BitLocker वास्तव में एन्क्रिप्ट और कब करता है?

34

मुझे विंडोज़ 10 प्रो के वर्तमान संस्करण को चलाने वाले व्यावसायिक लैपटॉप कंप्यूटरों के लिए पूर्ण डिस्क एन्क्रिप्शन की आवश्यकता है। कंप्यूटर में सैमसंग से एक NVMe SSD ड्राइव और एक Intel Core i5-8000 CPU है।

आज कुछ वेब रिसर्च से, वर्तमान में केवल दो विकल्प उपलब्ध हैं: Microsoft BitLocker और VeraCrypt। मैं खुले और बंद स्रोत की स्थिति और उस के साथ आने वाले सुरक्षा निहितार्थ से पूरी तरह अवगत हूं।

BitLocker के बारे में कुछ जानकारी पढ़ने के बाद, जिसका मैंने पहले कभी उपयोग नहीं किया था, मुझे यह आभास होता है कि Windows 10 BitLocker से शुरू होने पर डिस्क पर नए लिखित डेटा को एन्क्रिप्ट किया जाता है, लेकिन प्रदर्शन कारणों से पहले से मौजूद हर चीज को नहीं। (उस दस्तावेज में कहा गया है कि मेरे पास एक विकल्प है, लेकिन मैं नहीं करता। उन्होंने मुझसे यह नहीं पूछा कि मैं इसे सक्रिय करने के बाद क्या चाहता हूं।) मैंने अतीत में ट्रू-क्रिप्ट सिस्टम एन्क्रिप्शन का उपयोग किया है और जानता हूं कि मौजूदा डेटा एन्क्रिप्शन एक दृश्य कार्य है जो लेता है। कुछ घंटे। मैं BitLocker के साथ इस तरह के व्यवहार का निरीक्षण नहीं कर सकता। कोई ध्यान देने योग्य पृष्ठभूमि सीपीयू या डिस्क गतिविधि नहीं।

BitLocker को सक्रिय करना वास्तव में आसान है। एक बटन पर क्लिक करें, वसूली की कुंजी को कहीं सुरक्षित रूप से सहेजें, किया। VeraCrypt के साथ एक ही प्रक्रिया ने मुझे इस विचार को छोड़ दिया। मुझे वास्तव में एक पूरी तरह से काम कर रहे पुनर्प्राप्ति डिवाइस बनाने की आवश्यकता थी, यहां तक ​​कि फेंक-दूर प्रणाली पर परीक्षण के प्रयोजनों के लिए भी।

मैंने यह भी पढ़ा है कि वर्तमान में VeraCrypt में एक डिज़ाइन दोष है जो कुछ NVMe SSDs को सिस्टम एन्क्रिप्शन के साथ बेहद धीमा बनाता है। मैं इसे सत्यापित नहीं कर सकता क्योंकि सेटअप बहुत जटिल है। कम से कम BitLocker को सक्रिय करने के बाद, मैं डिस्क प्रदर्शन में महत्वपूर्ण बदलाव नहीं देख सकता। इसके अलावा VeraCrypt टीम के पास "जटिल बग" को ठीक करने के लिए अपर्याप्त संसाधन हैं। इसके अतिरिक्त, विंडोज 10 अपग्रेड VeraCrypt के साथ काम नहीं कर सकता है , जो लगातार फुल-डिस्क डे और एनक्रिप्ट को आवश्यक बनाता है। मुझे उम्मीद है कि BitLocker यहां बेहतर काम करेगा।

तो मैं लगभग BitLocker का उपयोग करने पर बस गया हूँ लेकिन मुझे यह समझने की जरूरत है कि यह क्या करता है। दुर्भाग्य से, ऑनलाइन इसके बारे में लगभग कोई जानकारी नहीं है। अधिकांश में ऐसे ब्लॉग पोस्ट होते हैं जो एक संक्षिप्त विवरण देते हैं लेकिन कोई संक्षिप्त जानकारी नहीं है। इसलिए मैं यहां पूछ रहा हूं।

सिंगल-ड्राइव सिस्टम पर BitLocker को सक्रिय करने के बाद, मौजूदा डेटा का क्या होता है? नए डेटा का क्या होता है? "BitLocker को निलंबित" करने का क्या मतलब है? (इसे स्थायी रूप से निष्क्रिय करने और डिस्क पर सभी डेटा को डिक्रिप्ट करने के समान नहीं है।) मैं एन्क्रिप्शन स्थिति की जांच कैसे कर सकता हूं या सभी मौजूदा डेटा के एन्क्रिप्शन को मजबूर कर सकता हूं? (मुझे अप्रयुक्त स्थान से कोई मतलब नहीं है, मुझे इसकी परवाह नहीं है, और यह SSDs के लिए आवश्यक है, TRIM देखें।) क्या "सस्पेंड" और "डिक्रिप्ट" के अलावा BitLocker के बारे में कुछ और विस्तृत डेटा और क्रियाएं हैं?

