Windows 10 kiintolevyn salaukseen on tarjolla Microsoftin BitLocker. Turvallisempi vaihtoehto on avoimen lähdekoodin VeraCrypt, joka tukee Windows 10 järjestelmää.
VeraCrypt 1.19 ja myöhemmät tukevat myös Windows 10 ja Windows 10 Anniversary UEFI-tietokoneita.
UEFI-laitteiden tapauksessa saattaa ilmetä ongelmia UEFI Secure Boot asetuksen kanssa. VeraCryptin järjestelmälevyn salaustesti voi epäonnistua ”Secure Boot Violation”-ilmoitukseen koneen käynnistyessä. Ongelma ratkeaa valitsemalla koneen UEFI-asetuksista Secure Boot pois. Jos Secure Boot:in poistaminen ei auta, ratkaisua kannattaa etsiä netistä konekohtaisesti.
Lue ensin salauksen tärkeitä periaatteita tästä (Windows 7, DiskCryptor).
VeraCryptin idea on sama kuin DiskCryptorin. Kiintolevyn sisältö salataan siten, että avaaminen on mahdotonta ilman salausavainta.
Ohjeet datalevyn salaukseen, ja alempana käyttöjärjestelmälevyn salaukseen:
Windows 10 datalevyn salaus
Pelkän datalevyn salaus ei ole järkevää, jos on mahdollista salata myös käyttöjärjestelmälevy. Jos UEFI-laitteen levyn salaus ei onnistu VeraCryptillä, datalevyn salaus on ainoa vaihtoehto. Tilanne on harmillinen kotikäyttäjälle, Windows 10 Home versiossa ei ole mukana edes Microsoftin omaa BitLockeria.
Käyttöjärjestelmälevy on salaamaton ja täysin luettavissa ulkopuolisten toimesta. Vaikka datalevylle salattuihin tiedostoihin ja ohjelmiin ei päästä käsiksi, jättää Windows runsaasti jälkiä ohjelmien/tiedostojen nimistä ja käytöstä. Osia tiedostosisällöistäkin jää järjestelmälevylle. Jälkiä voidaan vähentää ja poistaa käyttämällä puhdistustyökaluja aina salatun datan käsittelyn jälkeen.
1. Lataa VeraCrypt https://veracrypt.codeplex.com/ kohdasta Download.
2. Suorita asennusohjelma, ja käynnistä tietokone uudestaan.
3. Käynnistä VeraCrypt ja valitse Create Volume
4. Valitse Encrypt a non-system partition/drive
5. Valitse Standard VeraCrypt Volume
6. Volume Location sivulla, paina Select Device ja valitse luettelosta salattava kiintolevy. Valitse tarkasti oikea levy, jotta käyttöjärjestelmälevy ei tule salattavaksi. (Tarkoitus on salata jokin muu kuin järjestelmälevy).
7. Volume Creation mode sivulla, valitse Encrypt Partition in place. Jos valinta tuottaa virheilmoituksen tuntemattomasta levyformaatista, valitse toinen vaihtoehto, Create Encrypted volume and format it (HUOM: jälkimmäinen valita tuhoaa levyllä olevan datan).
Tietokoneen tulee olla verkkovirtaan kytketty, ja jos mahdollista, Windowsin virransäästöasetuksista tulisi poistaa lepotilaan siirtyminen. Näin varmistetaan, että pitkään kestävä salaustoimenpide ei keskeydy.
8. Encryption Options sivulla riittää oletusvalinta AES ja SHA-512.
9. Volume Size sivulla näkyy salattavan levyn koko. Paina Next.
10. Volume Password sivulle tulee syöttää riittävän monimutkainen (vähintään 20 merkkiä) sisältävä ainutlaatuinen salasana. Älä käytä samaa salasanaa kuin verkkopalveluissa, muissa tietokoneissa tai muissa Windowsin salasanoissa.
11. Volume Format sivulla, liikuta hiirtä ikkunan alueella kunnes vihreä palkki on saavuttanut oikean laidan. Tämän jälkeen paina Format.
