Diskkryptering: BitLocker versus de bedste alternativer

  • BitLocker integrerer diskkryptering med TPM, UEFI og sikker opstart for at beskytte Windows-computere mod tyveri og systemmanipulation.
  • Indvirkningen på ydeevnen, især på SSD'er og Windows 11, kræver en evaluering af, om BitLocker skal aktiveres, baseret på hardwaren og computerens brug.
  • Alternativer som VeraCrypt, FileVault, LUKS eller tredjepartsværktøjer dækker hjemme-, avancerede og virksomhedsscenarier ud over Windows.
  • Korrekt håndtering af gendannelsesnøgler og centraliserede politikker er afgørende i virksomheder for at undgå datatab og masseafbrydelser.
Joaquin Romero

16 minutter

Krypter diske med BitLocker

Mængden af følsomme data, som vi indsamler på computere, bærbare computere og USB-drev Det er ikke holdt op med at vokse: arbejdsrapporter, juridiske dokumenter, økonomiske oplysninger, lægejournaler, kopier af ID-kort ... Alt dette er normalt på disketter, som alle kan læse, hvis de stjæler computeren eller får fysisk adgang til enheden. Og eksempler fra det virkelige liv findes i overflod: tyverier af bærbare computere med titusindvis af patientjournaler, USB-stik tabt med data fra halvdelen af ​​kommunen eller virksomheder, der ender med at lække data, fordi de ikke har beskyttede diske.

Den gode nyhed er, at diskkryptering nu er en grundlæggende, moden og relativt simpel sikkerhedsforanstaltning at anvende. I Windows er BitLocker den mest kendte native mulighed, men det er hverken den eneste eller altid den bedste til ethvert scenarie. Lad os se nærmere på, hvordan det fungerer, hvad det tilbyder med hensyn til sikkerhed, ydeevne og administration, og hvordan det sammenlignes med alternativer som VeraCrypt, FileVault, virksomhedsløsninger (Symantec, ESET, ZENworks, Kaspersky) og andre fil- og containerkrypteringsværktøjer.

Hvad er diskkryptering, og hvorfor er det så vigtigt?

El fuld diskkryptering (FDE) Det består i at beskytte alt indholdet af et drev (system-, data- eller eksterne diske), så dataene forbliver ulæselige uden den korrekte adgangskode, hvis nogen stjæler enheden eller forbinder den til en anden computer. Det er især nyttigt til bærbare computere, eksterne harddiske og USB-flashdrev, som er dem, der lettest mistes eller stjæles.

Når vi aktiverer et FDE-system, forbliver disken fuldt krypteret, mens enheden er slukket eller låstFørst efter vellykket godkendelse (adgangskode, PIN, token, TPM osv.) indlæses nøglerne i hukommelsen, så systemet kan læse og skrive data normalt. Men når den er låst op, vil krypteringen... Det beskytter dig ikke mod malware, spyware eller ubudne gæster, der allerede har en åben session.Til det har du også brug for antivirus, antimalware og god praksis.

Ud over FDE er der kryptering på filniveau (FLE eller FBE)Denne metode krypterer kun specifikke filer eller mapper. Denne tilgang er nyttig, når det ikke er omkostningseffektivt at kryptere en hel disk, eller når vi ønsker at Brug forskellige adgangskoder eller nøgler til forskellige sæt af følsomme filer (for eksempel juridisk dokumentation adskilt fra personlige filer). Ulempen er nøglehåndtering: det er mere fleksibelt, men også lettere at blive forvirret og miste kontrollen.

Hvordan fungerer BitLocker i Windows?

BitLocker Det er diskkrypteringsløsningen, der er inkluderet i Professional-, Enterprise- og Education-udgaverne af Windows (Windows 10/11 Pro, Enterprise, Education). Den giver dig mulighed for at kryptere operativsystemdrev, interne datadiske og flytbare drev (BitLocker To Go) primært ved hjælp af XTS-AES-algoritmen.

