ITDelivery IT technika na míru. Ne z letáku, ale podle potřeb firmy.
+420602301272 info@itdelivery.cz
Přihlásit se Registrace
Notebooky pro firmy  ›  BitLocker / šifrování disku pro firmy: jednoduchý návod, co nastavit a nejčastější chyby

BitLocker / šifrování disku pro firmy: jednoduchý návod, co nastavit a nejčastější chyby

Šifrování disku je nejlevnější způsob, jak výrazně snížit průšvih při ztrátě nebo krádeži firemního notebooku. BitLocker (Windows) umí ochránit data tak, že bez klíče se k nim nikdo nedostane – ale jen pokud je správně nastavený a máte pod kontrolou recovery klíče. V článku je jednoduchý praktický návod pro firmy a seznam nejčastějších chyb.

Ztracený nebo ukradený notebook je v praxi mnohem častější problém než „hack“. A když na disku leží e-maily, přílohy, exporty z CRM, dokumenty klientů nebo interní data, je to průšvih. Šifrování disku tenhle průšvih často změní na „incident bez dopadu“ – protože bez klíče se k datům útočník nedostane.

V prostředí Windows je nejčastější standard BitLocker. Funguje spolehlivě, ale firmy ho často nasadí špatně: zapnou šifrování, ale nemají recovery klíče, nebo to běží jen „někde“, ne všude. Až přijde první problém, zjistí to pozdě.

1) Co BitLocker dělá a kdy ti reálně pomůže

BitLocker šifruje disk tak, že data jsou na úložišti uložená v nepoužitelné podobě. Bez správného klíče (nebo autorizovaného odemčení) je disk pro cizího člověka k ničemu.

  • Ztráta / krádež notebooku: hlavní scénář – bez šifrování je disk „poklad“.
  • Vytažení SSD/HDD a čtení v jiném PC: běžná metoda u kradených notebooků.
  • Servis mimo firmu: když zařízení opustí firmu, šifrování výrazně snižuje riziko.

Důležité: BitLocker neřeší všechno. Když má někdo odemčený notebook (uživatel je přihlášený), BitLocker ho nezastaví. Na to jsou další věci: zamykání obrazovky, MFA, správná práva, EDR apod.

2) Jak poznat, jestli má notebook BitLocker a jestli je to OK

Rychlá kontrola (prakticky):

  • Ve Windows: „Spravovat BitLocker“ (Ovládací panely / Nastavení) – stav disku.
  • Často uvidíš: Zapnuto / Pozastaveno / Vypnuto.

Pro firmu je ideál: Zapnuto a recovery klíč uložený centrálně (ne jen „někde u uživatele“).

3) Největší pravidlo: recovery klíč musíš mít pod kontrolou

Tohle je bod, na kterém firmy nejčastěji shoří. BitLocker je skvělý, dokud se ti notebook sám „nezeptá“ na recovery klíč (po update BIOSu, změně TPM, výměně desky, problému s bootem…).

Správná praxe:

  • Recovery klíče ukládat centrálně (podle toho, jak firmu řídíš):
  • Microsoft 365 / Entra ID (Azure AD) – zařízení a klíče v tenantovi (u firemních účtů).
  • Active Directory (on-prem) – ukládání klíčů k objektu počítače.
  • MDM (Intune apod.) – správa zařízení, politiky, compliance.

Špatná praxe: klíč je uložený jen v e-mailu uživatele, na papírku, nebo nikde.

4) Doporučené minimum nastavení pro „normální firmu“

  • Šifrovat systémový disk (C:) na všech noteboocích jako standard.
  • Neřešit výjimky podle nálady – výjimky jen s důvodem (a evidencí).
  • TPM (Trusted Platform Module) zapnout v BIOS/UEFI, pokud je k dispozici.
  • PIN / pre-boot auth zvážit u citlivých rolí (finance, HR, vedení) – vyšší bezpečnost.
  • Recovery klíče ukládat centrálně a mít proces, jak se k nim dostat.

5) Nejčastější chyby, které firmy dělají

Chyba #1: „Zapnuli jsme BitLocker, hotovo“ (a klíče nikde)

Tohle se projeví v nejhorší možnou chvíli: notebook po aktualizaci chce recovery klíč a nikdo ho nemá. Výsledek je často ztráta času, nervů a někdy i dat (když se musí přeinstalovat bez obnovy).

Chyba #2: BitLocker je „pozastavený“

Pozastavení se používá typicky při servisu/upgrade. Problém je, když to někdo pozastaví a už nevrátí zpátky. Pak máš falešný pocit bezpečí.

Chyba #3: Šifrování jen u části notebooků

Když máš ve firmě 30 notebooků a BitLocker je zapnutý jen na 12, je to v praxi stejné jako nic. Útočník/incident si nevybere „ty zabezpečené“.

Chyba #4: Neřeší se role a citlivé pozice

Obchodník má jiné riziko než účetní nebo HR. U citlivých rolí dává smysl přidat vyšší úroveň ochrany (PIN, přísnější policies, menší lokální ukládání).

Chyba #5: „Šifrování = záloha“

Šifrování není záloha. Když odejde disk, odejdou data. Když se notebook zničí, šifrování tě nezachrání. Zálohování (OneDrive/SharePoint/Drive) musí fungovat nezávisle.

6) Co řešit při servisu a reklamaci notebooku

Zařízení může jít mimo firmu. Minimum:

  • Šifrování musí být zapnuté (ideálně s TPM).
  • Záloha dat před odesláním.
  • U citlivých případů zvážit servis bez disku / výměnný disk.

7) Co řešit při odchodu zaměstnance

Při vrácení notebooku nechceš řešit „kde jsou data“ a „co tam zůstalo“. Doporučení:

  • Notebook vrátit do IT správy.
  • Změnit/odpojit účty, smazat tokeny (podle vašeho postupu).
  • Reimage zařízení a připravit pro dalšího uživatele.

BitLocker je v tomhle výhoda: i kdyby někdo „něco“ vytáhl, data jsou šifrovaná. Ale stejně platí: správný proces je základ.

8) Rychlý checklist pro firmu

  • Máme BitLocker zapnutý na všech firemních noteboocích?
  • Máme recovery klíče uložené centrálně (a víme kde)?
  • Máme proces pro vydání recovery klíče (kdo může, jak se to eviduje)?
  • Je TPM zapnuté a zařízení je v inventáři?
  • Máme nastavené minimální standardy pro citlivé role?
  • Máme postup pro servis a pro ztrátu/krádež?

Závěr

BitLocker je jedna z nejlepších „low-cost“ bezpečnostních věcí, které může firma udělat. Ne kvůli tomu, aby to vypadalo hezky ve směrnici, ale kvůli praxi: ztracený notebook se pak často neřeší jako GDPR průšvih, ale jako obyčejná logistika. Klíčové je jediné: mít pod kontrolou recovery klíče a mít nasazení jako standard, ne jako výjimku.