Tato příručka obsahuje vše, co potřebujete vědět o povolení, správě a zakázání šifrování BitLocker v systému Windows 11.
BitLocker je šifrovací funkce, kterou lze použít k zašifrování pevného disku, aby byla data chráněna před neoprávněným přístupem a zvědavýma očima nebo před krádeží. Jedná se o nativní bezpečnostní funkci zabudovanou do většiny verzí počítačů s Windows, včetně Windows 11 Pro, Education a Enterprise, ale není k dispozici v Home Edition.
Jakmile je jednotka zašifrována nástrojem BitLocker, lze ji odemknout nebo dešifrovat pouze pomocí hesla Bitlocker nebo klíče pro obnovení Bitlocker. A komukoli bez řádného ověření bude odepřen přístup, i když byl počítač ukraden nebo byl odebrán pevný disk. Používá šifrovací algoritmus Advanced Encryption Standard (AES) se 128bitovými nebo 256bitovými klíči pro šifrování dat na celém disku nebo pouze na použitém prostoru na disku.
V systému Windows 11 můžete použít dva typy šifrování BitLocker:-
- BitLocker Drive Encryption: Tato metoda šifrování se používá k šifrování pevných pevných disků (interní pevný disk) včetně jednotek operačního systému. Pokud jste zašifrovali jednotku operačního systému pomocí nástroje Bitlocker, zavaděč vás při spouštění vyzve k ověření pomocí hesla nebo klíče Bitlocker. Teprve po zadání správného šifrovacího klíče nebo hesla BitLocker dešifruje disk a načte systém Windows.
- BitLocker To Go: Tato metoda šifrování umožňuje šifrovat externí disky, jako jsou USB flash disky a externí pevné disky. K odemknutí zařízení po připojení disku k počítači budete muset zadat heslo nebo obnovovací klíč. Na rozdíl od předchozí metody lze jednotky šifrované pomocí BitLocker To Go odemknout na jakémkoli jiném počítači se systémem Windows nebo macOS, pokud má uživatel heslo nebo klíč pro obnovení.
V tomto tutoriálu vás provedeme povolením, správou a deaktivací šifrování BitLocker v systému Windows 11.
Systémové požadavky pro BitLocker
- Chcete-li používat BitLocker, budete potřebovat Windows 11 Pro, Education nebo Enterprise edition. BitLocker je k dispozici také ve verzích Windows 7, 8, 8.1 a 10.
- Dalším požadavkem je mít v počítači čip Trusted Platform Module (TPM) s podporou Modern Standby. Pro Windows 11 musí být TPM verze 2.0 povolen v režimu spouštění UEFI/BIOS.
- BitLocker však můžete povolit i bez TPM pomocí softwarového šifrování.
- Počítač by měl mít firmware základní desky v režimu UEFI.
- Ke spuštění nástroje BitLocker budete potřebovat alespoň dva oddíly: systémový oddíl a oddíl operačního systému. Systémový oddíl obsahuje soubory potřebné ke spuštění systému Windows a musí mít velikost alespoň 100 MB. A oddíl operačního systému obsahuje skutečné instalační soubory Windows. Pokud váš počítač tyto dva oddíly nemá, BitLocker je vytvoří automaticky. A oddíl operačního systému musí být naformátován systémem souborů NTFS.
- Dalším požadavkem pro šifrování disku pomocí nástroje BitLocker je, že byste měli být přihlášeni jako správce.
Dva nejdůležitější požadavky jsou, že potřebujete platnou edici Windows (Pro, Education nebo Enterprise) a TPM. Zbytek těchto požadavků by pravděpodobně splnila většina počítačů.
Má můj počítač TPM?
Existuje několik způsobů, jak zjistit, zda vaše zařízení podporuje TPM pro použití BitLockeru, včetně nástroje Správa TPM, aplikace Windows Security App, příkazového řádku, Správce zařízení a BIOSu.
Nejjednodušší způsob, jak zkontrolovat, zda má váš počítač TPM, je pomocí nástroje TPM Management Tool, který je integrován do operačního systému Windows.
Chcete-li spustit nástroj pro správu TPM, stisknutím kláves Windows+R otevřete dialogové okno Spustit. Poté do něj zadejte tpm.msc a klikněte na ‚OK‘ nebo stiskněte Enter.
Tím se spustí nástroj Správa modulu Trusted Platform Module (TPM) na místním počítači. Zde můžete zjistit, zda je v počítači nainstalován modul TPM, a také informace o výrobci modulu TPM, včetně verze modulu TPM. Pokud je na vašem počítači nainstalován modul TPM, uvidíte v části Stav zprávu „TPM je připraven k použití“, jak je uvedeno níže.
Pokud modul TPM není na vašem počítači dostupný nebo povolený, zobrazí se na obrazovce zpráva „Kompatibilní modul TPM nebyl nalezen“.
V některých počítačích není ve výchozím nastavení povoleno, i když je TPM do hardwaru zabudován výrobcem. V takových případech musíte ve vašem systému povolit funkci Trusted Platform Module (TPM) prostřednictvím firmwaru BIOS/UEFI.
Zapněte BitLocker ve Windows 11
Existuje několik způsobů, jak zapnout BitLocker v systému Windows 11, například prostřednictvím aplikace Nastavení, Ovládací panely, Průzkumník souborů nebo prostřednictvím prostředí PowerShell a příkazového řádku. Než to uděláme, ujistěte se, že jste přihlášeni k počítači se systémem Windows 11 pomocí účtu správce.
