Så här konfigurerar du BitLocker-kryptering på Windows
BitLocker är ett verktyg inbyggt i Windows som låter dig kryptera en hel hårddisk för ökad säkerhet. Så här ställer du in det.
När TrueCrypt stängde affären kontroversiellt, rekommenderade de sina användare att övergå från TrueCrypt till att använda BitLocker eller Veracrypt. BitLocker har funnits i Windows tillräckligt länge för att betraktas som moden, och är en krypteringsprodukt som generellt anses av säkerhetsproffs. I den här artikeln ska vi prata om hur du kan ställa in den på din dator.
Notera: BitLocker Drive Encryption och BitLocker To Go kräver en professionell eller företagsversion av Windows 8 eller 10 eller den ultimata versionen av Windows 7. Men med Windows 8.1, innehåller Home and Pro-utgåvorna av Windows en funktionen "Enhetskryptering" ( en funktion som också ingår i Windows 10) som fungerar på samma sätt. Vi rekommenderar enhetskryptering om datorn stöder den, BitLocker for Pro-användare som inte kan använda Enhetskryptering och VeraCrypt för personer som använder en hemversion av Windows där enhetskryptering inte fungerar.
Kryptera en hel enhet eller skapa en krypterad container?
Många guider där ute talar om att skapa en BitLocker-behållare som fungerar som den typ av krypterad behållare du kan skapa med produkter som TrueCrypt eller Veracrypt. Det är lite av en missnöje, men du kan uppnå en liknande effekt. BitLocker fungerar genom att kryptera hela enheter. Det kan vara din systemdrift, en annan fysisk enhet eller en virtuell hårddisk (VHD) som finns som en fil och är monterad i Windows.
Skillnaden är i stor utsträckning semantisk. I andra krypteringsprodukter skapar du vanligtvis en krypterad behållare och monterar den sedan som en enhet i Windows när du behöver använda den. Med BitLocker skapar du en virtuell hårddisk och krypterar sedan den. Om du vill använda en behållare i stället för att säga, kryptera ditt befintliga system eller lagringsenhet, kolla in vår guide för att skapa en krypterad containerfil med BitLocker.
För den här artikeln kommer vi att koncentrera oss på att aktivera BitLocker för en befintlig fysisk enhet.
Så här krypterar du en enhet med BitLocker
För att använda BitLocker för en enhet måste du bara aktivera det, välja ett upplåsningsmetod-lösenord, PIN, och så vidare - och ange sedan några andra alternativ. Innan vi kommer in i det borde du dock veta att du använder BitLockers fullständiga disk kryptering på en systemdrift kräver vanligtvis en dator med en betrodd plattformmodul (TPM) på datorns moderkort. Detta chip genererar och lagrar krypteringsnycklarna som BitLocker använder. Om din dator inte har en TPM, kan du använda Grupprincip för att aktivera BitLocker utan en TPM. Det är lite mindre säkert, men ändå säkrare än att inte använda kryptering alls.
Du kan kryptera en icke-systemdriven eller flyttbar enhet utan TPM och utan att behöva aktivera grupprincipinställningen.
På den noten borde du också veta att det finns två typer av BitLocker-enhetskryptering som du kan aktivera:
- BitLocker-enhetskryptering: Ibland kallas bara BitLocker, det här är en funktion för fullständig diskkryptering som krypterar en hel enhet. När din dator startar laddar Windows startläsaren från den systemreserverade partitionen, och startläsaren uppmanar dig till din upplåsningsmetod, till exempel ett lösenord. BitLocker dekrypterar sedan enheten och laddar Windows. Krypteringen är annars öppen - dina filer visas som de normalt skulle ha på ett okrypterat system, men de lagras på skivan i krypterad form. Du kan också kryptera andra enheter än bara systemstationen.
- BitLocker To Go: Du kan kryptera externa enheter - som USB-flash-enheter och externa hårddiskar - med BitLocker To Go. Du blir uppmanad till din upplåsningsmetod - till exempel ett lösenord - när du ansluter enheten till din dator. Om någon inte har upplåsningsmetoden, kan de inte komma åt filerna på enheten.
