BitLocker چیست و چطور با آن، ویندوز را رمزگذاری کنیم؟
حفاظت از اطلاعات شخصی، بهویژه در زمانی که به دلیل دزدیدهشدن کامپیوتر، گم شدن آن یا هر دلیل دیگری، احتمال دسترسی غیرمجاز افراد دیگر به محتویات کامپیوتر یا لپتاپ ما وجود دارد، یک چالش مهم است که در اغلب موارد، راهحلهای نهچندان پیچیدهای مانند استفاده از پروتکل رمزگذاری BitLocker دارد.
BitLocker یک ویژگی امنیتی ویندوز است که امکان تعیین رمزعبور را برای تمام یا صرفاً بخشی از درایوهای کامپیوترهای ویندوزی فراهم میکند. بزرگترین مزیت رمزگذاری با بیت لاکر روی درایوهای سیستم، بینیاز شدن از نصب نرمافزارهای رمزگذاری است؛ بهویژه اگر جزء کاربران معمولی ویندوز باشید و نخواهید سیستم خود را درگیر روند پیچیدهی نصب و اجرای این نرمافزارها کنید. اگر به دنبال افزایش امنیت ویندوز خود با استفاده از ابزار BitLocker هستید، با ما همراه باشید.
- BitLocker چیست و چه کاربردی دارد؟
- BitLocker چطور کار میکند؟
- تفاوت بین EFS و BitLocker
- چه سیستمهایی از قابلیت BitLocker پشتیبانی میکنند؟
- آیا فعال کردن BitLocker برای همه ضروری است؟
- فعال کردن BitLocker
- غیرفعال کردن BitLocker
- غیرفعال کردن بیت لاکر با کنترل پنل
- حذف بیت لاکر با cmd
- رفع مشکل BitLocker Recovery
- شکستن قفل بیت لاکر بدون Recovery Key
BitLocker چیست و چه کاربردی دارد؟
بیت لاکر، فناوری رمزگذاری مایکروسافت برای سیستمعامل ویندوز است. این پروتکل، از ویندوز ویستا به بعد، جزئی از ابزارهای امنیتی ویندوز شد و در دستگاههای مجهز به نسخههای Ultimate و Enterprise ویندوز ویستا و ویندوز ۷، نسخههای پرو و اینترپرایز ویندوز ۸.۱ یا نسخههای پرو، اینترپرایز و Education ویندوز ۱۰ و ویندوز ۱۱ در دسترس کاربران قرار میگیرد.
با استفاده از بیت لاکر، میتوانید تمام یا بخشی از یک درایو را در کامپیوتر ویندوزی خود رمزگذاری کنید تا باز کردن درایو مورد نظر و دسترسی به محتوای آن، صرفاً برای افراد دارندهی کلید رمزگشایی امکانپذیر باشد. در مواقعی که شما بهطور موقت یا دائم، به کامپیوتر یا لپتاپ خود دسترسی ندارید، بیت لاکر بهعنوان یک محافظ امنیتی قدرتمند وارد میدان میشود و با افزایش امنیت ویندوز، از ورود افراد غیرمجاز به اطلاعات کامپیوتر شما جلوگیری میکند.
BitLocker چطور کار میکند؟
پروتکل بیت لاکر برای محافظت از دادههای کامپیوترهای ویندوزی، از ماژول TPM (مخفف Trusted Platform Module) استفاده میکند. این ماژول، یک تراشهی بسیار کوچک است که بهصورت مجتمع روی اغلب مادربوردهای جدید نصب میشود.
هنگامی که BitLocker را در یک درایو فعال میکنید، فرایند رمزگذاری توسط این ابزار بلافاصله آغاز میشود. بیت لاکر از یک الگوریتم کلید متقارن استفاده میکند. به عبارت سادهتر، در رمزگذاری درایو با بیت لاکر، از یک کلید برای هر دو فرایند رمزگذاری و رمزگشایی استفاده میشود.
در طول فرایند رمزگذاری، بیت لاکر دو نوع کلید FVEK (مخفف Full Volume Encryption Key) و کلید VMK (مخفف Volume Master Key) را تولید میکند. کلید FVEK وظیفهی رمزگذاری و رمزگشایی دادهها را برعهده دارد؛ درحالیکه از VMK برای محافظت از FVEK استفاده میشود و هر دو کلید نیز، توسط کلید رمزگذاری BitLocker که همان رمز عبور تعیینشده توسط کاربر است، محافظت خواهند شد.
