Пълното дисково шифроване е отлично за предотвратяване на достъп, ако устройството бъде откраднато. Нека да проверим собствения BitLocker на Windows и неговите алтернативи.
Знаете ли какво е страшното в откраднатия лаптоп на базираната в Западна Вирджиния Coplin Health Systems, съдържащ данни на 43 000 пациенти?
Или какво лошо има в това изпълнител в Япония да загуби USB устройство с личната информация на 460 000 жители?
Данните не бяха криптирани.
Така че лош актьор може лесно да получи достъп и да продаде лични данни в тъмната мрежа.
Те научиха урока по трудния начин. Но това не би трябвало да е така, като знаем колко лесно е да шифровате данните.
Следващите раздели обсъждат криптирането на диска, как да го направите с BitLocker и няколко алтернативи на BitLocker.
Съдържание
Пълно дисково криптиране
Пълното дисково шифроване (FDE) се отнася до заключване на дисковете към вашата система. Той предотвратява достъпа до данните на компрометирани устройства и може да позволи проверка по време на зареждане за допълнителна сигурност, ако се прилага върху системни дискове.
BitLocker
Професионалните, корпоративните и образователните версии на Windows идват предварително инсталирани с BitLocker криптиране на устройството.
С помощта на BitLocker можете да защитите с парола устройствата, които функционират нормално, след като сте вътре. Има и ключ за възстановяване за нулиране на паролата, без който съдържанието на диска ще бъде нечетливо.
Освен това, това работи между платформи. Например, устройство, шифровано в Windows, ще остане безопасно в Linux.
Трябва да се отбележи, че това няма да ви защити, след като системата бъде отключена. Тези механизми за криптиране ще бъдат безплодни за, да речем, шпионски софтуер, който краде вашата лична информация, която може да сте инсталирали несъзнателно. Следователно, те не са заместител на антивирусни или антишпионски инструменти.
За да започнете, въведете BitLocker в лентата за търсене в лентата на задачите и отворете Управление на BitLocker.
Сега изберете предметния диск и щракнете върху Включване на BitLocker.
Следващият процес е различен за устройството на операционната система и несистемните дялове, включително преносимите дискове.
BitLocker на системни устройства
Това по подразбиране използва чипа за сигурност на TPM (версия 1.2 или по-нова) за удостоверяване. И машината се стартира, след като TPM върне ключа.
Trusted Platform Module (TPM) е чип, с който се доставят съвременните компютри. Това е отделен чип, осигуряващ цялостната цялост на устройството. Но може да се наложи да активирате това, ако системата ви не открива TPM дори след като имате такъв.
В такива случаи няма удостоверяване преди зареждане и всеки, който има вашия компютър, може да го включи чрез груба форсиране чрез паролата за влизане в Windows.
Човек обаче може да включи ПИН кода преди зареждане от редактора на локални групови правила, за да се насладите на максимална сигурност. След това TPM чипът ще поиска ключа за възстановяване и щифта, преди да позволи на машината да се зареди.
Разграничаващото тук е, че тези чипове идват със защита от груба сила. Така че нападателят ще има само няколко опита, преди да се откаже.
Само не забравяйте да конфигурирате това, преди да започнете криптиране.
Процесът е достатъчно прост. Първо отворете Windows Run, като натиснете ⊞+R, въведете gpedit.msc и натиснете enter.
След това отворете Конфигурация на компютъра > Административни шаблони > Компоненти на Windows > Шифроване на устройство с BitLocker > Дискове на операционната система:
Сега шифроването на BitLocker ще се нуждае от ПИН или предварително зададено USB устройство като физическо удостоверяване преди зареждане.
След това преминавате към Шифроване на цялото устройство или само на използваното дисково пространство.
Шифроването на всичко обикновено е по-добрата идея за по-стари компютри, тъй като може да имате данни, които могат да бъдат извлечени от празните сектори с помощта на инструменти за възстановяване на данни на Windows.
Впоследствие вие решавате дали да използвате ново криптиране или съвместим режим. Можете да изберете Нов режим на криптиране, тъй като това е диск на операционната система. Съвместимият режим би бил по-подходящ за преносими устройства.
И накрая, препоръчително е да стартирате системна проверка на BitLocker в следващия прозорец, за да видите дали всичко работи перфектно.
BitLocker на фиксирани устройства с данни
Шифроването на тези дялове и устройства е по-лесно. Това ще ви помоли да зададете парола предварително.
След като преодолеете това, процесът е подобен на криптиране на дискове на операционната система, като се забраняват системните проверки на BitLocker.
Докато BitLocker е удобен, той не е достъпен за хора, използващи варианти на Windows Home. Втората най-добра безплатна опция е Windows Device Encryption, ако вашето устройство го поддържа.
Това е различно от BitLocker по това, че налага изисквания за TPM. Освен това няма средства за удостоверяване преди зареждане.
