Cách bật/tắt BitLocker trên Windows 11 để mã hóa data

BitLocker là một tính năng mã hóa có thể được sử dụng để mã hóa đĩa cứng nhằm bảo vệ dữ liệu khỏi bị truy cập trái phép. Đây là một tính năng bảo mật gốc được tích hợp trong hầu hết các phiên bản của PC Windows bao gồm các phiên bản Windows 11 Pro, Education và Enterprise, nhưng không có sẵn trong phiên bản Home.

Sau khi một ổ đĩa được mã hóa bởi BitLocker, nó chỉ có thể được mở khóa hoặc giải mã bằng mật khẩu Bitlocker hoặc Bitlocker Recovery Key. Và bất kỳ ai không có xác thực thích hợp sẽ bị từ chối truy cập ngay cả khi máy tính đã bị đánh cắp hoặc đĩa cứng bị lấy mất. Nó sử dụng thuật toán mã hóa Advanced Encryption Standard (AES) với các khóa 128 bit hoặc 256 bit để mã hóa dữ liệu trong toàn bộ ổ đĩa hoặc chỉ không gian được sử dụng của ổ đĩa.

Có hai loại mã hóa BitLocker mà bạn có thể sử dụng trong Windows 11: –

  • BitLocker Drive Encryption: Phương pháp mã hóa này được sử dụng để mã hóa ổ cứng cố định (đĩa cứng nội bộ) bao gồm cả ổ đĩa hệ điều hành. Nếu bạn đã mã hóa ổ đĩa hệ điều hành của mình bằng Bitlocker, Boot loader sẽ nhắc bạn xác thực bằng mật khẩu Bitlocker hoặc khóa Bitlocker khi khởi động. Chỉ sau khi nhập khóa mã hóa hoặc mật khẩu thích hợp, BitLocker mới giải mã ổ đĩa và tải Windows.
  • BitLocker To Go: Phương pháp mã hóa này cho phép mã hóa các ổ đĩa ngoài, chẳng hạn như ổ đĩa flash USB và ổ cứng di động gắn ngoài. Bạn sẽ cần nhập mật khẩu hoặc khóa khôi phục để mở khóa thiết bị khi kết nối ổ đĩa với máy tính. Không giống như phương pháp trước, các ổ đĩa được mã hóa bằng BitLocker To Go có thể được mở khóa trên bất kỳ máy tính Windows hoặc macOS nào khác, miễn là người dùng có mật khẩu hoặc khóa khôi phục.

Trong hướng dẫn này, chúng tôi sẽ hướng dẫn bạn bật, quản lý và tắt mã hóa data BitLocker trên Windows 11.

Yêu cầu hệ thống đối với BitLocker

  • Để sử dụng BitLocker, bạn sẽ cần phiên bản Windows 11 Pro, Education hoặc Enterprise. BitLocker cũng có sẵn trong các phiên bản Windows 7, 8, 8.1 và 10.
  • Một yêu cầu khác là phải có chip Mô-đun nền tảng đáng tin cậy (TPM) có hỗ trợ chế độ chờ hiện đại trên máy tính. Đối với Windows 11, TPM phiên bản 2.0 phải được bật ở chế độ khởi động UEFI / BIOS.
  • Tuy nhiên, bạn cũng có thể kích hoạt BitLocker mà không cần TPM bằng cách sử dụng mã hóa dựa trên phần mềm.
  • Máy tính phải có firmware mainboard ở chế độ UEFI.
  • Bạn sẽ cần ít nhất hai phân vùng để chạy BitLocker: phân vùng hệ thống và phân vùng hệ điều hành. Phân vùng hệ thống chứa các file cần thiết cần thiết để khởi động Windows và phải có kích thước ít nhất 100 MB. Và phân vùng hệ điều hành chứa các file cài đặt Windows thực tế. Nếu máy tính không có hai phân vùng đó, BitLocker sẽ tự động tạo chúng. Và phân vùng hệ điều hành phải được format với hệ thống file NTFS.
  • Một yêu cầu nữa để mã hóa ổ đĩa bằng BitLocker là bạn phải đăng nhập với tư cách administrator.

Hai yêu cầu quan trọng nhất là bạn cần có phiên bản Windows hợp lệ (Pro, Education hoặc Enterprise) và TPM. Phần còn lại của những yêu cầu này có lẽ sẽ được đáp ứng bởi hầu hết các máy tính.

PC có TPM không?

Có một số cách để tìm hiểu xem thiết bị có hỗ trợ TPM để sử dụng BitLocker hay không, bao gồm công cụ quản lý TPM, ứng dụng bảo mật Windows, Command Prompt, Device Manager và BIOS.

Cách dễ nhất để kiểm tra xem PC có TPM hay không là sử dụng công cụ quản lý TPM được tích hợp sẵn trong hệ điều hành Windows.

Để khởi chạy công cụ quản lý TPM, nhấn Windows+ R để mở cửa sổ hộp thoại Run. Sau đó, nhập tpm.msc vào nó và nhấp vào OK hoặc nhấn Enter.

Thao tác này sẽ khởi chạy tiện ích quản lý mô-đun nền tảng đáng tin cậy (TPM) trên máy tính cục bộ. Tại đây, bạn có thể xem TPM đã được cài đặt trên máy tính của mình hay chưa cũng như thông tin về nhà sản xuất TPM, bao gồm cả phiên bản TPM. Nếu TPM được cài đặt trên máy tính, bạn sẽ thấy thông báo The TPM is ready for use trong phần trạng thái như hình dưới đây.

Nếu TPM không khả dụng hoặc không được bật trên PC, bạn sẽ thấy thông báo bên dưới.

Trong một số PC, ngay cả khi TPM được nhà sản xuất nhúng vào phần cứng, nó vẫn không được bật theo mặc định. Trong những trường hợp như vậy, bạn cần bật tính năng Mô-đun nền tảng đáng tin cậy (TPM) trong hệ thống của mình thông qua firmware BIOS / UEFI.

Bật BitLocker trên Windows 11

Có một số cách bạn có thể bật BitLocker trên Windows 11, chẳng hạn như thông qua ứng dụng Settings app, Control Panel, File Explorer, hay PowerShell và Command Prompt. Trước khi chúng tôi thực hiện việc này, hãy đảm bảo rằng bạn đã đăng nhập vào PC Windows 11 của mình bằng tài khoản administrator. 