I Windows 7 till 10 behöver du inte oroa dig för att göra själva valet. Windows hanterar saker bakom kulisserna, och gränssnittet som du använder för att aktivera BitLocker ser inte annorlunda ut. Om du slutar låsa upp en krypterad enhet i Windows XP eller Vista, ser du varumärket BitLocker to Go, så vi tänkte att du borde åtminstone veta om det.
Så, med det ur vägen, låt oss gå över hur det verkligen fungerar.
Steg ett: Aktivera BitLocker för en enhet
Det enklaste sättet att aktivera BitLocker för en enhet är att högerklicka på enheten i ett File Explorer-fönster och välj sedan "Slå på BitLocker" -kommandot. Om du inte ser detta alternativ på din snabbmeny, har du förmodligen inte en Pro eller Enterprise-version av Windows och du måste söka efter en annan krypteringslösning.
Det är bara så enkelt. Guiden som dyker upp går dig genom att välja flera alternativ, som vi har delat upp i de avsnitt som följer.
Steg två: Välj en upplåsningsmetod
Den första skärmen du får se i guiden BitLocker Drive Encryption låter dig välja hur du låser upp din enhet. Du kan välja flera olika sätt att låsa upp enheten.
Om du krypterar din systemdrivenhet på en dator som inte Har en TPM, du kan låsa upp enheten med ett lösenord eller en USB-enhet som fungerar som en nyckel. Välj din upplåsningsmetod och följ anvisningarna för den metoden (skriv in ett lösenord eller anslut din USB-enhet).
Om din dator gör Har en TPM, du får se ytterligare alternativ för att låsa upp systemdriften. Till exempel kan du konfigurera automatisk upplåsning vid start (där din dator tar tag i krypteringsnycklarna från TPM och dekrypterar automatiskt enheten). Du kan också använda en PIN-kod istället för ett lösenord, eller ens välja biometriska alternativ som ett fingeravtryck.
Om du krypterar en icke-systemdriven eller flyttbar enhet ser du bara två alternativ (oavsett om du har en TPM eller inte). Du kan låsa upp enheten med ett lösenord eller ett smartkort (eller båda).
Steg tre: Säkerhetskopiera din återställningsnyckel
BitLocker ger dig en återställningsnyckel som du kan använda för att komma åt dina krypterade filer om du någonsin skulle förlora din huvudnyckel, till exempel om du glömmer ditt lösenord eller om datorn med TPM dör och du måste komma åt enheten från ett annat system.
Du kan spara nyckeln till ditt Microsoft-konto, en USB-enhet, en fil eller till och med skriva ut den. Dessa alternativ är desamma om du krypterar ett system eller en icke-systemdriven enhet.
Om du säkerhetskopierar återställningsnyckeln till ditt Microsoft-konto kan du komma åt nyckeln senare på https://onedrive.live.com/recoverykey. Om du använder en annan återställningsmetod, var noga med att hålla den här nyckeln säker - om någon får tillgång till den, kan de dekryptera din enhet och kringgå kryptering.
Du kan också säkerhetskopiera din återställningsnyckel flera sätt om du vill. Klicka bara på varje alternativ du vill använda i sin tur och följ sedan anvisningarna. När du är klar sparar du återställningsnycklarna, klicka på "Nästa" för att gå vidare.
Notera: Om du krypterar en USB eller annan flyttbar enhet kan du inte spara din återställningsnyckel till en USB-enhet. Du kan använda något av de andra tre alternativen.
Steg fyra: Kryptera och lås upp enheten
BitLocker krypterar automatiskt nya filer när du lägger till dem, men du måste välja vad som händer med filerna som finns på din enhet. Du kan kryptera hela enheten - inklusive ledigt utrymme - eller bara kryptera de använda skivfilerna för att påskynda processen. Dessa alternativ är också desamma om du krypterar ett system eller en icke-systemdrivenhet.
