BitLocker thực sự mã hóa cái gì và khi nào?

Tôi cần mã hóa toàn bộ đĩa cho máy tính xách tay doanh nghiệp chạy phiên bản Windows 10 Pro hiện tại. Các máy tính có ổ SSD NVMe của Samsung và CPU Intel Core i5-8000.

Từ một số nghiên cứu web hiện nay, hiện chỉ có hai tùy chọn có sẵn: Microsoft BitLocker và VeraCrypt. Tôi hoàn toàn nhận thức được trạng thái của nguồn mở và đóng và các tác động bảo mật đi kèm với điều đó.

Sau khi đọc một số thông tin về BitLocker, cái mà tôi chưa từng sử dụng trước đây, tôi có cảm tưởng rằng bắt đầu với Windows 10 BitLocker chỉ mã hóa dữ liệu mới được ghi trên đĩa chứ không phải mọi thứ đã tồn tại, vì lý do hiệu suất. (Tài liệu đó nói rằng tôi có một lựa chọn, nhưng tôi thì không. Họ không hỏi tôi muốn gì sau khi kích hoạt nó.) Tôi đã sử dụng mã hóa hệ thống TrueCrypt trong quá khứ và biết rằng mã hóa dữ liệu hiện tại là một nhiệm vụ hữu hình Một vài giờ. Tôi không thể quan sát hành vi như vậy với BitLocker. Không có hoạt động CPU hoặc đĩa nền đáng chú ý.

Kích hoạt BitLocker thực sự dễ dàng. Nhấp vào nút, lưu khóa khôi phục ở nơi an toàn, được thực hiện. Quá trình tương tự với VeraCrypt khiến tôi từ bỏ ý tưởng. Tôi cần phải thực sự tạo ra một thiết bị phục hồi hoạt động hoàn toàn, ngay cả cho mục đích thử nghiệm trên hệ thống vứt đi.

Tôi cũng đã đọc rằng VeraCrypt hiện có một lỗi thiết kế khiến một số SSD NVMe cực kỳ chậm với mã hóa hệ thống. Tôi không thể xác minh nó vì thiết lập quá phức tạp. Ít nhất là sau khi kích hoạt BitLocker, tôi không thể thấy sự thay đổi đáng kể về hiệu suất đĩa. Ngoài ra, nhóm VeraCrypt không có đủ tài nguyên để khắc phục "lỗi phức tạp" đó. Ngoài ra, các bản nâng cấp Windows 10 không thể hoạt động với VeraCrypt , điều này khiến cho việc mã hóa toàn bộ đĩa thường xuyên trở nên cần thiết. Tôi hy vọng BitLocker hoạt động tốt hơn ở đây.

Vì vậy, tôi gần như đã quyết định sử dụng BitLocker. Nhưng tôi cần phải hiểu những gì nó làm. Thật không may, gần như không có thông tin về nó trực tuyến. Hầu hết bao gồm các bài đăng trên blog cung cấp một cái nhìn tổng quan nhưng không có thông tin chuyên sâu ngắn gọn. Vì vậy, tôi đang hỏi ở đây.

Sau khi kích hoạt BitLocker trên hệ thống một ổ đĩa, điều gì xảy ra với dữ liệu hiện có? Điều gì xảy ra với dữ liệu mới? "Đình chỉ BitLocker" nghĩa là gì? (Không giống như tắt vĩnh viễn nó và do đó giải mã tất cả dữ liệu trên đĩa.) Làm cách nào tôi có thể kiểm tra trạng thái mã hóa hoặc buộc mã hóa tất cả dữ liệu hiện có? (Tôi không có nghĩa là không gian chưa sử dụng, tôi không quan tâm đến điều đó và cần có SSD, xem TRIM.) Có một số dữ liệu và hành động chi tiết hơn về BitLocker ngoài "tạm dừng" và "giải mã" không?

Và có lẽ trên một lưu ý phụ, BitLocker liên quan đến EFS (hệ thống tệp được mã hóa) như thế nào? Nếu chỉ các tệp mới được viết được mã hóa, EFS dường như có hiệu ứng rất giống nhau. Nhưng tôi biết cách vận hành EFS, điều đó dễ hiểu hơn nhiều.

