วิธีตั้งค่าการเข้ารหัส BitLocker บน Windows

BitLocker เป็นเครื่องมือในตัว Windows ที่ให้คุณเข้ารหัสฮาร์ดไดรฟ์ทั้งหมดเพื่อเพิ่มความปลอดภัย วิธีตั้งค่ามีดังนี้

เมื่อ TrueCrypt ปิดร้านค้าพวกเขาแนะนำให้ผู้ใช้เปลี่ยนจาก TrueCrypt ไปใช้ BitLocker หรือ Veracrypt BitLocker มีอยู่ใน Windows มานานพอที่จะถือว่าเป็นผู้ใหญ่และเป็นผลิตภัณฑ์เข้ารหัสที่ได้รับการยอมรับจากผู้เชี่ยวชาญด้านความปลอดภัยโดยทั่วไป ในบทความนี้เราจะพูดถึงวิธีการตั้งค่าบนพีซีของคุณ

ที่เกี่ยวข้อง: คุณควรอัปเกรดเป็น Windows 10 รุ่น Professional หรือไม่

หมายเหตุ : BitLocker Drive Encryption และ BitLocker To Go ต้องใช้ Windows 8 หรือ 10 รุ่น Professional หรือ Enterprise หรือ Windows 7 เวอร์ชัน Ultimate อย่างไรก็ตามตั้งแต่ Windows 8.1 เป็นต้นไป Windows รุ่น Home และ Pro จะมีคุณลักษณะ "การเข้ารหัสอุปกรณ์" (คุณลักษณะที่รวมอยู่ใน Windows 10) ซึ่งทำงานในลักษณะเดียวกัน เราขอแนะนำ Device Encryption หากคอมพิวเตอร์ของคุณรองรับ BitLocker สำหรับผู้ใช้ Pro ที่ไม่สามารถใช้ Device Encryption และ VeraCrypt สำหรับผู้ที่ใช้ Windows เวอร์ชัน Home ที่การเข้ารหัสอุปกรณ์ไม่ทำงาน

เข้ารหัสไดรฟ์ทั้งหมดหรือสร้างคอนเทนเนอร์ที่เข้ารหัส?

คำแนะนำมากมายพูดถึงการสร้างคอนเทนเนอร์ BitLocker ที่ทำงานเหมือนกับคอนเทนเนอร์ที่เข้ารหัสที่คุณสามารถสร้างด้วยผลิตภัณฑ์เช่น TrueCrypt หรือ Veracrypt มันเป็นการเรียกชื่อผิดเล็กน้อย แต่คุณสามารถบรรลุผลที่คล้ายกันได้ BitLocker ทำงานโดยการเข้ารหัสไดรฟ์ทั้งหมด นั่นอาจเป็นไดรฟ์ระบบของคุณไดรฟ์ทางกายภาพอื่นหรือฮาร์ดไดรฟ์เสมือน (VHD) ที่มีอยู่เป็นไฟล์และติดตั้งใน Windows

ที่เกี่ยวข้อง: วิธีสร้างไฟล์คอนเทนเนอร์ที่เข้ารหัสด้วย BitLocker บน Windows

ความแตกต่างส่วนใหญ่มีความหมาย ในผลิตภัณฑ์การเข้ารหัสอื่น ๆ คุณมักจะสร้างคอนเทนเนอร์ที่เข้ารหัสแล้วต่อเชื่อมเป็นไดรฟ์ใน Windows เมื่อคุณจำเป็นต้องใช้ ด้วย BitLocker คุณจะสร้างฮาร์ดไดรฟ์เสมือนจากนั้นเข้ารหัส หากคุณต้องการใช้คอนเทนเนอร์แทนที่จะพูดเข้ารหัสระบบหรือไดรฟ์จัดเก็บที่มีอยู่ของคุณโปรดดูคำแนะนำในการสร้างไฟล์คอนเทนเนอร์ที่เข้ารหัสด้วย BitLocker

สำหรับบทความนี้เราจะมุ่งเน้นไปที่การเปิดใช้งาน BitLocker สำหรับไดรฟ์ทางกายภาพที่มีอยู่

วิธีเข้ารหัสไดรฟ์ด้วย BitLocker

ที่เกี่ยวข้อง: วิธีใช้ BitLocker โดยไม่ใช้ Trusted Platform Module (TPM)