Bật BitLocker trên Windows 11 bằng ứng dụng cài đặt

Ứng dụng cài đặt Windows cho phép bạn bật BitLocker cho ổ đĩa hệ điều hành, ổ đĩa cố định cũng như ổ đĩa di động.

Để thực hiện việc này, trước tiên hãy khởi chạy ứng dụng Windows Settings bằng cách nhấp vào menu Window Start và chọn Settings hoặc bằng cách nhấn Windows+ I.

Trong ứng dụng cài đặt, chuyển đến tab System và chọn tùy chọn Storage trên ngăn bên phải.

Trên trang cài đặt tiếp theo, cuộn xuống dưới cùng và nhấp vào tùy chọn Advanced storage settings trong quản lý bộ nhớ.

Khi bạn nhấp vào menu thả xuống cài đặt bộ nhớ nâng cao, nó sẽ hiển thị danh sách các tùy chọn bộ nhớ. Trong đó, chọn Disk & volumes.

Thao tác này sẽ mở trang Disk & Volumes, nơi liệt kê tất cả các đĩa và ổ đĩa trên máy tính. Tại đây, chọn ổ đĩa mà bạn muốn mã hóa và nhấp vào Properties.

Trên trang tập đã chọn, nhấp vào Turn on BitLocker trong phần BitLocker.

Thao tác này sẽ đưa bạn đến bảng điều khiển BitLocker Drive Encryption, nơi bạn có thể thiết lập, quản lý và tắt BitLocker.

Bật BitLocker trên Windows bằng Control Panel

Ngoài cài đặt, bạn cũng có thể điều hướng đến bảng điều khiển mã hóa ổ đĩa BitLocker và bật BitLocker thông qua Control Panel.

Đầu tiên, mở menu Start của Windows và tìm kiếm Control Panel, sau đó nhấp vào kết quả trên cùng để mở ứng dụng.

Trong Control Panel, nhấp vào danh mục System and Security.

Sau đó, nhấp vào cài đặt BitLocker Drive Encryption.

Ngoài ra, bạn có thể trực tiếp mở bảng điều khiển BitLocker Drive Encryption Control bằng cách chỉ cần tìm kiếm Manage BitLocker trong tìm kiếm của Windows và chọn kết quả hàng đầu.

Tất cả ba phương pháp trên sẽ đưa bạn đến bảng điều khiển mã hóa ổ đĩa BitLocker. Tại đây, bạn có thể bật / tắt BitLocker, thay đổi hoặc xóa mật khẩu, thêm thẻ thông minh và sao lưu khóa khôi phục.

Bây giờ, chỉ cần chọn ổ đĩa bạn muốn mã hóa từ danh sách các ổ đĩa (operating system drives, fixed drives, or removable drives) và nhấp vào liên kết Turn on BitLocker bên cạnh ổ đĩa đó.

Bây giờ, hãy đợi cho đến khi BitLocker khởi tạo ổ đĩa đã chọn.

Khi trình hướng dẫn mã hóa ổ BitLocker mở ra, hãy chọn tùy chọn mở khóa ưa thích và nhấp vào Next. Bạn cần chọn xem bạn muốn mở khóa ổ đĩa này bằng mật khẩu hay thẻ thông minh:

  • Use a password to unlock the drive : Mật khẩu phải là sự kết hợp của chữ hoa và chữ thường, số, dấu cách và ký hiệu.
  • Use my smart card to unlock this drive : Bạn cũng có thể sử dụng thẻ thông minh để mở khóa các ổ đĩa dữ liệu được BitLocker bảo vệ trên máy tính của mình. Nếu bạn chọn tùy chọn mở khóa này, bạn sẽ cần cắm thẻ thông minh của mình vào máy tính để mã hóa ổ đĩa. Mã PIN smart card và smart card sẽ được yêu cầu mỗi khi bạn cần xác thực danh tính.

smart card là một thiết bị xác thực vật lý được sử dụng với đầu đọc thẻ thông minh để kết nối với máy tính nhằm xác thực người dùng. Nó được sử dụng để lưu trữ thông tin nhận dạng kỹ thuật số, chẳng hạn như thông tin xác thực bảo mật, chữ ký số và các thông tin khác. Nếu bị mất thẻ thông minh hoặc quên mã PIN, bạn cũng có thể sử dụng khóa khôi phục để mở khóa thiết bị.

Nếu bạn đã chọn tùy chọn mật khẩu, hãy nhập và nhập lại mật khẩu và nhấp vào Next.

Trong màn hình tiếp theo, hãy chọn cách bạn muốn sao lưu khóa khôi phục của mình. Trong trường hợp quên mật khẩu hoặc mất thẻ thông minh, bạn luôn có thể sử dụng khóa khôi phục để mở khóa ổ đĩa được mã hóa. Bạn có thể chọn bất kỳ và tất cả các tùy chọn khôi phục.

Để chọn một tùy chọn, chỉ cần nhấp vào nó:

  • Save to your Microsoft account  – Tùy chọn khôi phục này lưu khóa khôi phục trong tài khoản Microsoft. Nhưng để sử dụng tùy chọn này, bạn cần đăng nhập vào Windows của mình bằng tài khoản Microsoft.
  • Save to a USB flash drive  – Tùy chọn này cho phép bạn lưu mã nhận dạng và khóa khôi phục trong tài liệu văn bản trên ổ flash USB. Khi bạn nhấp vào tùy chọn này, nó sẽ hiển thị một hộp thoại nhỏ để bạn có thể chọn thiết bị USB từ danh sách. Chọn ổ USB và nhấp vào Save.
  • Save to a file  – Tùy chọn này cho phép bạn lưu khóa khôi phục chứa tài liệu văn bản trên máy tính. Chọn nơi bạn muốn lưu file, đổi tên file nếu bạn muốn và nhấp vào Save.
  • Print the recovery key  – Nếu bạn muốn in khóa khôi phục của mình, hãy nhấp vào tùy chọn này, chọn máy in và in khóa khôi phục trong một trang tính.

