Fullständig diskkryptering är en utmärkt metod för att skydda data om en enhet skulle bli stulen. Låt oss undersöka Windows inbyggda funktion BitLocker och alternativa lösningar.
Är du medveten om det skrämmande faktumet att en stulen bärbar dator från Coplin Health Systems i West Virginia innehöll information om 43 000 patienter?
Eller den olyckliga händelsen där en entreprenör i Japan förlorade ett USB-minne med personlig data om 460 000 invånare?
I båda fallen var datan inte krypterad.
Detta innebär att illasinnade aktörer enkelt kan komma åt och sälja den personliga informationen på den mörka webben.
Dessa organisationer lärde sig den hårda vägen. Men det behöver inte vara så när det är så pass enkelt att kryptera information.
I de följande avsnitten går vi igenom diskkryptering, hur man utför det med BitLocker, samt några alternativ till BitLocker.
Fullständig diskkryptering
Fullständig diskkryptering (FDE) innebär att du låser enheterna som är anslutna till ditt system. Detta skyddar mot otillåten åtkomst till data på komprometterade enheter. Om det tillämpas på systemenheter, kan det dessutom möjliggöra en startkontroll för ökad säkerhet.
BitLocker
Windows Professional, Enterprise och Education-versioner levereras med BitLocker-enhetskryptering förinstallerad.
Med BitLocker kan man lösenordsskydda enheter, som sedan fungerar normalt när du väl loggat in. Det finns också en återställningsnyckel för att återställa lösenordet, utan vilken diskens innehåll blir oläsligt.
Dessutom fungerar det här oberoende av operativsystem. Till exempel kommer en enhet som krypterats i Windows att förbli säker i Linux.
Det är viktigt att komma ihåg att detta inte skyddar dig när systemet väl är upplåst. Dessa krypteringsmetoder är inte effektiva mot exempelvis spionprogram som stjäl din personliga information, vilket du omedvetet kan ha installerat. De är alltså inte ett substitut för antivirus eller antispyware.
För att börja, skriv ”BitLocker” i aktivitetsfältets sökfunktion och öppna ”Hantera BitLocker”.
Välj nu den disk du vill kryptera och klicka på ”Aktivera BitLocker”.
Den efterföljande processen skiljer sig åt beroende på om det är operativsystemets enhet eller icke-systempartitioner, inklusive externa diskar.
BitLocker på systemenheter
Som standard använder detta TPM-säkerhetschip (version 1.2 eller senare) för autentisering. Maskinen startar när TPM returnerar nyckeln.
Ett Trusted Platform Module (TPM) är ett chip som levereras med moderna datorer. Det är ett separat chip som säkerställer enhetens övergripande integritet. Du kan behöva aktivera det om ditt system inte upptäcker TPM trots att det finns där.
I sådana fall finns det ingen autentisering före start, och vem som helst som har din dator kan starta den genom att ta sig förbi Windows inloggningslösenord.
Däremot kan du aktivera PIN-kod före start i redigeraren för lokal gruppolicy för maximal säkerhet. Därefter kommer TPM-chippet att be om både återställningsnyckeln och PIN-koden innan maskinen startar.
Skillnaden här är att dessa chip kommer med skydd mot brute-force-attacker. Angriparen har bara ett begränsat antal försök innan de spärras ute.
Kom ihåg att konfigurera detta innan du initierar krypteringen.
Processen är enkel nog. Öppna först Windows Kör genom att trycka på ⊞+R, skriv gpedit.msc och tryck Enter.
Navigera sedan till Datorkonfiguration > Administrativa mallar > Windows-komponenter > BitLocker-enhetskryptering > Operativsystemsenheter:
Nu kommer BitLocker-krypteringen att kräva en PIN-kod eller en förinställd USB-enhet som en fysisk autentisering före uppstart.
Därefter väljer du om du vill kryptera hela enheten eller bara det använda diskutrymmet.
Att kryptera allt är vanligtvis den bästa idén för äldre datorer, eftersom det kan finnas data som kan återställas från de tomma sektorerna med hjälp av Windows verktyg för dataåterställning.
Välj sedan mellan att använda ”Ny kryptering” eller ett ”kompatibelt läge”. Du kan välja det nya krypteringsläget eftersom det här rör sig om en operativsystemsenhet. Det kompatibla läget passar bättre för flyttbara enheter.
Slutligen rekommenderas det att köra BitLockers systemkontroll i det följande fönstret för att se om allting fungerar perfekt.
BitLocker på fasta dataenheter
Att kryptera dessa partitioner och enheter är enklare. Du kommer att bli ombedd att ange ett lösenord.
Efter det är processen likartad med den för att kryptera operativsystemsenheter, och du kan välja bort BitLockers systemkontroller.
Även om BitLocker är praktiskt är det inte tillgängligt för dem som använder Windows Home-varianter. Det näst bästa gratisalternativet är Windows Device Encryption, om din enhet stöder det.
Detta skiljer sig från BitLocker i att det har TPM-krav. Dessutom saknas det autentisering före start.
