رمز گذاری روی درایو ویندوز با بیت لاکر
امنیت اطلاعات و ارتباطات سطوح مختلفی دارد و در هر سطح برای حفظ آن نیاز به ابزارها و نرم افزارهای خاص آن سطح میباشد. مثلا در شبکه برای جلوگیری از برقراری ارتباط های ناخواسته (بدون مجوز) از فایروال استفاده میشود و یا در سیستم عامل برای جلوگیری از آلوده شدن سیستم به انواع بد افزار ها از آنتی ویروس استفاده میشود و ده ها مورد دیگر که نمیخواهم به تک تک آنها بپردازم.
حال بگذارید یک سوال طرح کنم اگر سارق یا هکری بتواند به صورت فیزیکی به سیستم شما دسترسی پیدا کند و بخواهد با استفاده از حملات آفلاین مثل دور زدن رمز عبور ویندوز یا جابجا کردن دیسک ذخیره ساز، به اطلاعات و داده های محرمانه شما دست درازی کند، در آن زمان چگونه باید از امنیت اطلاعات و داده های محرمانه خود حفاظت کنید؟
اگر پاسخ شما استفاده از سیستم های رمزنگاری (Cryptosystem) برای رمز گذاری (Encryption) کردن اطلاعات و داده های محرمانه میباشد کاملا صحیح پاسخ داده اید. در ادامه همراه با نووا بلاگ باشید تا نحوه رمز گذاری کردن درایو ویندوز را با برنامه BitLocker یاد بگیرید.
پیشنهاد: اگر میخواهید از نرم افزار BitLocker برای رمزگذاری کردن روی درایو های عادی مثل USB Flash و … استفاده کنید بهتر است به آموزش رمز گذاری روی درایو های کامپیوتر با BitLocker مراجعه کنید.
فرایند رمز گذاری درایو ویندوز با BitLocker
مراحل فعال کردن BitLocker روی درایو ویندوز با دیگر درایو های کامپیوتر کاملا متفاوت است چراکه اطلاعات و تنظیمات مربوط به Boot در درایو ویندوز ذخیره میشود و با رمز گذاری کردن این درایو این اطلاعات نیز Encrypt و غیر قابل دسترس خواهد شد از اینرو برای فعال کردن BitLocker روی درایو ویندوز باید مراحل متفاوتی را پشت سر بگذارید که برای درایو های عادی نیازی به انجام آنها ندارید.
چگونه از BitLocker برای رمز گذاری کردن درایو ویندوز استفاده کنیم؟ به طور کلی برای رمز گذاری کردن روی درایو ویندوز دو روش وجود دارد:
- فعال سازی BitLocker روی درایو ویندوز با استفاده از TPM
- فعال سازی BitLocker روی درایو ویندوز بدون داشتن TPM
فعال کردن BitLocker روی درایو ویندوز بدون داشتن TPM
اگر تراشه TPM را روی سیستم خود ندارید جای برای نگرانی نیست چراکه میتوانید درایو ویندوز را بدون داشتن TPM رمز گذاری کرده و از آن با Protector های همچون Password یا Startup Key حفاظت کنید.
معمولا زمانیکه میخواهید درایو ویندوز را بدون TPM رمز گذاری کنید با خطای زیر مواجه میشود:
This device cannot use a Trusted Platform Module. Your administrator must set the “Allow BitLocker without a compatible TPM” option in the “Required additional authentication at startup” policy for OS volumes
برای رفع این مشکل و فعال سازی BitLocker روی درایو ویندوز باید مراحل زیر را دنبال کنید:
تنظیمات Group Policy برای استفاده از BitLocker بدون TPM
ابتدا در منوی استارت یا پنجره Run کلمه gpedit.msc را جستجو کنید سپس روی آیکون Group Policy Editor کلیک کرده و وارد مسیر زیر شوید:
Computer Configuration\ Administrative Template\ Windows Components\ BitLocker Drive Encryption\ Operating System Drive\
در مسیر Operating System Drive روی گزینه Require additional authentication at startup دوبار کلیک کنید تا بتوانید این Policy را فعال کنید.
