Windows 10, 8.1, 8 og 7 inkluderer alle BitLocker-stasjonskryptering, men det er ikke den eneste krypteringsløsningen de tilbyr. Windows inkluderer også en krypteringsmetode kalt "krypteringsfilsystemet", eller EFS. Slik skiller det seg fra BitLocker.
Dette er bare tilgjengelig på Profesjonelle og Enterprise-utgaver av Windows . Hjemmeutgaver kan bare bruke de mer begrensede “Enhetskryptering” -funksjon , og bare hvis det er en moderne PC som leveres med enhetskryptering aktivert.
BitLocker er full diskkryptering
I SLEKT: Hvordan sette opp BitLocker-kryptering på Windows
BitLocker er en krypteringsløsning med full disk som krypterer et helt volum. Når du konfigurerer BitLocker, krypterer du en hel partisjon - for eksempel Windows-systempartisjonen din, en annen partisjon på en intern stasjon eller til og med en partisjon på en USB-flashstasjon eller andre eksterne medier.
Det er mulig å kryptere bare noen få filer med BitLocker by opprette en kryptert containerfil . Imidlertid er denne containerfilen i hovedsak et virtuelt diskbilde, og BitLocker fungerer ved å behandle den som en stasjon og kryptere hele greia.
Hvis du skal kryptere harddisken din for å beskytte sensitive data fra å falle i feil hender, spesielt hvis den bærbare datamaskinen din blir stjålet, er BitLocker veien å gå. Det vil kryptere hele stasjonen, og du trenger ikke tenke på hvilke filer som er kryptert og hvilke som ikke er. Hele systemet blir kryptert.
Dette avhenger ikke av brukerkontoer. Når en administrator aktiverer BitLocker, vil hver brukerkonto på PC-en ha filene sine kryptert. BitLocker bruker datamaskinens pålitelige plattformsmodul - eller TPM - maskinvare.
Mens "stasjonskryptering" er mer begrenset på Windows 10 og 8.1, fungerer det på samme måte på PC-er der det er tilgjengelig. Den krypterer hele stasjonen i stedet for individuelle filer på den.
EFS krypterer individuelle filer
I SLEKT: Hvordan kryptere filer og mapper i Windows 8.1 Pro ved hjelp av EFS
EFS - det "krypterende filsystemet" - fungerer annerledes. I stedet for å kryptere hele stasjonen, bruker du EFS til å kryptere individuelle filer og kataloger, en etter en. Der BitLocker er et "sett det og glem det" -systemet, krever EFS at du manuelt velger filene du vil kryptere og endrer denne innstillingen.
Du gjør dette fra File Explorer-vinduet. Velg en mappe eller individuelle filer, åpne vinduet Egenskaper, klikk "Avansert" -knappen under Attributter, og aktiver alternativet "Krypter innhold for å sikre data".
Denne krypteringen skjer per bruker. Krypterte filer har bare tilgang til den bestemte brukerkontoen som krypterte dem. Krypteringen er gjennomsiktig. Hvis brukerkontoen som krypterte filene er logget på, vil de kunne få tilgang til filene uten ytterligere godkjenning. Hvis en annen brukerkonto er logget på, er ikke filene tilgjengelige.
Krypteringsnøkkelen er lagret i selve operativsystemet i stedet for å bruke datamaskinens TPM-maskinvare, og det er mulig en angriper kan trekke den ut. Det er ingen kryptering med full stasjon som beskytter de spesifikke systemfilene, med mindre du også aktiverer BitLocker.
Det er også mulig at de krypterte filene kan "lekke" ut i ukrypterte områder. For eksempel, hvis et program oppretter en midlertidig hurtigbufferfil etter å ha åpnet et EFS-kryptert dokument med sensitiv økonomisk informasjon, lagres den hurtigbufferfilen og dens sensitive data ukryptert i en annen mappe.
Der BitLocker egentlig er en Windows-funksjon som kan kryptere en hel stasjon, utnytter EFS funksjonene i NTFS-filsystemet seg selv.
Hvorfor du bør bruke BitLocker, og ikke EFS
Det er faktisk mulig å bruke både BitLocker og EFS samtidig, ettersom de er forskjellige krypteringslag. Du kan kryptere hele stasjonen din, og selv etter å ha gjort det, vil Windows-brukere kunne aktivere attributtet "Krypter" for filer og mapper. Imidlertid er det faktisk ikke mye grunn til å gjøre det.
Hvis du vil ha kryptering, er det best å gå for full-disk kryptering i form av BitLocker. Ikke bare er dette en "set it and glem it" -løsning du kan aktivere en gang og glemme, den er også sikrere.
Vi har en tendens til å glanse over EFS når vi skriver om kryptering på Windows og nevner ofte bare BitLocker som Microsofts løsning for kryptering på Windows. Det er en grunn til dette. BitLocker-kryptering med full disk er bare bedre enn EFS, og du bør bruke BitLocker hvis du trenger kryptering.
Så hvorfor eksisterer EFS til og med? En grunn er at det er en eldre funksjon i Windows. BitLocker ble introdusert sammen med Windows Vista. EFS ble introdusert tilbake i Windows 2000.
På et tidspunkt kan BitLocker ha bremset ytelsen på operativsystemet, mens EFS ville ha vært litt lettere. Men med rimelig moderne maskinvare, bør dette ikke være tilfelle i det hele tatt.
Bare bruk BitLocker og glem at Windows til og med tilbyr EFS. Det er mindre bry å faktisk bruke og er sikrere.
