การเข้ารหัสดิสก์แบบเต็ม (FDE) ใน Windows: BitLocker และทางเลือกอื่น

การเข้ารหัสดิสก์แบบเต็มนั้นยอดเยี่ยมในการป้องกันการเข้าถึงหากอุปกรณ์ถูกขโมย ตรวจสอบ BitLocker ดั้งเดิมของ Windows และทางเลือกอื่น

คุณรู้หรือไม่ว่าอะไรที่น่ากลัวเกี่ยวกับแล็ปท็อปที่ถูกขโมยของระบบสุขภาพ Coplin ในเวสต์เวอร์จิเนียที่มีข้อมูลผู้ป่วย 43,000 คน?

หรืออะไรที่เลวร้ายในผู้รับเหมาในญี่ปุ่นที่สูญเสียไดรฟ์ USB ที่มีข้อมูลส่วนบุคคลของผู้อยู่อาศัย 460,000 คน?

ข้อมูลไม่ได้รับการเข้ารหัส

ดังนั้น ผู้ไม่หวังดีสามารถเข้าถึงและขายข้อมูลส่วนบุคคลบนเว็บมืดได้อย่างง่ายดาย

พวกเขาเรียนรู้บทเรียนอย่างยากลำบาก แต่นั่นไม่ควรเป็นกรณีที่รู้ว่าการเข้ารหัสข้อมูลนั้นง่ายเพียงใด

ส่วนต่อไปนี้จะกล่าวถึงการเข้ารหัสดิสก์ วิธีการใช้ BitLocker และ BitLocker ทางเลือกอื่นๆ

การเข้ารหัสดิสก์แบบเต็ม

Full Disk Encryption (FDE) หมายถึงการล็อคไดรฟ์เข้ากับระบบของคุณ ป้องกันการเข้าถึงข้อมูลบนอุปกรณ์ที่ถูกบุกรุก และสามารถอนุญาตให้ตรวจสอบเวลาบูตสำหรับการรักษาความปลอดภัยเพิ่มเติมหากใช้กับไดรฟ์ระบบ

BitLocker

Windows รุ่นมืออาชีพ องค์กร และการศึกษา มาพร้อมกับการเข้ารหัสอุปกรณ์ BitLocker

เมื่อใช้ BitLocker เราสามารถป้องกันด้วยรหัสผ่านของไดรฟ์ ซึ่งทำงานได้ตามปกติเมื่อคุณเข้าไปข้างใน นอกจากนี้ยังมีคีย์การกู้คืนเพื่อรีเซ็ตรหัสผ่าน โดยที่เนื้อหาในดิสก์จะอ่านไม่ออก

นอกจากนี้ยังใช้งานได้ข้ามแพลตฟอร์ม ตัวอย่างเช่น ไดรฟ์ที่เข้ารหัสบน Windows จะยังปลอดภัยบน Linux

โดยเฉพาะอย่างยิ่งสิ่งนี้จะไม่ปกป้องคุณเมื่อระบบถูกปลดล็อค กลไกการเข้ารหัสเหล่านี้จะไร้ผลสำหรับสปายแวร์ที่ขโมยข้อมูลส่วนบุคคลของคุณ ซึ่งคุณอาจติดตั้งโดยไม่รู้ตัว ตามหลักการแล้ว สิ่งเหล่านี้ไม่ได้มาแทนที่เครื่องมือป้องกันไวรัสหรือสปายแวร์

ในการเริ่มต้น ให้พิมพ์ BitLocker ในการค้นหาบนทาสก์บาร์และเปิด Manage BitLocker

ตอนนี้เลือกหัวเรื่องดิสก์แล้วคลิก เปิด BitLocker บน

กระบวนการที่ตามมาจะแตกต่างกันสำหรับไดรฟ์ระบบปฏิบัติการและพาร์ติชันที่ไม่ใช่ระบบ รวมถึงดิสก์แบบพกพา

BitLocker บนไดรฟ์ระบบ

โดยค่าเริ่มต้น จะใช้ชิปความปลอดภัย TPM (เวอร์ชัน 1.2 หรือใหม่กว่า) สำหรับการตรวจสอบสิทธิ์ และเครื่องจะบู๊ตเมื่อ TPM คืนกุญแจ

