Активиране на пълното криптиране на диска

Пълното криптиране на диска защитава данните на вашето устройство, в случай че е изгубено или откраднато. Без пълно криптиране на диска, ако устройството за данни в компютъра е премахнато, данните могат лесно да се четат и достъпят. Когато е правилно разгърнато, пълното криптиране на диска изисква неоторизирани потребители да имат както физически достъп до вашето устройство, така и на паролата, за да декриптират данните на вашето устройство.

Ако обаче както паролата, така и ключът за възстановяване са неизвестни или загубени, устройството не може да бъде декриптирано и данните ще бъдат невъзстановими. Силно се препоръчва да съхранявате вашите пароли и клавиши за възстановяване в приложение за мениджър на пароли като LastPass, за да избегнете този проблем.

Пълното криптиране на диска трябва да се реализира за всички преносими устройства, когато:

  • Съхраняване или обработка на институционална информация, класифицирана на P3 или по -висока
  • Външни изисквания налагат използването на пълно криптиране на дискове (като споразумения за използване на данни за изследвания с доставчици на данни на трети страни)

Ако имате устройство, управлявано от университет и нямате привилегии на администратора на вашето устройство, използвайте офертата за самообслужване на BigFix за криптиране (използвайки инструкции за прозорци или инструкции за macOS). Ако срещнете някакви затруднения с офертата за самообслужване или тези инструкции, свържете се с ИТ клиентски услуги или от вашия ведомствен ИТ поддръжка за помощ.

За лично управлявани компютри вижте инструкциите за активиране на пълно криптиране на дискове на Windows и Mac по-долу.

Активирайте пълното криптиране на диска на Microsoft Windows

BitLocker

Microsoft включва пълна функция за криптиране на дискове, вградена в Windows, наречена BitLocker.

BitLocker е достъпен на поддържани устройства, работещи с Windows 10/11 Pro, Enterprise или Education Edition. Не е достъпен в Home Edition. Студентите, преподавателите и служителите могат да надграждат системата си Windows 10 до изданието за образование.

Потребителски опит

Много по-нови компютри имат вграден чип за криптиране, който отключва криптираните ви файлове, когато влезете.

Ако вашият компютър няма чип за криптиране, ще имате допълнителна стъпка за проверка при стартиране, преди да можете да влезете. Тази стъпка за проверка се изисква само при стартиране; След като се потвърдите, можете да влезете и да излезете от потребителския си акаунт като нормално.

След като влязат, навигирането на папки и запазването на файлове ще останат същите.

Разберете изданието на операционната система

Настройки> Система> около> изброени под спецификации на Windows

Пример от Windows 10:

Относно Windows Edition

Активирайте BitLocker

Активирането на BitLocker ще изисква администраторски привилегии. Ако имате устройство, управлявано от университет и нямате привилегии на администратора на вашето устройство, използвайте предложението за самообслужване на Bigfix за криптиране. Ако срещнете някакви затруднения с офертата за самообслужване или тези инструкции, свържете се с ИТ клиентски услуги или от вашия ведомствен ИТ поддръжка за помощ.

ISO препоръчва да използвате стандартен потребителски акаунт за всички ежедневни дейности и да се повишите, за да администрирате привилегии само когато е необходимо. Този процес може да се извърши от стандартен потребителски акаунт и ще подкани за повишаване на привилегиите, когато е необходимо.

Можете да използвате компютъра си, докато устройството се криптира, но ще трябва да рестартирате компютъра, след като процесът на криптиране приключи.

Ако се покаже съобщение за грешка (без грешка в чипа TPM):

Вашият компютър може да показва съобщение за грешка, което казва „това устройство не може да използва надежден модул на платформата. Вашият администратор трябва да зададе опцията „Разрешаване на BitLocker без съвместима TPM“ в политиката „Изисквайте допълнително удостоверяване в Startup“ за обеми на OS.”

Грешка в BitLocker

TPM е чипът за криптиране, който позволява на потребителски акаунти да отключи устройството при стартиране.

Ако получите съобщението за грешка, компютърът ви е направен без чип за криптиране и можете да използвате USB или ПИН като заместител.

Стъпки

Този процес ще изисква влизане в администраторски акаунт.

