Windows 11 vyžadují pro instalaci čip TPM, ale přesto nemusí být jasné, jak a kdy je možné použít čip TPM pro šifrování disku počítače nebo notebooku. Stejný postup je ale možné použít i ve Windows 10, za předpokladu, že máme čip TPM v počítači.
Rychlá navigace
Které verze podporují šifrování?
Pokud máte Windows 10 Pro nebo Windows 11 Pro (nebo lepší), můžete pro šifrování použít přímo nástroj Bitlocker.
Pokud máte Windows 11 Home a máte PC, notebook nebo tablet, který má specifický hardware (který není blíže určen), mohou Windows povolit šifrování integrovaného disku pomocí funkce Zabezpečení zařízení – Šifrování dat (ta je součástí Windows Defender a dostanete se k ní trochu krkolomně z Nastavení – Soukromí a Zabezpečení – Šifrování zařízení; nebo stačí do Start napsat „Zabezpečení Windows“ nebo přímo „Šifrování disku“).
Pokud koupíte notebook z kategorie Kancelářské (HP, Dell, Lenovo) s Windows 11 Home, může být šifrování disku automaticky zapnuté.
Mám TPM čip?
Pokud máte Windows 11, pravděpodobně tento čip máte (Windows 11 bez čipu oficiálně nainstalovat nejdou). Všichni výrobci, kteří chtějí prodávat notebooky nebo PC s Windows 11 musejí čip instalovat.
Moderní desktopové základní desky nemusejí mít čip přímo instalovaný, ale mohou vytvářet virtuální TPM vrámci čipsetu. Někdy je potřeba tuto funkci zapnout v UEFI (BIOS).
Pokud máte Windows 10 nebo si chcete ověřit, že čip máte, stačí do Start napsat „tpm.msc“ – tím spustíte správce TPM čipu, kde na konci stránky najdete „Informace o čipu TPM“ – pro šifrování disku potřebujete verzi 1.2 nebo 2.0 (poslední údaj napravo).
Upozornění: ve správci TPM nic neměňte ani na nic neklikejte. Pokud změníte nastavení TPM nebo kliknete na Vymazat TPM, můžete tím přijít o možnost přihlásit se do Windows (smaže se váš PIN, otisky prstů nebo klíč k zašifrovanému disku, pokud je již šifrován).
Bitlocker (Windows Pro)
Pro spuštění Bitlocker můžete do nabídky Start zadat „bitlocker“ nebo ho spustit z Nastavení – Systém – O systému – Nástroj Bitlocker.
Pokud se místo Bitlockeru spustí Microsoft Store nebo Prohlížeč, znamená to, že vaše verze Windows tento nástroj nepodporuje (ale ještě není vše ztraceno).
Po spuštění Bitlockeru stačí kliknout na Zapnout nástroj BitLocker u disku, který chcete zašifrovat. Následně je potřeba uložit si šifrovací klíč buď do účtu Microsoft (pokud jste přihlášeni), nebo na externí disk (tedy disk, který se nebude šifrovat – a logicky který není v PC, aby ho nemohl případný zloděj jednoduše použít).
Pokud dostatanete tu možnost, zaškrtněte Ověřit funkčnost Bitlocker, čímž se Windows restartují a ověří, je PC a TPM čip podporují automatické dešifrování systémového disku.
Šifrování dat (Windows 11 Home)
Ve Windows 11 Home můžete použít funkci Šifrování dat, za předpokladu, že jde o notebook nebo tablet se specifickým hardware.
Jděte do Nastavení – Soukromí a Zabezpečení a klikněte na Šifrování zařízení. Alternativní postup je spustit Zabezpečení Windows (dříve Windows Defender), otevřít Zabezpečení zařízení a pod Šifrování dat kliknout na Správa šifrování zařízení.
Zde můžete Šifrování zapnout nebo vypnout. V tomto případě je ale možné šifrovací klíč uložit pouze do účtu Microsoft!
Ruční vynucení šifrování (Windows 10 Home)
Pokud výše uvedené postupy selžou, můžete šifrování vynutit ručně.
Nejprve musíte jít do Nastavení – Systém – Obnovení a kliknout na Restartovat hned pod Spustění s upřesněným nastavením.
Počítač se restartuje a po chvíli se spustí v režimu obnovení. Vyberte Odstranit potíže, pak Upřesnit možnosti a nakonec Příkazový řádek.
Nyní budete muset zjistit, který disk chcete zašifrovat. Pozor na to, že písmena jako C:, D:, E: apod. nemusejí přesně odpovídat. Pomocí příkazu můžete zobrazit, co je na disku:
> dir c:
Pro systémový disk ověřte, že jsou na disku složky Windows, Program Files a Users. Pro šifrování jiného disku ověřte, že jsou na něm složky, které čekáte (např. Dokumenty nebo Hry).
Nyní můžete zapnout šifrování disku pomocí Bitlockeru příkazem:
> manage-bde -on c: -used
Místo c: zadejte písmeno disku, který chcete skutečně zašifrovat. Parametr -used určuje, že se zašifrují pouze data a nikoliv prázdné místo. Následně můžete příkazem zobrazit informace o discích:
manage-bde -status
V řádku Conversion status vás zajímá současný stav:
- Fully decrypted znamená, že disk NENÍ zašifrován.
- Fully encrypted znamená, že celý disk je zašifrovaný.
- Used Space Only Encrypted znamená, že data jsou zašifrována (ale volné místo ne).
- Encryption in progress znamená, že šifrování je zapnuté, ale data zatím nebyla zašifrována (Pod Percentage vidíte, kolik procent je již zašifrováno).
- Decryption in progress znamená, že šifrování bylo nedávno vypnuto, ale některá data jsou ještě zašifrována (pod Percentage vidíte, kolik procent dat zbývá dešifrovat).
Zavřete příkazový řádek křížkem nebo stiskem ALT+F4 a zvolte Pokračovat, čímž se vrátít zpět do Windows.
Do Start zadejte „cmd“ a zvolte Spustit jako správce. Nyní je potřeba
Pro šifrovaný systémový disk zadejte dva příkazy:
> manage-bde c: -protectors -add -rp -tpm
> manage-bde -protectors -enable c:
Příkazy uloží dešifrovací klíč to TPM čipu a zároveň ho vytisknout na obrazovku – zobrazené heslo (Password – celkem 48 čísel) je potřeba si uložit do souboru na externí disk (nebo ho vytisknout na papír), aby bylo možno disk dešifrovat v případě resetování nebo poškození TPM čipu.
Pro šifrovaný nesystémový disk není možno použít TPM čip, ale místo toho probíhá dešifrování po spuštění Windows. Proto zadejte příkazy:
> manage-bde -autounlock -enable d:
> manage-bde -protectors -add rp d:
> manage-bde -protectors -enable d:
První příkaz uloží na systémový disk soubor *.BEK s klíčem pro dešifrování nesystémového disku (proto je doporučeno, aby i systémový disk byl šifrovaný). Druhý příkaz pak zobrazí dešifrovací heslo (Password – celkem 48 čísel), které je potřeba si uložit do souboru na externí disk (nebo ho vytisknout na papír), aby bylo možno disk dešifrovat v případě resetování nebo poškození TPM čipu.