Cách thiết lập mã hóa BitLocker trên Windows
BitLocker là một công cụ được tích hợp trong Windows cho phép bạn mã hóa toàn bộ ổ cứng để tăng cường bảo mật. Đây là cách thiết lập nó.
Khi TrueCrypt đóng cửa cửa hàng gây tranh cãi, họ đã khuyến nghị người dùng của mình chuyển từ TrueCrypt sang sử dụng BitLocker hoặc Veracrypt. BitLocker đã tồn tại trong Windows đủ lâu để được coi là trưởng thành và là một sản phẩm mã hóa thường được các chuyên gia bảo mật đánh giá cao. Trong bài viết này, chúng ta sẽ nói về cách bạn có thể thiết lập nó trên PC của mình.
LIÊN QUAN:Bạn có nên nâng cấp lên phiên bản Professional của Windows 10 không?
Ghi chú: BitLocker Drive Encryption và BitLocker To Go yêu cầu phiên bản Professional hoặc Enterprise của Windows 8 hoặc 10 hoặc phiên bản Ultimate của Windows 7. Tuy nhiên, bắt đầu từ Windows 8.1, các phiên bản Home và Pro của Windows bao gồm tính năng “Mã hóa thiết bị” ( một tính năng cũng có trong Windows 10) hoạt động tương tự. Chúng tôi khuyên bạn nên Mã hóa thiết bị nếu máy tính của bạn hỗ trợ tính năng này, BitLocker dành cho người dùng Pro không thể sử dụng Mã hóa thiết bị và VeraCrypt cho những người sử dụng phiên bản Home của Windows nơi Mã hóa thiết bị không hoạt động.
Mã hóa Toàn bộ Ổ đĩa hoặc Tạo một Vùng chứa được Mã hóa?
Nhiều hướng dẫn trên mạng nói về việc tạo vùng chứa BitLocker hoạt động giống như loại vùng chứa được mã hóa mà bạn có thể tạo bằng các sản phẩm như TrueCrypt hoặc Veracrypt. Đó là một chút sai lầm, nhưng bạn có thể đạt được hiệu quả tương tự. BitLocker hoạt động bằng cách mã hóa toàn bộ ổ đĩa. Đó có thể là ổ đĩa hệ thống của bạn, một ổ đĩa vật lý khác hoặc ổ cứng ảo (VHD) tồn tại dưới dạng tệp và được gắn trong Windows.
LIÊN QUAN:Cách tạo tệp vùng chứa được mã hóa bằng BitLocker trên Windows
Sự khác biệt phần lớn là ngữ nghĩa. Trong các sản phẩm mã hóa khác, bạn thường tạo một vùng chứa được mã hóa, sau đó gắn nó dưới dạng ổ đĩa trong Windows khi bạn cần sử dụng. Với BitLocker, bạn tạo một ổ cứng ảo, sau đó mã hóa nó. Nếu bạn muốn sử dụng một vùng chứa hơn là mã hóa hệ thống hoặc ổ lưu trữ hiện có của mình, hãy xem hướng dẫn của chúng tôi để tạo tệp vùng chứa được mã hóa bằng BitLocker.
Đối với bài viết này, chúng tôi sẽ tập trung vào việc bật BitLocker cho một ổ đĩa vật lý hiện có.
Cách mã hóa ổ đĩa bằng BitLocker
LIÊN QUAN:Cách sử dụng BitLocker mà không cần mô-đun nền tảng đáng tin cậy (TPM)
Để sử dụng BitLocker cho một ổ đĩa, tất cả những gì bạn thực sự phải làm là kích hoạt nó, chọn phương pháp mở khóa — mật khẩu, mã PIN, v.v. — và sau đó đặt một vài tùy chọn khác. Tuy nhiên, trước khi chúng ta đi sâu vào vấn đề đó, bạn nên biết rằng việc sử dụng mã hóa toàn đĩa của BitLocker trên ổ đĩa hệ thống thường yêu cầu máy tính có Mô-đun nền tảng đáng tin cậy (TPM) trên bo mạch chủ của PC. Con chip này tạo và lưu trữ các khóa mã hóa mà BitLocker sử dụng. Nếu PC của bạn không có TPM, bạn có thể sử dụng Chính sách nhóm để kích hoạt sử dụng BitLocker mà không có TPM. Nó kém an toàn hơn một chút nhưng vẫn an toàn hơn so với hoàn toàn không sử dụng mã hóa.
