Full Disk Encryption je vynikající pro zamezení přístupu v případě odcizení zařízení. Pojďme se podívat na nativní BitLocker systému Windows a jeho alternativy.
Víte, co je děsivého na ukradeném notebooku Coplin Health Systems se sídlem v Západní Virginii, který obsahuje data 43 000 pacientů?
Nebo co je špatného na tom, že dodavatel v Japonsku ztratí USB disk s osobními údaji 460 000 obyvatel?
Data nebyla zašifrována.
Takže špatný herec mohl snadno získat přístup k osobním údajům a prodat je na temném webu.
Naučili se to tvrdě. Ale to by nemělo platit, když víte, jak snadné je šifrovat data.
Následující části pojednávají o šifrování disku, o tom, jak to provést pomocí nástroje BitLocker, a o několika alternativách nástroje BitLocker.
Table of Contents
Úplné šifrování disku
Full Disk Encryption (FDE) označuje uzamčení disků k vašemu systému. Zabraňuje přístupu k datům na kompromitovaných zařízeních a může umožnit kontrolu při spouštění pro další zabezpečení, pokud je aplikována na systémové disky.
BitLocker
Verze Windows Professional, Enterprise a Education jsou dodávány s předinstalovaným šifrováním zařízení BitLocker.
Pomocí nástroje BitLocker lze jednotky ochránit heslem, které fungují normálně, jakmile jste uvnitř. Nechybí ani obnovovací klíč pro resetování hesla, bez kterého bude obsah disku nečitelný.
Kromě toho to funguje napříč platformami. Například jednotka zašifrovaná v systému Windows zůstane bezpečná v systému Linux.
Je pozoruhodné, že vás to po odemknutí systému neochrání. Tyto šifrovací mechanismy budou k ničemu, řekněme, spyware krade vaše osobní údaje, které jste si možná nevědomky nainstalovali. Nejedná se tedy o náhradu antivirových nebo antispywarových nástrojů.
Chcete-li začít, zadejte BitLocker do vyhledávání na hlavním panelu a otevřete Spravovat BitLocker.
Nyní vyberte předmětový disk a klikněte na Zapnout BitLocker.
Následný proces se liší pro jednotku operačního systému a nesystémové oddíly, včetně přenosných disků.
BitLocker na systémových jednotkách
To ve výchozím nastavení používá k ověřování bezpečnostní čip TPM (verze 1.2 nebo novější). A stroj se spustí, jakmile TPM vrátí klíč.
Trusted Platform Module (TPM) je čip, se kterým se dodávají moderní počítače. Jedná se o samostatný čip zajišťující celkovou integritu zařízení. Pokud však váš systém nerozpozná TPM ani poté, co jej máte, možná budete muset tuto funkci aktivovat.
V takových případech neexistuje žádné ověřování před spuštěním a kdokoli, kdo má váš počítač, jej může zapnout hrubým vynucením hesla pro přihlášení do systému Windows.
Můžete však zapnout PIN před spuštěním z editoru místních zásad skupiny, abyste si mohli užít maximální zabezpečení. Poté čip TPM požádá o obnovovací klíč a PIN, než nechá počítač zavést.
Rozdíl je v tom, že tyto čipy jsou dodávány s ochranou hrubou silou. Takže útočník bude mít jen několik pokusů, než se vzdá.
Nezapomeňte to nakonfigurovat před zahájením šifrování.
Postup je dostatečně jednoduchý. Nejprve otevřete Windows Run stisknutím ⊞+R, napište gpedit.msc a stiskněte Enter.
Poté přejděte na Konfigurace počítače > Šablony pro správu > Součásti systému Windows > Šifrování zařízení BitLocker > Jednotky operačního systému:
Nyní bude šifrování BitLocker potřebovat PIN nebo přednastavenou jednotku USB jako fyzické ověření před spuštěním.
Dále postoupíte k Šifrování celého disku nebo pouze použitého místa na disku.
Šifrování všeho je obecně lepší nápad pro starší počítače, protože můžete mít data, která lze získat z prázdných sektorů pomocí nástrojů pro obnovu dat systému Windows.
Následně se rozhodnete mezi použitím Nového šifrování nebo kompatibilního režimu. Můžete si vybrat Nový režim šifrování, protože se jedná o jednotku operačního systému. Kompatibilní režim by byl vhodnější pro přenosné disky.
Nakonec se doporučuje v následujícím okně spustit kontrolu systému BitLocker a zjistit, zda vše funguje perfektně.
BitLocker na pevných datových jednotkách
Šifrování těchto oddílů a jednotek je jednodušší. To vás požádá o nastavení hesla předem.
Jakmile to překonáte, proces je podobný šifrování disků operačního systému a blokování systémových kontrol nástrojem BitLocker.
BitLocker je sice praktický, ale není dostupný pro lidi, kteří používají varianty Windows Home. Druhou nejlepší bezplatnou možností je Windows Device Encryption, pokud jej vaše zařízení podporuje.
To se liší od BitLockeru v tom, že nařizuje požadavky na TPM. Kromě toho neexistuje žádný způsob ověřování před spuštěním.
Dostupnost můžete ověřit pomocí systémových informací. Otevřete Windows Spustit, zadejte msinfo32 a stiskněte enter. Přejděte dolů a ověřte, zda jsou u podpory šifrování zařízení zmíněny předpoklady Meet.