  1. Отидете на Започнете > Windows System > Изпълнете

Windows System работи

Windows Run Gpedit

  1. Навигирайте до Компютърна конфигурация/административни шаблони/компоненти на Windows/Шифроване на задвижване/операционна система BitLocker > Изисквайте допълнително удостоверяване при стартиране (Щракнете с десния бутон/редактиране или двойно щракване)

Относно Windows Edition

Активирайте BitLocker

Активирането на BitLocker ще изисква администраторски привилегии. Ако имате устройство, управлявано от университет и нямате привилегии на администратора на вашето устройство, използвайте предложението за самообслужване на Bigfix за криптиране . Ако срещнете някакви затруднения с офертата за самообслужване или тези инструкции, свържете се с ИТ клиентски услуги или от вашия ведомствен ИТ поддръжка за помощ.

ISO препоръчва да използвате стандартен потребителски акаунт за всички ежедневни дейности и да се повишите, за да администрирате привилегии само когато е необходимо. Този процес може да се извърши от стандартен потребителски акаунт и ще подкани за повишаване на привилегиите, когато е необходимо.

Можете да използвате компютъра си, докато устройството се криптира, но ще трябва да рестартирате компютъра, след като процесът на криптиране приключи.

Ако се покаже съобщение за грешка (без грешка в чипа TPM):

Вашият компютър може да показва съобщение за грешка, което казва „това устройство може’не използвайте надежден модул на платформата. Вашият администратор трябва да зададе “Оставете BitLocker без съвместим TPM” Опция в ‘Изисквайте допълнително удостоверяване при стартиране’ Политика за обеми на ОС.”

Грешка в BitLocker

TPM е чипът за криптиране, който позволява на потребителски акаунти да отключи устройството при стартиране.

Ако получите съобщението за грешка, компютърът ви е направен без чип за криптиране и можете да използвате USB или ПИН като заместител.

Стъпки

Този процес ще изисква влизане в администраторски акаунт.

Влезте с администраторски акаунт> Старт> Система на Windows> Run> Gpedit.MSC> Навигирайте до компютърна конфигурация/административни шаблони/компоненти на Windows/BitLocker Drive Cureption/Operation System> Изисквайте допълнително удостоверяване при стартиране (щракнете с десния бутон/редактиране или двойно клик

  1. Отидете на Старт> Система на Windows> Run

Windows System работи

Windows Run Gpedit

  1. Навигирайте до Компютърна конфигурация/административни шаблони/компоненти на Windows/BitLocker Задвижване/операционна система Задвижвания> Изисквайте допълнително удостоверяване при стартиране (Щракнете с десния бутон/редактиране или двойно щракване)

Групова политика TPM

  1. Активиране> Проверете Разрешаване на BitLocker без съвместим TPM> Прилагайте

Групова политика TPM Редактиране

След като тези стъпки приключат, опитайте отново да включите BitLocker, като следвате по -ранните стъпки:

Open File Explorer> Този компютър> Локален диск (c :)> Управление [Drive Tools]> BitLocker> Manage BitLocker> Включете BitLocker

Ще можете да избирате между създаване на ПИН или USB флаш устройство, за да отключите устройството си при стартиране. След като сте избрали опция, няма начин да превключвате без декриптиране, след това отново преценирате устройството.

Отключете TPM

Всеки човек, който използва компютъра, ще трябва да знае ПИН или да има копие на USB флаш устройство.

Използването на някоя от тези опции изисква човек да присъства физически за стартиране; Ако управлявате системата си дистанционно (e.g. Чрез RDP) човек с ПИН или USB трябва да премине лично, за да декриптира устройството, преди да могат да се използват отдалечени функции.

Ако сте планирали актуализации, които изискват рестартиране на компютъра, можете да следвате инструкциите по -долу, за да спрете BitLocker. BitLocker ще се активира отново след рестартирането.

ISO препоръчва опцията PIN. Пин може да се съхранява в LastPass и да се споделя сигурно на други потребители на компютъра. Пин е отделен от парола за потребителски акаунт. Следвайте указанията на ISO Passphrase, за да създадете дълъг, защитен щифт.

ISO не препоръчва опцията USB. Създаденото от USB никога не трябва да се оставя в компютъра, след като устройството е отключено и ще трябва да се съхранява сигурно в заключен шкаф или чекмедже. USB също няма да показва файла, който отключва устройството, така че той няма да изглежда различен от другите USB и трябва да бъде обозначен.

