Windows 10 Expert's Guide: Everything you need to know about BitLocker
إذا فُقد جهاز الكمبيوتر الخاص بك أو سُرق، فمن المحتمل أن تتضايق من تكلفة استبداله. لكن هذا لا شيء مقارنة بما قد تخسره إذا كان لدى شخص ما وصول غير مقيد إلى البيانات الموجودة على هذا الجهاز. حتى إذا لم يتمكنوا من تسجيل الدخول باستخدام حساب مستخدم Windows الخاص بك، يمكن للسارق التمهيد من جهاز قابل للإزالة وتصفح محتويات محرك أقراص النظام دون عقاب.
الطريقة الأكثر فاعلية لإيقاف سيناريو هذا الكابوس هي تشفير الجهاز بالكامل بحيث تكون محتوياته متاحة لك فقط أو لشخص لديه مفتاح الاسترداد.
تتضمن جميع إصدارات Windows 10 منذ الإصدار 1511 (الذي تم إصداره في نوفمبر 2015) خيارات تشفير للجهاز XTS-AES 128 بت قوية بما يكفي للحماية حتى من أكثر الهجمات تحديدًا. باستخدام أدوات الإدارة، يمكنك زيادة قوة التشفير إلى XTS-AES 256.
في الأجهزة الحديثة، يقوم رمز التشفير أيضًا بإجراء فحوصات سلامة نظام ما قبل التمهيد والتي تكتشف محاولات تجاوز أداة تحميل التمهيد.
BitLocker هو اسم العلامة التجارية الذي تستخدمه Microsoft لأدوات التشفير المتوفرة في إصدارات الأعمال من Windows (سطح المكتب والخادم). تتوفر أيضًا مجموعة فرعية محدودة ولكنها فعالة من ميزات تشفير جهاز BitLocker في إصدارات Windows 10 Home. فيما يلي كيفية التأكد من حماية بياناتك.
الطريقة الأكثر فاعلية لإيقاف سيناريو هذا الكابوس هي تشفير الجهاز بالكامل بحيث تكون محتوياته متاحة لك فقط أو لشخص لديه مفتاح الاسترداد.
تتضمن جميع إصدارات Windows 10 منذ الإصدار 1511 (الذي تم إصداره في نوفمبر 2015) خيارات تشفير للجهاز XTS-AES 128 بت قوية بما يكفي للحماية حتى من أكثر الهجمات تحديدًا. باستخدام أدوات الإدارة، يمكنك زيادة قوة التشفير إلى XTS-AES 256.
في الأجهزة الحديثة، يقوم رمز التشفير أيضًا بإجراء فحوصات سلامة نظام ما قبل التمهيد والتي تكتشف محاولات تجاوز أداة تحميل التمهيد.
BitLocker هو اسم العلامة التجارية الذي تستخدمه Microsoft لأدوات التشفير المتوفرة في إصدارات الأعمال من Windows (سطح المكتب والخادم). تتوفر أيضًا مجموعة فرعية محدودة ولكنها فعالة من ميزات تشفير جهاز BitLocker في إصدارات Windows 10 Home. فيما يلي كيفية التأكد من حماية بياناتك.
كيف يعمل BitLocker في نظام التشغيل Windows 10؟
على جميع الأجهزة المصممة لنظام التشغيل Windows 10 (راجع القسم التالي للتعرف على متطلبات الأجهزة)، يتم تمكين تشفير الجهاز تلقائيًا. يقوم إعداد Windows تلقائيًا بإنشاء الأقسام الضرورية وتهيئة التشفير على محرك أقراص نظام التشغيل بمفتاح واضح.
لإكمال عملية التشفير، يجب عليك تنفيذ إحدى الخطوات التالية:
قم بتسجيل الدخول باستخدام حساب Microsoft لديه حقوق المسئول على الجهاز. يؤدي هذا الإجراء إلى إزالة المفتاح الواضح، وتحميل مفتاح الاسترداد إلى حساب OneDrive الخاص بالمستخدم، وتشفير البيانات الموجودة على محرك أقراص النظام. لاحظ أن هذه العملية تحدث تلقائيًا وتعمل على أي إصدار من Windows 10.
قم بتسجيل الدخول باستخدام حساب Microsoft لديه حقوق المسئول على الجهاز. يؤدي هذا الإجراء إلى إزالة المفتاح الواضح، وتحميل مفتاح الاسترداد إلى حساب OneDrive الخاص بالمستخدم، وتشفير البيانات الموجودة على محرك أقراص النظام. لاحظ أن هذه العملية تحدث تلقائيًا وتعمل على أي إصدار من Windows 10.
