Fuld diskkryptering er fremragende til at forhindre adgang, hvis enheden bliver stjålet. Lad os tjekke Windows native BitLocker og dets alternativer.
Ved du, hvad der er skræmmende ved den stjålne bærbare computer fra West Virginia-baserede Coplin Health Systems, der indeholder data om 43.000 patienter?
Eller hvad er der dårligt i, at en entreprenør i Japan mister et USB-drev med 460.000 indbyggeres personlige oplysninger?
Dataene var ikke krypteret.
Så en dårlig skuespiller kunne nemt få adgang til og sælge personlige data på det mørke web.
De lærte lektien på den hårde måde. Men det burde ikke være tilfældet, når man ved, hvor nemt det er at kryptere dataene.
De følgende afsnit diskuterer diskkryptering, hvordan man gør det med BitLocker og et par BitLocker-alternativer.
Indholdsfortegnelse
Fuld diskkryptering
Fuld Disk Encryption (FDE) henviser til at låse drevene til dit system. Det forhindrer adgang til dataene på kompromitterede enheder og kan tillade et boot-time-tjek for yderligere sikkerhed, hvis det anvendes på systemdrev.
BitLocker
Windows Professional-, Enterprise- og Education-versioner leveres forudindlæst med BitLocker-enhedskryptering.
Ved hjælp af BitLocker kan man password-beskytte drevene, som fungerer normalt, når du først er inde. Der er også en gendannelsesnøgle til at nulstille adgangskoden, uden hvilken diskens indhold vil være ulæselig.
Desuden fungerer dette på tværs af platforme. For eksempel vil et drev, der er krypteret på Windows, forblive sikkert på Linux.
Dette vil især ikke beskytte dig, når først systemet er låst op. Disse krypteringsmekanismer vil være frugtesløse for f.eks. spyware, der stjæler dine personlige oplysninger, som du måske ubevidst har installeret. Ergo er de ikke en erstatning for antivirus- eller antispywareværktøjer.
For at komme i gang skal du skrive BitLocker i proceslinjens søgning og åbne Administrer BitLocker.
Vælg nu emnedisken og klik på Slå BitLocker til.
Den efterfølgende proces er forskellig for operativsystemets drev og ikke-systempartitioner, inklusive bærbare diske.
BitLocker på systemdrev
Dette bruger som standard TPM-sikkerhedschippen (version 1.2 eller nyere) til godkendelse. Og maskinen starter op, når TPM’en returnerer nøglen.
Et Trusted Platform Module (TPM) er en chip, som moderne pc’er leveres med. Dette er en separat chip, der sikrer enhedens overordnede integritet. Men du skal muligvis aktivere dette, hvis dit system ikke registrerer TPM, selv efter at have en.
I sådanne tilfælde er der ingen pre-boot-godkendelse, og alle, der har din pc, kan tænde den ved brute force gennem Windows-logon-adgangskoden.
Man kan dog slå pre-boot PIN-koden til fra den lokale gruppepolitikeditor for at nyde maksimal sikkerhed. Bagefter vil TPM-chippen bede om gendannelsesnøglen og stiften, før den lader maskinen starte.
Forskellen her er, at disse chips kommer med brute-force-beskyttelse. Så angriberen vil kun have en håndfuld forsøg, før han giver op.
Bare husk at konfigurere dette, før du starter kryptering.
Processen er enkel nok. Åbn først Windows Kør ved at trykke på ⊞+R, skriv gpedit.msc og tryk enter.
Naviger derefter til Computerkonfiguration > Administrative skabeloner > Windows-komponenter > BitLocker-enhedskryptering > Operativsystemdrev:
Nu skal BitLocker-krypteringen bruge en PIN-kode eller et forudindstillet USB-drev som en fysisk godkendelse før opstart.
Dernæst går du videre til at kryptere hele drevet eller kun den brugte diskplads.
Kryptering af alt er generelt den bedste idé for ældre computere, da du muligvis har data, der kan hentes fra de tomme sektorer ved hjælp af Windows-datagendannelsesværktøjer.
Efterfølgende vælger du mellem at bruge Ny kryptering eller en kompatibel tilstand. Du kan vælge den nye krypteringstilstand, da dette er et operativsystemdrev. Den kompatible tilstand ville være mere velegnet til bærbare drev.
Endelig anbefales det at køre BitLocker-systemtjek i det følgende vindue for at se, om alt fungerer perfekt.
BitLocker på faste datadrev
Kryptering af disse partitioner og drev er mere ligetil. Dette vil bede dig om at angive en adgangskode på forhånd.
Når du kommer over dette, ligner processen kryptering af operativsystemdrev, der spærrer BitLocker-systemtjek.
Selvom BitLocker er praktisk, er det ikke tilgængeligt for folk, der bruger Windows Home-varianter. Den næstbedste gratis mulighed er Windows Device Encryption, hvis din enhed understøtter det.
Dette er forskelligt fra BitLocker, idet det kræver TPM-krav. Desuden er der ingen mulighed for pre-boot-godkendelse.
