วิธีเข้ารหัสฮาร์ดไดรฟ์ Windows 10 ด้วย Bitlocker

เมื่อโทรคมนาคมขนาดใหญ่ สาธารณูปโภค และแม้แต่รัฐบาลกำลังถูกโจมตีด้วยข้อมูลรั่วไหล(data breaches)คุณมีโอกาสแค่ไหน? โอกาสที่ดีอย่างน่าประหลาดใจหากคุณใช้มาตรการสำคัญบางประการ หนึ่งในมาตรการเหล่านั้นคือการเข้ารหัสฮาร์ดไดรฟ์หรือ SSD(encrypting your hard drive or SSD)ของคุณ 

Windows 10 มีวิธีเข้ารหัสไดรฟ์ในตัวของคุณด้วยเทคโนโลยีBitLocker ของ Microsoft (BitLocker)ใช้งานง่าย ใช้งานง่าย และไม่ต้องใช้ทักษะหรือฮาร์ดแวร์พิเศษใดๆ อย่างไรก็ตาม คุณต้องมี Windows 10(Windows 10)เวอร์ชันWindows Pro(Windows Pro) , EnterpriseหรือEducation หากคุณมีWindows 10 Homeการเข้ารหัส VeraCrypt(VeraCrypt encryption)เป็นตัวเลือกที่ยอดเยี่ยม คุณอาจต้องการให้BitLockerมากกว่า 

BitLocker คืออะไร?(What Is BitLocker?)

การเข้ารหัสเป็นกระบวนการในการเปลี่ยนข้อมูลเป็นสิ่งที่ไม่มีความหมายเว้นแต่คุณจะมีกุญแจ BitLockerเข้ารหัสข้อมูลบนฮาร์ดไดรฟ์เพื่อให้สามารถอ่านได้เมื่อป้อนคีย์เท่านั้น คีย์อาจได้รับการจัดการโดย ชิป Trusted Platform Module (TPM)ในคอมพิวเตอร์ ไดรฟ์ USBที่เก็บคีย์ หรือแม้แต่รหัสผ่าน หากคุณลอง ใช้ BitLockerและไม่ชอบ คุณสามารถปิด BitLocker(turn BitLocker off)ได้โดยง่าย

เหตุใดฉันจึงควรเข้ารหัสฮาร์ดไดรฟ์ Windows ของฉัน(Why Should I Encrypt My Windows Hard Drive?)

สมมติว่าคุณใช้แนวทางปฏิบัติที่ดีที่สุดเกี่ยวกับรหัส(password best practices)ผ่าน รหัสผ่านของคุณซับซ้อน เดายาก และคุณจะไม่จดหรือแบ่งปันกับใคร หากมีคนต้องการรับข้อมูลจากไดรฟ์ของคุณ และพวกเขาไม่มี รหัสผ่าน Windows ของคุณ พวกเขาสามารถถอดฮาร์ดไดรฟ์ เสียบเข้ากับคอมพิวเตอร์เครื่องอื่น และใช้Linux live CD เพื่อกู้คืน(Linux live CD to recover files)ไฟล์ 

หากคุณกำลังใช้BitLockerพวกเขาไม่สามารถทำได้ BitLockerจะต้องสามารถรับกุญแจได้จากที่ไหนสักแห่ง น่าจะเป็นTrusted (Ideally)Platform Module(Trusted Platform Module) ( TPM ) อาจเป็นข้อความรหัสผ่านหรือไดรฟ์ USB ที่ใช้เป็นคีย์BitLocker โดยเฉพาะ(BitLocker)

“แต่จะไม่มีใครขโมยไดรฟ์ของฉัน” คุณตอบ คุณเคยโยนคอมพิวเตอร์ออก? ฮาร์ดไดรฟ์ของคุณก็ไปด้วยใช่ไหม บุคคลอื่นสามารถรับข้อมูลได้เว้นแต่คุณจะทิ้งฮาร์ดไดรฟ์อย่างปลอดภัย (safely dispose of a hard drive)สิ่งนี้เกิดขึ้นทุกวันและเป็นเรื่องง่าย เรายังมีบทความเกี่ยวกับวิธีการเข้าถึงไฟล์ในไดรฟ์(how to access files on old drives)เก่า

