Povolení šifrování plného disku

Úplné šifrování disku chrání data na vašem zařízení v případě, že je ztracena nebo odcizena. Bez úplného šifrování disku, pokud je datová jednotka v počítači odstraněna, lze data snadno číst a přístupná. Při správném nasazení vyžaduje šifrování plného disku, aby neautorizovaní uživatelé měli jak fyzický přístup k vašemu zařízení, tak heslo, aby dešifrovali data na vašem zařízení.

Pokud však jak heslo, tak klíč obnovy nejsou známy nebo ztraceny, nemůže být zařízení dešifrováno a údaje budou nevhodné. Důrazně se doporučuje, abyste uložili svá hesla a klíče od obnovy v aplikaci Správce hesel, jako je LastPass, abyste se tomuto problému zabránili.

Pro všechna přenosná zařízení by mělo být implementováno šifrování plného disku, když:

  • Ukládání nebo zpracování institucionálních informací klasifikovaných na P3 nebo vyšší
  • Externí požadavky nařídí použití šifrování plného disku (například dohody o využívání údajů o výzkumu s poskytovateli dat třetích stran)

Pokud máte zařízení spravované univerzitou a nemáte na svém zařízení oprávnění správce, použijte nabídku samoobsluhy BigFix pro šifrování (pomocí pokynů pro Windows nebo pokyny pro MacOS). Pokud narazíte na jakékoli potíže s nabídkou samoobsluhy nebo s těmito pokyny, kontaktujte pomoc s klientskými službami IT nebo podporu IT oddělení pro pomoc.

Pro osobně spravované počítače naleznete v pokynech pro povolení šifrování plného disku na Windows a Mac níže.

Povolit šifrování plného disku na Microsoft Windows

Bitlocker

Microsoft obsahuje funkci šifrování plného disku zabudovanou do Windows s názvem Bitlocker.

BitLocker je k dispozici na podporovaných zařízeních, kde se objeví edice Windows 10/11 Pro, Enterprise nebo Education Edition. Není k dispozici na domácím vydání. Studenti, fakulta a zaměstnanci mohou upgradovat svůj systém Windows 10 na edici Education.

Uživatelská zkušenost

Mnoho novějších počítačů má vestavěný šifrovací čip, který odemkne vaše šifrované soubory, když se přihlásíte.

Pokud váš počítač nemá šifrovací čip, budete mít další ověřovací krok na spuštění, než se budete moci přihlásit. Tento ověřovací krok je vyžadován pouze při spuštění; Po ověření se můžete přihlásit a ven z vašeho uživatelského účtu jako obvykle.

Po přihlášení zůstane navigace a ukládání souborů stejné.

Zjistěte edici operačního systému

Nastavení> Systém> About> uvedené podle specifikací Windows

Příklad z Windows 10:

O Windows Edition

Povolit Bitlocker

Povolení BitLocker bude vyžadovat oprávnění správce. Pokud máte zařízení spravované univerzitou a nemáte na svém zařízení oprávnění správce, použijte nabídku samoobsluhy BigFix pro šifrování. Pokud narazíte na jakékoli potíže s nabídkou samoobsluhy nebo s těmito pokyny, kontaktujte pomoc s klientskými službami IT nebo podporu IT oddělení pro pomoc.

ISO doporučuje, abyste používali standardní uživatelský účet pro všechny každodenní činnosti a povýšili na administrativní oprávnění pouze v případě potřeby. Tento proces lze provést ze standardního uživatelského účtu a v případě potřeby vyzve k výšce privilegií.

Počítač můžete použít při šifrování jednotky, ale jakmile je proces šifrování, budete muset restartovat počítač.

Pokud je zobrazena chybová zpráva (žádná chyba čipu TPM):

Váš počítač může zobrazit chybovou zprávu, která říká: „Toto zařízení nemůže použít důvěryhodný modul platformy. Váš správce musí nastavit možnost „Povolit Bitlocker bez kompatibilní TPM“ v politice „Vyžadovat další ověřování při spuštění“ pro svazky OS.”

Chyba bitlocker

TPM je šifrovací čip, který umožňuje uživatelským účtům odemknout jednotku po spuštění.

Pokud dostanete chybovou zprávu, váš počítač byl vyroben bez šifrovacího čipu a jako náhradníka můžete použít USB nebo PIN.

Kroky

Tento proces bude vyžadovat přihlášení na účet správce.