سجّل الدخول باستخدام حساب Active Directory على مجال Windows أو حساب Azure Active Directory. يتطلب أي من التكوين إصدار عمل من Windows 10 (Pro أو Enterprise أو Education)، ويتم حفظ مفتاح الاسترداد في موقع متاح للمجال أو لمسئول AAD.
إذا قمت بتسجيل الدخول باستخدام حساب محلي على جهاز يعمل بإصدار أعمال من Windows 10، فستحتاج إلى استخدام أدوات إدارة BitLocker لتمكين التشفير على محركات الأقراص المتاحة.
في محركات الأقراص ذات الحالة الصلبة ذاتية التشفير التي تدعم تشفير الأجهزة، سيقوم Windows 10 بإلغاء تحميل عمل تشفير البيانات وفك تشفيرها إلى الأجهزة. لاحظ أن إحدى الثغرات الأمنية في هذه الميزة، والتي تم الكشف عنها لأول مرة في نوفمبر 2018، يمكن أن تعرض البيانات في ظل ظروف معينة. في هذه الحالات، ستحتاج إلى ترقية البرامج الثابتة لـ SSD؛ حتى تتوفر هذه الترقية، يمكنك التبديل إلى تشفير البرامج باستخدام الإرشادات الواردة في إرشادات الأمان من Microsoft: إرشادات لتكوين BitLocker لفرض تشفير البرامج.
لاحظ أن Windows 10 لا يزال يدعم ميزة نظام الملفات المشفرة الأقدم. هذا نظام تشفير قائم على الملفات والمجلدات تم تقديمه مع Windows 2000. بالنسبة لجميع الأجهزة الحديثة تقريبًا ، يعد BitLocker خيارًا ممتازًا.
متطلبات الأجهزة
أهم ميزة للأجهزة المطلوبة لدعم BitLocker Device Encryption هي شريحة Trusted Platform Module أو TPM. يحتاج الجهاز أيضًا إلى دعم ميزة Modern Standby (المعروفة سابقًا باسم InstantGo).
تقريبًا، تلبي جميع الأجهزة التي تم تصنيعها في الأصل لنظام التشغيل Windows 10 هذه المتطلبات.
إذا قمت بتسجيل الدخول باستخدام حساب محلي على جهاز يعمل بإصدار أعمال من Windows 10، فستحتاج إلى استخدام أدوات إدارة BitLocker لتمكين التشفير على محركات الأقراص المتاحة.
في محركات الأقراص ذات الحالة الصلبة ذاتية التشفير التي تدعم تشفير الأجهزة، سيقوم Windows 10 بإلغاء تحميل عمل تشفير البيانات وفك تشفيرها إلى الأجهزة. لاحظ أن إحدى الثغرات الأمنية في هذه الميزة، والتي تم الكشف عنها لأول مرة في نوفمبر 2018، يمكن أن تعرض البيانات في ظل ظروف معينة. في هذه الحالات، ستحتاج إلى ترقية البرامج الثابتة لـ SSD؛ حتى تتوفر هذه الترقية، يمكنك التبديل إلى تشفير البرامج باستخدام الإرشادات الواردة في إرشادات الأمان من Microsoft: إرشادات لتكوين BitLocker لفرض تشفير البرامج.
لاحظ أن Windows 10 لا يزال يدعم ميزة نظام الملفات المشفرة الأقدم. هذا نظام تشفير قائم على الملفات والمجلدات تم تقديمه مع Windows 2000. بالنسبة لجميع الأجهزة الحديثة تقريبًا ، يعد BitLocker خيارًا ممتازًا.
متطلبات الأجهزة
أهم ميزة للأجهزة المطلوبة لدعم BitLocker Device Encryption هي شريحة Trusted Platform Module أو TPM. يحتاج الجهاز أيضًا إلى دعم ميزة Modern Standby (المعروفة سابقًا باسم InstantGo).
تقريبًا، تلبي جميع الأجهزة التي تم تصنيعها في الأصل لنظام التشغيل Windows 10 هذه المتطلبات.
إدارة BitLocker
بالنسبة للجزء الأكبر، يعد BitLocker ميزة ضبطها ونسيانها. بعد تمكين التشفير لمحرك الأقراص، فإنه لا يتطلب أي صيانة. ومع ذلك، يمكنك استخدام الأدوات المضمنة في نظام التشغيل لأداء مجموعة متنوعة من مهام الإدارة.
