مقدمة عن أهمية التشفير الكامل للقرص
يُعَدُّ التشفير الكامل للقرص (Full Disk Encryption) أحد أهم وسائل حماية البيانات المخزنة على الأجهزة.
فعند تفعيل هذه التقنية، يتم تشفير كامل محتوى القرص الصلب بحيث لا يمكن الوصول إلى البيانات أو قراءتها إلا بإدخال مفتاح فك التشفير الصحيح (مثل كلمة مرور خاصة). هذا يعني أنه حتى لو تعرض جهازك للسرقة أو الفقدان، فإن البيانات ستبقى غير قابلة للقراءة بالنسبة للغرباء لأنها ستظهر كرموز عشوائية عديمة المعنى.
باختصار، التشفير الكامل للقرص يوفر طبقة أمان إضافية قوية تمنع المتطفلين من استغلال بياناتك الحساسة في حال حدوث أي خرق مادي لأجهزتك.
التشفير الكامل للقرص في Ubuntu
يدعم نظام Ubuntu تشفير القرص بشكل كامل أثناء عملية التثبيت باستخدام تقنيات مفتوحة المصدر مثل LUKS (اختصار Linux Unified Key Setup). هذه التقنية تقوم بتشفير قسم النظام بالكامل وتطلب مفتاحًا (كلمة مرور) لفك التشفير عند تشغيل الجهاز. فيما يلي شرح مبسط لكيفية تفعيل التشفير أثناء تثبيت Ubuntu باستخدام LUKS، بالإضافة إلى كيفية التحقق من حالة التشفير بعد إتمام التثبيت.
تفعيل التشفير أثناء تثبيت Ubuntu باستخدام LUKS
عند تثبيت Ubuntu، يمكنك تفعيل تشفير القرص منذ البداية لضمان حماية جميع البيانات المخزنة عليه. يفضل القيام بذلك أثناء التثبيت الأولي للنظام لضمان تشفير كامل النظام بشكل سلس. خطوات التفعيل كالتالي:
الخطوة الأولى: عند وصولك لمرحلة “نوع التثبيت” في معالج تثبيت Ubuntu، اختر خيار “مسح القرص وتثبيت Ubuntu” (إذا كنت ترغب باستخدام القرص كاملاً للنظام).
بعد ذلك، انقر على زر “المزايا المتقدمة” (Advanced features).
ستظهر لك نافذة تحتوي على إعدادات إضافية، قم بتفعيل خيار “تشفير تثبيت Ubuntu الجديد لأجل الأمان” ثم اضغط OK. هذا الخيار يضمن تشفير القرص كاملاً باستخدام LUKS ومدير الأقراص المنطقية LVM بشكل تلقائي. من المهم ملاحظة أنه في الإصدارات الحديثة من Ubuntu قد يتوفر أيضًا خيار التشفير باستخدام TPM (وحدة المنصة الموثوقة) كميزة تجريبية، لكن يُنصح المبتدئون بالاكتفاء بالتشفير التقليدي بكلمة مرور لضمان التوافق.
الخطوة الثانية: بعد تفعيل خيار التشفير والضغط على متابعة، سيطلب منك معالج التثبيت إدخال عبارة أمان أو كلمة مرور للتشفير. ستظهر شاشة بعنوان “Disk Encryption Passphrase” تطلب منك اختيار كلمة مرور قوية وإدخالها مرتين للتأكيد. هذه العبارة السرية ستكون المفتاح لفك تشفير القرص عند كل إقلاع للنظام، لذا احرص على اختيار كلمة مرور معقدة يسهل عليك تذكرها وصعب على الآخرين تخمينها. تذكّر عدم فقدان هذه الكلمة السرية مطلقًا؛ فإذا فقدتها لن تتمكن من الوصول إلى بياناتك المشفرة على الإطلاق. يُنصح بتدوين كلمة المرور وحفظها في مكان آمن (بعيدًا عن الحاسوب نفسه) كاحتياط إضافي.
الخطوة الثالثة: تابع عملية التثبيت كالمعتاد بإكمال إعدادات المستخدم والمنطقة الزمنية وغيرها حتى ينتهي المُثبّت من نسخ الملفات وإعداد النظام. بعد اكتمال التثبيت، سيطلب منك إعادة تشغيل الجهاز.
