Windows 10, 8.1, 8 и 7 включват шифроване на устройство с BitLocker, но това не е единственото решение за шифроване, което те предлагат. Windows също включва метод за шифроване, наречен "файлова система за шифроване" или EFS. Ето как се различава от BitLocker.
Това е налице само в изданията Professional и Enterprise на Windows. Домашните издания могат да използват само по-ограничената функция за "шифроване на устройства" и само ако е съвременен компютър, доставян с активирано шифроване на устройството.
BitLocker е решение за шифроване на цял диск, което криптира цял обем. Когато настроите BitLocker, ще шифровате цял дял - например системния дял на Windows, друг дял на вътрешно устройство или дори дял на USB флаш устройство или друг външен носител.
Възможно е да се шифроват само няколко файла с BitLocker, като се създаде шифрован контейнер. Този контейнер обаче е по същество виртуално дисково изображение, а BitLocker работи, като го третира като устройство и криптира цялото нещо.
Ако искате да криптирате твърдия си диск, за да защитите чувствителните данни от попадане в неправилни ръце, особено ако лаптопа ви е откраднат, BitLocker е начинът да отидете. Той ще шифрова целия диск и няма да ви се налага да мислите кои файлове са криптирани и кои не са. Цялата система ще бъде шифрована.
Това не зависи от потребителските профили. Когато администратор разрешава BitLocker, всеки потребителски акаунт на компютъра ще има криптирани файлове. BitLocker използва модула за надеждна платформа на компютъра - или TPM - хардуер.
Докато "криптирането на устройства" е по-ограничено в Windows 10 и 8.1, то работи по подобен начин на компютрите, където е налице. Той криптира цялото устройство, а не отделни файлове върху него.
EFS - "кодиращата файлова система" - работи по различен начин. Вместо да шифровате цялото си устройство, използвайте EFS, за да криптирате отделни файлове и директории един по един. Където BitLocker е система "го настрои и забрави", EFS изисква ръчно да изберете файловете, които искате да шифровате, и да промените тази настройка.
Вие правите това от прозореца File Explorer. Изберете папка или отделни файлове, отворете прозореца със свойства, кликнете върху бутона "Разширени" под Атрибути и активирайте опцията "Шифроване на съдържанието за защита на данни".
Това криптиране е за всеки потребител. Криптираните файлове могат да бъдат достъпни само от конкретния потребителски акаунт, който ги шифрова. Криптирането е прозрачно. Ако потребителският акаунт, който шифрова файловете, е влязъл в системата, те ще имат достъп до файловете без допълнително удостоверяване. Ако друг потребителски акаунт е влязъл в системата, файловете няма да бъдат достъпни.
Ключът за шифроване се съхранява в самата операционна система, вместо да се използва хардуер за TPM на компютъра и възможно е нападателят да го извлече. Няма криптиране на пълен диск, което да защитава тези конкретни системни файлове, освен ако не активирате и BitLocker.
Също така е възможно криптираните файлове да могат да "изтекат" в некриптирани зони. Например, ако дадена програма създава временна кеш файл след отваряне на EFS-шифрован документ с чувствителна финансова информация, този кеш файл и неговите чувствителни данни ще се съхраняват некриптирано в друга папка.
Когато BitLocker е по същество функция на Windows, която може да шифрова цялото устройство, EFS се възползва от функциите на самата NTFS файлова система.
Всъщност е възможно да използвате едновременно BitLocker и EFS, тъй като те са различни слоеве на криптиране. Можете да шифровате цялото си устройство и дори след това потребителите на Windows ще могат да активират атрибута "Шифроване" за файлове и папки. Въпреки това, всъщност няма много причини да го направите.
Ако искате шифроване, най-добре е да отидете за шифроване на цял диск под формата на BitLocker. Не само, че това е решение "да го напишеш и забравиш", което можеш да направиш веднъж и да забравиш, също е по-сигурно.
Ние сме склонни да лъскаме над EFS, когато пишем за криптиране на Windows и често споменаваме BitLocker като решение на Microsoft за криптиране на Windows. Има причина за това. Цифровото шифроване на BitLocker е просто по-добро от EFS и би трябвало да използвате BitLocker, ако се нуждаете от шифроване.
Защо EFS дори съществува? Една от причините е, че това е по-стара функция на Windows. BitLocker бе представен заедно с Windows Vista. EFS бе въведена отново в Windows 2000.
В един момент BitLocker може да е забавил цялостната производителност на операционната система, докато EFS би бил малко по-лек. Но с доста модерен хардуер това изобщо не трябва да става.
Просто използвайте BitLocker и забравяйте, че Windows дори предлага EFS. Това е по-малко трудно да се използва и е по-сигурно.