưu trữ cung cấp mã hóa kết xuất bộ nhớ khi BitLocker được bật.

BitLocker không hỗ trợ thẻ thông minh để xác thực trước khi khởi động. Không có tiêu chuẩn công nghiệp nào cho việc hỗ trợ phần mềm thẻ thông minh và hầu hết các máy tính không có phần mềm hỗ trợ cho thẻ thông minh hoặc chỉ hỗ trợ một số loại thẻ thông minh và đầu đọc nhất định. Việc thiếu tiêu chuẩn hóa khiến việc hỗ trợ thẻ thông minh trở nên quá khó khăn.

Microsoft không hỗ trợ trình điều khiển TPM của bên thứ ba và đặc biệt không khuyến khích việc sử dụng chúng với BitLocker. Việc sử dụng trình điều khiển TPM không phải của Microsoft với BitLocker có thể khiến BitLocker báo cáo rằng TPM không có trên máy tính và bạn sẽ không thể sử dụng mô-đun với BitLocker.

Chúng tôi khuyên bạn không nên sửa đổi Bản ghi khởi động chính (MBR) trên các máy tính có ổ đĩa hệ điều hành được bảo vệ bằng BitLocker vì lý do bảo mật, độ tin cậy và khả năng hỗ trợ sản phẩm. Việc thay đổi Bản ghi khởi động chính (MBR) có thể thay đổi môi trường bảo mật và ngăn máy tính của bạn khởi động bình thường, đồng thời có thể khiến việc sửa Bản ghi khởi động chính (MBR) bị hỏng trở nên khó khăn hơn. Những thay đổi MBR được thực hiện bên ngoài Windows có thể đưa máy tính của bạn vào chế độ khôi phục hoặc khiến việc khởi động hoàn toàn không thể thực hiện được.

Kiểm tra hệ thống sẽ xác minh rằng chương trình cơ sở của máy tính (BIOS hoặc UEFI) tương thích với BitLocker và TPM có hoạt động chính xác hay không. Việc kiểm tra hệ thống có thể không thành công vì những lý do sau.

    Chương trình cơ sở của máy tính của bạn (BIOS hoặc UEFI) không hỗ trợ đọc các thiết bị bộ nhớ flash USB.

    Chương trình cơ sở của máy tính (BIOS hoặc UEFI) hoặc menu khởi động không cho phép đọc từ thiết bị bộ nhớ flash USB.

    Có một số ổ flash USB được cắm vào máy tính.

    Mã PIN được nhập không chính xác.

    Chương trình cơ sở của máy tính của bạn (BIOS hoặc UEFI) chỉ hỗ trợ các phím chức năng (F1–F10) để nhập số trong môi trường tiền khởi động.

    Khóa khởi động đã bị xóa trong khi máy tính chưa hoàn tất quá trình khởi động lại.

    Do TPM bị lỗi nên không thể cung cấp chìa khóa.

Một số máy tính không hỗ trợ đọc ổ flash USB trong môi trường preboot. Trước tiên, hãy kiểm tra chương trình cơ sở BIOS hoặc UEFI và các tùy chọn khởi động để đảm bảo rằng bộ lưu trữ USB đã được bật. Cho phép sử dụng bộ lưu trữ USB trong BIOS hoặc UEFI nếu nó chưa được bật và đọc lại khóa khôi phục từ ổ flash USB. Nếu vẫn không đọc được key, bạn sẽ cần kết nối ổ cứng làm ổ dữ liệu với một máy tính khác chạy hệ điều hành để đọc key khôi phục từ ổ flash USB. Nếu ổ flash USB bị hỏng, bạn có thể cần nhập mật khẩu khôi phục hoặc sử dụng dữ liệu khôi phục được sao lưu trong Dịch vụ miền Active Directory. Ngoài ra, nếu khóa khôi phục được sử dụng trong môi trường tiền khởi động, hãy đảm bảo ổ đĩa là hệ thống tệp NTFS, FAT16 hoặc FAT32.

