آموزش فعال کردن بیت لاکر و رمز گذاری روی هارد

شاید تصمیم داشته باشید که روی کل هارد دیسک یا یک پارتیشن هارد رایانه یا لپ‌تاپ خود پسورد بگذارید. یا هارد اکسترنال خود را با رمزعبور از دسترسی غیرمجاز افراد دیگر و دزدی اطلاعات با ارزش‌تان حفظ کنید. حتی شاید بخواهید فلش درایو یا مموری کارت خود را به وسیله‌ی پسورد از دسترسی بقیه دور نگه دارید. حالا سوال شما این است که راه امن و معتبر پسورد گذاری روی هارد دیسک اکسترنال و اینترنال، SSD، کارت حافظه SD، فلش درایو و سایر رسانه‌های ذخیره‌سازی اطلاعات چیست؟ آیا نیاز به نرم‌افزار خاصی برای تعیین رمز عبور روی این درایوهاست؟ و آیا در صورت عدم دسترسی به این نرم‌افزار مشکلی برای دسترسی به اطلاعات شما پیش می‌آید؟ پاسخ تمام پرسش‌های شما را با معرفی قابلیت مفید امنیتی بیت لاکر ویندوز می‌دهیم. برای پسورد گذاری روی هارد دیسک یا سایر درایوهای خود نیازی به هیچ نرم‌افزار جانبی نیست. بلکه خود ویندوز مایکروسافت یک قابلیت قدرتمند داخلی برای این کار دارد که بیت لاکر یا BitLocker نام گرفته. بیت لاکر رایگان بوده و در صورتی که نسخه‌ی حرفه‌ای ویندوز ویستا، 7، 8 و یا 10 را داشته باشید؛ ویندوز شما به صورت تووکار مجهز به این قابلیت است و نیازی به نصب هیچ نرم افزاری ندارید. اگر ویندوز قدیمی دارید یا از نسخه‌های غیر حرفه‌ای ویندوز استفاده می‌کنید؛ پیشنهاد می‌کنیم برای استفاده از قابلیت بیت لاکر به ویندوز 10 حرفه‌ای مهاجرت کنید. بیت لاکر به صورت یک نرم‌افزار قابل نصب در دسترس نیست و بایستی ویندوز شما مجهز به بیت لاکر باشد. دقت کنید نسخه‌های خانگی (Home Edition) ویندوز فاقد این قابلیت می‌باشند.

در صورتی که اطلاعات حساسی دارید که می‌خواهید از دسترسی غیرمجاز و دزدی آن جلوگیری کنید؛ بهترین راه استفاده از دژ رمزنگاری مستحکم بیت لاکر ویندوز است.

بیت لاکر چیست؟

بیت لاکر برنامه رمزنگاری آسان-استفاده‌ی مایکروسافت برای ویندوز است که می‌تواند کل درایو شما را رمزگذاری کرده و جلوی دسترسی غیر مجاز به محتوای آن را بگیرد و از اطلاعات شما در برابر تغییرات توسط بدافزارهای سطح فریم ویر (firmware-level malware) و باج‌افزارها محافظت کند. حتما مشاهده کرده یا شنیده‌اید که اطلاعات بسیاری از افراد به دلیل آلودگی به ویروس و بدافزار و به ویژه آلودگی به باج‌افزار از دست رفته است. در صورتی‌که این افراد از قابلیت بیت لاکر استفاده می‌کردند؛ هرگز اطلاعات حساس‌شان این‌گونه در معرض تهدید قرار نمی‌گرفت.