  1. Jít do Start > Systém Windows > Běh

Systém systému Windows

Windows běží gpedit

  1. Navigovat do Konfigurace počítače/administrativní šablony/komponenty Windows/Bitlocker Drive Encryption/Operation System > Při spuštění vyžadují další ověřování (kliknutím pravým tlačítkem/úpravy nebo dvojité kliknutí)

O Windows Edition

Povolit Bitlocker

Povolení BitLocker bude vyžadovat oprávnění správce. Pokud máte zařízení spravované univerzitou a nemáte na svém zařízení oprávnění správce, použijte nabídku samoobsluhy BigFix pro šifrování . Pokud narazíte na jakékoli potíže s nabídkou samoobsluhy nebo s těmito pokyny, kontaktujte pomoc s klientskými službami IT nebo podporu IT oddělení pro pomoc.

ISO doporučuje, abyste používali standardní uživatelský účet pro všechny každodenní činnosti a povýšili na administrativní oprávnění pouze v případě potřeby. Tento proces lze provést ze standardního uživatelského účtu a v případě potřeby vyzve k výšce privilegií.

Počítač můžete použít při šifrování jednotky, ale jakmile je proces šifrování, budete muset restartovat počítač.

Pokud je zobrazena chybová zpráva (žádná chyba čipu TPM):

Váš počítač může zobrazit chybovou zprávu, která říká: „Toto zařízení může’t Použijte důvěryhodný modul platformy. Váš správce musí nastavit “Povolit Bitlocker bez kompatibilního TPM” Možnost v ‘Při spuštění vyžadují další ověřování’ Politika svazků OS.”

Chyba bitlocker

TPM je šifrovací čip, který umožňuje uživatelským účtům odemknout jednotku po spuštění.

Pokud dostanete chybovou zprávu, váš počítač byl vyroben bez šifrovacího čipu a jako náhradníka můžete použít USB nebo PIN.

Kroky

Tento proces bude vyžadovat přihlášení na účet správce.

Přihlaste se s účtem správce> START> Systém Windows> Run> Gpedit.MSC> Přejděte na Konfigurace počítače/Administrativní šablony/Windows Components/Bitlocker Drive Encryption/Operation System> Vyžadovat další ověření při spuštění (kliknutím pravým tlačítkem/úpravou nebo dvojitým kliknutím)> Zkontrolujte Povolit bitlocker bez kompatibilního TPM> Použít Aplication Aplication

  1. Jít do Spuštění> Windows System> Spusťte

Systém systému Windows

Windows běží gpedit

  1. Navigovat do Konfigurace počítače/administrativní šablony/komponenty Windows/Bitlocker Drive Encryption/Operation System> vyžadují další ověřování při spuštění (kliknutím pravým tlačítkem/úpravy nebo dvojité kliknutí)

Skupinová politika TPM

  1. Povolit> Zkontrolujte Povolit bitlocker bez kompatibilního TPM> Použít

Zásady skupiny TPM EDIT

Jakmile jsou tyto kroky dokončeny, zkuste znovu zapnout Bitlocker sledováním dřívějších kroků:

Otevřete Průzkumník souborů> Tento PC> Local Disk (C :)> Správa [Nástroje pro jednotku]> BitLocker> Správa bitlocker> Turn on Bitlocker

Budete si moci vybrat mezi vytvořením pin nebo USB flash disk, abyste odemkli jednotku při spuštění. Jakmile si vyberete možnost, neexistuje žádný způsob, jak přepnout bez dešifrování.

Odemknout TPM

Každý, kdo používá počítač, bude muset znát kolík nebo mít kopii USB Flash Drive.

Využití jedné z těchto možností vyžaduje, aby byla osoba fyzicky přítomna pro spuštění; Pokud správně spravujete svůj systém (E.G. prostřednictvím RDP) musí osoba s PIN nebo USB osobně jít, aby dešifrovala jednotku, než lze použít vzdálené funkce.

Pokud máte plánované aktualizace, které vyžadují restart počítače, můžete postupovat podle níže uvedených pokynů a pozastavit Bitlocker. Bitlocker bude znovu povolit po restartu.

ISO doporučuje možnost PIN. PIN lze uložit v LastPass a bezpečně sdílet ostatní uživatele počítače. PIN je oddělen od hesla uživatelského účtu. Postupujte podle pokynů ISO Passphrase a vytvořte dlouhý a bezpečný špendlík.

ISO nedoporučuje možnost USB. Vytvořené USB by nikdy nemělo být ponecháno v počítači, jakmile bude pohon odemknut a bude muset být bezpečně uložen v uzamčené skříni nebo zásuvce. USB také neukáže soubor, který odemkne jednotku, takže se nezdá být odlišný od ostatních USB a musí být označen.