پس از نمایش پنجره Require additional authentication at startup تیک گزینه Enable را بگذارید و روی گزینه Apply و Ok کلیک کنید.
حال میتوانید درایو ویندوز را بدون مشکل و با Protector های مثل رمز عبور (Password) یا Startup Key رمز گذاری کنید.
فرایند فعال سازی BitLocker روی داریو ویندوز
حال نوبت به فعال سازی BitLocker روی درایو ویندوز میرسد، برای این منظور وارد My Computer شده و روی درایو ویندوز (درایو C:\) راست کلیک کنید از منوی باز شده گزینه Turn On BitLocker را انتخاب کنید.
اندکی منتظر بمانید تا وارد پنجره Choose how to unlock your drive at startup شوید. در این بخش میتوانید Protector مورد نظر خود را برای دسترسی به درایو ویندوز را مشخص کنید.
در این بخش شما میتوانید از دو Protector مختلف برای حفاظت از درایو ویندوز استفاده کنید.
- استفاده از رمز عبور (Enter a password) برای دسترسی و وارد شدن به سیستم عامل ویندوز
- استفاده از Startup Key یا Insert a USB flash drive برای دسترسی و وارد شدن به سیستم عامل ویندوز (نیاز به یک USB Flash برای ورود به ویندوز دارید)
اگر گزینه Insert a USB flash drive را انتخاب کنید باید از یک USB Flash در هنگام روشن نمودن کامپیوتر برای ورود به سیستم عامل ویندوز استفاده کنید. در این روش یک External Key در USB Flash ذخیره میشود و با متصل کردن فلش به سیستم کلید از روی فلش خوانده شده و مجوز دسترسی به درایو ویندوز صادر میشود.
اگر از گزینه Enter a password استفاده کنید میبایست قبل از ورود به ویندوز رمز عبور انتخاب شده خود را وارد کنید. به طور کلی هر دو گزینه مناسب میباشند اما من به شما رمز عبور را پیشنهاد میدهم چراکه برای هر بار ورود به ویندوز نیاز به متصل کردن فلش ندارید و فقط باید رمز عبور خود را وارد کنید.
روی گزینه Enter a password کلیک کرده و در کادر Enter your password رمز عبور خود را وارد کنید و در کادر Reenter your password رمز عبور وارد شده را تکرار کنید و روی Next کلیک کنید.
ذخیره کلید بازیابی برای زمان فراموشی رمز عبور
ذخیره کلید بازیابی (Recovery Key) بسیار مهم و پر اهمیت میباشد چراکه در صورت فراموشی رمز عبور خود میبایست از همین کلید بازیابی استفاده کنید تا بتوانید به این درایو رمز گذاری شده دسترسی پیدا کنید.
برای ذخیره کلید بازیابی چهار گزینه پیش روی شماست:
- Save to your Microsoft account (ذخیره کلید بازیابی در حساب مایکروسافت)
- Save to USB flash drive (ذخیره کلید بازیابی در یک USB Flash)
- Save to file (ذخیره کلید بازیابی در یکی از درایو های کامپیوتر)
- Print the recovery key (پرینت گرفتن از کلید بازیابی)
بهترین حالت ذخیره کلید بازیابی در یک USB Flash میباشد، پس از ذخیره کلید با پیام Your recovery key has been saved مواجه خواهید شد. سپس میتوانید روی گزینه Next کلیک کنید.
چه مقدار از فضای درایو رمز گذاری شود
در بخش choose how much of your drive to encrypt باید فضای که میخواهید رمز گذاری کنید را مشخص کنید. اگر گزینه Encrypt Used disk space only را انتخاب کنید فقط فضای Encrypt میشود که در آنجا فایل یا داده وجود داشته باشد در این حالت سرعت رمز گذاری نسبت به گزینه دوم بیشتر میباشد.
اگر گزینه دوم را انتخاب کنید (Encrypt entire drive) کل درایو ویندوز به صورت یکجا رمز گذاری شده و زمان بیشتری را باید صرف رمز گذاری درایو ویندوز کنید.