ในการใช้ BitLocker สำหรับไดรฟ์สิ่งที่คุณต้องทำจริงๆคือเปิดใช้งานเลือกวิธีการปลดล็อก - รหัสผ่าน PIN และอื่น ๆ จากนั้นตั้งค่าตัวเลือกอื่น ๆ อย่างไรก็ตามก่อนที่เราจะเข้าสู่เรื่องนี้คุณควรทราบว่าการใช้การเข้ารหัสแบบเต็มดิสก์ของ BitLocker บนไดรฟ์ระบบโดยทั่วไปต้องใช้คอมพิวเตอร์ที่มี Trusted Platform Module (TPM) บนเมนบอร์ดพีซีของคุณ ชิปนี้สร้างและจัดเก็บคีย์การเข้ารหัสที่ BitLocker ใช้ หากพีซีของคุณไม่มี TPM คุณสามารถใช้นโยบายกลุ่มเพื่อเปิดใช้งานโดยใช้ BitLocker โดยไม่ต้องใช้ TPM มีความปลอดภัยน้อยกว่าเล็กน้อย แต่ยังปลอดภัยกว่าการไม่ใช้การเข้ารหัสเลย

คุณสามารถเข้ารหัสไดรฟ์ที่ไม่ใช่ระบบหรือไดรฟ์แบบถอดได้โดยไม่ต้องใช้ TPM และไม่ต้องเปิดใช้งานการตั้งค่านโยบายกลุ่ม

คุณควรทราบด้วยว่าการเข้ารหัสไดรฟ์ BitLocker มีสองประเภทที่คุณสามารถเปิดใช้งานได้:

  • BitLocker Drive Encryption : บางครั้งเรียกว่า BitLocker ซึ่งเป็นคุณสมบัติ "การเข้ารหัสแบบเต็มดิสก์" ที่เข้ารหัสไดรฟ์ทั้งหมด เมื่อพีซีของคุณบูตเครื่องบูต Windows จะโหลดจากพาร์ติชัน System Reserved และตัวบูตจะแจ้งให้คุณทราบถึงวิธีการปลดล็อกของคุณตัวอย่างเช่นรหัสผ่าน BitLocker จะถอดรหัสไดรฟ์และโหลด Windows การเข้ารหัสจะมีความโปร่งใสไฟล์ของคุณจะปรากฏเหมือนปกติในระบบที่ไม่ได้เข้ารหัส แต่จะถูกเก็บไว้ในดิสก์ในรูปแบบที่เข้ารหัส คุณยังสามารถเข้ารหัสไดรฟ์อื่น ๆ นอกเหนือจากไดรฟ์ระบบได้อีกด้วย
  • BitLocker To Go : คุณสามารถเข้ารหัสไดรฟ์ภายนอกเช่นแฟลชไดรฟ์ USB และฮาร์ดไดรฟ์ภายนอกด้วย BitLocker To Go คุณจะได้รับแจ้งเกี่ยวกับวิธีการปลดล็อกตัวอย่างเช่นรหัสผ่านเมื่อคุณเชื่อมต่อไดรฟ์เข้ากับคอมพิวเตอร์ หากใครไม่มีวิธีปลดล็อกก็จะไม่สามารถเข้าถึงไฟล์ในไดรฟ์ได้

ใน Windows 7 ถึง 10 คุณไม่ต้องกังวลกับการเลือกด้วยตัวเอง Windows จะจัดการสิ่งต่างๆเบื้องหลังและอินเทอร์เฟซที่คุณจะใช้เพื่อเปิดใช้งาน BitLocker ก็ดูไม่แตกต่างกัน หากคุณปลดล็อกไดรฟ์ที่เข้ารหัสบน Windows XP หรือ Vista คุณจะเห็นการสร้างแบรนด์ BitLocker to Go ดังนั้นเราคิดว่าอย่างน้อยคุณควรรู้เกี่ยวกับเรื่องนี้

ดังนั้นเมื่อไม่ได้ผลเรามาดูกันว่ามันใช้งานได้จริงอย่างไร

ขั้นตอนที่หนึ่ง: เปิดใช้งาน BitLocker สำหรับไดรฟ์

วิธีที่ง่ายที่สุดในการเปิดใช้งาน BitLocker สำหรับไดรฟ์คือคลิกขวาที่ไดรฟ์ในหน้าต่าง File Explorer จากนั้นเลือกคำสั่ง“ เปิด BitLocker” หากคุณไม่เห็นตัวเลือกนี้ในเมนูบริบทแสดงว่าคุณไม่มี Windows รุ่น Pro หรือ Enterprise และคุณจะต้องค้นหาโซลูชันการเข้ารหัสอื่น

