在Windows中的全盘加密（FDE）：BitLocker和替代方案

全盘加密非常适用于防止设备被盗的情况。我们来看看Windows原生的BitLocker及其替代方案。

你知道基于威斯康星州Coplin Health Systems的被盗笔记本电脑有43,000名患者的数据有多可怕吗？

或者日本承包商丢失了一个带有46,000名居民个人信息的USB驱动器，这有多糟糕？

数据未加密。

因此，一个坏人可以轻易地访问并在暗网上出售personal data。

他们从中吸取了教训。但是，我们知道加密数据有多么容易，这不应该是这种情况。

以下部分讨论了磁盘加密、如何使用BitLocker进行加密以及一些BitLocker的替代方案。

全盘加密

全盘加密（FDE）是指锁定系统中的驱动器。它可以防止对受损设备上的数据的访问，并可以在引导时进行安全检查以提供额外的安全性。

BitLocker

Windows专业版、企业版和教育版预装了设备加密。BitLocker

使用BitLocker，可以对驱动器进行密码保护，在您进入系统后正常工作。还有一个恢复密钥，可以用来重置密码，否则磁盘内容将无法读取。

此外，这也是跨平台的。例如，在Windows上加密的驱动器在Linux上也是安全的。

值得注意的是，一旦解锁系统，这些机制就无法保护您。这些机制对于窃取您个人信息的恶意软件，如您可能无意中安装的间谍软件，是无效的。因此，它们不能替代antivirus或anti-spyware tools。

要开始使用，请在任务栏搜索中输入BitLocker并打开管理BitLocker。

现在选择目标磁盘，然后点击打开BitLocker。

随后的过程对操作系统驱动器和非系统分区（包括便携式磁盘）是不同的。

系统驱动器上的BitLocker

默认情况下，这将使用TPM安全芯片（1.2版或更高版本）进行身份验证。一旦TPM返回密钥，机器就会启动。

可信平台模块（TPM）是现代PC出厂时附带的芯片。这是一个独立的芯片，确保设备的整体完整性。但是，如果您的系统没有预激活TPM，您可能需要激活它。does not detect TPM

在这种情况下，没有预启动的链接，任何拥有您的计算机的人都可以通过暴力攻击Windows登录密码来打开它。

不过，您可以从本地组策略编辑器中打开预启动PIN以享受最高安全性。之后，TPM芯片将要求提供恢复密钥和PIN后才允许机器启动。

这里的区别在于这些芯片具有暴力攻击保护机制。因此，攻击者只有很少的尝试机会。

只需记住在启动加密之前配置这些设置。

该过程非常简单。首先，按下⊞+R打开Windows运行，输入gpedit.msc，然后按回车键。

然后导航到计算机配置 > 管理模板 > Windows组件 > BitLocker设备加密 > 操作系统驱动器：

现在BitLocker加密将需要一个PIN或预先设置的USB驱动器作为物理身份验证才能启动。

接下来，您可以选择加密整个驱动器或仅使用的磁盘空间。

对于较旧的计算机，加密所有内容通常是更好的选择，因为您可能会从空扇区中使用Windows data recovery工具恢复数据。

随后，您需要在使用新加密或兼容模式之间进行选择。由于这是一个操作系统驱动器，您可以选择新加密模式。兼容模式更适用于便携式驱动器。

最后，建议您在以下窗口上运行BitLocker系统检查，以确保一切正常。

BitLocker在固定数据驱动器上

加密这些分区和驱动器更加直接。这将要求您首先设置一个密码。

一旦您完成这一步，该过程与加密操作系统驱动器类似，除了BitLocker系统检查。

虽然BitLocker很方便，但对于使用Windows Home版本的人来说不可用。如果您的设备支持，第二个最佳免费选项是Windows Device Encryption。

这与BitLocker不同，它强制要求TPM要求。此外，没有任何预启动身份验证的方法。

您可以通过系统信息检查其可用性。打开Windows Run，输入msinfo32，然后按Enter。向下滚动到底部，验证是否对设备加密支持提到满足先决条件。

如果没有，很可能您的设备不支持设备加密。但是，您可以联系制造商支持以了解可能的解决方案。

或者，您还可以使用一些免费和付费的全磁盘加密工具。

VeraCrypt

VeraCrypt是适用于Windows、Mac和Linux的免费开源加密软件。与BitLocker类似，您可以加密系统驱动器、固定数据驱动器和便携式驱动器。

这更加灵活，并提供多个加密算法选项。此外，它还可以实时加密。因此，创建一个加密容器并传输文件以进行加密。

此外，VeraCrypt可以创建加密隐藏卷，并支持像BitLocker一样的预启动身份验证。

然而，用户界面可能会令人不知所措，但有YouTube教程可以帮助解决。

BestCrypt

您可以将BestCrypt视为Veracrypt的用户友好付费版本。

这为您提供各种算法和大量选项，以实现全磁盘加密。它支持创建加密容器和系统驱动器。

此外，您还可以部署密码批准的引导。

BestCrypt是一个多平台加密工具，并提供为期21天的免费试用。

商业BitLocker替代方案

这些是基于容量许可的企业级解决方案。

ESET

ESET full disk encryption非常适合远程管理。它为您提供本地和云加密解决方案的灵活性。

此功能可以使用行业标准的256位AES加密来保护硬盘、便携式驱动器、电子邮件等。

此外，它还可以使用文件级加密（FLE）来加密单个文件。

您可以通过交互式演示或为期30天的免费试用来了解更多信息。

Symantec

由Broadcom提供的Symantec是提供企业级加密功能的另一个领先厂商。该全磁盘加密支持TPM，确保机构设备的防篡改状态。

此外，您还可以获得预启动检查、电子邮件和可移动磁盘加密。

Symantec可以帮助您设置单一登录，并且还可以保护cloud-based applications。它支持智能卡，并具有各种密码恢复方法。

此外，Symantec还提供文件级加密、敏感文件监视等各种功能，使其成为一个不可抗拒的端到端加密解决方案。

ZENworks

ZENworks来自Microfocus，是任何组织中处理AES-256加密的最简单方法。

这支持可选的预启动身份验证，使用用户名和密码或带有PIN的智能卡。ZENworks具有集中式密钥管理功能，可帮助用户在启动登录时解决困难。

您可以为设备制定加密策略，并通过标准的HTTP网络连接强制执行这些策略。

最后，您可以免费使用它，而无需信用卡试用以亲自体验。

FDE vs FLE

有时候将整个磁盘加密并不值得。在这种情况下，保护特定的文件是明智的选择，这就是文件级加密或文件级加密（FLE）。

FLE更常见，我们经常在不知不觉中使用它。

例如，WhatsApp对话是端到端加密的。同样，通过Proton邮件发送的电子邮件也会自动加密，只有收件人才能访问内容。

以类似的方式，可以使用像AxCrypt或FolderLock这样的工具来保护文件。

FBE相对于FDE的一个明显优势是，所有文件都可以有不同的加密密钥。因此，如果一个文件被泄露，其他文件仍然安全。

然而，这带来了管理这些密钥的额外麻烦。

结论

当您丢失包含敏感信息的设备时，完整磁盘加密至关重要。

虽然每个用户都拥有一些关键数据，但是企业比任何人都更需要磁盘加密。

就个人而言，BitLocker是Windows用户的最佳加密工具。对于能够忍受过时界面的人来说，VeraCrypt是另一个选择。

而组织不应依赖他人的裁决，而是进行试用，选择最适用于其用例的最佳解决方案。企业所有者唯一应避免的是供应商锁定。

附注：请查看我们的encryption vs authentication software以复习基础知识。