BitLockerin edut ja haitat verrattuna muihin salausmenetelmiin

  • BitLocker tarjoaa Windowsiin sisäänrakennetun täyden levysalauksen TPM-tuella ja keskitetyllä hallinnalla, mikä sopii erinomaisesti tietokoneiden ja levyjen suojaamiseen varkauksilta.
  • Sen vaikutus suorituskykyyn on kohtalainen, mutta se vaatii Pro/Enterprise-versioita ja yhteensopivaa laitteistoa, mikä rajoittaa sen yleiskäyttöä.
  • Se suojaa levyllä olevia tietoja, mutta ei estä niiden kopioimista purettuna USB-muistitikulle, sähköpostiin tai pilveen, joten se ei ole täydellinen DLP-ratkaisu.
  • Turvallisessa jakamisessa ja tiukan vaatimustenmukaisuuden tilanteissa on suositeltavaa yhdistää BitLocker tiedosto- tai säilötason salaukseen.
Joaquin Romero

14 minuuttia

BitLockerin edut ja haitat verrattuna muihin salausmenetelmiin

Kun Windowsissa keskustellaan levyjen salauksesta, sama nimi tulee lähes aina esiin: BitLocker. Se on Microsoftin oma vaihtoehto ja monille oletusvalinta. Mutta jos yrityksesi harkitsee sen käyttöä esimerkiksi DLP-projekti, jossa käytetään USB-muistitikkuja ja ulkoisia kiintolevyjäKannattaa tarkastella tarkasti, mitä BitLocker tarjoaa ja mitä rajoituksia sillä on verrattuna muihin levy- ja tiedostosalausvaihtoehtoihin.

Seuraavilla riveillä näet yksityiskohtaisesti, Miten BitLocker toimii, mitä todellisia etuja se tarjoaa ja mitä haittoja sillä on. Vertaamme tätä muihin tekniikoihin, kuten EFS:ään, kolmannen osapuolen työkaluihin tai "kannettaviin" salausratkaisuihin. Tarkastelemme myös suositeltuja käyttötarkoituksia yritysympäristöissä, suorituskykyyn liittyviä vaikutuksia, laitteistovaatimuksia ja sitä, mitä tapahtuu, kun siirrämme tietoja pois BitLocker-asemasta.

Mikä on BitLocker ja minkä ongelman se ratkaisee?

BitLocker on täysi taltiosalaustoiminto sisäänrakennettuna Windowsiin Vistasta ja Windows Server 2008:sta lähtien. Sen tavoite on yksinkertainen mutta kriittinen: jos joku varastaa kannettavan tietokoneen, poistaa levyn tai ottaa USB-muistitikun, hän ei voi lukea mitään ilman avainta, PIN-koodia tai palautussalasanaa.

Toisin kuin muut järjestelmät, BitLocker Se ei salaa yksittäisiä tiedostoja, vaan koko levyn.Käyttöjärjestelmä, käyttäjätiedot, väliaikaistiedostot ja haluttaessa jopa vain käytetty tila tai koko levy ovat suojattuja. Sisältö muuttuu lukukelvottomaksi ilman oikeita tunnistetietoja, mikä tarjoaa erittäin vahvan fyysisen suojauskerroksen.

Tämä teknologia on saatavilla Windows 7 Ultimate/Enterprise, Windows 8.1 Pro/Enterprise ja Windows 10 ja 11 Pro, Enterprise ja Educationsekä uusimmat Windows Server -versiot (2016, 2019, 2022). Sitä ei sisälly Windows Homeen, mikä jo korostaa yhtä sen ensimmäisistä haitoista kotikäyttäjille.

Haitalliset USB-muistitikut
Aiheeseen liittyvä artikkeli:
Käytännön vinkkejä tietokoneen suojaamiseksi haitallisilta USB-asemilta

BitLockerin lyhyt historia ja kehitys

BitLocker ilmestyi ensimmäisen kerran vuonna Windows Vista ja Windows Server 2008Tämä oli Microsoftin vastaus kasvaviin huoliin kannettavien tietokoneiden varkauksista ja arkaluonteisten tietojen vuotamisesta. Siitä lähtien jokainen Windows-versio on hionut ominaisuuksiaan, salausmenetelmiään ja ennen kaikkea integrointiaan tietoturvalaitteistoon.

Ajan myötä on lisätty lisää Edistynyt TPM-tuki, parannettu integrointi Active Directoryn ja Microsoft Entra ID:n kanssa, yhteensopivuus uusien AES-XTS-salaustilojen kanssa, verkon lukituksen avausvaihtoehdot toimialueympäristöissä ja parannettu käyttökokemus siirrettäville asemille BitLocker To Go -ominaisuuden avulla.

