BitLocker & BitLocker To Go: zašifrujte své disky přímo z Windows

5. 4. 2013

Sdílet

 Autor: Redakce

Šifrovací nástroj BitLocker je součástí Windows již od verze Vista, vždy byl nicméně záležitostí nejdražších edic systému. S nabídkou výhodného upgradu na Windows 8 Pro, která žel skončila letos v lednu, se tento nástroj dostal i do domácích počítačů. Zašifrovat pomocí něj můžete flash disky, ale i oddíly pevného disku, a to včetně systémového.

Šifrování pevných disků zajišťuje nástroj BitLocker, zatímco ochranu flash disků jeho odvozenina BitLocker To Go. Ta je součástí Windows až od verze 7. Pokud se zašifrovaným diskem potřebujete pracovat na počítačích s Windows XP nebo Vista, budete si muset nejprve stáhnout drobnou aplikaci z webu Microsoftu. I tak ale data na flash disku budete moci jen číst. Podrobné informace o podpoře nástroje BitLocker v operačních systémech naleznete v následující tabulce. 

  Pevné disky a oddíly Flash disky a externí pevné disky
Verze/edice systému BitLocker BitLocker To Go (nastavení funkce) BitLocker To Go (čtení a zápis dat)
Windows XP Home Edition NE NE JEN ČTENÍ (nutno nejprve doinstalovat podporu)
Windows XP Professional NE NE JEN ČTENÍ (nutno nejprve doinstalovat podporu)
Windows Vista Home Basic NE NE JEN ČTENÍ (nutno nejprve doinstalovat podporu)
Windows Vista Home Premium NE NE JEN ČTENÍ (nutno nejprve doinstalovat podporu)
Windows Vista Business NE NE JEN ČTENÍ (nutno nejprve doinstalovat podporu)
Windows Vista Ultimate/Enterprise ANO NE JEN ČTENÍ (nutno nejprve doinstalovat podporu)
Windows 7 Home Premium NE NE ANO
Windows 7 Professional NE NE ANO
Windows 7 Ultimate/Enterprise ANO ANO ANO
Windows 8 NE NE ANO
Windows 8 Pro ANO ANO ANO
Mac OS X NE NE NE
Linuxové distribuce experimentálnì experimentálnì experimentálnì

Ačkoli je BitLocker To Go součástí jen nejvyšších edic Windows 7 a 8, pracovat (myšleno číst a zapisovat data) se zašifrovanými flash disky nebo externími disky můžete ve všech dalších variantách zmíněných systémů. Na počítačích s nižšími edicemi Windows nemůžete pouze měnit nastavení šifrování nebo jej aktivovat pro nová zařízení.

Zašifrujte si flash disk

Nastavení šifrování je jednoduché. Ve složce Počítač klepněte pravým tlačítkem myši na flash disk a z kontextové nabídky vyberte možnost Zapnout nástroj BitLocker. Z této nabídky se později budete moci snadno dostat k nastavení šifrování. Dále vyčkejte, než se nástroj spustí, a v průvodci zaškrtněte políčko Odemknout jednotku pomocí hesla. Nabízí se i možnost odemykání disku pomocí čipové karty, takovou věc ale těžko budete mít doma.

Šifrované jednotky lze spravovat centrálně z Ovládacích panelů
Šifrované jednotky lze spravovat centrálně z Ovládacích panelů

Zvolte si vlastní heslo a v následujícím kroku se rozhodněte, kam uložíte obnovovací klíč, který vás zachrání, když zapomenete heslo. Uložit jej můžete do svého účtu Microsoft, souboru nebo si jej lze vytisknout na papír. V závěrečném kroku zvolte, jakým způsobem chcete disk zašifrovat. Jak radí sám průvodce, první možnost se hodí pro prázdná média, zatímco druhá pro jednotky, na nichž jsou již uložena data.

Po ukončení průvodce se zahájí šifrování, jehož průběh můžete sledovat v malém okénku. Pokud budete potřebovat disk v průběhu odpojit, nejprve šifrování pozastavte. Spustí se automaticky při příštím připojení k počítači.

Odemknutí šifrované jednotky heslem
Odemknutí šifrované jednotky heslem

Až flash disk příště připojíte k počítači, budete vyzváni k zadání hesla. Na počítačích s vyššími edicemi Windows si můžete také zvolit, aby se disk příště připojoval bez dotazování se na heslo. Stejným způsobem lze šifrovat oddíly na pevném disku s výjimkou systémového, jemuž se věnuje následující postup.