Chọn tùy chọn mong muốn và sao lưu khóa khôi phục. Sau khi khóa khôi phục được sao lưu hoặc lưu, bạn sẽ thấy một thông báo ở trên cùng như hình dưới đây. Sau đó, nhấp vào Next.

Cửa sổ tiếp theo sẽ hỏi bạn muốn mã hóa bao nhiêu dung lượng ổ đĩa:

  • Encrypt used disk space only (faster and best for new PCs and drives)   – Tùy chọn này sẽ chỉ mã hóa dung lượng hiện tại với dữ liệu trên ổ cứng và để lại phần còn lại của dung lượng trống không được mã hóa. Tùy chọn này nhanh hơn và lý tưởng hơn nếu bạn đang thiết lập BitLocker trên PC mới hoặc ổ đĩa mới.
  • Encrypt the entire drive (slower but best for PCs and drives already in use)  – Thao tác này sẽ mã hóa toàn bộ ổ đĩa bao gồm cả dung lượng trống. Quá trình này sẽ mất nhiều thời gian hơn để hoàn thành. Tùy chọn này được ưu tiên nếu bạn đang mã hóa ổ đĩa được sử dụng một thời gian và bạn không muốn bất kỳ ai khôi phục các file đã xóa.

Bất kể bạn chọn tùy chọn nào, BitLocker sẽ tự động mã hóa dữ liệu mới khi bạn thêm chúng vào ổ đĩa được mã hóa. Chọn tùy chọn thích hợp và nhấp vào Next.

Trong cửa sổ tiếp theo, chọn chế độ mã hóa bạn muốn sử dụng và nhấp vào Next.

  • New encryption mode (best for fixed drives on this device)  – Đây là một phương pháp mã hóa nâng cao mới cung cấp tính toàn vẹn và hiệu suất nâng cao so với chế độ tiếp theo. Nhưng nó chỉ khả dụng trong Windows 10 (kể từ phiên bản 1511 trở lên) và Windows 11. Nếu bạn đang mã hóa một ổ đĩa cố định và nếu ổ đĩa đó chỉ được sử dụng trên Windows 10 (phiên bản 1511) hoặc các phiên bản mới hơn, thì hãy chọn tùy chọn này chế độ. Đây là chế độ mã hóa ưu tiên cho Windows 11.
  • Compatible mode (best for drives that can be moved from this device)  – Nếu bạn đang mã hóa ổ đĩa di động (ổ đĩa flash USB, đĩa cứng ngoài) hoặc ổ đĩa mà bạn có thể cần sử dụng trên phiên bản Windows cũ hơn (Windows 7, 8 hoặc 8.1) tại một số điểm, sau đó chọn Compatible mode. Phương pháp mã hóa này còn được gọi là mã hóa BitLocker To Go.

Trên màn hình cuối cùng, nhấp vào nút Start Encrypting để bắt đầu quá trình mã hóa.

Sau khi hoàn thành các bước trên, ổ đĩa sẽ bắt đầu mã hóa.

Quá trình mã hóa có thể mất một lúc tùy thuộc vào tùy chọn bạn đã chọn và kích thước của ổ đĩa. Tuy nhiên, bạn có thể tiếp tục làm việc trên máy tính của mình khi máy tính đang được mã hóa.

Sau khi hoàn tất, bạn sẽ thấy thông báo mã hóa hoàn tất.

Sau đó, bạn sẽ chỉ có thể mở khóa ổ đĩa này bằng mật khẩu, khóa khôi phục hoặc ổ USB.

Tuy nhiên, nếu bạn đang mã hóa ổ đĩa hệ điều hành của mình, bạn sẽ thấy một màn hình khác trong trình hướng dẫn mã hóa ổ BitLocker, nơi bạn sẽ được yêu cầu chạy kiểm tra hệ thống BitLocker và khởi động lại máy tính của mình. Tại đây, hãy chọn hộp Run a BitLocker system check và nhấp vào nút Continue.

Sau khi quá trình hoàn tất, bạn sẽ được nhắc khởi động lại PC của mình. Khi PC khởi động, BitLocker sẽ nhắc bạn nhập mật khẩu mã hóa để mở khóa ổ đĩa chính. Sau khi mở khóa ổ đĩa và đăng nhập vào PC, ổ đĩa hệ điều hành sẽ được mã hóa. Ngoài ra, chỉ cần khởi động lại ổ đĩa hệ điều hành.

Bạn cũng có thể kiểm tra tiến trình mã hóa bằng cách nhấp vào biểu tượng mã hóa ổ BitLocker trong khay hệ thống. Bạn có thể tiếp tục sử dụng máy tính của mình trong khi các ổ đĩa đang được mã hóa, mặc dù máy tính có thể chạy chậm.

Bạn có thể xác định các ổ đĩa được mã hóa bằng biểu tượng khóa BitLocker trong Windows Explorer. Ổ được mã hóa và bị khóa sẽ có biểu tượng ổ khóa màu vàng như hình bên dưới.

Bật BitLocker trên Windows 11 bằng File Explorer

Cách dễ nhất để bật BitLocker trên một ổ đĩa cụ thể là thông qua File Explorer. Mở Windows Explorer hoặc File Explorer, chỉ cần nhấp chuột phải vào ổ đĩa bạn muốn mã hóa và chọn Turn on BitLocker.

Thao tác này sẽ trực tiếp mở trình hướng dẫn Mã hóa driver BitLocker nơi bạn có thể thiết lập mã hóa.

Bật BitLocker bằng Command Line Tools

Nếu bạn đang chạy hệ thống của mình ở chế độ an toàn hoặc gặp sự cố với giao diện GUI, thì bạn có thể tắt BitLocker bằng cách sử dụng công cụ PowerShell hoặc Command Prompt.

Bật BitLocker bằng Command Prompt

Đầu tiên, hãy mở Command Prompt với tư cách administrator. Để thực hiện việc này, hãy tìm kiếm ‘cmd’ trong hộp tìm kiếm của Windows, bấm chuột phải vào ứng dụng dấu nhắc Lệnh, sau đó chọn Run as administrator.

Trong cửa sổ nhắc lệnh, nhập lệnh sau và nhấn Enter.

manage-bde

Lệnh này hiển thị danh sách các tham số mà bạn có thể sử dụng để thiết lập và quản lý mã hóa.

Bạn nên luôn sử dụng lệnh manage-bde trước các tham số để cấu hình BitLocker.

