BitLocker چیست و چطور با آن، ویندوز را رمزگذاری کنیم؟

حفاظت از اطلاعات شخصی، به‌ویژه در زمانی که به دلیل دزدیده‌شدن کامپیوتر، گم شدن آن یا هر دلیل دیگری، احتمال دسترسی غیرمجاز افراد دیگر به محتویات کامپیوتر یا لپ‌تاپ ما وجود دارد، یک چالش مهم است که در اغلب موارد، راه‌حل‌های نه‌چندان پیچیده‌ای مانند استفاده از پروتکل رمزگذاری BitLocker دارد.

BitLocker یک ویژگی امنیتی ویندوز است که امکان تعیین رمزعبور را برای تمام یا صرفاً بخشی از درایوهای کامپیوترهای ویندوزی فراهم می‌کند. بزرگ‌ترین مزیت رمزگذاری با بیت لاکر روی درایوهای سیستم، بی‌نیاز شدن‌ از نصب نرم‌افزارهای رمزگذاری است؛ به‌ویژه اگر جزء کاربران معمولی ویندوز باشید و نخواهید سیستم خود را درگیر روند پیچیده‌ی نصب و اجرای این نرم‌افزارها کنید. اگر به دنبال افزایش امنیت ویندوز خود با استفاده از ابزار BitLocker هستید، با ما همراه باشید.

بیت لاکر، فناوری رمزگذاری مایکروسافت برای سیستم‌عامل ویندوز است. این پروتکل، از ویندوز ویستا به بعد، جزئی از ابزارهای امنیتی ویندوز شد و در دستگاه‌های مجهز به نسخه‌های Ultimate و Enterprise ویندوز ویستا و ویندوز ۷، نسخه‌های پرو و اینترپرایز ویندوز ۸.۱ یا نسخه‌های پرو، اینترپرایز و Education ویندوز ۱۰ و ویندوز ۱۱ در دسترس کاربران قرار می‌گیرد.

با استفاده از بیت لاکر، می‌توانید تمام یا بخشی از یک درایو را در کامپیوتر ویندوزی خود رمزگذاری کنید تا باز کردن درایو مورد نظر و دسترسی به محتوای آن، صرفاً برای افراد دارنده‌ی کلید رمزگشایی امکان‌پذیر باشد. در مواقعی که شما به‌طور موقت یا دائم، به کامپیوتر یا لپ‌تاپ خود دسترسی ندارید، بیت لاکر به‌عنوان یک محافظ امنیتی قدرتمند وارد میدان می‌شود و با افزایش امنیت ویندوز، از ورود افراد غیرمجاز به اطلاعات کامپیوتر شما جلوگیری می‌کند.

پروتکل بیت لاکر برای محافظت از داده‌های کامپیوترهای ویندوزی، از ماژول TPM (مخفف Trusted Platform Module) استفاده می‌کند. این ماژول، یک تراشه‌ی بسیار کوچک است که به‌صورت مجتمع روی اغلب مادربوردهای جدید نصب می‌شود.

هنگامی که BitLocker را در یک درایو فعال می‌کنید، فرایند رمزگذاری توسط این ابزار بلافاصله آغاز می‌شود. بیت لاکر از یک الگوریتم کلید متقارن استفاده می‌کند. به عبارت ساده‌تر، در رمزگذاری درایو با بیت لاکر، از یک کلید برای هر دو فرایند رمزگذاری و رمزگشایی استفاده می‌شود.

در طول فرایند رمزگذاری، بیت لاکر دو نوع کلید FVEK (مخفف Full Volume Encryption Key) و کلید VMK (مخفف Volume Master Key) را تولید می‌کند. کلید FVEK وظیفه‌ی رمزگذاری و رمزگشایی داده‌ها را برعهده دارد؛ درحالی‌که از VMK برای محافظت از FVEK استفاده می‌شود و هر دو کلید نیز، توسط کلید رمزگذاری BitLocker که همان رمز عبور تعیین‌شده توسط کاربر است، محافظت خواهند شد.

