Windows 中的全盤加密 (FDE)：BitLocker 和替代方案

如果設備被盜，全盤加密非常適合防止訪問。 讓我們檢查一下 Windows 本機 BitLocker 及其替代品。

您知道總部位於西弗吉尼亞州的 Coplin Health Systems 被盜的筆記本電腦包含 43,000 名患者的數據有什麼可怕之處嗎？

或者，日本的承包商丟失了包含 460,000 名居民個人信息的 USB 驅動器有什麼不好？

數據未加密。

因此，不良行為者可以輕鬆地在暗網上訪問和出售個人數據。

他們以慘痛的方式吸取了教訓。 但如果知道加密數據有多麼容易，情況就不應該如此。

以下部分討論磁盤加密、如何使用 BitLocker 以及一些 BitLocker 替代方案。

全盤加密

全盤加密 (FDE) 是指將驅動器鎖定到您的系統。 它可以防止訪問受感染設備上的數據，並且如果應用於系統驅動器，可以允許在啟動時檢查額外的安全性。

位鎖

Windows 專業版、企業版和教育版預裝了 BitLocker 設備加密。

使用 BitLocker，您可以對驅動器進行密碼保護，一旦您進入其中，驅動器就會正常運行。 還有一個用於重置密碼的恢復密鑰，沒有它，磁盤內容將難以辨認。

此外，這適用於跨平台。 例如，在 Windows 上加密的驅動器將在 Linux 上保持安全。

值得注意的是，一旦系統解鎖，這將無法保護您。 這些加密機制對於竊取您的個人信息的間諜軟件（您可能在不知不覺中安裝）將毫無用處。 因此，它們不能替代防病毒或反間諜軟件工具。

要開始使用，請在任務欄搜索中鍵入 BitLocker 並打開Manage BitLocker 。

現在選擇主題磁盤並單擊打開 BitLocker 。

操作系統驅動器和非系統分區（包括便攜式磁盤）的後續過程不同。

系統驅動器上的 BitLocker

默認情況下，這使用 TPM 安全芯片（1.2 或更高版本）進行身份驗證。 一旦 TPM 返回密鑰，機器就會啟動。

可信平台模塊 (TPM) 是現代 PC 隨附的芯片。 這是一個單獨的芯片，可確保整體設備的完整性。 但是，如果您的系統即使在擁有 TPM 之後也沒有檢測到 TPM，您可能需要激活它。

在這種情況下，沒有預啟動身份驗證，任何擁有您的 PC 的人都可以通過強制使用 Windows 登錄密碼來打開它。

但是，可以從本地組策略編輯器打開預啟動 PIN 以享受最大的安全性。 之後，TPM 芯片會在機器啟動前詢問恢復密鑰和密碼。

這裡的區別在於這些芯片帶有蠻力保護。 因此，攻擊者在放棄之前只有少數嘗試。

請記住在啟動加密之前進行配置。

這個過程很簡單。 首先，按⊞+R打開 Windows 運行，輸入gpedit.msc ，然後回車。

然後導航到計算機配置 > 管理模板 > Windows 組件 > BitLocker 設備加密 > 操作系統驅動器：

現在，BitLocker 加密將需要一個 PIN 或一個預設的 USB 驅動器作為啟動前的物理身份驗證。

接下來，您將繼續加密整個驅動器或僅使用的磁盤空間。

對於較舊的計算機，加密所有內容通常是更好的主意，因為您可能擁有可以使用 Windows 數據恢復工具從空扇區中檢索的數據。

隨後，您決定是使用新加密還是兼容模式。 您可以選擇新加密模式，因為這是一個操作系統驅動器。 兼容模式將更適合便攜式驅動器。

最後，建議在以下窗口中運行 BitLocker 系統檢查，看看是否一切正常。

固定數據驅動器上的 BitLocker

加密這些分區和驅動器更加簡單。 這將要求您預先設置密碼。

一旦你克服了這一點，該過程類似於加密操作系統驅動器，禁止 BitLocker 系統檢查。

雖然 BitLocker 很方便，但使用 Windows Home 變體的人無法使用它。 第二個最好的免費選項是 Windows 設備加密，如果你的設備支持的話。

