保护您的数据:全面磁盘加密的重要性
如果您的设备不幸被盗,全盘加密是保护数据免遭未授权访问的强大屏障。让我们深入了解 Windows 系统自带的 BitLocker 加密功能及其它替代方案。
西弗吉尼亚州的 Coplin Health Systems 公司因丢失了一台包含 43,000 名患者数据的笔记本电脑而面临巨大麻烦,您知道这有多可怕吗?
还有,日本承包商丢失了包含 460,000 名居民个人信息的 USB 驱动器,这又会造成多大的损失?
问题的核心在于,这些数据都没有进行加密。
这导致不法分子可以轻易地在暗网上访问和出售这些个人信息,造成不可估量的损失。
这些惨痛的教训警醒我们,数据加密的重要性不容忽视。其实,加密数据并不困难,我们完全可以避免类似的悲剧。
本文将详细探讨磁盘加密、BitLocker 的使用方法以及一些值得考虑的替代方案。
何谓全盘加密?
全盘加密 (FDE) 的核心理念是将整个硬盘驱动器锁定,只有通过授权才能访问。这可以有效地防止丢失或被盗设备上的数据泄露。如果将 FDE 应用于系统驱动器,还能在设备启动时提供额外的安全检查。
BitLocker:Windows 自带的加密利器
Windows 专业版、企业版和教育版都预装了 BitLocker 设备加密功能。
使用 BitLocker,您可以使用密码保护您的驱动器。一旦解锁,驱动器将像往常一样运行。同时,BitLocker 还提供恢复密钥,用于重置密码。如果没有恢复密钥,驱动器上的内容将无法被读取。
更重要的是,BitLocker 具有跨平台兼容性。 例如,在 Windows 上加密的驱动器在 Linux 系统下也依然是安全的。
需要注意的是,一旦系统解锁,BitLocker 就无法提供保护。它对于那些可能在您不知情的情况下安装的间谍软件无能为力,因此不能替代防病毒或反间谍软件工具。
要开始使用 BitLocker,请在任务栏搜索栏中键入 “BitLocker”,然后打开 “管理 BitLocker”。
接下来选择需要加密的磁盘,然后单击 “启用 BitLocker”。
对于操作系统驱动器和非系统分区(包括移动硬盘)的后续步骤有所不同。
BitLocker 对系统驱动器的加密
默认情况下,系统会使用可信平台模块 (TPM) 安全芯片(1.2 或更高版本)进行身份验证。 一旦 TPM 返回密钥,机器就会启动。
可信平台模块 (TPM) 是一种集成在现代电脑中的芯片。 它是一个独立的硬件组件,用于确保设备的整体安全性。如果您的系统即便拥有 TPM 却无法检测到它,可能需要手动激活。
在这种情况下,将没有预启动身份验证,任何拥有您电脑的人都可以通过强制输入 Windows 登录密码来打开它。
为了获得最高的安全性,可以从本地组策略编辑器启用预启动 PIN。 之后,TPM 芯片会在机器启动前要求输入恢复密钥和密码。
这里的关键区别在于,这些芯片带有针对暴力破解的保护机制。 因此,攻击者在被限制之前只有少数几次尝试机会。
请务必在开始加密之前进行配置。
这个过程其实很简单。 首先,按 ⊞+R 打开 Windows 运行窗口,输入 gpedit.msc,然后按 Enter 键。
然后,依次导航到 “计算机配置” > “管理模板” > “Windows 组件” > “BitLocker 驱动器加密” > “操作系统驱动器”:
现在,BitLocker 加密将需要一个 PIN 码或一个预设的 USB 驱动器作为启动前的物理身份验证。
接下来,您可以选择加密整个驱动器或仅加密已使用的磁盘空间。
对于较旧的计算机,加密所有内容通常是更好的选择,因为您可能拥有可以使用 Windows 数据恢复工具从空扇区中检索的数据。
随后,您需要决定是使用新的加密模式还是兼容模式。 对于操作系统驱动器,建议选择新的加密模式。 兼容模式更适合移动硬盘。
最后,建议在下一个窗口中运行 BitLocker 系统检查,以确保一切正常。
BitLocker 对固定数据驱动器的加密
加密这些分区和驱动器更为简单。 这只需要您预先设置一个密码。
完成以上步骤后,加密过程类似于加密操作系统驱动器,只是不需要进行 BitLocker 系统检查。
虽然 BitLocker 非常方便,但 Windows 家庭版用户无法使用它。 第二个最佳的免费选择是 Windows 设备加密,前提是您的设备支持此功能。