عند إعادة التشغيل لأول مرة بعد التثبيت (وفي كل مرة تالية)، سيظهر لك عند الإقلاع طلب إدخال كلمة المرور التي أنشأتها لفك تشفير القرص. في هذه الخطوة، أدخل عبارة التشفير الصحيحة التي قمت بتعيينها. إذا تم إدخالها بشكل صحيح، سيكمل النظام عملية الإقلاع و سيظهر لك شاشة تسجيل الدخول إلى Ubuntu بشكل طبيعي. ظهور هذا الطلب عند الإقلاع هو دليل واضح على أن القرص مشفّر بالكامل وأنه لا يمكن للوصول للنظام دون تلك الكلمة السرية.
التحقق من حالة التشفير بعد التثبيت في Ubuntu
بعد الانتهاء من تثبيت Ubuntu مع تمكين التشفير الكامل، قد ترغب في التأكد من أن التشفير مفعل ويعمل بشكل صحيح. هناك عدة طرق للتحقق من حالة التشفير على نظام Ubuntu:
- ملاحظة شاشة الإقلاع: أبسط طريقة للمبتدئين هي الملاحظة التي قمنا بذكرها أعلاه – حيث يطلب النظام كلمة مرور فك التشفير في كل مرة يتم تشغيله. إذا كنت ترى هذه المطالبة في كل إقلاع فهذا يعني أن القرص مشفّر بالفعل وأن النظام لا يستطيع الولوج للبيانات بدون كلمة المرور.
- استخدام أداة الأقراص (Disk Utility): يوفر Ubuntu أداة رسومية لإدارة الأقراص باسم “Disk Utility” (أو “Disks” في القوائم). عند فتح هذه الأداة والنظر إلى القرص أو القسم المثبّت عليه النظام، ستلاحظ وجود طبقة تشفير LUKS على القسم. يظهر ذلك عادة بشكل أيقونة قفل بجانب القسم أو بوصف مثل “LUKS Encryption” في تفاصيل القسم. تؤكد وثائق الدعم أن أداة الأقراص في Ubuntu تعرض الطبقة المشفرة وإعداداتها بشكل رسومي عند استخدام LUKS، مما يعطيك تأكيدًا مرئيًا بأن القسم مستخدم مشفّر.
- استخدام سطر الأوامر: يمكن للمستخدمين التحقق عبر الطرفية أيضًا. على سبيل المثال، الأمر
lsblk -fسيعرض قائمة الأقسام وأنظمة الملفات، وسيظهر نوع القسم المشفر كـcrypto_LUKSأو قد يظهر اسم حاوية التشفير (مثلdm-crypt) في المخرجات. كذلك، الأمرsudo dmsetup statusيمكن أن يعرض معلومات عن الأجهزة المشفرة؛ فإذا كان القرص مشفرًا بـLUKS ستجد سطرًا يمثل القسم وعليه وسم “crypt” ضمن المعلومات. في المثال أدناه يظهر سطر باسمsda5_cryptمما يشير إلى أن القسم sda5 مشفر ويستخدم آلية LUKS:
$ sudo dmsetup status
...
sda5_crypt: 0 624637944 crypt
...
إذا رأيت مثل هذه المعلومات (crypt) فهذا يدل على أن التشفير مفعل على ذلك القسم. أما إذا لم يظهر أي إشارة إلى وجود “crypt” أو LUKS في مخرجات الأوامر، فقد يعني ذلك أن التشفير غير ممكّن لهذا القسم أو أنك تتحقق من القسم الخطأ. تأكد دائمًا من تشغيل الأوامر بصلاحيات الجذر (sudo) لرؤية التفاصيل الكاملة.
التشفير الكامل للقرص في Windows 11 باستخدام BitLocker
يأتي نظام Windows 11 مزودًا بتقنية BitLocker للتشفير الكامل للأقراص، وهي ميزة حماية بيانات مدمجة في إصدارات Windows الحديثة. يقوم BitLocker بتشفير محتويات القرص الصلب وجعلها غير قابلة للوصول إلا للأشخاص المصرح لهم، مما يوفر حماية فعّالة للملفات في حالة سرقة الجهاز أو الوصول غير المصرح إليه. في هذه الجزئية سنشرح بشكل مبسط كيفية تفعيل BitLocker على Windows 11 مع عرض الخطوات بالصور، بالإضافة إلى ذكر الشروط المطلوبة لتفعيل هذه التقنية.
