Windows 中的全盘加密 (FDE)：BitLocker 和替代方案

如果设备被盗，全盘加密非常适合防止访问。 让我们检查一下 Windows 本机 BitLocker 及其替代品。

您知道总部位于西弗吉尼亚州的 Coplin Health Systems 被盗的笔记本电脑包含 43,000 名患者的数据有什么可怕之处吗？

或者，日本的承包商丢失了包含 460,000 名居民个人信息的 USB 驱动器有什么不好？

数据未加密。

因此，不良行为者可以轻松地在暗网上访问和出售个人数据。

他们以惨痛的方式吸取了教训。 但如果知道加密数据有多么容易，情况就不应该如此。

以下部分讨论磁盘加密、如何使用 BitLocker 以及一些 BitLocker 替代方案。

全盘加密

全盘加密 (FDE) 是指将驱动器锁定到您的系统。 它可以防止访问受感染设备上的数据，并且如果应用于系统驱动器，可以允许在启动时检查额外的安全性。

位锁

Windows 专业版、企业版和教育版预装了 BitLocker 设备加密。

使用 BitLocker，您可以对驱动器进行密码保护，一旦您进入其中，驱动器就会正常运行。 还有一个用于重置密码的恢复密钥，没有它，磁盘内容将难以辨认。

此外，这适用于跨平台。 例如，在 Windows 上加密的驱动器将在 Linux 上保持安全。

值得注意的是，一旦系统解锁，这将无法保护您。 这些加密机制对于窃取您的个人信息的间谍软件（您可能在不知不觉中安装）将毫无用处。 因此，它们不能替代防病毒或反间谍软件工具。

要开始使用，请在任务栏搜索中键入 BitLocker 并打开Manage BitLocker 。

现在选择主题磁盘并单击打开 BitLocker 。

操作系统驱动器和非系统分区（包括便携式磁盘）的后续过程不同。

系统驱动器上的 BitLocker

默认情况下，这使用 TPM 安全芯片（1.2 或更高版本）进行身份验证。 一旦 TPM 返回密钥，机器就会启动。

可信平台模块 (TPM) 是现代 PC 随附的芯片。 这是一个单独的芯片，可确保整体设备的完整性。 但是，如果您的系统即使在拥有 TPM 之后也没有检测到 TPM，您可能需要激活它。

在这种情况下，没有预启动身份验证，任何拥有您的 PC 的人都可以通过强制使用 Windows 登录密码来打开它。

但是，可以从本地组策略编辑器打开预启动 PIN 以享受最大的安全性。 之后，TPM 芯片会在机器启动前询问恢复密钥和密码。

这里的区别在于这些芯片带有蛮力保护。 因此，攻击者在放弃之前只有少数尝试。

请记住在启动加密之前进行配置。

这个过程很简单。 首先，按⊞+R打开 Windows 运行，输入gpedit.msc ，然后回车。

然后导航到计算机配置 > 管理模板 > Windows 组件 > BitLocker 设备加密 > 操作系统驱动器：

现在，BitLocker 加密将需要一个 PIN 或一个预设的 USB 驱动器作为启动前的物理身份验证。

接下来，您将继续加密整个驱动器或仅使用的磁盘空间。

对于较旧的计算机，加密所有内容通常是更好的主意，因为您可能拥有可以使用 Windows 数据恢复工具从空扇区中检索的数据。

随后，您决定是使用新加密还是兼容模式。 您可以选择新加密模式，因为这是一个操作系统驱动器。 兼容模式将更适合便携式驱动器。

最后，建议在以下窗口中运行 BitLocker 系统检查，看看是否一切正常。

固定数据驱动器上的 BitLocker

加密这些分区和驱动器更加简单。 这将要求您预先设置密码。

一旦你克服了这一点，该过程类似于加密操作系统驱动器，禁止 BitLocker 系统检查。

虽然 BitLocker 很方便，但使用 Windows Home 变体的人无法使用它。 第二个最好的免费选项是 Windows 设备加密，如果你的设备支持的话。

