برنامه BitLocker ابزاری است که در ویندوز تعبیه شده و به شما اجازه می‌دهد کل یک درایو را در هارد خود رمزگذاری کنید و امنیت آن را افزایش دهید. روش راه‌اندازی آن از قرار زیر است:

 

زمانی که برنامه TrueCrypt به شکلی بحث‌برانگیز کنار رفت، به کاربران خود پیشنهاد دادند از TrueCrypt دست کشیده و به استفاده از BitLocker یا Veracrypt روی آورند. برنامه BitLocker به‌اندازه‌ی کافی در ویندوز بوده است که بتوان آن را برنامه‌ای پخته به‌حساب آورد و محصول رمزگذاری مناسبی است که حرفه‌ای‌های امنیت عموماً از آن تعریف کرده‌اند. در این مقاله قصد داریم درباره‌ی راه‌اندازی این ابزار بر روی رایانه‌ی شخصی صحبت کنیم.

نکته: برنامه‌های BitLocker Drive Encryption و BitLocker To Go، هر دو نیازمند نسخه‌ی Professional یا Enterprise از ویندوز 8 یا 10 یا نسخه‌ی نهایی ویندوز 7 هستند؛ اما از ویندوز 8?1 به بعد، ویژگی «Device Encryption» در نسخه‌های Home و Pro (که در ویندوز 10 هم موجود است) عملکردی مشابه دارد. اگر رایانه‌ی شما از Device Encryption پشتیبانی می‌کند، پیشنهاد ما استفاده از این ویژگی است. برنامه BitLocker برای کاربران نسخه‌ی Pro که نمی‌توانند از Device Encryption استفاده کنند و VeraCrypt برای افرادی که از نسخه‌ی Home ویندوز استفاده می‌کنند و Device Encryption در آن کار نمی‌کند.

کل یک درایو را رمزگذاری کنیم، یا یک فضای رمزگذاری شده بسازیم؟

در بسیاری از راهنماهای موجود، صحبت از خلق فضای BitLocker است که عملکردی شبیه یک فضای رمزگذاری ‌شده دارد که می‌توانید با محصولاتی نظیر TrueCrypt یا Veracrypt بسازید. کار BitLocker رمزگذاری یک درایو کامل است. این درایو می‌تواند درایو سیستم شما، یک درایو فیزیکی متفاوت، یا یک «درایو مجازی» (VHD) باشد که به‌عنوان یک فایل موجود بوده و روی ویندوز نصب می‌گردد. تفاوت موجود، بیشتر یک تفاوت معنایی به شمار می‌رود. در محصولات رمزگذاری دیگر، معمولاً یک محفظه‌ی رمزگذاری ‌شده می‌سازید و سپس هر وقت نیاز به استفاده از آن باشد، آن را به‌عنوان یک درایو بر روی ویندوز نصب می‌کنید. با استفاده از BitLocker، یک درایو مجازی می‌سازید و سپس آن را رمزگذاری می‌کنید.

روش رمزگذاری یک درایو به کمک BitLocker

برای استفاده از BitLocker برای یک درایو، فقط کافی است آن را فعال کرده و یک روش قفل‌گشایی مانند رمز عبور، PIN و غیره را انتخاب نمایید. پس ‌از آن چند گزینه‌ی دیگر را تعیین می‌کنید؛ اما قبل از همه‌ی این‌ها باید بدانید که استفاده از رمزگذاری کل دیسک توسط BitLocker روی یک درایو سیستم نیازمند رایانه‌ای است که ماژول امنیتی TPM را بر روی مادربرد خود داشته باشد. این تراشه کلیدهای رمزگذاری مورد استفاده در BitLocker را تولید و ذخیره می‌کند. اگر رایانه‌ی شما TPM ندارد، می‌توانید از Group Policy استفاده کنید تا بدون داشتن TPM، استفاده از BitLocker را فعال سازید. امنیت آن کمی پایین‌تر است؛ اما حداقل بهتر از آن است که هیچ‌گونه رمزگذاری وجود نداشته باشد.

می‌توانید بدون TPM و بدون اینکه لازم باشد تنظیمات Group Policy را فعال کنید، یک درایو غیرسیستمی یا درایو جداشدنی را رمزگذاری نمایید.