رمزگذاری روی هارد اینترنال و رمزگذاری هارد اکسترنال

دو نوع متفاوت از رمزنگاری توسط قابلیت بیت لاکر در اختیار شما قرار دارد: یکی به کمک چیپ TPM پارتیشن‌های هارد اینترنال رایانه شما را به گونه‌ای رمزنگاری می‌کند که در صورت سرقت هارد و اتصال آن به هر سیستم دیگری به جز رایانه‌ی شما؛ محتوای آن هارد دیسک قابل خواندن نباشند. نوع دوم که به BitLocker To Go مشهور است بیشتر برای حافظه‌های جانبی خارجی نظیر هارد اکسترنال و فلش درایو مفید است. در این نوع رمزنگاری یک پسورد برای حفاظت از هارد اکسترنال یا فلش درایو شما تعیین می‌شود که در صورت از دست رفتن آن پسورد؛ امکان دسترسی به محتوای داخل هارد اکسترنال یا فلش درایو وجود نخواهد داشت.

TPM چیست؟

TPM مخفف Trusted Platform Module و به معنی ماژولی‌ست که با چک کردن مشخصات سیستم شامل سخت‌افزارها؛ نرم‌افزارها و فریم‌ویر در صورتی که تغییر اساسی ببیند و در واقع تشخیص دهد این سیستم اصلی نیست؛ امکان بوت را محدود کرده و دسترسی به اطلاعات روی هارد دیسک را می‌بندد. این ویژگی هم جلوی دسترسی هکرها و بدافزارها به سیستم را می‌گیرد و هم به عنوان یک ویژگی امنیتی اجازه نمی‌دهد کسی با دزدیدن هارد دیسک شما؛ آن را روی یک سیستم دیگر بوت کند. به این فرآیند چیپ TPM اصطلاحا authentication check می‌گویند. برای رمزنگاری کامل هارد دیسک اینترنال (full-disk encryption) داشتن چیپ TPM اجباری است. این چیپ کلیدهای رمزنگاری (encryption keys) را تولید و ذخیره‌سازی می‌کند و به همین علت وجودش ضروری‌ست. ضمن این‌که امکان انتقال چیپ TPM وجود ندارد. یعنی اگر چیپ TPM مادربرتان را به مادربرد دیگری منتقل و یا چیپ TPM لپ‌تاپ‌تان را با لپ‌تاپ دیگری جابجا کنید؛ امکان دور زدن و دسترسی به محتوای هارد وجود ندارد. چیپ TPM تشخیص می‌دهد که سیستم تغییر کرده و جلوی دسترسی به محتوای هارد دیسک را می‌بندد.

امکان رمزنگاری بدون TPM نیز وجود دارد اما امنیت آن به مراتب کمتر از رمزنگاری با حضور TPM است.

آموزش فعال کردن بیت لاکر

برای دسترسی به تنظیمات بیت لاکر بسته به نسخه‌های ویندوز شما (ویستا، 7 یا 8 یا 10) باید به کنترل پنل ویندوز بروید. تنظیمات بیت لاکر در کنترل پنل ویندوز قرار دارد اما از آنجا که در هر نسخه‌ی ویندوز محل آن متفاوت است؛ وارد جزئیات نمی‌شویم و از قابلیت جستجوی ویندوز کمک می‌گیریم. در کنترل پنل ویندوز در قسمت جستجو BitLocker را بنویسید و ویندوز شما را به طور خودکار به قسمت تنظیمات و مدیریت بیت لاکر هدایت می‌کند. مسیر را می‌توانید از اینجا یاد بگیرید تا همیشه با چند کلیک به این قسمت دسترسی داشته باشید. حالا بایستی وارد قسمت Manage BitLocker بشوید و روی Turn on BitLocker کلیک کنید. حالا بیت لاکر شروع به بررسی سیستم شما می‌کند تا امکان فعال کردن بیت لاکر روی سیستم شما را به محک بگذارد.