ง่ายๆแค่นั้นเอง ตัวช่วยที่ปรากฏขึ้นจะแนะนำคุณตลอดการเลือกตัวเลือกต่างๆซึ่งเราได้แยกย่อยออกเป็นส่วนต่างๆที่ตามมา

ขั้นตอนที่สอง: เลือกวิธีการปลดล็อก

หน้าจอแรกที่คุณจะเห็นในวิซาร์ด“ BitLocker Drive Encryption” ช่วยให้คุณเลือกวิธีปลดล็อกไดรฟ์ได้ คุณสามารถเลือกวิธีการปลดล็อกไดรฟ์ได้หลายวิธี

หากคุณกำลังเข้ารหัสไดรฟ์ระบบของคุณบนคอมพิวเตอร์ที่  ไม่มี TPM คุณสามารถปลดล็อกไดรฟ์ด้วยรหัสผ่านหรือไดรฟ์ USB ที่ทำหน้าที่เป็นกุญแจ เลือกวิธีการปลดล็อกของคุณและทำตามคำแนะนำสำหรับวิธีนั้น (ป้อนรหัสผ่านหรือเสียบไดรฟ์ USB ของคุณ)

ที่เกี่ยวข้อง: วิธีเปิดใช้งาน Pre-Boot BitLocker PIN บน Windows

หากคอมพิวเตอร์ของคุณไม่ต้อง TPM คุณจะเห็นตัวเลือกเพิ่มเติมสำหรับการปลดล็อคไดรฟ์ระบบของคุณ ตัวอย่างเช่นคุณสามารถกำหนดค่าการปลดล็อกอัตโนมัติเมื่อเริ่มต้นระบบ (โดยที่คอมพิวเตอร์ของคุณจับคีย์การเข้ารหัสจาก TPM และถอดรหัสไดรฟ์โดยอัตโนมัติ) คุณยังสามารถใช้ PIN แทนรหัสผ่านหรือแม้กระทั่งเลือกตัวเลือกไบโอเมตริกซ์เช่นลายนิ้วมือ

หากคุณกำลังเข้ารหัสไดรฟ์ที่ไม่ใช่ระบบหรือไดรฟ์แบบถอดได้คุณจะเห็นเพียงสองตัวเลือก (ไม่ว่าคุณจะมี TPM หรือไม่ก็ตาม) คุณสามารถปลดล็อกไดรฟ์ด้วยรหัสผ่านหรือสมาร์ทการ์ด (หรือทั้งสองอย่าง)

ขั้นตอนที่สาม: สำรองคีย์การกู้คืนของคุณ

BitLocker มีคีย์การกู้คืนที่คุณสามารถใช้เพื่อเข้าถึงไฟล์ที่เข้ารหัสของคุณหากคุณทำคีย์หลักของคุณหายเช่นหากคุณลืมรหัสผ่านหรือพีซีที่มี TPM ตายและคุณต้องเข้าถึงไดรฟ์จากระบบอื่น

คุณสามารถบันทึกคีย์ลงในบัญชี Microsoft ไดรฟ์ USB ไฟล์หรือแม้แต่พิมพ์ ตัวเลือกเหล่านี้เหมือนกันไม่ว่าคุณจะเข้ารหัสระบบหรือไดรฟ์ที่ไม่ใช่ระบบ

หากคุณสำรองคีย์การกู้คืนไว้ในบัญชี Microsoft ของคุณคุณสามารถเข้าถึงคีย์ในภายหลังได้ที่ //onedrive.live.com/recoverykey หากคุณใช้วิธีการกู้คืนวิธีอื่นอย่าลืมเก็บคีย์นี้ไว้อย่างปลอดภัยหากมีคนเข้าถึงได้พวกเขาสามารถถอดรหัสไดรฟ์ของคุณและข้ามการเข้ารหัสได้

คุณยังสามารถสำรองคีย์การกู้คืนได้หลายวิธีหากคุณต้องการ เพียงคลิกแต่ละตัวเลือกที่คุณต้องการใช้แล้วทำตามคำแนะนำ เมื่อคุณบันทึกคีย์การกู้คืนเสร็จแล้วให้คลิก“ ถัดไป” เพื่อดำเนินการต่อ