Povolení nástroje BitLocker v systému Windows 11 pomocí aplikace Nastavení
Aplikace Nastavení systému Windows vám umožňuje povolit nástroj BitLocker pro jednotky operačního systému, pevné jednotky i vyměnitelné jednotky.
Chcete-li to provést, nejprve spusťte aplikaci Nastavení systému Windows kliknutím na nabídku Start a výběrem „Nastavení“ nebo stisknutím kláves Windows+I.
V aplikaci Nastavení přejděte na kartu „Systém“ a v pravém podokně vyberte možnost „Úložiště“.
Na další stránce nastavení přejděte dolů a klikněte na možnost „Pokročilá nastavení úložiště“ v části Správa úložiště.
Když kliknete na rozevírací seznam Upřesnit nastavení úložiště, zobrazí se seznam možností úložiště. Zde vyberte „Disk a svazky“.
Tím se otevře stránka Disky a svazky, kde jsou uvedeny všechny disky a jednotky (svazky) ve vašem počítači. Zde vyberte jednotku, kterou chcete zašifrovat, a klikněte na „Vlastnosti“.
Na stránce vybraného svazku klikněte v části BitLocker na možnost „Zapnout nástroj BitLocker“.
Tím se dostanete na ovládací panel BitLocker Drive Encryption, kde můžete nastavit, spravovat a vypnout BitLocker.
Povolení nástroje BitLocker v systému Windows pomocí Ovládacích panelů
Kromě Nastavení můžete také přejít na ovládací panel BitLocker Drive Encryption a aktivovat BitLocker prostřednictvím Ovládacích panelů.
Nejprve otevřete nabídku Start systému Windows a vyhledejte „Ovládací panely“ a poté kliknutím na horní výsledek otevřete aplikaci.
V Ovládacích panelech klikněte na kategorii „Systém a zabezpečení“.
Poté klikněte na nastavení „BitLocker Drive Encryption“.
Případně můžete přímo otevřít panel BitLocker Drive Encryption Control tak, že jednoduše vyhledáte „Manage BitLocker“ ve vyhledávání Windows a vyberete nejlepší výsledek.
Všechny výše uvedené tři metody vás zavedou na ovládací panel BitLocker Drive Encryption. Zde můžete zapnout/vypnout BitLocker, změnit nebo odebrat heslo, přidat čipovou kartu a zálohovat obnovovací klíč.
Nyní stačí vybrat jednotku, kterou chcete zašifrovat, ze seznamu jednotek (jednotky operačního systému, pevné jednotky nebo vyměnitelné jednotky) a kliknout na odkaz „Zapnout BitLocker“ vedle této jednotky.
Nyní počkejte, až nástroj BitLocker inicializuje vybranou jednotku.
Když se otevře průvodce BitLocker Drive Encryption, vyberte preferovanou možnost odemknutí a klikněte na ‚Další‘. Musíte si vybrat, zda chcete tento disk odemknout heslem nebo čipovou kartou:
- K odemknutí disku použijte heslo: Heslo musí být kombinací velkých a malých písmen, číslic, mezer a symbolů.
- K odemknutí tohoto disku použít mou čipovou kartu: K odemknutí datových jednotek chráněných nástrojem BitLocker v počítači můžete také použít čipovou kartu. Pokud vyberete tuto možnost odemknutí, budete muset vložit čipovou kartu do počítače, abyste disk zašifrovali. PIN čipové karty a čipová karta budou vyžadovány pokaždé, když budete potřebovat ověřit identitu.
Čipová karta je fyzické ověřovací zařízení používané se čtečkou čipových karet pro připojení k počítači za účelem ověření uživatele. Používá se k ukládání informací o digitální identitě, jako jsou pověření zabezpečení, digitální podpisy a další. Pokud jste ztratili čipovou kartu nebo zapomněli PIN, můžete k odemknutí zařízení použít také obnovovací klíč.
Pokud jste vybrali možnost hesla, zadejte a znovu zadejte své heslo a klikněte na „Další“.
Na další obrazovce vyberte, jak chcete zálohovat obnovovací klíč. V případě, že zapomenete heslo nebo ztratíte čipovou kartu, můžete k odemknutí šifrovaného disku vždy použít svůj obnovovací klíč. Můžete si vybrat všechny možnosti obnovení.
Chcete-li vybrat možnost, stačí na ni kliknout:
- Uložte na svůj účet Microsoft – Tato možnost obnovení uloží klíč pro obnovení do vašeho účtu Microsoft. Chcete-li však tuto možnost použít, musíte se do systému Windows přihlásit pomocí účtu Microsoft.
- Uložit na USB flash disk – Tato možnost umožňuje uložit identifikátor a obnovovací klíč v textovém dokumentu na USB flash disk. Když klepnete na tuto možnost, zobrazí se malé dialogové okno, kde můžete vybrat zařízení USB ze seznamu. Vyberte jednotku USB a klikněte na „Uložit“.
- Uložit do souboru – Tato možnost umožňuje uložit textový dokument obsahující klíč pro obnovení do počítače. Vyberte, kam chcete soubor uložit, přejmenujte soubor, pokud chcete, a klikněte na „Uložit“.
- Vytiskněte obnovovací klíč – Chcete-li si klíč pro obnovení vytisknout, klikněte na tuto možnost, vyberte tiskárnu a klíč pro obnovení vytiskněte na list.
Vyberte požadovanou možnost a zálohujte si obnovovací klíč. Po zálohování nebo uložení klíče pro obnovení se v horní části zobrazí zpráva, jak je uvedeno níže. Poté klikněte na „Další“.