Để xem danh sách các thông số bảo vệ và biết thêm thông tin về chúng, hãy nhập mã sau:

manage-bde.exe -on -h

Để đơn giản mã hóa ổ đĩa mà không cần mật khẩu, khóa khôi phục, bất kỳ biện pháp bảo vệ nào khác, hãy sử dụng lệnh sau:

manage-bde -on X:

Thay thế ‘X’ bằng ký tự ổ đĩa bạn muốn mã hóa.

Đây là cách một ổ đĩa được mã hóa nhưng không được bảo vệ trông như thế nào:

Tuy nhiên, bạn cũng có thể thêm các biện pháp bảo vệ vào ổ đĩa sau khi đã mã hóa nó. Sau khi mã hóa hoàn tất, bạn cũng có thể thêm mật khẩu, thêm smart card và sao lưu khóa khôi phục của mình (nếu bạn chưa có) trong bảng điều khiển BitLocker Drive Encryption.

Để thực hiện việc này, hãy chuyển đến bảng điều khiển BitLocker và chọn ổ đĩa bạn muốn thêm bảo vệ và nhấp vào Turn on BitLocker.

Sau đó, định cấu hình phương pháp bảo vệ bằng trình hướng dẫn mã hóa ổ đĩa BitLocker.

Để bật mã hóa và tạo mật khẩu khôi phục ngẫu nhiên, hãy thử lệnh sau:

manage-bde -on K: -RecoveryPassword

Để bật mã hóa, tạo mật khẩu khôi phục và lưu khóa khôi phục trên ổ đĩa khác, hãy nhập lệnh sau:

manage-bde -on K: -RecoveryPassword -RecoveryKey H: 

Trong lệnh trên, thay thế ký tự ổ đĩa ‘K’ bằng ổ đĩa bạn muốn mã hóa và “H” bằng ổ đĩa hoặc đường dẫn bạn muốn lưu khóa khôi phục. Lệnh này bật mã hóa trên ổ đĩa ‘K:’ và lưu khóa khôi phục trên ổ đĩa ‘H’. Sau đó, nó tự động tạo mật khẩu khôi phục và hiển thị trong command như hình dưới đây.

Đảm bảo lưu mật khẩu do hệ thống tạo này để bạn có thể sử dụng nó để mở khóa thiết bị sau này.

Để thêm mật khẩu mở khóa và lưu khóa khôi phục trong khi mã hóa ổ đĩa, hãy sử dụng mã dưới đây:

manage-bde -on K: -pw -rk H:

Lệnh này sẽ nhắc bạn nhập mật khẩu. Nhập mật khẩu và nhấn Enter, sau đó nhập lại mật khẩu và nhấn Enter lại để thêm mật khẩu mở khóa và lưu khóa khôi phục.

Sử dụng Key protectors để quản lý các phương pháp bảo vệ

Bạn cũng có thể sử dụng tham số của trình bảo vệ khóa để mã hóa ổ đĩa bằng BitLocker trong command. Các trình bảo vệ khóa này có thể là mật khẩu mở khóa, khóa khôi phục, mật khẩu khôi phục, chứng chỉ chữ ký số,…

Để bật BitLocker trên ổ đĩa có mật khẩu mở khóa làm key protector, hãy nhập lệnh sau:

manage-bde -protectors -add K: -pw

hoặc

manage-bde -protectors -add K: -password

trong đó ‘pw’ là chữ viết tắt của mật khẩu. Bạn có thể thực hiện một trong các tham số để thực hiện cùng một hành động. Các lệnh trên nhắc bạn nhập và xác nhận mật khẩu mở khóa cho ổ ‘K’.

Sau khi mật khẩu được đặt, hãy bật BitLocker trên ổ đĩa ‘K’ bằng lệnh sau:

manage-bde –on K:

Để bật BitLocker bằng khóa khôi phục làm khóa bảo vệ , hãy nhập các lệnh sau:

manage-bde -protectors -add K: -rk H:
manage-bde –on K:

Lệnh đầu tiên tạo khóa khôi phục cho ổ đĩa ‘K’ và lưu trữ nó trên đĩa ‘H’. Lệnh tiếp theo bắt đầu mã hóa ổ đĩa ‘K:’.

Khóa khôi phục sẽ được lưu dưới dạng file ‘.BEK’ hoặc ‘.TXT’ ở vị trí được chỉ định.

Để mã hóa ổ đĩa bằng cả khóa khôi phục và trình bảo vệ mật khẩu mở khóa, hãy sử dụng các lệnh dưới đây:

manage-bde -protectors -add K: -pw -rk H:
manage-bde –on K:

Các lệnh trên nhắc bạn nhập và xác nhận mật khẩu mở khóa cho ổ ‘K’, sau đó tạo khóa khôi phục và lưu vào ổ ‘H’.

Để mã hóa ổ đĩa bằng mật khẩu khôi phục số và trình bảo vệ mật khẩu mở khóa, hãy sử dụng các lệnh dưới đây:

manage-bde -protectors -add K: -pw -rp 
manage-bde –on K:

Sau khi thực hiện lệnh, bạn sẽ thấy thông báo mã hóa hiện đang được tiến hành trong command. Khi bạn nhìn thấy thông báo đó, một hộp thoại sẽ xuất hiện để hiển thị cho chúng ta biết tiến trình của quá trình mã hóa.

Nếu hộp thoại tiến trình không hiển thị, bạn có thể chạy fvenotify.exe trong command để kiểm tra tiến trình mã hóa.

Kiểm tra trạng thái BitLocker

Bạn có thể kiểm tra trạng thái của mọi thứ liên quan đến BitLocker bằng một lệnh đơn giản. Lệnh sau sẽ hiển thị tình huống mã hóa của tất cả các ổ đĩa được kết nối với máy tính:

manage-bde -status

Lệnh trên sẽ liệt kê kích thước ổ đĩa, trạng thái mã hóa hiện tại, phương pháp mã hóa, trạng thái khóa, trình bảo vệ khóa và loại ổ đĩa (hệ điều hành hoặc dữ liệu) cho từng ổ đĩa như hình dưới đây:

Để xem trạng thái BitLocker cho một ổ đĩa cụ thể, hãy sử dụng lệnh dưới đây:

manage-bde -status H:

Đảm bảo thay thế ký tự ổ đĩa ‘H’ bằng ổ đĩa bạn muốn kiểm tra.