Krypter diske med BitLocker
relateret artikel:
BitLocker med hardwareacceleration: hvilke forbedringer tilbyder det

Når et drev er krypteret med BitLocker, forbliver indholdet fuldstændig tilsløret uden krypteringsnøglen eller gendannelsesnøglenNår systemet starter, eller disken tilsluttes, udføres den forventede godkendelsesproces; når dette punkt er overstået, fungerer systemet, "som om intet er sket": du læser, skriver og kører programmer normalt, mens kryptering og dekryptering udføres i realtid i baggrunden.

BitLocker kan muligvis gem en gendannelsesnøgle Dette fungerer som en sidste udvej, hvis adgangskoden mistes, eller hvis noget ændres på computeren (f.eks. BIOS/UEFI, TPM eller Secure Boot-ændringer), og den går i gendannelsestilstand. I hjemmemiljøer er denne nøgle normalt gem på din Microsoft-konto, mens det i organisationer opbevares i Active Directory eller tjenester som Microsoft Endpoint Manager til centraliseret styring.

BitLocker-integration med TPM, UEFI og Secure Boot

En del af BitLockers styrke kommer fra dens integration med TPM (Trusted Platform Module), UEFI og Secure BootDisse elementer arbejder sammen for at sikre, at krypteringsnøgler er beskyttet, selv mod avancerede angreb med fysisk adgang til udstyret.

  • TPMDet er en dedikeret chip, loddet fast på bundkortet, designet til sikre kryptografiske operationer og nøgleopbevaring. BitLocker "forsegler" krypteringsnøglen i TPM'en, forbundet med et sæt integritetsmålinger (PCR). Hvis nogen forsøger ændre firmwaren, boot manageren eller bestemte kritiske filerMålingerne stemmer ikke overens, og TPM'en nægter at frigive nøglen, hvilket får enheden til at gå i gendannelsestilstand.
  • UEFI + Sikker opstartDen erstatter den klassiske BIOS med et mere avanceret boot-miljø. Med Sikker boot aktiveret, vil kun følgende køre: Firmware, bootloadere og signerede og betroede komponenterBitLocker-foranstaltninger (blandt andet PCR) sikrer bootkomponenter for at detektere uautoriserede ændringer og forhindre bootkits eller rootkits i at snige sig ind i bootkæden for at stjæle nøgler.
  • Reboot-angrebsreduktion (MOR-bit)Før nøglerne indlæses i hukommelsen, udnytter BitLocker TCG-anbefalinger til at minimere risikoen for angreb, der De udnytter RAM-hukommelsesremanens. efter en pludselig genstart eller nedlukning.

Kort sagt er BitLocker designet således, at selvom nogen Åbn computeren, skift diske, manipuler UEFI, eller prøv at starte et alternativt operativsystem., kan ikke narre TPM'en til at frigive krypteringsnøglen, der er knyttet til det oprindelige betroede miljø.

BitLocker-godkendelsesmetoder og sikkerhedspolitikker

Krypter diske med BitLocker

BitLocker understøtter flere godkendelsesmetoder til at låse systemdrevet op på TPM-kompatible enheder:

  • Kun TPMDet mest bekvemme scenarie: brugeren indtaster ikke noget yderligere. Hvis TPM-valideringen og opstartsmiljøet lykkes, starter Windows, og derefter skal kun den sædvanlige Windows-adgangskode indtastes. Det er praktisk, men mindre robust mod angreb med fysisk adgangfordi der ikke er nogen anden faktor.
  • TPM + opstartsnøgle (USB)En del af nøglen er gemt på et USB-drev, der er konfigureret som "boot-nøgle". Uden dette USB-drev, Det er ikke muligt at tyde enhedenselvom angriberen har hele holdet.
  • TPM + PIN-kodeUd over TPM'en skal brugeren indtaste en pinkode under pre-boot-fasen. TPM'en har beskyttelse mod brutal magtDerfor er antallet af PIN-forsøg begrænset. Denne tilstand repræsenterer et betydeligt spring fremad inden for sikkerhed sammenlignet med fysisk adgang.
  • TPM + USB + PIN-kodeMultifaktorkombination: TPM, fysisk enhed og viden (PIN). Det er muligheden mere modstandsdygtig over for målrettede angreb, meget interessant for kritiske arbejdsstationer.

