我应该加密我的整个硬盘，还是只加密一个分区？

Question

我有一个惠普展馆笔记本，其中有一个1TB硬盘驱动器。我在上面运行Windows 10。

如果我只是加密存储敏感信息的分区，而不是完全加密硬盘驱动器或加密安装Windows的分区，那么如果我的设备被盗，是否会增加数据被盗的机会(与其他备选方案相比)？

我不想加密我的整个硬盘，因为这将需要很多时间。加密150 10需要10个小时。

Answer 1

这两种解决方案都是可以接受的，但它们有不同的优缺点。

1. 全磁盘加密:优点:您没有在非加密分区Cons中泄漏一些敏感数据的风险:如果出错，整个磁盘将变得不可读，您将不得不尝试从可移动的可引导媒体恢复/重新安装:不要忘记构建和安全地存储它。
2. 加密分区(S)：缺点:如果只加密数据分区，敏感数据可能以临时文件或非加密分区Pros中的交换文件结束:如果出现问题，未加密的分区将更容易恢复。

以下是我(主观)的建议：

如果磁盘中有恢复分区，则不应加密此分区，但如果希望达到超级安全，则应加密所有windows分区为系统或数据，如果攻击者能够在临时文件或交换文件中找到跟踪，则只加密敏感数据分区。

或者，您可以构建一组可移动的恢复数据，并进行全磁盘加密。

初始加密时间并不是IMHO真正的问题。它只发生过一次。但是150 Gb的10个小时似乎很奇怪。SATA吞吐量应该允许大约100 of /S，所以加密150 of不应该超过几个小时。

Answer 2

加密整个磁盘。这种开销可以忽略不计，而且您不必担心有人偷了您的计算机并拥有您所有的数据。如果你不得不派你的电脑去修理，你不用担心被盗的文件或被破坏的应用程序。

另一个好处是，默认情况下，所有数据都是加密的，因此不需要将敏感数据从不受保护的分区复制到受保护的分区。如果您需要双重保护，创建一个VeraCrypt卷并使用它。

Answer 3

只加密一个分区相对于整个驱动器的一个好处是，您可以在使用系统执行其他任务时加密/解密该分区，因此您可以“按需”对其进行加密--也就是说，如果您加密整个磁盘，那么每次启动和验证系统时，它都会被解密。

在安全性方面，正如您所说的，如果机器被盗，我会说，在这种情况下，FDE和加密分区之间没有太大差别。如果您在分区上使用强加密，那么您的数据不太可能被破坏。

我想说，使用加密分区/文件夹对FDE有一些好处，如果您只在需要访问或存储敏感信息时解密它，并在完成时再次加密它，这样您在登录时就不会一直处于未加密状态，就像只有FDE那样。