Bật BitLocker với PowerShell 

Bạn có thể sử dụng lệnh ghép ngắn Windows Powershell để mã hóa ổ đĩa hệ điều hành, ổ đĩa cố định và ổ đĩa di động. Với lệnh ghép ngắn Powershell, bạn có thể đặt các trình bảo vệ khác nhau như mật khẩu, khóa khôi phục và mật khẩu khôi phục,…

Để chỉ bật BitLocker với bảo vệ bằng mật khẩu, hãy chạy lệnh dưới đây trong PowerShell:

Enable-Bitlocker D: -passwordprotector

Thay thế ký tự ổ đĩa ‘D’ bằng ký tự ổ đĩa của ổ đĩa bạn muốn bảo vệ. Để mã hóa ổ đĩa hệ điều hành bằng BitLocker, hãy sử dụng ký tự ổ đĩa ‘C’ thay vì ‘D’.

Để chỉ mã hóa không gian đã sử dụng của ổ đĩa bằng BitLocker, hãy chạy lệnh dưới đây trong PowerShell:

Enable-Bitlocker K: -passwordprotector -UsedSpaceOnly

Lệnh trên sẽ mã hóa ổ đĩa và hiển thị trạng thái của ổ đĩa.

Bạn có thể thêm hai bảo vệ chính (như mật khẩu mở khóa và mật khẩu khôi phục) vào ổ đĩa cùng một lúc bằng cách đưa cả hai tham số vào lệnh. Hoặc bạn có thể thêm một bộ bảo vệ chính trên một bộ bảo vệ khác.

Bây giờ, chúng ta cũng có thể đặt mật khẩu khôi phục cho cùng một ổ đĩa bằng cách sử dụng lệnh sau:

Enable-Bitlocker  K: -UsedSpaceOnly -RecoveryPasswordProtector

Lệnh này chỉ mã hóa không gian đã sử dụng của tập K và tạo mật khẩu khôi phục. Bạn có thể lưu mật khẩu số do hệ thống tạo này và sử dụng nó để mở khóa thiết bị nếu bạn quên mật khẩu đã đặt.

Nếu bạn muốn sao chép mật khẩu khóa khôi phục 48 ký tự được tạo bởi lệnh trước đó và lưu nó vào tài liệu văn bản trong một ổ đĩa khác, hãy sử dụng lệnh dưới đây:

(Get-BitLockerVolume -MountPoint K).KeyProtector.recoverypassword > G:\Recoverypassword.txt

Thay thế ‘G: \’ bằng đường dẫn mà bạn muốn lưu file văn bản và thay thế ‘Recoverypassword.txt’ bằng tên file văn bản.

Để xem trạng thái BitLocker cho từng ổ đĩa trên máy tính, hãy nhập lệnh dưới đây:

Get-BitLockerVolume

Để chỉ nhận chi tiết trạng thái cho một ổ đĩa cụ thể, hãy sử dụng lệnh này thay thế:

Get-BitLockerVolume K:

Để bật BitLocker cho hệ điều hành chỉ với trình bảo vệ TPM, hãy sử dụng lệnh dưới đây trong PowerShell:

Enable-BitLocker -MountPoint 'C:' -TpmProtector

Một ưu điểm khác của việc sử dụng công cụ dòng lệnh PowerShell để mã hóa ổ đĩa là có một số lệnh ghép ngắn BitLocker mà bạn có thể sử dụng để quản lý BitLocker.

Để xem danh sách các cú pháp cho tất cả các lệnh ghép ngắn Enable-BitLocker, hãy nhập vào PowerShell:

help Enable-BitLocker

Bật BitLocker mà không cần TPM trên ổ đĩa hệ điều hành

Như đã đề cập trước đó, chip Trusted Platform Module (TPM) là cần thiết nếu bạn cần sử dụng BitLocker trên ổ đĩa hệ điều hành Windows 11. Tuy nhiên, bạn vẫn có thể sử dụng mã hóa BitLocker (dựa trên phần mềm) nếu bạn bật xác thực bổ sung khi khởi động bằng Local Group Policy Editor. Đây là cách bạn làm điều này:

Đầu tiên, nhấn Win+ R để mở lệnh Run, nhập gpedit.msc và nhấn OK hoặc Enterđể khởi chạy Local Group Policy Editor.

Ngoài ra, bạn tìm kiếm ‘gpedit’ trong tìm kiếm của Windows và nhấp vào bảng điều khiển Edit Group Policy.

Khi Local Policy Editor mở ra, hãy điều hướng đến vị trí đường dẫn sau:

Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives

Ở phía bên phải của cửa sổ, nhấp đúp vào chính sách Require additional authentication at startup.

Tiếp theo, chọn Enabled trên cửa sổ xuất hiện.

Sau đó, đảm bảo hộp kiểm Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive) được chọn.

Sau đó, nhấp vào Apply và OK, rồi đóng khỏi phần mềm chỉnh sửa chính sách nhóm.

Bật BitLocker trên Drive

Sau khi cài đặt trên được định cấu hình, bây giờ bạn có thể bật BitLocker trên ổ đĩa hệ điều hành mà không cần TPM.

Đầu tiên, mở Windows Explorer, sau đó nhấp chuột phải vào ổ đĩa ‘Local Disk (C :)’ và chọn Turn on BitLocker. Ngoài ra, bạn có thể mở trang mã hóa ổ đĩa BitLocker qua Control Panel và nhấp vào tùy chọn Turn on BitLocker trong phần Operating system.

Trên trình hướng dẫn mã hóa ổ đĩa BitLocker, hãy chọn tùy chọn mở khóa cho ổ đĩa khi khởi động. Bạn có thể chọn nếu bạn muốn lắp ổ đĩa flash để lưu khóa khởi động hoặc nhập số PIN.

  • Chèn ổ đĩa flash USB – Nếu bạn chọn tùy chọn này, hãy chọn ổ đĩa di động mà bạn muốn lưu khóa khởi động và nhấp vào Save.

Tiếp theo, chọn cách bạn muốn sao lưu khóa khôi phục của mình và nhấp vào Next.