تتوفر أبسط الأدوات في واجهة Windows الرسومية، ولكن فقط إذا كنت تستخدم Windows 10 Pro أو Enterprise. افتح File Explorer، وانقر بزر الماوس الأيمن فوق أي رمز محرك أقراص، وانقر فوق Manage BitLocker. ينقلك هذا إلى صفحة حيث يمكنك تشغيل BitLocker أو إيقاف تشغيله؛ إذا تم تمكين BitLocker بالفعل لمحرك أقراص النظام، فيمكنك تعليق التشفير مؤقتًا أو عمل نسخة احتياطية من مفتاح الاسترداد من هنا. يمكنك أيضًا إدارة التشفير على محركات الأقراص القابلة للإزالة وعلى محركات الأقراص الداخلية الثانوية.
بالنسبة للجزء الأكبر، يعد BitLocker ميزة ضبطها ونسيانها. بعد تمكين التشفير لمحرك الأقراص، فإنه لا يتطلب أي صيانة. ومع ذلك، يمكنك استخدام الأدوات المضمنة في نظام التشغيل لأداء مجموعة متنوعة من مهام الإدارة.
تتوفر أبسط الأدوات في واجهة Windows الرسومية، ولكن فقط إذا كنت تستخدم Windows 10 Pro أو Enterprise. افتح File Explorer، وانقر بزر الماوس الأيمن فوق أي رمز محرك أقراص، وانقر فوق Manage BitLocker. ينقلك هذا إلى صفحة حيث يمكنك تشغيل BitLocker أو إيقاف تشغيله؛ إذا تم تمكين BitLocker بالفعل لمحرك أقراص النظام، فيمكنك تعليق التشفير مؤقتًا أو عمل نسخة احتياطية من مفتاح الاسترداد من هنا. يمكنك أيضًا إدارة التشفير على محركات الأقراص القابلة للإزالة وعلى محركات الأقراص الداخلية الثانوية.
على نظام يعمل بنظام Windows 10 Home، ستجد زر on-ff ضمن Settings > Update & Recovery > Device Encryption. ستظهر رسالة تحذير إذا لم يتم تمكين تشفير الجهاز عن طريق تسجيل الدخول إلى حساب Microsoft.
للحصول على مجموعة أكبر من الأدوات، افتح موجه الأوامر واستخدم إحدى أداتي BitLocker الإداريين المدمجتين، manage-bde أو repair-bde، مع أحد مفاتيح التبديل المتاحة. أبسطها وأكثرها فائدة هو حالة manage-bde، والتي تعرض حالة التشفير لجميع محركات الأقراص المتاحة. لاحظ أن هذا الأمر يعمل على جميع الإصدارات، بما في ذلك Windows 10 Home.
للحصول على قائمة كاملة بالمفاتيح ، اكتب manager-bde -؟ أو repair-bde؟
أخيرًا، يتضمن Windows PowerShell مجموعة من BitLocker cmdlets. Use Get-BitLockerVolume، على سبيل المثال، لمعرفة حالة جميع محركات الأقراص الثابتة والقابلة للإزالة على النظام الحالي. قائمة كاملة بأوامر أوامر BitLocker المتاحة، راجع صفحة وثائق PowerShell BitLocker.
للحصول على مجموعة أكبر من الأدوات، افتح موجه الأوامر واستخدم إحدى أداتي BitLocker الإداريين المدمجتين، manage-bde أو repair-bde، مع أحد مفاتيح التبديل المتاحة. أبسطها وأكثرها فائدة هو حالة manage-bde، والتي تعرض حالة التشفير لجميع محركات الأقراص المتاحة. لاحظ أن هذا الأمر يعمل على جميع الإصدارات، بما في ذلك Windows 10 Home.
للحصول على قائمة كاملة بالمفاتيح ، اكتب manager-bde -؟ أو repair-bde؟
أخيرًا، يتضمن Windows PowerShell مجموعة من BitLocker cmdlets. Use Get-BitLockerVolume، على سبيل المثال، لمعرفة حالة جميع محركات الأقراص الثابتة والقابلة للإزالة على النظام الحالي. قائمة كاملة بأوامر أوامر BitLocker المتاحة، راجع صفحة وثائق PowerShell BitLocker.
حفظ واستخدام مفتاح الاسترداد
في ظل الظروف العادية، تقوم بإلغاء قفل محرك الأقراص تلقائيًا عند تسجيل الدخول إلى Windows 10 باستخدام حساب مصرح به لهذا الجهاز. إذا حاولت الوصول إلى النظام بأي طريقة أخرى، مثل التمهيد من محرك إعداد Windows 10 أو محرك أقراص USB الذي يعمل بنظام Linux، فستتم مطالبتك بمفتاح استرداد للوصول إلى محرك الأقراص الحالي. قد ترى أيضًا مطالبة بمفتاح الاسترداد إذا أدى تحديث البرنامج الثابت إلى تغيير النظام بطريقة لا يتعرف عليها TPM.
