Jak szyfrować kopie zapasowe za pomocą wbudowanych narzędzi systemu Windows 10

Program Windows Backup może automatycznie zapisywać pliki na dodatkowym dysku twardym lub, co jest wygodniejsze dla użytkowników laptopów, na urządzeniu sieciowej pamięci masowej (NAS) lub serwerze. Niezależnie od tego, czy kopie zapasowe i rewizje plików są przechowywane na dysku zewnętrznym czy sieciowym, warto włączyć szyfrowanie.

Jednak w programie Windows Backup nie ma prostej opcji "Włącz szyfrowanie", którą można znaleźć w konkurencyjnych systemach w innych systemach operacyjnych. Oto jak można uzyskać w pełni zaszyfrowane kopie zapasowe za pomocą Windows Backup.

Windows Backup, czyli "Historia plików", to wbudowany w Windows 10 system tworzenia kopii zapasowych, z którego powinieneś korzystać. Nie tylko przechowuje najnowsze kopie plików osobistych, ale pozwala przywrócić ich poprzednie wersje, jeśli potrzebujesz wcześniejszej kopii lub po przypadkowym usunięciu.

Konfiguracja Windows Backup może zająć od kilku minut do ponad godziny.

Przed przystąpieniem do pracy upewnij się, że spełniasz następujące wymagania:

Albo dysk magazynowy iSCSI (preferowany), zwykły dysk sieciowy SMB (prawdopodobnie to masz), albo zewnętrzny dysk twardy.

Windows 10 Pro lub Enterprise, możesz uaktualnić licencję Home do Pro kupując cyfrowy kod uaktualnienia w Amazon lub Windows Store.

Masz albo włączony BitLocker na dysku systemowym, albo gotowość do wpisania hasła dysku zapasowego przy każdym uruchomieniu komputera.

Istnieją dwa zestawy instrukcji w zależności od tego, gdzie chcesz przechowywać dane kopii zapasowej. Jeśli chcesz przechowywać dane kopii zapasowej na dysku iSCSI lub zewnętrznym dysku twardym, konfiguracja szyfrowania jest stosunkowo prosta i należy przejść do kroku 18. Jeśli konfigurujesz je w lokalizacji pamięci masowej podłączonej do sieci, takiej jak wolumin SMB, to możesz kontynuować czytanie.

Przekształcanie lokalizacji sieciowej w dysk sieciowy

System szyfrowania dostępny w systemie Windows działa tylko na tak zwanym poziomie bloku pamięci masowej. Nie szyfruje poszczególnych plików, ale całą powierzchnię pamięci masowej, na której są przechowywane. Nie musisz tego rozumieć, ale jest to zasadnicza różnica między lokalizacją sieciową (jak SMB czy WebDAV) a dyskiem sieciowym (jak iSCSI). Bez dysku twardego, na którym można pracować, nie można włączyć szyfrowania w lokalizacji w systemie Windows.

Aby obejść to ograniczenie, skonfigurujemy tak zwany wirtualny dysk twardy (VHD). Mówiąc prościej, stworzymy fałszywy dysk twardy i przechowamy go w lokalizacji sieciowej. Windows będzie patrzył na ten jeden duży plik jak na dysk twardy i będzie można włączyć szyfrowanie.

Aby stworzyć taki wirtualny dysk twardy, postępuj zgodnie z poniższą instrukcją:

• Uruchom Zarządzanie dyskami, wyszukując "tworzenie i formatowanie partycji dysku" w menu Start.
• Wybierz dysk C: na liście woluminów. Jest to nieistotne dla niczego poza uaktywnieniem pozycji menu, z której będziemy korzystać w następnej kolejności.
• Z menu Action utwórz wirtualny dysk twardy: Create VHD.

Jeśli ta pozycja menu nie jest dostępna, to albo nie masz odpowiedniej edycji systemu Windows. Wymagana jest edycja Pro lub Enterprise. Jeśli opcja jest wyłączona/wygaszona nawet po wybraniu dowolnego aktywnego woluminu na liście woluminów, to znaczy, że procesor w Twoim komputerze jest zbyt stary dla tej funkcji.