Bạn có thể mã hóa ổ đĩa không thuộc hệ thống hoặc ổ đĩa di động mà không cần TPM và không cần bật cài đặt Chính sách nhóm.
Lưu ý rằng, bạn cũng nên biết rằng có hai loại mã hóa ổ đĩa BitLocker mà bạn có thể bật:
- Mã hóa ổ đĩa BitLocker: Đôi khi được gọi là BitLocker, đây là một tính năng “mã hóa toàn bộ ổ đĩa” để mã hóa toàn bộ ổ đĩa. Khi PC của bạn khởi động, bộ nạp khởi động Windows sẽ tải từ phân vùng Hệ thống dành riêng và bộ nạp khởi động sẽ nhắc bạn về phương pháp mở khóa — ví dụ: mật khẩu. BitLocker sau đó giải mã ổ đĩa và tải Windows. Về mặt khác, mã hóa là minh bạch — các tệp của bạn trông giống như bình thường trên một hệ thống không được mã hóa, nhưng chúng được lưu trữ trên đĩa ở dạng được mã hóa. Bạn cũng có thể mã hóa các ổ đĩa khác ngoài ổ đĩa hệ thống.
- BitLocker To Go: Bạn có thể mã hóa các ổ đĩa ngoài — chẳng hạn như ổ flash USB và ổ cứng ngoài — với BitLocker To Go. Bạn sẽ được nhắc về phương pháp mở khóa — ví dụ: mật khẩu — khi bạn kết nối ổ đĩa với máy tính của mình. Nếu ai đó không có phương pháp mở khóa, họ không thể truy cập các tệp trên ổ đĩa.
Trong Windows 7 đến 10, bạn thực sự không phải lo lắng về việc tự mình lựa chọn. Windows xử lý mọi thứ đằng sau hậu trường và giao diện bạn sẽ sử dụng để kích hoạt BitLocker trông không có gì khác biệt. Nếu bạn kết thúc việc mở khóa một ổ đĩa được mã hóa trên Windows XP hoặc Vista, bạn sẽ thấy nhãn hiệu BitLocker to Go, vì vậy chúng tôi nghĩ rằng ít nhất bạn nên biết về nó.
Vì vậy, với điều đó, chúng ta hãy xem xét cách thức hoạt động thực sự của điều này.
Bước một: Bật BitLocker cho Drive
Cách dễ nhất để kích hoạt BitLocker cho một ổ đĩa là nhấp chuột phải vào ổ đĩa đó trong cửa sổ File Explorer, sau đó chọn lệnh “Bật BitLocker”. Nếu bạn không thấy tùy chọn này trên menu ngữ cảnh của mình, thì có thể bạn không có phiên bản Windows Pro hoặc Enterprise và bạn sẽ cần tìm kiếm một giải pháp mã hóa khác.
Nó chỉ đơn giản vậy thôi. Trình hướng dẫn bật lên sẽ hướng dẫn bạn chọn một số tùy chọn mà chúng tôi đã chia nhỏ thành các phần tiếp theo.
Bước hai: Chọn một phương pháp mở khóa
Màn hình đầu tiên bạn sẽ thấy trong trình hướng dẫn “Mã hóa ổ đĩa BitLocker” cho phép bạn chọn cách mở khóa ổ đĩa của mình. Bạn có thể chọn một số cách mở khóa ổ đĩa khác nhau.
Nếu bạn đang mã hóa ổ đĩa hệ thống của mình trên một máy tínhkhông có TPM, bạn có thể mở khóa ổ bằng mật khẩu hoặc ổ USB có chức năng như chìa khóa. Chọn phương pháp mở khóa của bạn và làm theo hướng dẫn cho phương pháp đó (nhập mật khẩu hoặc cắm ổ USB của bạn).
LIÊN QUAN:Cách kích hoạt mã PIN BitLocker Pre-Boot trên Windows
Nếu máy tính của bạn làm có TPM, bạn sẽ thấy các tùy chọn bổ sung để mở khóa ổ đĩa hệ thống của mình. Ví dụ: bạn có thể định cấu hình mở khóa tự động khi khởi động (trong đó máy tính của bạn lấy các khóa mã hóa từ TPM và tự động giải mã ổ đĩa). Bạn cũng có thể sử dụng mã PIN thay vì mật khẩu hoặc thậm chí chọn các tùy chọn sinh trắc học như dấu vân tay.