หมายเหตุ : หากคุณกำลังเข้ารหัส USB หรือไดรฟ์แบบถอดได้อื่น ๆ คุณจะไม่มีตัวเลือกในการบันทึกคีย์การกู้คืนลงในไดรฟ์ USB คุณสามารถใช้ตัวเลือกใดก็ได้จากสามตัวเลือกอื่น ๆ

ขั้นตอนที่สี่: เข้ารหัสและปลดล็อกไดรฟ์

BitLocker จะเข้ารหัสไฟล์ใหม่โดยอัตโนมัติเมื่อคุณเพิ่ม แต่คุณต้องเลือกว่าจะเกิดอะไรขึ้นกับไฟล์ที่อยู่ในไดรฟ์ของคุณ คุณสามารถเข้ารหัสไดรฟ์ทั้งหมดรวมทั้งพื้นที่ว่างหรือเพียงแค่เข้ารหัสไฟล์ดิสก์ที่ใช้แล้วเพื่อเร่งกระบวนการ ตัวเลือกเหล่านี้ยังเหมือนกันไม่ว่าคุณจะเข้ารหัสระบบหรือไดรฟ์ที่ไม่ใช่ระบบ

ที่เกี่ยวข้อง: วิธีการกู้คืนไฟล์ที่ถูกลบ: สุดยอดคู่มือ

หากคุณกำลังตั้งค่า BitLocker บนพีซีเครื่องใหม่ให้เข้ารหัสเฉพาะพื้นที่ดิสก์ที่ใช้เท่านั้นซึ่งเร็วกว่ามาก หากคุณตั้งค่า BitLocker บนพีซีที่คุณใช้งานมาระยะหนึ่งคุณควรเข้ารหัสไดรฟ์ทั้งหมดเพื่อให้แน่ใจว่าไม่มีใครสามารถกู้คืนไฟล์ที่ถูกลบได้

เมื่อคุณได้ทำการเลือกแล้วให้คลิกปุ่ม“ ถัดไป”

ขั้นตอนที่ห้า: เลือกโหมดการเข้ารหัส (Windows 10 เท่านั้น)

หากคุณใช้ Windows 10 คุณจะเห็นหน้าจอเพิ่มเติมที่ให้คุณเลือกวิธีการเข้ารหัส หากคุณใช้ Windows 7 หรือ 8 ให้ข้ามไปขั้นตอนถัดไป

Windows 10 แนะนำวิธีการเข้ารหัสใหม่ชื่อ XTS-AES ให้ความสมบูรณ์และประสิทธิภาพที่เพิ่มขึ้นเหนือ AES ที่ใช้ใน Windows 7 และ 8 หากคุณทราบว่าไดรฟ์ที่คุณกำลังเข้ารหัสนั้นจะใช้กับพีซี Windows 10 เท่านั้นให้เลือกตัวเลือก "โหมดการเข้ารหัสใหม่" หากคุณคิดว่าคุณอาจจำเป็นต้องใช้ไดรฟ์กับ Windows รุ่นเก่าในบางจุด (สำคัญอย่างยิ่งหากเป็นไดรฟ์แบบถอดได้) ให้เลือกตัวเลือก“ โหมดที่เข้ากันได้”

ไม่ว่าคุณจะเลือกตัวเลือกใด (และอีกครั้งสิ่งเหล่านี้เหมือนกันสำหรับไดรฟ์ระบบและไดรฟ์ที่ไม่ใช่ระบบ) ไปข้างหน้าและคลิกปุ่ม "ถัดไป" เมื่อคุณทำเสร็จแล้วและในหน้าจอถัดไปให้คลิกปุ่ม "เริ่มการเข้ารหัส"

ขั้นตอนที่หก: เสร็จสิ้น

กระบวนการเข้ารหัสอาจใช้เวลาตั้งแต่วินาทีถึงนาทีหรือนานกว่านั้นขึ้นอยู่กับขนาดของไดรฟ์จำนวนข้อมูลที่คุณเข้ารหัสและคุณเลือกเข้ารหัสพื้นที่ว่างหรือไม่

หากคุณกำลังเข้ารหัสไดรฟ์ระบบของคุณคุณจะได้รับแจ้งให้เรียกใช้การตรวจสอบระบบ BitLocker และรีสตาร์ทระบบของคุณ ตรวจสอบให้แน่ใจว่าได้เลือกตัวเลือกแล้วคลิกปุ่ม“ ดำเนินการต่อ” จากนั้นรีสตาร์ทพีซีของคุณเมื่อถูกถาม หลังจากพีซีบู๊ตสำรองข้อมูลเป็นครั้งแรก Windows จะเข้ารหัสไดรฟ์