  • Nhập mã Pin (được khuyến nghị) – Tùy chọn này yêu cầu mật khẩu mỗi khi bạn khởi động PC.

Nếu bạn chọn tùy chọn này, hãy nhập và nhập lại số PIN dài (6-20) chữ số. Sau đó, nhấp vào Next và hoàn tất phần còn lại của quá trình như chúng tôi đã chỉ cho bạn trước đây.

  • Để BitLocker tự động mở khóa my drive – Tùy chọn này cho phép BitLocker tự động mở khóa ổ đĩa.

Sau khi hoàn thành các bước, khởi động lại PC. Lần tiếp theo khi khởi động máy tính, bạn sẽ được nhắc nhập số ‘PIN’ của mình hoặc cắm ‘ổ đĩa flash USB’ có chứa khóa khởi động để có quyền truy cập vào PC.

Quản lý BitLocker trên Windows 11

Sau khi mã hóa ổ đĩa bằng BitLocker, bạn có thể quản lý BitLocker bằng cách mở khóa ổ đĩa được mã hóa, sao lưu khóa khôi phục, thay đổi mật khẩu, xóa mật khẩu, thêm smart card, bật / tắt tự động mở khóa, tắt BitLocker khỏi Ổ BitLocker bảng điều khiển mã hóa.

Bạn có thể mở trang bảng điều khiển BitLocker Drive Encryption bằng cách điều hướng qua control panel. Hoặc bấm chuột phải vào ổ đĩa được mã hóa, sau đó chọn Manage BitLocker để truy cập trực tiếp vào trang đó.

Sau đó, chọn ổ đĩa được mã hóa để xem các tùy chọn quản lý ổ đĩa đó. Bạn có thể sử dụng các tùy chọn này để quản lý ổ đĩa được mã hóa.

Bạn sẽ chỉ thấy các tùy chọn này sau khi ổ đĩa tương ứng được mở khóa.

Mở khóa hoặc mở ổ đĩa được mã hóa

Theo mặc định, ngay sau khi kích hoạt BitLocker trên ổ đĩa, đĩa mã hóa sẽ được mở khóa và bạn có thể truy cập thoải mái. Chỉ sau khi đẩy ổ đĩa mã hóa và kết nối lại với máy tính hoặc khởi động lại hệ thống (ổ đĩa cố định), ổ đĩa sẽ bị khóa và bạn sẽ được nhắc nhập mật khẩu hoặc khóa khôi phục để truy cập ổ đĩa.

Nếu bạn bật BitLocker trên một ổ đĩa (đĩa) dữ liệu và bạn không bật tính năng mở khóa tự động, thì bạn sẽ phải mở khóa ổ đĩa đó mỗi khi hệ thống khởi động lại hoặc ổ đĩa được kết nối lại với hệ thống.

Để mở khóa và truy cập dữ liệu bên trong ổ được mã hóa, hãy nhấp vào ổ đó trong File Explorer.

Sau đó, nhập mật khẩu hoặc chèn chìa khóa thông minh và nhấp vào nút Unlock.

Nếu bạn bị mất (hoặc quên) mật khẩu mở khóa của mình, hãy nhấp vào More options.

Tiếp theo, nhấp vào tùy chọn Enter recovery key.

Sau đó, nhập khóa khôi phục 48 chữ số bạn đã lưu, ghi chú, in ra hoặc gửi đến tài khoản Microsoft và nhấp vào Unlock.

Nhưng nếu bạn đã mã hóa nhiều ổ đĩa và lưu các khóa khôi phục đó trong nhiều file văn bản, bạn sẽ gặp khó khăn trong việc tìm khóa khôi phục phù hợp. Đó là lý do tại sao BitLocker cung cấp cho bạn manh mối để tìm khóa khôi phục phù hợp bằng cách hiển thị Key ID được liên kết với khóa khôi phục bạn đã lưu cho ổ đĩa đó.

Sau đó, tìm file khóa khôi phục có ID Khóa phù hợp và mở nó.

Khi bạn mở tài liệu khóa khôi phục, bạn sẽ thấy mã định danh (ID) và mật khẩu khóa khôi phục. Bạn có thể sao chép-dán hoặc nhập khóa khôi phục dài 48 chữ số này để mở khóa ổ đĩa.

Khi ổ đĩa được mã hóa được mở khóa (nhưng không được giải mã), nó sẽ có biểu tượng ‘ổ khóa màu xanh lam’ như hình bên dưới.

Nếu bạn đã mã hóa ổ đĩa hệ điều hành của mình, Windows sẽ nhắc bạn mở khóa ổ đĩa khi hệ thống khởi động. Bạn sẽ cần nhập số PIN hoặc cắm ổ đĩa flash USB để mở khóa ổ đĩa hệ thống và đăng nhập vào PC của mình.

Nếu bạn quên số PIN hoặc mất ổ USB mà bạn cần mở khóa, hãy nhấn Esc để nhập khóa khôi phục mà bạn đã lưu hoặc in ra.

Quản lý ổ đĩa hệ điều hành với BitLocker

Để quản lý BitLocker trên ổ C, chỉ cần nhấp chuột phải vào ổ ‘C:’ và chọn Manage BitLocker hoặc truy cập trang mã hóa ổ BitLocker qua Control Panel. Ổ đĩa hệ điều hành sẽ có một tập hợp các tùy chọn để quản lý BitLocker khác với các ổ đĩa dữ liệu (như hình bên dưới).

  • Suspend protection  – Tùy chọn này tạm thời vô hiệu hóa mã hóa BitLocker trên ổ đĩa hệ điều hành, cho phép người dùng tự do truy cập dữ liệu được mã hóa trên ổ đĩa đó. Có thể phải tạm ngưng BitLocker nếu bạn đang sữa lỗi hệ thống, cài đặt chương trình mới hoặc cập nhật firmware, phần cứng hoặc Windows.

Để tạm ngưng BitLocker, hãy nhấp vào liên kết cài đặt Suspend protection.

Sau đó, nhấp vào Yes ở lời nhắc cảnh báo mã hóa ổ BitLocker.

Và để tiếp tục BitLocker, hãy nhấp vào Resume protection. Nếu bạn không tiếp tục bảo vệ, Windows sẽ tự động tiếp tục BitLocker vào lần tiếp theo bạn khởi động lại PC của mình.

