Windows 10, 8.1, 8 và 7 đều bao gồm mã hóa ổ đĩa BitLocker, nhưng đó không phải là giải pháp mã hóa duy nhất mà họ cung cấp. Windows cũng bao gồm một phương pháp mã hóa được đặt tên là “hệ thống tệp mã hóa”, hoặc EFS. Đây là cách nó khác với BitLocker.
Điều này chỉ có sẵn trên Các phiên bản Windows Professional và Enterprise . Các phiên bản trang chủ chỉ có thể sử dụng hạn chế hơn Tính năng "mã hóa thiết bị" và chỉ khi đó là một chiếc PC hiện đại được kích hoạt mã hóa thiết bị.
BitLocker là mã hóa toàn đĩa
LIÊN QUAN: Cách thiết lập mã hóa BitLocker trên Windows
BitLocker là một giải pháp mã hóa toàn đĩa mã hóa toàn bộ khối lượng. Khi thiết lập BitLocker, bạn sẽ mã hóa toàn bộ phân vùng - chẳng hạn như phân vùng hệ thống Windows của bạn, một phân vùng khác trên ổ đĩa nội bộ hoặc thậm chí là một phân vùng trên ổ USB flash hoặc phương tiện bên ngoài khác.
Chỉ có thể mã hóa một số tệp bằng BitLocker bằng cách tạo một tệp vùng chứa được mã hóa . Tuy nhiên, tệp vùng chứa này về bản chất là một ảnh đĩa ảo và BitLocker hoạt động bằng cách coi nó như một ổ đĩa và mã hóa toàn bộ.
Nếu bạn định mã hóa ổ cứng của mình để bảo vệ dữ liệu nhạy cảm không bị rơi vào tay kẻ xấu, đặc biệt nếu máy tính xách tay của bạn bị đánh cắp, thì BitLocker là lựa chọn phù hợp. Nó sẽ mã hóa toàn bộ ổ đĩa và bạn sẽ không phải suy nghĩ về tệp nào được mã hóa và tệp nào không. Toàn bộ hệ thống sẽ được mã hóa.
Điều này không phụ thuộc vào tài khoản người dùng. Khi quản trị viên bật BitLocker, mọi tài khoản người dùng trên PC sẽ được mã hóa các tệp của nó. BitLocker sử dụng mô-đun nền tảng đáng tin cậy của máy tính - hoặc TPM - phần cứng.
Mặc dù "mã hóa ổ đĩa" bị hạn chế hơn trên Windows 10 và 8.1, nhưng nó hoạt động tương tự trên các PC có sẵn. Nó mã hóa toàn bộ ổ đĩa thay vì các tệp riêng lẻ trên đó.
EFS mã hóa các tệp riêng lẻ
LIÊN QUAN: Cách mã hóa tệp và thư mục trong Windows 8.1 Pro bằng EFS
EFS - “hệ thống tệp mã hóa” - hoạt động khác nhau. Thay vì mã hóa toàn bộ ổ đĩa, bạn sử dụng EFS để mã hóa từng tệp và thư mục riêng lẻ. Trong đó BitLocker là hệ thống “đặt nó và quên nó đi”, EFS yêu cầu bạn chọn thủ công các tệp bạn muốn mã hóa và thay đổi cài đặt này.
Bạn thực hiện việc này từ cửa sổ File Explorer. Chọn một thư mục hoặc các tệp riêng lẻ, mở cửa sổ Thuộc tính, nhấp vào nút “Nâng cao” trong Thuộc tính và kích hoạt tùy chọn “Mã hóa nội dung để bảo mật dữ liệu”.
Mã hóa này dựa trên cơ sở mỗi người dùng. Các tệp được mã hóa chỉ có thể được truy cập bởi tài khoản người dùng cụ thể đã mã hóa chúng. Mã hóa là minh bạch. Nếu tài khoản người dùng đã mã hóa tệp được đăng nhập, họ sẽ có thể truy cập vào tệp mà không cần bất kỳ xác thực bổ sung nào. Nếu một tài khoản người dùng khác đã đăng nhập, các tệp sẽ không thể truy cập được.
Khóa mã hóa được lưu trữ trong chính hệ điều hành thay vì sử dụng phần cứng TPM của máy tính và kẻ tấn công có thể trích xuất khóa đó. Không có mã hóa toàn ổ đĩa nào bảo vệ các tệp hệ thống cụ thể đó trừ khi bạn cũng bật BitLocker.
Cũng có thể các tệp được mã hóa có thể “rò rỉ” ra các khu vực không được mã hóa. Ví dụ: nếu một chương trình tạo tệp bộ đệm tạm thời sau khi mở tài liệu được mã hóa bằng EFS với thông tin tài chính nhạy cảm, thì tệp bộ đệm đó và dữ liệu nhạy cảm của nó sẽ được lưu trữ không được mã hóa trong một thư mục khác.
Trong đó BitLocker về cơ bản là một tính năng của Windows có thể mã hóa toàn bộ ổ đĩa, EFS tận dụng các tính năng trong hệ thống tệp NTFS chinh no.
Tại sao bạn nên sử dụng BitLocker chứ không phải EFS
Thực sự có thể sử dụng cả BitLocker và EFS cùng một lúc, vì chúng là các lớp mã hóa khác nhau. Bạn có thể mã hóa toàn bộ ổ đĩa của mình và ngay cả sau khi làm như vậy, người dùng Windows vẫn có thể kích hoạt thuộc tính “Encrypt” cho các tệp và thư mục. Tuy nhiên, thực tế không có nhiều lý do để làm như vậy.
Nếu bạn muốn mã hóa, tốt nhất bạn nên sử dụng mã hóa toàn đĩa dưới dạng BitLocker. Đây không chỉ là giải pháp “đặt và quên nó” mà bạn có thể bật một lần và quên đi, nó còn an toàn hơn.
Chúng tôi có xu hướng đề cập đến EFS khi viết về mã hóa trên Windows và thường chỉ đề cập đến BitLocker là giải pháp của Microsoft để mã hóa trên Windows. Có một lý do cho điều này. Mã hóa toàn đĩa của BitLocker chỉ vượt trội so với EFS và bạn nên sử dụng BitLocker nếu bạn cần mã hóa.
Vậy tại sao EFS thậm chí còn tồn tại? Một lý do là đó là một tính năng cũ hơn của Windows. BitLocker đã được giới thiệu cùng với Windows Vista. EFS đã được giới thiệu trở lại trong Windows 2000.
Tại một thời điểm, BitLocker có thể đã làm chậm hiệu suất tổng thể của hệ điều hành, trong khi EFS sẽ nhẹ hơn một chút. Tuy nhiên, với phần cứng hiện đại hợp lý, điều này hoàn toàn không nên xảy ra.
Chỉ cần sử dụng BitLocker và quên Windows thậm chí còn cung cấp EFS. Thực tế sử dụng sẽ ít phức tạp hơn và an toàn hơn.