V dalším okně se zobrazí dotaz, kolik místa na disku chcete zašifrovat:
- Šifrovat pouze použité místo na disku (rychlejší a nejlepší pro nové počítače a disky) – Tato možnost zašifruje pouze aktuální místo s daty na pevném disku a zbytek volného místa ponechá nezašifrovaný. Tato možnost je rychlejší a ideální, pokud nastavujete BitLocker na novém počítači nebo novém disku.
- Šifrovat celý disk (pomalejší, ale nejlepší pro počítače a disky, které se již používají) – Tím se zašifruje celý disk včetně volného místa, což bude trvat déle. Tato možnost je upřednostňována, pokud šifrujete disk, který se nějakou dobu používá, a nechcete, aby někdo obnovoval smazané soubory.
Bez ohledu na to, jakou možnost zvolíte, BitLocker automaticky zašifruje nová data, když je přidáte na šifrovaný disk. Vyberte příslušnou možnost a klikněte na „Další“.
V dalším okně vyberte režim šifrování, který chcete použít, a klikněte na „Další“:
- Nový režim šifrování (nejlepší pro pevné disky na tomto zařízení) – Jedná se o novou pokročilou metodu šifrování, která poskytuje zvýšenou integritu a výkon v dalším režimu. Je však k dispozici pouze ve Windows 10 (od verze 1511 a novější) a Windows 11. Pokud šifrujete pevný disk a pokud se disk bude používat pouze ve Windows 10 (verze 1511) nebo novějších verzích, zvolte tuto možnost režimu. Toto je preferovaný režim šifrování pro Windows 11.
- Kompatibilní režim (nejlepší pro jednotky, které lze z tohoto zařízení přesunout) – Pokud šifrujete vyměnitelný disk (USB flash disk, externí pevný disk) nebo disk, který možná budete muset v určitém okamžiku použít ve starší verzi Windows (Windows 7, 8 nebo 8.1), vyberte „Kompatibilní režim“ '. Tato metoda šifrování se také nazývá šifrování „BitLocker To Go“.
Na poslední obrazovce klikněte na tlačítko ‚Zahájit šifrování‘ pro zahájení procesu šifrování.
Po dokončení výše uvedených kroků začne disk šifrovat.
Proces šifrování může chvíli trvat v závislosti na zvolené možnosti a velikosti disku. Během šifrování však můžete na počítači pokračovat v práci.
Po dokončení se zobrazí zpráva Šifrování dokončeno.
Poté budete moci tento disk odemknout pouze pomocí hesla, klíče pro obnovení nebo jednotky USB.
Pokud však šifrujete disk s operačním systémem, zobrazí se v průvodci BitLocker Drive Encryption další obrazovka, kde budete požádáni o spuštění kontroly systému BitLocker a restartování počítače. Zde zaškrtněte políčko „Spustit kontrolu systému BitLocker“ a klikněte na tlačítko „Pokračovat“.
Po dokončení procesu budete vyzváni k restartování počítače. Když se váš počítač spustí, budete nástrojem BitLocker vyzváni k zadání šifrovacího hesla pro odemknutí hlavního disku. Po odemknutí disku a přihlášení k počítači bude disk operačního systému zašifrován. Restart je také vyžadován pouze pro jednotku operačního systému.
Průběh šifrování můžete také zkontrolovat kliknutím na ikonu BitLocker Drive Encryption na hlavním panelu. Během šifrování disků můžete pokračovat v používání počítače, i když váš počítač může běžet pomalu.
Jednotky, které jsou zašifrovány, můžete identifikovat pomocí ikony „zámku“ nástroje BitLocker v Průzkumníkovi Windows. Zašifrovaný a zamčený disk bude mít ikonu „žlutého zámku“, jak je znázorněno níže.
Povolení nástroje BitLocker v systému Windows 11 pomocí Průzkumníka souborů
Nejjednodušší způsob, jak zapnout nástroj BitLocker na konkrétní jednotce, je pomocí Průzkumníka souborů. Otevřete Průzkumníka Windows nebo Průzkumníka souborů, jednoduše klikněte pravým tlačítkem myši na jednotku, kterou chcete zašifrovat, a vyberte „Zapnout BitLocker“.
Tím se přímo otevře průvodce šifrováním ovladače BitLocker, kde můžete nastavit šifrování.
Zapnutí nástroje BitLocker pomocí nástrojů příkazového řádku
Pokud používáte systém v nouzovém režimu nebo máte problémy s rozhraním GUI, můžete nástroj BitLocker vypnout pomocí nástrojů PowerShell nebo příkazového řádku.
Zapněte nástroj BitLocker pomocí příkazového řádku
Nejprve otevřete příkazový řádek jako správce. Chcete-li to provést, vyhledejte ve vyhledávacím poli systému Windows „cmd“, klikněte pravým tlačítkem na aplikaci Příkazový řádek a poté vyberte „Spustit jako správce“.
V okně příkazového řádku zadejte následující příkaz a stiskněte klávesu Enter.
spravovat-bdeTento příkaz zobrazuje seznam parametrů, které můžete použít k nastavení a správě šifrování.
Vždy byste měli používat spravovat-bde příkaz před parametry pro konfiguraci nástroje BitLocker.
Chcete-li zobrazit seznam parametrů ochrany a získat o nich další informace, zadejte následující kód:
manage-bde.exe -on -h
Jednoduše zašifrujte disk bez hesla, obnovovacího klíče a jakékoli další ochrany, použijte tento příkaz:
manage-bde -on X:Kde nahradit „X“ písmenem jednotky, kterou chcete zašifrovat.
Takto vypadá šifrovaný, ale nechráněný disk:
Na disk však můžete přidat ochranu i poté, co jste jej zašifrovali.