12. Wipe Mode sivulla voidaan valita tarvittaessa tiedon ylikirjoitus. Tyhjälle uudelle levylle riittää None, joka on nopein.
13. Salaus käynnistyy. Jos valintana oli Encrypt Partition in place, toimenpide voi kestää tunteja. Vältä koneen käyttöä, ja estä siirtyminen lepotilaan (Windows virransäästöasetukset).
Salauksen valmistuttua levy näkyy Windows 10 laitteissa normaalina NTFS-levynä, mutta sitä ei tunnisteta. Jos levy avataan, Windows ehdottaa alustusta. Älä alusta/formatoi salattua levyä.
Levy avataan käynnistämällä VeraCrypt ja valitsemalla se levykirjain, johon salattu levy halutaan yhdistää (esimerkkikuvassa ensimmäinen vapaa levy on E:, joka valittu).
Select Device -napilla avautuu ikkuna, josta valitaan salattu levy. Tähän tulee valita sama fyysinen levy, joka salattiin ylempänä. (Esimerkissä salattu osio avataan levynä E:).
Painamalla Mount avautuu ikkuna levysalasanan antamiseksi.
Anna levysalasana, paina Ok. Levyn avaus kestää joitakin sekunteja, jonka jälkeen se on käytettävissä normaalina kovalevynä.
Salattu levy sammutetaan valitsemalla VeraCryptissä levykirjain ja painamalla Dismount.
Salatun levyn päivittäistä käyttöä voi helpottaa valitsemalla levykirjain, ja oikealla hiiren napilla Add To Favourites. Valitse avautuvassa ikkunassa Mount Selected volume upon login. Tämän jälkeen VeraCryptin Settings -> Preferences kohdasta voidaan valita Start VeraCrypt Background Task.
Kun Windows käynnistyy, valittu levy avataan automaattisesti ja salasanan syöttöikkuna tulee näkyviin.
Toinen vaihtoehto on jättää Mount Selected volume upon login -valinta tekemättä, ja avata levy tarvittaessa ilmoitusalueen VeraCrypt kuvakkeesta, Mount Favourite Volumes valinnalla.
Windows 10 järjestelmälevyn salaus
Windows 10:ssä käyttöjärjestelmälevyn salaaminen voi epäonnistua, jos UEFI-asetuksissa on Secure Boot päällä. Ongelma voi korjaantua asettamalla UEFI-Secure Boot pois päältä. Asetuksen poistaminen helpottaa jonkin verran haittaohjelmien asentumista, mutta toisaalta salaamaton järjestelmälevy on monin verroin isompi tietoturvariski.
Järjestelmälevyn salauksessa on ehdottoman tärkeää luoda VeraCrypt Recovery USB Disk, jolla epäonnistunut salaus puretaan menettämättä järjestelmälevyn sisältöä.
Harvinaisissa tapauksissa Windows 10 ei käynnisty, ja kone on palautettava tehdasasetuksille. Datalevyn sisältö säilyy, kunhan tehdasasetusten yhteydessä sitä ei formatoida.
Joskus UEFI tehdasasetusten palautus ei onnistu, C:-levy on asennuspakettien ulottumattomissa. Jotta asennuksen voi tehdä, kannattaa ladata etukäteen Windows 10 asennustyökalu (4 GB USB tai DVD levy): https://www.microsoft.com/fi-fi/software-download/windows10 (käyttö vaatii koneen käynnistämistä ulkoiselta laitteelta. Tietoa löytyy konekohtaisesti netistä.)