På enheder uden TPM (eller i visse konfigurationer) tillader BitLocker også Kun godkendelse med adgangskodeisær for datadrev og eksterne enheder. Alligevel, Den ideelle løsning i moderne udstyr er at bruge TPM og tilføje en ekstra faktor (PIN eller USB).

For at forbedre brugervenligheden i virksomheder med mange PIN-beskyttede enheder tilbyder Microsoft NetværkslåsI netværk konfigureret med WDS kan enheder med BitLocker og TPM+PIN låses automatisk op ved opstart i virksomhedens netværk uden at brugeren skal indtaste PIN-koden, hvilket reducerer besværet uden at ofre for meget sikkerhed.

Beskyttelse mod fysiske angreb og DMA i BitLocker

BitLocker håndterer en bred vifte af fysiske angrebsvektorer, og kombinationen af ​​dens konfiguration med Windows-politikker giver mulighed for Styrk eller lemp sikkerheden i henhold til risikoprofilen.

Blandt de trusler, der er blevet overvejet, skiller følgende sig ud: DMA-angreb (gennem porte, der giver direkte adgang til hukommelse, f.eks. Thunderbolt), hukommelsesbevarelse, The bootkits/rootkits, forsøget på at bedrage boot manageren eller udnyttelsen af personsøgende filer, hukommelsesdumps og dvaletilstand.

  • DMA-porteWindows indeholder politikker for bloker nye DMA-enheder, mens udstyret er låstDette komplicerer i høj grad angreb, der forsøger at få adgang til RAM, mens systemet er ulåst, men ikke overvåget. Det anbefales at aktivere politikken "Deaktiver nye DMA-enheder, når denne enhed er låst" i krævende miljøer.
  • Hukommelsesretention og suspensionSom standard bruger Windows tilstanden affjedring (S3)I denne tilstand bevares indholdet af hukommelsen, og brugeren behøver ikke at godkende igen med BitLocker ved genoptagelse. For systemer med høj sikkerhed er dette... Det er at foretrække at tvinge brugen af ​​dvaletilstand (S4) og deaktiver klassiske dvaletilstande ved hjælp af strømpolitikker; når disken går i dvale, låses den igen, og når den genoptages, kræves en pinkode eller startnøgle.
  • Bootkits og rootkitsDet anbefales at bruge Sikker opstart aktiveret, BIOS/UEFI-adgangskode Og, hvor det er muligt, teknologier som Intel Boot Guard eller AMD Hardware Verified Boot, som yderligere styrker bootkæden. BitLocker verificerer kryptografisk, at det operativsystem, der skal startes, er det tilsigtede; selvom en angriber ændrer BCD'en for at tilføje et andet operativsystem, Du får ikke BitLocker-nøglen fordi PCR-tests og visse registre (såsom PCR11) ikke vil stemme overens.
  • Personsøgende filer og dumps: når systemdrevet krypteres, BitLocker Den beskytter automatisk sidefilen, hukommelsesdumps og dvalefilen.Derudover forhindrer det, at sidefilen flyttes til ukrypterede enheder, hvilket reducerer eksponeringen af ​​følsomme data, der kan blive dumpet der.

Afhængigt af hvilken type angriber vi ønsker at forsvare os imod, kan vi justere indstillingerne: for eksempel ufaglært angriber med begrænset fysisk adgangTilstanden "Kun TPM" er normalt tilstrækkelig; for en En angriber med tid, ressourcer og evnen til at svejse eller bruge retsmedicinske værktøjerEn profil med TPM+PIN, uden slumretilstand, kun dvaletilstand eller nedlukning, når udstyret ikke er under kontrol, er meget mere passende.

Tilgængelighed, Windows-versioner og enhedskryptering

Ikke alle Windows-brugere har fuld adgang til BitLocker. Den fulde funktionalitet kan findes i [link til BitLocker-dokumentationen]. Windows 10/11 Pro, Enterprise og Education...til kryptering af systemdrevet, interne datadrev og flytbare enheder. Dog, Windows Home inkluderer ikke den fulde BitLocker.

