Spis treści
Chcesz zaszyfrować zawartość całego dysku z Windowsem 10, ale nie wiesz, jak się za to zabrać? Który program lub która metoda będzie najlepsza? Czy na pewno zadziała z moim systemem i komputerem? Pokazujemy, na co zwracać uwagę i z czego korzystać do szyfrowania urządzenia z Windowsem 10.
Chęć ochrony swoich danych przed niepowołanym dostępem nieustannie wzrasta wśród użytkowników. Pomijając już często wspomniane „szpiegowanie przez NSA” jest to bardzo dobry trend – w końcu na komputerze trzymamy mnóstwo ważnych danych, które w razie utraty laptopa mogłyby trafić w niepowołane ręce. Najlepszym sposobem ochrony jest zaszyfrowanie zawartości całego dysku hasłem, tak, aby bez znajomości hasła nie dało się niczego odczytać. Tylko jak to zrobić?
Sprawdź, czy twój dysk nie jest domyślnie szyfrowany
Wiesz, że istnieje szansa, że twój dysk jest domyślnie już szyfrowany? W Windowsie 8.1 Microsoft wprowadził wbudowaną funkcję szyfrowania, która działa automatycznie jeśli odpowiednie warunki są spełnione. Funkcja ta dalej jest włączona w Windowsie 10.
Aby domyślna funkcja szyfrowania działała, muszą być spełnione warunki sprzętowe. Urządzenie musi wspierać funkcje TPM oraz SecureBoot. Co więcej, funkcja ta działa tylko wtedy, gdy jesteś zalogowany na swoim koncie Microsoft. Dzieję się tak dlatego, że klucz odzyskiwania jest umieszczony na serwerach Microsoftu, aby pomóc Ci odszyfrować urządzenie na wypadek, gdybyś nie mógł się na nie zalogować. Jak zatem widać, nie każde urządzenie tę funkcję będzie obsługiwać.
Zanim przejdziesz do poniższych rozwiązań, sprawdź więc, czy twoje urządzenie obsługuje tę funkcję i czy z niej korzysta. W tym celu wejdź do menu Start i wybierz ikonę Ustawienia. Następnie przejdź do zakładki „System > Informacje”.
Gdy przewiniesz zawartość informacji na sam dół, to powinieneś znaleźć tu informację o szyfrowaniu urządzenia. Jeśli twoje urządzenie nie wspiera szyfrowania, to w ogóle żadnej informacji na ten temat nie zobaczysz. Jeśli twój komputer obsługuję wbudowaną funkcję szyfrowania, ale nie jesteś zalogowany na konto Microsoft, to znajdziesz tu informację o konieczności zalogowania się w celu ukończenia szyfrowania. Jeśli natomiast jesteś na konto Microsoft zalogowany i twoje urządzenie obsługuje to szyfrowanie, to powinna wyświetlić się informacja, że dysk jest już zaszyfrowany.
Co jednak zrobić, gdy nie ma tu żadnej informacji, czyli dysk nie jest zaszyfrowany i nie ma możliwości wykonania tego przez wbudowaną funkcję? W takiej sytuacji mamy dwie inne metody do wyboru.
Metoda #1 – BitLocker (tylko dla systemu typu Professional)
Wspomniana wyżej funkcja „szyfrowania urządzenia" to nie jedyny sposób na szyfrowanie dysku. Jeśli masz Windowsa 10 w wersji Professional, to masz dostęp do bardziej zaawansowanej funkcji szyfrowania zwanej BitLocker. To również technologia Microsoftu, która umożliwia zaszyfrowanie całego dysku.
- Sprawdź, czy twój komputer posiada obsługę TPM
BitLocker do działania wymaga obsługi TPM – specjalnego modułu na płycie głównej, odpowiedzialnego za funkcje bezpieczeństwa. To tam jest przechowywany klucz szyfrujący, który zabezpiecza nasze dane. Oficjalnie TPM jest wymagane, ale nawet jeśli nie masz tego modułu, to nie musisz wymieniać płyty głównej – istnieje metoda na obejście tego ograniczenia. To, czy konieczne będzie skorzystanie z tej metody zależy od tego, czy masz TPM. Jak to sprawdzić?
Wciśnij kombinację klawiszy Windows + R, aby wyświetlić okno uruchamiania. Wpisz w nim poniższe polecenie i potwierdź przyciskiem Enter:
tpm.msc
Pojawi się nowe okno zarządzania modułem TPM. Jeśli nie masz TPM, to pojawi się informacje o braku zgodnego modułu.