Nykyään BitLocker on keskeinen osa monien organisaatioiden tietoturvastrategiaa noudattaa GDPR:n kaltaisia ​​määräyksiä tai alakohtaisia ​​lakeja, jotka edellyttävät henkilötietojen tai luottamuksellisten tietojen salaamista, erityisesti mobiililaitteissa.

BitLockerin toimintaperiaate: salaus, TPM ja suojattu käynnistys

BitLockerin ydin on algoritmi AES (Advanced Encryption Standard) 128- tai 256-bittisissä avaimissajoka voi toimia tiloissa, kuten AES-CBC tai nykyaikaisissa versioissa XTS-AES, mikä parantaa vastustuskykyä tiettyjä levyhyökkäyksiä vastaan.

Kun otat BitLockerin käyttöön asemalla, se luo äänenvoimakkuuden päänäppäin joka itse asiassa salaa tiedot. Tätä avainta puolestaan ​​suojaavat muut avaimet ja tunnistetiedot (TPM, PIN-koodi, salasana, USB-käynnistysavain jne.). Käyttäjä ei koskaan käsittele pääavainta suoraan: vuorovaikutus tapahtuu salasanojen, PIN-koodien tai palautustiedostojen kautta.

Moduuli TPM (Trusted Platform Module) Sillä on keskeinen rooli yhteensopivissa laitteissa. Se on kryptografinen siru, joka tallentaa avaimet turvallisesti ja varmistaa käynnistyksen eheyden. BitLocker linkittää salausavaimen TPM:ään ja tiettyihin alustan määritysrekistereihin (PCR). Jos joku yrittää käynnistää levyn toisella tietokoneella tai muuttaa kriittisiä käynnistyskomponentteja, TPM ei vapauta avainta. BitLocker siirtyy palautustilaan, pyytäen 48-numeroista koodia.

Lisäksi BitLocker käyttää UEFI-järjestelmille tyypillistä osiorakennetta: käynnistys-EFI-osio, varattu osio (MSR), käyttöjärjestelmäosio ja valinnaisesti palautusosioKäynnistysosiota ei ole salattu, mutta käyttöjärjestelmäosiota on; TPM varmistaa, että koko käynnistysprosessi vastaa sinetöityä versiota, jotta se voi päättää, vapautetaanko avain.

Vaatimukset BitLockerin käyttämiseen ilman päänsärkyä

Jotta voit hyödyntää BitLockerin ominaisuuksia täysimääräisesti, on tärkeää, että tietokoneesi täyttää vaatimukset. tietyt laitteisto- ja laiteohjelmistovaatimukset:

  • TPM 1.2 tai 2.0 asennettuna ja otettuna käyttöön BIOSissa/UEFI:ssa, jos haluat käyttää TPM-pohjaista todennusta ja suojattua käynnistystä.
  • TCG-yhteensopiva UEFI- tai BIOS-laiteohjelmisto, mikä mahdollistaa luottamusketjun luomisen alussa.
  • UEFI-käynnistystila (erityisesti TPM 2.0:n kanssa) välttäen vanhoja tiloja tai CSM:ää, jotka voivat katkaista linkityksen PCR 7:ään.
  • Sopiva osiokaaviovähintään yksi erillinen järjestelmäasema (NTFS) ja käynnistysasema (FAT32 UEFI:lle tai NTFS BIOS:lle).
  Apple valmistelee Sirin debyyttiä Geminin kanssa ja täydellistä siirtymistä chatbot-tilaan.

BitLockerin aktivointi ilman TPM:ää on teknisesti mahdollista käyttämällä vain salasanat tai käynnistysavaimet USB:lläSuuri osa käynnistyksen eheyssuojasta kuitenkin menetetään. Yritysympäristöissä TPM:stä luopumista pidetään yleensä huonona käytäntönä lukuun ottamatta hyvin erityisiä tilanteita.

Todennus, avaimet ja palautus BitLockerissa

BitLocker tukee erilaisia käynnistystä edeltävät todennusmenetelmät käyttöjärjestelmäyksiköille:

  • Vain TPM (läpinäkyvä käynnistys käyttäjälle, jos laitetta ei ole peukaloitu).
  • TPM + numeerinen PIN-koodi (monivaiheinen todennus: laitteisto + jokin tuttu juttu).
  • TPM + käynnistysavain USB:llä.
  • Vain salasana tai vain USB tilanteissa, joissa TPM:ää ei ole.

