Mã hóa toàn đĩa (FDE) trong Windows: BitLocker và các lựa chọn thay thế

Spread the love

Full Disk Encryption là công cụ tuyệt vời để ngăn chặn truy cập nếu thiết bị bị đánh cắp. Hãy kiểm tra BitLocker gốc của Windows và các lựa chọn thay thế của nó.

Bạn có biết điều gì đáng sợ về chiếc máy tính xách tay bị đánh cắp của Hệ thống Y tế Coplin có trụ sở tại Tây Virginia chứa dữ liệu của 43.000 bệnh nhân?

Hay điều gì tồi tệ khi một nhà thầu ở Nhật Bản làm mất một ổ USB chứa thông tin cá nhân của 460.000 cư dân?

Dữ liệu không được mã hóa.

Vì vậy, một kẻ xấu có thể dễ dàng truy cập và bán dữ liệu cá nhân trên dark web.

Họ đã học được bài học một cách khó khăn. Nhưng điều đó không nên xảy ra khi biết việc mã hóa dữ liệu dễ dàng như thế nào.

Các phần sau thảo luận về mã hóa đĩa, cách thực hiện với BitLocker và một số lựa chọn thay thế BitLocker.

Mã hóa toàn đĩa

Mã hóa toàn đĩa (FDE) đề cập đến việc khóa các ổ đĩa vào hệ thống của bạn. Nó ngăn chặn quyền truy cập vào dữ liệu trên các thiết bị bị xâm phạm và có thể cho phép kiểm tra thời gian khởi động để bảo mật bổ sung nếu được áp dụng trên ổ đĩa hệ thống.

BitLocker

Các phiên bản Windows chuyên nghiệp, doanh nghiệp và giáo dục được cài đặt sẵn mã hóa thiết bị BitLocker.

Sử dụng BitLocker, người ta có thể bảo vệ bằng mật khẩu các ổ đĩa hoạt động bình thường khi bạn ở bên trong. Ngoài ra còn có một khóa khôi phục để đặt lại mật khẩu, nếu không có khóa này, nội dung đĩa sẽ không đọc được.

Bên cạnh đó, điều này hoạt động đa nền tảng. Ví dụ: ổ đĩa được mã hóa trên Windows sẽ vẫn an toàn trên Linux.

Đáng chú ý, điều này sẽ không bảo vệ bạn khi hệ thống được mở khóa. Các cơ chế mã hóa này sẽ vô hiệu đối với việc phần mềm gián điệp đánh cắp thông tin cá nhân của bạn mà bạn có thể đã vô tình cài đặt. Ergo, chúng không phải là sự thay thế cho các công cụ chống vi-rút hoặc chống phần mềm gián điệp.

Để bắt đầu, hãy nhập BitLocker trong tìm kiếm trên thanh tác vụ và mở Quản lý BitLocker.

Bây giờ chọn đĩa chủ đề và nhấp vào Bật BitLocker.

Quá trình tiếp theo là khác nhau đối với phân vùng ổ đĩa hệ điều hành và không phải hệ thống, bao gồm cả đĩa di động.

BitLocker trên Ổ đĩa hệ thống

Theo mặc định, điều này sử dụng chip bảo mật TPM (phiên bản 1.2 trở lên) để xác thực. Và máy khởi động sau khi TPM trả lại chìa khóa.

Mô-đun nền tảng đáng tin cậy (TPM) là một máy tính cá nhân hiện đại chạy chip. Đây là một con chip riêng biệt đảm bảo tính toàn vẹn tổng thể của thiết bị. Nhưng bạn có thể cần phải kích hoạt điều này nếu hệ thống của bạn không phát hiện TPM ngay cả sau khi có.

  Cách khôi phục cài đặt gốc cho PC chạy Windows 11

Trong những trường hợp như vậy, không có xác thực trước khi khởi động và bất kỳ ai có PC của bạn đều có thể bật nó lên bằng cách ép buộc thông qua mật khẩu đăng nhập Windows.

Tuy nhiên, người ta có thể bật mã PIN khởi động trước từ trình chỉnh sửa chính sách nhóm cục bộ để được bảo mật tối đa. Sau đó, chip TPM sẽ yêu cầu mã khôi phục và mã pin trước khi cho phép máy khởi động.

Điểm khác biệt ở đây là những con chip này đi kèm với các biện pháp bảo vệ bạo lực. Vì vậy, kẻ tấn công sẽ chỉ có một số thử trước khi bỏ cuộc.

Chỉ cần nhớ cấu hình điều này trước khi bắt đầu mã hóa.