البته باید این را بدانید که دو نوع رمزگذاری درایو BitLocker وجود دارد که می‌توانید فعال کنید:

• رمزگذاری BitLocker Drive Encryption: گاهی آن را صرفاً BitLocker می‌نامند. این ویژگی «رمزگذاری یک دیسک کامل» است که کل یک درایو را رمزگذاری می‌کند. زمانی که رایانه‌ی شما بالا می‌آید، بارگذار بوت ویندوز با استفاده از System Reserved partition بارگذاری را انجام می‌دهد و از شما می‌خواهد به روشی که تعیین کرده‌اید، مثلاً رمز عبور، قفل را باز کنید. سپس BitLocker درایو را رمزگشایی کرده و ویندوز را بارگذاری می‌کند. به‌جز این مورد، رمزگذاری انجام ‌شده کاملاً شفاف است؛ یعنی فایل‌های شما همچون یک سیستم رمزگذاری ‌نشده نمایان می‌شوند، اما به شکلی رمزگذاری ‌شده روی دیسک ذخیره شده‌اند. همچنین می‌توانید درایوهای دیگری را به‌جز درایو سیستم رمزگذاری کنید.
• رمزگذاری BitLocker To Go: می‌توانید درایوهای اکسترنال، مثلاً درایوهای USB و هاردهای اکسترنال را با استفاده از BitLocker To Go رمزگذاری کنید. وقتی درایو را به رایانه متصل می‌کنید، از شما می‌خواهد به روشی که تعیین کرده‌اید قفل را باز کنید. اگر کسی رمز یا روش باز کردن قفل را بلد نباشد، نمی‌تواند به فایل‌های درایو دسترسی پیدا کند.

از ویندوز 7 تا 10 واقعاً نیازی نیست خودتان نگران انتخاب آن باشید. ویندوز این امور را پشت صحنه انجام خواهد داد و رابط کاربری مورد استفاده‌ی شما برای فعال‌سازی BitLocker تفاوت ظاهری نخواهد داشت. اگر روزی خواستید یک درایو رمزگذاری ‌شده را در ویندوز XP یا Vista قفل‌گشایی کنید، نام تجاری BitLocker to Go را مشاهده خواهید کرد. برای همین آن را مطرح کردیم که حداقل نام آن را قبلاً دیده باشید.

حالا که این مانع را از سر راه برداشتیم، در ادامه‌ی مطلب، روش کار آن را مرور خواهیم کرد.

گام اول: BitLocker را برای یک درایو فعال کنید

ساده‌ترین روش فعال‌سازی BitLocker برای یک درایو این است که در پنجره‌ی File Explorer روی آن درایو راست‌کلیک کنید و سپس فرمان «Turn on BitLocker» را انتخاب نمایید. اگر این گزینه را در منوی خود مشاهده نمی‌کنید، پس احتمالاً نسخه‌ی Pro یا Enterprise ویندوز را ندارید و باید به دنبال راه دیگری برای رمزگذاری باشید.

به همین راحتی است که می‌بینید. راهنمایی که ظاهر می‌شود، شما را در ارتباط با انتخاب گزینه‌های مختلف راهنمایی خواهد کرد و ما این گزینه‌ها را به بخش‌هایی که در ادامه خواهیم گفت، تقسیم کرده‌ایم.

گام دوم: یک روش رمزگشایی انتخاب کنید

در اولین صفحه‌ای که در راهنمای «BitLocker Drive Encryption» مشاهده خواهید کرد، می‌توانید روش رمزگشایی درایو خود را انتخاب نمایید. می‌توانید روش‌های گوناگونی را برای رمزگشایی درایو انتخاب کنید.

اگر با رایانه‌ای می‌خواهید درایو سیستم خود را رمزگذاری کنید که TPM ندارد، می‌توانید با استفاده از رمز عبور یا یک درایو USB که به‌عنوان کلید کار می‌کند، درایو را رمزگشایی کنید. روش رمزگشایی خود را انتخاب کرده و از توضیحات آن روش پیروی نمایید (رمز عبور وارد کنید یا درایو USB خود را متصل کنید).

اگر رایانه‌ی شما TPM را داشته باشد، گزینه‌های بیشتری برای رمزگشایی درایو سیستم خود مشاهده خواهید کرد. مثلاً می‌توانید گزینه‌ی رمزگشایی خودکار به هنگام بالا آمدن را پیکربندی کنید که در این روش، رایانه کلیدهای رمز را از TPM می‌گیرد و به‌صورت خودکار درایو را رمزگشایی می‌کند. همچنین می‌توانید به‌جای رمزعبور از یک پین استفاده کنید یا حتی به سراغ گزینه‌های بیومتریک نظیر اثرانگشت بروید.

اگر قصد دارید یک درایو غیرسیستمی یا درایو جداشدنی را رمزگذاری کنید، تنها دو گزینه پیش رو خواهید داشت، چه TPM داشته باشید چه نداشته باشید. می‌توانید با استفاده از یک رمز عبور یا کارت هوشمند (هردو) درایو را رمزگشایی کنید.