Šifrování systémového disku

Následující postup je určen pro systém Windows 8 Pro.

Pokud se výše uvedeným postupem pokusíte zašifrovat systémový disk, ve většině případů pohoříte na hlášce sdělující, že váš počítač neobsahuje kompatibilní čip TMP, a šifrování proto nemůže být spuštěno. Čip TPM (v podstatě se jedná o šifrovací procesor) obsahují jen dražší počítače, do některých jej lze také coby modul základní desky dokoupit. Nastavení BitLockeru lze nicméně upravit tak, aby nástroj tento čip nevyžadoval, a vy jste se mohli autorizovat heslem nebo flash diskem obsahujícím klíč. Pro přehlednost uvádíme tento postup v bodech:

  1. Použijte klávesovou zkratku Win+R, do řádku zadejte název gpedit.msc a stiskněte klávesu Enter.
  2. Přepněte se do záložky Konfigurace počítače a vyberte kategorii Šablony pro správu.
  3. Vyberte podkategorii Součásti systému Windows, dále Šifrování jednotky nástrojem BitLocker a nakonec Jednotky operačního systému.
  4. Ve zvolené kategorii se zobrazí řada různých zásad, vy poklepejte na položku Požadovat při spouštění další ověřování.
  5. Přepínačem označte možnost Povoleno a v rámečku Možnosti zaškrtněte políčko Povolit nástroj BitLocker bez kompatibilního čipu TPM
  6. Nastavení nezapomeňte uložit.

Drobná úprava nastavení vám umožní zašifrovat systémový oddíl, i když v počítači nemáte čip TPM
Drobná úprava nastavení vám umožní zašifrovat systémový oddíl, i když v počítači nemáte čip TPM

Ve složce Počítač klepněte pravým tlačítkem myši na položku systémového oddílu, z nabídky vyberte možnost Zapnout nástroj BitLocker a v průvodci zvolte, jaký způsob ověřování chcete použít. Máte možnost ověřovat se zadáním hesla, nebo pomocí flash disku, na který se nahraje zvláštní klíč. Vzhledem k tomu, že spíše ztratíte flash  disk než zapomenete heslo, doporučujeme zvolit první možnost. Pokud se nicméně rozhodnete pro flash disk, můžete se pojistit tím, že si klíč zkopírujete (jedná se o běžný soubor) na další umístění.

Dále budete vyzváni k uložení obnovovacího klíče, který byste měli střežit jako oko v hlavě. Pokud byste zapomněli heslo (nebo ztratili flash disk) a neměli obnovovací klíč, k datům na disku byste se už nedostali. Uložit jej můžete do svého účtu Microsoft, na flash disk, do souboru (jinam než na šifrovaný oddíl) nebo si jej vytisknout na papír.

Stejně jako v případě flash disku budete vyzváni k volbě způsobu šifrování. Nakonec vám bude nabídnut test funkce, který doporučujeme provést. V případě problémů budete moci šifrování přímo z přihlašovací obrazovky zrušit.

Obrazovka vyzývající k zadání hesla (nebo připojení flashdisku) se zobrazí ještě před načtením systému
Obrazovka vyzývající k zadání hesla (nebo připojení flashdisku) se zobrazí ještě před načtením systému

ICTS24

Ověřování při startu počítače je jednoduché. Ještě před startem systému se zobrazí obrazovka, na níž budete vyzváni k zadání hesla nebo připojení flash disku s klíčem. My jsme měli při zadávání hesla problém se zvláštními znaky, například u zavináče nefungovala zkratka pravý Alt+V ani Alt+kód; bylo nutné podržet klávesu Shift a využít číselnou řadu nad písmeny. Zadané heslo si nicméně můžete nechat zobrazit stisknutím klávesy Insert.

Po spuštění systému se zahájí šifrování disku, které v případě 60 GB oddílu (zaplněného daty z 80 %) trvalo něco málo přes hodinu. Záleží zde na zvoleném způsobu šifrování, velikosti oddílu a výkonu počítače. Na něm se překvapivě šifrování pomocí BitLockeru (alespoň pocitově) neprojevilo ani po několika dnech používání.