Quá trình này đủ đơn giản. Đầu tiên, mở Windows Run bằng cách nhấn ⊞ + R, nhập gpedit.msc và nhấn enter.

Sau đó, điều hướng đến Cấu hình máy tính> Mẫu quản trị> Thành phần Windows> Mã hóa thiết bị BitLocker> Ổ đĩa hệ điều hành:

Giờ đây, Mã hóa BitLocker sẽ cần mã PIN hoặc ổ USB đặt trước làm xác thực vật lý trước khi khởi động.

Tiếp theo, bạn tiến tới Mã hóa toàn bộ ổ đĩa hoặc chỉ dung lượng ổ đĩa đã sử dụng.

Mã hóa mọi thứ nói chung là ý tưởng tốt hơn cho các máy tính cũ hơn vì bạn có thể có dữ liệu có thể được truy xuất từ ​​các khu vực trống bằng cách sử dụng các công cụ khôi phục dữ liệu của Windows.

Sau đó, bạn quyết định sử dụng Mã hóa mới hoặc một chế độ tương thích. Bạn có thể chọn Chế độ mã hóa mới vì đây là ổ đĩa hệ điều hành. Chế độ tương thích sẽ phù hợp hơn cho các ổ đĩa di động.

Cuối cùng, bạn nên chạy kiểm tra hệ thống BitLocker trên cửa sổ sau để xem mọi thứ có hoạt động hoàn hảo hay không.

BitLocker trên các ổ dữ liệu cố định

Mã hóa các phân vùng và ổ đĩa này đơn giản hơn. Điều này sẽ yêu cầu bạn đặt trước mật khẩu.

Khi bạn vượt qua điều này, quá trình này tương tự như mã hóa ổ đĩa hệ điều hành ngăn chặn các kiểm tra hệ thống BitLocker.

Mặc dù BitLocker rất tiện dụng nhưng nó không khả dụng với những người sử dụng các biến thể Windows Home. Tùy chọn miễn phí tốt nhất thứ hai là Mã hóa thiết bị Windows, nếu thiết bị của bạn hỗ trợ.

Điều này khác với BitLocker ở chỗ nó bắt buộc các yêu cầu TPM. Bên cạnh đó, không có phương tiện xác thực trước khi khởi động.

Bạn có thể kiểm tra tính khả dụng bằng Thông tin Hệ thống. Mở Windows Run, nhập msinfo32 và nhấn enter. Cuộn xuống dưới cùng và xác thực nếu Đáp ứng các điều kiện tiên quyết được đề cập trong Hỗ trợ mã hóa thiết bị.

  Cách khắc phục Lỗi thiếu api-ms-win-core-libraryloader-l1-1-1.dll trong khi nâng cấp Windows 10

Nếu không, hầu hết có thể thiết bị của bạn sẽ không hỗ trợ Mã hóa thiết bị. Tuy nhiên, bạn có thể liên hệ với bộ phận hỗ trợ của nhà sản xuất để xem cách giải quyết.

Ngoài ra, có một số công cụ mã hóa toàn bộ ổ đĩa, miễn phí và có phí mà bạn có thể sử dụng.

VeraCrypt

VeraCrypt là phần mềm mã hóa nguồn mở miễn phí dành cho Windows, Mac và Linux. Tương tự như BitLocker, bạn có thể mã hóa ổ đĩa hệ thống, ổ đĩa dữ liệu cố định và ổ đĩa di động.

Điều này linh hoạt hơn và cung cấp nhiều tùy chọn cho các thuật toán mã hóa. Bên cạnh đó, nó cũng có thể mã hóa khi đang di chuyển. Vì vậy, hãy tạo một vùng chứa được mã hóa và chuyển các tệp của bạn để mã hóa chúng.

Ngoài ra, VeraCrypt có thể tạo các tập đĩa ẩn được mã hóa và hỗ trợ xác thực trước khi khởi động như BitLocker.

Tuy nhiên, giao diện người dùng có thể quá tải, nhưng không có gì mà hướng dẫn trên YouTube không thể loại bỏ.

BestCrypt

Bạn có thể gọi BestCrypt là phiên bản Veracrypt trả phí và thân thiện với người dùng.

Điều này cho phép bạn truy cập vào các thuật toán khác nhau và một loạt các tùy chọn để đạt được mã hóa toàn bộ ổ đĩa. Nó hỗ trợ tạo mã hóa vùng chứa và ổ đĩa hệ thống.

Bên cạnh đó, bạn có thể triển khai khởi động được chấp thuận bằng mật khẩu.

BestCrypt là một công cụ mã hóa đa nền tảng và đi kèm với bản dùng thử miễn phí trong 21 ngày.