Pokud tomu tak není, vaše zařízení s největší pravděpodobností nepodporuje šifrování zařízení. Můžete se však obrátit na podporu výrobce a zjistit možné řešení.
Případně existuje několik nástrojů pro úplné šifrování disku, bezplatných i placených, které můžete použít.
VeraCrypt
VeraCrypt je bezplatný, open-source šifrovací software pro Windows, Mac a Linux. Podobně jako BitLocker můžete šifrovat systémové disky, pevné datové disky a přenosné disky.
To je flexibilnější a poskytuje mnoho možností pro šifrovací algoritmy. Kromě toho může také šifrovat za běhu. Vytvořte tedy šifrovaný kontejner a přeneste své soubory, abyste je zašifrovali.
VeraCrypt může navíc vytvářet šifrované skryté svazky a podporuje ověřování před spuštěním, jako je BitLocker.
Uživatelské rozhraní však může být ohromující, ale nic, co by návod na YouTube nedokázal vyřešit.
BestCrypt
BestCrypt můžete nazvat uživatelsky přívětivou a placenou verzí Veracrypt.
To vám dává přístup k různým algoritmům a řadě možností, jak dosáhnout úplného šifrování disku. Podporuje vytváření šifrovacích kontejnerů a systémových jednotek.
Kromě toho můžete nasadit bootování schválené heslem.
BestCrypt je multiplatformní šifrovací nástroj a je dodáván s 21denní bezplatnou zkušební verzí.
Komerční alternativy BitLockeru
Ty se skládají z podnikových řešení založených na multilicencování.
ESET
ESET šifrování celého disku je vynikající pro vzdálenou správu. Poskytuje vám flexibilitu s místními a cloudovými řešeními šifrování.
Tato funkce zajišťuje ochranu pevných disků, přenosných disků, e-mailů atd. pomocí průmyslového standardu 256bitového šifrování AES.
Kromě toho vám to umožňuje šifrovat jednotlivé soubory pomocí šifrování na úrovni souborů (FLE).
Můžete se o tom přesvědčit v interaktivním demu nebo 30denní bezplatné zkušební verzi pro plnohodnotné praktické využití.
Symantec
Symantec od společnosti Broadcom je dalším předním hráčem v poskytování šifrovacích zařízení na podnikové úrovni. Toto úplné šifrování disku podporuje TPM a zajišťuje stav institucionálních zařízení bez manipulace.
Navíc získáte kontroly před spuštěním, e-mail a šifrování vyměnitelného disku.
Symantec vám pomůže nastavit jednotné přihlášení a může také chránit cloudové aplikace. To podporuje čipové karty a má různé metody obnovy, pokud uživatel zapomene přístupový kód.
Symantec navíc přichází s šifrováním na úrovni souborů, citlivým sledováním souborů a různými dalšími funkcemi, které z něj dělají neodolatelné řešení šifrování typu end-to-end.
ZENworks
ZENworks od Microfocus je nejjednodušší způsob, jak zvládnout šifrování AES-256 v jakékoli organizaci.
To podporuje volitelné ověření před spuštěním pomocí uživatelského jména a hesla nebo čipové karty s kódem PIN. ZENworks nabízí centralizovanou správu klíčů, která uživatelům pomáhá při přihlašování při spouštění.
Můžete vytvořit zásady šifrování pro zařízení a vynutit je prostřednictvím standardního webového připojení HTTP.
Konečně můžete využít jeho bezplatnou zkušební verzi bez kreditní karty a vidět to z první ruky.
FDE vs FLE
Někdy se nevyplatí šifrovat celý disk. V takových případech je moudré chránit konkrétní soubor, který vede k šifrování na úrovni souborů nebo šifrování na základě souborů (FBE).
FLE je častější a často jej používáme, aniž bychom jeho přítomnost uznali.
Například konverzace WhatsApp jsou end-to-end šifrovány. Podobně jsou e-maily odeslané prostřednictvím pošty Proton také automaticky šifrovány a k jejich obsahu má přístup pouze příjemce.
Podobným způsobem lze chránit soubor pomocí FLE pomocí nástrojů, jako je AxCrypt nebo FolderLock.
Výraznou výhodou FBE oproti FDE je, že všechny soubory mohou mít různé šifrovací klíče. Ergo, pokud bude jeden kompromitován, ostatní zůstanou v bezpečí.
To však přináší další potíže se správou takových klíčů.
Závěr
Úplné šifrování disku je zásadní, když ztratíte zařízení obsahující citlivé informace.
I když má každý uživatel na palubě nějaká důležitá data, jsou to podniky, které potřebují šifrování disku více než kdokoli jiný.
Osobně je BitLocker nejlepším šifrovacím nástrojem pro uživatele Windows. VeraCrypt je další možností pro někoho, kdo vydrží zastaralé rozhraní.
A organizace by se neměly spoléhat na něčí verdikt, ale měly by se pokusit vybrat to nejlepší pro svůj případ použití. Jediné, čemu by se měl majitel firmy vyhnout, jsou zámky prodejců.
PS: Podívejte se na náš software pro šifrování vs autentizaci, abyste si oprášili základy.