گام سوم: از کلید بازیابی خود پشتیبان بگیرید

ابزار BitLocker یک کلید بازیابی به شما می‌دهد تا اگر روزی کلید اصلی خود را گم کردید، بتوانید با استفاده از آن به فایل‌های رمزگذاری ‌شده‌ی خود دسترسی یابید؛ مثلاً اگر رمزعبور خود را فراموش کنید یا رایانه‌ای که TPM داشت، از بین برود و مجبور باشید از یک سیستم دیگر به آن درایو دسترسی پیدا کنید.

می‌توانید این کلید را در حساب کاربری خود در مایکروسافت، در یک درایو USB یا یک فایل ذخیره کنید یا حتی از آن پرینت بگیرید. این گزینه‌ها برای رمزگذاری درایو سیستمی و غیرسیستمی یکسان هستند.

اگر از کلید بازیابی خود در حساب کاربری مایکروسافت نسخه‌ی پشتیبان تهیه کنید، می‌توانید بعداً از آدرسhttps://onedrive.live.com/recoverykey به آن کلید دسترسی داشته باشید. اگر از روش بازیابی دیگری استفاده نمایید، دقت کنید که باید این کلید را ایمن نگاه دارید. اگر کسی به آن دسترسی پیدا کند، می‌تواند درایو شما را رمزگشایی کرده و رمزگذاری آن را دور بزند.

همچنین اگر بخواهید می‌توانید به چندین روش از کلید بازیابی خود پشتیبان تهیه کنید. کافی است هر گزینه‌ای را که دوست دارید، به‌نوبت بر روی آن کلیک کنید و سپس توضیحات آن را انجام دهید. وقتی کارتان با ذخیره‌سازی کلید بازیابی تمام شد، بر روی «Next» کلیک کنید تا به مرحله‌ی بعد بروید.

نکته: اگر می‌خواهید یک USB یا درایو جداشدنی را رمزگذاری کنید، دیگر گزینه‌ی ذخیره‌ی کلید بازیابی در درایو USB را نخواهید داشت. می‌توانید هرکدام از سه گزینه‌ی دیگر را استفاده کنید.

گام چهارم: درایو را رمزگذاری و رمزگشایی کنید

ابزار BitLocker به‌صورت خودکار فایل‌های جدیدی را که اضافه می‌کنید، رمزگذاری خواهد کرد؛ اما شما باید تصمیم بگیرید چه اتفاقی برای فایل‌هایی که اکنون در درایو شما هستند، بیافتد. می‌توانید کل درایو، حتی فضای خالی یا فقط فایل‌های دیسک مورد استفاده را رمزگذاری کنید تا سرعت فرایند را بالا ببرید. این گزینه‌ها نیز برای رمزگذاری درایو سیستمی و غیرسیستمی یکسان هستند.

اگر می‌خواهید BitLocker را بر روی یک رایانه‌ی جدید راه‌اندازی کنید، برای افزایش سرعت، فقط فضای دیسک مورد استفاده را رمزگذاری کنید. اگر قصد دارید BitLocker را روی رایانه‌ای فعال کنید که چند وقتی مورد استفاده‌ی شما بوده است، باید کل درایو را رمزگذاری کنید تا مطمئن شوید هیچ‌کس نمی‌تواند فایل‌های حذف ‌شده را بازیابی کند.

پس ‌از آنکه انتخاب خود را انجام دادید، روی دکمه‌ی «Next» کلیک کنید.

گام پنجم: یک حالت رمزگذاری انتخاب کنید (فقط در ویندوز 10)

اگر ویندوز 10 دارید، یک صفحه‌ی دیگر نیز مشاهده خواهید کرد که به شما اجازه می‌دهد یک روش رمزگذاری انتخاب کنید. اگر ویندوز 7 یا 8 دارید، گام ششم را بخوانید.

ویندوز 10 یک روش رمزگذاری جدید را به نام XTS-AES معرفی کرد. این روش، یکپارچگی و عملکرد بهتری نسبت به AES مورد استفاده در ویندوز 7 و 8 ارائه می‌دهد. اگر مطمئن هستید درایوی که رمزگذاری می‌کنید، قرار است تنها در رایانه‌های دارای ویندوز 10 مورد استفاده قرار گیرد، گزینه‌ی «حالت رمزگذاری جدید» (New encryption mode) را انتخاب کنید. اگر فکر می‌کنید ممکن است بخواهید این درایو را در آینده در یکی از نسخه‌های قدیمی ویندوز استفاده کنید، به‌ویژه اگر درایو جداشدنی باشد، گزینه‌ی «حالت سازگار» (Compatible mode) را انتخاب نمایید.

