۹۵/۵/۲۲، ۱۲:۳۸ عصر
در صورتی که سیستم عامل ویندوز کاربر از BitLocker پشتیبانی کند، استفاده از رمزگذاری دیسک ذخیرهسازی به وسیلهی آن کاملا رایگان و نسبتا آسان است. سازندگان نرمافزار TrueCrypt پس از پایان دادن به توسعه و پشتیبانی از نرمافزار متن باز خود، پیشنهاد کردند که بهتر است همهی کاربران از ابزار BitLocker داخلی سیستم عامل ویندوز برای رمزنگاری دیسک خود استفاده کنند.
اگر سیستم عامل ویندوز شما از نرمافزار داخلی BitLocker پشتیبانی کند، به سادگی میتوانید اقدام به رمزگذاری دیسک ذخیرهسازی کنید. برای مثال، نسخهی خانگی (Home) ویندوز 10 از این نرمافزار پشتیبانی نکرده و فقط امکان رمزگذاری دستگاه (Device Encryption) را در اختیار کاربران میگذارد. سازندگان نرمافزار رمزنگاری TrueCrypt زمانی که در سال ۲۰۱۴ به توسعهی این نرمافزار منبع باز (open source) محبوب پایان دادند، ضربهی مهلکی به دنیای امنیت رایانهای وارد کردند. در اوج ناباوری، توسعه دهندگان نرمافزار TrueCrypt اظهار کردند که این ابزار ممکن است ناامن باشد؛ بنابراین کاربران سیستم عامل ویندوز باید به نرمافزار BitLocker شرکت مایکروسافت مهاجرت کنند. پس از این اتفاق، نظریههای مختلفی در فضای مجازی منتشر شد. از این رو، در ادامهی مقاله نحوهی بهرهمندی از نرمافزار BitLocker داخلی ویندوز را توضیح خواهیم داد.
معرفی BitLocker
نرمافزار BitLocker، ابزار ساده و اختصاصی شرکت مایکروسافت برای رمزگذاری کل درایو ذخیرهسازی دیسک سخت در سیستم عامل ویندوز است. به علاوه، وجود این ابزار از تغییرات غیرمجاز در سیستم که به وسیلهی نرمافزارهای مخرب سطح فریمور ممکن است ایجاد شود، جلوگیری میکند.
نرمافزار بیتلاکر (BitLocker) در دستگاههای دارای سیستم عاملهای ویندوز ویستا Ultimate و Enterprise، ویندوز 7 Ultimate و Enterprise، ویندوز 8.1 پرو و اینترپرایز، ویندوز 10 پرو، اینترپرایز و Education قابل دسترس است. اگر از ویرایش اینترپرایز استفاده میکنید، به احتمال زیاد رایانهی شما متعلق به یک شرکت است؛ بنابراین باید در مورد فعال کردن رمزگذاری به واسطهی نرمافزار بیتلاکر با بخش فناوری اطلاعات شرکت خود صحبت کنید.
بیشتر رایانههای خریداری شده به وسیلهی کاربران دارای نسخهی استاندارد ویندوز بوده و فاقد نرمافزار رمزنگاری BitLocker است. اما در صورتی که از ویرایشهای کامل استفاده کنید یا سیستم عامل خود را از ویرایش کامل ویندوزهای قبلی به ویندوزهای جدید ارتقا دهید، میتوانید از این قابلیت بهرهمند شوید.
سیستم مورد نیاز
برای اجرای بیتلاکر نیازمند رایانهای هستید که دارای یکی از سیستم عاملهای یاد شده باشد. به علاوه، نیازمند دیسک سخت با حداقل دو درایو ذخیرهسازی و ماژول پلتفرم قابل اطمینان (TPM) خواهید بود. ماژول TPM، تراشهی خاصی است که در سختافزار، نرمافزار و سِفتافزار (firmware) اقدام به بررسی احراز هویت میکند. در صورتی که تراشهی TPM یک تغییر غیرمجاز را تشخیص دهد، رایانهی کاربر برای جلوگیری از حملات بالقوه، در حالت محدود شده بوت خواهد شد.
اگر از وجود تراشهی TPM در رایانهی خود اطمینان نداشته یا از یک پارتیشن استفاده میکنید، نیازی به انجام کارهای پیچیده نیست. نرمافزار بیتلاکر بلافاصله پس از اجرا شدن، اقدام به بررسی رایانهی کاربر کرده و سازگاری یا ناسازگاری آن را اطلاع میدهد. اگر پس از فرآیند بررسی، مشخص شد که تراشهی TPM در رایانهی کاربر وجود ندارد، باز هم میتوان بیتلاکر را اجرا و از آن استفاده کرد.
کاربرانی که باید از بیتلاکر استفاده کنند
مورد مهمی که باید در مورد بیتلاکر بدانید، منبع بسته (close source) بودن بیتلاکر است. این موضوع برای کاربرانی که اهمیت زیادی به حریم خصوصی خود قائل هستند، مشکلساز خواهد بود. این کاربران نمیتوانند از وجود احتمالی برخی از دربهای پشتی که ممکن است شرکت مایکروسافت زیر فشار دولت ایالات متحدهی آمریکا گذاشته باشد، اطلاع داشته باشند.