کلید FVEK، درایو مورد نظر را بیت به بیت و کلاستر به کلاستر رمزگذاری میکند و محل قرارگیری هر مجموعهی اطلاعات در آن درایو، تأثیری در ترتیب شروع و پیشبرد رمزگذاری نخواهد داشت. بر اساس شرایط درایو (ثابت یا جداشدنی) و حجم دادههای درون درایو، زمان مورد نیاز برای اتمام فرایند رمزگذاری بیت لاکر متفاوت است؛ اما در حین این فرایند، مانعی برای کار با سیستم در حال رمزگذاری وجود ندارد.
پس از رمزگذاری درایور مورد نظر با استفاده از BitLocker، سیستم شما در هر بار راهاندازی، کلیدهای رمزگشایی را از TPM دریافت کرده و اجازهی باز کردن محتوای درایو را صادر میکند. ازآنجاکه اغلب کامپیوترهای قدیمی، فاقد پردازندهی TPM هستند، اجرای پروتکل BitLocker روی این کامپیوترها به شکل دیگری پیش میرود. در کامپیوترهایی که از پردازندهی TPM استفاده نمیکنند؛ کاربر باید از طریق یکی از دو مسیر زیر، پروتکل BitLocker را اجرا کند:
- تعیین رمز عبور (PIN)
- استفاده از درایو قابل حمل (مانند فلش USB) حاوی کلید راهاندازی
اگرچه استفاده از این دو روش، امکان رمزگذاری با بیت لاکر روی دستگاههای فاقد TPM را فراهم میکند؛ اما هیچیک از آنها، به اندازهی کافی قابل اعتماد نیستند و میتوانند سیستم میزبان را در خطر تهدیداتی مانند حملات Brute Force (نوعی تهدید امنیتی که در آن هکرها به دنبال به دست آوردن رمز عبورِ سیستم هدف هستند) قرار دهند.
تفاوت بین EFS و BitLocker
رمزگذاری با بیت لاکر، تنها روش افزایش امنیت ویندوزها نیست و با استفاده از سیستمهای رمزگذاری دیگری مانند EFS نیز، میتوانید درایوهای کامپیوتر ویندوزی خود را رمزگذاری کنید. شاید این سؤال برایتان ایجاد شود که تفاوت بین EFS و BitLocker در چیست و هر کدام با چه هدفی مورد استفاده قرار میگیرند؟
پروتکل BitLocker امکان رمزگذاری کامل یک درایو کامپیوتر ویندوزی را فراهم میکند و میتوانید محتوای درایو مورد نظر را بهصورت بیت به بیت رمزگذاری کنید. البته علاوه بر رمزگذاری کامل درایو، این پروتکل در صورت ساخت یک درایو مجازی (VHD) در کامپیوتر، امکان رمزگذاری فایلهای دلخواه را نیز دارد.
در مقابل، سیستم رمزگذاری EFS (مخفف Encrypting File System) صرفاً میتواند فایلهای مشخصشده را بهصورت تکبهتک رمزگذاری کند و عملکردی متفاوت با BitLocker دارد. علاوه بر این تفاوت، بیت لاکر وابسته به یک حساب خاص نیست؛ یعنی اگر در یک کامپیوتر ویندوزی، چند حساب مختلف با دسترسی Administrator و User وجود داشته باشد و پروتکل بیت لاکر توسط یکی از حسابهای Administrator ایجاد شود، سایر حسابها در صورت داشتن رمز عبور تعیینشده، میتوانند به محتوای درایو رمزنگاریشده دست یابند.
برخلاف بیت لاکر، سیستم رمزگذاری EFS بر پایهی یک حساب کاربری خاص عمل میکند و فایلهای رمزنگاریشده توسط یک حساب کاربری خاص در کامپیوتر، صرفاً توسط همان حساب قابل دسترسی خواهد بود و سایر حسابهای ویندوز، حتی با داشتن رمز عبور امکان دستیابی به فایلهای رمزگذاریشده را نخواهند داشت.
تفاوت بسیار مهم و کلیدی دیگر بین EFS و بیت لاکر، امکان اجرای BitLocker با فراخوانی کدها از پردازندهی TPM است؛ قابلیتی که EFS از آن استفاده نمیکند و کلید رمزنگاری را صرفاً در سیستمعاملِ روی دستگاه مورد نظر ذخیره میکند. این ویژگی، امنیت EFS را در مقایسه با بیتلاکر تا حد زیادی کاهش میدهد.