• W polu lokalizacja wpisz ścieżkę sieciową, na której chcesz przechowywać kopie zapasowe. W tym artykule posłużę się przykładową ścieżką \Nnetworkstorage.home.arpa \Nbackupswindows-pc.vhdx.
• Ustaw rozmiar VHD na co najmniej kilkaset gigabajtów. Powinien być ustawiony na nie większy niż 90% dostępnej przestrzeni zdalnej pamięci masowej i nie mniejszy niż dwukrotny rozmiar zawartości folderu Home użytkownika w systemie Windows.
• Wybierz format dysku VHDX i typ dysku Fixed-size.
• Kliknij OK w oknie dialogowym.

W głównym oknie Zarządzania dyskami nowy dysk pojawi się na dole listy dysków wskazany jako dysk wirtualny przez jasnoniebieską ikonę dysku na liście dysków. Należy pamiętać, że nie pojawi się on na liście woluminów, tylko na liście dysków.

• Kliknij prawym przyciskiem myszy na nowy dysk wirtualny (prawy wąski panel) i wybierz Initialize Disk.
• Wybierz tablicę partycji GPT, a następnie kliknij OK.
• Kliknij prawym przyciskiem myszy na nowy wolumin (długi panel po lewej stronie) i wybierz New Simple Volume.
• Zaakceptuj domyślne ustawienia w kreatorze Simple Volume i wybierz literę dysku. W tym artykule będę używał przykładowej H:.
• Kliknij koniec.

Ostatnich kilka kroków wymaganych do skonfigurowania wirtualnego dysku jest, aby wolumin automatycznie zamontować po zalogowaniu się do systemu Windows. Istnieje kilka narzędzi firm trzecich dostępnych do automatycznego montowania dysków wirtualnych. Niestety, żadne z nich nie obsługuje montowania dysków przechowywanych w lokalizacjach sieciowych. Ma to coś wspólnego z tym, że pracownicy usług systemu Windows nie mogą uzyskać dostępu do poświadczeń przechowywanych na koncie użytkownika, które są wymagane do zalogowania się do lokalizacji magazynu sieciowego. Zamiast polegać na tych narzędziach, po prostu utworzymy skrót do pliku woluminu i otworzymy go przy każdym logowaniu do systemu Windows.

• Otwórz Eksploratora plików i przejdź do lokalizacji sieciowej, w której zapisałeś swój wirtualny dysk. Pojawi się on jako plik o nazwie, którą mu nadałeś.
• Kliknij prawym przyciskiem myszy na plik dysku i wybierz opcję Utwórz skrót.
• Kliknij na nim ponownie prawym przyciskiem myszy i wybierz opcję Wytnij.
• Kliknij, aby wyostrzyć pasek lokalizacji w górnej części Eksploratora plików, wpisz "%APPDATA%MicrosoftWindows Menu Startowe", a następnie naciśnij Enter.
• Kliknij prawym przyciskiem myszy w dowolnym miejscu folderu i wybierz opcję Wklej, aby przenieść skrót do tej lokalizacji.

Jeśli zalogujesz się do systemu Windows, nie mając dostępu do dysku sieciowego, zobaczysz komunikat o błędzie dotyczącym uszkodzonego skrótu. Należy to po prostu zignorować. Jeżeli komunikat pojawi się, gdy będziesz w tej samej sieci co dysk sieciowy, powtórz czynności opisane w punktach 13-17. Można zastosować technologię wirtualnej sieci prywatnej (VPN), aby połączyć się z tą samą siecią i uzyskać dostęp do dysku zapasowego z dowolnego miejsca na świecie.

Teraz masz wirtualny dysk twardy i możesz przystąpić do konfigurowania szyfrowania, a następnie włączyć usługę Windows Backup.

Szyfrowanie dysku do przechowywania kopii zapasowych za pomocą programu BitLocker

Po utworzeniu wirtualnego dysku twardego lub innego równoważnego typu pamięci masowej nadszedł czas, aby włączyć szyfrowanie. Do szyfrowania zapasowego dysku twardego użyjemy wbudowanego w system Windows narzędzia do szyfrowania BitLocker. Można użyć innego narzędzia do szyfrowania na poziomie dysku, ale może ono powodować problemy podczas korzystania z usługi Kopia zapasowa systemu Windows.