Pozastavte bitlocker

Pro plánované aktualizace, změny hardwaru nebo změny konfigurace je v nabídce Bitlocker možnost pozastavit Bitlocker, ale nevypněte jej. Vypnutí Bitlocker se nedoporučuje pro dočasné situace, protože dešifruje jednotku a vyžaduje, aby se celý proces opakoval, aby byl znovu zapnut.

Pozastavte bitlocker

Klíče obnovy

  1. S TPM Chip: Zapomeňte na heslo uživatelského účtu
  2. Bez čipu TPM: Ztratit spouštěcí klíč USB nebo zapomeňte na dešifrovací kolík
  3. Upgradujte operační systém
  4. Přesuňte šifrovanou jednotku do nového počítače
  5. Nainstalujte novou základní desku
  6. Změňte nastavení konfigurace spouštění
  7. Aktualizujte počítačový bios
  1. Klíč pro zotavení prostý
    1. BitLocker může generovat prostý regenerační klíč, který lze během zotavení zadat ručně.
    2. (ISO doporučeno) Kopírovat do položky LastPass.
    3. Uložit do souboru a vytisknout. Uložte výtisk na bezpečném místě, jako je uzamčená zásuvka nebo skříňka.
    4. Uložit na USB. Uložte USB na bezpečném místě, jako je uzamčená zásuvka nebo skříňka.
    5. Každý majitel počítače je zodpovědný za klíč obnovy k vlastnímu zařízení, včetně majitelů spravovaných zařízení kampusu. ITCS neukládá klíče pro zotavení.

    Možnosti klíče pro obnovení můžete kdykoli přistupovat prostřednictvím hlavní nabídky Bitlocker.

    Pokud jste někdy regenerovali klíč obnovy, ujistěte se, že aktualizujete všechny své zálohování klíčů pro zotavení.

    Povolit šifrování plného disku na Apple MacOS

    FileVault

    FileVault poskytuje ochranu dat a operačního systému pro váš Mac v případě, že je počítač odcizen nebo ztracen. FileVault je k dispozici ve všech počítačích Mac.

    Povolení FileVault neovlivní uživatelský zážitek. Přihlášení, navigace a ukládání souborů zůstane stejné. Po povolení FileVault budou všechna data uložená na jednotce šifrována.

    Povolit fileVault

    Povolení FileVault bude vyžadovat oprávnění správce. Pokud nemáte na svém zařízení oprávnění správce, kontaktujte IT klientské služby nebo podporu IT oddělení pro pomoc.

    ISO doporučuje, abyste používali standardní uživatelský účet pro všechny každodenní činnosti a povýšili na administrativní oprávnění pouze v případě potřeby. Tento proces lze provést ze standardního uživatelského účtu a v případě potřeby vyzve k výšce privilegií.

    FileVault zašifruje soubory pro všechny uživatele počítače; Každý uživatel bude vyzván k zadání svého hesla během nastavení. Pokud uživatel není povolen v FileVault, nebude schopen se přihlásit nebo přistupovat k jejich datům. Uživatelské účty, které přidáte po zapnutí filevault, jsou automaticky povoleny.

    Klíče obnovy

    Když nastavíte FileVault, budete si muset vybrat možnost obnovy v případě, že zapomenete heslo svého účtu.

    1. Klíč pro zotavení prostý
      1. FileVault může generovat klíč pro zotavení prostého textu, který lze během zotavení zadat ručně.
      2. ISO doporučuje vytvořit položku LastPass pro uložení klíče pro zotavení. Klíč lze také zkopírovat do souboru a vytištěno. Uložte výtisk na bezpečném místě, jako je uzamčená zásuvka nebo skříňka.
      3. Každý majitel počítače je zodpovědný za klíč obnovy k vlastnímu zařízení, včetně majitelů spravovaných zařízení kampusu. ITCS neukládá klíče pro zotavení.
      1. Pokud uložíte svůj klíč obnovy ve vašem účtu iCloud, není žádná záruka, že Apple vám bude moci dát klíč, pokud na něj prohrajete nebo zapomenete. Ne všechny jazyky a regiony jsou obsluhovány společností Applecare nebo iCloud a ne všechny regiony obsluhované Applecare nabízejí podporu v každém jazyce.

      Pokud chcete změnit klíč obnovy použité k šifrování vašeho spouštěcího disku, vypněte filevault v preferencích zabezpečení a ochrany osobních údajů. Poté můžete znovu zapnout a vygenerovat nový klíč a deaktivovat všechny starší klíče. Ujistěte se, že aktualizujete všechny své zálohování klíčů pro obnovení.