Om du installerar BitLocker på en ny dator, krypterar du bara det använda diskutrymmet - det är mycket snabbare. Om du ställer in BitLocker på en dator som du använt ett tag, bör du kryptera hela enheten så att ingen kan återställa raderade filer.
När du har gjort ditt val klickar du på knappen "Nästa".
Steg fem: Välj ett krypteringsläge (endast Windows 10)
Om du använder Windows 10 ser du en extra skärm som låter dig välja en krypteringsmetod. Om du använder Windows 7 eller 8, gå vidare till nästa steg.
Windows 10 introducerade en ny krypteringsmetod som heter XTS-AES. Det ger förbättrad integritet och prestanda över AES som används i Windows 7 och 8. Om du vet att enheten du krypterar bara kommer att användas på Windows 10-datorer, fortsätt och välj alternativet "Ny kryptering". Om du tror att du kanske behöver använda enheten med en äldre version av Windows någon gång (särskilt viktigt om det är en flyttbar enhet), välj alternativet "Kompatibelt läge".
Oavsett vilket alternativ du väljer (och igen, det är samma för system- och icke-systemdrivningar), fortsätt och klicka på "Nästa" när du är klar och klicka på knappen "Kryptera" på nästa skärm.
Steg sex: Efterbehandling
Krypteringsprocessen kan ta var som helst från sekunder till minuter eller till och med längre, beroende på enhetens storlek, hur mycket data du krypterar och om du valde att kryptera ledig plats.
Om du krypterar din systemdrift blir du uppmanad att köra en BitLocker-systemkontroll och starta om systemet. Se till att alternativet är valt, klicka på "Fortsätt" -knappen och starta om datorn när du blir frågad. När datorn startar upp för första gången krypterar Windows drivrutinen.
Om du krypterar ett icke-system eller en flyttbar enhet behöver Windows inte starta om och kryptering börjar omedelbart.
Oavsett vilken typ av enhet du krypterar kan du kolla ikonen BitLocker Drive Encryption i systemfältet för att se dess framsteg, och du kan fortsätta använda datorn medan enheter krypteras - det kommer bara att fungera långsammare.
Lås upp din enhet
Om din systemdriven är krypterad, låser den upp beroende på vilken metod du valde (och om din dator har en TPM). Om du har en TPM och vald för att låsa upp enheten automatiskt, kommer du inte märka något annat - du startar bara direkt in i Windows som alltid. Om du väljer en annan upplåsningsmetod uppmanas Windows att låsa upp enheten (genom att skriva in ditt lösenord, ansluta din USB-enhet eller vad som helst).
Och om du har förlorat (eller glömt) din upplåsningsmetod, tryck Escape på snabbskärmen för att ange din återställningsnyckel.
Om du har krypterat en icke-system eller flyttbar enhet frågar Windows dig om att låsa upp enheten när du först öppnar den efter att du startat Windows (eller när du ansluter den till datorn om det är en flyttbar enhet). Skriv in ditt lösenord eller sätt in ditt smartkort, och enheten ska låsa upp så att du kan använda den.
I File Explorer visar krypterade enheter ett guldlås på ikonen (till vänster). Det låset ändras till grått och visas upplåst när du låser upp enheten (till höger).
Du kan hantera en låst enhet - ändra lösenordet, stäng av BitLocker, säkerhetskopiera din återställningsnyckel eller utföra andra åtgärder - från fönstret BitLocker-kontrollpanelen. Högerklicka på en krypterad enhet och välj sedan "Hantera BitLocker" för att gå direkt till den sidan.
Liksom alla krypteringar, lägger BitLocker till sig vissa kostnader. Microsofts officiella BitLocker FAQ säger att "Generellt innebär det en ensiffrig procentuell prestationskostnad." Om kryptering är viktig för dig eftersom du har känslig data, till exempel en bärbar dator full av affärsdokument, är den förbättrade säkerheten väl värt prestandan -av.