به نظر من گزینه Encrypt used disk space only بهترین انتخاب میباشد چراکه با سرعت بیشتری درایو سیستم عامل ویندوز رمز گذاری میشود.
انتخاب متد الگوریتم رمز گذاری
در بخش Chosse which encryption method to use باید متد الگوریتم رمز گذاری را انتخاب کنید. بهترین گزینه برای درایو های ثابت (مثل درایو ویندوز) همان متد XTS میباشد. برای انتخاب متد AES-XTS باید همان گزینه New encryption mode را انتخاب کنید. پس از انتخاب روی گزینه Next کلیک کنید.
پس از کلیک بر روی Next به مرحله Are you ready to encrypt this drive خواهید رسید که باید تیک گزینه Run BitLocker System check گذاشته شده باشد و روی Continue کلیک کنید.
تیک گزینه Run BitLocker system check انجام صحیح فرایند کلید های رمز گذاری و بازیابی را قبل از شروع Encrypt کردن درایو تضمین میکند.
پس از کلیک بر روی Continue با پیام ریستارت کردن سیستم مواجه خواهید شد که باید روی گزینه Restart کلیک کنید.
توجه کنید اگر سیستم خود را ریستارت کردید و پس از بالا آمدن ویندوز با خطای تایید نشدن Recovery Key یا Startup Key مواجه شدید میتوانید فرایند رمز گذاری را بدون گذاشتن تیک Run BitLocker system check انجام دهید.
هشدار: در صورتیکه فرایند رمز گذاری درایو ویندوز را بدون گذاشتن تیک Run BitLocker system check انجام دادید کلیه عواقب آن بر عهده خود شما میباشد. (امکان از دست رفتن اطلاعات ذخیره شده در ویندوز خیلی کمه)
پس از اتمام فرایند رمز گذاری درایو ویندوز با پیام Encryption of C: is complete مواجه خواهید شد. و بعد از ریستارت سیستم باید رمز عبور یا USB Flash خود را برای ورود به سیستم عامل ویندوز وارد کنید.
همانطور که در تصویر بالا مشاهده میکنید در این مرحله باید رمز عبور درایو Encrypt شده ویندوز را وارد کنید و سپس با فشردن کلید Enter وارد سیستم عامل ویندوز شوید.
رمز گذاری کردن درایو ویندوز با TPM
بهترین و امن ترین روش برای رمز گذاری کردن درایو ویندوز با نرم افزار BitLocker استفاده از تراشه TPM است. TPM یک Crypto Processor ایمن است که وظیفه آن انجام عملیات Cryptography میباشد. TPM شامل ویژگیهای Key Protection و Dictionary Attack Protection و … است از اینرو استفاده از BitLocker با TPM برای رمز گذاری روی درایو ویندوز بیشترین سطح امنیت را به ارمغان می آورد.
برای فعال سازی BitLocker با TPM حتما باید تراشه مربوط به TPM را روی سیستم خود داشته باشید در غیر این صورت با خطای زیر مواجه خواهید شد:
This device cannot use a Trusted Platform Module. Your administrator must set the “Allow BitLocker without a compatible TPM” option in the “Required additional authentication at startup” policy for OS volumes
برای فعال کردن BitLocker روی درایو ویندوز ابتدا وارد محیط Windows Explorer یا همان My Computer شوید سپس روی درایو ویندوز (درایو C:\) راست کلیک کرده و گزینه Turn On BitLocker را انتخاب کنید.
در مرحله اول BitLocker وضعیت سیستم را بررسی میکند، در صورتیکه سیستم شما دارای پارتیشن System Reserved باشد BitLocker شروع به تنظیم TPM خواهد نمود اما در صورتیکه پارتیشن System Reserved از قبل ایجاد نشده باشد ابتدا BitLocker پارتیشن System Reserved را ایجاد میکند.
نکته: به صورت عادی اطلاعات Boot از روی پارتیشن ویندوز خوانده شده و سیستم عامل بالا می آید اما با فعال کردن BitLocker روی درایو ویندوز اطلاعات Boot رمز گذاری شده و غیر قابل دسترس میشود. از اینرو BitLocker نیاز به پارتیشن System Reserved دارد تا برنامه های خود و تنظیمات Boot را در آنجا ذخیره کند و از آن پارتیشن برای دسترسی و اجرای سیستم عامل استفاده کند.