Trusted Platform Module (TPM) เป็นชิปพีซีที่ทันสมัยที่มาพร้อมกับ นี่คือชิปที่แยกจากกันเพื่อรับประกันความสมบูรณ์ของอุปกรณ์โดยรวม แต่คุณอาจต้องเปิดใช้งานสิ่งนี้หากระบบของคุณตรวจไม่พบ TPM แม้ว่าจะมี TPM แล้วก็ตาม

ในกรณีเช่นนี้ จะไม่มีการพิสูจน์ตัวตนก่อนบูต และใครก็ตามที่มีพีซีของคุณสามารถเปิดใช้งานได้โดยการบังคับผ่านรหัสผ่านการเข้าสู่ระบบ Windows

อย่างไรก็ตาม คุณสามารถเปิด PIN ก่อนบูตจากตัวแก้ไขนโยบายกลุ่มในพื้นที่เพื่อให้มีความปลอดภัยสูงสุด หลังจากนั้นชิป TPM จะถามหาคีย์การกู้คืนและพินก่อนปล่อยให้เครื่องบู๊ต

ความแตกต่างที่นี่คือชิปเหล่านี้มาพร้อมกับการป้องกันแบบเดรัจฉาน ดังนั้นผู้โจมตีจะมีความพยายามเพียงไม่กี่ครั้งก่อนที่จะยอมแพ้

อย่าลืมกำหนดค่านี้ก่อนเริ่มการเข้ารหัส

กระบวนการนี้ง่ายพอสมควร ขั้นแรก เปิด Windows Run โดยกด ⊞+R พิมพ์ gpedit.msc แล้วกด Enter

จากนั้นไปที่ Computer Configuration > Administrative Templates > Windows Components > BitLocker Device Encryption > Operating System Drives :

ตอนนี้การเข้ารหัสด้วย BitLocker จะต้องใช้ PIN หรือไดรฟ์ USB ที่ตั้งไว้ล่วงหน้าเป็นการรับรองความถูกต้องทางกายภาพก่อนทำการบูต

ถัดไป คุณจะดำเนินการ เข้ารหัสทั้งไดรฟ์ หรือ เฉพาะพื้นที่ดิสก์ที่ใช้เท่านั้น

โดยทั่วไปแล้วการเข้ารหัสทุกอย่างเป็นแนวคิดที่ดีกว่าสำหรับคอมพิวเตอร์รุ่นเก่า เนื่องจากคุณอาจมีข้อมูลที่สามารถเรียกค้นจากส่วนที่ว่างเปล่าโดยใช้เครื่องมือการกู้คืนข้อมูลของ Windows

ต่อมา คุณตัดสินใจระหว่างการใช้ การเข้ารหัสใหม่ หรือ โหมดที่เข้ากันได้ คุณสามารถเลือกโหมดการเข้ารหัสใหม่ได้เนื่องจากเป็นไดรฟ์ระบบปฏิบัติการ โหมดที่เข้ากันได้จะเหมาะสำหรับไดรฟ์แบบพกพามากกว่า

สุดท้าย ขอแนะนำให้ รันระบบ BitLocker ตรวจสอบ ในหน้าต่างต่อไปนี้เพื่อดูว่าทุกอย่างทำงานได้อย่างสมบูรณ์หรือไม่

BitLocker บนไดรฟ์ข้อมูลคงที่

การเข้ารหัสพาร์ติชั่นและไดรฟ์เหล่านี้ตรงไปตรงมามากขึ้น การดำเนินการนี้จะขอให้คุณตั้งรหัสผ่านล่วงหน้า

เมื่อคุณผ่านพ้นขั้นตอนนี้ไปแล้ว กระบวนการจะคล้ายกับการเข้ารหัสไดรฟ์ของระบบปฏิบัติการ ยกเว้นการตรวจสอบระบบ BitLocker

แม้ว่า BitLocker จะมีประโยชน์ แต่ผู้ใช้ที่ใช้ Windows Home เวอร์ชันต่างๆ จะไม่สามารถใช้งานได้ ตัวเลือกฟรีที่ดีที่สุดอันดับสองคือ Windows Device Encryption หากอุปกรณ์ของคุณรองรับ

ซึ่งแตกต่างจาก BitLocker ตรงที่บังคับข้อกำหนด TPM นอกจากนี้ยังไม่มีวิธีการรับรองความถูกต้องล่วงหน้า

คุณสามารถตรวจสอบความพร้อมใช้งานได้ด้วยข้อมูลระบบ เปิด Windows Run พิมพ์ msinfo32 แล้วกด Enter เลื่อนลงไปด้านล่างและตรวจสอบว่ามีการกล่าวถึง ข้อกำหนดเบื้องต้นของ Meet กับ การสนับสนุนการเข้ารหัสอุปกรณ์ หรือไม่