Để tự động mở khóa các ổ dữ liệu cố định, ổ đĩa hệ điều hành cũng phải được bảo vệ bởi BitLocker. Nếu bạn đang sử dụng máy tính có ổ đĩa hệ điều hành không được BitLocker bảo vệ thì ổ đĩa đó không thể tự động được mở khóa. Đối với ổ dữ liệu di động, bạn có thể thêm tính năng mở khóa tự động bằng cách nhấp chuột phải vào ổ đĩa trong File Explorer và chọn Quản lý BitLocker. Ổ đĩa di động này có thể được mở khóa trên các máy tính khác bằng cách nhập mật khẩu hoặc thông tin xác thực thẻ thông minh mà bạn đã chỉ định khi bật BitLocker.

Ở Chế độ an toàn, chức năng BitLocker hạn chế khả dụng. Các ổ đĩa được bảo vệ bằng BitLocker có thể được mở khóa và giải mã bằng cách sử dụng mục bảng điều khiển Mã hóa ổ đĩa BitLocker. Ở Chế độ an toàn, bạn không thể nhấp chuột phải vào ổ đĩa để mở tùy chọn BitLocker.

Công cụ dòng lệnh Manager-bde và lệnh –lock cho phép bạn khóa các ổ dữ liệu có thể tháo rời và không thể tháo rời.

Cú pháp lệnh:

quản lý-bde -lock

Ngoài việc sử dụng lệnh này, ổ dữ liệu sẽ bị khóa trong quá trình tắt hoặc khởi động lại hệ điều hành. Ổ dữ liệu di động được lấy ra khỏi máy tính cũng tự động bị khóa.

Đúng. nhưng các bản sao ẩn được tạo trước khi bật BitLocker sẽ tự động bị xóa khi bật BitLocker cho các ổ đĩa được mã hóa bằng phần mềm. Nếu sử dụng đĩa mã hóa phần cứng, các bản sao ẩn sẽ được giữ nguyên.

BitLocker không được hỗ trợ cho các VHD khởi động nhưng được hỗ trợ cho các ổ dữ liệu VHD, chẳng hạn như các ổ được sử dụng trong cụm, khi chạy trên Windows 8, Windows 8.1, Windows Server 2012 hoặc Windows Server 2012 R2.

Cách kiểm tra card âm thanh trên Windows 10

Windows 10 và các phiên bản Windows cũ hơn cung cấp mã hóa tệp bằng công nghệ BitLocker. Bạn chỉ cần định cấu hình nó một lần và bạn có thể chắc chắn rằng không ai có quyền truy cập vào tệp của bạn hoặc có thể chạy chương trình của bạn, ngay cả khi họ có quyền truy cập vật lý vào ổ đĩa máy tính xách tay hoặc máy tính của bạn.

Làm cách nào để kích hoạt mã hóa BitLocker? Trước hết, bạn cần kích hoạt chính sách bảo mật:

1. Nhấn Win+R và chạy lệnh gpedit.msc.
2. Đi tới Mẫu quản trị > Mã hóa ổ đĩa BitLocker thành phần Windows > Ổ đĩa hệ điều hành.

3. Nhấp đúp vào “Cài đặt chính sách này cho phép bạn định cấu hình yêu cầu xác thực bổ sung khi khởi động” và chọn tùy chọn “Đã bật”.

Bây giờ bạn có thể tiến hành mã hóa trực tiếp:

1. Mở File Explorer > My Computer và chọn ổ đĩa bạn muốn mã hóa.
2. Nhấp chuột phải vào biểu tượng ổ đĩa và chọn Bật BitLocker.

3. Một hộp thoại sẽ mở ra với các tùy chọn truy cập dữ liệu được mã hóa. Làm theo hướng dẫn của nó và khởi động lại máy tính của bạn. Đĩa sẽ được mã hóa. Quá trình mã hóa có thể kéo dài, thời lượng của nó tùy thuộc vào khối lượng dữ liệu được mã hóa.

Trong quá trình thiết lập mã hóa, bạn sẽ cần tạo khóa hoặc mật khẩu để giải mã dữ liệu. Mật khẩu phải sử dụng hỗn hợp chữ và số. Khi ổ đĩa được cài đặt vào máy tính của bạn, dữ liệu sẽ tự động được mã hóa và giải mã, nhưng nếu bạn tháo ổ đĩa được mã hóa khỏi nó và kết nối nó với một thiết bị khác, bạn sẽ cần một khóa để truy cập các tệp.

