Мне нужно полное шифрование диска для бизнес-ноутбуков, работающих под управлением текущей версии Windows 10 Pro. Компьютеры имеют твердотельный накопитель NVMe от Samsung и процессор Intel Core i5-8000.
Из сегодняшних веб-исследований на данный момент доступно только два варианта: Microsoft BitLocker и VeraCrypt. Я полностью осведомлен о состоянии открытого и закрытого источника и о последствиях для безопасности, которые с этим связаны.
После прочтения некоторой информации о BitLocker, которую я никогда раньше не использовал, у меня сложилось впечатление, что начиная с Windows 10 BitLocker шифрует только новые записанные данные на диске, но не все, что уже существует, по соображениям производительности. (Эта документация говорит, что у меня есть выбор, но я не делаю. Они не спросили меня, что я хочу после активации.) В прошлом я использовал системное шифрование TrueCrypt и знаю, что существующее шифрование данных является видимой задачей, которая занимает несколько часов. Я не могу наблюдать такое поведение с BitLocker. Нет заметного фонового процессора или активности диска.
Активировать BitLocker действительно легко. Нажмите кнопку, сохраните ключ восстановления в безопасном месте, готово. Тот же процесс с VeraCrypt заставил меня отказаться от этой идеи. Мне нужно было создать полностью работающее устройство восстановления, даже для тестирования на одноразовой системе.
Я также читал, что VeraCrypt в настоящее время имеет недостаток дизайна, который делает некоторые твердотельные накопители NVMe чрезвычайно медленными с системным шифрованием. Я не могу проверить это, потому что установка слишком сложна. По крайней мере, после активации BitLocker я не вижу значительного изменения производительности диска. Также у команды VeraCrypt недостаточно ресурсов для исправления этой "сложной ошибки". Кроме того, обновления Windows 10 не могут работать с VeraCrypt на месте, что делает необходимым частое полное шифрование диска и необходимое шифрование. Я надеюсь, что BitLocker работает лучше здесь.
Так что я почти остановился на использовании BitLocker. Но мне нужно понять, что он делает. К сожалению, в интернете практически нет информации об этом. Большинство состоит из постов в блоге, которые дают обзор, но не содержат краткой и углубленной информации. Поэтому я спрашиваю здесь.
Что происходит с существующими данными после активации BitLocker в системе с одним диском? Что происходит с новыми данными? Что значит "приостановить BitLocker"? (Не то же самое, что деактивировать его навсегда и тем самым расшифровать все данные на диске.) Как я могу проверить состояние шифрования или принудительно зашифровать все существующие данные? (Я не имею в виду неиспользуемое пространство, меня это не волнует, и оно требуется для твердотельных накопителей, см. TRIM.) Есть ли более подробные данные и действия о BitLocker, кроме "приостановить" и "расшифровать"?
И, возможно, на заметку, как BitLocker относится к EFS (зашифрованная файловая система)? Если только недавно записанные файлы зашифрованы, EFS, похоже, имеет очень похожий эффект. Но я знаю, как работать с EFS, это гораздо понятнее.