หากไม่เป็นเช่นนั้น ส่วนใหญ่แล้วอุปกรณ์ของคุณอาจไม่รองรับการเข้ารหัสอุปกรณ์ อย่างไรก็ตาม คุณสามารถติดต่อฝ่ายสนับสนุนของผู้ผลิตเพื่อดูวิธีแก้ปัญหาที่เป็นไปได้

อีกทางหนึ่ง คุณสามารถใช้เครื่องมือเข้ารหัสดิสก์เต็มรูปแบบทั้งแบบฟรีและมีค่าใช้จ่าย

เวราคริปต์

เวราคริปต์เป็นซอฟต์แวร์เข้ารหัสโอเพนซอร์สฟรีสำหรับ Windows, Mac และ Linux เช่นเดียวกับ BitLocker คุณสามารถเข้ารหัสไดรฟ์ระบบ ไดรฟ์ข้อมูลแบบตายตัว และไดรฟ์แบบพกพาได้

ซึ่งมีความยืดหยุ่นมากกว่าและมีตัวเลือกมากมายสำหรับอัลกอริธึมการเข้ารหัส นอกจากนี้ยังสามารถเข้ารหัสได้ทันที ดังนั้น สร้างคอนเทนเนอร์ที่เข้ารหัสและโอนไฟล์ของคุณเพื่อเข้ารหัส

นอกจากนี้ เวราคริปต์ยังสามารถสร้างวอลลุ่มลับที่เข้ารหัสและรองรับการตรวจสอบสิทธิ์ก่อนบูต เช่น BitLocker

อย่างไรก็ตาม อินเทอร์เฟซผู้ใช้อาจดูล้นหลาม แต่ไม่มีอะไรที่บทช่วยสอนของ YouTube ไม่สามารถแยกแยะได้

BestCrypt

คุณสามารถโทรหา BestCrypt ว่าเป็น Veracrypt เวอร์ชันที่ใช้งานง่ายและต้องชำระเงิน

วิธีนี้ช่วยให้คุณเข้าถึงอัลกอริธึมต่างๆ และตัวเลือกมากมายเพื่อให้ได้รับการเข้ารหัสดิสก์เต็มรูปแบบ รองรับการสร้างคอนเทนเนอร์เข้ารหัสและไดรฟ์ระบบ

นอกจากนี้ คุณสามารถปรับใช้การบูตที่อนุมัติรหัสผ่านได้

BestCrypt เป็นเครื่องมือเข้ารหัสหลายแพลตฟอร์มและมาพร้อมกับการทดลองใช้ฟรี 21 วัน

ทางเลือก BitLocker เชิงพาณิชย์

เหล่านี้ประกอบด้วยโซลูชันที่พร้อมใช้งานสำหรับองค์กรตาม Volume Licensing

ESET

การเข้ารหัสดิสก์แบบเต็มของ ESET นั้นยอดเยี่ยมสำหรับการจัดการระยะไกล มันให้ความยืดหยุ่นแก่คุณด้วยโซลูชันการเข้ารหัสในองค์กรและคลาวด์

คุณสมบัตินี้ปกป้องฮาร์ดไดรฟ์ ไดรฟ์แบบพกพา อีเมล ฯลฯ ด้วยการเข้ารหัส AES 256 บิตที่เป็นมาตรฐานอุตสาหกรรม

นอกจากนี้ยังช่วยให้คุณเข้ารหัสไฟล์แต่ละไฟล์โดยใช้การเข้ารหัสระดับไฟล์ (FLE)

คุณสามารถตรวจสอบสิ่งนี้ได้ด้วยการสาธิตแบบโต้ตอบหรือทดลองใช้งานฟรี 30 วันสำหรับการลงมือปฏิบัติจริงอย่างเต็มรูปแบบ

ไซแมนเทค

ไซแมนเทคโดย Broadcom เป็นผู้เล่นชั้นนำอีกรายในการให้บริการเข้ารหัสระดับองค์กร การเข้ารหัสดิสก์แบบเต็มนี้รองรับ TPM เพื่อให้แน่ใจว่าอุปกรณ์ของสถาบันจะอยู่ในสภาพที่ไม่มีการงัดแงะ