Dữ liệu khôi phục khóa có thể được lưu trữ trên ổ đĩa flash, trong tài khoản Microsoft, trong tệp văn bản hoặc trên một tờ giấy in. Hãy nhớ rằng bản thân đây không phải là chìa khóa mà chỉ là thông tin giúp bạn khôi phục nó. Chỉ có thể lấy được khóa sau khi nhập thông tin đăng nhập và mật khẩu cho tài khoản Microsoft của bạn, điều này khiến việc bẻ khóa mã hóa trở nên khó khăn hơn.

Nếu bạn đã mã hóa ổ đĩa logic của hệ thống, bạn sẽ phải nhập mật khẩu khi khởi động nguội thiết bị hoặc sau khi thiết bị khởi động lại.

Có, việc triển khai và cấu hình BitLocker và TPM có thể được tự động hóa bằng cách sử dụng tập lệnh WMI hoặc Windows PowerShell. Cách các tập lệnh được triển khai tùy thuộc vào môi trường. Bạn có thể định cấu hình BitLocker cục bộ hoặc từ xa bằng Quản lý-bde.exe. Để biết thêm thông tin về cách viết tập lệnh sử dụng nhà cung cấp BitLocker WMI, hãy xem Nhà cung cấp mã hóa ổ đĩa BitLocker. Để tìm hiểu thêm về cách sử dụng lệnh ghép ngắn Windows PowerShell với Mã hóa ổ đĩa BitLocker, hãy xem bài viết này.

BitLocker có thể mã hóa các ổ đĩa khác ngoài ổ đĩa hệ điều hành không?

Hiệu suất giảm bao nhiêu khi bạn bật BitLocker trên máy tính của mình?

Thông thường sự mất hiệu suất lên tới mười phần trăm.

Quá trình mã hóa ban đầu mất bao lâu sau khi bật BitLocker?

Mặc dù mã hóa BitLocker diễn ra ở chế độ nền trong khi bạn tiếp tục làm việc và hệ thống vẫn khả dụng nhưng thời gian mã hóa tùy thuộc vào loại, kích thước và tốc độ ổ đĩa. Bạn nên lên lịch mã hóa các ổ đĩa rất lớn vào những thời điểm chúng không được sử dụng.

Khi bật BitLocker, bạn cũng có thể chọn mã hóa toàn bộ ổ đĩa hay chỉ dung lượng đã sử dụng. Trên ổ cứng mới, chỉ mã hóa dung lượng đã sử dụng sẽ nhanh hơn nhiều so với mã hóa toàn bộ ổ đĩa. Khi bạn chọn tùy chọn mã hóa này, BitLocker sẽ tự động mã hóa dữ liệu của bạn khi nó được lưu. Phương pháp này đảm bảo rằng không có dữ liệu nào được lưu trữ mà không mã hóa.

Điều gì xảy ra nếu bạn tắt máy tính trong quá trình mã hóa hoặc giải mã?

Nếu máy tính của bạn tắt hoặc chuyển sang chế độ ngủ đông, vào lần tiếp theo bạn khởi động Windows, quá trình mã hóa và giải mã BitLocker sẽ tiếp tục ở nơi nó đã dừng lại. Điều tương tự cũng xảy ra trong trường hợp mất điện.

BitLocker có mã hóa và giải mã toàn bộ ổ đĩa khi đọc và ghi dữ liệu không?

Không, BitLocker không mã hóa và giải mã toàn bộ ổ đĩa khi đọc và ghi dữ liệu. Các khu vực được mã hóa trên ổ đĩa được bảo vệ bằng BitLocker chỉ được giải mã khi hoạt động đọc của hệ thống yêu cầu. Các khối được ghi vào đĩa sẽ được mã hóa trước khi hệ thống ghi chúng vào đĩa vật lý. Trên ổ đĩa được bảo vệ bằng BitLocker, dữ liệu không bao giờ không được mã hóa.

Làm cách nào tôi có thể ngăn người dùng trực tuyến lưu dữ liệu trên ổ đĩa không được mã hóa?

