Trên Windows 10, 8.1, 8, và 7 được tích hợp BitLocker mã hóa ổ đĩa. Tuy nhiên đây không phải là giải pháp mã hóa duy nhất. Windows còn cung cấp thêm một giải pháp mã hóa khác có tên gọi mã hóa hệ thống file (encrypting file system - EFS).
Vậy BitLocker và EFS khác nhau như thế nào? EFS chỉ có sẵn trên các phiên bản Windows Professional và Enterprise.
Các phiên bản Windows Home chỉ có thể sử dụng tính năng "device encryption" và chỉ khi tính năng này đã được kích hoạt trên máy tính của bạn.
1. BitLocker là Full Disk Encryption (mã hóa toàn bộ ổ đĩa)
BitLocker là giải pháp mã hóa toàn bộ ổ đĩa của bạn.
Khi thiết lập BitLocker, bạn sẽ mã hóa toàn bộ một phân vùng - như phân vùng hệ thống Windows, một phân vùng trên một ổ đĩa nội bộ, hoặc ngay cả một phân vùng trên ổ đĩa USB flash....
Bạn có thể mã hóa một số file với BitLocker bằng cách tạo ra một file có chứa mã hóa.
Về cơ bản file có chứa mã hóa này là một ổ cứng ảo (virtual disk hay disk image). BitLocker sẽ hoạt động bằng cách làm việc với ổ cứng ảo và mã hóa toàn bộ những gì có trong ổ cứng ảo đó.
Nếu bạn muốn mã hóa ổ cứng để bảo vệ dữ liệu nhạy cảm không bị rơi vào tay kẻ xấu, đặc biệt là trong trường hợp Laptop của bạn bị trộm thì BitLocker là lựa chọn hàng đầu.
BitLocker sẽ mã hóa toàn bộ ổ đĩa do đó bạn không cần phải lo lắng file nào đã được mã hóa và file nào chưa được mã hóa. Toàn bộ hệ thống của bạn sẽ được mã hóa.
Việc mã hóa cũng không phụ thuộc vào tài khoản người dùng. Khi một Admin kích hoạt BitLocker, các file trên các tài khoản người dùng khác trên máy tính sẽ được mã hóa.
Trên Windows 10 và 8.1, mã hóa ổ đĩa (drive encryption) có phần hạn chế hơn, bởi vì nó chỉ mã hóa toàn bộ ổ đĩa mà không mã hóa các file cá nhân trên đó.
2. EFS mã hóa các file cá nhân
Thay vì mã hóa toàn bộ ổ đĩa của bạn, bạn có thể sử dụng EFS để mã hóa riêng các tập tin và thư mục.
Trong khi tính năng của cker là "thiết lập và quên nó đi" thì EFS yêu cầu bạn lựa chọn các tập tin mà bạn muốn mã hóa và thay đổi thiết lập.
Để lựa chọn các tập tin mà bạn muốn mã hóa, trên cửa File Explorer, chọn một thư mục hoặc tập tin cá nhân, sau đó mở cửa sổ Properties. Ở tùy chọn Attributes, bạn chọn Advanced, sau đó kích hoạt tùy chọn "Encrypt contents to secure data".
Việc mã hóa này dựa trên cơ sở mỗi người sử dụng. Bạn chỉ có thế truy cập các tập tin mã hóa bằng tài khoản người dùng cụ thể đã mã hóa các tập tin đó.
Khi bạn đăng nhập tài khoản người dùng đã mã hóa các tập tin, bạn có thể truy cập các tập tin mà không cần phải xác nhận bất kỳ thông tin bổ sung nào.
Nếu bạn đăng nhập bằng một tài khoản khác, bạn không thể truy cập được các tập tin.
Các key mã hóa được lưu trữ trong hệ điều hành của nó và hầu như không sử dụng đến phần cứng TPM trên máy tính của bạn. Tuy nhiên các key này có thể bị hacker tấn công.
EFS không mã hóa toàn bộ ổ đĩa mà chỉ mã hóa các tập tin cá nhân, do đó các tập tin trên một hệ thống cụ thể sẽ không được bảo vệ.
Ngoài ra các tập tin được mã hóa có thể bị "rò rỉ" ra các khu vực không được mã hóa.
Ví dụ, nếu một chương trình tạo ra một file cache tạm thời sau khi bạn mở một tài liệu được mã hóa bằng EFS, các thông tin nhạy cảm, tập tin bộ nhớ cache và dữ liệu nhạy cảm của tài liệu đó sẽ được lưu trữ trong thư mục khác không được mã hóa.
Về cơ bản BitLocker là một tính năng của Windows có thể mã hóa toàn bộ ổ đĩa thì EFS mất điểm trong việc bảo vệ các file hệ thống NTFS.
3. Tại sao nên sử dụng BitLocker mà không sử dụng EFS?
Trên thực tế, bạn vẫn có thể sử dụng cả BitLocker và EFS cùng một lúc, bởi vì chúng là hai lớp mã hóa khác nhau.
Bạn có thể mã hóa toàn bộ ổ đĩa của bạn, và thậm chí sau khi bạn mã hóa toàn bộ ổ đĩa xong, bạn cũng có thể kích hoạt được thuộc tính "Encrypt" cho các tập tin và thư mục.
Tuy nhiên lời khuyên cho bạn là nên sử dụng BitLocker để mã hóa toàn bộ ổ đĩa. Nó không chỉ đơn giản là bạn "thiết lập và quên nó đi", mà bạn có thể kích hoạt một lần và quên đi. BitLocker cũng là giải pháp an toàn hơn rất nhiều so với EFS.
Đây cũng chính là lý do EFS không được nhắc đến trong các giải pháp mã hóa trên Windows.
Tại sao EFS lại tồn tại? Lý do rất đơn giản, bởi vì EFS là một tính năng cũ của Windows.
BitLocker được giới thiệu kể từ Windows Vista, trong khi EFS được giới thiệu kể từ Windows 2000.
Tham khảo thêm một số bài viết dưới đây:
Cách dùng Bitlocker để mã hóa dữ liệu trên Windows 10 (Phần 1)
Cách dùng Bitlocker để mã hóa dữ liệu trên Windows 10 (Phần cuối)
Hướng dẫn mã hóa USB hoặc thẻ nhớ bằng Bitlocker trên Windows 10
Chúc các bạn vui vẻ!