Po dokončení šifrování můžete také přidat heslo, přidat čipovou kartu a zálohovat svůj obnovovací klíč (pokud jste to ještě neudělali) v ovládacím panelu BitLocker Drive Encryption.
Chcete-li to provést, přejděte na ovládací panel BitLocker a vyberte jednotku, na kterou chcete přidat ochranu, a klikněte na „Zapnout BitLocker“.
Poté nakonfigurujte metodu ochrany pomocí průvodce BitLocker Drive Encryption.
Chcete-li zapnout šifrování a vygenerovat náhodné heslo pro obnovení, zkuste tento příkaz:
manage-bde -on K: -RecoveryPasswordChcete-li zapnout šifrování, vygenerujte heslo pro obnovení a uložte klíč pro obnovení na jiný disk, zadejte následující příkaz:
manage-bde -on K: -RecoveryPassword -RecoveryKey H: Ve výše uvedeném příkazu nahraďte písmeno jednotky „K“ jednotkou, kterou chcete zašifrovat, a „H“ jednotkou nebo cestou, kam chcete uložit klíč pro obnovení. Tento příkaz zapne šifrování na jednotce „K:“ a uloží obnovovací klíč na jednotku „H“. Poté automaticky vygeneruje heslo pro obnovení a zobrazí je v příkazovém řádku, jak je uvedeno níže.
Toto heslo vygenerované systémem si uložte, abyste jej mohli později použít k odemknutí zařízení.
Chcete-li přidat odemykací heslo a uložit klíč pro obnovení při šifrování disku, použijte níže uvedený kód:
manage-bde -on K: -pw -rk H:Tento příkaz vás vyzve k zadání hesla. Zadejte heslo a stiskněte Enter, poté znovu zadejte heslo a znovu stiskněte Enter pro přidání hesla pro odemknutí a uložení klíče pro obnovení.
Ke správě metod ochrany použijte Key protectors
K šifrování jednotky pomocí nástroje BitLocker v příkazovém řádku můžete také použít parametr ochrany klíčů. Těmito chrániči klíčů mohou být hesla pro odemknutí, klíče pro obnovení, hesla pro obnovení, certifikáty digitálního podpisu a další.
Zapnutí nástroje BitLocker na jednotce s heslem pro odemknutí jako ochranu klíčů, zadejte tento příkaz:
spravovat-bde -ochrany -přidat K: -pwnebo
spravovat-bde -ochrany -přidat K: -heslokde „pw“ je zkratka pro heslo. Pro provedení stejné akce můžete kterýkoli z parametrů.
Výše uvedené příkazy vás vyzve k zadání a potvrzení hesla pro odemknutí jednotky „K“.
Jakmile je heslo nastaveno, zapněte BitLocker na jednotce „K“ tímto příkazem:
spravovat-bde –na K:Zapnutí nástroje BitLocker s obnovovacím klíčem jako ochranou klíčů, zadejte tyto příkazy:
spravovat-bde -protektory -přidat K: -rk H:spravovat-bde –na K:První příkaz vygeneruje obnovovací klíč pro jednotku „K“ a uloží jej na disk „H“. Další příkaz spustí šifrování jednotky „K:“.
Obnovovací klíč bude uložen jako soubor „.BEK“ nebo „.TXT“ do určeného umístění.
Chcete-li zašifrovat disk pomocí klíče pro obnovení i hesla pro odemknutíchrániče, použijte níže uvedené příkazy:
manage-bde -protectors -add K: -pw -rk H:spravovat-bde –na K:Výše uvedené příkazy vás vyzve k zadání a potvrzení hesla pro odemknutí jednotky „K“ a poté vygeneruje klíč pro obnovení a uloží jej na jednotku „H“.
Chcete-li zašifrovat disk pomocíčíselné heslo pro obnovení a heslo pro odemknutíchrániče, použijte níže uvedené příkazy:
spravovat-bde -ochrany -přidat K: -pw -rp spravovat-bde –na K:Po provedení příkazu se na příkazovém řádku zobrazí zpráva Šifrování nyní probíhá. Jakmile tuto zprávu uvidíte, zobrazí se dialogové okno, které nám ukáže průběh procesu šifrování.
Pokud se dialogové okno průběhu nezobrazí, můžete spustit soubor fvenotify.exe v příkazovém řádku a zkontrolovat průběh šifrování.
Kontrola stavu nástroje BitLocker
Stav všeho, co se týká BitLockeru, můžete zkontrolovat jednoduchým příkazem.
Následující příkaz zobrazí situaci šifrování všech jednotek připojených k vašemu počítači:
spravovat-bde -stavVýše uvedený příkaz zobrazí velikost disku, aktuální stav šifrování, metodu šifrování, stav zámku, ochranu klíčů a typ svazku (operační systém nebo data) pro každý svazek, jak je uvedeno níže:
Zobrazení stavu nástroje BitLocker pro konkrétní jednotku, použijte níže uvedený příkaz:
spravovat-bde -stav H:Nezapomeňte nahradit písmeno jednotky „H“ jednotkou, kterou chcete zkontrolovat.
Povolení nástroje BitLocker pomocí prostředí PowerShell
Rutiny prostředí Windows Powershell můžete použít k šifrování jednotky operačního systému, pevných jednotek (svazků) a vyměnitelných jednotek. Pomocí rutin Powershell můžete nastavit různé ochrany, jako jsou hesla, klíče pro obnovení a hesla pro obnovení a další.
Stačí povolit BitLocker s ochranou heslem, spusťte níže uvedený příkaz v PowerShell:
Enable-Bitlocker D: -passwordprotectorKde nahradit písmeno jednotky „D“ písmenem jednotky svazku, který chcete chránit. Chcete-li zašifrovat jednotku operačního systému pomocí nástroje BitLocker, použijte písmeno jednotky „C“ namísto „D“.
