Повне шифрування диска чудово підходить для запобігання доступу в разі викрадення пристрою. Давайте перевіримо рідний BitLocker Windows і його альтернативи.
Знаєте, що страшного у викраденому ноутбуці Coplin Health Systems із Західної Вірджинії, який містить дані 43 000 пацієнтів?
Або що поганого в тому, що підрядник у Японії втратив USB-накопичувач із особистою інформацією 460 000 жителів?
Дані не були зашифровані.
Таким чином, поганий гравець може легко отримати доступ до особистих даних і продати їх у темній мережі.
Вони засвоїли урок важким шляхом. Але це не повинно бути так, знаючи, як легко зашифрувати дані.
У наступних розділах обговорюється шифрування диска, як це зробити за допомогою BitLocker і кілька альтернатив BitLocker.
Повне шифрування диска
Повне шифрування диска (FDE) означає блокування дисків у вашій системі. Він запобігає доступу до даних на скомпрометованих пристроях і може дозволити перевірку під час завантаження для додаткового захисту, якщо його застосувати на системних дисках.
BitLocker
Професійна, корпоративна та освітня версії Windows попередньо завантажені з шифруванням пристрою BitLocker.
Використовуючи BitLocker, можна захистити паролем диски, які нормально функціонують, коли ви входите всередину. Також є ключ відновлення для скидання пароля, без якого вміст диска буде нерозбірливим.
Крім того, це працює між платформами. Наприклад, диск, зашифрований у Windows, залишатиметься безпечним у Linux.
Примітно, що це не захистить вас після розблокування системи. Ці механізми шифрування будуть безрезультатними, скажімо, для шпигунського програмного забезпечення, яке викрадає вашу особисту інформацію, яке ви могли несвідомо встановити. Отже, вони не є заміною антивірусним або антишпигунським програмам.
Щоб почати, введіть BitLocker у пошук на панелі завдань і відкрийте «Керування BitLocker».
Тепер виберіть відповідний диск і натисніть «Увімкнути BitLocker».
Подальший процес відрізняється для диска з операційною системою та несистемних розділів, включаючи портативні диски.
BitLocker на системних дисках
За умовчанням для автентифікації використовується мікросхема безпеки TPM (версія 1.2 або новіша). І машина завантажується, коли TPM повертає ключ.
Модуль Trusted Platform Module (TPM) — це чіп, який постачають сучасні ПК. Це окремий чіп, який забезпечує загальну цілісність пристрою. Але вам може знадобитися активувати це, якщо ваша система не виявляє TPM навіть після його наявності.
У таких випадках автентифікація перед завантаженням відсутня, і будь-хто, хто має ваш комп’ютер, може ввімкнути його за допомогою підбору пароля для входу в Windows.
Однак можна ввімкнути PIN-код перед завантаженням у редакторі локальної групової політики, щоб отримати максимальний захист. Після цього чіп TPM запитає ключ відновлення та PIN-код, перш ніж дозволити машині завантажитися.
Відмінною рисою є те, що ці чіпи мають захист від грубої сили. Таким чином, нападник матиме лише кілька спроб, перш ніж здатися.
Тільки не забудьте налаштувати це перед початком шифрування.
Процес досить простий. Спочатку відкрийте Windows Run, натиснувши ⊞+R, введіть gpedit.msc і натисніть enter.
Потім перейдіть до Конфігурація комп’ютера > Адміністративні шаблони > Компоненти Windows > Шифрування пристрою BitLocker > Диски операційної системи:
Тепер для шифрування BitLocker знадобиться PIN-код або попередньо встановлений USB-накопичувач як фізична автентифікація перед завантаженням.
Далі ви переходите до шифрування всього диска або лише використаного дискового простору.
Шифрування всього є кращою ідеєю для старих комп’ютерів, оскільки у вас можуть бути дані, які можна отримати з порожніх секторів за допомогою засобів відновлення даних Windows.
Згодом ви вибираєте між використанням нового шифрування чи сумісного режиму. Ви можете вибрати новий режим шифрування, оскільки це диск операційної системи. Режим сумісності більше підійде для портативних дисків.
Нарешті, рекомендується запустити перевірку системи BitLocker у наступному вікні, щоб перевірити, чи все працює ідеально.
BitLocker на фіксованих дисках даних
Шифрування цих розділів і дисків є більш простим. Вам буде запропоновано встановити пароль заздалегідь.
Коли ви подолаєте це, процес буде схожий на шифрування дисків операційної системи без перевірки системи BitLocker.
Хоча BitLocker зручний, він недоступний для людей, які використовують варіанти Windows Home. Другим найкращим безкоштовним варіантом є Windows Device Encryption, якщо ваш пристрій його підтримує.
Це відрізняється від BitLocker тим, що він вимагає обов’язкових вимог TPM. Крім того, немає засобів аутентифікації перед завантаженням.
Ви можете перевірити доступність у системній інформації. Відкрийте Windows Run, введіть msinfo32 і натисніть enter. Прокрутіть униз і перевірте, чи згадуються передумови Meet для підтримки шифрування пристрою.