与 BitLocker 的主要区别在于它强制要求 TPM。 此外,它没有预启动身份验证方法。
您可以使用系统信息来检查是否可用。 打开 Windows 运行窗口,键入 msinfo32,然后按 Enter 键。 向下滚动到底部,查看是否针对设备加密支持部分提到了 “满足先决条件”。
如果不是,则表示您的设备很可能不支持设备加密。 您可以联系设备制造商的技术支持,寻求可能的解决方案。
或者,您也可以使用其他免费或付费的全盘加密工具。
VeraCrypt:免费开源的加密解决方案
VeraCrypt 是一款适用于 Windows、Mac 和 Linux 的免费开源加密软件。 与 BitLocker 类似,您可以使用 VeraCrypt 加密系统驱动器、固定数据驱动器和移动硬盘。
VeraCrypt 更加灵活,并为加密算法提供了多种选择。 此外,它还支持即时加密。 您可以创建一个加密容器,然后将文件传输到该容器中进行加密。
此外,VeraCrypt 可以创建加密的隐藏卷,并支持像 BitLocker 一样的预启动身份验证。
虽然 VeraCrypt 的用户界面可能有些复杂,但网上有大量的 YouTube 教程可以帮助您轻松上手。
BestCrypt:用户友好的付费选择
BestCrypt 可以看作是 VeraCrypt 的用户友好型付费版本。
它提供了各种加密算法和多种全盘加密选项,支持创建加密容器和系统驱动器。
此外,BestCrypt 还支持密码授权的启动。
BestCrypt 是一款多平台加密工具,提供 21 天的免费试用期。
企业级 BitLocker 替代方案
以下是一些基于批量许可的企业就绪解决方案。
ESET:灵活的远程管理加密
ESET 全盘加密非常适合远程管理。 它提供了本地和云加密解决方案,具有高度的灵活性。
此功能使用行业标准的 256 位 AES 加密保护硬盘驱动器、移动硬盘、电子邮件等。
此外,您还可以使用文件级加密 (FLE) 对单个文件进行加密。
您可以通过观看交互式演示或使用 30 天的免费试用来全面了解 ESET 的功能。
赛门铁克:企业级加密解决方案的领导者
赛门铁克是 Broadcom 旗下的另一家领先企业,提供企业级加密服务。 它的全盘加密功能支持 TPM,确保机构设备的防篡改状态。
此外,您还可以获得预启动检查、电子邮件和移动磁盘加密。
赛门铁克可以帮助您设置单点登录,并保护基于云的应用程序。 它支持智能卡,并在用户忘记密码时提供多种恢复方法。
此外,赛门铁克还提供文件级加密、敏感文件监控器等多种功能,使其成为一个全面的端到端加密解决方案。
ZENworks:简化的集中式加密管理
Microfocus 的 ZENworks 是在任何组织中处理 AES-256 加密的最简单方法。
它支持使用用户名和密码或带有 PIN 的智能卡进行可选的预启动身份验证。 ZENworks 具有集中式密钥管理功能,可帮助用户在启动登录时出现问题。
您可以为设备制定加密策略,并通过标准的 HTTP Web 连接强制执行这些策略。
最后,您可以利用其免费的、无需信用卡试用的版本来亲身体验 ZENworks 的功能。
全盘加密 (FDE) 与文件级加密 (FLE)
有时,加密整个磁盘可能不是必要的。 在这种情况下,保护特定文件可能更为明智,可以使用文件级加密 (FLE) 或基于文件的加密 (FBE)。
FLE 更为常见,我们在日常生活中经常使用它,但可能没有意识到它的存在。
例如,WhatsApp 对话是端到端加密的。 同样,通过 Proton Mail 发送的电子邮件也会自动加密,只有收件人才能访问其内容。
类似地,您可以使用 AxCrypt 或 FolderLock 等工具使用 FLE 保护文件。
FBE 优于 FDE 的一个明显优势是,所有文件都可以有不同的加密密钥。 因此,即使一个文件被泄露,其他文件仍然是安全的。
然而,这也带来了管理这些密钥的额外复杂性。
总结
当您丢失包含敏感信息的设备时,全盘加密至关重要。
虽然每个用户都有一些重要的数据需要保护,但企业比其他任何人都更需要磁盘加密。
就个人用户而言,BitLocker 是 Windows 用户最好的加密工具。 对于那些可以接受过时界面的人来说,VeraCrypt 是另一个不错的选择。
组织不应依赖个人判断,而应通过试验来为他们的特定需求选择最佳方案。 企业主唯一应该避免的是供应商锁定。
PS:欢迎查看我们的加密与身份验证软件,以复习基础知识。