और शायद एक साइड नोट पर, BitLocker EFS (एन्क्रिप्टेड फ़ाइल सिस्टम) से कैसे संबंधित है? यदि केवल नई लिखित फ़ाइलों को एन्क्रिप्ट किया गया है, तो EFS का बहुत समान प्रभाव पड़ता है। लेकिन मुझे पता है कि ईएफएस को कैसे संचालित करना है, यह बहुत अधिक समझ में आता है।

windows-10  ssd  encryption  bitlocker 
ygoe
स्रोत

जवाबों:

41

BitLocker को सक्रिय करना एक पृष्ठभूमि प्रक्रिया शुरू करेगा जो सभी मौजूदा डेटा को एन्क्रिप्ट करता है। (एचडीडी पर यह पारंपरिक रूप से एक लंबी प्रक्रिया है क्योंकि इसे हर विभाजन क्षेत्र को पढ़ने और फिर से लिखने की आवश्यकता है - स्व-एन्क्रिप्टिंग डिस्क पर यह तत्काल हो सकता है।) इसलिए जब यह कहा जाता है कि केवल नव लिखित डेटा एन्क्रिप्ट किया गया है, तो यह राज्य को तुरंत संदर्भित करता है। BitLocker सक्रियण के बाद और पृष्ठभूमि एन्क्रिप्शन कार्य समाप्त होने के बाद यह अब सच नहीं है। इस प्रक्रिया की स्थिति को उसी BitLocker कंट्रोल पैनल विंडो में देखा जा सकता है, और यदि आवश्यक हो तो रोका जा सकता है।

Microsoft आलेख को ध्यान से पढ़ने की आवश्यकता है: यह वास्तव में डिस्क के केवल उपयोग किए गए क्षेत्रों को एन्क्रिप्ट करने के बारे में बात करता है। वे इसे केवल ताजे सिस्टम पर सबसे बड़ा प्रभाव होने के रूप में विज्ञापित करते हैं, जहां आपके पास अभी तक आधार ओएस के अलावा कोई डेटा नहीं है (और इसलिए सभी डेटा "नए लिखित" होंगे)। यही है, विंडोज 10 सक्रियण के बाद आपकी सभी मौजूदा फ़ाइलों को एन्क्रिप्ट करेगा - यह बस डिस्क क्षेत्रों को एन्क्रिप्ट करने में समय बर्बाद नहीं करेगा जिसमें अभी तक कुछ भी शामिल नहीं है। (आप समूह नीति के माध्यम से इस अनुकूलन से बाहर निकल सकते हैं।)

(लेख एक नकारात्मक पहलू भी बताता है: जो क्षेत्र पहले हटाए गए फ़ाइलों को "अप्रयुक्त" के रूप में छोड़ दिया जाएगा। इसलिए यदि एक अच्छी तरह से उपयोग की गई प्रणाली को एन्क्रिप्ट करना है, तो एक टूल का उपयोग करके एक फ्री-स्पेस वाइप करें, और फिर विंडोज को टीआरआईएम चलाने दें। आपके पास एक SSD है, BitLocker को सक्रिय करने से पहले। या इस व्यवहार को निष्क्रिय करने के लिए समूह नीति का उपयोग करें।)

उसी लेख में, हाल ही में, OPAL मानक का उपयोग करते हुए SSDs को स्व-एन्क्रिप्ट करने वाले विंडोज़ वर्जन का भी उल्लेख किया गया है। तो इसका कारण यह है कि आप किसी भी पृष्ठभूमि I / O को नहीं देखते हैं क्योंकि SSD को पहले ही दिन से आंतरिक रूप से एन्क्रिप्ट किया गया था, और BitLocker ने इसे मान्यता दी और केवल OS स्तर पर एन्क्रिप्शन प्रयास को डुप्लिकेट करने के बजाय SSD- स्तर के प्रमुख प्रबंधन को संभाला । यही है, एसएसडी अब खुद को पावर-ऑन पर अनलॉक नहीं करता है, लेकिन विंडोज को ऐसा करने की आवश्यकता होती है। इसे ग्रुप पॉलिसी के माध्यम से अक्षम किया जा सकता है, अगर आप परवाह किए बिना एन्क्रिप्शन को संभालने के लिए ओएस पसंद करते हैं।

