Hvad er forskellen mellem BitLocker og EFS (Encrypting File System) på Windows?
Windows 10, 8.1, 8 og 7 alle omfatter BitLocker-drevkryptering, men det er ikke den eneste krypteringsløsning, de tilbyder. Windows indeholder også en krypteringsmetode med navnet "krypteringsfilsystemet" eller EFS. Sådan adskiller det sig fra BitLocker.
Dette er kun tilgængeligt på Professional og Enterprise udgaver af Windows. Hjemmeudgaver kan kun bruge den mere begrænsede "enhedskryptering" -funktion, og kun hvis det er en moderne pc, der blev leveret med enheds kryptering aktiveret.
BitLocker er fulddisk kryptering
BitLocker er en fulddisk krypteringsløsning, der krypterer et helt volumen. Når du konfigurerer BitLocker, krypterer du en hel partition - f.eks. Din Windows-systempartition, en anden partition på et internt drev eller endda en partition på et USB-flashdrev eller andre eksterne medier.
Det er muligt kun at kryptere nogle få filer med BitLocker ved at oprette en krypteret containerfil. Denne containerfil er imidlertid i det væsentlige et virtuel diskbillede, og BitLocker virker ved at behandle det som et drev og kryptere hele det.
Hvis du vil kryptere din harddisk for at beskytte følsomme data mod at falde i de forkerte hænder, især hvis din bærbare computer er stjålet, er BitLocker vejen at gå. Det krypterer hele drevet, og du behøver ikke at tænke på hvilke filer der er krypterede, og hvilke der ikke er. Hele systemet bliver krypteret.
Dette afhænger ikke af brugerkonti. Når en administrator aktiverer BitLocker, vil hver enkelt brugerkonto på pc'en have sine filer krypteret. BitLocker bruger computerens betroede platformsmodul - eller TPM-hardware.
Mens "drevkryptering" er mere begrænset på Windows 10 og 8.1, fungerer det tilsvarende på pc'er, hvor den er tilgængelig. Det krypterer hele drevet i stedet for individuelle filer på den.
EFS krypterer individuelle filer
EFS - "krypteringsfilsystemet" - fungerer forskelligt. I stedet for at kryptere hele dit drev, bruger du EFS til at kryptere individuelle filer og mapper, en efter en. Hvor BitLocker er et "sæt det og glem det" system, kræver EFS dig manuelt at vælge de filer, du vil kryptere og ændre denne indstilling.
Det gør du i vinduet File Explorer. Vælg en mappe eller individuelle filer, åbn vinduet Egenskaber, klik på knappen "Avanceret" under Attributter og aktiver indstillingen "Krypter indhold til sikre data".
Denne kryptering er pr. Bruger. Krypterede filer kan kun fås af den særlige brugerkonto, der krypterede dem. Krypteringen er gennemsigtig. Hvis den brugerkonto, der krypterede filerne, er logget ind, vil de kunne få adgang til filerne uden yderligere godkendelse. Hvis en anden brugerkonto er logget ind, vil filerne ikke være tilgængelige.
Krypteringsnøglen er lagret i selve operativsystemet i stedet for at bruge en computers TPM-hardware, og det er muligt, at en hacker kunne udpakke den. Der er ingen fulddrevskryptering, der beskytter de pågældende systemfiler, medmindre du også aktiverer BitLocker.
Det er også muligt, at de krypterede filer kan "lække" ud i ukrypterede områder. Hvis et program f.eks. Opretter en midlertidig cache-fil efter åbning af et EFS-krypteret dokument med følsomme finansielle oplysninger, gemmes cachefilen og dens følsomme data ukrypteret i en anden mappe.
Hvor BitLocker i det væsentlige er en Windows-funktion, som kan kryptere et helt drev, udnytter EFS funktionerne i selve NTFS-filsystemet.
Hvorfor skal du bruge BitLocker, og ikke EFS
Det er faktisk muligt at bruge både BitLocker og EFS på én gang, da de er forskellige lag af kryptering. Du kan kryptere hele dit drev, og selv efter det har Windows-brugere mulighed for at aktivere attributten "Krypter" for filer og mapper. Men der er faktisk ikke meget grund til at gøre det.
Hvis du vil kryptere, er det bedst at gå til fulddisk kryptering i form af BitLocker. Ikke alene er dette en "sæt det og glem det" løsning, du kan aktivere en gang og glemme, det er også mere sikkert.
Vi har tendens til at glosse over EFS, når vi skriver om kryptering på Windows og ofte kun nævner BitLocker som Microsofts løsning til kryptering på Windows. Der er en grund til dette. BitLockers fulddisk-kryptering er lige bedre end EFS, og du skal bruge BitLocker, hvis du har brug for kryptering.
Så hvorfor eksisterer EFS selv? En årsag er, at det er en ældre funktion af Windows. BitLocker blev introduceret sammen med Windows Vista. EFS blev introduceret tilbage i Windows 2000.
På et tidspunkt kunne BitLocker have bremset det samlede operativsystem ydeevne, mens EFS ville have været lidt mere let. Men med moderigtigt moderne hardware bør det slet ikke være tilfældet.
Bare brug BitLocker og glem Windows endda tilbyder EFS. Det er mindre besvær at faktisk bruge og er mere sikker.