Bạn có thể định cấu hình cài đặt Chính sách nhóm để yêu cầu dữ liệu trên các ổ đĩa được bảo vệ bằng BitLocker trước khi máy tính được bảo vệ bằng BitLocker phải ghi dữ liệu vào chúng. Để biết thêm thông tin, hãy xem Cài đặt chính sách nhóm BitLocker. Nếu cài đặt chính sách thích hợp được bật, hệ điều hành được bảo vệ bằng BitLocker sẽ gắn các ổ dữ liệu không được bảo vệ bằng BitLocker ở chế độ chỉ đọc.

Không gian đĩa mã hóa chỉ được sử dụng là gì?

BitLocker trên Windows 10 cho phép người dùng lựa chọn chỉ mã hóa dữ liệu. Mặc dù đây không phải là cách mã hóa ổ đĩa an toàn nhất nhưng tùy chọn này có thể giảm hơn 99% thời gian mã hóa, tùy thuộc vào lượng dữ liệu cần được mã hóa. Để biết thêm thông tin, hãy xem Chỉ sử dụng dung lượng ổ đĩa.

Những thay đổi hệ thống nào khiến lỗi xuất hiện khi kiểm tra tính toàn vẹn của đĩa hệ điều hành?

Các loại thay đổi hệ thống sau đây có thể gây ra lỗi kiểm tra tính toàn vẹn: Trong trường hợp này, TPM không cung cấp khóa BitLocker để giải mã ổ đĩa hệ điều hành được bảo vệ.

  • Di chuyển ổ đĩa được bảo vệ bằng BitLocker sang máy tính mới.
  • Cài đặt bo mạch chủ mới với TPM mới.
  • Tắt, hủy kích hoạt hoặc xóa TPM.
  • Thay đổi bất kỳ tham số cấu hình khởi động nào.
  • Sửa đổi chương trình cơ sở BIOS hoặc UEFI, bản ghi khởi động chính (MBR), khu vực khởi động, trình quản lý khởi động, ROM tùy chọn và các thành phần khởi động ban đầu khác hoặc dữ liệu cấu hình khởi động.

Khi nào BitLocker khởi động ở chế độ khôi phục khi cố gắng khởi động ổ đĩa hệ điều hành?

Vì BitLocker được thiết kế để bảo vệ máy tính của bạn khỏi nhiều cuộc tấn công nên có nhiều lý do khiến BitLocker có thể khởi động ở chế độ khôi phục. Ví dụ

  • Thay đổi thứ tự khởi động BIOS - một thiết bị khác xuất hiện trước ổ cứng.
  • Thêm hoặc xóa phần cứng, chẳng hạn như lắp thẻ mới vào máy tính của bạn, bao gồm một số thẻ PCMIA không dây.
  • Tháo, lắp hoặc xả hoàn toàn Pin thông minh trong máy tính xách tay.

Trong BitLocker, quá trình khôi phục bao gồm giải mã bản sao của khóa chính của ổ đĩa bằng khóa khôi phục được lưu trữ trên ổ USB hoặc sử dụng khóa mật mã thu được bằng mật khẩu khôi phục. TPM không liên quan đến bất kỳ kịch bản phục hồi nào. Điều này có nghĩa là có thể khôi phục ngay cả khi xảy ra lỗi khi kiểm tra các thành phần khởi động bằng mô-đun này hoặc nếu nó bị lỗi hoặc bị xóa.

Làm cách nào tôi có thể tắt BitLocker khỏi liên kết cho PCR 7?

Điều này xảy ra nếu Windows không khởi động trước Windows hoặc nếu Secure Boot không được hỗ trợ trên thiết bị do tính năng này bị tắt hoặc phần cứng không hỗ trợ.

Tôi có thể thay đổi ổ cứng trên máy tính nếu ổ đĩa hệ điều hành của nó đã bật mã hóa BitLocker không?