کلید FVEK، درایو مورد نظر را بیت به بیت و کلاستر به کلاستر رمزگذاری می‌کند و محل قرارگیری هر مجموعه‌ی اطلاعات در آن درایو، تأثیری در ترتیب شروع و پیشبرد رمزگذاری نخواهد داشت. بر اساس شرایط درایو (ثابت یا جداشدنی) و حجم داده‌های درون درایو، زمان مورد نیاز برای اتمام فرایند رمزگذاری بیت لاکر متفاوت است؛ اما در حین این فرایند، مانعی برای کار با سیستم در حال رمزگذاری وجود ندارد.

پس از رمزگذاری درایور مورد نظر با استفاده از BitLocker، سیستم شما در هر بار راه‌اندازی، کلیدهای رمزگشایی را از TPM دریافت کرده و اجازه‌ی باز کردن محتوای درایو را صادر می‌کند. ازآنجاکه اغلب کامپیوترهای قدیمی، فاقد پردازنده‌ی TPM هستند، اجرای پروتکل BitLocker روی این کامپیوترها به شکل دیگری پیش می‌رود. در کامپیوترهایی که از پردازنده‌ی TPM استفاده نمی‌کنند؛ کاربر باید از طریق یکی از دو مسیر زیر، پروتکل BitLocker را اجرا کند:

• تعیین رمز عبور (PIN)
• استفاده از درایو قابل‌ حمل (مانند فلش USB) حاوی کلید راه‌اندازی

اگرچه استفاده از این دو روش، امکان رمزگذاری با بیت لاکر روی دستگاه‌های فاقد TPM را فراهم می‌کند؛ اما هیچ‌یک از آن‌ها، به اندازه‌ی کافی قابل‌ اعتماد نیستند و می‌توانند سیستم میزبان را در خطر تهدیداتی مانند حملات Brute Force (نوعی تهدید امنیتی که در آن هکرها به دنبال به دست آوردن رمز عبورِ سیستم هدف هستند) قرار دهند.

رمزگذاری با بیت لاکر، تنها روش افزایش امنیت ویندوزها نیست و با استفاده از سیستم‌های رمزگذاری دیگری مانند EFS نیز، می‌توانید درایوهای کامپیوتر ویندوزی خود را رمزگذاری کنید. شاید این سؤال برایتان ایجاد شود که تفاوت بین EFS و BitLocker در چیست و هر کدام با چه هدفی مورد استفاده قرار می‌گیرند؟

پروتکل BitLocker امکان رمزگذاری کامل یک درایو کامپیوتر ویندوزی را فراهم می‌کند و می‌توانید محتوای درایو مورد نظر را به‌صورت بیت به بیت رمزگذاری کنید. البته علاوه بر رمزگذاری کامل درایو، این پروتکل در صورت ساخت یک درایو مجازی (VHD) در کامپیوتر، امکان رمزگذاری فایل‌های دلخواه را نیز دارد.

در مقابل، سیستم رمزگذاری EFS (مخفف Encrypting File System) صرفاً می‌تواند فایل‌های مشخص‌شده را به‌صورت تک‌به‌تک رمزگذاری کند و عملکردی متفاوت با BitLocker دارد. علاوه بر این تفاوت، بیت لاکر وابسته به یک حساب خاص نیست؛ یعنی اگر در یک کامپیوتر ویندوزی، چند حساب مختلف با دسترسی Administrator و User وجود داشته باشد و پروتکل بیت لاکر توسط یکی از حساب‌های Administrator ایجاد شود، سایر حساب‌ها در صورت داشتن رمز عبور تعیین‌شده، می‌توانند به محتوای درایو رمزنگاری‌شده دست یابند.

برخلاف بیت لاکر، سیستم رمزگذاری EFS بر پایه‌ی یک حساب کاربری خاص عمل می‌کند و فایل‌های رمزنگاری‌شده توسط یک حساب کاربری خاص در کامپیوتر، صرفاً توسط همان حساب قابل‌ دسترسی خواهد بود و سایر حساب‌های ویندوز، حتی با داشتن رمز عبور امکان دستیابی به فایل‌های رمزگذاری‌شده را نخواهند داشت.