متطلبات استخدام BitLocker في Windows 11
قبل البدء بالخطوات، يجب التأكد من توفر بعض المتطلبات لتفعيل BitLocker على Windows 11:
- إصدار Windows: خاصية BitLocker متاحة فقط في إصدارات Windows 11 Pro أو Enterprise أو Education (وإصدارات العمل المماثلة) وليست متوفرة في إصدار Home المنزلي. لذلك إن كنت تستخدم Windows 11 Home فلن تجد خيار “Manage BitLocker” في لوحة التحكم. في هذه الحالة يمكن استخدام ميزة “تشفير الجهاز” التلقائية إذا كانت متاحة، لكنها تختلف قليلاً عن BitLocker القياسي.
- وجود شريحة TPM: يعتمد BitLocker بشكل كبير على وجود وحدة المنصة الموثوقة TPM (اختصار لـ Trusted Platform Module) بالإصدار 1.2 أو 2.0 لتخزين مفاتيح التشفير بأمان والتحقق من سلامة مكونات الإقلاع. أغلب الحواسيب التي تعمل بـWindows 11 تحتوي بالفعل على شريحة TPM 2.0 نظرًا لأنها مطلوبة لتثبيت Windows 11 أساسًا. توفر شريحة TPM يتيح لـBitLocker التأكد من عدم العبث بالنظام أثناء إيقافه، كما يخزن مفتاح التشفير بداخلها بشكل مشفر. ملاحظة: يمكن تقنيًا تشغيل BitLocker حتى بدون TPM وذلك عبر استخدام كلمة مرور عند كل إقلاع أو مفتاح USB خارجي، لكن هذا الخيار غير مُفعَّل افتراضيًا لأنه أقل أمانًا ويحتاج لتغيير إعدادات السياسات الأمنية للنظام.
- حساب مسؤول (Administrator): يتطلب تفعيل BitLocker صلاحيات المسؤول على نظام Windows. تأكد من تسجيل الدخول بحساب يملك صلاحيات مسؤول قبل تنفيذ الخطوات.
بعد التأكد من النقاط أعلاه، يمكنك البدء بتفعيل التشفير على قرص النظام أو أي قرص آخر. هنا نفترض أن لديك Windows 11 Pro وجهازك يحتوي على TPM مفعّل، وأنك تريد تشفير قرص النظام (C:).
خطوات تفعيل BitLocker على Windows 11
لتفعيل BitLocker وتشفير قرص النظام في Windows 11، اتبع الخطوات التالية بالترتيب:
الخطوة الأولى: افتح لوحة التحكم الخاصة بـBitLocker. أسهل طريقة للوصول إليها هي استخدام ميزة البحث في شريط المهام: انقر على رمز البحث أو قائمة ابدأ واكتب “Manage BitLocker” (إدارة BitLocker) ثم اضغط على خيار “Open” (فتح) أو اضغط مفتاح الإدخال. بدلاً من ذلك، يمكنك فتح لوحة التحكم التقليدية والانتقال إلى قسم “النظام والأمان” (System and Security) ثم النقر على “BitLocker Drive Encryption” (تشفير محرك BitLocker). ستظهر لك نافذة إدارة BitLocker التي تسرد جميع محركات الأقراص في جهازك مع حالة التشفير لكل منها.
الخطوة الثانية: في نافذة BitLocker Drive Encryption، سترى قسمًا يسمى “Operating system drive” يحتوي على القرص الذي عليه نظام التشغيل (عادة القرص C:)، بالإضافة إلى أقسام أخرى تدعى “Fixed data drives” للأقراص الثابتة الإضافية و “Removable data drives” للأقراص القابلة للإزالة (مثل مفاتيح USB). ابحث عن القرص C: ضمن قائمة الأقراص. ستجد بجواره عبارة “BitLocker مُعطّل” أو “BitLocker: Off” إذا لم يكن مشفّرًا بعد. للبدء في تشفير هذا القرص، انقر على رابط “Turn on BitLocker” (تشغيل BitLocker) المجاور له. عند النقر على هذا الخيار، سيبدأ Windows بإعداد معالج التشفير للقرص.