Chcete-li šifrovat pouze použitý prostor na disku pomocí nástroje BitLocker, spusťte níže uvedený příkaz v PowerShell:
Enable-Bitlocker K: -passwordprotector -UsedSpaceOnlyVýše uvedený příkaz zašifruje disk a zobrazí stav svazku.
Na disk můžete současně přidat dvě ochrany klíčů (jako je heslo pro odemknutí a heslo pro obnovení), a to zahrnutím obou parametrů do příkazu. Nebo můžete přidat chránič klíče na jiný chránič. Například ve výše uvedeném příkazu nastavíme normální ochranu heslem na ‚Volume K‘.
Nyní můžeme také nastavit heslo pro obnovení pro stejný svazek pomocí následujícího příkazu:
Enable-Bitlocker K: -UsedSpaceOnly -RecoveryPasswordProtectorTento příkaz zašifruje pouze použitý prostor svazku K a vygeneruje heslo pro obnovení. Toto číselné heslo vygenerované systémem si můžete uložit a použít jej k odemknutí zařízení, pokud zapomenete heslo, které jste nastavili.
Chcete-li zkopírovat 48místné heslo pro obnovení vygenerované předchozím příkazem a uložit jej do textového dokumentu na jiné jednotce, použijte následující příkaz:
(Get-BitLockerVolume -MountPoint K).KeyProtector.recoverypassword > G:\Recoverypassword.txtKde nahraďte „G:\“ cestou, kam chcete uložit textový soubor, a nahraďte „Recoverypassword.txt“ názvem textového souboru.
Zobrazení stavu nástroje BitLocker pro každý svazek v počítači, zadejte níže uvedený příkaz:
Get-BitLockerVolume
Chcete-li získat pouze podrobnosti o stavu konkrétní jednotky, místo toho použijte tento příkaz:
Get-BitLockerVolume K:
Chcete-li povolit nástroj BitLocker pro operační systém pouze s ochranou TPM, použijte níže uvedený příkaz v PowerShell:
Enable-BitLocker -MountPoint 'C:' -TpmProtectorDalší výhodou použití nástroje příkazového řádku PowerShell k šifrování jednotky je, že existuje několik rutin BitLocker, které můžete použít ke správě BitLockeru.
Pokud chcete zobrazit seznam všech rutin BitLocker pro Windows PowerShell, podívejte se na tyto oficiální stránky společnosti Microsoft (zde). Chcete-li zobrazit seznam syntaxí pro všechny rutiny Enable-BitLocker, zadejte toto v prostředí PowerShell:
help Enable-BitLockerZapněte BitLocker bez TPM na jednotce operačního systému
Jak již bylo zmíněno dříve, čip Trusted Platform Module (TPM) je nezbytný, pokud potřebujete použít BitLocker na jednotce operačního systému Windows 11. Stále však budete moci používat šifrování BitLocker (softwarové), pokud povolíte další ověřování při spuštění pomocí Editoru místních zásad skupiny. Postupujte takto:
Nejprve stisknutím kláves Win+R otevřete příkaz Spustit, zadejte gpedit.msca stisknutím tlačítka „OK“ nebo Enter spusťte Editor místních zásad skupiny.
Případně vyhledejte „gpedit“ ve vyhledávání Windows a klikněte na ovládací panel „Upravit zásady skupiny“.
Jakmile se otevře Editor místních zásad, přejděte do následujícího umístění cesty:
Konfigurace počítače > Šablony pro správu > Součásti systému Windows > Šifrování jednotek BitLocker > Jednotky operačního systémuNa pravé straně okna dvakrát klikněte na zásadu ‚Vyžadovat další ověření při spuštění‘.
Poté v oknech, která se objeví, vyberte možnost „Povoleno“.
Poté se ujistěte, že je zaškrtnuto políčko „Povolit BitLocker bez kompatibilního TPM (vyžaduje heslo nebo spouštěcí klíč na USB flash disku)“.
Poté klikněte na „Použít“ a „OK“ a poté zavřete Editor zásad skupiny.
Povolte nástroj BitLocker na vašem disku
Jakmile je výše uvedené nastavení nakonfigurováno, můžete nyní zapnout BitLocker na jednotce operačního systému bez TPM.
Nejprve otevřete Průzkumníka Windows, poté klikněte pravým tlačítkem myši na jednotku „Místní disk (C:)“ a vyberte „Zapnout BitLocker“. Případně můžete otevřít stránku BitLocker Drive Encryption prostřednictvím Ovládacích panelů a kliknout na možnost „Zapnout BitLocker“ v části „Disk operačního systému“.
V průvodci BitLocker Drive Encryption vyberte možnost odemknutí jednotky při spuštění. Můžete si vybrat, zda chcete vložit jednotku flash pro uložení spouštěcího klíče nebo zadat číslo PIN.
- Vložte USB flash disk – Pokud zvolíte tuto možnost, vyberte vyměnitelnou jednotku, kam chcete uložit spouštěcí klíč, a klikněte na „Uložit“.
Dále vyberte, jak chcete zálohovat klíč pro obnovení, a klikněte na „Další“.
- Zadejte PIN (doporučeno) – Tato možnost vyžaduje heslo při každém spuštění počítače.
Pokud zvolíte tuto možnost, zadejte a znovu zadejte (6-20) číslic dlouhý PIN. Poté klikněte na „Další“ a dokončete zbytek procesu, jak jsme vám ukázali dříve.