Nếu đang mã hóa ổ đĩa không phải hệ thống hoặc ổ đĩa di động, bạn sẽ chỉ thấy hai tùy chọn (cho dù bạn có TPM hay không). Bạn có thể mở khóa ổ đĩa bằng mật khẩu hoặc thẻ thông minh (hoặc cả hai).
Bước 3: Sao lưu khóa khôi phục của bạn
BitLocker cung cấp cho bạn một khóa khôi phục mà bạn có thể sử dụng để truy cập các tệp được mã hóa của mình nếu bạn bị mất khóa chính — ví dụ: nếu bạn quên mật khẩu hoặc nếu PC có TPM chết và bạn phải truy cập ổ đĩa từ một hệ thống khác.
Bạn có thể lưu khóa vào tài khoản Microsoft, ổ USB, tệp hoặc thậm chí in. Các tùy chọn này giống nhau cho dù bạn đang mã hóa ổ đĩa hệ thống hay không phải hệ thống.
Nếu bạn sao lưu khóa khôi phục vào tài khoản Microsoft của mình, bạn có thể truy cập khóa sau tại //onedrive.live.com/recoverykey. Nếu bạn sử dụng phương pháp khôi phục khác, hãy đảm bảo giữ khóa này an toàn — nếu ai đó có quyền truy cập vào nó, họ có thể giải mã ổ đĩa của bạn và bỏ qua mã hóa.
Bạn cũng có thể sao lưu khóa khôi phục của mình theo nhiều cách nếu muốn. Chỉ cần nhấp lần lượt vào từng tùy chọn bạn muốn sử dụng, sau đó làm theo hướng dẫn. Khi bạn đã hoàn tất việc lưu khóa khôi phục của mình, hãy nhấp vào “Tiếp theo” để tiếp tục.
Ghi chú: Nếu đang mã hóa USB hoặc ổ đĩa di động khác, bạn sẽ không có tùy chọn lưu khóa khôi phục của mình vào ổ USB. Bạn có thể sử dụng bất kỳ tùy chọn nào trong ba tùy chọn còn lại.
Bước 4: Mã hóa và mở khóa Drive
BitLocker tự động mã hóa các tệp mới khi bạn thêm chúng, nhưng bạn phải chọn điều gì sẽ xảy ra với các tệp hiện có trên ổ đĩa của mình. Bạn có thể mã hóa toàn bộ ổ đĩa — bao gồm cả dung lượng trống — hoặc chỉ mã hóa các tệp đĩa đã sử dụng để tăng tốc quá trình. Các tùy chọn này cũng giống nhau cho dù bạn đang mã hóa ổ đĩa hệ thống hay không phải hệ thống.
LIÊN QUAN:Cách khôi phục tệp đã xóa: Hướng dẫn cơ bản
Nếu bạn đang thiết lập BitLocker trên PC mới, hãy chỉ mã hóa dung lượng ổ đĩa đã sử dụng — tốc độ này nhanh hơn nhiều. Nếu bạn đang thiết lập BitLocker trên PC mà bạn đã sử dụng một thời gian, bạn nên mã hóa toàn bộ ổ đĩa để đảm bảo không ai có thể khôi phục các tệp đã xóa.
Khi bạn đã lựa chọn xong, hãy nhấp vào nút “Tiếp theo”.
Bước 5: Chọn Chế độ mã hóa (Chỉ dành cho Windows 10)
Nếu đang sử dụng Windows 10, bạn sẽ thấy một màn hình bổ sung cho phép bạn chọn phương pháp mã hóa. Nếu bạn đang sử dụng Windows 7 hoặc 8, hãy chuyển sang bước tiếp theo.
Windows 10 đã giới thiệu một phương pháp mã hóa mới có tên XTS-AES. Nó cung cấp tính toàn vẹn và hiệu suất nâng cao so với AES được sử dụng trong Windows 7 và 8. Nếu bạn biết ổ đĩa bạn đang mã hóa sẽ chỉ được sử dụng trên PC chạy Windows 10, hãy tiếp tục và chọn tùy chọn “Chế độ mã hóa mới”. Nếu bạn nghĩ rằng mình có thể cần sử dụng ổ đĩa với phiên bản Windows cũ hơn vào một lúc nào đó (đặc biệt quan trọng nếu đó là ổ đĩa di động), hãy chọn tùy chọn "Chế độ tương thích".