หากคุณใช้BitLockerและนำไดรฟ์ออกจากคอมพิวเตอร์แล้วทิ้งคอมพิวเตอร์และไดรฟ์แยกกัน แสดงว่างานของโจรข้อมูลทั่วไปนั้นยากขึ้นแบบทวีคูณ จะต้องมีผู้เชี่ยวชาญด้านการกู้คืนข้อมูลถึงแม้จะมีโอกาสได้รับข้อมูลของคุณจากระยะไกล มั่นใจ(Convinced)ยัง?

วิธีตรวจสอบว่าคอมพิวเตอร์มี TPM . หรือไม่(How to Check if a Computer Has a TPM)

สถานการณ์ BitLocker(BitLocker)ที่เหมาะสมที่สุดอยู่ในอุปกรณ์ที่มีTPM อุปกรณ์ของคุณมีTPMหรือไม่? ง่ายต่อการตรวจสอบ

  1. เลือก เมนู Startและพิมพ์system ผลลัพธ์แรกควรเป็นข้อมูลระบบ (System Information)เลือกอันนั้น

  1. เมื่อ หน้าต่าง ข้อมูลระบบ(System Information)เปิดขึ้น ให้ป้อนtrustedในช่องFind what: ที่ด้าน ล่างจากนั้นเลือกFindหรือกดEnter

  1. หากอุปกรณ์มีTPMก็จะแสดงในผลลัพธ์ ในตัวอย่างนี้TPMมีอยู่จริง และเป็นเวอร์ชัน2.0 TPM เวอร์ชันอาจมีความสำคัญในอนาคต โดยเฉพาะอย่างยิ่งเมื่อ Windows 11 เผยแพร่สู่สาธารณะ

วิธีเปิดใช้งาน BitLocker บนอุปกรณ์ด้วย TPM(How to Enable BitLocker On a Device With a TPM)

อุปกรณ์ของคุณมีTPMดังนั้นส่วนต่อไปจึงง่ายและสะดวก

  1. เปิดFile Explorerและไปที่ไดรฟ์เพื่อเข้ารหัสด้วยBitLocker

คลิกขวา(Right-click) ที่ได รฟ์และเลือกเปิด BitLocker(Turn on BitLocker)

อาจมี ข้อความ เริ่มต้น BitLocker(Starting BitLocker )พร้อมแถบความคืบหน้า ให้มันจบๆไป

  1. ระบบจะแจ้งให้คุณเลือกวิธีปลดล็อกไดรฟ์(Choose how you want to unlock this drive)นี้ มี 2 ​​ทางเลือก; ใช้รหัสผ่านเพื่อปลดล็อกไดรฟ์(Use a password to unlock the drive)หรือใช้สมาร์ทการ์ดของฉันเพื่อปลดล็อกไดร(Use my smart card to unlock the drive)ฟ์ หากมีการใช้อุปกรณ์ในธุรกิจ คุณอาจมีสมาร์ทการ์ดและต้องการใช้อุปกรณ์นั้น ถ้าไม่เช่นนั้นให้เลือกใช้รหัสผ่าน สร้างรหัสผ่านที่รัดกุมและ(Create a strong, secure password)ปลอดภัย

จะต้องใช้รหัสผ่านก็ต่อเมื่อไดรฟ์ถูกลบออกจากอุปกรณ์นี้และติดตั้งในอุปกรณ์อื่น มิฉะนั้นTPMจะจัดการการป้อนรหัสผ่าน ทำให้ไดรฟ์ที่เข้ารหัสทำงานได้อย่างราบรื่นกับทุกอย่าง

ตอนนี้จะถามว่าคุณต้องการสำรองคีย์การกู้คืนอย่างไร(How do you want to back up your recovery key?) 