چه سیستمهایی از قابلیت BitLocker پشتیبانی میکنند؟
بیت لاکر، در حالت معمول روی سیستمهایی که مادربورد آنها مجهز به پردازندهی TPM است، اجرا میشود؛ اما به این معنی نیست که سایر سیستمهای فاقد TPM توانایی اجرای پروتکل BitLocker را ندارند. در ابتدای مقاله، اشاره کردیم که برای چنین سیستمهایی، استفاده از یکی از دو روش درایو قابل حمل حاوی کلید راهاندازی یا تعیین رمز عبور (PIN)، میتواند روند اجرای بیت لاکر را میسر کند؛ البته راهحل اول، تنها شرط اجرای بیت لاکر نیست.
چه در سیستمهای دارای ماژول TPM و چه سیستمهای فاقد آن، باید مادربورد از یکی از دو فناوری BIOS یا UEFI پشتیبانی کند تا امکان خواندن کلید از درایو USB امکانپذیر باشد. در کنار این مورد، درایوی که اطلاعات آن به اجرای فرایند بیت لاکر کمک میکند (درایو USB)، باید دارای چهار ویژگی مهم زیر باشد:
- رمزگذاری نشده باشد.
- حاوی فایلهای ویندوزی نباشد.
- دارای یکی از دو فرمت FAT32 (در سیستمهای دارای مادربورد UEFI) یا NTFS (در سیستمهای دارای مادربورد BIOS) باشد.
- حداقل ۲۵۰ تا ۳۵۰ مگابایت، فضای خالی داشته باشد.
آیا فعال کردن BitLocker برای همه ضروری است؟
رمزگذاری با بیت لاکر، یک روش ایمن و مطمئن برای افزایش امنیت اطلاعات شما در کامپیوتر ویندوزی است؛ با وجود این، شاید برای همه مناسب نباشد. پس از اجرای پروتکل بیت لاکر ویندوز ۱۱ یا ۱۰ یا هر ویندوز دیگری، تنها راه دستیابی شما به محتوای درایو رمزگذاری شده، از طریق کلید رمزگشایی ذخیرهشده در تراشهی امنیتی، فلش USB یا کلیدهای بازیابی خواهد بود.
با وجود امکان ذخیرهسازی و نگهداری از کلیدهای عبور در اکانت مایکروسافت، برخی کاربران از این روش استفاده نمیکنند و در صورت فراموشی رمزعبور و کلید بازیابی، دسترسی به محتوای درایو رمزگذاریشده را برای همیشه از دست میدهند. ازاینرو، توصیه میکنیم که اگر جزو این دسته از کاربران هستید، تاحدامکان از روشنکردن پروتکل BitLocker روی هر یک از درایورهای ویندوز، خودداری کنید.
فعال کردن BitLocker
- برای فعال کردن BitLocker در ویندوز کنترل پنل را باز کرده و از منوی System and security گزینهی BitLocker Drive Encryption را انتخاب کنید.
- پس از انتخاب درایو مورد نظر خود، روی گزینهی Turn on BitLocker جلوی نام درایو کلیک کنید.
- روش باز کردن درایو قفلشده را از میان دو گزینهی نمایشدادهشده انتخاب کنید.
- رمز عبور مورد نظر خود را وارد کنید. توصیه میکنیم که این رمز، ترکیبی از اعداد و حروف کوچک و بزرگ انگلیسی باشد.
- روش تهیهی نسخهی پشتیبان از کلید بازیابی درایو را انتخاب کنید. توصیه میکنیم برای امنیت بیشتر کلید، از اکانت مایکروسافت استفاده کنید.
- تیک گزینهی Encrypt used disk space only را بزنید. درصورتیکه درایو شما حاوی اطلاعات زیادی است یا کامپیوتر شما قدیمی و کند محسوب میشود، گزینهی دوم را انتخاب کنید.
- در این مرحله، باتوجهبه شرایط درایو مورد نظر (درایوی که ثابت است یا درایوی که احتمالاً قصد جابهجایی آن به سیستمی دیگری را دارید) گزینهی مناسب را انتخاب کنید. اگر تمایل دارید رمزگذاری بیت لاکر برای درایوهای داخل کامپیوتر یا لپتاپ انجام شود، گزینهی New encryption mode را انتخاب کرده و روی Next کلیک کنید.
- تیک گزینهی Run BitLocker system check را بزنید و روی Continue کلیک کنید تا مراحل فعالشدن بیت لاکر ویندوز تکمیل شود.