- Nechat BitLocker automaticky odemknout můj disk – Tato možnost umožňuje BitLockeru automaticky odemknout váš disk.
Po dokončení kroků restartujte počítač. Při příštím spuštění počítače budete vyzváni k zadání čísla „PIN“ nebo vložení „jednotky USB flash“, která obsahuje spouštěcí klíč, abyste získali přístup k počítači.
Správa nástroje BitLocker v systému Windows 11
Jakmile zašifrujete disk pomocí nástroje BitLocker, můžete nástroj BitLocker spravovat odemknutím šifrovaného disku, zálohováním klíče pro obnovení, změnou hesla, odstraněním hesla, přidáním čipové karty, zapnutím/vypnutím automatického odemykání, vypnutím nástroje BitLocker z jednotky BitLocker Ovládací panel šifrování.
Stránku ovládacího panelu nástroje BitLocker Drive Encryption můžete otevřít procházením ovládacího panelu. Nebo klikněte pravým tlačítkem myši na zašifrovanou jednotku a poté vyberte „Spravovat BitLocker“ a přejděte přímo na tuto stránku.
Poté vyberte šifrovanou jednotku a zobrazte možnosti správy této jednotky. Tyto možnosti můžete použít ke správě šifrovaného disku.
Tyto možnosti byste viděli pouze po odemknutí příslušné jednotky.
Odemknutí nebo otevření šifrovaného disku
Ve výchozím nastavení se hned po aktivaci nástroje BitLocker na jednotce šifrovaný disk odemkne a můžete k němu volně přistupovat. Pouze po vysunutí šifrovaného disku a jeho opětovném připojení k počítači nebo restartování systému (pevné disky) bude disk uzamčen a budete vyzváni k zadání hesla nebo klíče pro obnovení pro přístup k disku.
Pokud povolíte BitLocker na datovém svazku (disku) a nezapnuli jste automatické odemykání, budete muset tento svazek odemknout pokaždé, když se systém restartuje nebo se disk znovu připojí k systému.
Chcete-li odemknout a získat přístup k datům na zašifrované jednotce, klikněte na jednotku v Průzkumníku souborů.
Poté zadejte heslo nebo vložte chytrý klíč a klikněte na tlačítko „Odemknout“.
Pokud jste ztratili (nebo zapomněli) heslo pro odemknutí, klikněte na „Další možnosti“.
Dále klikněte na možnost „Zadat klíč pro obnovení“.
Poté zadejte 48místný obnovovací klíč, který jste si uložili, poznamenali, vytiskli nebo odeslali na váš účet Microsoft, a klikněte na „Odemknout“.
Pokud byste však zašifrovali více disků a uložili tyto klíče pro obnovení do více textových souborů, měli byste problém najít správný klíč pro obnovení. To je důvod, proč vám BitLocker poskytuje vodítko k nalezení správného klíče pro obnovení zobrazením „ID klíče“ spojeného s klíčem pro obnovení, který jste si pro daný disk uložili.
Poté vyhledejte soubor klíče pro obnovení s odpovídajícím ID klíče a otevřete jej.
Když otevřete dokument s klíčem pro obnovení, uvidíte identifikátor (ID) a heslo klíče pro obnovení. Tento 48místný dlouhý obnovovací klíč můžete zkopírovat, vložit nebo zadat a odemknout disk.
Jakmile je šifrovaná jednotka odemčena (ale ne dešifrována), bude mít ikonu „modrého zámku“, jak je znázorněno níže.
Pokud jste zašifrovali disk operačního systému, systém Windows vás vyzve k odemknutí disku při spuštění systému. Budete muset zadat číslo PIN nebo připojit USB flash disk, abyste odemkli systémový disk a přihlaste se k počítači.
Pokud jste zapomněli kód PIN nebo ztratili jednotku USB, kterou potřebujete k odemknutí jednotky, stisknutím klávesy Esc zadejte klíč pro obnovení, který jste si uložili nebo vytiskli.
Správa jednotky operačního systému pomocí nástroje BitLocker
Chcete-li spravovat BitLocker na jednotce C, jednoduše klikněte pravým tlačítkem na jednotku „C:“ a vyberte „Spravovat BitLocker“ nebo přejděte na stránku BitLocker Drive Encryption přes Ovládací panely. Jednotka operačního systému by měla jinou sadu možností pro správu nástroje BitLocker než datové jednotky (jak je uvedeno níže).
- Pozastavit ochranu– Tato možnost dočasně deaktivuje šifrování BitLocker na jednotce OS, což uživatelům umožňuje volný přístup k zašifrovaným datům na tomto svazku. Pozastavení nástroje BitLocker může být nutné, pokud řešíte problémy se systémem, instalujete nové programy nebo aktualizujete firmware, hardware nebo Windows.
Chcete-li nástroj BitLocker pozastavit, klikněte na odkaz nastavení „Pozastavit ochranu“.
Poté klikněte na „Ano“ ve výzvě s upozorněním BitLocker Drive Encryption.
Chcete-li nástroj BitLocker obnovit, klikněte na „Obnovit ochranu“. Pokud jste ochranu neobnovili, Windows automaticky obnoví BitLocker při příštím restartování počítače.
- Změňte způsob odemykání disku při spuštění– Tuto možnost vyberte, pokud chcete změnit způsob odemykání jednotky OS při spuštění. Poté vyberte možnost odemknutí při spuštění. BitLocker můžete nechat požádat o zadání kódu PIN nebo vložení jednotky flash nebo nechat jednotku automaticky odemknout při každém spuštění počítače.
- Zálohujte si obnovovací klíč– Toto nastavení umožňuje zálohovat obnovovací klíč jeho uložením na váš účet Microsoft, uložením do textového souboru nebo vytištěním obnovovacího klíče.