Có, bạn có thể thay đổi ổ đĩa cứng trên cùng một máy tính đã bật mã hóa BitLocker, miễn là chúng đã bật tính năng bảo vệ BitLocker trên cùng một máy tính. Khóa BitLocker là duy nhất cho ổ đĩa TPM và hệ điều hành. Do đó, để chuẩn bị một đĩa hệ điều hành hoặc đĩa dữ liệu dự phòng trong trường hợp đĩa bị lỗi, hãy đảm bảo rằng chúng sử dụng cùng một TPM. Bạn cũng có thể định cấu hình các ổ đĩa cứng khác nhau cho các hệ điều hành khác nhau, sau đó bật BitLocker trên mỗi ổ đĩa bằng cách chỉ định các phương thức xác thực khác nhau (ví dụ: một ổ đĩa chỉ có TPM và ổ đĩa khác có TPM có mã PIN) và điều này sẽ không dẫn đến xung đột.

Tôi có thể truy cập ổ cứng được bảo vệ BitLocker nếu tôi cài đặt nó trên một máy tính khác không?

Có, nếu là ổ dữ liệu thì có thể unlock như bình thường bằng cách chọn mục Mã hóa ổ đĩa BitLocker trên bảng điều khiển (sử dụng mật khẩu hoặc thẻ thông minh). Nếu ổ dữ liệu của bạn được đặt ở chế độ chỉ tự động mở khóa, bạn sẽ phải sử dụng khóa khôi phục để mở khóa ổ đĩa. Ổ cứng được mã hóa có thể được mở khóa bằng tác nhân khôi phục dữ liệu (nếu được định cấu hình) hoặc khóa khôi phục.

Tại sao lệnh "Bật BitLocker" không khả dụng khi tôi nhấp chuột phải vào ổ đĩa?

Một số ổ đĩa không thể được mã hóa bằng BitLocker. Điều này xảy ra vì nhiều lý do. Ví dụ: kích thước đĩa có thể quá nhỏ, hệ thống tệp có thể không tương thích, đĩa có thể động hoặc được chỉ định làm phân vùng hệ thống. Theo mặc định, đĩa hệ thống (hoặc phân vùng hệ thống) không được hiển thị. Nhưng nếu đĩa (hoặc phân vùng) không bị ẩn trong quá trình cài đặt hệ điều hành tùy chỉnh, nó có thể được hiển thị nhưng không được mã hóa.

BitLocker hỗ trợ những loại cấu hình ổ đĩa nào?

Có thể bảo vệ BitLocker cho bất kỳ số lượng ổ đĩa cố định bên trong nào. Một số phiên bản hỗ trợ các thiết bị lưu trữ ATA và SATA gắn trực tiếp.

Nhận xét

Chúng tôi muốn biết ý kiến ​​​​của bạn. Hãy cho biết bạn muốn nói gì với chúng tôi.

Hệ thống phản hồi của chúng tôi dựa trên nguyên tắc xử lý sự cố trên GitHub. Để biết thêm thông tin, xem .

Nếu bạn lưu trữ thông tin bí mật trên máy tính thì việc mã hóa ổ cứng hệ thống sẽ là một lựa chọn tuyệt vời để đảm bảo an toàn cho dữ liệu của bạn.

Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách mã hóa ổ đĩa hệ thống của máy tính bằng công cụ mã hóa phổ biến nhất của Microsoft, tiện ích BitLocker, đi kèm với tất cả các phiên bản Windows chuyên nghiệp.

BitLocker là gì và tải xuống ở đâu

Kể từ khi phát hành Windows Vista, Microsoft đã cung cấp một tính năng bảo vệ dữ liệu mới có tên là BitLocker Drive Encryption. Windows 7 giới thiệu BitLocker To Go, mã hóa cho các thiết bị lưu trữ di động như ổ đĩa flash và thẻ SD.

Không cần tải xuống và cài đặt Biltocker, nó đã được tích hợp sẵn trong hệ điều hành và chỉ có trong Window 10 Pro và Enterprise. Bạn có thể xem phiên bản Windows nào được cài đặt trên máy tính của mình trong Bảng điều khiển trên tab Hệ thống. Nếu bạn đã cài đặt Window 10 Home không hỗ trợ BitLocker, chúng tôi khuyên bạn nên chú ý đến một chương trình như.

Tại sao Microsoft không công khai tính năng này là một câu hỏi mở, vì mã hóa dữ liệu là một trong những cách hiệu quả nhất để giữ an toàn cho tính năng này.