这与 BitLocker 的不同之处在于它强制要求 TPM 要求。 此外，没有预引导身份验证的方法。

您可以使用系统信息检查可用性。 打开 Windows 运行，键入msinfo32 ，然后按 Enter。 向下滚动到底部并验证是否针对Device Encryption Support提到了满足先决条件。

如果不是，您的设备很可能不支持设备加密。 但是，您可以联系制造商支持以查看可能的解决方案。

或者，您可以使用一些免费和付费的全盘加密工具。

VeraCrypt

VeraCrypt 是适用于 Windows、Mac 和 Linux 的免费开源加密软件。 与 BitLocker 类似，您可以加密系统驱动器、固定数据驱动器和便携式驱动器。

这更加灵活，并为加密算法提供了许多选项。 此外，它还可以即时加密。 因此，创建一个加密容器并传输您的文件以对其进行加密。

此外，VeraCrypt 可以创建加密的隐藏卷并支持像 BitLocker 一样的预启动身份验证。

然而，用户界面可能是压倒性的，但没有什么是 YouTube 教程无法解决的。

最佳加密货币

您可以将 BestCrypt 称为 Veracrypt 的用户友好和付费版本。

这使您可以访问各种算法和许多选项来实现全盘加密。 它支持创建加密容器和系统驱动器。

此外，您可以部署密码批准的引导。

BestCrypt 是一款多平台加密工具，提供 21 天免费试用。

商业 BitLocker 替代品

这些包括基于批量许可的企业就绪解决方案。

ESET

ESET 全盘加密非常适合远程管理。 它通过本地和云加密解决方案为您提供了灵活性。

此功能使用行业标准的 256 位 AES 加密保护硬盘驱动器、便携式驱动器、电子邮件等。

此外，这使您可以使用文件级加密 (FLE) 加密单个文件。

您可以通过交互式演示或 30 天免费试用来全面了解这一点。

赛门铁克

Broadcom 旗下的赛门铁克是另一家提供企业级加密设施的领先企业。 这种全盘加密支持 TPM，确保机构设备的防篡改状态。

此外，您还可以获得预启动检查、电子邮件和可移动磁盘加密。

赛门铁克可帮助您设置单点登录，还可以保护基于云的应用程序。 这支持智能卡，并且在用户忘记密码时有多种恢复方法。

此外，赛门铁克还提供文件级加密、敏感文件监控器和各种其他功能，使其成为不可抗拒的端到端加密解决方案。

ZENworks

Microfocus 的 ZENworks 是在任何组织中处理 AES-256 加密的最简单方法。

这支持使用用户名和密码或带有 PIN 的智能卡的可选预引导身份验证。 ZENworks 具有集中式密钥管理功能，可帮助用户在引导登录时卡住。

您可以为设备制定加密策略并通过标准 HTTP Web 连接强制执行它们。

最后，您可以利用它的免费、无信用卡试用来亲眼目睹。

FDE 与 FLE

有时不值得加密整个磁盘。 在这种情况下，明智的做法是保护生成文件级加密或基于文件的加密 (FBE) 的特定文件。

FLE 更常见，我们经常使用它而不承认它的存在。

例如，WhatsApp 对话是端到端加密的。 同样，通过 Proton mail 发送的电子邮件也会自动加密，只有收件人才能访问其内容。

以类似的方式，可以使用 AxCrypt 或 FolderLock 等工具使用 FLE 保护文件。

FBE 优于 FDE 的一个明显优势是所有文件都可以有不同的加密密钥。 因此，如果一个人受到威胁，其他人将保持安全。

但是，这会带来管理此类密钥的额外麻烦。

结论

当您丢失包含敏感信息的设备时，全盘加密至关重要。

虽然每个用户都有一些重要的数据，但企业比其他任何人都更需要磁盘加密。

就个人而言，BitLocker 是 Windows 用户最好的加密工具。 对于可以忍受过时界面的人来说，VeraCrypt 是另一种选择。

组织不应依赖某人的判断，而应通过试验为他们的用例选择最佳方案。 企业主唯一应该避免的是供应商锁定。

PS：查看我们的加密与身份验证软件以复习基础知识。