Якщо ні, швидше за все, ваш пристрій не підтримуватиме шифрування пристрою. Однак ви можете звернутися до служби підтримки виробника, щоб дізнатися про можливе вирішення проблеми.
Крім того, є кілька безкоштовних і платних інструментів повного шифрування диска, якими ви можете скористатися.
VeraCrypt
VeraCrypt — це безкоштовне програмне забезпечення для шифрування з відкритим кодом для Windows, Mac і Linux. Подібно до BitLocker, ви можете шифрувати системні диски, диски з фіксованими даними та портативні диски.
Це більш гнучкий і надає багато варіантів для алгоритмів шифрування. Крім того, він також може шифрувати на льоту. Отже, створіть зашифрований контейнер і передайте свої файли, щоб зашифрувати їх.
Крім того, VeraCrypt може створювати зашифровані приховані томи та підтримує автентифікацію перед завантаженням, як BitLocker.
Однак користувальницький інтерфейс може бути приголомшливим, але нічого такого, що не можна було б розібрати в підручнику YouTube.
BestCrypt
Ви можете назвати BestCrypt зручною та платною версією Veracrypt.
Це дає вам доступ до різноманітних алгоритмів і безлічі опцій для досягнення повного шифрування диска. Він підтримує створення шифрувальних контейнерів і системних дисків.
Крім того, ви можете розгорнути завантаження з паролем.
BestCrypt — це багатоплатформний інструмент шифрування, який має 21-денну безкоштовну пробну версію.
Комерційні альтернативи BitLocker
Вони складаються з корпоративних рішень на основі корпоративного ліцензування.
ESET
Повне дискове шифрування ESET чудово підходить для віддаленого керування. Це забезпечує гнучкість завдяки локальним і хмарним рішенням для шифрування.
Це забезпечує захист жорстких дисків, портативних накопичувачів, електронної пошти тощо за допомогою галузевого стандарту 256-бітного шифрування AES.
Крім того, це дозволяє шифрувати окремі файли за допомогою шифрування на рівні файлу (FLE).
Ви можете перевірити це за допомогою інтерактивної демонстрації або 30-денної безкоштовної пробної версії для повноцінного практичного вивчення.
Symantec
Symantec від Broadcom є ще одним провідним гравцем у наданні засобів шифрування корпоративного рівня. Це повне шифрування диска підтримує TPM, забезпечуючи стан установчих пристроїв без втручання.
Крім того, ви отримуєте перевірки перед завантаженням, електронну пошту та шифрування знімного диска.
Symantec допомагає налаштувати єдиний вхід, а також може захистити хмарні програми. Він підтримує смарт-карти та має різні методи відновлення, якщо користувач забув пароль.
Крім того, Symantec оснащено шифруванням на рівні файлів, чутливим файловим монітором і різними іншими функціями, що робить його непереборним рішенням для наскрізного шифрування.
ZENworks
ZENworks від Microfocus — це найпростіший спосіб обробки шифрування AES-256 у будь-якій організації.
Це підтримує додаткову автентифікацію перед завантаженням за допомогою імені користувача та пароля або смарт-картки з PIN-кодом. ZENworks має централізоване керування ключами, щоб допомогти користувачам, які застрягли на початковому вході.
Ви можете створювати політики шифрування для пристроїв і застосовувати їх через стандартне веб-з’єднання HTTP.
Нарешті, ви можете скористатися його безкоштовною пробною версією без використання кредитної картки, щоб побачити це на власні очі.
FDE проти FLE
Іноді не варто шифрувати весь диск. У таких випадках доцільно захистити певний файл за допомогою шифрування на рівні файлу або шифрування на основі файлу (FBE).
FLE є більш поширеним, і ми часто використовуємо його, не визнаючи його наявності.
Наприклад, розмови WhatsApp мають наскрізне шифрування. Подібним чином електронні листи, надіслані через пошту Proton, також автоматично шифруються, і лише одержувач може отримати доступ до вмісту.
Подібним чином можна захистити файл за допомогою FLE за допомогою таких інструментів, як AxCrypt або FolderLock.
Явною перевагою FBE над FDE є те, що всі файли можуть мати різні ключі шифрування. Отже, якщо один буде скомпрометований, інші залишаться в безпеці.
Однак це створює додаткові проблеми з керуванням такими ключами.
Висновок
Повне шифрування диска має вирішальне значення, коли ви втрачаєте пристрій, що містить конфіденційну інформацію.
Незважаючи на те, що кожен користувач має на борту деякі важливі дані, шифрування диска потрібне компаніям більше, ніж будь-кому іншому.
Особисто BitLocker є найкращим інструментом шифрування для користувачів Windows. VeraCrypt — ще один варіант для тих, хто може витримати застарілий інтерфейс.
І організації не повинні покладатися на чийсь вердикт, а проводити випробування, щоб вибрати найкраще для свого випадку використання. Єдине, чого власник бізнесу повинен уникати, це блокування постачальників.
PS: перевірте наше програмне забезпечення для шифрування та автентифікації, щоб освіжити основи.