Стоит отметить, что BitLocker доступен только в изданиях Professional и Enterprise. В версии Home есть более ограниченная функция шифрования устройства, и то лишь на новых компьютерах, соответствующих определенным критериям.
BitLocker – полнодисковое шифрование
BitLocker – решение для полнодискового шифрования. При использовании BitLocker шифруется весь раздел – например, системный диск Windows, другой раздел на внутреннем диске, на USB-диске или другом внешнем носителе.
С помощью BitLocker можно зашифровать и небольшую группу файлов, создав для этого шифрованный файл-контейнер. Но по сути он представляет собой образ виртуального диска, и BitLocker воспринимает его как отдельный диск, шифруемый целиком.
Если вам требуется зашифровать весь диск, чтобы защитить данные от попадания в посторонние руки, особенно в случае кражи ноутбука, BitLocker – идеальное решение. Шифруется весь диск, так что не нужно беспокоиться об отдельных файлах. Зашифрована будет вся система.
При этом шифрование не зависит от учетных записей. Когда администратор включает BitLocker, шифруются файлы всех пользователей данного компьютера. Для работы BitLocker используется криптопроцессор TPM, установленный на компьютере.
Шифрование устройства, доступное на отдельных устройствах с Windows 10 и 8.1, менее функционально, но работает аналогичным образом. Шифруется весь диск целиком, а не отдельные файлы на нем.
EFS – шифрование отдельных файлов
Шифрованная файловая система (EFS) устроена по-другому. Вместо шифрования всего диска она шифрует отдельные файлы и папки. BitLocker – решение типа «настроил и забыл», а вот для использования EFS нужно выбрать конкретные файлы и включить соответствующую опцию.
Делается это в окне Проводника. Выделите папку или отдельные файлы, откройте окно свойств, нажмите кнопку «Другие» (Advanced) в разделе «Атрибуты» (Attributes) и поставьте флажок «Шифровать содержимое для защиты данных» (Encrypt contents to secure data).
Это шифрование действует на уровне отдельных учетных записей. Доступ к зашифрованным файлам может получить только пользователь, их зашифровавший. При этом ему не потребуется дополнительно вводить никакие пароли для работы с файлами – они будут открываться как обычно. А вот если в систему войти с другой учетной записью, файлы будут недоступны.
Ключ шифрования хранится в самой операционной системе, а не в аппаратном модуле TPM, и злоумышленник теоретически может его извлечь. Защитить системные файлы (в том числе ключ) от атаки можно только с помощью BitLocker.
Кроме того, зашифрованные файлы могут нечаянно попасть в незашифрованные области. Например, если при открытии конфиденциального документа, зашифрованного посредством EFS, программа создаст временный кэш-файл в другой папке, то содержимое документа окажется в этом кэш-файле без шифрования.
Если BitLocker – функция Windows, способная зашифровать весь диск целиком, то EFS для шифрования использует функции непосредственно файловой системы NTFS.
Почему BitLocker лучше EFS
BitLocker и EFS можно использовать одновременно, поскольку это шифрование на разных уровнях. Можно зашифровать весь диск, а после этого каждый пользователь Windows при желании сможет зашифровать еще и отдельные файлы или папки. Но особого смысла в этом нет.
Если требуется шифрование, лучше выбрать полнодисковый вариант – то есть BitLocker. И не только потому, что его достаточно настроить один раз и забыть, но еще и по той причине, что это решение гораздо безопаснее.
Во многих статьях о шифровании в Windows о EFS вообще не упоминается – BitLocker подается как единственное решение Microsoft для шифрования, и это не случайность. Полнодисковое шифрование BitLocker гораздо лучше EFS, поэтому лучше использовать именно его.
Зачем тогда EFS вообще существует? Одна из причин в том, что это просто более старая функция. BitLocker появился в Windows Vista, а EFS – еще в Windows 2000.
Было время, когда BitLocker замедлял работу всей операционной системы, в то время как EFS представляет собой совсем не требовательное решение. Но на современных компьютерах BitLocker никак не влияет на производительность.
Короче говоря, пользуйтесь BitLocker и забудьте вообще, что в Windows есть EFS. BitLocker гораздо проще и безопаснее.