Du kan tjekke tilgængeligheden med Systemoplysninger. Åbn Windows Kør, skriv msinfo32, og tryk på enter. Rul ned til bunden, og valider, om Meet-forudsætninger er nævnt mod Device Encryption Support.
Hvis det ikke er det, vil din enhed højst sandsynligt ikke understøtte enhedskryptering. Du kan dog kontakte producentens support for at finde mulig løsning.
Alternativt er der et par komplette diskkrypteringsværktøjer, gratis og betalte, som du kan bruge.
VeraCrypt
VeraCrypt er gratis open source-krypteringssoftware til Windows, Mac og Linux. I lighed med BitLocker kan du kryptere systemdrev, faste datadrev og bærbare drev.
Dette er mere fleksibelt og giver mange muligheder for krypteringsalgoritmer. Desuden kan den også kryptere i farten. Så opret en krypteret container og overfør dine filer for at kryptere dem.
Derudover kan VeraCrypt oprette krypterede skjulte volumener og understøtter pre-boot-godkendelse som BitLocker.
Brugergrænsefladen kan dog være overvældende, men intet, som en YouTube-tutorial ikke kan ordne.
Bedste krypt
Du kan kalde BestCrypt for en brugervenlig og betalt version af Veracrypt.
Dette giver dig adgang til forskellige algoritmer og et væld af muligheder for at opnå fuld diskkryptering. Det understøtter oprettelse af krypterende containere og systemdrev.
Desuden kan du implementere en adgangskode-godkendt opstart.
BestCrypt er et krypteringsværktøj på flere platforme og leveres med en 21-dages gratis prøveperiode.
Kommercielle BitLocker-alternativer
Disse består af virksomhedsklare løsninger baseret på volumenlicenser.
ESET
ESET fuld diskkryptering er fremragende til fjernstyring. Det giver dig fleksibilitet med on-premise og cloud-krypteringsløsninger.
Denne funktion beskytter harddiske, bærbare drev, e-mails osv. med industristandarden 256-bit AES-kryptering.
Derudover giver dette dig mulighed for at kryptere individuelle filer ved hjælp af File Level Encryption (FLE).
Du kan tjekke dette ud med den interaktive demo eller en 30-dages gratis prøveperiode for en fuld-blæst hands-on.
Symantec
Symantec, af Broadcom, er en anden førende aktør i at levere krypteringsfaciliteter i virksomhedskvalitet. Denne fulde diskkryptering understøtter TPM, hvilket sikrer institutionelle enheders manipulationsfri tilstand.
Desuden får du før-boot-tjek, e-mail og flytbar diskkryptering.
Symantec hjælper dig med at indstille single sign-on og kan også beskytte cloud-baserede applikationer. Dette understøtter chipkort og har forskellige gendannelsesmetoder, hvis brugeren glemmer adgangskoden.
Derudover kommer Symantec med kryptering på filniveau, en følsom filmonitor og forskellige andre funktioner, der gør det til en uimodståelig end-to-end krypteringsløsning.
ZENworks
ZENworks fra Microfocus er den enkleste måde at håndtere AES-256-kryptering på i enhver organisation.
Dette understøtter en valgfri pre-boot-godkendelse med brugernavn og adgangskode eller et smart card med en PIN-kode. ZENworks har centraliseret nøglestyring for at hjælpe brugere, der sidder fast ved opstartslogin.
Du kan lave krypteringspolitikker for enheder og håndhæve dem over en standard HTTP-webforbindelse.
Endelig kan du benytte dig af dens gratis prøveversion uden kreditkort for at se den på egen hånd.
FDE vs FLE
Nogle gange er det ikke værd at kryptere en hel disk. I sådanne tilfælde er det klogt at beskytte en specifik fil, der afføder File Level Encryption eller File Based Encryption (FBE).
FLE er mere almindeligt, og vi bruger det ofte uden at anerkende dets tilstedeværelse.
For eksempel er WhatsApp-samtaler ende-til-ende-krypteret. Tilsvarende bliver e-mails sendt via Proton-mail også automatisk krypteret, og kun modtageren kan få adgang til indholdet.
På lignende måde kan man beskytte en fil med FLE med værktøjer som AxCrypt eller FolderLock.
En klar fordel ved FBE frem for FDE er, at alle filer kan have forskellige krypteringsnøgler. Ergo, hvis én bliver kompromitteret, vil de andre forblive sikre.
Dette medfører dog det ekstra besvær med at administrere sådanne nøgler.
Konklusion
Fuld diskkryptering er afgørende, når du mister en enhed, der indeholder følsomme oplysninger.
Mens hver bruger har nogle vigtige data ombord, er det virksomhederne, der har brug for diskkryptering mere end nogen anden.
Personligt er BitLocker det bedste krypteringsværktøj til Windows-brugere. VeraCrypt er en anden mulighed for en person, der kan udholde en dateret grænseflade.
Og organisationerne bør ikke stole på nogens dom, men tage forsøgene for at vælge det bedste til deres brugssag. Det eneste en virksomhedsejer bør undgå er sælgerlåse.
PS: Tjek vores kryptering vs godkendelsessoftware for at friske op på det grundlæggende.