BitLocker को निलंबित करने से डिस्क पर सीधे लिखी जाने वाली 'मास्टर' कुंजी की एक सादे कॉपी की वजह बनती है। (आमतौर पर इस मास्टर कुंजी को पहले आपके पासवर्ड के साथ या एक टीपीएम के साथ एन्क्रिप्ट किया जाता है।) निलंबित करते समय, यह डिस्क को अपने आप अनलॉक करने की अनुमति देता है - स्पष्ट रूप से एक असुरक्षित स्थिति, लेकिन यह विंडोज अपडेट को उन्नत ओएस से मेल करने के लिए टीपीएम को फिर से शुरू करने की अनुमति देता है। , उदाहरण के लिए। फिर से शुरू BitLocker बस डिस्क से इस सादे कुंजी पोंछे।

BitLocker EFS से संबंधित नहीं है - फ़ाइल स्तर पर उत्तरार्द्ध काम करता है, विंडोज उपयोगकर्ता खातों की कुंजी को संबद्ध करता है (ठीक-दाने वाले कॉन्फ़िगरेशन की अनुमति देता है, लेकिन ओएस की अपनी फ़ाइलों को एन्क्रिप्ट करना असंभव बनाता है), जबकि पूर्व पूरे-डिस्क स्तर पर काम करता है। उनका उपयोग एक साथ किया जा सकता है, हालांकि बिटक्लोअर ज्यादातर EFS को बेमानी बनाता है।

(ध्यान दें कि एन्क्रिप्ट किए गए डेटा को पुनर्प्राप्त करने के लिए BitLocker और EFS दोनों के पास कॉर्पोरेट सक्रिय निर्देशिका व्यवस्थापकों के लिए तंत्र है - चाहे AD में BitLocker मास्टर कुंजी का बैकअप ले या सभी फ़ाइलों में EFS डेटा रिकवरी एजेंट जोड़कर ।)

grawity
स्रोत
अच्छा अवलोकन, धन्यवाद। अंतिम वाक्य के बारे में: मुझे कई उपयोग मामले दिखाई देते हैं - BitLocker कंपनी के बाहर के लोगों के खिलाफ मेरी हार्ड डिस्क को एन्क्रिप्ट करता है, लेकिन मेरा आईटी समूह मेरी अनुपस्थिति में सभी डेटा तक पहुंच सकता है , क्योंकि उनके पास मास्टर कुंजी है। ईएफएस उन दस्तावेजों के लिए अच्छी तरह से काम करता है जो मैं नहीं चाहता कि मेरा आईटी विभाग या मेरा प्रबंधक पहुंच सके।
अगंजू
6
@ अगनजू: इसी आईटी समूह ने शायद पहले से ही एक पॉलिसी तैनात कर रखी है, जो ईएफएस डेटा रिकवरी एजेंट तैयार करती है । यदि आपके पास ऐसे दस्तावेज हैं जो आप नहीं चाहते हैं कि आपका आईटी विभाग एक्सेस करे, तो उन्हें कंपनी डिवाइस पर स्टोर न करें।
विशालकाय
2
"Bitlocker (...) सभी मौजूदा डेटा (...) पूरे डिस्क स्तर पर काम करता है" -> आप विभाजन का उल्लेख करना भूल गए। 2 विभाजन के साथ एक HDD के साथ, मैंने उनमें से केवल 1 को एन्क्रिप्ट करने के लिए Bitlocker को सक्रिय किया (एक डेटा के साथ, ओएस नहीं)। जब एक लिनक्स-आधारित ओएस के साथ बूट किया जाता है, तो केवल अनएन्क्रिप्टेड विभाजन के डेटा को पढ़ा जा सकता है।
CPHPython
@CPHPython: यह सच है, और यह वह जगह है जहाँ यह शायद असंगत हो जाता है - सॉफ्टवेयर मोड में यह सिर्फ एक विभाजन को एन्क्रिप्ट करने में सक्षम है, लेकिन SSD (OPAL2) मोड में मुझे यकीन नहीं है कि यह क्षमता मौजूद है। मुझे लगता है कि यह पूरी ड्राइव को बंद कर देता है और (जहाँ तक मैं ओपल को समझने में कामयाब रहा) 'पीबीए' किसी भी ओएस के चलने से पहले इसे अनलॉक कर देगा ।
ग्रैविटी
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.