笔记本电脑被盗的主要隐患不仅仅是丢失实体设备,而是任何未加密的硬盘都可以通过任何电脑访问。值得庆幸的是,Windows 提供了强大的内置安全功能,了解如何使用它们至关重要。
不愿接受加密
包括我在内的许多人长期以来一直不愿使用 BitLocker,因为他们担心无意中锁定自己宝贵的文件。我并非唯一一个有这种担忧的人。
一些用户在 BIOS 更新后,BitLocker 会在启动过程中请求恢复密钥,导致无法恢复数据,这令人毛骨悚然。这是因为保存加密配置的可信平台模块 (TPM) 芯片将 BIOS 更改视为潜在的安全威胁。如果没有恢复密钥,您的数据将无法访问。
另一个误解是,许多人认为自己丢失了任何有价值的东西。然而,只需稍加思考就能发现潜在的损失——短信、财务记录、珍贵的家庭照片、保存了密码的网站以及各种个人文件。事实上,笔记本电脑被盗造成的损失可能远不止设备本身。
了解性能影响
与加密相关的一个合理担忧是其对性能的潜在影响。在我使用三星 970 EVO Plus 256GB进行的测试中,我发现加密激活后顺序读取速度大幅下降(约 25%)(2747 MB/s,而非加密状态下为3450 MB/s)。与此同时,顺序写入速度基本保持不变,约为2300 MB/s。
禁用加密后,随机读取速度明显加快,应用程序启动和文件访问也随之加快。然而,虽然基准测试结果显示出了差异,但实际体验可能并未反映出如此巨大的变化——速度上的变化可能只是些许提升,而非彻底的提升。
启用设备加密的案例
现代智能手机,无论是 iPhone 还是 Android,通常只需启用锁屏安全功能即可加密您的数据。同样,搭载 T2 芯片的 Apple 电脑也配备了开箱即用的自动数据加密功能。这种无缝衔接的功能正是我们想要的——数据保护功能在我们执行日常任务时,在后台悄悄运行。
如果有人偷了你的笔记本电脑,而且它没有加密,他们可以轻松地移除硬盘,将其连接到另一台机器,然后访问你的文件。然而,如果启用了加密,硬盘需要格式化才能使用,所有现有数据都会被清除。
在出售或捐赠旧设备时,加密的必要性就更加明显。知道您的数据通过加密得到保护可以减轻您的担忧——即使您忘记擦除驱动器,新用户在没有解密密钥的情况下也无法访问您的信息。
对于处理敏感客户数据的企业来说,这项安全措施至关重要。未加密的笔记本电脑存储着客户信息,可能会严重损害企业声誉,甚至引发诉讼。对于个人用户而言,加密带来的安心无疑是值得的。
如果微软的内置加密功能无法满足您的需求,或者您需要更大的灵活性,那么您可以使用众多适用于 Windows 的第三方加密应用程序,例如 VeraCrypt、Boxcryptor 或 Cryptomator。这些应用程序提供独立于 Windows 帐户的强大加密选项,只需输入密码即可在任何计算机上访问。
激活设备加密
最近,微软已开始在新安装的 Windows 11 系统中自动启用设备加密,无论采用何种安装路径。无论您选择 Microsoft 帐户还是本地帐户,加密都默认启用。
一个关键的区别在于恢复密钥的管理方式。使用 Microsoft 帐户登录时,恢复密钥会保存在云端。相反,使用本地帐户登录时,恢复密钥只会存储在设备上,导致只能提供部分保护,并且缺乏适当的备份。
要完成加密过程,需要切换到 Microsoft 帐户 – 这将安全地将恢复密钥上传到云端。
如果您最近升级到新电脑或完成了 Windows 11 的全新安装,建议您检查一下加密状态。前往“设置”>“隐私和安全”,然后选择“设备加密”。如果状态显示“设备加密已开启”,恭喜您,您现在已受到保护。