در این بخش دوباره BitLocker برای تنظیم TPM درخواست ریستارت میکند و پس از کلیک بر روی گزینه Restart از شما درخواست میشود TPM را با کلید F1 برای فعال سازی و دریافت مالکیت آن تایید کنید.
پس از تایید درخواست، سیستم ریستارت شده و ویندوز با برنامه BitLocker بالا می آید، در این مرحله باید روی گزینه Next کلیک کنید.
مراحل انتخاب فضای رمز گذاری و انتخاب متد الگوریتم رمز گذاری تفاوتی با حالت رمز گذاری درایو ویندوز بدون TPM ندارد.
ذخیره کلید بازیابی BitLocker برای TPM
با استفاده از کلید بازیابی (Recovery Key) میتوانید به درایو رمز گذاری شده بدون TPM دسترسی پیدا کنید. توجه کنید کلید بازیابی بسیار مهم میباشد در صورتیکه کلید بازیابی را حذف و یا گم کنید و تنظیمات مربوط به TPM هم از بین برود دیگر نمیتوانید به اطلاعات ذخیره شده در درایو رمز گذاری شده ویندوز دسترسی پیدا کنید.
اگر از من میپرسید بهترین حالت ذخیره کلید بازیابی در یک ذخیره ساز قابل حمل مثل USB Flash میباشد تا در صورتیکه مشکلی برای TPM و یا سیستم پیش آمد بتوانید از کلید بازیابی استفاده کنید.
پس از ذخیره کردن کلید بازیابی روی گزینه Next کلیک کنید و تیک Run BitLocker System Check را بگذارید تا از موجود بودن کلید بازیابی و انجام صحیح فرایند رمز گذاری و رمز گشایی مطمئن شوید.
در آخر روی گزینه Continue کلیک کنید تا فرایند رمز گذاری درایو ویندوز شروع شود.
14 پاسخ به “رمز گذاری روی درایو ویندوز با بیت لاکر”
سلام
من هارد اکسترنالم رو با بیت لاکر قفل کردم چند با هم به سیستم زدم و باز کردم و دوباره جداکردم و هر بار هم در حال انجام یه عملیاتی بود که آخرین بار به 20% رسید و من قطع می کردم و هارد رو جدا می کردم منتها الان دیگه هارد رو میزنم با وجودی که رمز رو درست وارد میکنم اما اون رو قبول نمیکنه حتی فراموشی رمز رو هم زدم و در اون قسمت هم پسوردی که خود بیت لاکر برای موارد فراموشی رمز گذاشته هم درست زدم ولی باز هم باز نمیشه
و این پیام رو میده
BitLocker Drive Encryption failed to recover from an abruptly terminated conversion. this could be due to either all conversion logs being corrupted or the media being write-protected
سلام محمد
احتمالا به خاطر همین قطع کردن کار بیت لاکر هنگام تکمیل فرایند رمز گذاری روی درایو، این مشکل برای درایوت پیش اومده
برای حلش باید از دستور repair-bde استفاده کنی تا بتونی درایو رمز گذاری شده رو تعمیر کنی
مواردی که نیاز داری:
1- داشتن رمز بازیابی (Recovery Password)
2- داشتن یک درایو خالی به حجم همین درایو رمز گذاری شدت
دستور رو هم به این صورت باید وارد کنی:
فقط بجای مقدار جلوی -rp ریکاوری پسورد خودت رو وارد کنی و بجای درایو C: درایو رمز گذاری شده و بجای درایو z: درایو خالی با حجم درایو رمز گذاری شده یا بیشتر
موفق باشید
سلام
این دستوری که فرمودید رو کجا باید وارد کنیم? تو کدوم قسمت?
ممنون از راهنماییتون
سلام
کدوم دستور؟ دستورات رو باید در Command Prompt یا Run وارد کنید.