這與 BitLocker 的不同之處在於它強制要求 TPM 要求。 此外，沒有預引導身份驗證的方法。

您可以使用系統信息檢查可用性。 打開 Windows 運行，鍵入msinfo32 ，然後按 Enter。 向下滾動到底部並驗證是否針對Device Encryption Support提到了滿足先決條件。

如果不是，您的設備很可能不支持設備加密。 但是，您可以聯繫製造商支持以查看可能的解決方案。

或者，您可以使用一些免費和付費的全盤加密工具。

VeraCrypt

VeraCrypt 是適用於 Windows、Mac 和 Linux 的免費開源加密軟件。 與 BitLocker 類似，您可以加密系統驅動器、固定數據驅動器和便攜式驅動器。

這更加靈活，並為加密算法提供了許多選項。 此外，它還可以即時加密。 因此，創建一個加密容器並傳輸您​​的文件以對其進行加密。

此外，VeraCrypt 可以創建加密的隱藏卷並支持像 BitLocker 一樣的預啟動身份驗證。

然而，用戶界面可能是壓倒性的，但沒有什麼是 YouTube 教程無法解決的。

最佳加密貨幣

您可以將 BestCrypt 稱為 Veracrypt 的用戶友好和付費版本​​。

這使您可以訪問各種算法和許多選項來實現全盤加密。 它支持創建加密容器和系統驅動器。

此外，您可以部署密碼批准的引導。

BestCrypt 是一款多平台加密工具，提供 21 天免費試用。

商業 BitLocker 替代品

這些包括基於批量許可的企業就緒解決方案。

ESET

ESET 全盤加密非常適合遠程管理。 它通過本地和雲加密解決方案為您提供了靈活性。

此功能使用行業標準的 256 位 AES 加密保護硬盤驅動器、便攜式驅動器、電子郵件等。

此外，這使您可以使用文件級加密 (FLE) 加密單個文件。

您可以通過交互式演示或 30 天免費試用來全面了解這一點。

賽門鐵克

Broadcom 旗下的賽門鐵克是另一家提供企業級加密設施的領先企業。 這種全盤加密支持 TPM，確保機構設備的防篡改狀態。

此外，您還可以獲得預啟動檢查、電子郵件和可移動磁盤加密。

賽門鐵克可幫助您設置單點登錄，還可以保護基於雲的應用程序。 這支持智能卡，並且在用戶忘記密碼時有多種恢復方法。

此外，賽門鐵克還提供文件級加密、敏感文件監控器和各種其他功能，使其成為不可抗拒的端到端加密解決方案。

ZENworks

Microfocus 的 ZENworks 是在任何組織中處理 AES-256 加密的最簡單方法。

這支持使用用戶名和密碼或帶有 PIN 的智能卡的可選預引導身份驗證。 ZENworks 具有集中式密鑰管理功能，可幫助用戶在引導登錄時卡住。

您可以為設備製定加密策略並通過標準 HTTP Web 連接強制執行它們。

最後，您可以利用它的免費、無信用卡試用來親眼目睹。

FDE 與 FLE

有時不值得加密整個磁盤。 在這種情況下，明智的做法是保護生成文件級加密或基於文件的加密 (FBE) 的特定文件。

FLE 更常見，我們經常使用它而不承認它的存在。

例如，WhatsApp 對話是端到端加密的。 同樣，通過 Proton mail 發送的電子郵件也會自動加密，只有收件人才能訪問其內容。

以類似的方式，可以使用 AxCrypt 或 FolderLock 等工具使用 FLE 保護文件。

FBE 優於 FDE 的一個明顯優勢是所有文件都可以有不同的加密密鑰。 因此，如果一個人受到威脅，其他人將保持安全。

但是，這會帶來管理此類密鑰的額外麻煩。

結論

當您丟失包含敏感信息的設備時，全盤加密至關重要。

雖然每個用戶都有一些重要的數據，但企業比其他任何人都更需要磁盤加密。

就個人而言，BitLocker 是 Windows 用戶最好的加密工具。 對於可以忍受過時界面的人來說，VeraCrypt 是另一種選擇。

組織不應依賴某人的判斷，而應通過試驗為他們的用例選擇最佳方案。 企業主唯一應該避免的是供應商鎖定。

PS：查看我們的加密與身份驗證軟件以復習基礎知識。