هر گزینه‌ای که انتخاب کنید، باز هم می‌گویم این گزینه‌ها برای درایوهای سیستمی و غیرسیستمی یکسان است، کارتان که تمام شد روی «Next» کلیک کرده و در صفحه‌ی بعدی روی دکمه‌ی «Start Encrypting» بزنید.

گام ششم: پایان عملیات

فرایند رمزگذاری ممکن است چیزی بین چند ثانیه تا چند دقیقه یا حتی بیشتر زمان ببرد که به ابعاد درایو، مقدار داده‌ای که رمزگذاری می‌شود و اینکه بخواهید فضای خالی را رمزگذاری کنید یا خیر بستگی دارد.

اگر درایو سیستم خود را رمزگذاری می‌کنید، از شما خواسته می‌شود یک بررسی سیستمی با BitLocker را اجرا کرده و سیستم خود را ریست کنید. فراموش نکنید که این گزینه انتخاب شود و سپس روی «Continue» کلیک کنید، پس ‌از آن هر موقع از شما خواسته شد، رایانه را ریست کنید. بعد از آنکه رایانه برای اولین بار، دوباره بالا بیاید، ویندوز درایو را رمزگذاری می‌کند.

اگر قصد دارید یک درایو غیرسیستمی یا یک درایو جداشدنی را رمزگذاری کنید، نیازی به ریست کردن ویندوز نیست و رمزگذاری بلافاصله آغاز خواهد شد.

فرقی ندارد کدام نوع درایو را رمزگذاری می‌کنید. می‌توانید آیکون BitLocker Drive Encryption را روی system tray ببینید تا پیشرفت آن را ملاحظه کنید. همچنین، در حالیکه درایوها رمزگذاری می‌شوند نیز می‌توانید همچنان از رایانه‌ی خود استفاده کنید؛ فقط کمی کندتر عمل خواهد کرد.

رمزگشایی درایو

اگر سیستم شما رمزگذاری شده باشد، رمزگشایی آن به روش انتخابی شما بستگی دارد و اینکه رایانه‌ی شما TPM داشته باشد یا خیر. اگر TPM داشته باشید و رمزگشایی خودکار را انتخاب کرده باشید، هیچ تفاوتی احساس نخواهید کرد، سیستم راه‌اندازی شده و مثل همیشه ویندوز مستقیم بالا می‌آید. اگر از روش رمزگشایی دیگری استفاده کرده باشید، ویندوز از شما می‌پرسد که به آن روش درایو را رمزگشایی کنید؛ مثلاً رمز عبور خود را بنویسید، درایو USB را وصل کنید یا هر روش دیگری.

اگر روش رمزگشایی خود را گم (یا فراموش) کرده‌اید، Escape را روی پنجره‌ی روی صفحه بزنید تا بتوانید کلید بازیابی خود را وارد کنید.

اگر درایو غیرسیستمی یا جداشدنی را رمزگذاری کرده باشید، اولین باری که پس از بالا آمدن ویندوز یا اتصال درایو جداشدنی به رایانه بخواهید به فایل خود دسترسی پیدا کنید، ویندوز از شما می‌خواهد درایو خود را رمزگشایی کنید. رمز عبور را بنویسید یا کارت هوشمند خود را وارد کنید و پس‌ازآن قفل درایو باز می‌شود و می‌توانید از آن استفاده کنید.

در File Explorer، آیکون درایوهای رمزگذاری ‌شده یک قفل طلایی خواهند داشت (عکس چپ). زمانی که درایو را رمزگشایی کنید، این قفل خاکستری‌رنگ و باز خواهد بود (عکس راست).

در پنجره‌ی کنترل پنل BitLocker می‌توانید درایو قفل‌ شده را مدیریت کنید؛ رمز عبور آن را عوض کنید، BitLocker را خاموش نمایید، از کلید بازیابی خود پشتیبان بگیرید یا کارهای دیگری انجام دهید. بر روی هرکدام از درایوهای رمزگذاری ‌شده‌ای که می‌خواهید کلیک کرده و سپس «Manage BitLocker» را انتخاب نمایید تا مستقیم به آن صفحه بروید.

برنامه BitLocker مثل دیگر روش‌های رمزگذاری، کمی سرعت رایانه را پایین خواهد آورد. در صفحه‌ی پرسش‌های متداول BitLocker در سایت رسمی مایکروسافت نوشته شده است که «عموماً یک درصد تک‌رقمی عملکرد را کند خواهد کرد». اگر به دلیل داشتن داده‌های حساس، مثلاً یک لپ‌تاپ پر از اسناد کسب‌وکار، رمزگذاری برایتان اهمیت دارد، پس داشتن امنیت بیشتر کاملاً ارزش کاهش اندک در عملکرد را خواهد داشت.

 

منبع: چطورپدیا