Pokud máte Windows 10 ve verzi Pro, můžete použít integrovaný nástroj Bitlocker pro zašifrování systémového nebo dalšího disku.
Rychlá navigace
TPM a jiné metody
Pokud nemáte PC s TPM (Trusted Platform Module), budete muset nejprve povolit ostatní metody šifrování. Pokud máte firemní PC připojené do domény, požádejte o následující změnu vašeho správce sítě. Pokud PC v doméně není (při instalaci jste zvolili „Domácí použití“), můžete si změnu provést sami. Pokud máte v PC modul TPM, nemusíte nic dělat a přeskočte následující odstavec.
Otevřete Nabídku Start a zadejte „gpedit.msc
“ (Group Policy Editor). V okně (vpravo) zvolte Konfigurace počítače – Šablony pro správu – Součásti systému Windows – Šifrování jednotky nástrojem Bitlocker – Jednotky operačního systému. Zde najděte možnost Požadovat při spouštění další ověřování, dvojklikem ji otevřete a zvolte Povoleno. Také se přesvědčte, že je zaškrtnuto Povolit nástroj Bitlocker bez kompatibilního čipu TPM (ve verzi April 2018 je tato možnost již není a je vždy zapnuta). Tím jste povolili šifrovat disk tak, že před spuštěním PC zadáte heslo nebo připojíte nějaký USB flash disk (tzv. HW klíč). Klikněte na OK a editor zavřete.
Možnosti šifrování
Otevřete Nabídku Start, zadejte „bitlocker
“ a klikněte na Spravovat nástroj Bitlocker. V okně najdete seznam pevných a vyměnitelných disků, které je možné šifrovat. Šifrování zapnete odkazem Zapnout nástroj Bitlocker (nebo Bitlocker To Go pro vyměnitelné disky) pod příslušnou položkou. Pokud chcete šifrovat celé PC, klikněte na Zapnout pod Jednotka operačního systému. Pro šifrování ostatních disků zvolte Zapnout pod Pevné datové jednotky nebo Vyměnitelné datové jednotky. Pokud nevidíte odkaz Zapnout, klikněte na rozbalovací šipku vpravo.
Jako první musíte zvolit, jak budete PC nebo jednotku odemykat. Na výběr máte USB Flash disk (HW klíč), heslo nebo (pokud ji máte nastavenu) čtečku otisků prstů.
- Pokud zvolíte heslo, musí mít alespoň 8 znaků z alespoň dvou kategorií: malá/velká písmena (a-z/A-Z), čísla (0-9), speciální znaky (+-,! atd.) nebo mezery – dobré heslo nemusí být složité, stačí třeba „Sezame, otevri se“. Jen si dejte pozor na to, že při spuštění počítače bude k dispozici jen anglická klávesnice, takže české znaky (á, š, č, atd.) nebudou fungovat a speciální znaky (+, -, $, atd.) mohou být na jiné klávese. Nemusíte se ale bát, protože stiskem INSERT můžete nechat heslo zobrazit a ověřit, že znáte polohu požadovaných znaků.
- Pokud zvolíte USB Flash disk, následně budete muset zvolit jeden z připojených disků. Bitlocker na disku vytvoří skrytý soubor (
*.BEK
), který bude následně použit pro odemčení. Soubor zabírá jen pár bajtů (do 1kB), takže se vejde na jakkoliv velký disk. To také znamená, že daný disk budete moci i nadále používat pro ukládání souborů (např. pro zálohování). Soubor je pojmenován podle identifikátoru PC nebo disku, takže můžete jeden Flash disk použít pro odemčení více PC nebo disků.
Následně si musíte zazálohovat obnovovací klíč, protože bez něj byste přišli o všechna data v PC, pokud byste zapomněli heslo nebo ztratili USB klíč. Zálohu můžete uložit do svého Microsoft účtu (pokud jste k Windows přihlášeni přes online účet), nebo ho můžete uložit na Flash disk nebo interní disk (ale ne na disk, který právě šifrujete). Poslední možností je si heslo vytisknout (přičemž můžete použít PDF nebo XPS tiskárny integrované do Windows 10). Samozřejmě můžete heslo uložit do více umístění a zvýšit tak bezpečnost. Do souboru nebo tiskárny se ale neuloží přímo vaše heslo, ale speciální 48 místný číselný klíč, který bude fungovat stejně jako heslo. Obnovovací klíč bude fungovat i v případě, že se kvůli chybě poškodí část disku, na kterém je uložen šifrovací klíč. Pokud máte tiskárnu, doporučuji si ho vytisknout alespoň do doby, než ověříte, že vaše heslo (nebo jiná metoda) dokáže PC odemknou – následně můžete papír skartovat nebo spálit a používat jen ostatní digitální metody. Klíč můžete zálohovat i později – za předpokladu, že dokážete PC odemknout heslem nebo klíčem.
