เกี่ยวกับการสอน

วิธีเปิดใช้งานการเข้ารหัสลับ BitLocker โดยไม่มีชิป TPM ใน Windows

BitLocker เป็นเครื่องมือที่รวมอยู่ใน Windows 7 (Enterprise และ Ultimate), Windows 8.1 (Pro และ Enterprise) และ Windows 10 (Pro และ Enterprise) ที่สามารถใช้เพื่อเข้ารหัสข้อมูลบนไดรฟ์ใดก็ได้ อย่างไรก็ตามในการเข้ารหัสไดรฟ์ระบบของคุณคุณต้องมีชิป TPM ในคอมพิวเตอร์ของคุณ ถ้าคุณไม่ทำคุณยังสามารถใช้ BitLocker ได้ แต่คุณต้องตั้งค่า Windows เพื่อให้สามารถใช้ BitLocker ได้โดยไม่ต้องใช้ชิพนี้ ในบทความนี้ผมจะอธิบายเกี่ยวกับการใช้ชิพ TPM (สิ่งที่เป็นและเหตุผลที่ใช้) และวิธีการตั้งค่า Windows เพื่อไม่ให้ต้องใช้ชิพนี้เพื่อเข้ารหัสไดรฟ์ระบบของคุณด้วย BitLocker มีพื้นที่มากมายที่จะครอบคลุมดังนั้นขอเริ่มต้น:

หมายเหตุ: คำแนะนำในคู่มือนี้ใช้กับ Windows 7 Enterprise, Windows 7 Ultimate, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows 10 Pro และ Windows 10 Enterprise

ชิป TPM (Trusted Platform Module) คืออะไร?

ชิป TPM เป็นอุปกรณ์ที่ใช้ในการสร้างคีย์เข้ารหัสลับที่มีความปลอดภัยและไม่เหมือนใครและเก็บข้อมูลเหล่านี้ไว้ในรูปแบบที่เข้ารหัสเพื่อให้สามารถใช้ข้อมูลนี้เพื่อตรวจสอบความถูกต้องของอุปกรณ์ฮาร์ดแวร์ คีย์เข้ารหัสจะถูกเข้ารหัสและสามารถถอดรหัสลับได้โดยใช้ชิป TPM ซึ่งสร้างและเข้ารหัสข้อมูลเหล่านั้น

ซอฟต์แวร์การเข้ารหัสลับเช่น BitLocker ใน Windows 7, Windows 8.1 และ Windows 10 ใช้ชิป TPM เพื่อปกป้องคีย์ที่ใช้ในการเข้ารหัสข้อมูลคอมพิวเตอร์ของคุณ จากนั้นจะใช้เพื่อรับรองความถูกต้องของคอมพิวเตอร์ที่เข้ารหัสและให้สิทธิ์การเข้าถึงข้อมูลที่เข้ารหัสทั้งหมดเมื่ออุปกรณ์ที่พยายามจะเข้าถึงได้รับการระบุว่าเชื่อถือ เนื่องจากคีย์ที่จัดเก็บไว้ในชิป TPM แต่ละตัวจะไม่ซ้ำกับอุปกรณ์ดังกล่าวซอฟต์แวร์เข้ารหัสจึงสามารถตรวจสอบได้อย่างรวดเร็วว่าระบบที่ต้องการเข้าถึงข้อมูลที่เข้ารหัสนั้นเป็นระบบที่คาดหวังไว้และไม่ใช่ซอฟต์แวร์อื่น

ซอฟต์แวร์เข้ารหัสจำนวนมากใช้หรือสนับสนุนการใช้ชิป TPM คอมพิวเตอร์ที่มีชิป TPM ผลิตโดยผู้ค้ารายใหญ่ทั้งหมด (จาก Acer ถึง Samsung ไปจนถึง Dell และ HP) แต่ส่วนใหญ่จะรวมอยู่ในคอมพิวเตอร์ที่ออกแบบมาสำหรับการใช้งานทางธุรกิจและจำหน่ายให้กับธุรกิจ ชิป TPM มักไม่รวมอยู่ในคอมพิวเตอร์ที่ขายให้กับผู้ใช้ที่บ้าน

หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับชิปเหล่านี้เราขอแนะนำให้คุณอ่านบทความต่อไปนี้: คู่มือการใช้งานทีละขั้นตอนของ Windows Trusted Platform Management และ Trusted Platform Module

คุณกำลังพยายามใช้ BitLocker โดยไม่มีชิป TPM หรือไม่? Windows มีปัญหากับ!

ถ้าคุณกำลังพยายามใช้ BitLocker เพื่อเข้ารหัสไดรฟ์ระบบของคุณและคุณไม่มีชิป TPM ในคอมพิวเตอร์ของคุณคุณจะได้รับข้อความแสดงข้อผิดพลาด ใน Windows 7 ข้อความระบุว่า: "ต้องใช้อุปกรณ์รักษาความปลอดภัย Trusted Platform Module (TPM) บนคอมพิวเตอร์เครื่องนี้ แต่ไม่พบ TPM โปรดติดต่อผู้ดูแลระบบของคุณเพื่อเปิดใช้งาน BitLocker"

"อุปกรณ์นี้ไม่สามารถใช้ Trusted Platform Module ผู้ดูแลระบบของคุณต้องตั้งค่าตัวเลือก 'อนุญาต BitLocker โดยไม่ใช้ TPM ที่เข้ากันได้' ในนโยบาย 'Require additional authentication at startup' สำหรับไดรฟ์ข้อมูลระบบปฏิบัติการ ."