Các lựa chọn thay thế BitLocker thương mại

Những giải pháp này bao gồm các giải pháp sẵn sàng cho doanh nghiệp dựa trên việc cấp phép số lượng lớn.

ESET

Mã hóa toàn bộ đĩa của ESET là tuyệt vời để quản lý từ xa. Nó mang lại cho bạn sự linh hoạt với các giải pháp mã hóa tại chỗ và đám mây.

Tính năng này có tính năng bảo vệ ổ cứng, ổ di động, email, v.v. bằng mã hóa AES 256-bit tiêu chuẩn công nghiệp.

Ngoài ra, điều này cho phép bạn mã hóa các tệp riêng lẻ bằng Mã hóa cấp độ tệp (FLE).

Bạn có thể kiểm tra điều này bằng bản demo tương tác hoặc bản dùng thử miễn phí 30 ngày để thực hành toàn diện.

Symantec

Symantec, của Broadcom, là một công ty hàng đầu khác trong việc cung cấp các phương tiện mã hóa cấp doanh nghiệp. Mã hóa toàn bộ đĩa này hỗ trợ TPM đảm bảo trạng thái không có giả mạo của các thiết bị tổ chức.

Hơn nữa, bạn nhận được kiểm tra trước khi khởi động, email và mã hóa đĩa di động.

Symantec giúp bạn thiết lập đăng nhập một lần và cũng có thể bảo vệ các ứng dụng dựa trên đám mây. Điều này hỗ trợ thẻ thông minh và có nhiều phương pháp khôi phục nếu người dùng quên mật mã.

  Sửa lỗi 1105 Discord trong Windows 10

Ngoài ra, Symantec đi kèm với mã hóa cấp độ tệp, trình theo dõi tệp nhạy cảm và nhiều tính năng khác khiến nó trở thành giải pháp mã hóa end-to-end không thể cưỡng lại.

ZENworks

ZENworks từ Microfocus là cách đơn giản nhất để xử lý mã hóa AES-256 trong bất kỳ tổ chức nào.

Điều này hỗ trợ xác thực trước khi khởi động tùy chọn với tên người dùng và mật khẩu hoặc thẻ thông minh có mã PIN. ZENworks có tính năng quản lý khóa tập trung để giúp người dùng gặp khó khăn khi đăng nhập khởi động.

Bạn có thể tạo chính sách mã hóa cho thiết bị và thực thi chúng qua kết nối web HTTP tiêu chuẩn.

Cuối cùng, bạn có thể tận dụng bản dùng thử miễn phí, không cần thẻ tín dụng của nó để tận mắt chứng kiến.

FDE vs FLE

Đôi khi nó không đáng để mã hóa toàn bộ đĩa. Trong những trường hợp như vậy, thật khôn ngoan khi bảo vệ một tệp cụ thể tạo ra Mã hóa cấp độ tệp hoặc Mã hóa dựa trên tệp (FBE).

FLE phổ biến hơn và chúng tôi thường sử dụng nó mà không thừa nhận sự hiện diện của nó.

Ví dụ: các cuộc trò chuyện trên WhatsApp được mã hóa đầu cuối. Tương tự, các email được gửi qua Proton mail cũng được mã hóa tự động và chỉ người nhận mới có thể truy cập nội dung.

Theo cách tương tự, người ta có thể bảo vệ tệp bằng FLE bằng các công cụ như AxCrypt hoặc FolderLock.

Một lợi thế khác biệt của FBE so với FDE là tất cả các tệp có thể có các khóa mã hóa khác nhau. Ergo, nếu một người bị xâm phạm, những người khác sẽ vẫn an toàn.

Tuy nhiên, điều này dẫn đến rắc rối thêm trong việc quản lý các khóa như vậy.

Sự kết luận

Mã hóa toàn đĩa rất quan trọng khi bạn mất thiết bị chứa thông tin nhạy cảm.

Mặc dù mọi người dùng đều có một số dữ liệu quan trọng trên bo mạch, nhưng các doanh nghiệp cần mã hóa đĩa hơn bất kỳ ai khác.

Về mặt cá nhân, BitLocker là công cụ mã hóa tốt nhất cho người dùng Windows. VeraCrypt là một lựa chọn khác cho những người có thể chịu đựng một giao diện cũ.

Và các tổ chức không nên dựa vào phán quyết của ai đó mà hãy tiến hành các thử nghiệm để chọn điều tốt nhất cho trường hợp sử dụng của họ. Điều duy nhất mà chủ doanh nghiệp nên tránh là khóa của nhà cung cấp.

Tái bút: Hãy xem phần mềm mã hóa và xác thực của chúng tôi để tìm hiểu những điều cơ bản.

x