Teď již můžete začít šifrovat disk. Musíte zvolit, zda chcete šifrovat pouze existující a nová data, nebo chcete zašifrovat i část disku, která může obsahovat smazané soubory. Pokud šifrujete nový prázdný disk nebo nový počítač (do kterého jste zatím kromě Windows nic jiného nenahráli), postačí vám první možnost (Zašifrovat pouze využité místo). Pokud naopak šifrujete disk nebo PC, které již nějakou dobu používáte, doporučuji použít druhou možnost (Zašifrovat celou jednotku). Z hlediska budoucího používání se volby nijak neliší.
V případě šifrování celého PC zašifruje Bitlocker pouze systémový disk (C:
), ale potřebuje, aby na HDD byl ještě druhý nezašifrovaný disk, na kterém budou uloženy spouštěcí soubory Bitlockeru. Ve většině případů je již takový disk přítomen (disk „Rezervováno systémem
„) a používá se pro normální spouštění systému Windows.
Další volba je kompatibilita s verzí Windows. Pokud zvolíte Nový režim, bude zašifrovaný disk bezpečnější, ale čitelný pouze ve Windows 10 s updatem vydaným po 15. listopadu 2015 (build 10586 a novější; tzn. 1511 November, 1607 Anniversary, 1703 Creators, atd.). Pokud chcete, aby byl disk čitelný i v původní verzi Windows 10 (1507 Threshold 1) nebo starších Windows (Vista, 7, 8, 8.1), zvolte Režim kompatibility. Pro přenosné disky (Bitlocker To Go), které chcete skutečně přenášet, je lepší zvolit Režim kompatibility.
V posledním kroku zaškrtněte Spustit kontrolu systému, klikněte na Pokračovat a pak na Restartovat PC. Ihned po restartu budete muset poprvé zadat heslo (pokud je použito), čímž ověříte, že jste ho správně vložili a jde zadat na anglické klávesnici. Pokud jste pro odemčení zvolili USB Flash disk, musíte ho nechat během tohoto restartu připojený, protože jinak nedojde ke správnému zapnutí šifrování a budete muset celý proces opakovat.
Práce se zašifrovaným PC
Po odemčení a spuštění PC, můžete znovu spustit nástroj Bitlocker, kde by se nyní mělo u zvoleného disku zobrazit Nástroj Bitlocker provádí šifrování. Pamatujte, že dokud bude toto zobrazeno, nejsou zatím chráněny všechny soubory a není tedy vhodné PC nechávat bez dozoru. Během šifrování již nemusí být připojen USB Flash disk, pokud je použit. Po dokončení šifrování se zobrazí Nástroj Bitlocker zapnut.
V nástroji Bitlocker nyní můžete vytvořit další zálohy obnovovacího klíče. Pokud jste zvolili odemčení heslem, můžete ho změnit. Pokud pro odemčení slouží USB Flash disk, můžete klíč zkopírovat na jiný disk kliknutím na Kopírovat spouštěcí klíč a následnou volbou USB Flash disku, kam chcete klíč uložit.
Šifrování můžete dočasně vypnout kliknutím na Pozastavit ochranu (až poté, co se dokončí šifrování celého disku). To je vhodné provést, pokud chcete provést nějakou změnu HW (např. připojit nový disk, změnit základní desku, apod.), aktualizujete BIOS/UEFI nebo pokud chcete updatovat Windows. Po pozastavení přestane Bitlocker šifrovat soubory a nebude potřeba zadat heslo pro restartování PC. Pozastavení funguje ale jen pro následující restart a jakmile Windows znovu naběhnout, Bitlocker se zapne a zašifruje všechny nové soubory!
Odemčení disku nebo PC
Pokud již nechcete disk šifrovat, nebo pokud chcete změnit metodu odemčení, můžete kliknutím na Vypnout nástroj Bitlocker dešifrovat celý disk a vypnout ochranu dat. Bitlocker bude muset následně dešifrovat všechny soubory, což nějakou dobu zabere, ale během toho můžete PC dál normálně používat nebo ho dokonce i vypnout (dešifrování bude pokračovat po opětovném zapnutí). Před opětovným zapnutím šifrování budete muset počkat, dokud se nedokončí dešifrování.
Pokud jste zašifrovali celé PC, bude při spuštění potřeba PC potřeba zadat heslo (stiskem INSERT
si můžete nechat zobrazit, co píšete). Pokud se PC odemyká USB klíčem, musí být připojený dříve, než PC spustíte. Pokud ho nepřipojíte, zobrazí se výzva k jeho vložení. Připojte tedy klíč a stiskem Enter restartujte PC.
Pokud jste zašifrovali jen externí disk nebo jste systémový disk připojili k jinému PC, zobrazí se výzva pro zadání hesla nebo vložení USB klíče a následně budete moci disk používat. Pokud připojíte disk ke starší verzi Windows, nebo jinému systému (Linux, MacOS, Android, apod.), zobrazí se disk jako neznámý. Pokud disk odemykáte USB klíčem, můžete v Linuxu použít ovladač Dislocker.