1. Lataa ja asenna VeraCrypt (ohjeet ylempänä datalevyn salauksessa).
2. Salaus tehdään valitsemalla System -> Encrypt System Partition/Drive
3. Valitse Normal ja seuraavasta ikkunasta Encrypt the Windows sytem partition.
4. Valitse Single-boot (Multi-boot on mahdollinen, jos koneessa useampi käyttöjärjestelmä)
5. Valitse Encryption options AES ja SHA-512 (SHA-256 jos oletuksena, parempi suorituskyky)
6. Volume Password tulee olla riittävän monimutkainen (vähintään 20 merkkiä) ja ainutlaatuinen. Älä käytä samaa salasanaa kuin verkkopalveluissa, muissa tietokoneissa tai muissa Windowsin salasanoissa. Älä säilytä salasanaa paperilapuilla tai tiedostoissa. HUOM: Voit käyttää samaa salasanaa kuin datalevylle, jos sellainen on salattu ennen järjestelmälevyä.
7. Liikuttele hiirtä Collecting Random Data sivun päällä, kunnes vihreä palkki on oikeassa laidassa, ja Next-valinta aktiivinen. Keys Generated -sivulla paina Next.
8. Rescue Disk -sivulla tallenna palautustiedostot kovalevylle. Aseta USB-muisti koneeseen ja pura palautustiedostot (zip) suoraan USB-muistin päähakemistoon. Tämän jälkeen paina Next. Jos USB-muistia ei ole käytettävissä, valitse Skip Rescue Disk verification. USB-tikulle tallennetut tiedostot (\EFI -kansio) tulee säilyttää. Jos järjestelmälevyn salaustiedot rikkoontuvat, levy voidaan palauttaa tiedostojen avulla. Tiedostojen joutuminen vääriin käsiin ei haittaa, kunhan levysalasanaa ei paljasteta.
9. Wipe Mode -kohtaan riittää None
10. Aloita salauksen testaus Test -valinnalla. VeraCrypt pyytää käynnistämään tietokoneen uudelleen.
11. Heti tietokoneen käynnistyttyä vasemmassa yläkulmassa näkyy ’Password:’. Syötä aiemmin määritelty salasana. PIM-koodi jätetään tyhjäksi.
a) Jos salasanakysymystä ei näy, salaustesti on epäonnistunut. Anna koneen käynnistyä, ja seuraa VeraCryptin ohjeita. Voit yrittää tietokoneen uudelleenkäynnistystä.
b) Jos UEFI-tietokone antaa Secure Boot Violation -virheen, hyväksy Ok:lla, ja anna koneen käynnistyä. VeraCrypt kysyy testin uudelleenyritystä. Vastaa Yes, ja anna tietokoneen sammua. Uudelleenkäynnistyksessä avaa laitteen UEFI-asetukset ja poista Secure Boot käytöstä. Salaustestin tulisi onnistua tämän jälkeen. VeraCrypt ilmoittaa testin onnistumisesta, ja järjestelmälevy on valmis salattavaksi.
12. Testin onnistuttua, aloita järjestelmälevyn salaus. Salaus voi kestää 2-4 tuntia – älä päästä konetta sammumaan tai lepotilaan salauksen aikana.
Salauksen päätyttyä, käynnistä tietokone, ja syötä salasana vasempaan yläkulmaan. Windows 10 käynnistyy normaalisti.
Jos VeraCryptillä on luotu aiemmin salattu datalevy, se voidaan avata automaattisesti käynnistyksen yhteydessä, kunhan levyn salasana on sama kuin järjestelmälevyllä. Datalevyn salasanan voi muuttaa valitsemalla levy luettelosta, ja System -> Change Password.
Levy saadaan avautumaan käynnistyksen yhteydessä valitsemalla levy luettelosta, ja Favorites -> Add Mounted Volume to System Favorites. Valikon alalaidasta valitaan Mount system favorite volumes when Windows starts ja Allow only administrators to view and dismount.
Jos järjestelmälevyn salaus epäonnistuu, ja kone ei käynnisty, voit hakea palautusohjeita esim. kohdasta Rescue: https://www.winhelp.us/veracrypt-system-drive-encryption.html#rescue
Toimiva Veracryptin latauslinkki löytyy nykyään https://veracrypt.fr/en/Downloads.html
TykkääTykkää