بصفتك مسؤول نظام في مؤسسة، يمكنك استخدام مفتاح استرداد (يدويًا أو بمساعدة برنامج الإدارة) للوصول إلى البيانات الموجودة على أي جهاز مملوك لمؤسستك ، حتى إذا لم يعد المستخدم جزءًا من المؤسسة.
مفتاح الاسترداد هو رقم مكون من 48 رقمًا يفتح محرك الأقراص المشفر في تلك الظروف. بدون هذا المفتاح، تظل البيانات الموجودة على محرك الأقراص مشفرة. إذا كان هدفك هو إعادة تثبيت Windows استعدادًا لإعادة تدوير الجهاز، فيمكنك تخطي إدخال المفتاح وستصبح البيانات القديمة غير قابلة للقراءة تمامًا بعد اكتمال الإعداد.
يتم تخزين مفتاح الاسترداد في السحابة تلقائيًا إذا قمت بتمكين تشفير الجهاز باستخدام حساب Microsoft. للعثور على المفتاح، انتقل إلى https://onedrive.com/recoverykey وقم بتسجيل الدخول باستخدام حساب Microsoft المرتبط. (لاحظ أن هذا الخيار يعمل على الهاتف المحمول) قم بتوسيع القائمة لأي جهاز لمشاهدة تفاصيل إضافية وخيار لحذف المفتاح المحفوظ.
في ظل الظروف العادية، تقوم بإلغاء قفل محرك الأقراص تلقائيًا عند تسجيل الدخول إلى Windows 10 باستخدام حساب مصرح به لهذا الجهاز. إذا حاولت الوصول إلى النظام بأي طريقة أخرى، مثل التمهيد من محرك إعداد Windows 10 أو محرك أقراص USB الذي يعمل بنظام Linux، فستتم مطالبتك بمفتاح استرداد للوصول إلى محرك الأقراص الحالي. قد ترى أيضًا مطالبة بمفتاح الاسترداد إذا أدى تحديث البرنامج الثابت إلى تغيير النظام بطريقة لا يتعرف عليها TPM.
بصفتك مسؤول نظام في مؤسسة، يمكنك استخدام مفتاح استرداد (يدويًا أو بمساعدة برنامج الإدارة) للوصول إلى البيانات الموجودة على أي جهاز مملوك لمؤسستك ، حتى إذا لم يعد المستخدم جزءًا من المؤسسة.
مفتاح الاسترداد هو رقم مكون من 48 رقمًا يفتح محرك الأقراص المشفر في تلك الظروف. بدون هذا المفتاح، تظل البيانات الموجودة على محرك الأقراص مشفرة. إذا كان هدفك هو إعادة تثبيت Windows استعدادًا لإعادة تدوير الجهاز، فيمكنك تخطي إدخال المفتاح وستصبح البيانات القديمة غير قابلة للقراءة تمامًا بعد اكتمال الإعداد.
يتم تخزين مفتاح الاسترداد في السحابة تلقائيًا إذا قمت بتمكين تشفير الجهاز باستخدام حساب Microsoft. للعثور على المفتاح، انتقل إلى https://onedrive.com/recoverykey وقم بتسجيل الدخول باستخدام حساب Microsoft المرتبط. (لاحظ أن هذا الخيار يعمل على الهاتف المحمول) قم بتوسيع القائمة لأي جهاز لمشاهدة تفاصيل إضافية وخيار لحذف المفتاح المحفوظ.
إذا قمت بتمكين تشفير BitLocker من خلال ضم جهاز Windows 10 الخاص بك بحساب Azure AD، فستجد مفتاح الاسترداد مدرجًا ضمن ملف تعريف Azure AD. انتقل إلى Settings > Accounts > Your Info وانقر فوق Manage My Account. إذا كنت تستخدم جهازًا غير مسجل في Azure AD، فانتقل إلى https://account.activedirectory.windowsazure.com/profile وقم بتسجيل الدخول باستخدام بيانات اعتماد Azure AD.
ابحث عن اسم الجهاز ضمن عنوان الأجهزة والنشاط وانقر فوق الحصول على مفاتيح BitLocker لعرض مفتاح الاسترداد لهذا الجهاز. لاحظ أن مؤسستك يجب أن تسمح بهذه الميزة حتى تكون المعلومات متاحة لك.