شرکت مایکروسافت ادعا میکند که هیچ درب پشتی در منبع این نرمافزار وجود ندارد. اما در صورتی که بیتلاکر نرمافزاری متن باز باشد، باز هم بسیاری از کاربران قادر به خواندن کدها به منظور یافتن آسیبپذیریهای احتمالی نخواهند بود. با این حال، برخی از افراد قادر به انجام این کار هستند.
بنابراین با در نظر گرفتن بسته بودن منبع بیتلاکر، نمیتوان انتظار داشت که از دادههای کاربران در مقابل حامیان دولت مانند ماموران مرزی یا خدمات اطلاعاتی محافظت کند. اما در صورتی که به دنبال حفاظت از دادهها در مقابل سارقان رایانهها یا موارد مشابه دیگر هستید، استفاده از بیتلاکر بسیار مفید خواهد بود.
رمزنگاری به سبک مایکروسافت
در ادامهی مقاله، نحوهی اجرای نرمافزار بیتلاکر را در رایانهی دارای ویندوز ۸.۱ پرو شرح خواهیم داد. به علاوه، برخی از دستورالعملهای مربوط به ویندوز ۱۰ را هم در اختیار شما قرار خواهیم داد. اولین کاری که باید انجام دهید، باز کردن کنترل پنل (Control Panel) ویندوز است.
پس از مراجعه به بخش کنترل پنل ویندوز، کلمهی BitLocker را در جعبهی جستجوی واقع در گوشه بالایی سمت راست تایپ کرده و کلید اینتر را از صفحه کلید بفشارید. سپس روی لینک Manage BitLocker کلیک کرده و در صفحهی بعدی ظاهر شده، روی لینک Turn on BitLocker مربوط به درایو ذخیرهسازی مورد نظر کلیک کنید.
حالا بیتلاکر برای کسب اطمینان از این که دستگاه جاری از روش رمزگذاری مایکروسافت و تراشهی TPM پشتیبانی میکند، اقدام به بررسی پیکربندی رایانهی کاربر خواهد کرد. اگر استفاده از بیتلاکر در رایانهی کاربر تایید شود، سیستم عامل ویندوز پیامی مشابه با آنچه که در تصویر زیر مشاهده میکنید، به کاربر نشان خواهد داد. در صورت وجود تراشهی TPM و خاموش بودن آن، ویندوز به طور خودکار آن را روشن خواهد کرد تا قادر به رمزگذاری درایو ذخیرهسازی مورد نظر باشید.
ماژول پلتفرم قابل اطمینان
برای فعال شدن تراشهی امنیتی TPM، رایانهی ویندوزی باید به طور کامل خاموش شود. سپس کاربر باید به طور دستی اقدام به راهاندازی دوبارهی رایانه کند. قبل از انجام این کار، همهی درایوهای فلش، سیدی یا دیویدی را از رایانهی خود خارج کرده و سپس رایانه را خاموش کنید.
پس از راهاندازی دوبارهی سیستم، ممکن است با پیام اخطاری که نشان دهندهی تغییرات اعمال شده در سیستم است، روبهرو شوید. بسته به پیکربندیهای مختلف، میتوانید برای تایید تغییرات دکمهی F10 و برای لغو کردن تغییرات از دکمهی Esc در صفحه کلید رایانهی خود استفاده کنید. پس از تایید تغییرات، دوباره رایانه باید از نو راهاندازی (reboot) شود. پس از ورود دوباره به محیط ویندوز، پنجرهی نرمافزار بیتلاکر نمایان خواهد شد.
کلید بازیابی و رمزنگاری
پس از گذشت چند دقیقه، پنجرهای ظاهر میشود که هماکنون عبارت Turn on the TPM security hardware موجود در آن، دارای تیک سبز رنگی شده است. در حال حاضر میتوانید اقدام به رمزنگاری درایو ذخیرهسازی خود کنید. برای این کار باید روی دکمهی Next کلیک کنید.
قبل از آغاز فرآیند رمزگذاری روی درایو ذخیرهسازی، باید رمز عبوری را برای دسترسی به دیسک سخت وارد کنید. این رمز عبور در هر بار روشن شدن رایانه و حتی قبل از ظاهر شدن صفحهی ورود به ویندوز (log in) باید وارد شود. سیستم عامل ویندوز برای این فرآیند دو انتخاب استفاده از کلید USB و وارد کردن دستی رمز عبور را در اختیار کاربران میگذارد. میتوانید از گزینهی انتخابی خود استفاده کنید اما پیشنهاد میکنیم که از رمز عبور دستی که برای تایید هویت به کلید یواسبی متکی نیست استفاده کنید.