มี 4 ตัวเลือก:

  • บันทึกลงในบัญชี Microsoft ของคุณ(Save to your Microsoft account) : หากคุณใช้ บัญชี Microsoftเพื่อเข้าสู่ระบบอุปกรณ์ นี่เป็นวิธีที่ง่ายที่สุด ที่ใช้ในตัวอย่างนี้
  • บันทึกลงใน USB แฟลชไดรฟ์(Save to a USB flash drive) : หากเลือกวิธีนี้ ให้ใช้ แฟลชไดรฟ์ USBเพื่อจุดประสงค์นี้เท่านั้น อย่าพยายามเก็บสิ่งอื่น ๆ ไว้ในแฟลชไดรฟ์นั้น
  • บันทึกลงในไฟล์(Save to a file) : หากเลือกวิธีนี้ อย่าบันทึกไฟล์ลงในไดรฟ์ที่กำลังเข้ารหัส บันทึกลงในไดรฟ์อื่นหรือที่เก็บข้อมูลบนคลาวด์
  • พิมพ์คีย์การกู้คืน(Print the recovery key) : การเลือกวิธีนี้หมายความว่าคีย์ที่พิมพ์ออกมาต้องมีที่เก็บข้อมูลที่ปลอดภัย ปลอดภัยจากอัคคีภัย การโจรกรรม และน้ำท่วม เมื่อต้องการคีย์ คุณจะต้องพิมพ์ด้วยตนเอง

อาจมีขั้นตอนเพิ่มเติมบางขั้นตอนขึ้นอยู่กับวิธีที่เลือก แต่วิธีการทั้งหมดจะนำไปสู่หน้าจอถัดไปในที่สุด

ขั้นตอนนี้ขอให้ เลือกจำนวนไดรฟ์ ที่จะเข้ารหัส (Choose how much of your drive to encrypt)ที่อาจสร้างความสับสน หากไม่มีสิ่งใดในไดรฟ์ที่ถูกเข้ารหัส ให้เลือกเข้ารหัสพื้นที่ดิสก์ที่ใช้(Encrypt used disk space only)เท่านั้น มันเร็วมาก 

สิ่งใดที่เพิ่มลงในไดรฟ์หลังจากนี้จะถูกเข้ารหัสโดยอัตโนมัติ หากไดรฟ์มีไฟล์และโฟลเดอร์อยู่แล้ว ให้เลือกเข้ารหัสทั้งไดรฟ์(Encrypt entire drive )เพื่อให้แน่ใจว่าได้รับการเข้ารหัสทันที จากนั้นเลือกถัด(Next)ไป

หน้าจอถัดไปอาจไม่ปรากฏขึ้น ทั้งนี้ขึ้นอยู่กับเวอร์ชันของWindowsที่คุณใช้ สิ่งสำคัญคือต้องใช้เวลาอ่านและทำความเข้าใจ 

โดยสรุป หากใครก็ตามที่นำไดรฟ์ออกจากอุปกรณ์นี้และนำไปไว้ใน Windows(Windows)เวอร์ชันใดๆก่อนWindows 10 เวอร์ชัน 1511(Version 1511)ไดรฟ์จะไม่ทำงาน คนส่วนใหญ่ไม่เคยทำอย่างนั้น ดังนั้นส่วนใหญ่จะเลือกโหมดการเข้ารหัสใหม่(New encryption mode)จากนั้นเลือกถัด(Next)ไป

การเข้ารหัสเป็นธุรกิจที่จริงจังและอาจผิดพลาดได้ นั่นเป็นเหตุผลที่กระบวนการจะถามเป็นครั้งสุดท้ายคุณพร้อมที่จะเข้ารหัสไดรฟ์นี้แล้วหรือยัง (Are you ready to encrypt this drive? )ถ้าใช่ ให้เลือกเริ่มการเข้ารหัส(Start encrypting.)