Du kan kontrollera tillgängligheten i Systeminformation. Öppna Windows Kör, skriv msinfo32 och tryck på Enter. Scrolla ner till botten och se om det står ”Möter förutsättningar” vid ”Stöd för enhetskryptering”.
Om det inte gör det, stöder din enhet förmodligen inte enhetskryptering. Du kan dock kontakta tillverkarens support för att se om det finns någon lösning.
Alternativt finns det ett antal gratis och betalda verktyg för fullständig diskkryptering som du kan använda.
VeraCrypt
VeraCrypt är ett gratis program med öppen källkod för kryptering i Windows, Mac och Linux. Precis som BitLocker kan du kryptera systemenheter, fasta dataenheter och flyttbara enheter.
Detta program är mer flexibelt och erbjuder fler alternativ för krypteringsalgoritmer. Dessutom kan det kryptera data i realtid. Du skapar helt enkelt en krypterad behållare och överför filerna för att kryptera dem.
Dessutom kan VeraCrypt skapa dolda krypterade volymer och stöder autentisering före start precis som BitLocker.
Användargränssnittet kan uppfattas som överväldigande, men det är inget som en instruktionsvideo på YouTube inte kan lösa.
BestCrypt
Du kan se BestCrypt som en användarvänlig och betald version av VeraCrypt.
Det ger dig tillgång till olika algoritmer och en mängd alternativ för att uppnå fullständig diskkryptering. Det stöder skapande av krypteringsbehållare och systemenheter.
Dessutom kan du distribuera en lösenordskyddad uppstart.
BestCrypt är ett krypteringsverktyg för flera plattformar och kommer med en kostnadsfri 21-dagars testperiod.
Kommersiella alternativ till BitLocker
Dessa utgörs av företagsklara lösningar som baseras på volymlicenser.
ESET
ESET:s fullständiga diskkryptering är utmärkt för fjärrhantering. Det ger dig flexibilitet med lokala och molnbaserade krypteringslösningar.
Den här funktionen skyddar hårddiskar, externa enheter, e-postmeddelanden etc. med industristandarden 256-bitars AES-kryptering.
Dessutom låter den här lösningen dig kryptera enskilda filer med kryptering på filnivå (FLE).
Du kan prova detta med en interaktiv demo eller en kostnadsfri 30-dagars testperiod.
Symantec
Symantec, från Broadcom, är ytterligare en ledande aktör inom tillhandahållande av krypteringsfunktioner för företagskunder. Denna fullständiga diskkryptering stöder TPM och säkerställer att företagets enheter är skyddade mot manipulering.
Dessutom får du kontroller före start, kryptering av e-post och externa enheter.
Symantec hjälper dig att konfigurera enkel inloggning och kan även skydda molnbaserade applikationer. Lösningen stöder smartkort och har olika metoder för återställning ifall användaren glömmer lösenordet.
Symantec erbjuder även kryptering på filnivå, en känslig filövervakare och olika andra funktioner som gör det till en heltäckande krypteringslösning.
ZENworks
ZENworks från Microfocus är det enklaste sättet att hantera AES-256-kryptering inom alla organisationer.
Den stöder valfri autentisering före start med användarnamn och lösenord eller ett smartkort med en PIN-kod. ZENworks har centraliserad nyckelhantering för att hjälpa användare som fastnar vid startinloggningen.
Du kan skapa krypteringsprinciper för enheter och tillämpa dem över en vanlig HTTP-webbanslutning.
Slutligen kan du dra nytta av den kostnadsfria testperioden utan kreditkort för att testa lösningen.
FDE kontra FLE
Ibland är det inte nödvändigt att kryptera en hel disk. I sådana fall är det klokt att skydda en specifik fil genom kryptering på filnivå, eller filbaserad kryptering (FBE).
FLE är vanligare och används ofta utan att man märker av det.
Exempelvis är WhatsApp-konversationer krypterade från ände till ände. På samma sätt krypteras e-postmeddelanden som skickas via Proton-mail automatiskt och endast mottagaren kan komma åt innehållet.
På samma sätt kan du skydda en fil med FLE genom att använda verktyg som AxCrypt eller FolderLock.
En tydlig fördel med FBE jämfört med FDE är att varje fil kan ha unika krypteringsnycklar. Om en nyckel komprometteras, kommer de andra förbli säkra.
Detta innebär dock extra besvär med att hantera sådana nycklar.
Sammanfattning
Fullständig diskkryptering är avgörande när du förlorar en enhet som innehåller känslig information.
Även om varje användare har viktig information lagrad, är det företag som behöver diskkryptering mer än någon annan.
För privatpersoner är BitLocker det bästa krypteringsverktyget för Windows-användare. VeraCrypt är ett annat alternativ för den som kan tolerera ett något äldre gränssnitt.
Organisationer bör inte lita på någon annans bedömning utan bör prova de olika alternativen för att välja det bästa för deras specifika behov. Det enda en företagsledare bör undvika är att låsa sig till en enskild leverantör.
PS: Spana in vår programvara för kryptering och autentisering för att fräscha upp grunderna.