سلام
نرم افزار ثالث خطر داره ممکنه بر اثر مسدود شدن کرک و باگ و ... دسترسی به اطلاعاتت از بین بره :
برای امنسازی BitLocker و اینکه رمزگذاری هاردت امن، بازیابیپذیر و بدون ریسک قفل شدن سیستم باشد، این چهار مرحله را درست انجام بده:
برای امنسازی BitLocker و اینکه رمزگذاری هاردت امن ، بازیابیپذیر و بدون ریسک قفل شدن سیستم باشد ، این چهار مرحله را درست انجام بده :
---
1. فعال کردن TPM و Secure Boot
BitLocker وقتی امنتر است که از TPM 2.0 استفاده کند
بررسی :
1. Win + R
2. تایپ:
tpm.msc
3. اگر TPM فعال نبود، باید از BIOS روشنش کنی :
TPM / PTT / fTPM → Enabled
Secure Boot → Enabled
---
2. فعالسازی BitLocker با تنظیمات صحیح
مسیر :
Settings
→ System
→ Storage
→ Advanced storage settings
→ Disk & volumes
→ Turn on BitLocker
بهترین تنظیمات :
روش رمزگذاری : XTS‑AES 256-bit
حالت رمزگذاری :
New encryption mode برای SSD / هارد داخلی
Compatible mode فقط اگر هارد را روی سیستم های قدیمی می گذاری
---
3. ساخت 3 نسخه ایمن از Recovery Key
اگر این را اشتباه انجام بدهی، ممکن است کل هارد غیرقابل بازیابی شود
نسخه هایی که باید بسازی :
1. ذخیره کردن روی حساب Microsoft (پیشنهاد میشود)
2. ذخیره روی یک USB جدا از سیستم
3. ذخیره یک نسخه PDF/پرینتشده در جای امن
هرگز Recovery Key را روی همان هارد رمزگذاریشده، دسکتاپ یا داخل عکس ذخیره نکن
پیشنهاد حرفهای :
یک USB کوچک را فقط برای کلیدهای امنیتی نگه دار
---
4. فعالسازی "ارتقای امنیتی" BitLocker
در Group Policy میتوانی BitLocker را به سطح سازمانی ارتقا بدهی
Win + R
وارد کن :
gpedit.msc
مسیر :
Computer Configuration
→ Administrative Templates
→ Windows Components
→ BitLocker Drive Encryption
تنظیماتی که فعال کردنشان امنیت را بسیار بالاتر می برد :
Require additional authentication at startup → Enabled
Disable TPM-only startup → Enabled
(یعنی رمز یا PIN هم لازم باشد)
Choose drive encryption method and cipher strength → AES‑256
Configure use of hardware-based encryption → Off
(بسیاری از SSD ها Hard‑Encryption ناامن دارند)
---
5. گذاشتن PIN یا Password برای بوت (Secure Startup)
اینجاست که هاردت فوقالعاده امن می شود
در CMD (با Run as Administrator) :
manage-bde -protectors -add C: -TPMAndPIN
بعد از این :
سیستم بدون وارد کردن PIN قبل از ویندوز بوت نمیشود
حتی اگر لپتاپت دزدیده شود، هارد غیرقابل دسترسی است
---
6. رمزگذاری هاردهای اکسترنال با BitLocker To Go
برای هارد اکسترنال:
My Computer → روی هارد راستکلیک → Turn on BitLocker
تنظیمات پیشنهادی :
AES‑256
فقط Password یا Smart Card
( TPM برای اکسترنال کاربردی ندارد )
و Recovery Key آن را هم در همان USB امنت ذخیره کن
---
7. بکآپ از کلیدها قبل از هر تغییر سخت افزاری
وقتی این کارها را می کنی ، BitLocker ممکن است کلید جدید بخواهد :
عوض کردن RAM
عوض کردن مادربورد
آپدیت BIOS
ریست Secure Boot
در این موقعها :
manage-bde -protectors -disable C :
بعد از تغییرات :
manage-bde -protectors -enable C :
- - - Updated - - -
سلام
نرم افزار ثالث خطر داره ممکنه بر اثر مسدود شدن کرک و باگ و ... دسترسی به اطلاعاتت از بین بره :
برای امنسازی BitLocker و اینکه رمزگذاری هاردت امن، بازیابیپذیر و بدون ریسک قفل شدن سیستم باشد، این چهار مرحله را درست انجام بده:
برای امنسازی BitLocker و اینکه رمزگذاری هاردت امن ، بازیابیپذیر و بدون ریسک قفل شدن سیستم باشد ، این چهار مرحله را درست انجام بده :
---
1. فعال کردن TPM و Secure Boot
BitLocker وقتی امنتر است که از TPM 2.0 استفاده کند
بررسی :
1. Win + R
2. تایپ:
tpm.msc
3. اگر TPM فعال نبود، باید از BIOS روشنش کنی :
TPM / PTT / fTPM → Enabled
Secure Boot → Enabled
---
2. فعالسازی BitLocker با تنظیمات صحیح
مسیر :
Settings
→ System
→ Storage
→ Advanced storage settings
→ Disk & volumes
→ Turn on BitLocker
بهترین تنظیمات :
روش رمزگذاری : XTS‑AES 256-bit
حالت رمزگذاری :
New encryption mode برای SSD / هارد داخلی
Compatible mode فقط اگر هارد را روی سیستم های قدیمی می گذاری
---
3. ساخت 3 نسخه ایمن از Recovery Key
اگر این را اشتباه انجام بدهی، ممکن است کل هارد غیرقابل بازیابی شود