- Vypněte BitLocker– Úplně deaktivuje nástroj BitLocker a odstraní šifrování.
Vypněte BitLocker ve Windows 11
Vypnutí/vypnutí nástroje BitLocker je mnohem jednodušší a rychlejší než zapnutí nástroje BitLocker.Pokud již BitLocker nepotřebujete, můžete jej snadno vypnout. Pokud tak učiníte, nesmažete ani nezměníte data na jednotce. Než však deaktivujete nástroj BitLocker, musíte nejprve odemknout šifrovaný disk, jak je znázorněno v předchozí části.
Existuje několik způsobů, jak můžete zakázat BitLocker ve Windows 11, včetně aplikace Nastavení, Ovládací panely, Editor zásad skupiny, PowerShell a Příkazový řádek.
Zakázání nástroje BitLocker v systému Windows 11 prostřednictvím aplikace Nastavení
Nejprve otevřete aplikaci Nastavení systému Windows kliknutím pravým tlačítkem na tlačítko „Start“ a výběrem „Nastavení“ nebo stisknutím kláves Windows+I.
Když se otevře aplikace Nastavení, přejděte na kartu „Systém“ a v pravém podokně vyberte možnost „Úložiště“.
Na stránce Nastavení systému přejděte dolů a klikněte na možnost „Pokročilá nastavení úložiště“ v části Správa úložiště.
Poté otevřete rozevírací seznam Upřesnit nastavení úložiště a zobrazte seznam možností úložiště. Zde vyberte „Disk a svazky“.
Tím se otevře stránka nastavení disků a svazků, kde jsou uvedeny všechny disky a jednotky (svazky) ve vašem počítači. Zde vyberte šifrovaný svazek, který chcete dešifrovat, a klikněte na „Vlastnosti“. Pokud je disk zašifrován, pod názvem disku uvidíte stav „BitLocker Encrypted“, jak je znázorněno níže. Zde vybíráme jednotku „C:“.
Na stránce vybraného svazku klikněte v části BitLocker na „Vypnout nástroj BitLocker“.
Tím se dostanete na ovládací panel BitLocker Drive Encryption. Nyní stačí vybrat jednotku, kterou chcete dešifrovat, ze seznamu jednotek (jednotky operačního systému, pevné jednotky nebo vyměnitelné jednotky) a kliknout na odkaz nastavení „Vypnout BitLocker“.
Pokud se zobrazí výzva, klikněte znovu na „Vypnout nástroj BitLocker“. BitLocker vás může před deaktivací funkce vyzvat k zadání hesla pro odemknutí.
Zakázání nástroje BitLocker v systému Windows 11 prostřednictvím ovládacího panelu
Dalším způsobem, jak vypnout nástroj BitLocker a dešifrovat jednotku v systému Windows 11, je ovládací panel. Postupujte takto:
Otevřete ovládací panel tak, že ve vyhledávacím poli vyhledáte výraz „Ovládací panel“ a vyberete jej z výsledků vyhledávání. V okně Ovládací panely klikněte na kategorii „Systém a zabezpečení“.
Poté klikněte na nastavení „BitLocker Drive Encryption“ na stránce Systém a zabezpečení.
Nebo můžete také přímo otevřít ovládací panel „BitLocker Drive Encryption“ jednoduše vyhledáním „Spravovat BitLocker“ ve vyhledávání Windows a výběrem nejlepšího výsledku.
V obou případech se dostanete na ovládací panel BitLocker Drive Encryption. Pokud je jednotka, kterou chcete dešifrovat, uzamčena, odemkněte ji kliknutím na „Odemknout jednotku“.
Poté zadejte heslo a klikněte na ‚Odemknout pro odemčení disku.
Nyní jednoduše vyberte jednotku, pro kterou chcete deaktivovat nástroj BitLocker, a klikněte na odkaz „Vypnout nástroj BitLocker“ vedle této jednotky.
Poté znovu klikněte na „Vypnout nástroj BitLocker“, aby se zobrazilo pole výzvy.
Dokončení procesu dešifrování bude nějakou dobu trvat v závislosti na velikosti disku.
Zakázání nástroje BitLocker v systému Windows 11 prostřednictvím Průzkumníka souborů
Nejrychlejší způsob, jak zakázat BitLocker na konkrétní jednotce, je pomocí Průzkumníka souborů. Otevřete Průzkumníka Windows nebo Průzkumníka souborů, jednoduše klikněte pravým tlačítkem na jednotku, kterou chcete dešifrovat, a vyberte „Spravovat BitLocker“.
Přímo otevře možnosti nástroje BitLocker pro vybranou jednotku v ovládacím panelu nástroje BitLocker. Poté vyberte „Vypnout nástroj BitLocker“.
Vypnutí nástroje BitLocker pomocí nástrojů příkazového řádku
Dalším snadným způsobem, jak vypnout nástroj BitLocker, jsou nástroje příkazového řádku, jako je příkazový řádek nebo PowerShell. Chcete-li to provést, musíte spustit příkazový řádek ve zvýšeném režimu jako správce.
