BitLocker & BitLocker To Go: zašifrujte své disky přímo z Windows

Šifrování pevných disků zajišťuje nástroj BitLocker, zatímco ochranu flash disků jeho odvozenina BitLocker To Go. Ta je součástí Windows až od verze 7. Pokud se zašifrovaným diskem potřebujete pracovat na počítačích s Windows XP nebo Vista, budete si muset nejprve stáhnout drobnou aplikaci z webu Microsoftu. I tak ale data na flash disku budete moci jen číst. Podrobné informace o podpoře nástroje BitLocker v operačních systémech naleznete v následující tabulce. 

Ačkoli je BitLocker To Go součástí jen nejvyšších edic Windows 7 a 8, pracovat (myšleno číst a zapisovat data) se zašifrovanými flash disky nebo externími disky můžete ve všech dalších variantách zmíněných systémů. Na počítačích s nižšími edicemi Windows nemůžete pouze měnit nastavení šifrování nebo jej aktivovat pro nová zařízení.

Zašifrujte si flash disk

Nastavení šifrování je jednoduché. Ve složce Počítač klepněte pravým tlačítkem myši na flash disk a z kontextové nabídky vyberte možnost Zapnout nástroj BitLocker. Z této nabídky se později budete moci snadno dostat k nastavení šifrování. Dále vyčkejte, než se nástroj spustí, a v průvodci zaškrtněte políčko Odemknout jednotku pomocí hesla. Nabízí se i možnost odemykání disku pomocí čipové karty, takovou věc ale těžko budete mít doma.

Šifrované jednotky lze spravovat centrálně z Ovládacích panelů

Zvolte si vlastní heslo a v následujícím kroku se rozhodněte, kam uložíte obnovovací klíč, který vás zachrání, když zapomenete heslo. Uložit jej můžete do svého účtu Microsoft, souboru nebo si jej lze vytisknout na papír. V závěrečném kroku zvolte, jakým způsobem chcete disk zašifrovat. Jak radí sám průvodce, první možnost se hodí pro prázdná média, zatímco druhá pro jednotky, na nichž jsou již uložena data.

Po ukončení průvodce se zahájí šifrování, jehož průběh můžete sledovat v malém okénku. Pokud budete potřebovat disk v průběhu odpojit, nejprve šifrování pozastavte. Spustí se automaticky při příštím připojení k počítači.

Odemknutí šifrované jednotky heslem

Až flash disk příště připojíte k počítači, budete vyzváni k zadání hesla. Na počítačích s vyššími edicemi Windows si můžete také zvolit, aby se disk příště připojoval bez dotazování se na heslo. Stejným způsobem lze šifrovat oddíly na pevném disku s výjimkou systémového, jemuž se věnuje následující postup.

Šifrování systémového disku

Následující postup je určen pro systém Windows 8 Pro.

Pokud se výše uvedeným postupem pokusíte zašifrovat systémový disk, ve většině případů pohoříte na hlášce sdělující, že váš počítač neobsahuje kompatibilní čip TMP, a šifrování proto nemůže být spuštěno. Čip TPM (v podstatě se jedná o šifrovací procesor) obsahují jen dražší počítače, do některých jej lze také coby modul základní desky dokoupit. Nastavení BitLockeru lze nicméně upravit tak, aby nástroj tento čip nevyžadoval, a vy jste se mohli autorizovat heslem nebo flash diskem obsahujícím klíč. Pro přehlednost uvádíme tento postup v bodech:

1. Použijte klávesovou zkratku Win+R, do řádku zadejte název gpedit.msc a stiskněte klávesu Enter.
2. Přepněte se do záložky Konfigurace počítače a vyberte kategorii Šablony pro správu.
3. Vyberte podkategorii Součásti systému Windows, dále Šifrování jednotky nástrojem BitLocker a nakonec Jednotky operačního systému.
4. Ve zvolené kategorii se zobrazí řada různých zásad, vy poklepejte na položku Požadovat při spouštění další ověřování.
5. Přepínačem označte možnost Povoleno a v rámečku Možnosti zaškrtněte políčko Povolit nástroj BitLocker bez kompatibilního čipu TPM
6. Nastavení nezapomeňte uložit.

Drobná úprava nastavení vám umožní zašifrovat systémový oddíl, i když v počítači nemáte čip TPM

Ve složce Počítač klepněte pravým tlačítkem myši na položku systémového oddílu, z nabídky vyberte možnost Zapnout nástroj BitLocker a v průvodci zvolte, jaký způsob ověřování chcete použít. Máte možnost ověřovat se zadáním hesla, nebo pomocí flash disku, na který se nahraje zvláštní klíč. Vzhledem k tomu, že spíše ztratíte flash  disk než zapomenete heslo, doporučujeme zvolit první možnost. Pokud se nicméně rozhodnete pro flash disk, můžete se pojistit tím, že si klíč zkopírujete (jedná se o běžný soubor) na další umístění.

Dále budete vyzváni k uložení obnovovacího klíče, který byste měli střežit jako oko v hlavě. Pokud byste zapomněli heslo (nebo ztratili flash disk) a neměli obnovovací klíč, k datům na disku byste se už nedostali. Uložit jej můžete do svého účtu Microsoft, na flash disk, do souboru (jinam než na šifrovaný oddíl) nebo si jej vytisknout na papír.

Stejně jako v případě flash disku budete vyzváni k volbě způsobu šifrování. Nakonec vám bude nabídnut test funkce, který doporučujeme provést. V případě problémů budete moci šifrování přímo z přihlašovací obrazovky zrušit.

Obrazovka vyzývající k zadání hesla (nebo připojení flashdisku) se zobrazí ještě před načtením systému

Ověřování při startu počítače je jednoduché. Ještě před startem systému se zobrazí obrazovka, na níž budete vyzváni k zadání hesla nebo připojení flash disku s klíčem. My jsme měli při zadávání hesla problém se zvláštními znaky, například u zavináče nefungovala zkratka pravý Alt+V ani Alt+kód; bylo nutné podržet klávesu Shift a využít číselnou řadu nad písmeny. Zadané heslo si nicméně můžete nechat zobrazit stisknutím klávesy Insert.

Po spuštění systému se zahájí šifrování disku, které v případě 60 GB oddílu (zaplněného daty z 80 %) trvalo něco málo přes hodinu. Záleží zde na zvoleném způsobu šifrování, velikosti oddílu a výkonu počítače. Na něm se překvapivě šifrování pomocí BitLockeru (alespoň pocitově) neprojevilo ani po několika dnech používání.