Aby włączyć funkcję BitLocker na dysku twardym, wykonaj następujące instrukcje:

• Uruchom program BitLocker Manager, wyszukując go w menu Start.
• Kliknij Włącz BitLocker obok woluminu, na którym chcesz przechowywać dane kopii zapasowej.
• Wprowadź unikatowe hasło i kliknij Dalej.
• Zapisz lub najlepiej wydrukuj swój klucz odzyskiwania. Będzie on potrzebny, jeśli kiedykolwiek stracisz hasło do zaszyfrowanej partycji.
• Wybierz nowy tryb szyfrowania, aby uzyskać najlepszą wydajność, i kliknij Dalej, a na koniec kliknij Rozpocznij szyfrowanie.

Proces ten może zająć trochę czasu, nawet kilka godzin, jeśli szyfrujesz duży wolumin przez sieć Wi-Fi lub legacy-USB.

Jeśli dysk systemowy jest również zaszyfrowany za pomocą funkcji BitLocker, można wybrać opcję automatycznego montowania woluminu kopii zapasowej po zalogowaniu się do systemu Windows. Jeśli główny dysk systemowy nie jest wyposażony w funkcję BitLocker, nie będzie możliwe automatyczne odszyfrowanie dysku podczas korzystania z komputera.

• Kliknij przycisk Turn on auto-unlock, aby automatycznie odblokować wolumin po jego zamontowaniu.

Jeśli nie uda się włączyć automatycznego odblokowania woluminu BitLocker, podczas logowania do Okna zostaniesz poproszony o podanie hasła do woluminu kopii zapasowej, jeśli wykonałeś kroki 13-17. Jeśli pominąłeś tę część, ponieważ tworzysz kopię zapasową na dysku iSCSI lub zewnętrznym, możesz wrócić i wykonać te kroki, ale z woluminem jako plikiem źródłowym.

Masz teraz zaszyfrowany wolumin i jesteś gotowy do włączenia Windows Backup!

Włączenie funkcji kopii zapasowej systemu Windows i historii plików

Ostatnim krokiem jest teraz skonfigurowanie systemu Windows, aby używał zaszyfrowanego dysku twardego jako miejsca docelowego dla kopii zapasowych, na którym Windows Backup i Historia plików będą przechowywały dane.

• Otwórz aplikację Ustawienia: Aktualizacja i zabezpieczenia: Kopia zapasowa.
• Kliknij Dodaj dysk i wybierz wolumin docelowy kopii zapasowej.

Tworzenie pierwszej kopii zapasowej może trwać od kilku minut do kilku godzin, w zależności od ilości danych. Możesz sprawdzić, które foldery są objęte kopią zapasową, na stronie Kopia zapasowa w aplikacji Ustawienia lub znaleźć dodatkowe ustawienia zaawansowane w Panelu sterowania: Aktualizacje i zabezpieczenia: Historia plików.

Nie jest to więc doskonała metoda tworzenia kopii zapasowych cennych danych użytkownika. Konfiguracja jest kłopotliwa i czasochłonna, a nawet może nie być w pełni automatyczna; co jest kluczowe dla zapewnienia częstych i dobrych nawyków tworzenia kopii zapasowych. Pokazuje jednak, że system Windows ma wbudowane wszystkie elementy, które są wymagane do utworzenia dobrej, zaszyfrowanej kopii zapasowej na zdalnych maszynach sieciowych.

Pojawia się więc pytanie: Dlaczego Microsoft nie zrobił z tego małego, trzyetapowego procesu, jak w przypadku systemu kopii zapasowych Time Machine w systemie MacOS lub GNOME Backup (znanego też jako Déjà Dup)? Nie trzeba było wiele, aby uczynić tę konfigurację znacznie bardziej płynną i niezawodną. Powinna to być prosta opcja "Włącz szyfrowanie", gdy włączasz Windows Backup.

Podejrzewam, że odpowiedź na to leży gdzieś pomiędzy tymi dwoma punktami:

• Szyfrowanie nie było priorytetem w Microsofcie, ponieważ do tej pory ograniczali tę funkcjonalność do klientów Windows Professional.
• Przedsiębiorstwa nie potrzebują szyfrowanych kopii zapasowych komputerów swoich pracowników.