Hur du krypterar din systemdisk och varför du verkligen bör verkligen borde

Den här artikeln presenterar fallet för kryptering av hela systemdisken. Den första anledningen, som handboken nedan illustrerar, är att det är otroligt enkelt tack vare TrueCrypt. Men de andra orsakerna har mycket att göra med identitetsstöld och lite att göra med att täcka dina röv (ets) vid en federal utredning. Om du redan är övertygad, känn dig fri att hoppa till lektionen med länkarna nedan. Annars läs vidare.

• Varför alla borde ha en krypterad systemdisk
• Så här krypterar du hela systemdisken med TrueCrypt
• Hur du dekrypterar systemdisken permanent

Varför alla borde ha en krypterad systemdisk

Okej, låt mig kvalificera detta. Inte alla ska kryptera sin systemdisk. Bara alla som har personlig eller ekonomisk information på sin dator, till exempel skattedeklarationer, lagrade lösenord, surfhistorik, e-postmeddelanden, återupptar, adressböcker, foton och videor, verktygsräkningar, konto historier, etc. Om allt du använder din dator för att läsa Reddit i inkognitoläge, behöver du antagligen inte kryptera dina data. Men om du är som de allra flesta användare av personliga datorer eller företag, har du värdefull information som garanterar skydd. Här är de tre bästa riskerna i samband med en okrypterad hårddisk.

1. Tjuvar är inte bara efter din hårdvara

En tjuv kan förmodligen tjäna några hundra dollar som staket en stulen bärbar dator. Men han kan tjäna ännu mer pengar om han stjäl din identitet medan han är på det. Oavsett om det är din Bitcoin plånbok, en gammal skattedeklaration eller en Google Chrome-installation med din Amazon, PayPal och onlinebanklösenord lagrade, data på din hårddisk kan visa sig vara mycket mer värdefullt än hårdvaran sig.

”Ah, men jag har mitt Windows-konto lösenordsskyddat. Han kommer inte ens kunna logga in, säger du.

Förlåt. Data / laptop-tjuvar behöver bara vara lite smarta för att kringgå inloggningsskärmen för Windows och komma åt dina data. Som ett minimum är allt han behövde en startbar installation av Linux på en tumdrift och han kunde starta upp din dator och utforska innehållet i din systemenhet i sin helhet. Det beror på att ditt Windows-lösenordsskydd bara hindrar någon från att logga in på ditt Windows-användarkonto. Det hindrar dem inte från att komma åt uppgifterna på annat sätt än att en tändningsnyckel hindrar en biljacka från att bryta ditt fönster och koppla om din bil. Det finns kantfall jag vet. Kanske har du krypterat dina filer och mappar med Steve's EFS-krypteringstrick för Windows men min gissning är att det verkligen är undantaget inte regeln. Låt oss gå vidare.

2. Till salu: din gamla hårddisk (och all information)

Garantierna är fantastiska. Jag har fått hårddiskar, strömkällor och hela datorer bytas ut efter garanti, slicky split, utan kostnad, utan krångel. Men när det gäller hårddiskar finns det en fångst. För att få en reparation eller utbyte måste du skicka in din gamla hårddisk (RMA-process). Detsamma gäller för att skicka in hela datorn för garantireparationer. Innan du gör det verkar det logiskt att säkert radera all känslig information från din hårddisk, precis som du skulle göra innan du säljer eller återvinner din dator. Men om din dator är murad eller din hårddisk inte ens monterar, är det inte ett alternativ. Du måste skicka in din hårddisk med alla dina data fortfarande intakta.

Detta skulle vara problematiskt om, till exempel, fanns en skrupelfri tekniker (kanske en tredje part underleverantör) som skördade kunddata medan han utförde garantiservice. Det är förmodligen sällsynt men det händer. Men vad som är mycket vanligare är praxis att återförsälja använda enheter. Om du har hållit ett öga på affärssidorna kanske du har märkt "renoverade" hårddiskar till salu till en stor rabatt. Dessa renoverade eller recertifierade hårddiskar är vanligtvis enheter som har returnerats eller bytts ut under garanti. Oftast, snarare än att få dig att vänta medan de utvärderar och reparerar din hårddisk, kommer tillverkarna att skicka en helt ny hårddisk för att täcka din garanti. Sedan tar de din enhet, fixar den, omformaterar den och (kanske) torkar den ordentligt innan du packar om den och säljer den tillbaka till en annan kund. Medan de flesta vardagliga användare inte ens vet att leta efter återstående data på en begiven enhet, är en bestämd data återhämtningsguru eller... till och med ett uttråkat barn kan antagligen samla in tillräckligt med data från en omformaterad enhet för att göra något skada med enkla att använda gratisverktyg tillgängligt på nätet. Ett personnummer är ju bara nio siffror långt - varje gång om du vet vad jag menar.

