TIP#2010: Jak na Windows 10/11 zapnout šifrování disku

Zejména pro notebooky je důležité myslet na šifrování disku – pro případ ztráty či odcizení zajistí, že se nikdo k obsahu disku nedostane tím, že ho z počítače vyjme a připojí k jinému počítači. Řeč o tom ostatně je už v Jak chránit notebook (laptop) pro případ ztráty či odcizení? a vlastně i v Jak chránit tablet či telefon pro případ ztráty či odcizení?

Ve Windows 10 i Windows 11 je to (teoreticky) poměrně jednoduché – skočíte do Nastavení/Setting -> Aktualizace a zabezpečení/Update & Security (Privacy & Security ve Winows 11) -> Device Encryption a tam je možné zapnout šifrování.

Windows 10

Komplikace je, že tam možná vůbec Device Encryption nenajdete – v takovém případě je možné spustit nastavení pro BitLocker (nejsnáze tak, že to zkusíte vyhledat). a využít právě tuto technologii pro šifrování.

Windows 11

Jenže i to může mít komplikaci v tom, že tohle je funkční jenom ve Windows 10 Pro, Enterprise či Education. Takže pokud máte Windows 10 Home, tak BitLocker prostě dostupný není

Druhá možnost proč ve výše uvedeném místě není možné najít nastavení pro šifrování je, že váš počítač možná šifrování nepodporuje – Microsoft totiž pro tohle vyžaduje přítomnost TPM. A tady klasicky platí, že si můžete spustit Systémové informace (nutno jako správce) a tam vyhledat položku Podpora šifrovaných zařízení. Pokud tam nenajdete Splňuje požadavky tak je velmi malá šance, že tam najdete něco z čeho se dá pochopit proč nejde použít šifrování. Většinou tam budou ale věci, které moc smyslu nedají. Jako například následující sdělení. 

Důvody selhání automatického šifrování zařízení: Vazba PCR7 není podporována, Testovací rozhraní bezpečnosti hardwaru selhalo a zařízení není v moderním úsporném režimu., Byly nalezeny nedovolené sběrnice/zařízení s podporou DMA

Budete-i to chtít řešit, tak začněte hlavně tím, že v počítači musí být aktivní SecureBOOT a musí mít TPM čip.  Více viz Co je to TPM, jak zjistit zda v počítači je a proč Windows 11 vyžadují, aby to váš počítač měl?

Šifrování USB klíčenek a disků

Pokud máte Windows co podporují BitLocker, tak je dobré vědět i to, že podporuje šifrování USB klíčenek/disku v podobě BitLocker to Go.  Řeč o tom už byla dříve v Jak šifrovat data na USB klíčence?

Při aktivaci BitLocker to Go budete muset zadat silné heslo a nějak si uložit klíč pro obnovení – můžete uložit do svého účtu u Microsoftu, uložit do souboru nebo si ho vytisknout. Vybrat si navíc můžete zda šifrovat kompletně celý disk nebo jenom využití místo. První je pomalejší a bezpečnější, druhé rychlejší a méně bezpečné. 

BitLocker pak navíc umožní vybrat “kompatibilní režim” (ten používejte pro externí disky) nebo “nový režim šifrování”. Ten se hodí pro pevné disky v počítači. 

Aktivace šifrování bude nějakou dobu trvat – postup můžete sledovat. 

Vypnutí šifrování 

BitLocker/Šifrování můžete kdykoliv vypnout – nezapomeňte, že dešifrování může nějakou dobu trvat (čím větší disk, tím déle) a musíte nechat počítač běžet a notebook mít napájený. 

Vypnout šifrování musíte pokud byste například chtěli na počítači mít současně Windows s jiným operačním systémem (třeba Ubuntu). Viz Co je to Dual Boot?

Pozastavení BitLockerové ochrany

U pevného disku v počítači je možné pozastavit/suspend ochranu šifrováním – dělat to často nebudete, ale může to být třeba při aktualizaci firmware, hardware či operačního systému. Pozastavení můžete zrušit ručně nebo se automaticky zruší při restartu počítače.

TIP: ‣ Vše co jste chtěli vědět o Windows 10 obsahuje tipy a triky pro Windows, Windows 10 a  Jak na Windows 11 ty pro Windows 11