Mange moderne bærbare computere med Windows 10/11 Home har en funktion kaldet "Enhedskryptering"Denne funktion, hvis hardwaren tillader det (TPM, UEFI, Secure Boot osv.), Enheden krypteres automatisk under den første opsætningDette involverer typisk at knytte nøglerne til en Microsoft-konto. Det tilbyder ikke de samme avancerede muligheder som BitLocker (f.eks. godkendelse før opstart), men giver et grundlæggende sikkerhedslag i tilfælde af tyveri.

For at finde ud af, om din enhed understøtter enhedskryptering, kan du køre msinfo32 og tjek afsnittet "Understøttelse af enhedskryptering" for at se, om alle kravene er angivet som "Opfylder". Hvis ikke, skal du sandsynligvis bruge en Pro-udgave eller højere og konfigurer BitLocker manuelt, eller ty til tredjepartsløsninger.

BitLocker og ydeevne: indvirkning på SSD'er og Windows 11

Kryptering er ikke gratis: det kræver konstante kryptografiske operationer at læse og skrive data, og det bruger uundgåeligt ressourcer. På moderne computere med CPU'er, der understøtter AES-hardwareaccelerationPåvirkningen er normalt moderat, men uafhængige tests tyder på, at der kan være mærkbare ydeevnetab, især på hurtige SSD'er.

Test indsamlet af specialiserede medier viser, at nogle SSD'er ser, når BitLocker er aktiveret reduktioner på op til 40-50% i sekventielle læse-/skrivehastighederDette er mest synligt i avancerede NVMe-drevhvor flaskehalsen flytter sig fra drevet til processoren, der krypterer/dekrypterer dataene. I traditionelle harddiske er effekten til stede, men selve drevet er allerede meget langsommere, så det relative tab er mindre mærkbart.

I forbindelse med Windows 11, og især med 24H2-grenen, har der været en del støj om Ydeevnen falder på SSD'er krypteret med BitLockerMicrosoft har introduceret opdateringer for at optimere denne adfærdMange brugere rapporterer dog fortsat om tydelige sanktioner. De, der prioriterer maksimal ydeevne for spil, videoredigering eller meget intensive I/O-belastninger Du kan overveje at deaktivere kryptering eller kun bruge den på specifikke datadiske, og altid vurdere risikoen for dataeksponering.

BitLocker, der aktiveres "af sig selv", og problemer med gendannelsesnøgler

Et mere almindeligt scenarie end det ser ud til, er brugere, der efter Skift opstartskonfigurationen i BIOS/UEFI (f.eks. fra Legacy til UEFI) eller geninstallerer Windows, opdager de, at en ekstern disk er dukket op som "krypteret med BitLocker" uden at de husker at have aktiveret detI nogle tilfælde skyldes dette, at enheden havde kryptering aktiveret, eller at en politik blev aktiveret under en opdatering.

Det store problem opstår, når Ingen gendannelsesnøgle tilgængeligHverken i Microsoft-kontoen, på trykte kopier eller i Active Directory. BitLocker er designet præcist således, at krypteringen uden den nøgle praktisk talt er ubrydelig. Der er ingen Ingen magisk kommando, nøglegeneratorscript eller hemmeligt Microsoft-værktøj der tillader datagendannelse uden den korrekte nøgle.

Med andre ord: hvis en disk ser ud til at være krypteret med BitLocker, og den ikke findes gyldig gendannelsesnøgle, adgangskode eller kendt oplåsningsmetodeInformationen går tabt. Enhver tjeneste eller et program, der lover at bryde kryptering med brute force inden for en rimelig tid, er en dårlig idé. Det er ikke troværdigt.Medmindre den oprindelige adgangskode var absurd svag. Derfor er det afgørende, så snart BitLocker er aktiveret, gem gendannelsesnøgle på flere sikre steder (Microsoft-konto, gemt fysisk udskrift, virksomhedens adgangskodeadministrator osv.).

BitLocker-alternativer til hjemmebrugere og avancerede brugere

Selvom BitLocker er praktisk og integreret i Windows, er det ikke den eneste måde at beskytte dine data på. Der findes andre løsninger. gratis og betalt, open source og proprietær, som dækker alt fra kryptering af hele diske til kryptering af individuelle filer eller virtuelle containere.

