Fullstendig diskkryptering representerer en robust beskyttelse mot uautorisert tilgang dersom en datamaskin eller annen enhet blir stjålet. La oss undersøke Windows» innebygde BitLocker og noen alternative løsninger.
Har du noen gang tenkt over den potensielle katastrofen som oppstår når en bærbar datamaskin, slik som den som ble stjålet fra Coplin Health Systems i West Virginia, inneholder data om 43 000 pasienter?
Eller hva med den japanske entreprenøren som mistet en USB-enhet med personopplysninger om hele 460 000 innbyggere?
I begge disse tilfellene var dataene ikke krypterte.
Dette betyr at uvedkommende enkelt kan få tilgang til og utnytte personlige data, for eksempel ved salg på det mørke nettet.
Disse hendelsene har dessverre vist hvor viktig det er med sikkerhet, men det burde ikke være slik. Det er nemlig enkelt å kryptere data.
I de neste avsnittene vil vi utforske diskkryptering, hvordan man bruker BitLocker og noen alternative metoder.
Hva er full diskkryptering?
Full diskkryptering (FDE) innebærer å låse hele lagringsenheten til systemet. Dette forhindrer tilgang til data på kompromitterte enheter. Ved bruk på systemdisker kan det også gi en ekstra sikkerhetskontroll ved oppstart.
BitLocker
Windows Professional, Enterprise og Education versjoner leveres med BitLocker-enhetskryptering som standard.
Med BitLocker kan man passordbeskytte lagringsenhetene, slik at de fungerer som normalt etter at man er logget inn. Det finnes også en gjenopprettingsnøkkel for å tilbakestille passordet, uten denne vil innholdet på disken være utilgjengelig.
Det er også viktig å nevne at dette fungerer på tvers av ulike plattformer. For eksempel vil en disk kryptert i Windows forbli beskyttet selv om den brukes i Linux.
Det er viktig å huske at BitLocker ikke beskytter deg når systemet er opplåst. Krypteringsmekanismene vil være virkningsløse mot for eksempel spionprogrammer som stjeler personlig informasjon, som du kanskje har installert uten å være klar over det. Derfor er dette ikke en erstatning for antivirus- eller antispionprogramvare.
For å begynne, søk etter BitLocker i oppgavelinjen og åpne Administrer BitLocker.
Velg deretter ønsket disk og klikk på Slå på BitLocker.
Den etterfølgende prosessen varierer for operativsystemdisken og andre partisjoner, inkludert eksterne disker.
BitLocker på systemdisker
BitLocker bruker som standard TPM-sikkerhetsbrikken (versjon 1.2 eller nyere) for autentisering. Maskinen starter opp når TPM gir fra seg nøkkelen.
En Trusted Platform Module (TPM) er en brikke som de fleste moderne datamaskiner leveres med. Denne fungerer som en egen brikke som sikrer enhetens integritet. Det kan hende du må aktivere denne dersom systemet ikke automatisk oppdager TPM.
Dersom TPM ikke er aktivert, vil det ikke kreves autentisering før oppstart, og alle som har tilgang til PC-en kan slå den på ved å omgå Windows» påloggingspassord.
For å øke sikkerheten kan du aktivere en PIN-kode før oppstart i lokal gruppepolicyredigering. Da vil TPM-brikken kreve gjenopprettingsnøkkelen og PIN-koden før maskinen kan starte opp.
En fordel med disse brikkene er at de har innebygd beskyttelse mot brute-force-angrep. Angriperen vil bare ha et begrenset antall forsøk før angrepet stoppes.
Husk å konfigurere dette før du starter krypteringen.
Prosessen er relativt enkel. Først åpner du Windows Kjør ved å trykke ⊞+R, skriver gpedit.msc og trykker Enter.
Deretter navigerer du til Datamaskinkonfigurasjon > Administrative maler > Windows-komponenter > BitLocker-stasjonskryptering > Operativsystemstasjoner:
BitLocker-kryptering trenger en PIN-kode eller en forhåndsinnstilt USB-enhet som en form for fysisk autentisering før oppstart.
Deretter kan du velge om du vil kryptere hele disken eller kun den brukte plassen.
Kryptering av hele disken er generelt anbefalt for eldre datamaskiner, da det kan finnes data i de tomme sektorene som kan gjenopprettes med Windows» datagjenopprettingsverktøy.
Velg deretter mellom Ny kryptering eller kompatibel modus. Ny krypteringsmodus er anbefalt for systemdisken. Den kompatible modusen er mer egnet for eksterne disker.
Til slutt er det anbefalt å kjøre BitLocker-systemsjekk i det neste vinduet for å bekrefte at alt fungerer som det skal.
BitLocker på datadisker
Det er enklere å kryptere disse partisjonene og diskene. Du vil bli bedt om å angi et passord.
Når du har kommet hit, er prosessen lik den for kryptering av operativsystemdisken, bortsett fra at BitLocker-systemsjekkene ikke er nødvendige.
Selv om BitLocker er praktisk, er det ikke tilgjengelig for brukere av Windows Home-versjoner. Det nest beste gratis alternativet er Windows Device Encryption, dersom enheten din støtter det.
Dette skiller seg fra BitLocker ved at det krever en TPM-brikke. Det finnes heller ingen mulighet for autentisering før oppstart.
