BitLocker הוא מנגנון הצפנה של Windows שמטרתו להגן על המידע במחשב במקרה של גניבה, אובדן או ניסיון גישה לדיסק מחוץ למערכת ההפעלה. כאשר BitLocker פעיל, הדיסק מוצפן, ולכן גם אם מוציאים את הכונן מהמחשב ומחברים אותו למחשב אחר — אי אפשר לקרוא את המידע בלי מפתח מתאים. לפי Microsoft, BitLocker מגן על הנתונים באמצעות הצפנת הכוננים, ומפתח שחזור נדרש כאשר Windows לא מצליח לפתוח את הכונן אוטומטית.
במדריך הזה נסביר איך בודקים מתוך Windows אם BitLocker מופעל, מה אומרים המצבים השונים, איך להשהות אותו זמנית, ואיך לכבות אותו לגמרי במקרה הצורך.
חשוב: המדריך מתייחס למצב שבו Windows עולה וניתן להיכנס למערכת. הוא לא עוסק במחשב שנתקע במסך כחול של BitLocker Recovery.
אם המחשב עובד ואתם לא בטוחים איך לבדוק את מצב ההצפנה לבד, ניתן לבצע בדיקה מסודרת גם באמצעות תמיכה מרחוק למחשב.
לפני שמתחילים – חשוב לבדוק שיש מפתח שחזור
לפני שמנטרלים, משהים או מבצעים שינוי משמעותי במחשב, מומלץ לוודא שיש גישה למפתח השחזור של BitLocker.
מפתח השחזור הוא קוד בן 48 ספרות, והוא יכול להידרש אחרי שינויי חומרה, עדכון BIOS, שינויי TPM, שינויי Secure Boot או תקלת אתחול. Microsoft מציינת שאין לה אפשרות לשחזר או ליצור מחדש מפתח BitLocker שאבד.
אפשר לבדוק את מפתח השחזור בדרך כלל דרך חשבון Microsoft, חשבון עבודה/בית ספר, Active Directory, Microsoft Entra ID, או תיעוד פנימי של העסק.
במחשבים עסקיים או במחשבי עובדים, מומלץ לנהל את BitLocker כחלק מניהול מסודר של עמדות העבודה ולא כפעולה חד־פעמית.
איך לבדוק אם BitLocker מופעל דרך ההגדרות
ב-Windows 11:
- לחצו על התחל.
- היכנסו אל הגדרות.
- עברו אל פרטיות ואבטחה.
- חפשו את האפשרות הצפנת מכשיר או BitLocker.
בגרסאות Windows Pro / Enterprise אפשר גם לבדוק דרך:
לוח הבקרה > מערכת ואבטחה > הצפנת כונן BitLocker
אם ליד כונן C מופיע BitLocker פעיל, הכונן מוצפן או נמצא בתהליך הצפנה.
ב-Windows Home בחלק מהמחשבים לא תופיע מערכת BitLocker מלאה, אלא אפשרות בשם Device Encryption / הצפנת מכשיר. זו הצפנה אוטומטית שמבוססת על מנגנון BitLocker, בעיקר במחשבים נתמכים.
איך לבדוק אם BitLocker מופעל דרך שורת פקודה
הדרך הכי ברורה לבדוק את מצב BitLocker היא דרך CMD כמנהל.
פתחו:
התחל > כתבו CMD > קליק ימני > הפעל כמנהל
הפקודה לבדיקה כללית דרך CMD
manage-bde -status
בדיקה רק לכונן C:
manage-bde -status C:
הפקודה מציגה מידע על כל הכוננים: מצב הצפנה, אחוז הצפנה, שיטת הצפנה, מצב הגנה, מצב נעילה ומגני מפתח. Microsoft מתעדת את manage-bde -status ככלי שמציג את מצב BitLocker בכוננים במחשב.
איך לבדוק דרך PowerShell
פתחו PowerShell כמנהל:
Get-BitLockerVolume
בדיקה מפורטת לכונן C:
Get-BitLockerVolume -MountPoint C: | Format-List
הפקודה Get-BitLockerVolume מציגה מידע על כוננים ש-BitLocker יכול להגן עליהם, כולל מצב הצפנה, מצב הגנה ומגני מפתח.
