Spousta firem i domácností šifrování pevného disku bohužel neřeší, i když jej mají nadosah a mohli by ho zapnout takřka lusknutím prstu.

Proč šifrovat je snad každému, kdo čte tento článek jasné, pokud ne, doporučuji některý z kurzů IT bezpečnosti. Ztráta dat může mít nedozírné následky a v dnešní posta-covid době, kdy spousta zaměstnanců přenáší své notebooky (šifrování mobilů/tabletů se budeme věnovat jindy) z práce domů a naopak je FDE potřeba více než kdy dříve.

Pokud není možné ve Vaší organizaci či domácnosti BitLocker použít, nabízí se použití nástroje VeraCrypt. Článek o něm je zde: https://www.spajk.cz/sifrujeme-s-veracryptem/

Že zapnutí šifrování obvykle není nic složitého se Vám pokusím přiblížit v tomto článku. Tentokrát si popíšeme nástroj BitLocker, který je součástí operačního systému Windows a to v edicích PRO a Enterprise.

Co budeme potřebovat

  • Windows 7 (již nepodporované) a novější v edici Pro či Enterprise
  • Ideálně počítač s TPM čipem verze 1.2 a novějším
  • Pokud TPM nemáte, BIOS musí podporovat použití USB během bootu
  • Disk naformátovaný na NTFS
  • Trochu času – šifrování celého disku nějakou dobu trvá
  • Zálohu klíčových dat, kdyby se náhodou něco během šifrování nepovedlo. Nebojte, BitLocker netrpí nějakými chybami, je to doporučovaná procedura při každé podobné závažné změně

Jak zapnout BitLocker

Nejprve zkontrolujeme, jak jestli má náš počítač TPM čip. Klikněte pravým myšítkem na nabídku Start a následně na Device manager/Správce zařízení.

Vyhledejte část Security devices. Pokud máte TMP čip, bude zde uvedeno zařízení Trusted Platform Module a číslo verze.

Pokud zde čip nevidíte, buď jej na desce nemáte, nebo je v BIOSu zakázán. Mrkněte tedy na web výrobce, kde čip v BIOSu zapnout. Jestliže čip máte, pokračujeme dále, pokud ne, přejděte na další část.

Otevřete Průzkumníka a přejděte do části Tento počítač. Klikněte na disk který chcete šifrovat (obvykle C:\) pravým myšítkem a zvolte možnost Turn on BitLocker.

Následně zvolte, zda budete počítač při bootování odemykat (rozšifrovávat) USB diskem, nebo heslem. My zvolíme heslo.

Toto heslo budete zadávat při každém startu počítače, kdy ještě neběží operační systém a jako výchozí funguje anglické rozložení klávesnice. Myslete na to při výběru hesla, s diakritikou můžete mít problém. 😉

Potvrďte heslo kliknutím na Next. Nyní budete vyzváni k uložení obnovovacího klíče – to rozhodně proveďte a zálohujte sis jej na bezpečné místo. Já bych doporučil volbu Uložit na účet Microsoft, protože pak klíč najdete na adrese https://onedrive.live.com/recoverykey.

Pokud Cloudu nevěříte, použijte klasicky USB, nebo jakoukoliv jinou možnost. Následně budete mít na výběr, zda šifrovat jen data, která jsou již na disku uložen, nebo disk celý. Doporučuji druhou možnost – Encrypt entire drive.

V dalším kroku budeme vybírat metodu šifrování – zde doporučuji naopak první možnost – New encryption mode.

A pak již jen zkontrolujeme že je zatržená možnost Run BitLocker system check a klikneme na Continue. Restartujte počítač a dojde k testu. Při bootování pak uvidíte tuto obrazovku:

Zadejte heslo, který jste si vymysleli a nezapomeňte že se používá anglická klávesnice. 😉

Až počítač nabootuje, mrkněte do Ovládacích panelů, vyhledejte Nástroj BitLocker Drive encryption a mělo by probíhat šifrování disku. To může trvat poměrně dlouho, v závislosti na velikosti disku.

Jakmile bude šifrování hotovo, měla by se stav změnit na Šifrování zapnuto a u disku by měla být vidět ikonka se zámkem.

BitLocker bez TPM

Pokud TMP čip nemáte, je zde stále možnost použít lokální (nebo vzdálenou) politiku a povolit BitLocker i na počítači bez TPM. Budete ale potřebovat USB klíč, na který nahrajete šifrovací klíč a počítač pak nabootuje jen v případě, že je USB klíč zasunut.

Návod krok za krokem najdete v galerii níže:

Šifrování USB disků s BitLockerem

Otevřete Ovládací panely a vyhledejte Nástroj BitLocker Drive encryption. Zde byste krom svého disku měli vidět i USB disk, který chcete zašifrovat. Vpravo od něj se nachází možnost Zapnout BitLocker.

Klikněte na ni a zvolte, že pro šifrování chcete použít heslo. Zvolte si libovolné, dostatečně dlouhé heslo či frázi.

Stejně jako v návodech výše doporučuji šifrovat celý disk a také si uložit obnovovací klíč na bezpečné místo. Pak už jen stačí kliknout na Spustit šifrování disku.

Následně bude disk zašifrován a při každém jeho vložení do zařízení se zobrazí notifikace o tom, že byl připojen disk chráněný BitLockerem. Pokud na tuto notifikaci kliknete, budete vyzváni k zadání hesla.

Pokud to nestihnete, stačí přejít do nabídky Tento počítač a ikonu USB klíče dvakrát kliknout – dojde tak vyvolání dialogu pro zadání hesla.

Heslo zadáte, kliknete na Odemknout a nyní budete moci již složku otevřít. Velkovou výhodou je, že toto můžete používat na všech zařízeních ve firmě, kde bude BitLocker nainstalován.

Centrální správa BitLockeru

Velkou výhodou BitLockeru ve firemním prostředí je možnost jej vzdáleně spravovat. Této části se hodlám pověnovat v budoucnu, zatím tedy přikládám jen link na Microsoftí článek, jak na to:

Encrypt Windows 10 devices with BitLocker in Intune – Microsoft Intune | Microsoft Docs