Mã hóa là gì

Mã hóa là một cách để tăng cường tính bảo mật cho dữ liệu của bạn bằng cách đảm bảo rằng nội dung của nó chỉ có thể được đọc bởi chủ sở hữu khóa mã hóa thích hợp. Windows 10 bao gồm nhiều công nghệ mã hóa khác nhau. Ví dụ: mã hóa hệ thống tệp EFS và Mã hóa ổ đĩa BitLocker mà chúng ta sẽ nói đến trong bài viết này.

Những điều bạn cần biết và làm trước khi sử dụng BitLocker

  • Mã hóa ổ cứng của bạn có thể mất nhiều thời gian. Trước khi bắt đầu, chúng tôi khuyên bạn nên sao lưu dữ liệu của mình vì việc mất điện đột ngột trong quá trình mã hóa có thể làm hỏng dữ liệu.
  • Bản cập nhật Windows 10 tháng 11 bao gồm tiêu chuẩn mã hóa an toàn hơn. Xin lưu ý rằng tiêu chuẩn mã hóa mới sẽ chỉ tương thích với các hệ thống Cập nhật Windows 10 tháng 11.
  • Nếu máy tính của bạn không có Mô-đun nền tảng đáng tin cậy (TPM), một con chip cung cấp cho máy tính của bạn các tính năng bảo mật bổ sung, chẳng hạn như khả năng mã hóa ổ đĩa BitLocker. Khi cố gắng bật mã hóa, bạn có thể nhận được thông báo lỗi TPM: "Thiết bị này không thể sử dụng Mô-đun nền tảng đáng tin cậy (TPM)"

Để giải quyết vấn đề này, hãy sử dụng tệp EnableNoTPM.reg.zip. Tải xuống, giải nén và chạy tệp này, thao tác này sẽ thực hiện các thay đổi cần thiết đối với sổ đăng ký để cho phép mã hóa mà không cần TPM.

Cách mã hóa ổ đĩa bằng BitLocker

Kích hoạt Mã hóa ổ đĩa BitLocker trong Windows 10. Nhấp vào nút Bắt đầu -> Explorer -> Máy tính này. Sau đó nhấp chuột phải vào ổ đĩa hệ thống Windows (thường là ổ C), chọn từ menu thả xuống .

Tạo một mật khẩu mạnh để mở khóa ổ cứng của bạn. Mỗi khi bạn bật máy tính, Windows sẽ yêu cầu bạn nhập mật khẩu này để giải mã dữ liệu của bạn.

Chọn cách bạn muốn sao lưu khóa khôi phục. Bạn có thể lưu nó vào tài khoản Microsoft của mình, sao chép nó vào ổ USB hoặc in nó.

Đã lưu?! Bây giờ bạn cần chỉ định phần nào của đĩa bạn muốn mã hóa.

Bạn sẽ có hai lựa chọn:

  • Nếu bạn đang mã hóa một ổ đĩa mới hoặc một PC mới, bạn chỉ cần mã hóa phần ổ đĩa hiện đang được sử dụng. BitLocker sau đó sẽ tự động mã hóa dữ liệu khi nó được thêm vào.
  • Nếu bạn bật BitLocker trên PC hoặc ổ đĩa bạn đang sử dụng, chúng tôi khuyên bạn nên mã hóa toàn bộ ổ đĩa. Điều này sẽ đảm bảo rằng tất cả dữ liệu được bảo vệ.
Đối với chúng tôi, lựa chọn thứ hai thích hợp hơn. Xin lưu ý rằng quá trình mã hóa sẽ mất chút thời gian, đặc biệt nếu bạn có ổ đĩa lớn. Đảm bảo máy tính của bạn được kết nối với nguồn điện liên tục trong trường hợp mất điện.

Nếu bạn đã cài đặt bản cập nhật Windows 10 tháng 11 thì bạn có quyền truy cập vào chế độ mã hóa XTS-AES an toàn hơn. Chọn tùy chọn này bất cứ khi nào có thể.

Khi bạn đã sẵn sàng bắt đầu mã hóa, hãy nhấp vào nút "Tiếp tục"

Khởi động lại máy tính của bạn khi được nhắc.