Kích hoạt BitLocker sẽ bắt đầu một quy trình nền mã hóa tất cả dữ liệu hiện có. (Trên ổ cứng truyền thống này là một quá trình dài như nó cần phải đọc và viết lại mọi lĩnh vực phân vùng -. Trên đĩa tự mã hóa nó có thể ngay lập tức) Vì vậy, khi người ta nói rằng chỉ dữ liệu mới bằng văn bản được mã hóa, nó liên quan tới nhà nước ngay lập tức sau khi kích hoạt BitLocker và không còn đúng nữa khi tác vụ mã hóa nền kết thúc. Có thể thấy trạng thái của quá trình này trong cùng cửa sổ bảng điều khiển BitLocker và tạm dừng nếu cần.

Bài viết của Microsoft cần phải được đọc một cách cẩn thận: nó thực sự nói về việc mã hóa chỉ các khu vực được sử dụng của đĩa. Họ chỉ quảng cáo rằng điều này có tác động lớn nhất đến các hệ thống mới, nơi bạn chưa có bất kỳ dữ liệu nào ngoài HĐH cơ sở (và do đó tất cả dữ liệu sẽ được "viết mới"). Đó là, Windows 10 sẽ mã hóa tất cả các tệp hiện có của bạn sau khi kích hoạt - đơn giản là nó sẽ không lãng phí thời gian để mã hóa các thành phần đĩa chưa chứa bất cứ thứ gì. (Bạn có thể từ chối tối ưu hóa này thông qua Chính sách nhóm.)

(Bài viết cũng chỉ ra một nhược điểm: các khu vực đã lưu các tệp đã xóa trước đó cũng sẽ bị bỏ qua là "không sử dụng". Vì vậy, nếu mã hóa một hệ thống được sử dụng tốt, hãy xóa sạch không gian trống bằng công cụ, sau đó để Windows chạy TRIM nếu bạn có SSD, tất cả trước khi kích hoạt BitLocker. Hoặc sử dụng Chính sách nhóm để tắt hành vi này.)

Trong cùng một bài viết cũng vậy, có một đề cập đến các phiên bản Windows gần đây hỗ trợ SSD tự mã hóa bằng cách sử dụng tiêu chuẩn OPAL. Vì vậy, lý do tại sao bạn không thấy bất kỳ I / O nền nào có thể là do SSD đã được mã hóa nội bộ từ ngày đầu tiên và BitLocker đã nhận ra điều này và chỉ đảm nhận việc quản lý khóa cấp SSD thay vì sao chép nỗ lực mã hóa ở cấp độ HĐH. Đó là, SSD không còn tự mở khóa khi bật nguồn mà yêu cầu Windows làm như vậy. Điều này có thể bị vô hiệu hóa thông qua Chính sách nhóm, nếu bạn thích HĐH xử lý mã hóa bất kể.

Đình chỉ BitLocker khiến bản sao văn bản gốc của khóa 'chính' được ghi trực tiếp vào đĩa. (Thông thường khóa chính này được mã hóa đầu tiên bằng mật khẩu của bạn hoặc bằng TPM.) Trong khi bị treo, điều này cho phép đĩa tự mở khóa - rõ ràng là trạng thái không an toàn, nhưng nó cho phép Windows Update lập trình lại TPM để phù hợp với hệ điều hành được nâng cấp , ví dụ. Tiếp tục BitLocker chỉ cần xóa khóa đơn giản này khỏi đĩa.

BitLocker không liên quan đến EFS - cái sau hoạt động ở cấp độ tệp, liên kết các khóa với tài khoản người dùng Windows (cho phép cấu hình chi tiết nhưng không thể mã hóa các tệp của chính hệ điều hành), trong khi trước đây hoạt động ở cấp toàn bộ đĩa. Chúng có thể được sử dụng cùng nhau, mặc dù BitLocker chủ yếu làm cho EFS trở nên dư thừa.

(Lưu ý rằng cả BitLocker và EFS đều có cơ chế để quản trị viên Active Directory của công ty khôi phục dữ liệu được mã hóa - cho dù bằng cách sao lưu khóa chính BitLocker trong AD hoặc bằng cách thêm tác nhân khôi phục dữ liệu EFS vào tất cả các tệp.)