在Windows中的全盘加密(FDE):BitLocker和替代方案

全盘加密非常适用于防止设备被盗的情况。我们来看看Windows原生的BitLocker及其替代方案。

你知道基于威斯康星州Coplin Health Systems的被盗笔记本电脑有43,000名患者的数据有多可怕吗?

或者日本承包商丢失了一个带有46,000名居民个人信息的USB驱动器,这有多糟糕?

数据未加密。

因此,一个坏人可以轻易地访问并在暗网上出售personal data

他们从中吸取了教训。但是,我们知道加密数据有多么容易,这不应该是这种情况。

以下部分讨论了磁盘加密、如何使用BitLocker进行加密以及一些BitLocker的替代方案。

全盘加密

全盘加密(FDE)是指锁定系统中的驱动器。它可以防止对受损设备上的数据的访问,并可以在引导时进行安全检查以提供额外的安全性。

BitLocker

Windows专业版、企业版和教育版预装了设备加密。BitLocker

使用BitLocker,可以对驱动器进行密码保护,在您进入系统后正常工作。还有一个恢复密钥,可以用来重置密码,否则磁盘内容将无法读取。

此外,这也是跨平台的。例如,在Windows上加密的驱动器在Linux上也是安全的。

值得注意的是,一旦解锁系统,这些机制就无法保护您。这些机制对于窃取您个人信息的恶意软件,如您可能无意中安装的间谍软件,是无效的。因此,它们不能替代antivirusanti-spyware tools

要开始使用,请在任务栏搜索中输入BitLocker并打开管理BitLocker

现在选择目标磁盘,然后点击打开BitLocker

随后的过程对操作系统驱动器和非系统分区(包括便携式磁盘)是不同的。

系统驱动器上的BitLocker

默认情况下,这将使用TPM安全芯片(1.2版或更高版本)进行身份验证。一旦TPM返回密钥,机器就会启动。

可信平台模块(TPM)是现代PC出厂时附带的芯片。这是一个独立的芯片,确保设备的整体完整性。但是,如果您的系统没有预激活TPM,您可能需要激活它。does not detect TPM

在这种情况下,没有预启动的链接,任何拥有您的计算机的人都可以通过暴力攻击Windows登录密码来打开它。

不过,您可以从本地组策略编辑器中打开预启动PIN以享受最高安全性。之后,TPM芯片将要求提供恢复密钥和PIN后才允许机器启动。

这里的区别在于这些芯片具有暴力攻击保护机制。因此,攻击者只有很少的尝试机会。

只需记住在启动加密之前配置这些设置。

该过程非常简单。首先,按下⊞+R打开Windows运行,输入gpedit.msc,然后按回车键。

然后导航到计算机配置 > 管理模板 > Windows组件 > BitLocker设备加密 > 操作系统驱动器

现在BitLocker加密将需要一个PIN或预先设置的USB驱动器作为物理身份验证才能启动。

接下来,您可以选择加密整个驱动器仅使用的磁盘空间

对于较旧的计算机,加密所有内容通常是更好的选择,因为您可能会从空扇区中使用Windows data recovery工具恢复数据。

随后,您需要在使用新加密兼容模式之间进行选择。由于这是一个操作系统驱动器,您可以选择新加密模式。兼容模式更适用于便携式驱动器。

最后,建议您在以下窗口上运行BitLocker系统检查,以确保一切正常。

BitLocker在固定数据驱动器上

加密这些分区和驱动器更加直接。这将要求您首先设置一个密码。

一旦您完成这一步,该过程与加密操作系统驱动器类似,除了BitLocker系统检查。

虽然BitLocker很方便,但对于使用Windows Home版本的人来说不可用。如果您的设备支持,第二个最佳免费选项是Windows Device Encryption

这与BitLocker不同,它强制要求TPM要求。此外,没有任何预启动身份验证的方法。

您可以通过系统信息检查其可用性。打开Windows Run,输入msinfo32,然后按Enter。向下滚动到底部,验证是否对设备加密支持提到满足先决条件

如果没有,很可能您的设备不支持设备加密。但是,您可以联系制造商支持以了解可能的解决方案。

或者,您还可以使用一些免费和付费的全磁盘加密工具。

VeraCrypt

VeraCrypt是适用于Windows、Mac和Linux的免费开源加密软件。与BitLocker类似,您可以加密系统驱动器、固定数据驱动器和便携式驱动器。

这更加灵活,并提供多个加密算法选项。此外,它还可以实时加密。因此,创建一个加密容器并传输文件以进行加密。

此外,VeraCrypt可以创建加密隐藏卷,并支持像BitLocker一样的预启动身份验证。

然而,用户界面可能会令人不知所措,但有YouTube教程可以帮助解决。

BestCrypt

您可以将BestCrypt视为Veracrypt的用户友好付费版本。

这为您提供各种算法和大量选项,以实现全磁盘加密。它支持创建加密容器和系统驱动器。

此外,您还可以部署密码批准的引导。

BestCrypt是一个多平台加密工具,并提供为期21天的免费试用。

商业BitLocker替代方案

这些是基于容量许可的企业级解决方案。

ESET

ESET full disk encryption非常适合远程管理。它为您提供本地和云加密解决方案的灵活性。

此功能可以使用行业标准的256位AES加密来保护硬盘、便携式驱动器、电子邮件等。

此外,它还可以使用文件级加密(FLE)来加密单个文件。

您可以通过交互式演示或为期30天的免费试用来了解更多信息。

Symantec

由Broadcom提供的Symantec是提供企业级加密功能的另一个领先厂商。该全磁盘加密支持TPM,确保机构设备的防篡改状态。

此外,您还可以获得预启动检查、电子邮件和可移动磁盘加密。

Symantec可以帮助您设置单一登录,并且还可以保护cloud-based applications。它支持智能卡,并具有各种密码恢复方法。

此外,Symantec还提供文件级加密、敏感文件监视等各种功能,使其成为一个不可抗拒的端到端加密解决方案。

ZENworks

ZENworks来自Microfocus,是任何组织中处理AES-256加密的最简单方法。

这支持可选的预启动身份验证,使用用户名和密码或带有PIN的智能卡。ZENworks具有集中式密钥管理功能,可帮助用户在启动登录时解决困难。

您可以为设备制定加密策略,并通过标准的HTTP网络连接强制执行这些策略。

最后,您可以免费使用它,而无需信用卡试用以亲自体验。

FDE vs FLE

有时候将整个磁盘加密并不值得。在这种情况下,保护特定的文件是明智的选择,这就是文件级加密或文件级加密(FLE)。

FLE更常见,我们经常在不知不觉中使用它。

例如,WhatsApp对话是端到端加密的。同样,通过Proton邮件发送的电子邮件也会自动加密,只有收件人才能访问内容。

以类似的方式,可以使用像AxCryptFolderLock这样的工具来保护文件。

FBE相对于FDE的一个明显优势是,所有文件都可以有不同的加密密钥。因此,如果一个文件被泄露,其他文件仍然安全。

然而,这带来了管理这些密钥的额外麻烦。

结论

当您丢失包含敏感信息的设备时,完整磁盘加密至关重要。

虽然每个用户都拥有一些关键数据,但是企业比任何人都更需要磁盘加密。

就个人而言,BitLocker是Windows用户的最佳加密工具。对于能够忍受过时界面的人来说,VeraCrypt是另一个选择。

而组织不应依赖他人的裁决,而是进行试用,选择最适用于其用例的最佳解决方案。企业所有者唯一应避免的是供应商锁定。

附注:请查看我们的encryption vs authentication software以复习基础知识。

类似文章