الخطوة الثالثة: سيظهر معالج إعداد BitLocker، وأول خطوة فيه هي اختيار طريقة قفل وفك قفل القرص أثناء الإقلاع. يتيح لك BitLocker عدة خيارات، أسهلها للمستخدم العادي هو استخدام كلمة مرور Password. اختر خيار “Use a password to unlock the drive” (استخدام كلمة مرور لفتح المحرك) ثم أدخل كلمة مرور قوية تريد استخدامها لقفل القرص. أعد إدخالها في الحقل المخصص للتأكيد. ينصح باختيار كلمة مرور معقدة تتضمن حروفًا كبيرة وصغيرة وأرقامًا ورموزًا، لأن هذه الكلمة تحمي الوصول إلى ملفاتك. إذا كان لديك بطاقة ذكية تدعم استخدامها لتأمين القرص، يمكنك اختيار خيار البطاقة الذكية بدلاً من كلمة المرور، ولكن ذلك أقل شيوعًا لدى المستخدم العادي. بعد إدخال كلمة المرور المناسبة، اضغط Next (التالي) للمتابعة.
الخطوة الرابعة: الآن سيطلب منك المعالج اختيار طريقة النسخ الاحتياطي لمفتاح الاسترداد (Recovery Key). مفتاح الاسترداد هو رمز أمان بديل مكوّن من 48 رقمًا يُنشئه Windows تلقائيًا. يفيد هذا المفتاح في استعادة الوصول إلى القرص المشفّر في حال نسيت كلمة المرور أو تعذّر عليك فتح القرص لسبب ما. ستظهر لك خيارات متعددة لكيفية حفظ مفتاح الاسترداد: يمكنك تسجيل الدخول بحساب Microsoft وحفظ المفتاح في حسابك السحابي (هذا الخيار يظهر عادة إذا كنت تستخدم حساب Microsoft على Windows)، أو حفظ المفتاح في ملف نصي على جهاز آخر أو على وحدة تخزين خارجية، أو طباعته على ورقة والاحتفاظ بها. اختر الطريقة الأنسب لك (مثلاً، اختر “Save to a file” لحفظ الملف في ذاكرة USB خارجية، أو “Print the recovery key” لطباعة المفتاح). بعد حفظ مفتاح الاسترداد بمكان آمن، اضغط Next (التالي). تذكير: لا تتجاهل خطوة حفظ مفتاح الاسترداد، فهي ضرورية لضمان إمكانية فك التشفير إذا فقدت كلمة المرور مستقبلاً.
الخطوة الخامسة: سينتقل بك المعالج إلى خطوة تحديد مساحة القرص التي تريد تشفيرها. هنا لديك خياران: إما تشفير المساحة المستخدمة فقط على القرص (Encrypt used disk space only)، أو تشفير كامل القرص بما في ذلك المساحة الفارغة (Encrypt entire drive). إن كنت تُفعّل BitLocker على قرص جديد أو على جهازك لأول مرة، وكان معظم القرص فارغًا، يمكن أن يكون تشفير المساحة المستخدمة فقط أسرع بكثير مع الحفاظ على نفس مستوى الأمان للبيانات الموجودة. أما إذا كنت ترغب في أن تكون أي مساحة قد تُستخدم مستقبلًا مشفّرة سلفًا، فيمكنك اختيار تشفير كامل القرص. لأقصى درجة من الأمان يُفضل الخيار الثاني، لكنه سيستغرق وقتًا أطول خصوصًا إن كان القرص يحتوي على بيانات كثيرة. حدد الخيار الذي يناسبك ثم انقر Next (التالي).
الخطوة السادسة: الخطوة التالية هي اختيار وضع التشفير (Encryption Mode). في Windows 11 سيظهر لك خياران: الوضع الجديد New encryption mode (ويسمى أيضًا XTS-AES، وهو مخصص للأقراص الثابتة على هذا الجهاز)، أو الوضع المتوافق Compatible mode (وهو نمط AES-CBC التقليدي المتوافق مع الإصدارات الأقدم من Windows). إن كنت ستستخدم القرص المشفر على نفس الجهاز فقط أو على أجهزة حديثة تدعم Windows 10/11، فاختر الوضع الجديد لأنه أكثر أمانًا. أما إذا كان هناك احتمال لنقل هذا القرص المشفر إلى جهاز آخر يعمل بإصدار أقدم من Windows (مثل Windows 7 أو 8)، فاختر الوضع المتوافق لضمان إمكانية قراءة القرص هناك. بعد تحديد الخيار المناسب، اضغط Next (التالي) للاستمرار.