หากคุณกำลังเข้ารหัสไดรฟ์ที่ไม่ใช่ระบบหรือแบบถอดได้ Windows ไม่จำเป็นต้องรีสตาร์ทและการเข้ารหัสจะเริ่มขึ้นทันที

ไม่ว่าคุณจะเข้ารหัสไดรฟ์ประเภทใดคุณสามารถตรวจสอบไอคอน BitLocker Drive Encryption ในซิสเต็มเทรย์เพื่อดูความคืบหน้าและคุณสามารถใช้คอมพิวเตอร์ต่อไปได้ในขณะที่ไดรฟ์กำลังเข้ารหัสซึ่งจะทำงานได้ช้าลง

การปลดล็อกไดรฟ์ของคุณ

หากไดรฟ์ระบบของคุณเข้ารหัสการปลดล็อกจะขึ้นอยู่กับวิธีที่คุณเลือก (และพีซีของคุณมี TPM หรือไม่) หากคุณมี TPM และเลือกที่จะปลดล็อกไดรฟ์โดยอัตโนมัติคุณจะไม่สังเกตเห็นอะไรที่แตกต่างออกไปคุณเพียงแค่บูตเข้าสู่ Windows โดยตรงเช่นเคย หากคุณเลือกวิธีการปลดล็อกอื่น Windows จะแจ้งให้คุณปลดล็อกไดรฟ์ (โดยพิมพ์รหัสผ่านเชื่อมต่อไดรฟ์ USB หรืออะไรก็ได้)

ที่เกี่ยวข้อง: วิธีการกู้คืนไฟล์ของคุณจากไดรฟ์ที่เข้ารหัสด้วย BitLocker

และหากคุณทำวิธีปลดล็อกหาย (หรือลืม) ให้กด Escape บนหน้าจอพร้อมท์เพื่อป้อนคีย์การกู้คืนของคุณ

หากคุณเข้ารหัสไดรฟ์ที่ไม่ใช่ระบบหรือแบบถอดได้ Windows จะแจ้งให้คุณปลดล็อกไดรฟ์เมื่อคุณเข้าใช้งานครั้งแรกหลังจากเริ่ม Windows (หรือเมื่อคุณเชื่อมต่อกับพีซีหากเป็นไดรฟ์แบบถอดได้) พิมพ์รหัสผ่านหรือใส่สมาร์ทการ์ดจากนั้นไดรฟ์ควรปลดล็อกเพื่อให้คุณใช้งานได้

ใน File Explorer ไดรฟ์ที่เข้ารหัสจะแสดงล็อคสีทองที่ไอคอน (ทางด้านซ้าย) ล็อคนั้นจะเปลี่ยนเป็นสีเทาและปรากฏว่าปลดล็อคเมื่อคุณปลดล็อกไดรฟ์ (ทางด้านขวา)

คุณสามารถจัดการไดรฟ์ที่ล็อก - เปลี่ยนรหัสผ่านปิด BitLocker สำรองคีย์การกู้คืนหรือดำเนินการอื่น ๆ ได้จากหน้าต่างแผงควบคุม BitLocker คลิกขวาที่ไดรฟ์ที่เข้ารหัสแล้วเลือก“ จัดการ BitLocker” เพื่อไปที่หน้านั้นโดยตรง

เช่นเดียวกับการเข้ารหัสทั้งหมด BitLocker เพิ่มค่าใช้จ่ายบางส่วน คำถามที่พบบ่อยอย่างเป็นทางการของ BitLocker ของ Microsoft กล่าวว่า“ โดยทั่วไปจะกำหนดค่าใช้จ่ายด้านประสิทธิภาพเป็นเปอร์เซ็นต์เดียว” หากการเข้ารหัสเป็นสิ่งสำคัญสำหรับคุณเนื่องจากคุณมีข้อมูลที่ละเอียดอ่อนตัวอย่างเช่นแล็ปท็อปที่เต็มไปด้วยเอกสารทางธุรกิจการรักษาความปลอดภัยที่เพิ่มขึ้นนั้นคุ้มค่ากับการแลกเปลี่ยนประสิทธิภาพ