VeraCrypt: det åbne og ultrafleksible alternativ

VeraCrypt Det er en af ​​de spirituelle efterfølgere til TrueCrypt, og for mange den bedste åbne alternativ til BitLockerDen er tilgængelig på Windows, macOS og Linux og tillader:

  • Krypter systemdrev, datadiske og flytbare drev, svarende til BitLocker.
  • Opret krypterede volumener og containere som er monteret som virtuelle drev, hvor kun det, der er gemt indeni, er beskyttet.
  • konfigurering skjulte volumener og skjulte operativsystemer, der tilbyder sandsynlighed for afvisning, hvis nogen fremtvinger udlevering af en adgangskode.
  • Vælg mellem flere krypterings- og hashingalgoritmer, med meget justerbare parametre.

Dens største fordel er, at den er Det er open source og har bestået adskillige sikkerhedsrevisioner.Dette er betryggende for brugere, der er paranoide eller mistroiske over for Microsofts lukkede kildekode. Ulempen er, at dens brugerflade kan være... ikke særlig venlig I starten er det ikke så nemt at integrere med virksomhedsadministrationsværktøjer som BitLocker. Alligevel er det en meget effektiv mulighed til personlig brug eller små tekniske teams.

Krypter filer og mapper med VeraCrypt
relateret artikel:
Sådan krypterer du filer og mapper med VeraCrypt trin for trin

Enkle filkrypterings- og krypteringsværktøjer

Hvis du ikke har brug for FDE, men beskytte et par specifikke filer eller mapperDer findes lettere og mere ligetil programmer end BitLocker eller VeraCrypt, såsom Moderne alternativer til WinRAR og 7-Zip:

  • AES Crypt: integrerer en mulighed i kontekstmenuen til at kryptere/dekryptere en fil med en AES-256 kryptering blot ved at indtaste en adgangskode. Den er tilgængelig til Windows og Linux og er ekstremt nem at bruge. brugere, der ønsker noget, der skal "højreklikkes og køres".
  • Adgangskodebeskyttede komprimeringsprogrammer (WinRAR, 7-Zip, WinZip, PeaZip…)De giver dig mulighed for at oprette adgangskodebeskyttede komprimerede filer. Det, de rent faktisk gør, er krypter indholdet af den komprimerede filDet er ikke den mest robuste løsning, og heller ikke den bedste til store datamængder, men den er meget nyttig til send krypterede filer via e-mail eller upload dem til skyen uden for mange komplikationer.
  • CryptomatorDesignet til dem, der bruger skyen i vid udstrækning (OneDrive, Dropbox, Google Drive osv.). Den opretter en mappe, der er knyttet til tjenesten, hvor alle filer gemmes. De krypterer lokalt ved hjælp af AES-256 før upload. I skyen er kun forvirrede navne og indhold synlige, og de dekrypteres i Cryptomator-klienten med din adgangskode.
  • Fillås PEA, Nem fillås, AxCrypt, Mappebeskyttelse, MyLockboxHver med sin egen tilgang (stærk kryptering, filskjuling, cloudintegration, adgangskontrol til mapper eller applikationer...), tilbyder de yderligere muligheder, når du ønsker det mere detaljeret kontrol end med simpel diskkryptering.

I segmentet af brugere, der er meget bekymrede over sikkerhed eller har avanceret viden, GnuPG (GPG) Den skiller sig ud som en universel kryptografisk motor. Selvom den som standard administreres fra kommandolinjen, tilbyder den meget alsidig kryptering og signering af data og kommunikationOg med frontends som GPG4Win kan den bruges på Windows med en mere brugervenlig grænseflade.

Indbygget kryptering på macOS, Linux og andre platforme

Det handler ikke kun om Windows. Andre systemer har også indbyggede og ret modne diskkrypteringsmuligheder, der konkurrerer direkte med BitLocker:

  • FileVault 2 (macOS)Den er inkluderet siden OS X 10.7 og krypterer Mac-opstartsvolumen ved hjælp af XTS-AES-128 med 256-bit nøgleDet kræver loginoplysninger fra en autoriseret konto eller gendannelsesnøglesom kan gemmes i iCloud for nemmere gendannelse. Derudover kan Time Machine-sikkerhedskopier arve eller supplere denne kryptering.
  • LUKS (Linux)de facto standard i Linux-verdenen for fuld disk kryptering (ofte kombineret med dm-crypt). Det giver dig mulighed for at kryptere partitioner, hele diske eller logiske volumener og integrerer godt med boot managers som GRUB.
  • EncFS + SIKRINGDen opretter krypterede filsystemer i brugerområdet, som kan monteres på Linux, BSD, macOS, Windows og endda Android via FUSE. Den er praktisk til at oprette bærbare krypterede mapper med aktiv fællesskabsstøtte på GitHub.