เมื่อBitLockerเข้ารหัสไดรฟ์เสร็จแล้ว ให้กลับไปที่File Explorer (File Explorer)โปรดสังเกต(Notice)ว่าตอนนี้ไอคอนไดรฟ์มีแม่กุญแจปลดล็อคแล้ว นั่นหมายความว่าไดรฟ์ได้รับการเข้ารหัสแต่พร้อมที่จะรับไฟล์ หากแม่กุญแจถูกล็อค คุณจะต้องป้อนรหัสผ่านเพื่อเข้าถึง

วิธีเปิดใช้งาน BitLocker บนอุปกรณ์ที่ไม่มี TPM(How to Enable BitLocker On a Device Without TPM)

ในตอนนี้ มีวิธีใช้BitLockerเพื่อเข้ารหัสไดรฟ์ แม้ว่าอุปกรณ์จะไม่มีTPM คาดว่าจะมีการเปลี่ยนแปลงในWindows 11เนื่องจากWindows 11 ต้องใช้ TPM 2.0(Windows 11 requires TPM 2.0)เพื่ออัปเกรดจากWindows 10เป็นWindows 11 (Windows 11)วิธีนี้ต้องมีสิทธิ์ของผู้ดูแลระบบ

  1. กดคีย์ผสมWin Key + Rเพื่อเปิดยูทิลิตี้ Run ใน ฟิลด์ Openให้ป้อนgpedit.mscจากนั้นเลือกOKหรือกดEnter ซึ่งจะเปิดLocal Group Policy Editor

  1. หลังจากที่Local Group Policy Editor เปิด ขึ้นให้ไปที่Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives ดับเบิลคลิกที่การตั้งค่าต้องการการตรวจสอบสิทธิ์เพิ่มเติมเมื่อเริ่ม(Require additional authentication at startup)ต้น

  1. เลือกEnabledแล้วคลิก OK( OK)เพื่อเปลี่ยนการตั้งค่า สังเกตช่องทำเครื่องหมายที่อ่านว่า "อนุญาตBitLocker โดยไม่มี (BitLocker)TPMที่เข้ากันได้ ” ซึ่งช่วยให้สามารถใช้รหัสผ่านหรือคีย์ความปลอดภัยเพื่อเข้าถึงไดรฟ์ที่เข้ารหัสด้วยBitLocker รีสตาร์ท(Restart) Windows เพื่อเปิดใช้งานการตั้งค่า

  1. ทำตามขั้นตอนเดียวกับในหัวข้อด้านบนเพื่อเริ่มBitLockerและเข้ารหัสไดรฟ์ คำเตือน:(WARNING: )หากการเข้ารหัส ไดรฟ์ Windowsเสร็จสิ้น ทุกครั้งที่Windowsเริ่มทำงาน จะต้องป้อนรหัสผ่านเพื่อให้Windowsโหลด บันทึกรหัสผ่านในที่ปลอดภัยนอกอุปกรณ์
  2. ครั้งต่อไปที่Windowsเริ่มทำงานBitLockerจะต้องป้อนรหัสผ่านเพื่อปลดล็อกไดรฟ์ ทำเช่นนั้นแล้วกดEnterเพื่อดำเนินการต่อ

ตอนนี้คุณปลอดภัยแล้วหรือยัง?(Are You Secure Now?)

การเข้ารหัสด้วย BitLocker(BitLocker)เป็นเพียงส่วนหนึ่งของการรักษาความปลอดภัยของข้อมูลของคุณ คุณกำลังทำอะไรอีกเพื่อให้แน่ใจว่าความเป็นส่วนตัวและตัวตนของคุณได้รับการปกป้อง? แจ้งให้เราทราบ! อย่า(Make)ลืมอ่านบทความเรื่องความปลอดภัยของข้อมูลและความเป็นส่วนตัว ทั้งหมดของเรา(data security and privacy)



ธเนศ รุจิอาภรณ์

About the author

ฉันเป็นผู้เชี่ยวชาญด้านการสนับสนุนลูกค้า windows 10/11/10 ที่มีประสบการณ์มากกว่า 5 ปี ฉันยังเป็นนักเล่นเกมตัวยงในช่วงไม่กี่ปีที่ผ่านมาและมีความสนใจอย่างมากใน xbox One จุดสนใจปัจจุบันของฉันคือการช่วยเหลือลูกค้าเกี่ยวกับปัญหาที่เกิดขึ้นกับระบบ windows 10 หรือ Windows 11 บ่อยครั้งผ่านการใช้เครื่องมือบริการลูกค้าของเรา เช่น การสนับสนุนคอลเซ็นเตอร์และความช่วยเหลือออนไลน์


Related posts