但是,如果您遇到警告,指出“使用您的 Microsoft 帐户登录以完成设备加密”,则表示加密未完全激活。单击“登录”并访问您的 Microsoft 帐户,以确保完全安全并备份您的恢复密钥。
请注意,加密选项会根据 Windows 版本和硬件规格而有所不同。Windows 11 家庭版包含一种简化版的 BitLocker,称为“设备加密”,而专业版和教育版则提供功能齐全的 BitLocker,包括增强的管理功能和对安全设置的优化控制。
Windows 11 家庭版中的设备加密
Windows 11 家庭版简化了用户的加密操作。如果您的硬件支持(大多数最新款设备都支持),则在新安装的设备上,使用 Microsoft 帐户登录时会自动激活设备加密。
对于升级到 Windows 11 的用户,必须手动激活设备加密。为此,请导航至“设置”>“隐私和安全”>“设备加密”并将其打开。Windows 将处理所有后续任务,包括将您的恢复密钥备份到您的 Microsoft 帐户。
这种易用性可以很好地满足大多数用户的需求——只要他们能够访问自己的 Microsoft 帐户。
Windows 11 专业版和教育版上的 BitLocker
BitLocker 通过提供全面的管理工具扩展了设备加密的功能。使用 BitLocker,您可以加密特定的驱动器,使用各种身份验证方法,最重要的是,从一开始就为恢复密钥指定多个备份位置。
要激活 BitLocker,请点击“开始”,输入“管理 BitLocker”,然后从搜索结果中选择它。选择您的驱动器,然后点击“打开 BitLocker”,并在出现提示时设置密码。Windows 将引导您完成设置步骤,包括恢复密钥备份。
此外,BitLocker 允许您加密外部驱动器(这是设备加密所不具备的选项),对于那些在 USB 驱动器或外部硬盘上备份或存储敏感数据的人来说,它非常有用。
保护您的恢复密钥
加密过程的关键在于安全备份您的恢复密钥。此密钥是您加密数据的主密钥;如果没有它,您将无法登录帐户,也无法访问您的信息。
默认情况下,Windows 不允许将恢复密钥存储在加密驱动器本身上,这是一个明智的选择。相反,请将其备份到您的 Microsoft 帐户。
您可以通过访问BitLocker 恢复密钥并登录,通过您的 Microsoft 帐户访问您的恢复密钥。这将打开您的仪表板,您可以在其中查看链接到您的笔记本电脑的所有恢复密钥。
此外,如果您订阅了 Microsoft 365,请考虑将恢复密钥的副本保存到您的 OneDrive 个人保管库中,并将其保存到远离计算机的安全位置的 USB 驱动器中。将其上传到密码管理器也可以让您在需要时方便地检索密钥。
为了提高安全性,请为恢复密钥添加标签,以便追踪密钥与设备的对应关系。随着时间的推移和多台设备的使用,48 位密钥可能会混在一起。建议通过设备名称和创建日期来识别它们。请记住,加密备份数据与加密主驱动器数据同样重要。
如果您解密并重新加密驱动器,请务必刷新备份密钥,因为旧密钥将变为无效,并且您不会希望在胁迫下发现这一点。
设备加密:数据安全的关键
虽然备份恢复密钥可能需要谨慎,但与数据得不到保护的后果相比,被锁定的最坏情况就显得微不足道了。既然大多数设备都已默认加密数据,何必冒险使用 Windows PC?
如果您担心性能问题,可以自行进行测试。如果设备加密尚未启用,请启用它并观察系统性能变化。如果性能不理想,您可以前往“设置”>“隐私和安全”,然后禁用“设备加密” ,恢复到未加密状态。
相关文章:
创建便携式 PC 诊断 USB:我最喜欢的开源工具
19:07
6 款值得投资的 PC 必付费应用
21:06
我一周的开源软件体验:令人惊喜的发现
20:15
发表回复