Der findes også hybridløsninger som f.eks. LibreCrypt til Windows (med delvis understøttelse på Linux), som tilbyder transparent diskkryptering og brugervenlig containeroprettelse, og understøtter smartkort og tokens til autentificering.

Virksomhedsløsninger: ud over BitLocker

I mellemstore og store virksomhedsmiljøer, hvor det er nødvendigt centraliseret styring af krypteringspolitikker, nøgler og tilstandeKommercielle værktøjer, der udvider eller erstatter BitLocker, bruges ofte.

  • ESET Fuld Diskkryptering (del af ESET Protect Elite)tillader kryptering harddiske, bærbare drev og e-mails med AES-256 og integrerer med administrationskonsoller for at administrere nøgler, tilstande og politikker, både i lokale og cloud-implementeringer.
  • Symantec-kryptering (Broadcom)tilbyder fuld diskkryptering med TPM-integration, godkendelse før opstart, kryptering af flytbare medier og e-mailDen har flere gendannelsesmetoder, understøttelse af smartkort, SSO og kryptering på filniveau for end-to-end-beskyttelse.
  • ZENworks Fuld Diskkryptering (Micro Focus / OpenText)Designet til organisationer, der ønsker administrere AES-256 centraltDet tillader godkendelse før opstart med brugernavn/adgangskode eller smartkort, fjernpolitikker og en konsol til administrere nøgler og oplåsninger uden behov for lokal indgriben.
  • Kaspersky Endpoint Security – Diskkryptering og BitLockerKaspersky tilbyder sine egne diskkryptering med godkendelsesagent (med SSO-muligheder, agentkonti, token- og smartkortunderstøttelse osv.) og også muligheden for at Administrer BitLocker fra Kaspersky Security Center, herunder gendannelse af masternøgler, krypteringspolitikker og godkendelsestilstande.

I løsninger som Kasperskys er det muligt at vælge mellem Kaspersky Disk Encryption og BitLocker Drive EncryptionJustering af parametre såsom: kryptering af alle diske eller lad dem være uændrede, kryptering af kun brugt plads, brug eller ej af hardwarekryptering, definition af hvilke konti der oprettes i godkendelsesagenten, krav om en pinkode eller adgangskode, konfiguration af SSO og meget mere. Det vigtige i disse tilfælde er, at Centralkonsollen gemmer og administrerer hovednøglerne korrekt. for at undgå masseudlåsninger, hvis brugerne glemmer deres adgangskoder.

I sidste ende skal organisationer selv, gennem pilottests, vurdere hvilken løsning der bedst passer til deres behov. infrastruktur, compliance-politikker og tolerance for leverandørblokeringBitLocker er normalt et solidt valg til Windows-flåder, men det dækker ikke altid alle scenarier på tværs af platforme.

Med alle disse muligheder afhænger det ideelle værktøj i høj grad af scenariet: for Windows Pro-brugere er BitLocker normalt det bedste valg. Den mest direkte og transparente måde at beskytte en bærbar computer eller ekstern harddisk påFor dem, der søger absolut kontrol og gennemsigtighed over koden, giver VeraCrypt og andre åbne løsninger ekstra ro i sindet; i virksomheder letter enterprise-krypteringspakker Administration af tusindvis af enheder og gendannelsesnøgler uden at blive skør.

bedste backupprogrammer
relateret artikel:
Privatliv i Windows 11 uden at ødelægge vigtige tjenester

Under alle omstændigheder er det klart, at det at lade en disk fuld af følsomme data være ukrypteret i dag simpelthen giver for mange fordele til alle, der formår at få fat i den. Del disse oplysninger og hjælp andre brugere med at lære om emnet.