W takiej sytuacji będziesz musiał wykonać dodatkowy krok, który uaktywni BitLocker na komputerach bez TPM. Jeśli jednak mas TPM i wyświetlają się jego szczegóły, to możesz od razu przejść do punktu szyfrowania dysku przez BitLocker.
- Zezwól na używanie BitLockera na komputerach bez TPM
Jeśli nie masz TPM, to musisz uaktywnić specjalną regułę, która włączy obsługę szyfrowania całego dysku i systemu bez tego modułu. W tym celu wciśnij kombinację klawiszy Windows + R i wpisz poniższe polecenie:
gpedit.msc
W nowym oknie przejdź do poniższej ścieżki, rozwijając foldery w lewym pasku bocznym:
Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Szyfrowanie dysków funkcją BitLocker > Dyski z systemem operacyjnym
Po prawej stronie okna znajdziesz teraz listę reguł, które możesz edytować. Znajdź tu pole „Wymagaj dodatkowego uwierzytelnienia przy uruchamianiu” i kliknij w nie dwukrotnie lewym przyciskiem myszy.
Pojawi się okno edycji reguły. W górnym lewym rogu zaznacz pole „Włączone”, a następnie upewnij się, że zaznaczona jest opcja „Zezwól na używanie funkcji BitLocker bez zgodnego modułu TPM”. Potwierdź zmiany przyciskiem OK – to wszystko, teraz możesz przejść do konfiguracji funkcji BitLocker i zaszyfrować nią cały dysk.
- Zaszyfruj dysk funkcją BitLocker w Windows 10 Pro
Wejdź do menu Start i wyszukaj opcji „Zarządzaj funkcją BitLocker”. Po jej uruchomieniu wyświetli się okno z listą dysków. Wybierz dysk systemowy i kliknij „Włącz funkcję BitLocker”.
Pojawi się teraz nowe okno, w którym możesz wybrać, w jaki sposób chcesz identyfikować swoją tożsamość przy włączeniu komputera. Może to być wykonane poprzez wpisanie hasła lub poprzez włożenie dysku flash usb (pendrive’a).
Jeśli wybierzesz opcję wprowadzenia hasła, to musisz się upewnić, że jest ono odpowiednio bezpieczne. Wprowadź dwukrotnie kombinację dużych i małych liter, a także znaków specjalnych.
Następnie wybierz, gdzie chcesz zapisać klucz odzyskiwania. Jest to niezwykle ważne – klucz odzyskiwania to plik, który pomoże Ci odzyskać swoje dane w sytuacji, gdy nie będziesz mógł zalogować się do swojego komputera. Dzięki niemu odblokujesz swoje pliki nawet na innym komputerze. Zalecamy zapisanie klucza odzyskiwania na dysku USB, a także na koncie Microsoft, jeśli z niego korzystasz.
W kolejnym kroku możesz wybrać, co ma być zaszyfrowane - tylko zajęte miejsce czy cały dysk. Na nowych komputerach zalecamy skorzystanie z opcji szyfrowania tylko zajętego miejsca, natomiast jeśli masz starsze urządzenie, to warto wybrać opcję szyfrowania całego dysku. W takiej sytuacji nie możliwe będzie także odzyskanie wcześniej usuniętych danych.
Kliknij przycisk „Dalej” i postępuj zgodnie z kreatorem. Twój dysk zostanie zaszyfrowany i przy każdym uruchomieniu komputera będzie konieczne podanie hasła. Nawet jeśli ktoś wykradnie twój dysk twardy i podłączy go do innego komputera, to odczytanie jakichkolwiek plików będzie niemożliwe bez podania hasła. Cała zawartość wskazanego dysku zostanie zaszyfrowana. Operację tę możesz powtórzyć dla każdej partycji i każdego dysku w twoim komputerze.
Metoda #2 – VeraCrypt (za darmo, na każdej wersji Windowsa)
BitLocker jest świetnym i wygodnym sposobem szyfrowania dysku, bo nie wymaga instalacji dodatkowych programów. Ma jednak ten podstawowy problem, że jest dostępny tylko na urządzeniach z Windowsem 10 w wersji Professional. A co, jeśli mamy zwykłego Windowsa 10? Wtedy BitLocker nie jest dostępny.
Istnieje jednak świetna alternatywa pod postacią programu VeraCrypt. To darmowe narzędzie, które wyrosło po upadku znanego wszystkim TrueCrypta. VeraCrypt oferuje zaktualizowane i ulepszone funkcje szyfrowania, jest bezpieczniejszy i – co najważniejsze – obsługuje szyfrowanie całego dysku w komputerach bazowanych na UEFI i dyskach GPT (od wersji 1.18a wzwyż).