Cho dù bạn chọn tùy chọn nào (và một lần nữa, các tùy chọn này đều giống nhau đối với ổ đĩa hệ thống và không phải hệ thống), hãy tiếp tục và nhấp vào nút “Tiếp theo” khi bạn hoàn tất và trên màn hình tiếp theo, hãy nhấp vào nút “Bắt đầu mã hóa”.
Bước 6: Hoàn thiện
Quá trình mã hóa có thể mất từ vài giây đến vài phút hoặc thậm chí lâu hơn, tùy thuộc vào kích thước ổ đĩa, lượng dữ liệu bạn đang mã hóa và liệu bạn có chọn mã hóa dung lượng trống hay không.
Nếu bạn đang mã hóa ổ đĩa hệ thống của mình, bạn sẽ được nhắc chạy kiểm tra hệ thống BitLocker và khởi động lại hệ thống của mình. Đảm bảo rằng tùy chọn đã được chọn, nhấp vào nút “Tiếp tục”, sau đó khởi động lại PC của bạn khi được yêu cầu. Sau khi PC khởi động sao lưu lần đầu tiên, Windows sẽ mã hóa ổ đĩa.
Nếu bạn đang mã hóa một ổ đĩa không phải hệ thống hoặc ổ đĩa di động, Windows không cần khởi động lại và quá trình mã hóa bắt đầu ngay lập tức.
Dù bạn đang mã hóa loại ổ nào, bạn có thể kiểm tra biểu tượng Mã hóa ổ BitLocker trong khay hệ thống để xem tiến trình của nó và bạn có thể tiếp tục sử dụng máy tính của mình trong khi các ổ đang được mã hóa — nó sẽ hoạt động chậm hơn.
Mở khóa ổ đĩa của bạn
Nếu ổ đĩa hệ thống của bạn được mã hóa, việc mở khóa nó phụ thuộc vào phương pháp bạn chọn (và liệu PC của bạn có TPM hay không). Nếu bạn có TPM và chọn để ổ đĩa được mở khóa tự động, bạn sẽ không nhận thấy bất kỳ điều gì khác biệt — bạn sẽ chỉ khởi động thẳng vào Windows như mọi khi. Nếu bạn chọn một phương pháp mở khóa khác, Windows sẽ nhắc bạn mở khóa ổ đĩa (bằng cách nhập mật khẩu, kết nối ổ USB của bạn hoặc bất cứ thứ gì).
LIÊN QUAN:Cách khôi phục tệp của bạn từ ổ đĩa được mã hóa bằng BitLocker
Và nếu bạn mất (hoặc quên) phương thức mở khóa của mình, hãy nhấn Escape trên màn hình nhắc để nhập khóa khôi phục của bạn.
Nếu bạn đã mã hóa một ổ đĩa không phải hệ thống hoặc ổ đĩa di động, Windows sẽ nhắc bạn mở khóa ổ đĩa khi bạn truy cập lần đầu sau khi khởi động Windows (hoặc khi bạn kết nối nó với PC nếu đó là ổ đĩa di động). Nhập mật khẩu của bạn hoặc lắp thẻ thông minh của bạn và ổ đĩa sẽ mở khóa để bạn có thể sử dụng.
Trong File Explorer, các ổ đĩa được mã hóa hiển thị một ổ khóa vàng trên biểu tượng (ở bên trái). Ổ khóa đó chuyển sang màu xám và xuất hiện đã mở khóa khi bạn mở khóa ổ đĩa (ở bên phải).
Bạn có thể quản lý ổ bị khóa — thay đổi mật khẩu, tắt BitLocker, sao lưu khóa khôi phục hoặc thực hiện các hành động khác — từ cửa sổ bảng điều khiển BitLocker. Nhấp chuột phải vào bất kỳ ổ đĩa được mã hóa nào, sau đó chọn “Quản lý BitLocker” để truy cập trực tiếp vào trang đó.
Giống như tất cả các mã hóa khác, BitLocker bổ sung thêm một số chi phí. Câu hỏi thường gặp về BitLocker chính thức của Microsoft nói rằng “Nói chung, nó áp đặt chi phí hiệu suất một chữ số phần trăm.” Nếu mã hóa quan trọng đối với bạn vì bạn có dữ liệu nhạy cảm — ví dụ: một máy tính xách tay chứa đầy tài liệu kinh doanh — thì bảo mật nâng cao rất đáng để đánh đổi hiệu suất.