در مرحلهی بعد، باید کلید بازیابی (recovery key) را برای زمانهایی که با قفلگشایی رایانهی خود به مشکل برخورد کردید، ذخیره کنید. سیستم عامل برای ذخیره کردن این کلید بازیابی در ویندوز ۸.۱ و ویندوز ۱۰ چهار گزینه را در اختیار کاربران میگذارد که شامل ذخیرهی کلید در حساب کاربری مایکروسافت (Save to your Microsoft account)، ذخیره در یک فایل (save to a file)، ذخیره در حافظهی فلش (فقط در ویندوز ۱۰) یا چاپ کلید بازیابی (print the recovery key) است. کاربران میتوانند از چندین گزینهی مورد نظر برای ذخیره کردن کلید بازیابی بهرهمند شوند که بهتر است حداقل از دو گزینهی مورد پسند خود استفاده کنید.
ما از گزینههای ذخیره در حافظهی فلش (save to a USB flash drive) و چاپ کلید روی کاغذ استفاده کردیم. به دلیل این که از افراد دارای دسترسی به سرورهای شرکت مایکروسافت اطلاعی ندارید، بهتر است از گزینهی ذخیرهی کلید بازیابی در حساب کاربری صرف نظر کنید. با این حال، ذخیرهی کلید بازیابی در سرورهای مایکروسافت میتواند هنگام از بین رفتن کاغذ چاپ شده یا گم شدن حافظهی فلش، برای رمزگشایی فایلهای کاربر بسیار مفید باشد. هنگامی که دو نمونهی مختلف از کلید بازیابی را ذخیره کردید، حافظهی فلش را از رایانه جدا کرده و روی Next کلیک کنید.
در صفحهی بعد، باید در مورد رمزگذاری بخش در حال استفادهی دیسک (encrypt used disk space only) یا رمزگذاری کل درایو ذخیرهسازی (encrypt entire drive) تصمیم گیری کنید. اگر در حال رمزگذاری رایانهای هستید که به تازگی خریداری شده و فاقد هرگونه فایل است، گزینهی encrypt used disk space only برای شما بهتر است؛ زیرا هر فایل جدید اضافه شده به دیسک ذخیرهسازی، رمزگذاری خواهد شد. اما در صورتی که رایانهی مورد استفادهی شما قدیمی بوده و پر از فایلهای شخصی است، بهتر است از گزینهی encrypt entire drive استفاده کنید. پس از انتخاب برنامهی رمزگذاری مورد نظر، روی Next کلید کنید.
ویژهی ویندوز ۱۰
اگر ساخت ۱۵۱۱ ویندوز ۱۰ یا ساختهای جدیدتر آن مانند ۱۶۰۷ در رایانهی شما نصب است، صفحهی جدیدی که مخصوص ویندوز ۱۰ است ظاهر شده و دو گزینهی new encryption mode و compatible mode را برای انتخاب نوع رمزگذاری در اختیار شما قرار میدهد. در صورتی که قصد رمزگذاری دیسک ذخیرهسازی روی برد (onboard) سختافزاری را دارید، باید گزینهی new encryption mod را انتخاب کنید. گزینهی compatible mode هم بیشتر برای استفاده در درایوهای قابل حملی است که در ویندوزهای قدیمی که از حالت رمزگذاری جدید پشتیبانی نمیکنند، مورد استفاده قرار میگیرد.
سپس تیک جعبهی Run BitLocker system check را بزنید تا ویندوز قبل از رمزگذاری درایو اقدام به بررسی سیستم کند. پس از آن، روی ...Continue کلیک کنید. با این کار، بالون هشداری مبنیبر آغاز شدن فرآیند رمزگذاری پس از راهاندازی دوبارهی سیستم در سینی ویندوز نمایان خواهد شد. حالا باید به صورت دستی اقدام به راهاندازی دوبارهی سیستم خود کرده و هنگام درخواست رمز عبور مربوط به بیتلاکر، آن را وارد کنید. در صورتی که استفاده از یواسبی را انتخاب کرده باشید، در این مرحله باید درایو یواسبی را به رایانه متصل کنید.
پس از ورود به محیط سیستم عامل (log in)، باید هشدار دیگری را مبنیبر این که فرآیند رمزگذاری در حال پیشرفت است، در سینی سیستم مشاهده کنید. در طی فرآیند رمزگذاری هم میتوانید به کار با رایانهی خود ادامه دهید اما سرعت عملکرد رایانه، اندکی نسبت به حالت معمول کمتر خواهد بود. بهتر است در حین این فرآیند از پردازشهایی مانند استفاده از نرمافزارهای سنگین گرافیکی که به سیستم فشار وارد میکند، خودداری کنید.
بعد از این همه کلیک، بالاخره رمزگذاری در حال انجام است. فقط باید صبور باشید و به ویندوز اجازه دهید که به طور کامل فرآیند رمزگذاری را به پایان برساند. مدت زمان رمزگذاری کامل درایو به وسیلهی بیتلاکر به ظرفیت ذخیرهسازی درایو و میزان حجم دادههایی که در حال رمزگذاری هستند بستگی دارد.