تفاوت بسیار مهم و کلیدی دیگر بین EFS و بیت لاکر، امکان اجرای BitLocker با فراخوانی کدها از پردازنده‌ی TPM است؛ قابلیتی که EFS از آن استفاده نمی‌کند و کلید رمزنگاری را صرفاً در سیستم‌عاملِ روی دستگاه مورد نظر ذخیره می‌کند. این ویژگی، امنیت EFS را در مقایسه با بیت‌لاکر تا حد زیادی کاهش می‌دهد.

بیت لاکر، در حالت معمول روی سیستم‌هایی که مادربورد آن‌ها مجهز به پردازنده‌ی TPM است، اجرا می‌شود؛ اما به این معنی نیست که سایر سیستم‌های فاقد TPM توانایی اجرای پروتکل BitLocker را ندارند. در ابتدای مقاله، اشاره کردیم که برای چنین سیستم‌هایی، استفاده از یکی از دو روش درایو قابل‌ حمل حاوی کلید راه‌اندازی یا تعیین رمز عبور (PIN)، می‌تواند روند اجرای بیت لاکر را میسر کند؛ البته راه‌حل اول، تنها شرط اجرای بیت لاکر نیست.

چه در سیستم‌های دارای ماژول TPM و چه سیستم‌های فاقد آن، باید مادربورد از یکی از دو فناوری BIOS یا UEFI پشتیبانی کند تا امکان خواندن کلید از درایو USB امکان‌پذیر باشد. در کنار این مورد، درایوی که اطلاعات آن به اجرای فرایند بیت لاکر کمک می‌کند (درایو USB)، باید دارای چهار ویژگی مهم زیر باشد:

• رمزگذاری نشده باشد.
• حاوی فایل‌های ویندوزی نباشد.
• دارای یکی از دو فرمت FAT32 (در سیستم‌های دارای مادربورد UEFI) یا NTFS (در سیستم‌های دارای مادربورد BIOS) باشد.
• حداقل ۲۵۰ تا ۳۵۰ مگابایت، فضای خالی داشته باشد.

رمزگذاری با بیت لاکر، یک روش ایمن و مطمئن برای افزایش امنیت اطلاعات شما در کامپیوتر ویندوزی است؛ با وجود این، شاید برای همه مناسب نباشد. پس از اجرای پروتکل بیت لاکر ویندوز ۱۱ یا ۱۰ یا هر ویندوز دیگری، تنها راه دستیابی شما به محتوای درایو رمزگذاری شده، از طریق کلید رمزگشایی ذخیره‌شده در تراشه‌ی امنیتی، فلش USB یا کلیدهای بازیابی خواهد بود.

با وجود امکان ذخیره‌سازی و نگهداری از کلیدهای عبور در اکانت مایکروسافت، برخی کاربران از این روش استفاده نمی‌کنند و در صورت فراموشی رمزعبور و کلید بازیابی، دسترسی به محتوای درایو رمزگذاری‌شده را برای همیشه از دست می‌دهند. ازاین‌رو، توصیه می‌کنیم که اگر جزو این دسته از کاربران هستید، تاحدامکان از روشن‌کردن پروتکل BitLocker روی هر یک از درایورهای ویندوز، خودداری کنید.

• برای فعال کردن BitLocker در ویندوز کنترل پنل را باز کرده و از منوی System and security گزینه‌ی BitLocker Drive Encryption را انتخاب کنید.
• پس از انتخاب درایو مورد نظر خود، روی گزینه‌ی Turn on BitLocker جلوی نام درایو کلیک کنید.

• روش باز کردن درایو قفل‌شده را از میان دو گزینه‌ی نمایش‌داده‌شده انتخاب کنید.

• رمز عبور مورد نظر خود را وارد کنید. توصیه می‌کنیم که این رمز، ترکیبی از اعداد و حروف کوچک و بزرگ انگلیسی باشد.
• روش تهیه‌ی نسخه‌ی پشتیبان از کلید بازیابی درایو را انتخاب کنید. توصیه می‌کنیم برای امنیت بیشتر کلید، از اکانت مایکروسافت استفاده کنید.