Om du returnerar maskinvara är det en bra idé att be säljaren eller tillverkaren förstöra den efter att de har slutfört utvärderingen. Men som en gentleman som återvände en dator till Best Buy upptäckte är att det inte alltid är lätt att göra butiken att följa sina löften. Som krönad av MSNBC-bloggaren Bob Sullivan, returnerade en Cincinnati-kund sin trasiga dator till Best Buy och trodde att hans gamla hårddisk skulle borras och bortskaffas på ett säkert sätt. Mycket till sin sorg, fick han ett telefonsamtal sex månader senare från en främling som sa till honom "Jag köpte just din hårddisk”På en loppmarknad i Chicago. Aj….

3. Kasta ut en hårddisk? Det kan vara ett federalt brott

FACTA, HIPAA och andra federala bestämmelser om integritets- och identitetsstölder kräver att företagen ska bortskaffa kund- och patientjournaler. Pappersregister - manilamappar, medicinska diagram, låneansökningar - är det första som kommer att tänka på. Men digitala poster omfattas också av federal lag. Om du är ett företag sätter det dig på kroken för att bortskaffa hårddiskar och andra media. Dessa dagar går de flesta institutioner långt bortom att borra hål genom tallriken och strimlar istället enheterna i små bitar, precis som papper; eller de lägger ut jobbet till ett företag som specialiserat sig på att tillhandahålla förstörelsecertifikat för att bevisa att arbetet var avslutat.

Men om du inte är ett företag eller sjukhus behöver du inte oroa dig, eller hur? Inte exakt. Låt oss säga att du anställer en barnvakt eller en barnbarn. Som en del av din due diligence beställer du en bakgrundskontroll av henne och sparar resultaten - inklusive hennes adresshistorik, hennes SSN, etc. - på hårddisken på en gammal dator. År senare donerar du den gamla datorn till Goodwill, någon högskolebarn köper den, gör en filåterställning eller återhämtning av data och bam - har mycket mer information om din barnbarn än han lagligen borde. Som din barnbarns arbetsgivare har du misslyckats med din federala uppdrag att skydda hennes identitet.

System Disk Encryption to the Rescue

Det verkliga ansvaret i alla dessa situationer är att låta känslig eller konfidentiell information vara okrypterad på en hårddisk. Data är notoriskt svåra att utrota. Detta är särskilt sant när vi talar om solid-state-enheter (SSD: er) och flashbaserade medier (som SD-kort); en studie fann att det är det nästan omöjligt att ta bort data på SSD: er. Det är därför kryptering är en sådan graciös lösning. Med krypterad data spelar det ingen roll lika mycket om dina data faller i fel händer. Om de inte kan knäcka krypteringen eller gissa ditt lösenord kommer de inte att få någon användbar personlig information från din disk. Om en datatjuv monterar din disk till ett annat system, är allt de hittar krypterat gibberish.

Kombinera kryptering med ett säkert format (när det är möjligt), och du är alla oundvikliga för datastöld.

Systemdisk kryptering är bekvämt eftersom det inte stör din normala datoranvändning, förutom att ett extra lösenord anges vid uppstart och en liten minskning av prestandan. Tomshardware ansåg prestandapåverkan "inte märkbar" för genomsnittliga användare. Systemdisk kryptering skyddar varje bit av data på hårddisken utan att kräva att du väljer vilka dokument och filer du vill kryptera. Och bäst av allt, kan du göra det gratis med hjälp av TrueCrypt. Här är hur:

Kryptera hela systemdisken med TrueCrypt

ladda ner och installera TrueCrypt på den Windows-maskin som du vill kryptera (denna handledning använder TrueCrypt 7.1a).

Starta sedan TrueCrypt och klicka på System | Kryptera systempartition / enhet ...

Välj sedan typen av systemkryptering. Jag rekommenderar att du väljer Normal för nu. Dold är förmodligen lite överdrivet (läs beskrivningen i skärmdumpen för att lära dig om dess avsikt). Klicka på Nästa.

I fönstret Area to Encrypt har du två alternativ. Om du har dina data och din Windows-installation på samma partition väljer du det första alternativet ("Krypter Windows-systempartitionen"). Om du har flera partitioner - t.ex. en för dina data och en för ditt operativsystem - välj sedan det andra alternativet ("Kryptera hela enheten"). Om du är osäker, gå med den andra. Klicka på Nästa.

På nästa skärm väljer du Enkelstart eller Multi-start och klickar på Nästa.

Välj sedan dina krypteringsalternativ. Om du inte vet vad något av detta betyder är standardinställningarna bra nog för dig. Observera att du har möjlighet att använda flera krypteringsnivåer. Även om detta är säkrare ökar det prestandapåverkan (det vill säga datorn kommer att gå något långsammare än om du valde en enda krypteringsnivå). Klicka på Nästa.

Välj ett lösenord. Som alltid är längre lösenord starkare. Men se till att det är en du kan komma ihåg. Klicka på Nästa.