- کامپیوتر خود را یک بار راهاندازی کنید تا مراحل رمزگذاری تکمیل شود.
- پس از بالا آمدن کامپیوتر، رمز عبوری را که تعیین کرده بودید، در کادر مشخصشده وارد کنید تا محیط ویندوز نمایش داده شود.
فرایند رمزگذاری با بیت لاکر در ویندوز ۱۰ و ۱۱ باتوجهبه حجم دادههای درایو مورد نظر شما، کمی زمانبر خواهد بود؛ اما در حین رمزگذاری، میتوانید با سیستم خود کار کنید و مشکلی از این بابت وجود ندارد.
غیرفعال کردن BitLocker
در برخی از مواقع، پس از مدتی و به دلایل مختلف، ممکن است نیاز به غیرفعال کردن BitLocker ویندوز ۱۰ و ۱۱ داشته باشید. درصورتیکه چنین تصمیمی دارید، میتوانید از چند روش مختلف، بیت لاکر را روی سیستم خود غیرفعال کنید که در ادامه، از میان آنها دو روش را معرفی خواهیم کرد.
غیرفعال کردن بیت لاکر با کنترل پنل
برای خاموشکردن بیت لاکر در ویندوز از طریق کنترل پنل مطابق مراحل زیر پیش بروید:
- کنترل پنل را باز کرده و از منوی System and security گزینهی BitLocker Drive Encryption را انتخاب کنید.
- گزینهی Turn off BitLocker را در جلوی نام درایوی که رمزگذاری شده است، انتخاب کنید.
- در پنجرهی نمایشدادهشده، روی Turn off BitLocker کلیک کنید تا بیت لاکر ویندوز ۱۱ خاموش شود.
حذف بیت لاکر با cmd
- کلیدهای WIN + R را بهصورت همزمان فشار دهید تا پنجرهی Command Prompt باز شود.
- دستور زیر را تایپ کنید. توجه داشته باشید که بهجای حرف X، باید نام درایوی را که با بیت لاکر رمزگذاری شده است، وارد کنید.
رفع مشکل BitLocker Recovery
پس از اتمام رمزنگاری یک درایو در ویندوز، یک رمز عبور و یک کلید بازیابی یا Recovery Key در اختیار شما قرار میگیرد. درصورتیکه در هنگام راهاندازی ویندوز، رمز عبور (PIN) را چند بار اشتباه وارد کنید، ویندوز وارد حالت BitLocker Recovery میشود؛ اما این وضعیت، تنها حالتی نیست که به مشکل BitLocker Recovery منجر میشود. حالتهای مختلف زیر نیز، مانند واردکردن اشتباه رمز عبور، باعث ورود دستگاه به حالت ریکاوری بیت لاکر میشود:
- خاموشنکردن قابلیت خواندن درایو USB در محیط پیش از بوت شدن سیستم در زمانی که بهجای TPM از درایو USB استفاده میکنید.
- وجود CD یا DVD درون دستگاه و خواندن آنها پیش از خوانده شدن اطلاعات هارد سیستم
- تغییر پارتیشنبندی هارد
- تغییر فرمت دیسک رمزگذاریشده
- خاموشکردن، غیرفعالکردن یا پاککردن TPM
- تغییر تنظیمات BIOS یا UEFI
- ارتقای مادربورد به یک مادربورد جدیدِ مجهز به TPM جدید
- شکست فرایند دریافت اطلاعات درایو رمزگذاریشده از TPM
- انتقال یک درایو محافظتشده با BitLocker به یک کامپیوتر جدید
- افزایش تعداد تلاشهای ناموفق برای ورود به سیستم
قدم اول در رفع مشکل BitLocker Recovery، پیداکردن علت بروز این مشکل است. بهطور مثال، درصورتیکه حالت BitLocker Recovery به دلیل تغییر یا ارتقا سختافزار یا تغییر ویندوز رخ داده باشد؛ غیرفعالکردن موقت بیت لاکر برای رمزگذاری مجدد درایو مورد نظر، مشکل BitLocker Recovery را حل میکند.
در زمانی که صفحهی BitLocker Recovery به شما نمایش داده میشود، میتوانید با استفاده از یکی از این دو روش، وارد فضای ویندوز شوید:
- از کلید بازیابیای که قبلاً پرینت گرفتهاید یا در اکانت مایکروسافت، درایو USB یا بهصورت فایل در هر جای دیگری ذخیره کردهاید، استفاده کنید.