• تیک گزینه‌ی Encrypt used disk space only را بزنید. درصورتی‌که درایو شما حاوی اطلاعات زیادی است یا کامپیوتر شما قدیمی و کند محسوب می‌شود، گزینه‌ی دوم را انتخاب کنید.

• در این مرحله، باتوجه‌به شرایط درایو مورد نظر (درایوی که ثابت است یا درایوی که احتمالاً قصد جابه‌جایی آن به سیستمی دیگری را دارید) گزینه‌ی مناسب را انتخاب کنید. اگر تمایل دارید رمزگذاری بیت لاکر برای درایوهای داخل کامپیوتر یا لپ‌تاپ انجام شود، گزینه‌ی New encryption mode را انتخاب کرده و روی Next کلیک کنید.

• تیک گزینه‌ی Run BitLocker system check را بزنید و روی Continue کلیک کنید تا مراحل فعال‌شدن بیت لاکر ویندوز تکمیل شود.

• کامپیوتر خود را یک بار راه‌اندازی کنید تا مراحل رمزگذاری تکمیل شود.
• پس از بالا آمدن کامپیوتر، رمز عبوری را که تعیین کرده بودید، در کادر مشخص‌شده وارد کنید تا محیط ویندوز نمایش داده شود.

فرایند رمزگذاری با بیت لاکر در ویندوز ۱۰ و ۱۱ باتوجه‌به حجم داده‌های درایو مورد نظر شما، کمی زمان‌بر خواهد بود؛ اما در حین رمزگذاری، می‌توانید با سیستم خود کار کنید و مشکلی از این بابت وجود ندارد.

در برخی از مواقع، پس از مدتی و به دلایل مختلف، ممکن است نیاز به غیرفعال‌ کردن BitLocker ویندوز ۱۰ و ۱۱ داشته باشید. درصورتی‌که چنین تصمیمی دارید، می‌توانید از چند روش مختلف، بیت لاکر را روی سیستم خود غیرفعال کنید که در ادامه، از میان آن‌ها دو روش را معرفی خواهیم کرد.

برای خاموش‌کردن بیت لاکر در ویندوز از طریق کنترل پنل مطابق مراحل زیر پیش بروید:

• کنترل پنل را باز کرده و از منوی System and security گزینه‌ی BitLocker Drive Encryption را انتخاب کنید.
• گزینه‌ی Turn off BitLocker را در جلوی نام درایوی که رمزگذاری شده است، انتخاب کنید.

• در پنجره‌ی نمایش‌داده‌شده، روی Turn off BitLocker کلیک کنید تا بیت لاکر ویندوز ۱۱ خاموش شود.

• کلیدهای WIN + R را به‌صورت هم‌زمان فشار دهید تا پنجره‌ی Command Prompt باز شود.
• دستور زیر را تایپ کنید. توجه داشته باشید که به‌جای حرف X، باید نام درایوی را که با بیت لاکر رمزگذاری شده است، وارد کنید.

پس از اتمام رمزنگاری یک درایو در ویندوز، یک رمز عبور و یک کلید بازیابی یا Recovery Key در اختیار شما قرار می‌گیرد. درصورتی‌که در هنگام راه‌اندازی ویندوز، رمز عبور (PIN) را چند بار اشتباه وارد کنید، ویندوز وارد حالت BitLocker Recovery می‌شود؛ اما این وضعیت، تنها حالتی نیست که به مشکل BitLocker Recovery منجر می‌شود. حالت‌های مختلف زیر نیز، مانند واردکردن اشتباه رمز عبور، باعث ورود دستگاه به حالت ریکاوری بیت لاکر می‌شود:

• خاموش‌نکردن قابلیت خواندن درایو USB در محیط پیش از بوت شدن سیستم در زمانی که به‌جای TPM از درایو USB استفاده می‌کنید.
• وجود CD یا DVD درون دستگاه و خواندن آن‌ها پیش از خوانده شدن اطلاعات هارد سیستم
• تغییر پارتیشن‌بندی هارد
• تغییر فرمت دیسک رمزگذاری‌شده
• خاموش‌کردن، غیرفعال‌کردن یا پاک‌کردن TPM
• تغییر تنظیمات BIOS یا UEFI
• ارتقای مادربورد به یک مادربورد جدیدِ مجهز به TPM جدید
• شکست فرایند دریافت اطلاعات درایو رمزگذاری‌شده از TPM
• انتقال یک درایو محافظت‌شده با BitLocker به یک کامپیوتر جدید
• افزایش تعداد تلاش‌های ناموفق برای ورود به سیستم

قدم اول در رفع مشکل BitLocker Recovery، پیداکردن علت بروز این مشکل است. به‌طور مثال، درصورتی‌که حالت BitLocker Recovery به دلیل تغییر یا ارتقا سخت‌افزار یا تغییر ویندوز رخ داده باشد؛ غیرفعال‌کردن موقت بیت لاکر برای رمزگذاری مجدد درایو مورد نظر، مشکل BitLocker Recovery را حل می‌کند.

در زمانی که صفحه‌ی BitLocker Recovery به شما نمایش داده می‌شود، می‌توانید با استفاده از یکی از این دو روش، وارد فضای ویندوز شوید:

• از کلید بازیابی‌ای که قبلاً پرینت گرفته‌اید یا در اکانت مایکروسافت، درایو USB یا به‌صورت فایل در هر جای دیگری ذخیره کرده‌اید، استفاده کنید.
• از محیط ریکاوری ویندوز یا WinRE (مخفف Windows Recovery Environment) کمک بگیرید.

برای حالت اول، دسترسی شما به کلید بازیابی ۴۸ رقمی‌ای که در زمان فعال‌سازی بیت لاکر در اختیار شما قرار گرفته است، ضروری خواهد بود و بدون این کلید، قادر به عبور از صفحه‌ی BitLocker Recovery نیستید.

در حالت دوم، درصورتی‌که کامپیوتر شما مجهز به ماژول TPM باشد، پس از عدم موفقیت در راه‌اندازی ویندوز، WinRE توسط TPM بررسی می‌شود. اگر WinRE به‌عنوان یک محیط قابل‌ اعتماد شناسایی شود، بدون نیاز به واردکردن کلید بازیابی ۴۸ رقمی، ویندوز راه‌اندازی خواهد شد و صفحه‌ی BitLocker Recovery رد می‌شود.

اگر TPM فعال نباشد یا WinRE به‌درستی عمل نکند، متأسفانه چاره‌ای به‌جز واردکردن رمز ۴۸ رقمی بازیابی بیت لاکر ندارید و بدون این رمز، نمی‌توانید وارد ویندوز یا درایو قفل‌شده شوید.

توجه داشته باشید که حل مشکل BitLocker Recovery از طریق WinRE تنها در صورتی قابل‌ انجام است که WinRE را روی ویندوز خود غیرفعال نکرده باشید.

برخی از نرم‌افزارهای رمزگشایی مدعی هستند که می‌توانند درایور قفل‌شده با بیت لاکر را بدون نیاز به کلید بازیابی و رمز عبور، رمزگشایی کنند. این ادعا، درست نیست و همان‌طور که در بخش قبلی نیز اشاره کردیم، تنها WinRE و آن هم در یک شرایط خاص، قادر به باز کردن قفل درایو خواهد بود.

درصورتی‌که WinRE نتواند درایو رمزگذاری‌شده با بیت لاکر را باز کند و به‌هیچ‌وجه به کلید بازیابی دسترسی نداشته باشید؛ متأسفانه تنها راه‌حل شما، فرمت کامل هاردی خواهد بود که تمام یا بخشی از آن قفل شده است.

این مقاله را مرتضی منیری در مرداد ۱۳۹۵ نوشته بود و الهام بهمن‌پور آن‌ را در مرداد ۱۴۰۳ بازنویسی کرد.