Flytta muspekaren för att randomisera poolinnehållet. Klicka på Nästa.

Visa dina huvud- och sidhuvudnycklar. Du behöver inte skriva ner det här eller någonting. Det här är bara FYI. Klicka på Nästa.

TrueCrypt uppmanar dig nu att bränna en TrueCrypt Rescue Disk. Hoppa inte över det här steget. TrueCrypt använder en speciell startladdare för att dekryptera din enhet. Om ditt system skadas eller skadas, behöver du den här disken för att få åtkomst till dina data. Så tappa inte det. Observera också att TrueCrypt Recovery Disk är specifikt för din krypterade systemdisk. Du kan inte använda en räddningsskiva som du skapade för en annan krypterad disk. Klicka på Nästa för att starta processen.

Om du inte har en CD / DVD-enhet på din dator kan du också skapa TrueCrypt Recovery Disk på en USB-enhet. Om du har en brännare på din dator kommer du att tas direkt till Windows Disc Image Burner-verktyget och du får inte se anvisningen nedan.

När du har bränt din TrueCrypt Rescue Disk blir du frågad om du vill välja ett säkert torkningsläge. Återigen är detta för ultraparanoid. Du kan förmodligen hoppa över det här steget och vara okej. Men om du har en mycket stor enhet som du har använt länge kommer det inte att skada att torka av enheten innan du krypterar den. Det enda du behöver förlora är tiden. Men om du inte är orolig för att någon använder magnetisk kraftmikroskopi för att återställa dina överskrivna data väljer du Ingen (snabbast) och klickar på Nästa.

TrueCrypt kör nu en förkodning av systemkryptering. Detta innebär en omstart och en fråga om ditt nya lösenord. Detta säkerställer att TrueCrypt Boot Loader installerades korrekt och att allt fungerar bra innan din enhet krypteras. Klicka på Test när du är redo. Du har fortfarande en möjlighet att backa om testet inte går bra.

När du har klickat på Test blir du ombedd att starta om. När du gör det ser du din normala BIOS-skärm följt av TrueCrypt Boot Loader. Ange ditt lösenord för att slutföra uppstarten i Windows.

Efter en framgångsrik förprövning kan du klicka på Kryptera för att avsluta jobbet.

Beroende på storleken på volymen och hastigheten på din dator kan det ta en stund. På min Core i5-bärbara dator tog det cirka fem timmar att kryptera min 250 GB-systemdisk (jag låter den köras över en natt). På mitt AMD Phenom II X4 2.8 Ghz-skrivbord uppskattade det 18 timmar att kryptera min 1,5 TB hårddisk. Din körsträcka kommer att variera.

Lyckligtvis kan du skjuta upp eller pausa krypteringsprocessen när som helst. Du kan till och med starta om eller stänga av datorn och återuppta krypteringsprocessen där du slutade. TrueCrypt kör krypteringsprocessen i bakgrunden medan du använder andra applikationer, men det förlänger den totala tiden det tar att kryptera.

När krypteringen är klar ser ditt Windows-system ut och känns exakt samma som det gjorde. Den enda skillnaden är att du kommer att se skärmen TrueCrypt Boot Loader varje gång du sätter på datorn eller väcker den från viloläge. Du kommer inte att behöva ange ditt lösenord för autentisering före start efter att du vaknat från sömn.

Ångra ett helt systemskivkryptering

Om du är trött på att stänga in ett extra lösenord eller om du vill dekryptera din systemdisk permanent för några av annat skäl kan du ångra din TrueCrypt-systemkryptering genom att klicka på System> Permanent dekryptera system Partition / Drive.

Du får en varning om att din enhet kommer att krypteras efteråt. Efter att ha klickat på Ja det nödvändiga antalet gånger kommer dekrypteringsprocessen att börja. Sätt dig in - det tar nästan så lång tid som det tog att kryptera enheten i första hand. Återigen kan du använda din dator och / eller pausa eller skjuta upp dekrypteringen när som helst.

När dekrypteringen är klar ombeds du att starta om. TrueCrypt Boot Loader-skärmen visas inte längre och din systemdisk kommer att krypteras.

Observera att även om du inte blir ombedd att ange ditt lösenord kommer TrueCrypt Boot Loader fortfarande att installeras på din systemdisk. Detta borde inte ge några problem. Men om det buggar dig att veta att det finns återstående saker kvar på din master boot-post kan du skriva om din MBR med en Windows 7-installationsskiva eller en Windows 7-systemreparationsskiva.

Slutsats

Att kryptera din systemdisk med TrueCrypt är gratis, säkert och enkelt. Det finns relativt lite omkostnader när det gäller resultatpåverkan och extra besvär. Men fördelarna med din datasäkerhet är enorma. På det här sättet är systemdisk kryptering ungefär som hemförsäkring. Förhoppningsvis kommer du aldrig att behöva använda det. Men när det otänkbara händer, kommer du att vara glad i helvetet att det är där.