نسخه هایی که باید بسازی :
1. ذخیره کردن روی حساب Microsoft (پیشنهاد میشود)
2. ذخیره روی یک USB جدا از سیستم
3. ذخیره یک نسخه PDF/پرینتشده در جای امن
هرگز Recovery Key را روی همان هارد رمزگذاریشده، دسکتاپ یا داخل عکس ذخیره نکن
پیشنهاد حرفهای :
یک USB کوچک را فقط برای کلیدهای امنیتی نگه دار
---
4. فعالسازی "ارتقای امنیتی" BitLocker
در Group Policy میتوانی BitLocker را به سطح سازمانی ارتقا بدهی
Win + R
وارد کن :
gpedit.msc
مسیر :
Computer Configuration
→ Administrative Templates
→ Windows Components
→ BitLocker Drive Encryption
تنظیماتی که فعال کردنشان امنیت را بسیار بالاتر می برد :
Require additional authentication at startup → Enabled
Disable TPM-only startup → Enabled
(یعنی رمز یا PIN هم لازم باشد)
Choose drive encryption method and cipher strength → AES‑256
Configure use of hardware-based encryption → Off
(بسیاری از SSD ها Hard‑Encryption ناامن دارند)
---
5. گذاشتن PIN یا Password برای بوت (Secure Startup)
اینجاست که هاردت فوقالعاده امن می شود
در CMD (با Run as Administrator) :
manage-bde -protectors -add C: -TPMAndPIN
بعد از این :
سیستم بدون وارد کردن PIN قبل از ویندوز بوت نمیشود
حتی اگر لپتاپت دزدیده شود، هارد غیرقابل دسترسی است
---
6. رمزگذاری هاردهای اکسترنال با BitLocker To Go
برای هارد اکسترنال:
My Computer → روی هارد راستکلیک → Turn on BitLocker
تنظیمات پیشنهادی :
AES‑256
فقط Password یا Smart Card
( TPM برای اکسترنال کاربردی ندارد )
و Recovery Key آن را هم در همان USB امنت ذخیره کن
---
7. بکآپ از کلیدها قبل از هر تغییر سخت افزاری
وقتی این کارها را می کنی ، BitLocker ممکن است کلید جدید بخواهد :
عوض کردن RAM
عوض کردن مادربورد
آپدیت BIOS
ریست Secure Boot
در این موقعها :
manage-bde -protectors -disable C :
بعد از تغییرات :
manage-bde -protectors -enable C :
*****
دلیلش اینه که خاموش کردن BitLocker از کنترل پنل به ظاهر ساده است ، اما واقعاً ریسک بزرگی دارد و از نظر امنیتی محافظت شده است
اینطور نیست که هر کسی بتواند راحت خاموشش کند ؛ چند لایه محافظ دارد که باعث میشود فقط صاحب سیستم بتواند آن را غیرفعال کند
بیایید دقیق ولی ساده توضیح بدهم:
---
1. فقط کسی که وارد ویندوز شده باشد میتواند BitLocker را خاموش کند
یعنی برای خاموشکردن BitLocker باید :
از PIN/Password ورود به ویندوز عبور کرده باشی
یا با حساب Microsoft وارد شده باشی
یا با اثرانگشت/Windows Hello وارد شده باشی
دزد یا فرد ناشناس نمیتواند وارد سیستم بشود
پس اصلاً به کنترلپنل دسترسی ندارد
---
2. غیرفعال کردن BitLocker = دوباره رمزگشایی کامل دیسک
این عمل :
زمان بر است ( گاهی چند ساعت )
بدون سطح دسترسی Admin امکانپذیر نیست
با هر تغییری یک Event Security در Windows ثبت می کند
پس حتی اگر کاربر Admin هستی ، سیستم کاملاً شفاف گزارش می دهد .
---
3. اگر BitLocker یک "Startup PIN" داشته باشد ، خاموش کردنش سخت تر هم میشود
وقتی BitLocker را با حالت زیر فعال کرده باشی :
TPM + PIN
یا
Password at startup
در این صورت :
باید وارد ویندوز بشوی
باید سطح Admin داشته باشی
باید خودت شروع به Decrypt کنی
هیچکس بدون PIN بوتی حتی وارد ویندوز نمیشود که BitLocker را خاموش کند
---
4. BitLocker از نوع Data-at-rest Protection است، نه قفلکردن ویندوز
هدفش این نیست که کاربر اصلی سیستم را محدود کند
هدفش این است که اگر :
لپتاپ دزدیده شد
هارد جدا شد
سیستم بوت نشد
هیچ کس نتواند اطلاعات را بخواند
پس منطقی است که صاحب قانونی سیستم بتواند آن را خاموش کند
---
5. اگر بخواهی خاموش کردن BitLocker را محدود کنی
راهش وجود دارد :
1) جلوگیری از غیرفعالسازی با Group Policy
مسیر:
gpedit.msc
Computer Configuration
→ Administrative Templates
→ Windows Components
→ BitLocker Drive Encryption
→ Control use of BitLocker on fixed drives
گزینهها برای سختگیر کردن :
Allow users to turn off BitLocker → Disabled
2) جلوگیری از تغییر از طریق Registry Lockdown
(حساب کاربری عادی حق غیرفعالسازی ندارد)
3) استفاده از حساب کاربری غیرAdministrator
کاربر معمولی حتی نمیتواند BitLocker را لمس کند
---