Спиране на BitLocker

За планирани актуализации, хардуерни промени или промени в конфигурацията, в менюто BitLocker има опция за спиране на BitLocker, но не и да я изключите. Изключването на BitLocker не се препоръчва за временни ситуации, тъй.

Спиране на BitLocker

Клавиши за възстановяване

  1. С TPM чип: Забравете паролата на вашия потребителски акаунт
  2. Без TPM чип: Загубийте USB стартиращия ключ или забравете ПИН за декриптиране
  3. Надстройка на операционната система
  4. Преместете криптираното устройство до нов компютър
  5. Инсталирайте нова дънна платка
  6. Променете настройките на конфигурацията на зареждането
  7. Актуализирайте компютъра BIOS
  1. Ключ за възстановяване на Speentext
    1. BitLocker може да генерира ключ за възстановяване на Speatext, който може да бъде въведен ръчно по време на възстановяване.
    2. (ISO Препоръчва се) Копирайте в запис LastPass.
    3. Запазете във файл и разпечатайте. Съхранявайте разпечатката на сигурно място, като заключено чекмедже или шкаф.
    4. Запазете в USB. Съхранявайте USB на сигурно място, като заключено чекмедже или шкаф.
    5. Всеки собственик на компютър е отговорен за ключа за възстановяване на собственото си устройство, включително собствениците на управлявани от кампуса устройства. ITCS не съхранява ключове за възстановяване.

    Можете да получите достъп до опциите си за възстановяване по всяко време през главното меню BitLocker.

    Ако някога регенерирате ключа за възстановяване, не забравяйте да актуализирате всичките си резервни копия на ключа си за възстановяване.

    Активирайте пълното криптиране на диска на Apple MacOS

    FileVault

    FileVault предоставя защита на данни и операционна система за вашия Mac, в случай че компютърът е откраднат или изгубен. FileVault е достъпен на всички компютри Mac.

    Активирането на FileVault няма да повлияе на потребителското изживяване. Влизане, навигацията на папки и запазването на файлове ще останат еднакви. След като FileVault е активиран, всички данни, съхранявани на устройството, ще бъдат криптирани.

    Активиране на FileVault

    Активирането на FileVault ще изисква администраторски привилегии. Ако нямате привилегии на администратора на вашето устройство, свържете се с ИТ клиентски услуги или вашата ведомствена ИТ поддръжка за помощ.

    ISO препоръчва да използвате стандартен потребителски акаунт за всички ежедневни дейности и да се повишите, за да администрирате привилегии само когато е необходимо. Този процес може да се извърши от стандартен потребителски акаунт и ще подкани за повишаване на привилегиите, когато е необходимо.

    FileVault ще криптира файловете за всички потребители на компютъра; Всеки потребител ще бъде подканен да въведе паролата си по време на настройката. Ако потребителят не е активиран във FileVault, той няма да може да влезе или да получи достъп до техните данни. Потребителските акаунти, които добавяте след включване на FileVault, са автоматично активирани.

    Клавиши за възстановяване

    Когато настроите FileVault, ще трябва да изберете опция за възстановяване в случай, че забравите паролата на вашия акаунт.

    1. Ключ за възстановяване на Speentext
      1. FileVault може да генерира ключ за възстановяване на Speatext, който може да бъде въведен ръчно по време на възстановяване.
      2. ISO препоръчва да се създаде запис LastPass за съхраняване на ключа за възстановяване. Ключът също може да бъде копиран във файл и да се отпечата. Съхранявайте разпечатката на сигурно място, като заключено чекмедже или шкаф.
      3. Всеки собственик на компютър е отговорен за ключа за възстановяване на собственото си устройство, включително собствениците на управлявани от кампуса устройства. ITCS не съхранява ключове за възстановяване.
      1. Ако съхранявате ключа си за възстановяване в акаунта си в iCloud, няма гаранция, че Apple ще може да ви даде ключа, ако го загубите или забравите. Не всички езици и региони се обслужват от Applecare или iCloud, а не всички региони, обслужвани от AppleCare, предлагат поддръжка на всеки език.

      Ако искате да промените ключа за възстановяване, използван за криптиране на вашия стартиращ диск, изключете FileVault в предпочитанията за сигурност и поверителност. След това можете да го включите отново, за да генерирате нов ключ и да деактивирате всички по -стари клавиши. Уверете се, че актуализирате всичките си резервни копия на ключа си за възстановяване.