الخطوة السابعة: سيعطيك BitLocker الآن ملخصًا بالإعدادات التي اخترتها قبل أن يبدأ التشفير. تأكد من أنك أدخلت كلمة المرور بشكل صحيح وتأكدت من حفظ مفتاح الاسترداد، واخترت نطاق التشفير ووضع التشفير المناسبين. إذا كان كل شيء على ما يرام، انقر على زر “Start encrypting” (ابدأ التشفير). بمجرد الضغط، سيبدأ BitLocker عملية تشفير القرص في الخلفية. قد يستغرق الأمر من بضع دقائق إلى ساعات بحسب حجم القرص وكمية البيانات عليه وسرعة الجهاز. يمكنك متابعة استخدام الحاسوب بشكل طبيعي أثناء إجراء التشفير، مع ملاحظة أن الأداء قد يكون أبطأ قليلًا حتى ينتهي التشفير بالكامل. ستظهر نسبة مئوية للتقدم وقد يُظهر Windows إشعارًا يشير إلى أن عملية التشفير جارية. ملحوظة: إذا كنت تشفر القرص C: (قرص النظام)، ربما يطلب منك النظام إعادة تشغيل بعد إعداد الخطوات الأولية لبدء عملية التشفير قبل تسجيل الدخول التالي. اتبع التعليمات إن ظهرت أي مطالبات إعادة تشغيل.
الخطوة الثامنة: بعد اكتمال عملية التشفير 100%، سيخبرك BitLocker بأن التشفير ناجح ويمكنك الضغط على Close (إغلاق) لإنهاء المعالج. الآن يصبح قرصك محميًا بتشفير كامل. يمكنك التحقق من ذلك بعدة طرق بسيطة.
أولاً، في نافذة إدارة BitLocker نفسها، ستتغير حالة القرص C: إلى “BitLocker: قيد التشغيل” أو “مشفر” بدلًا من “معطّل”. أيضًا عند فتح مستكشف الملفات (This PC) سترى أن أيقونة القرص أصبحت عليها علامة قفل. إذا كان القفل ظاهرًا ومغلقًا بلون ذهبي، فهذا يعني أن القرص مشفّر ولكنه مقفل حاليًا ولا يمكن الوصول لمحتواه دون كلمة المرور (يظهر بهذه الحالة عادة للأقراص البيانات الإضافية غير المفتوحة أو إذا سجلت الخروج). أما إذا ظهرت أيقونة القفل بشكل مفتوح، فهذا يعني أن القرص مشفّر ولكنه مفتوح حاليًا (أي تم إدخال كلمة المرور وجهازك لديه حق الوصول للبيانات أثناء تشغيل الجلسة الحالية). في كلتا الحالتين، وجود رمز القفل يدل على أن BitLocker مفعل على هذا القرص. وبما أننا شفرنا قرص النظام، فإن عملية الفتح والإقفال تتم تلقائيًا أثناء الإقلاع وإيقاف التشغيل؛ أي سيطلب منك Windows كلمة المرور عند إعادة التشغيل إذا كانت إعدادات BitLocker تتطلب ذلك (مثلاً في حال عدم استخدام TPM أو عند تفعيل خيار طلب PIN مع TPM). أما إن كنت تستخدم TPM فقط، فسيتم فك القفل تلقائيًا في الإقلاع دون مطالبة المستخدم بكلمة مرور، نظرًا لأن TPM قدمت المفتاح تلقائيًا (لذلك استخدام TPM يجعل تجربة المستخدم سلسة بدون كلمات مرور عند كل إقلاع مع الحفاظ على الأمان).
ملاحظة نهائية: بعد تفعيل BitLocker، تأكد من الاحتفاظ بمفتاح الاسترداد في مكان آمن كما أسلفنا. أيضًا، أي تغيير كبير في عتاد الجهاز أو إعدادات الـBIOS/UEFI (مثل ترقية قطعة مهمة أو تمكين/تعطيل الـTPM أو Secure Boot) قد يؤدي إلى مطالبة Windows لك بمفتاح الاسترداد عند الإقلاع كإجراء احترازي أمني. لا داعي للقلق في هذه الحالة؛ أدخل مفتاح الاسترداد الذي خزّنته وستعود الأمور لطبيعتها. إن واجهت أي صعوبة يمكن الرجوع إلى موقع Microsoft الرسمي أو دعم الشركة المصنعة لجهازك لمزيد من الإرشادات.