- از محیط ریکاوری ویندوز یا WinRE (مخفف Windows Recovery Environment) کمک بگیرید.
برای حالت اول، دسترسی شما به کلید بازیابی ۴۸ رقمیای که در زمان فعالسازی بیت لاکر در اختیار شما قرار گرفته است، ضروری خواهد بود و بدون این کلید، قادر به عبور از صفحهی BitLocker Recovery نیستید.
در حالت دوم، درصورتیکه کامپیوتر شما مجهز به ماژول TPM باشد، پس از عدم موفقیت در راهاندازی ویندوز، WinRE توسط TPM بررسی میشود. اگر WinRE بهعنوان یک محیط قابل اعتماد شناسایی شود، بدون نیاز به واردکردن کلید بازیابی ۴۸ رقمی، ویندوز راهاندازی خواهد شد و صفحهی BitLocker Recovery رد میشود.
اگر TPM فعال نباشد یا WinRE بهدرستی عمل نکند، متأسفانه چارهای بهجز واردکردن رمز ۴۸ رقمی بازیابی بیت لاکر ندارید و بدون این رمز، نمیتوانید وارد ویندوز یا درایو قفلشده شوید.
توجه داشته باشید که حل مشکل BitLocker Recovery از طریق WinRE تنها در صورتی قابل انجام است که WinRE را روی ویندوز خود غیرفعال نکرده باشید.
شکستن قفل بیت لاکر بدون Recovery Key
برخی از نرمافزارهای رمزگشایی مدعی هستند که میتوانند درایور قفلشده با بیت لاکر را بدون نیاز به کلید بازیابی و رمز عبور، رمزگشایی کنند. این ادعا، درست نیست و همانطور که در بخش قبلی نیز اشاره کردیم، تنها WinRE و آن هم در یک شرایط خاص، قادر به باز کردن قفل درایو خواهد بود.
درصورتیکه WinRE نتواند درایو رمزگذاریشده با بیت لاکر را باز کند و بههیچوجه به کلید بازیابی دسترسی نداشته باشید؛ متأسفانه تنها راهحل شما، فرمت کامل هاردی خواهد بود که تمام یا بخشی از آن قفل شده است.
این مقاله را مرتضی منیری در مرداد ۱۳۹۵ نوشته بود و الهام بهمنپور آن را در مرداد ۱۴۰۳ بازنویسی کرد.
سوالات متداول
آیا میتوانیم بدون TPM از BitLocker استفاده کنیم؟
بله. در کامپیوترهای فاقد پردازندهی TPM، امکان فعالسازی رمزگذاری با بیت لاکر از طریق درایو USB حاوی اطلاعات مورد نیاز بیت لاکر وجود دارد. در این حالت باید مادر بورد BIOS یا UEFI سیستم مورد نظر، توانایی خواندن اطلاعات از درایو USB را داشته باشد.
اگر کامپیوتر در حین رمزگذاری یا رمزگشایی خاموش شود چه اتفاقی میافتد؟
اگر در طول فرایند رمزگذاری و رمزگشایی BitLocker، کامپیوتر بهطور ناگهانی خاموش شود، دفعهی بعدی که ویندوز شروع به کار میکند، فرایند رمزگذاری و رمزگشایی BitLocker از سر گرفته میشود.
آیا میتوانیم فقط بخشی از فضای یک درایو را با BitLocker رمزگذاری کنیم؟
بله. در صورت تمایل برای رمزگذاری فایلهای خاصی در یک درایو، میتوانید با ایجاد یک درایو مجازی و انتقال فایلهای مورد نظر به این درایو، صرفاً همان درایو مجازی را رمزگذاری کنید.
آیا درایو رمزگذاری شده با بیت لاکر، بدون Recovery Key باز میشود؟
خیر. باز کردن یک درایو رمزگذاریشده با بیت لاکر، به کلید بازیابی نیاز دارد. درصورتیکه این کلید را از دست بدهید، به محتوای درایو رمزگذاریشده دسترسی نخواهید داشت.
چرا بعضی از درایوها امکان رمزگذاری با BitLocker را ندارند؟
برخی از درایوها به دلایلی مانند نداشتن فضای کافی، نوع فرمت نامناسب و همچنین، در حالتی که بهعنوان پارتیشن سیستم تعیین شده باشند؛ امکان رمزگذاری با بیت لاکر را ندارند.
نظرات