Можете да проверите наличността със системна информация. Отворете Windows Run, въведете msinfo32 и натиснете enter. Превъртете надолу до дъното и проверете дали предпоставките за Meet са споменати срещу поддръжката за шифроване на устройства.
Ако не е, най-вероятно вашето устройство няма да поддържа Device Encryption. Въпреки това можете да се свържете с поддръжката на производителя, за да видите възможно решение.
Като алтернатива има няколко инструмента за пълно дисково криптиране, безплатни и платени, които можете да използвате.
VeraCrypt
VeraCrypt е безплатен софтуер за криптиране с отворен код за Windows, Mac и Linux. Подобно на BitLocker, можете да шифровате системни устройства, фиксирани устройства с данни и преносими устройства.
Това е по-гъвкаво и дава много опции за алгоритми за криптиране. Освен това може да криптира и в движение. Така че, създайте криптиран контейнер и прехвърлете вашите файлове, за да ги шифровате.
Освен това VeraCrypt може да създава криптирани скрити томове и поддържа удостоверяване преди зареждане като BitLocker.
Потребителският интерфейс обаче може да е огромен, но нищо, което урокът в YouTube не може да реши.
BestCrypt
Можете да наречете BestCrypt удобна за потребителя и платена версия на Veracrypt.
Това ви дава достъп до различни алгоритми и множество опции за постигане на пълно криптиране на диска. Поддържа създаване на криптиращи контейнери и системни устройства.
Освен това можете да разположите одобрено с парола зареждане.
BestCrypt е мултиплатформен инструмент за криптиране и се предлага с 21-дневен безплатен пробен период.
Търговски алтернативи на BitLocker
Те се състоят от готови за предприятия решения, базирани на обемно лицензиране.
ESET
Пълното дисково криптиране на ESET е отлично за дистанционно управление. Дава ви гъвкавост с локални решения и решения за криптиране в облак.
Това включва защита на твърди дискове, преносими устройства, имейли и т.н. със стандартното за индустрията 256-битово AES криптиране.
В допълнение, това ви позволява да шифровате отделни файлове с помощта на File Level Encryption (FLE).
Можете да проверите това с интерактивната демонстрация или 30-дневен безплатен пробен период за пълноценна практическа работа.
Symantec
Symantec, от Broadcom, е друг водещ играч в предоставянето на съоръжения за криптиране от корпоративен клас. Това пълно криптиране на диска поддържа TPM, осигурявайки състояние без манипулации на институционалните устройства.
Освен това получавате проверки преди зареждане, имейл и криптиране на сменяем диск.
Symantec ви помага да зададете единично влизане и може също така да защити базирани на облак приложения. Това поддържа смарт карти и има различни методи за възстановяване, ако потребителят забрави паролата.
Освен това Symantec идва с криптиране на ниво файл, чувствителен файлов монитор и различни други функции, което го прави неустоимо решение за криптиране от край до край.
ZENworks
ZENworks от Microfocus е най-лесният начин за работа с AES-256 криптиране във всяка организация.
Това поддържа незадължително удостоверяване преди зареждане с потребителско име и парола или смарт карта с ПИН. ZENworks разполага с централизирано управление на ключове, за да помогне на потребителите, блокирани при влизане при зареждане.
Можете да създавате правила за криптиране за устройства и да ги прилагате през стандартна HTTP уеб връзка.
И накрая, можете да се възползвате от безплатния му пробен период без кредитна карта, за да го видите от първа ръка.
FDE срещу FLE
Понякога не си струва да шифровате цял диск. В такива случаи е разумно да защитите конкретен файл, създавайки шифроване на ниво файл или базирано на файл шифроване (FBE).
FLE е по-често срещан и често го използваме, без да признаваме присъствието му.
Например разговорите в WhatsApp са криптирани от край до край. По същия начин имейлите, изпратени чрез Proton mail, също са автоматично криптирани и само получателят има достъп до съдържанието.
По подобен начин човек може да защити файл с FLE с инструменти като AxCrypt или FolderLock.
Явно предимство на FBE пред FDE е, че всички файлове могат да имат различни ключове за криптиране. Следователно, ако един бъде компрометиран, останалите ще останат в безопасност.
Това обаче води до допълнителни проблеми при управлението на такива ключове.
Заключение
Пълното дисково криптиране е от решаващо значение, когато загубите устройство, съдържащо чувствителна информация.
Въпреки че всеки потребител разполага с някои важни данни на борда, фирмите са тези, които се нуждаят от дисково криптиране повече от всеки друг.
Лично BitLocker е най-добрият инструмент за криптиране за потребителите на Windows. VeraCrypt е друга опция за някой, който може да издържи остарял интерфейс.
И организациите не трябва да разчитат на нечия присъда, а да предприемат изпитания, за да изберат най-доброто за своя случай на употреба. Единственото нещо, което собственикът на бизнес трябва да избягва, е заключването на доставчика.
PS: Вижте нашия софтуер за криптиране срещу удостоверяване, за да освежите основите.