איך לקרוא את המצבים של BitLocker
כאשר בודקים את BitLocker, חשוב לא להסתכל רק על שורה אחת. יש כמה מצבים שונים:
Fully Encrypted
הכונן מוצפן במלואו.
אם בנוסף מופיע:
Protection Status: Protection On
זה אומר שהכונן גם מוצפן וגם ההגנה פעילה.
Fully Decrypted
הכונן לא מוצפן.
במצב כזה BitLocker כבוי בפועל על הכונן.
Encryption In Progress
ההצפנה מתבצעת כרגע.
במצב הזה לא מומלץ לכבות את המחשב בכוח. אפשר להמשיך לעבוד, אבל רצוי לתת לתהליך להסתיים.
Decryption In Progress
הפענוח מתבצע כרגע.
זה קורה אחרי שמכבים BitLocker לגמרי. הכונן עדיין לא סיים לחזור למצב לא מוצפן.
Protection Off
כאן צריך להיזהר בפרשנות.
זה לא תמיד אומר שהדיסק לא מוצפן. לפעמים הדיסק עדיין מוצפן, אבל ההגנה מושהית זמנית. לדוגמה, מצב כזה יכול להופיע אחרי השהיית BitLocker לפני עדכון BIOS או שינוי חומרה.
אם רואים:
Conversion Status: Fully Encrypted
Protection Status: Protection Off
המשמעות היא בדרך כלל: הדיסק עדיין מוצפן, אבל ההגנה מושהית.
Lock Status: Unlocked
הכונן פתוח ונגיש מתוך Windows.
בכונן מערכת C זה המצב הרגיל בזמן שהמחשב עובד.
Lock Status: Locked
הכונן נעול.
זה נפוץ יותר בכונני מידע חיצוניים או כוננים משניים שמוצפנים עם BitLocker.
איך להשהות BitLocker זמנית
השהיה זמנית מתאימה לפני פעולות כמו:
- עדכון BIOS
- שינוי TPM
- שינוי Secure Boot
- עדכון Firmware
- פעולות תחזוקה שעלולות לגרום למסך Recovery
השהיה לא מפענחת את הדיסק. הדיסק נשאר מוצפן, אבל Windows שומר זמנית את מפתח הפענוח בצורה שמאפשרת אתחול בלי בדיקת ההגנה הרגילה. Microsoft מבהירה שהשהיית BitLocker אינה מפענחת את המידע בכונן.
דרך לוח הבקרה:
לוח הבקרה > מערכת ואבטחה > הצפנת כונן BitLocker > השהה הגנה
דרך PowerShell:
Suspend-BitLocker -MountPoint "C:" -RebootCount 1
המשמעות: BitLocker יושהה לאתחול אחד, ואז יחזור לפעולה.
אם רוצים להשהות עד שמחזירים ידנית:
Suspend-BitLocker -MountPoint "C:" -RebootCount 0
ערך 0 משאיר את ההגנה מושהית עד שמפעילים אותה ידנית מחדש.
להחזיר את ההגנה:
Resume-BitLocker -MountPoint "C:"
איך להשהות BitLocker דרך CMD
פתחו CMD כמנהל והריצו:
manage-bde -protectors -disable C: -RebootCount 1
להחזרה ידנית:
manage-bde -protectors -enable C:
הפקודה manage-bde -protectors -disable משהה את ההגנה בלי למחוק את מגני המפתח, וברירת המחדל היא שההגנה חוזרת אחרי אתחול, אלא אם מגדירים מספר אתחולים אחר.
איך לכבות BitLocker לגמרי
כיבוי BitLocker שונה מהשהיה.
כאשר מכבים BitLocker לגמרי, Windows מתחיל לפענח את הכונן. בסיום התהליך הכונן כבר לא מוצפן.
דרך לוח הבקרה:
לוח הבקרה > מערכת ואבטחה > הצפנת כונן BitLocker > כבה את BitLocker
דרך CMD:
manage-bde -off C:
דרך PowerShell:
Disable-BitLocker -MountPoint "C:"
Microsoft מתעדת ש־ manage-bde off מכבה BitLocker ומפענח את הכונן, וש־ Disable-BitLockerמסיר את מגני המפתח ומתחיל פענוח של תוכן הכונן.