Po uruchomieniu programu VeraCrypt kliknij w przycisk „Create volume”, aby wyświetlić kreator szyfrowania.
W nowym oknie masz kilka opcji do wyboru:
- Create encrypted file container – tworzy nowy wolumin, którego zawartość będzie szyfrowana (tzw. wirtualna partycja, wydzielona z powierzchni któregoś z dysków)
- Encrypt a non-system partition/drive – szyfrowanie dysku lub jednej partycji, na której nie ma systemu operacyjnego
- Encrypt the system partition or entire system drive – szyfrowanie dysku lub jednej partycji, na które jest system operacyjny
Jako że my chcemy zaszyfrować cały dysk z systemem Windows 10, to wybieramy ostatnią opcję. Tu jednak należy zwrócić uwagę na jedną rzecz. VeraCrypt możemy używać na dysku systemowym tylko wtedy, gdy mamy pewność, że system operacyjny jest zainstalowany na tym samym dysku, z którego komputer się uruchamia. O co dokładnie chodzi?
Jeśli masz jeden dysk twardy, to ta informacja Ciebie nie dotyczy. Jeśli jednak masz kilka dysków, to mogło się zdarzyć podczas instalacji systemu, że niewidoczne partycje z bootloaderem (fragmentem oprogramowania odpowiedzialnym za uruchomienie systemu) znajdują się na innym dysku niż pliki systemowe. Wtedy np. system jest zainstalowany na Dysku nr 1 (partycja C), natomiast na Dysku nr 2 znajdują się ukryte partycje z bootloaderem. Komputer przy uruchomieniu najpierw odczytuje Dysk nr 2, który dopiero wskazuje, że system jest na Dysku nr 1. W takiej sytuacji skorzystanie z VeraCrypt do zaszyfrowania systemu będzie niemożliwe i zostaniesz o tym poinformowany poniższym komunikatem:
„WARNING: Windows does not appear to be installed on the drive from which it boots. This is not supported”.
Jeśli taki komunikat się pojawia, to zaszyfrowanie dysku może uniemożliwić uruchomienie systemu. Jak jednak wspomnieliśmy, jeśli wszystko masz zainstalowane „normalnie” lub posiadasz jeden dysk twardy, to taki komunikat się nie pojawi i nie masz się czym przejmować.
W kolejnym kroku pojawi się zapytanie o to, w jaki sposób chcesz zaszyfrować dane – normalny lub niewidoczny. Niewidoczny sposób sprawia, że system operacyjny jest całkowicie ukryty i bardzo trudne jest udowodnienie, że w ogóle w komputerze mamy zaszyfrowane i ukryte dane. Opcja ta jednak nie zawsze jest dostępna. W większości przypadków należy wybrać tryb normalny.
Kolejny krok jest dla osób, które mają dysk twardy podzielony na kilka partycji (np. C, D). Możesz tu wybrać, czy chcesz zaszyfrować cały dysk (czyli partycję systemową oraz dodatkowe partycje z danymi, które się na nim znajdują), czy też może chcesz zaszyfrować tylko partycję systemową (tylko „C”). Jeśli nie masz dodatkowych partycji na dysku, to do wyboru będzie tylko jedna opcja.
Pojawi się także możliwość wyboru sposobu bootowania, czyli uruchamiania systemu. Single-boot oznacza, że na komputerze mamy tylko jeden system operacyjny. Jeśli jednak mamy więcej niż jeden system (np. mamy kilka wersji Windowsa zainstalowanych obok siebie), to należy wybrać opcję Multi-boot.
W następnym ustawieniu możesz wybrać algorytm szyfrowania danych. Polecamy pozostawić domyślną opcję, czyli szyfrowanie 256-bitowym algorytmem AES.
W następnych krokach możesz dostosować opcje hasła i tworzenia dysku ratunkowego na wypadek, gdybyś zapomniał swojego głównego hasła i chciał odzyskać swoje dane. Przy podawaniu hasła nie należy używać polskich znaków – VeraCrypt nawet postara się temu zapobiec poprzez zmianę układu klawiatury na angielski, tak, aby nie można było wprowadzać niestandardowych znaków.
Po wypełnieniu wszystkich kroków rozpocznie się proces szyfrowania dysku, który może potrwać nawet kilka godzin. Wszystko zależy od rozmiaru dysku i ilości szyfrowanych danych. Po zaszyfrowaniu dysku systemowego konieczne będzie podawanie hasła przy każdym włączeniu komputera.