Du kan sjekke tilgjengeligheten under Systeminformasjon. Åpne Windows Kjør, skriv msinfo32 og trykk Enter. Scroll ned og sjekk om «Møter kravene» er nevnt ved siden av Støtte for Enhetskryptering.
Hvis dette ikke er tilfelle, støtter sannsynligvis ikke enheten din enhetskryptering. Du kan likevel kontakte produsentens kundeservice for å finne en eventuell løsning.
Alternativt finnes det flere verktøy for full diskkryptering, både gratis og betalte, som du kan benytte deg av.
VeraCrypt
VeraCrypt er et gratis krypteringsprogram med åpen kildekode for Windows, Mac og Linux. På samme måte som BitLocker kan du kryptere systemdisker, datadisker og eksterne lagringsenheter.
Dette programmet er mer fleksibelt og gir flere muligheter når det kommer til krypteringsalgoritmer. Det kan også kryptere i sanntid. Du kan for eksempel opprette en kryptert beholder og overføre filer for å kryptere dem.
VeraCrypt kan også opprette krypterte skjulte volumer og støtter autentisering før oppstart, på samme måte som BitLocker.
Brukergrensesnittet kan virke litt overveldende, men det finnes mange opplæringsvideoer på for eksempel YouTube som kan hjelpe.
BestCrypt
BestCrypt kan beskrives som en brukervennlig og betalt versjon av VeraCrypt.
Dette programmet gir tilgang til en rekke ulike algoritmer og muligheter for å oppnå full diskkryptering. Det støtter opprettelse av krypterte beholdere og systemdisker.
Du kan også aktivere en passordbeskyttet oppstart.
BestCrypt er et krypteringsverktøy for flere plattformer og kommer med en 21-dagers gratis prøveperiode.
Kommersielle alternativer til BitLocker
Disse består av løsninger for bedrifter basert på volumlisensiering.
ESET
ESET tilbyr full diskkryptering med gode løsninger for ekstern administrasjon. Det gir fleksibilitet med krypteringsløsninger lokalt og i skyen.
Denne funksjonen beskytter harddisker, eksterne disker, e-poster og lignende med 256-biters AES-kryptering som er industristandard.
Du kan også kryptere individuelle filer ved hjelp av File Level Encryption (FLE).
Du kan teste funksjonene med en interaktiv demo eller en 30-dagers gratis prøveperiode.
Symantec
Symantec, fra Broadcom, er en annen stor aktør innen krypteringsløsninger for bedrifter. Deres løsning for full diskkryptering støtter TPM, som sikrer enhetens integritet.
Du får også tilgang til sjekker før oppstart og kryptering av e-post og flyttbare lagringsenheter.
Symantec hjelper deg med å implementere enkel pålogging og kan også beskytte skybaserte applikasjoner. Løsningen støtter smartkort og ulike gjenopprettingsmetoder dersom brukeren glemmer passordet.
Symantec tilbyr også kryptering på filnivå, en monitor for sensitive filer og flere andre funksjoner som gjør dette til en komplett krypteringsløsning.
ZENworks
ZENworks fra Microfocus er den enkleste måten å håndtere AES-256-kryptering på i en organisasjon.
Dette programmet støtter autentisering før oppstart med brukernavn og passord eller et smartkort med PIN-kode. ZENworks har sentralisert nøkkeladministrasjon for å hjelpe brukere som opplever problemer med oppstartspåloggingen.
Du kan lage krypteringspolicyer for enheter og håndheve dem over en standard HTTP-nettforbindelse.
Du kan teste løsningen med en gratis prøveperiode uten å registrere et kredittkort.
FDE vs FLE
Noen ganger er det ikke nødvendig å kryptere hele disken. I slike tilfeller kan det være lurt å beskytte enkeltfiler med filnivåkryptering eller filbasert kryptering (FBE).
FLE er mer vanlig, og vi bruker det ofte uten å være klar over det.
For eksempel er WhatsApp-samtaler ende-til-ende-kryptert. På samme måte blir e-poster som sendes med Proton Mail automatisk kryptert, slik at bare mottakeren kan lese innholdet.
Man kan også beskytte en fil med FLE ved hjelp av verktøy som AxCrypt eller FolderLock.
En fordel med FBE sammenlignet med FDE er at hver fil kan ha sin egen krypteringsnøkkel. Dersom en nøkkel blir kompromittert, vil de andre filene fortsatt være trygge.
Dette fører imidlertid til merarbeid med å administrere flere nøkler.
Konklusjon
Full diskkryptering er viktig når man mister en enhet som inneholder sensitiv informasjon.
Selv om alle brukere har data som må beskyttes, har bedrifter et større behov for diskkryptering.
For privatpersoner er BitLocker det beste krypteringsverktøyet for Windows-brukere. VeraCrypt er et godt alternativ for dem som ikke bryr seg om at brukergrensesnittet ikke er det mest moderne.
Organisasjoner bør ikke stole blindt på andres vurderinger, men heller teste ut ulike løsninger for å finne det beste alternativet. Det viktigste en bedriftseier bør unngå er å låse seg til en enkelt leverandør.
PS: Sjekk gjerne ut vår artikkel om kryptering kontra autentisering for å friske opp de grunnleggende prinsippene.