นอกจากนี้ คุณยังได้รับการตรวจสอบก่อนบูต อีเมล และการเข้ารหัสดิสก์แบบถอดได้

ไซแมนเทคช่วยคุณตั้งค่าการลงชื่อเพียงครั้งเดียวและยังสามารถปกป้องแอปพลิเคชันบนคลาวด์ได้อีกด้วย รองรับสมาร์ทการ์ดและมีวิธีการกู้คืนที่หลากหลายหากผู้ใช้ลืมรหัสผ่าน

นอกจากนี้ ไซแมนเทคยังมาพร้อมกับการเข้ารหัสระดับไฟล์ การตรวจสอบไฟล์ที่ละเอียดอ่อน และคุณสมบัติอื่นๆ ที่ทำให้เป็นโซลูชันการเข้ารหัสแบบ end-to-end ที่ไม่อาจต้านทานได้

ZENworks

ZENworks จาก Microfocus เป็นวิธีที่ง่ายที่สุดในการจัดการการเข้ารหัส AES-256 ในทุกองค์กร

รองรับการตรวจสอบสิทธิ์ก่อนบูตด้วยชื่อผู้ใช้และรหัสผ่านหรือสมาร์ทการ์ดที่มี PIN ZENworks มีการจัดการคีย์แบบรวมศูนย์เพื่อช่วยให้ผู้ใช้ติดอยู่ที่การเข้าสู่ระบบบูต

คุณสามารถสร้างนโยบายการเข้ารหัสสำหรับอุปกรณ์และบังคับใช้ผ่านการเชื่อมต่อเว็บ HTTP มาตรฐานได้

สุดท้าย คุณสามารถทดลองใช้ฟรีโดยไม่ต้องใช้บัตรเครดิตเพื่อดูได้โดยตรง

FDE กับ FLE

บางครั้งการเข้ารหัสทั้งดิสก์ก็ไม่คุ้ม ในกรณีเช่นนี้ เป็นการดีที่จะปกป้องไฟล์เฉพาะที่ทำให้เกิดการเข้ารหัสระดับไฟล์หรือการเข้ารหัสตามไฟล์ (FBE)

FLE พบได้บ่อยกว่า และเรามักใช้ FLE โดยที่ไม่รับรู้ถึงการมีอยู่

ตัวอย่างเช่น การสนทนา WhatsApp จะถูกเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง ในทำนองเดียวกัน อีเมลที่ส่งผ่านเมล Proton จะได้รับการเข้ารหัสโดยอัตโนมัติและมีเพียงผู้รับเท่านั้นที่สามารถเข้าถึงเนื้อหาได้

ในทำนองเดียวกัน เราสามารถปกป้องไฟล์ด้วย FLE ด้วยเครื่องมือต่างๆ เช่น AxCrypt หรือ FolderLock

ข้อได้เปรียบที่ชัดเจนของ FBE เหนือ FDE คือไฟล์ทั้งหมดสามารถมีคีย์การเข้ารหัสที่แตกต่างกันได้ เออ ถ้าใครถูกบุกรุก คนอื่นก็จะปลอดภัย

อย่างไรก็ตาม สิ่งนี้ทำให้เกิดความยุ่งยากเพิ่มเติมในการจัดการคีย์ดังกล่าว

บทสรุป

การเข้ารหัสดิสก์แบบเต็มมีความสำคัญเมื่อคุณสูญเสียอุปกรณ์ที่มีข้อมูลที่ละเอียดอ่อน

แม้ว่าผู้ใช้ทุกคนจะมีข้อมูลสำคัญอยู่บ้าง แต่ก็เป็นธุรกิจที่ต้องการการเข้ารหัสดิสก์มากกว่าใครๆ

โดยส่วนตัวแล้ว BitLocker เป็นเครื่องมือเข้ารหัสที่ดีที่สุดสำหรับผู้ใช้ Windows เวราคริปต์เป็นอีกทางเลือกหนึ่งสำหรับผู้ที่สามารถทนต่ออินเทอร์เฟซที่ล้าสมัย

และองค์กรไม่ควรพึ่งพาคำตัดสินของใครบางคน แต่ให้ทดลองใช้เพื่อเลือกสิ่งที่ดีที่สุดสำหรับกรณีการใช้งานของพวกเขา สิ่งเดียวที่เจ้าของธุรกิจควรหลีกเลี่ยงคือการล็อคผู้ขาย

PS: ตรวจสอบซอฟต์แวร์เข้ารหัสและการรับรองความถูกต้องของเราเพื่อทำความเข้าใจพื้นฐาน