رمزگذاری یک پارتیشن هارد

همان‌طور که در تصویر مشاهده می‌کنید، ویندوز به شما قابلیت انتخاب پارتیشنی که قصد رمزنگاری آن را دارید می‌دهد؛ همچنین در آن پایین Removable data drives – BitLocker To Go را مشاهده می‌کنید که در صورتی‌که فلش درایو و هارد اکسترنال و هر نوع حافظه‌ی جانبی به رایانه‌ی خود متصل کنید؛ آنها را در این قسمت مشاهده خواهید کرد. قابلیت BitLocker To Go قابلیتی‌ست که می‌توانید یک حافظه‌ی جانبی را به گونه‌ای رمزنگاری کنید که روی سیستم‌های متفاوت قابل دسترسی باشد.

وقتی روی Turn on BitLocker کلیک کنید ویندوز ابتدا به بررسی سیستم شما می‌پردازد. حالا بایستی TPM را فعال کنید. البته ویندوز به صورت خودکار این کار را خواهد کرد ولی باید به چند نکته توجه کنید: برای فعال شدن TPM کامپیوتر بایستی یک بار به طور کامل Shutdown شود و دقت کنید که هرگز نباید حافظه‌های جانبی نظیر فلش، کارت حافظه و هارد اکسترنال به آن متصل باشد و حتی CD و DVD هم داخل دستگاه نباشد. پس از خاموش و روشن شدن رایانه TPM فعال شده و حالا فرآیند اصلی آغاز می‌شود. دقت کنید ممکن است قبل از بالا آمدن ویندوز در دفعه‌ی نخست به شما پیغام your system was changed نشان داده شود و نیاز به reboot مجدد کامپیوتر باشد. در نهایت باید پنجره‌ی زیر را مشاهده کنید تا مطمئن شوید TPM با موفقیت فعال شده.

حالا فرآیند رمزنگاری فعال شده و شما دو گزینه خواهید داشت: انتخاب یک رمز عبور برای دسترسی به هارد دیسک و یا استفاده از یک فلش درایو به عنوان کلید بازکننده‌ی قفل هارد دیسک. سپس به شما امکان ذخیره‌ی recovery key داده می‌شود که در پایان این مقاله به آن پرداختیم و داشتن چند کپی از آن در جاهای مختلف اهمیت بسیار زیادی دارد.

سپس شما دو گزینه در اختیار خواهید داشت: رمزنگاری قسمتی از فضای هارد که اطلاعات ذخیره شده، یعنی رمزنگاری کل داده‌های موجود در هارد و یا انتخاب گزینه‌ی رمزنگاری کل هارد دیسک که فضاهای خالی و استفاده نشده را نیز رمزنگاری کند. در گزینه‌ی دوم هکرها حتا امکان حدس زدن حجم فایل‌های روی هارد را نخواهند داشت در صورتی‌که با انتخاب گزینه‌ی اول می‌توان با کسر فضای خالی از حجم کل هارد دیسک، فهمید چه میزان اطلاعات روی این هارد ذخیره شده است.

تنها نکته‌ی باقیمانده این است که اگر از ویندوز 10 استفاده می‌کنید در پایان این مراحل از شما می‌پرسد که می‌خواهید از روش رمزنگاری New یا Compatible استفاده کنید. فرق آن این است که Compatible با نسخه‌های قدیمی‌تر ویندوز سازگار است ولی اگر New را انتخاب کنید فقط در ویندوز 10 قادر به بازگشایی این هارد دیسک خواهید بود.

در پایان وقتی در system tray به شما پیام داده شد که “encryption will begin after computer restart” بایستی رایانه‌ی خود را دستی ریست کنید تا فرآیند به پایان برسد. فرآیند رمزنگاری هارد با توجه به ظرفیت آن می‌تواند متفاوت باشد ولی حداقل چند ساعتی طول خواهد کشید.

رمزگذاری روی فلش درایو

برای پسورد گذاشتن روی فلش درایو و یا هارد اکسترنال و یا هر حافظه‌ی جانبی دیگری همانند کارت حافظه SD، تنها کافی‌ست در ابتدای شیوه‌ای که در بالا توضیح دادیم؛ به جای پارتیشن‌های هارد اینترنال رایانه‌تان؛ در قسمت پایین و آنجایی که نوشته Removable data drives – BitLocker To Go درایو مورد نظرتان را انتخاب کنید و روی Turn on BitLocker همان درایو کلیک کنید. سایر مراحل هیچ تفاوتی با آنچه که در بالا گفتیم ندارد.