سلام وقت بخیر
با همین روش بر روی هارد اکسترنال، رمزگذاری میکردم که در میانه کار یه خطا داد و مجبور شدم هارد رو جدا کنم، الان اطلاعاتم در داخل هارد غیر قابل دسترس شده و تبدیل به دو سه تا فایل شده است.
This disk has one or more errors. run chkdsk/r”. if these errors persist this may be indicative of a hardware fault. contact the administrator of your system
سلام
شاید بشه با استفاده از دستور repair-bde درایو هارد دیسک تون رو تعمیر کنید، اگر اطلاعات و دادهای مهمی در دیسک تون دارید حتما هارد تون رو به یک شرکت فناوری اطلاعات بدید و خودتون اینکار رو انجام ندید.
روش استفاده از دستور repair-bde به صورت زیر:
بجای C: باید درایو رمز گزاری شده رو مشخص کنید و بجای D: درایوی که قرار است اطلاعات درایو رمزگذاری شده در ان ذخیره شود.
سلام
من رو یک ویندوز سه تا هارد مجزا (دوتا برای ارشیو و فیلم) دارم ولی روی یکی از هاردهام گزینه بیت لاکر نیست . چرا؟
سلام
خب حتمال فعال نکردید، یا اینکه نسخه ویندوز تون بیت لاکر رو پشتیبانی نمیکنه، لطفا سوال تون رو دقیق و کامل بپرسید.
موفق باشید
سلام خسته نباشید
چرا در قسمت کنترل پنل »» بیت لاکر فقد داریو C میاد بالا؟ و سایر درایو هام نمایش داده نمیشن برای قفل گذاشتن؟ایا باید دستوری رو بدم تا برام باز بشه؟ یا اینکه مشکل از جای دیگس؟(ویندوزم 10 هست)
ممنون.
وقت بخیر
من یکی از درایو ها را قفل کردم و لی مشکل اینجاست که وقتی از درایو خارج میشم دیگه قفل نمیشه و تا زمانی که سیستم روشنه باز هستش تا وقتی که دوباره ریستار بشه
میزان امنیت قفل گذازی با بیت لاکر چقدر می باشد ؟؟؟؟
سلام بسیار بالا، امنیت بیت لاکر حرف نداره طوری که اگر رمز عبور و کلید ریکاوری رو فراموش کنید باید با داده هاتون وداع کنید.
سلام عرض ادب بنده میخوام چنتا فلش درایو و هارد رو بیتلاکر بزارم که کل فضای من از بین میره در حالی که هارد رو تازه گرفتم و هارد های قبلی رو فرمت کردم و با فضای خالی هم این عملیات خسته کننده و طولانی رو انجام دادم تا حدی برام جالبه که فلش درایو های تا فضای ۳۲ gb رو کامل و بدون نقص انجام میده ولی مثلا یک فلش درایو ۶۴ gb در حالی که فلش هیچ گونه اطلاعاتی درونش نیست کل فضا اشغال میشه و فقط ۵.۹۹ gb میمونه و من هم تا ۵ گیگ اطلاعات ریختم داخل فلش و ۹۰۰ mg دیگه و یک صد mg دیگه که فضای دیسک کلا پر شد و اجازه نمیداد که اطلاعات بیشتری بریزم به نظر شما ربطی به پارتیشن بندی داره ؟ مثلا یک ssd دارم ۴۶۵ gb فضا داره ۴۴۸ gb پر اطلاعات ۴۷ gb فضای خالی دارم این پارتیشن بندی رو انجام بدم که فقط از همون ۴۴۸ تا محافظت کنه و ۴۷ گیگ خالی بمونه برای استفاده ؟
سلام محمد
زمانیکه با بیت لاکر یک درایو رو رمزگذاری میکنید بعد از انجام فرایند اولیه تازه رمزگذاری شروع میشه و شما باید صبر کنید تا کل رمز گذاری به پایان برسه، ابتدا کل فضا توسط بیت لاکر اشغال میشه و بعد از اتمام رمز گذاری دوباره قابل فضا آزاد میشه و قابل استفاده
هرچقدر فضای دیسک تون بیشتر باشه زمان بیشتری میبره، باید صبر کنید تا کارش تموم بشه