Hva er forskjellen mellom BitLocker og EFS (Encrypting File System) på Windows?
Windows 10, 8.1, 8 og 7 alle inkluderer BitLocker-stasjonskryptering, men det er ikke den eneste krypteringsløsningen de tilbyr. Windows inneholder også en krypteringsmetode kalt "krypteringsfilsystemet", eller EFS. Slik er det forskjellig fra BitLocker.
Dette er bare tilgjengelig på profesjonelle og Enterprise-utgaver av Windows. Hjemmeutgaver kan bare bruke den mer begrensede "enhetskryptering" -funksjonen, og bare hvis det er en moderne PC som leveres med enhetskryptering aktivert.
BitLocker er fulldiskkryptering
BitLocker er en fulldisk-krypteringsløsning som krypterer et helt volum. Når du konfigurerer BitLocker, krypterer du en hel partisjon - for eksempel Windows-systempartisjonen, en annen partisjon på en intern stasjon eller en partisjon på en USB-flash-stasjon eller annen ekstern media.
Det er mulig å kryptere bare noen få filer med BitLocker ved å opprette en kryptert containerfil. Denne beholderfilen er imidlertid hovedsakelig et virtuelt diskbilde, og BitLocker fungerer ved å behandle det som en stasjon og kryptere hele greia.
Hvis du skal kryptere harddisken din for å beskytte sensitive data fra å falle i feil hender, spesielt hvis den bærbare datamaskinen er stjålet, er BitLocker veien å gå. Det krypterer hele stasjonen, og du trenger ikke å tenke på hvilke filer som er kryptert og hvilke som ikke er. Hele systemet blir kryptert.
Dette avhenger ikke av brukerkontoer. Når en administrator aktiverer BitLocker, vil hver enkelt brukerkonto på PCen ha sine filer kryptert. BitLocker bruker datamaskinens pålitelige plattformmodul - eller TPM-maskinvare.
Mens "stasjonskryptering" er mer begrenset på Windows 10 og 8.1, fungerer den på samme måte på PCer der den er tilgjengelig. Den krypterer hele stasjonen i stedet for individuelle filer på den.
EFS krypterer individuelle filer
EFS - "krypteringsfilsystemet" - fungerer annerledes. I stedet for å kryptere hele stasjonen, bruker du EFS til å kryptere individuelle filer og kataloger, en etter en. Når BitLocker er et "sett det og glem det" -systemet, krever EFS at du manuelt velger filene du vil kryptere og endre denne innstillingen.
Du gjør dette fra Filutforsker-vinduet. Velg en mappe eller individuelle filer, åpne Egenskaper-vinduet, klikk på "Avansert" -knappen under Attributter, og aktiver alternativet "Krypter innhold for sikre data"..
Denne kryptering er per bruker. Krypterte filer kan bare nås av den bestemte brukerkontoen som krypterte dem. Kryptering er gjennomsiktig. Hvis brukerkontoen som krypterte filene er logget inn, vil de kunne få tilgang til filene uten ytterligere godkjenning. Hvis en annen brukerkonto er logget inn, vil filene ikke være tilgjengelige.
Krypteringsnøkkelen lagres i selve operativsystemet i stedet for å bruke datamaskinens TPM-maskinvare, og det er mulig at en angriper kan trekke den ut. Det er ingen full-drev kryptering som beskytter de spesifikke systemfilene, med mindre du også aktiverer BitLocker.
Det er også mulig at de krypterte filene kan "lekke" ut i ukrypterte områder. Hvis et program for eksempel oppretter en midlertidig cachefil etter å ha åpnet et EFS-kryptert dokument med sensitiv finansiell informasjon, vil denne cachefilen og dens sensitive data lagres ukryptert i en annen mappe.
Hvor BitLocker er i hovedsak en Windows-funksjon som kan kryptere en hel stasjon, benytter EFS funksjonene i selve NTFS-filsystemet.
Hvorfor du bør bruke BitLocker, og ikke EFS
Det er faktisk mulig å bruke både BitLocker og EFS samtidig, da de er forskjellige krypteringslag. Du kan kryptere hele stasjonen din, og etter dette kan Windows-brukere aktivere "Krypter" -attributtet for filer og mapper. Men det er ikke egentlig mye grunn til å gjøre det.
Hvis du vil kryptere, er det best å gå for fulldisk-kryptering i form av BitLocker. Ikke bare er dette en "sett den og glem det" løsningen du kan aktivere en gang og glemme, det er også mer sikker.
Vi har en tendens til å glosse over EFS når vi skriver om kryptering på Windows, og nevner ofte bare BitLocker som Microsofts løsning for kryptering på Windows. Det er en grunn til dette. BitLockers fulldisk-kryptering er bare overlegen til EFS, og du bør bruke BitLocker hvis du trenger kryptering.
Så hvorfor eksisterer EFS selv? En grunn er at det er en eldre funksjon av Windows. BitLocker ble introdusert sammen med Windows Vista. EFS ble introdusert tilbake i Windows 2000.
På et tidspunkt kan BitLocker ha redusert total operativsystemytelse, mens EFS ville vært litt mer lett. Men med rimelig moderne maskinvare, bør dette ikke være tilfelle i det hele tatt.
Bare bruk BitLocker og glem Windows selv tilbyr EFS. Det er mindre av et problem å faktisk bruke og er sikrere.