  • Change how drive is unlocked at startup  – Chọn tùy chọn này, nếu bạn muốn thay đổi cách mở khóa ổ đĩa hệ điều hành khi khởi động. Sau đó, chọn tùy chọn mở khóa khi khởi động. Bạn có thể yêu cầu BitLocker nhập mã PIN hoặc lắp ổ đĩa flash hoặc để nó tự động mở khóa ổ đĩa mỗi khi bạn khởi động PC.
  • Back up your recovery key  – Cài đặt này cho phép sao lưu khóa khôi phục bằng cách lưu vào tài khoản Microsoft, lưu vào file văn bản hoặc in ra khóa khôi phục.
  • Turn off BitLocker  – Nó vô hiệu hóa hoàn toàn BitLocker và xóa mã hóa data.

Tắt BitLocker trên Windows 11

Việc tắt / vô hiệu hóa BitLocker dễ dàng và nhanh hơn nhiều so với bật BitLocker. Nếu bạn không cần BitLocker nữa, bạn có thể dễ dàng tắt nó đi. Làm như vậy sẽ không xóa hoặc sửa đổi dữ liệu trong ổ đĩa. Nhưng trước khi vô hiệu hóa BitLocker, trước tiên, bạn cần mở khóa ổ đĩa được mã hóa như trong phần trước.

Có một số phương pháp bạn có thể vô hiệu hóa BitLocker trong Windows 11, bao gồm thông qua ứng dụng cài đặt, Control Panel, Group Policy Editor, PowerShell, và Command Prompt.

Tắt BitLocker trên Windows 11 thông qua ứng dụng cài đặt

Đầu tiên, mở ứng dụng Cài đặt Windows bằng cách nhấp chuột phải vào nút Start và chọn Settings hoặc bằng cách nhấn  Windows+ I.

Khi ứng dụng cài đặt mở ra, hãy chuyển đến tab System và chọn tùy chọn Storage trên ngăn bên phải.

Trên trang cài đặt hệ thống, cuộn xuống dưới cùng và nhấp vào tùy chọn Advanced storage settings trong quản lý bộ nhớ.

Sau đó, mở menu thả xuống cài đặt bộ nhớ nâng cao để xem danh sách các tùy chọn bộ nhớ. Trong đó, chọn Disk & volumes.

Thao tác này sẽ mở trang cài đặt Disk & Volumes, nơi tất cả các đĩa và ổ đĩa trên máy tính được liệt kê. Tại đây, chọn ổ đĩa được mã hóa mà bạn muốn giải mã và nhấp vào Properties. Nếu một ổ đĩa được mã hóa, bạn sẽ thấy BitLocker Encrypted bên dưới tên ổ đĩa như hình dưới đây. Ở đây, chúng tôi đang chọn ổ ‘C:’.

Trên trang tập đã chọn, nhấp vào Turn off BitLocker trong phần BitLocker.

Thao tác này sẽ đưa bạn đến bảng điều khiển BitLocker Drive Encryption. Bây giờ, chỉ cần chọn ổ đĩa bạn muốn giải mã từ danh sách các ổ đĩa (ổ đĩa hệ điều hành, ổ đĩa cố định hoặc ổ đĩa di động) và nhấp vào liên kết cài đặt Turn off BitLocker.

Nếu bạn thấy lời nhắc, hãy nhấp lại vào Turn off BitLocker. BitLocker có thể nhắc bạn nhập mật khẩu mở khóa trước khi tính năng này bị tắt.

Tắt BitLocker trên Windows 11 qua Control Panel

Một cách khác để tắt BitLocker và giải mã ổ đĩa trên Windows 11 là thông qua Control panel. Đây là cách bạn làm điều này:

Mở Control Panel bằng cách tìm kiếm ‘Control Panel’ trong hộp tìm kiếm và chọn nó từ kết quả tìm kiếm. Trong cửa sổ Control Panel, nhấp vào danh mục System and Security.

Sau đó, nhấp vào cài đặt BitLocker Drive Encryption trên trang System and Security.

Hoặc, bạn cũng có thể mở trực tiếp bảng điều khiển BitLocker Drive Encryption bằng cách chỉ cần tìm kiếm Manage BitLocker trong tìm kiếm của Windows và chọn kết quả hàng đầu.

Dù bằng cách nào, nó sẽ đưa bạn đến bảng điều khiển mã hóa ổ đĩa BitLocker. Nếu ổ đĩa bạn muốn giải mã bị khóa, hãy nhấp vào Unlock drive để mở khóa.

Sau đó, nhập mật khẩu và nhấp vào Unlock to unlock the drive.

Bây giờ, chỉ cần chọn ổ đĩa mà bạn muốn vô hiệu hóa BitLocker và nhấp vào liên kết Turn off BitLocker bên cạnh ổ đĩa đó.

Sau đó, nhấp vào Turn off BitLocker một lần nữa cho hộp lời nhắc.

Quá trình giải mã sẽ mất một khoảng thời gian để hoàn thành tùy thuộc vào kích thước của ổ đĩa.

Tắt BitLocker trên Windows 11 thông qua File Explorer

Cách nhanh nhất để tắt BitLocker trên một ổ đĩa cụ thể là thông qua File Explorer. Mở Windows Explorer hoặc File Explorer, chỉ cần nhấp chuột phải vào ổ đĩa bạn muốn giải mã và chọn Manage BitLocker.

Nó sẽ trực tiếp mở các tùy chọn BitLocker cho ổ đĩa đã chọn trong bảng điều khiển BitLocker. Sau đó, chọn Turn off BitLocker.

Tắt BitLocker bằng Command Line Tools

Một cách dễ dàng khác để tắt BitLocker là thông qua Command Line Tools như Command prompt hoặc PowerShell. Để thực hiện việc này, bạn cần chạy dòng lệnh ở chế độ nâng cao với tư cách là Administrator.