เราชอบข้อความแสดงข้อผิดพลาดใน Windows 8.1 มากขึ้นเพราะยังชี้ให้คุณเห็นในทิศทางที่ถูกต้องและแสดงวิธีแก้ปัญหานี้

ใน Windows 10 ข้อความจะเหมือนกับข้อความที่แสดงโดย Windows 8.1: "อุปกรณ์นี้ไม่สามารถใช้ Trusted Platform Module ได้ผู้ดูแลระบบของคุณต้องตั้งค่าตัวเลือก 'อนุญาต BitLocker โดยไม่ใช้ TPM ที่เข้ากันได้' ใน" Require additional authentication at startup " 'สำหรับวอลุ่มระบบปฏิบัติการ "

อ่านหน้าถัดไปของบทแนะนำนี้เพื่อเรียนรู้วิธีใช้ Local Group Policy Editor เพื่อกำหนดนโยบายที่อนุญาตให้ใช้ BitLocker encryption โดยไม่ใช้ชิป TPM

วิธีเปิด Local Group Policy Editor

ตามที่ระบุไว้ในตอนต้นของบทความนี้คุณสามารถใช้การเข้ารหัสลับไดรฟ์ระบบแบบเต็มได้ด้วย BitLocker แม้ว่าคุณจะไม่มีชิป TPM ในคอมพิวเตอร์ก็ตาม อย่างไรก็ตามเพื่อให้การทำงานนี้คุณต้องแก้ไขนโยบายใน Windows ด้วยเครื่องมือ Local Group Policy Editor

ในการเริ่มใช้งานเครื่องมือนี้ใน Windows 7 ให้ค้นหาคำว่า "กลุ่ม" หรือคำว่า "นโยบายกลุ่ม" ในช่องค้นหา เริ่มต้นของเมนู จากนั้นให้คลิกผลการค้นหา "แก้ไขนโยบายกลุ่ม"

ใน Windows 8.1 ไปที่หน้าจอ เริ่ม และค้นหาคำว่า "นโยบายกลุ่ม" จากนั้นคลิกหรือแตะผลการค้นหา "แก้ไขนโยบายกลุ่ม"

ใน Windows 10 ให้ไปที่ช่องค้นหาบนแถบงานแล้วพิมพ์ "group" หรือ "group policy" จากนั้นคลิกหรือแตะผลการค้นหา "แก้ไขนโยบายกลุ่ม"

หรือคุณสามารถใช้หน้าต่างเรียกใช้เพื่อเรียกใช้คำสั่งนี้ได้: gpedit.msc

วิธีแก้ไขนโยบายการเข้ารหัสลับไดรฟ์ด้วย BitLocker

นี่คือสิ่งที่ ตัวแก้ไขนโยบายกลุ่มภายใน ดูเหมือนว่า:

ที่ด้านซ้ายมือให้ไปที่ส่วน กำหนดค่าคอมพิวเตอร์ และเปิดโฟลเดอร์ต่อไปนี้: "แม่แบบการดูแลระบบ -> ส่วนประกอบของ Windows -> การเข้ารหัสไดรฟ์ด้วย BitLocker -> ไดรฟ์ระบบปฏิบัติการ"

คุณเปิดโดยดับเบิลคลิกหรือดับเบิลแตะที่

ตอนนี้ดูที่แผงควบคุมด้านขวาและค้นหาการตั้งชื่อ "ต้องมีการตรวจสอบสิทธิ์เพิ่มเติมเมื่อเริ่มต้น" ดับเบิลคลิก / แตะที่มันเพื่อเปิดการตั้งค่านี้

หน้าต่างที่มีคุณสมบัติของนโยบายนี้จะปรากฏขึ้น เปลี่ยนค่าของนโยบายนี้เป็น Enabled จากนั้นตรวจสอบตัวเลือกที่ระบุว่า "อนุญาต BitLocker โดยไม่มี TPM ที่เข้ากันได้" และกด OK

เมื่อเสร็จแล้วให้ปิดหน้าต่าง Local Group Policy Editor ขณะนี้คุณสามารถใช้ BitLocker เพื่อเข้ารหัสไดรฟ์ระบบของคุณได้โดยไม่ต้องมีชิป TPM ในคอมพิวเตอร์ของคุณ

ในภายหลังถ้าคุณต้องการตั้งค่าสิ่งต่างๆให้กลับไปตามเดิมให้ทำตามขั้นตอนเดียวกันและตั้งค่า "ต้องมีการตรวจสอบสิทธิ์เพิ่มเติมเมื่อเริ่มต้นระบบ" ไปที่ Not Configured อย่าลืมคลิกหรือแตะ ตกลง เพื่อใช้การเปลี่ยนแปลง

ข้อสรุป

ตามที่เห็นจากบทแนะนำนี้ไม่ยากที่จะกำหนด BitLocker และ Windows เพื่อให้คุณสามารถเข้ารหัสไดรฟ์ระบบโดยไม่ใช้ชิป TPM อย่างไรก็ตามขั้นตอนนี้เกี่ยวข้องกับการใช้งานไม่กี่ขั้นตอนและการใช้เครื่องมือที่ไม่คุ้นเคยซึ่งอาจทำให้ผู้ใช้รู้สึกหวาดกลัวในตอนแรก หากคุณทำตามขั้นตอนที่เราอธิบายไว้คุณจะไม่มีปัญหาเลย