איך לבדוק את התקדמות הפענוח
אחרי שכיביתם BitLocker, אפשר לבדוק את ההתקדמות עם:
manage-bde -status C:
או ב־PowerShell:
Get-BitLockerVolume -MountPoint C:
אם מופיע
Decryption in Progress
הפענוח עדיין רץ.
אם מופיע:
Fully Decrypted
BitLocker כבוי והכונן כבר לא מוצפן.
מתי לא כדאי לכבות BitLocker
לא מומלץ לכבות BitLocker בלי סיבה ברורה.
בדרך כלל עדיף להשהות אותו זמנית ולא לכבות לגמרי, במיוחד לפני עדכון BIOS או שינויי חומרה.
במקרים של עדכון BIOS, שינוי TPM, החלפת חומרה או חשש מאיבוד גישה למידע, עדיף להתייעץ עם טכנאי מחשבים לפני כיבוי מלא של BitLocker.
כיבוי מלא מתאים בעיקר במקרים כמו:
- מחשב שעובר לטכנאי ואין צורך בהצפנה
- מחשב שנמכר או עובר פירמוט
- בעיות חוזרות של BitLocker Recovery
- סביבת עבודה שבה הוחלט לא להשתמש בהצפנה
- צורך בגיבוי, שדרוג או טיפול טכני שמחייב כונן לא מוצפן
סיכום
כדי לבדוק אם BitLocker מופעל, הדרך הברורה ביותר היא להריץ:
manage-bde -status C:
אם הכונן במצב Fully Encrypted ו־Protection On, BitLocker פעיל ומגן על הכונן.
אם צריך לבצע עדכון BIOS או שינוי מערכת, עדיף בדרך כלל להשהות את ההגנה זמנית ולא לכבות את BitLocker לגמרי.
אם רוצים לנטרל BitLocker לחלוטין, יש להשתמש באפשרות כבה את BitLocker או להריץ:
manage-bde -off C:
רק חשוב לוודא לפני כן שיש גיבוי ומפתח שחזור זמין.
שאלות נפוצות
האם BitLocker מוחק קבצים?
לא. BitLocker לא מוחק קבצים. הוא מצפין את הכונן כדי להגן על המידע.
האם כיבוי BitLocker מפרמט את המחשב?
לא. כיבוי BitLocker מפענח את הכונן, אבל לא מפרמט אותו.
האם אפשר לעבוד בזמן שההצפנה או הפענוח רצים?
כן, בדרך כלל אפשר להמשיך לעבוד, אבל רצוי לא לכבות את המחשב בכוח ולא לנתק אותו מהחשמל באמצע התהליך.
מה ההבדל בין Suspend לבין Turn Off BitLocker?
Suspend משהה את ההגנה זמנית, אבל הדיסק נשאר מוצפן.
Turn Off מכבה את BitLocker ומתחיל פענוח מלא של הכונן.
למה כתוב Protection Off אבל הכונן עדיין מוצפן?
כי ייתכן ש-BitLocker מושהה. במצב כזה הדיסק יכול להיות Fully Encrypted, אבל ההגנה זמנית לא פעילה.
האם חייבים מפתח שחזור לפני שינוי BIOS?
מומלץ מאוד לוודא שיש מפתח שחזור לפני עדכון BIOS, שינוי TPM, שינוי Secure Boot או שינויי חומרה. אחרת יש סיכון להיתקע במסך BitLocker Recovery בלי יכולת לפתוח את המחשב.
צריכים עזרה בבדיקת BitLocker, מפתח שחזור או הכנה לפני עדכון BIOS? אפשר לפנות לאיי טי רסקיו לבדיקה מסודרת.
מקורות מידע
- BitLocker overview – Microsoft Support
- BitLocker Drive Encryption – Microsoft Support
- Device Encryption in Windows – Microsoft Support
- Back Up Your BitLocker Recovery Key – Microsoft Support
- Find your BitLocker recovery key – Microsoft Support
- manage-bde – Microsoft Learn
- manage-bde status – Microsoft Learn
- manage-bde protectors – Microsoft Learn
- Get-BitLockerVolume – Microsoft Learn
- Suspend-BitLocker – Microsoft Learn
- Resume-BitLocker – Microsoft Learn
- Disable-BitLocker – Microsoft Learn
- BitLocker operations guide – Microsoft Learn