Tắt BitLocker bằng Command Prompt

Đầu tiên, hãy mở Command Prompt với tư cách administrator. Trong cửa sổ nhắc lệnh, hãy nhập lệnh dưới đây và nhấn  Enter để biết trạng thái mã hóa BitLocker cho tất cả các ổ đĩa:

manage-bde -status

Để biết trạng thái mã hóa BitLocker cho một ổ đĩa cụ thể, hãy sử dụng lệnh sau:

manage-bde -status K:

Nếu bạn cố gắng vô hiệu hóa BitLocker trên một ổ đĩa bị khóa, bạn sẽ gặp lỗi sau:

Để mở khóa ổ đĩa được mã hóa bằng mật khẩu mở khóa, hãy nhập lệnh sau và nhập mật khẩu khi nó nhắc bạn:

manage-bde –unlock K: -password

Để mở khóa ổ đĩa bằng mật khẩu khôi phục được tạo bởi hệ thống trong khi mã hóa ổ đĩa, hãy chạy lệnh dưới đây:

manage-bde -unlock K: -RecoveryPassword 400257-121638-323092-679877-409354-242462-080190-010263

Trong lệnh trên, hãy thay thế khóa khôi phục 48 chữ số sau tham số ‘-RecoveryPassword’ bằng khóa bạn đã lưu cho ổ đĩa của mình.

Các lệnh trên chỉ mở khóa ổ đĩa tạm thời sẽ bị khóa lại khi bạn khởi động lại PC hoặc kết nối lại ổ đĩa.

Để tắt hoàn toàn BitLocker trên ổ đĩa, hãy sử dụng lệnh sau:

manage -bde -off K:

Lệnh trên sẽ vô hiệu hóa mã hóa BitLocker trên ổ đĩa đã chọn. Bạn có thể kiểm tra xem BitLocker có bị vô hiệu hóa hay không bằng cách sử dụng lệnh manage-bde -status.

Tắt BitLocker bằng PowerShell

Một công cụ dòng lệnh khác mà bạn có thể sử dụng để vô hiệu hóa BitLocker là PowerShell. Trước tiên, hãy đảm bảo rằng ổ đĩa bạn muốn tắt BitLocker đã được mở khóa, sau đó mở Windows PowerShell với tư cách administrator.

Để tắt hoàn toàn mã hóa BitLocker cho một ổ đĩa cụ thể, hãy thực hiện lệnh sau trong PowerShell:

Disable-Bitlocker –MountPoint “K:”

Thay thế ký tự ổ đĩa K bằng ổ đĩa bạn muốn tắt BitLocker.

Thao tác này sẽ tắt mã hóa BitLocker và bạn sẽ thấy trạng thái ổ đĩa là FullyDecrypted và trạng thái bảo vệ là Off. Nếu bạn đã bật mã hóa BitLocker cho nhiều ổ đĩa, bạn có thể tắt tất cả chúng cùng một lúc bằng các lệnh PowerShell.

Để tắt mã hóa BitLocker trên tất cả các ổ đĩa, hãy chạy các lệnh sau:

$BLV = Get-BitLockerVolume

Lệnh này nhận danh sách tất cả các ổ đĩa được mã hóa và lưu trữ chúng trong $BLV. Sau đó, lệnh tiếp theo giải mã tất cả các khối lượng được lưu trữ trong $BLV và tắt BitLocker.

Disable-BitLocker -MountPoint $BLV

Tắt BitLocker từ Windows Services

Windows Services là bảng điều khiển quản lý dịch vụ cho phép bạn bật, tắt, bắt đầu, dừng, trì hoãn hoặc tiếp tục các dịch vụ được cài đặt trên máy tính. Nó cũng có thể được sử dụng để vô hiệu hóa BitLocker trên ổ đĩa. Đây là cách bạn làm điều này:

Đầu tiên, nhấn  Win+ R, nhập ‘services.msc’ trong lệnh Runvà nhấn OK hoặc nhấn Enter để khởi chạy Services tool.

Khi cửa sổ dịch vụ mở ra, hãy tìm BitLocker Drive Encryption Service trong danh sách các dịch vụ và nhấp đúp vào nó.

Sau đó, thay đổi loại khởi động thành Disabled và nhấp vào Apply rồi OK để lưu các thay đổi và thoát.

Sau khi bạn làm điều đó, các dịch vụ BitLocker sẽ bị vô hiệu hóa thành công trên PC chạy Windows 11. 

Tắt BitLocker qua Local Group Policy Editor

Windows Local Group Policy Editor cũng có thể giúp bạn tắt BitLocker trên Windows 11. Hãy xem cách thực hiện việc này.

Đầu tiên, nhấn  Win+ R, nhập ‘gpedit.msc’ trong lệnh Run và nhấn OK hoặc nhấn Enter để khởi chạy Group Policy Editor. Ngoài ra, bạn có thể tìm kiếm Group Policy hoặc gpedit, sau đó chọn Edit Group Policy từ kết quả.

Khi Local Group Policy Editor mở ra, hãy điều hướng đến đường dẫn sau bằng cách sử dụng thanh bên bên trái:

Computer Configuration > Administrative Templates > Windows Coonents > BitLocker Drive Encryption > Fixed Data Drives

Sau đó, nhấp đúp vào cài đặt Deny write access to fixed drives not protected by BitLocker trên khung bên phải.

Trong cửa sổ bật lên, chọn tùy chọn Not Configure hoặc Disabled ở bên trái và nhấp vào Apply và OK để lưu các thay đổi.

Khởi động lại PC và tính năng BitLocker sẽ bị tắt trên PC.

Format ổ cứng được mã hóa để xóa BitLocker

Nếu bạn quên mật khẩu hay mất khóa khôi phục và không có cách nào khác để mở khóa hoặc giải mã ổ đĩa của mình, bạn luôn có thể chọn format nó và xóa BitLocker trên ổ đĩa của mình. Format ổ đĩa sẽ xóa tất cả dữ liệu khỏi ổ đĩa đó, vì vậy chỉ nên thực hiện nếu không có bất kỳ file quan trọng nào trên ổ cứng.

Đầu tiên, mở File Explorer, nhấp chuột phải vào ổ cứng được mã hóa và sau đó chọn Format.

Trong cửa sổ bật lên, chọn tùy chọn Quick format và nhấp vào Start để format ổ đĩa.

Sau đó, BitLocker sẽ bị xóa khỏi ổ cứng.

Xem thêm về:

Chia sẻ suy nghĩ, quan điểm của bạn

Leave a reply

Tìm kiếm
Sao Hải Vương
Logo