رمزگذاری هارد بدون چیپ TPM

در صورتی‌که می‌خواهید بدون چیپ TPM از رمزنگاری بیت لاکر استفاده کنید باید تنظیمات Group Policy ویندوز را تغییر دهید. به این منظور:

• کلید ویندوز (کلیدی که عکس پنجره ویندوز روی آن است) را به همراه R فشار دهید تا پنجره Run باز شود. تایپ کنید: gpedit.msc و روی OK کلیک کنید.
• حالا در پنجره‌ای که باز شده از طریق قسمت چپ به مسیر زیر بروید:
  Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
• روی Operating System Drives که کلیک کردید، در قسمت راست گزینه‌هایی باز می‌شوند. از بین آنها روی “Require additional authentication at startup” دو بار کلیک کنید.
• در پنجره‌ی “Require additional authentication at startup” که برای شما باز شده روی گزینه‌ی “Enabled” کلیک کنید و دقت کنید در زیر آن قسمت تیک “Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive)” حتمن خورده باشد و سپس روی OK کلیک کنید تا تنظیمات شما ذخیره شوند.
• پس از ذخیره‌ی تنظیمات پنجره‌ی Group Policy Editor را ببندید. حالا می‌توانید روی هر پارتیشن و هر هارد دیسکی بدون نیاز به TPM رمزنگاری کنید.
• حالا بایستی وارد قسمت Manage BitLocker در کنترل پنل ویندوز شوید و روی Turn on BitLocker آن پارتیشن یا هارد دیسکی که می‌خواهید کلیک کنید.
• از آنجا که TPM‌ ندارید؛ نیاز هست تا یکی از دو روش انتخاب رمز عبور یا استفاده از یک فلش درایو به عنوان PIN را انتخاب کنید.

کدام روش برای رمزگذاری هارد مناسب‌تر است؟ پسورد گذاری یا فلش درایو پشتیبان؟

حالا شاید سوال برای‌تان پیش آمده باشد که بهتر است کدام روش را انتخاب کنید؟ یک رمز عبور برای دسترسی به هارد تعیین کنید یا یک فلش درایو را به عنوان قفل سخت‌افزاری یا همان PIN هارد دیسک خود تعیین کنید و برای هر بار دسترسی به محتوای هارد نیاز باشد تا آن فلش را نیز به سیستم متصل کرد؟ اینجا تصمیم با خودتان و باید در نظر بگیرید که در یک طرف هم ریسک فراموش شدن و گم کردن رمز عبور را دارید و در طرف دیگر هم ریسک گم شدن فلش درایو. البته در صورت سوختن و خراب شدن فلش درایو کلینیک هارد ایران خدمات بازیابی اطلاعات فلش درایو و تعمیر فلش را ارائه می‌کند. ولی به هر حال خودتان باید تصمیم بگیرید که ریسک کدام برای شما کمتر است؟

نکته‌ی خیلی مهمی که نباید هرگز فراموش کنید این‌ست که از recovery key خود در چند جا کپی داشته باشید.

ویندوز به شما سه گزینه برای ذخیره‌ی recovery key می‌دهد تا در مواقعی که درچار مشکل شدید بتوانید از از این کلید بازیابی استفاده کنید:

• ذخیره recovery key در حساب آنلاین Microsoft account شما
• ذخیره recovery key در هارد یا فلش داریو
• چاپ recovery key و نگهداری آن در مکانی امن

شما حداقل باید دو گزینه را انتخاب کنید و پیشنهاد ما این‌ست که از recovery key خود چندین کپی تهیه کرده و در چند هارد و فلش گوناگون نگهداری کنید.