أخيرًا، في إصدارات الأعمال من Windows 10، يمكنك طباعة أو حفظ نسخة من مفتاح الاسترداد وتخزين الملف أو النسخة المطبوعة (أو كليهما) في مكان آمن. استخدم أدوات الإدارة المتوفرة في File Explorer للوصول إلى هذه الخيارات. استخدم هذا الخيار إذا قمت بتمكين تشفير الجهاز باستخدام حساب Microsoft وتفضل عدم توفر مفتاح الاسترداد في OneDrive
ابحث عن اسم الجهاز ضمن عنوان الأجهزة والنشاط وانقر فوق الحصول على مفاتيح BitLocker لعرض مفتاح الاسترداد لهذا الجهاز. لاحظ أن مؤسستك يجب أن تسمح بهذه الميزة حتى تكون المعلومات متاحة لك.
أخيرًا، في إصدارات الأعمال من Windows 10، يمكنك طباعة أو حفظ نسخة من مفتاح الاسترداد وتخزين الملف أو النسخة المطبوعة (أو كليهما) في مكان آمن. استخدم أدوات الإدارة المتوفرة في File Explorer للوصول إلى هذه الخيارات. استخدم هذا الخيار إذا قمت بتمكين تشفير الجهاز باستخدام حساب Microsoft وتفضل عدم توفر مفتاح الاسترداد في OneDrive
BitLocker To Go
تحتاج أجهزة التخزين القابلة للإزالة إلى التشفير أيضًا. يتضمن ذلك محركات أقراص USB المحمولة بالإضافة إلى بطاقات MicroSD التي يمكن استخدامها في بعض أجهزة الكمبيوتر. هذا هو المكان الذي يعمل فيه BitLocker To Go.
لتشغيل تشفير BitLocker لمحرك أقراص قابل للإزالة، يجب أن تقوم بتشغيل إصدار أعمال من Windows 10. يمكنك إلغاء قفل هذا الجهاز على جهاز يعمل بأي إصدار، بما في ذلك Windows 10 Home.
كجزء من عملية التشفير، تحتاج إلى تعيين كلمة مرور يتم استخدامها لإلغاء تأمين محرك الأقراص. تحتاج أيضًا إلى حفظ مفتاح الاسترداد لمحرك الأقراص. (لا يتم حفظه تلقائيًا في حساب سحابي.)
تحتاج أجهزة التخزين القابلة للإزالة إلى التشفير أيضًا. يتضمن ذلك محركات أقراص USB المحمولة بالإضافة إلى بطاقات MicroSD التي يمكن استخدامها في بعض أجهزة الكمبيوتر. هذا هو المكان الذي يعمل فيه BitLocker To Go.
لتشغيل تشفير BitLocker لمحرك أقراص قابل للإزالة، يجب أن تقوم بتشغيل إصدار أعمال من Windows 10. يمكنك إلغاء قفل هذا الجهاز على جهاز يعمل بأي إصدار، بما في ذلك Windows 10 Home.
كجزء من عملية التشفير، تحتاج إلى تعيين كلمة مرور يتم استخدامها لإلغاء تأمين محرك الأقراص. تحتاج أيضًا إلى حفظ مفتاح الاسترداد لمحرك الأقراص. (لا يتم حفظه تلقائيًا في حساب سحابي.)
أخيرًا، تحتاج إلى اختيار وضع التشفير. استخدم خيار New Encryption Mode (XTS-AES) إذا كنت تخطط لاستخدام الجهاز حصريًا على Windows 10. اختر الوضع المتوافق لمحرك الأقراص الذي قد ترغب في فتحه على جهاز يعمل بإصدار سابق من Windows.
في المرة التالية التي تقوم فيها بإدخال هذا الجهاز في جهاز كمبيوتر يعمل بنظام Windows، ستتم مطالبتك بكلمة المرور. انقر فوقMore Options وحدد خانة الاختيار لإلغاء قفل الجهاز تلقائيًا إذا كنت تريد سهولة الوصول إلى بياناته على جهاز موثوق به تتحكم فيه.
في المرة التالية التي تقوم فيها بإدخال هذا الجهاز في جهاز كمبيوتر يعمل بنظام Windows، ستتم مطالبتك بكلمة المرور. انقر فوقMore Options وحدد خانة الاختيار لإلغاء قفل الجهاز تلقائيًا إذا كنت تريد سهولة الوصول إلى بياناته على جهاز موثوق به تتحكم فيه.
يكون هذا الخيار مفيدًا بشكل خاص إذا كنت تستخدم بطاقة MicroSD لزيادة سعة التخزين على جهاز مثل Surface Pro. بعد تسجيل الدخول ، تصبح جميع بياناتك متاحة على الفور. إذا فقدت محرك الأقراص القابل للإزالة أو تمت سرقته ، فلن يتمكن السارق من الوصول إلى بياناته.