Vypněte nástroj BitLocker pomocí příkazového řádku
Nejprve otevřete příkazový řádek jako správce. V okně příkazového řádku zadejte níže uvedený příkaz a stiskněte klávesu Enter, abyste zjistili stav šifrování BitLocker pro všechny jednotky:
spravovat-bde -stav
Chcete-li zjistit stav šifrování BitLocker pro konkrétní jednotku, použijte tento příkaz:
spravovat-bde -stav K:
Pokud se pokusíte zakázat nástroj BitLocker na uzamčeném svazku, zobrazí se následující chyba:
Odemknutí šifrovaného disku pomocí hesla pro odemknutí, zadejte následující příkaz a po zobrazení výzvy zadejte heslo:
manage-bde –unlock K: -heslo
Odemknutí disku pomocí hesla pro obnovení, které bylo vygenerováno systémem při šifrování disku, spusťte níže uvedený příkaz:
spravovat-bde -odemknout K: -Heslo obnovení 400257-121638-323092-679877-409354-242462-080190-010263Ve výše uvedeném příkazu nahraďte 48místný obnovovací klíč za parametrem „-RecoveryPassword“ klíčem, který jste si uložili pro svůj disk.
Výše uvedené příkazy pouze dočasně odemknou disk, který se znovu uzamkne, když restartujete počítač nebo znovu připojíte disk.
Úplné vypnutí nástroje BitLocker na jednotce, použijte tento příkaz:
spravovat -bde -off K:
Výše uvedený příkaz deaktivuje šifrování BitLocker na vybrané jednotce. Můžete zkontrolovat, zda je nástroj BitLocker deaktivován nebo ne pomocí spravovat-bde -stav příkaz.
Vypněte nástroj BitLocker pomocí prostředí PowerShell
Dalším nástrojem příkazového řádku, který můžete použít k deaktivaci nástroje BitLocker, je PowerShell. Nejprve se ujistěte, že jednotka, pro kterou chcete zakázat nástroj BitLocker, je odemčená, a poté otevřete Windows PowerShell jako správce.
Úplné zakázání šifrování BitLocker pro konkrétní jednotku, spusťte v PowerShellu následující příkaz:
Zakázat Bitlocker – MountPoint „K:“Kde nahradit písmeno jednotky K jednotkou, pro kterou chcete zakázat BitLocker.
Tím se vypne šifrování BitLocker a měli byste vidět stav svazku jako ‚FullyDecrypted‘ a Stav ochrany jako ‚Off‘.
Pokud jste povolili šifrování BitLocker pro více jednotek, můžete je vypnout všechny najednou pomocí příkazů PowerShellu.
Chcete-li zakázat šifrování BitLocker na všech jednotkách, spusťte následující příkazy:
$BLV = Get-BitLockerVolumeTento příkaz získá seznam všech zašifrovaných svazků a uloží je do $ BLV variabilní. Poté další příkaz dešifruje všechny svazky uložené v $ BLV proměnnou a vypne BitLocker.
Disable-BitLocker -MountPoint $BLV
Vypnutí nástroje BitLocker ze služeb Windows
Windows Services je konzola pro správu služeb, která umožňuje povolit, zakázat, spustit, zastavit, odložit nebo obnovit služby nainstalované v počítači. Lze jej také použít k deaktivaci nástroje BitLocker na jednotkách. Postupujte takto:
Nejprve stiskněte Win+R, do příkazu Spustit zadejte ‚services.msc‘ a stiskněte ‚OK‘ nebo stiskněte Enter pro spuštění nástroje Services.
Když se otevře okno Služby, najděte v seznamu služeb „Službu šifrování jednotky BitLocker“ a dvakrát na ni klikněte.
Poté změňte typ spouštění na „Zakázáno“ a klikněte na „Použít“ a poté na „OK“ pro uložení změn a ukončení.
Jakmile to uděláte, služby BitLocker budou na vašem počítači s Windows 11 úspěšně zakázány.
Zakázání nástroje BitLocker pomocí Editoru místních zásad skupiny
Editor místních zásad skupiny Windows vám také může pomoci vypnout BitLocker v systému Windows 11. Podívejme se, jak to provést.
Nejprve stiskněte Win+R, do příkazu Spustit zadejte ‚gpedit.msc‘ a stiskněte ‚OK‘ nebo stiskněte Enter pro spuštění Editoru zásad skupiny. Případně můžete vyhledat ‚Zásady skupiny‘ nebo ‚gpedit‘ a poté z výsledku vybrat ‚Upravit zásady skupiny‘.
Když se otevře Editor místních zásad skupiny, přejděte pomocí levého postranního panelu na následující cestu:
Konfigurace počítače > Šablony pro správu > Windows Coonents > Šifrování jednotky BitLocker > Pevné datové jednotkyPoté poklepejte na nastavení „Zakázat přístup k zápisu na pevné disky nechráněné nástrojem BitLocker“ v pravém podokně.
Ve vyskakovacím okně vyberte možnost „Nekonfigurovat“ nebo „Zakázáno“ umístěnou vlevo a kliknutím na „Použít“ a „OK“ uložte změny.
Restartujte počítač a funkce BitLocker by měla být v počítači zakázána.
Formátování šifrovaného pevného disku pro odstranění nástroje BitLocker
Pokud jste zapomněli heslo a ztratili klíč pro obnovení a neexistuje žádný jiný způsob, jak odemknout nebo dešifrovat disk, můžete jej vždy naformátovat a odebrat z disku BitLocker. Formátování disku vymaže všechna data z tohoto disku, takže se doporučuje pouze v případě, že na pevném disku nejsou žádné důležité soubory.
Nejprve otevřete Průzkumníka souborů, klikněte pravým tlačítkem na zašifrovaný pevný disk a poté vyberte „Formátovat“.
Ve vyskakovacím okně zaškrtněte možnost „Rychlé formátování“ a kliknutím na „Start“ naformátujte disk.
Poté bude nástroj BitLocker z vašeho pevného disku odstraněn.
Takto povolíte, spravujete nebo zakážete šifrování BitLocker v systému Windows 11.