Lisäksi mille tahansa suojatulle taltiolle 48-numeroinen palautusavainTämä avain voi:

  • Tallenna tiedostoon (USB, salaamaton levy).
  • Tulostettava ja fyysisesti tallennettava.
  • Pääsy a:lle Microsoft-tili tai Microsoftin kirjautumistunnus pilvipalveluun kytketyissä laitteissa.
  • Tallennettuna Active Directoryyn paikallisissa toimialueympäristöissä.

BitLockerin edut ja haitat verrattuna muihin salausmenetelmiin

BitLocker To Go: salaus USB- ja irrotettaville asemille

BitLocker To Go on teknologian laajennus, joka on tarkoitettu mm. irrotettavat asemat, kuten USB-muistitikut ja ulkoiset kiintolevytToiminta on samanlaista: kun tämä on käytössä, koko taltio salataan ja siihen pääsee käsiksi vain syöttämällä salasana, käyttämällä älykorttia tai joissakin tapauksissa liittämällä se TPM:ään.

DLP-projektin näkökulmasta tällä on tärkeitä seurauksia: Mikä tahansa ulkoinen asema voidaan salata BitLockerilla yksinkertaisella salasanalla, jopa hallitsemattomissa tietokoneissa.Toisin sanoen käyttäjä voi salata USB-muistitikun henkilökohtaisella tietokoneellaan ja viedä sen yritykseen tai päinvastoin, mikä vaikeuttaa tiedonkulun hallintaa pelkästään BitLockerin avulla.

Lisäksi on otettava huomioon, että ko. kun laite on asennettu ja lukitus on avattuJärjestelmä käsittelee tiedostot selkokielisinä. BitLocker suojaa laitteella "levossa" olevaa sisältöä, mutta se ei estä käyttäjää kopioimasta tietoja muihin salaamattomiin tallennusvälineisiin, liittämästä niitä sähköposteihin tai lataamasta niitä pilveen ilman lisäsuojausta.

BitLocker vs. EFS ja muut Windowsin salaustekniikat

Windows-ekosysteemissä on parasta olla sekoittamatta käsitteitä: BitLockerin rinnalla on EFS (tiedostojen salausjärjestelmä), tiedosto- ja kansiotason salaus, joka käyttää käyttäjäsertifikaatteja ja toimii vain NTFS-levyillä.

Vaikka BitLocker salaa koko aseman ja suojaa ensisijaisesti luvaton fyysinen pääsy (levyjen, laitteiden, USB-asemien varkaudet...), EFS keskittyy varmistamaan, että vain tietyt käyttäjät tai tilit, joilla on tietyt varmenteet, voivat avata tiettyjä tiedostoja käynnissä olevassa järjestelmässä.

On olemassa useita keskeisiä vivahteita:

  • Al Kopioi tiedostoja BitLocker-asemasta salaamattomaan USB-asemaan, lähetä ne sähköpostitse tai lataa ne pilveen.Tiedot tulevat ulos salaamattomina: suojaus on levyllä, ei yksittäisessä tiedostossa.
  • EFS:n avulla järjestelmä salaa myös salatun tiedoston, jos kopioit salatun tiedoston FAT32- tai exFAT-USB-asemaan. purkaa salauksen automaattisesti koska nuo tiedostojärjestelmät eivät tue EFS:ää; NTFS-muistitikulla se voisi pysyä salattuna, mutta vain asianmukaisen varmenteen omaavat käyttäjät voisivat lukea sen.
  • Synkronoimalla kanssa OneDrive, Google Drive, Dropbox tai muut palvelutEFS-tiedostot ladataan salaamattomina; pilvi ei säilytä EFS-suojausta, vaikka se käyttääkin omaa salaustaan ​​lepotilassa.

Yhteenvetona voidaan todeta, että sekä BitLocker että EFS Ne suojaavat "levossa olevia tietoja" erittäin hyvin WindowsissaNe eivät kuitenkaan ole "kannettavia" salaus- tai turvallisia tiedonvaihtoratkaisuja. Sitä varten työkalut, kuten VeraCryptCryptomator- tai 7-Zip/ZIP-tiedostot AES-salauksella ja vahvalla salasanalla.

BitLockerin edut muihin levysalausjärjestelmiin verrattuna

BitLockerilla on useita vahvuuksia, jotka selittävät sen laajaa käyttöä ammattiympäristöissä. Niiden joukossa merkittävimmät edut Monien kolmannen osapuolen vaihtoehtojen joukossa ovat:

  • Natiivi integrointi Windowsin kanssaSe ei vaadi lisäohjelmistojen asentamista, se päivittyy järjestelmän mukana ja integroituu Microsoftin tietoturvakäytäntöihin.
  • keskitetty hallintaVerkkotunnuksilla sitä voidaan hallita ryhmäkäytäntöjen, Active Directoryn, Microsoft Entra ID:n ja hallintatyökalujen, kuten Intunen tai sen API-rajapintoja käyttävien kolmannen osapuolen ratkaisujen, avulla.
  • "Nolla" lisäkustannusta Pro/Enterprise/Education-versioissa: toisin kuin maksullisissa salaustuotteissa, BitLocker on jo mukana.
  • Täysi levyn salausSe suojaa sekä käyttäjätietoja että järjestelmätiedostoja, väliaikaisia ​​tiedostoja ja vapaata tilaa, mikä vaikeuttaa tietojäämien rikostutkintaa.
  • TPM:n käyttö Suojauksen vahvistamiseksi: avainten linkittäminen laitteistoon ja käynnistystilaan vähentää sellaisten hyökkäysten todennäköisyyttä, jotka poistavat levyn ja liittävät sen toiseen tietokoneeseen.
  • Kohtalainen vaikutus suorituskykyynNykyisissä salauskiihdytystä käyttävissä laitteistoissa suorittimen ja I/O:n kustannukset ovat yleensä alhaiset ja useimmille käyttäjille käytännössä huomaamattomat.
  • Yhteensopivuus edistyneiden ominaisuuksien kanssakuten verkon lukituksen avaaminen verkkotunnuskäyttöisille tietokoneille, järjestelmän ja datavolyymien suojaus, VHD/VHDX-tuki ja käyttö virtuaalikoneympäristöissä.
  Adif-ohjauskeskuksen ohjelmistovika aiheutti kaaoksen Rodaliesissa

BitLockerin rajoitukset ja haitat

Kaikki ei tietenkään ole pelkkää ruusuilla tanssimista. BitLockeria muihin salausjärjestelmiin verrattuna on otettava huomioon useita tekijöitä. useita haittoja ja rajoituksia mikä voi olla ratkaisevaa käyttötapauksesta riippuen:

  • Rajoitettu saatavuus painosta kohdenJos sinulla on Windows 10/11 Home, et voi käyttää tavallista BitLockeria. Tämä sulkee pois monia kotikäyttäjiä, elleivät he päivitä uudempaan versioon.
  • Riippuvuus yhteensopivasta laitteistostaTPM:n, Secure Bootin, verkon lukituksen avaamisen jne. täyden potentiaalin hyödyntämiseksi tarvitset modernit ja hyvin konfiguroidut laitteet. Sekajärjestelmissä tai vanhemmissa järjestelmissä toteutus voi olla epätasaista.
  • Avainten katoamisen aiheuttama lukituksen vaaraJos palautusavain katoaa eikä varmuuskopiota ole otettu AD:hen, Entra ID:hen, ulkoiseen tiedostoon tai paperille, tietoja ei voida palauttaa.
  • Mahdollisia ongelmia laitteistomuutosten tai päivitysten kanssaTietyt emolevyn, laiteohjelmiston tai UEFI-määritysten muutokset voivat käynnistää palautustilan. Joskus BitLocker on keskeytettävä tilapäisesti BIOS-päivitystä tai suuria Windows-päivityksiä varten.
  • Rajoitettu yhteensopivuus muiden käyttöjärjestelmien kanssaBitLocker-asemien käyttö Linuxissa tai macOS:ssä vaatii erityisiä työkaluja, joiden tuki on epätasaista, mikä vaikeuttaa heterogeenisiä ympäristöjä.
  • Vaikutuksen havaitseminen suorituskykyyn Vanhemmilla tai heikkotehoisilla laitteilla: jopa optimoituna salaus/salauksen purkaminen kuluttaa prosessoritehoa ja I/O-tehoa; tämä voi olla havaittavampaa vaatimattomilla laitteilla.
  • Se ei sinänsä ole DLP-ratkaisu.Se salaa laitteen, mutta ei hallitse sitä, minne tiedot kulkevat lukituksen avaamisen jälkeen. Se ei estä käyttäjää kopioimasta tietoja salaamattomalle tallennusvälineelle tai lataamasta niitä ulkoiseen palveluun.
  • Mahdollisia yhteensopimattomuuksia tiettyjen työkalujen kanssaJotkin vanhemmat varmuuskopiointiohjelmat, virustorjuntaohjelmat tai käynnistyksen hallintaohjelmat saattavat häiritä BitLockeria tai suojattua käynnistysketjua.

BitLockerin ottaminen käyttöön ja poistaminen käytöstä: graafinen käyttöliittymä ja komentovalikko

Yhteensopivalla tietokoneella BitLockerin käyttöönotto on suhteellisen yksinkertaista. Graafisesta käyttöliittymästä se tehdään... Ohjauspaneeli > Järjestelmä ja suojaus > BitLocker-aseman salaus, valitsemalla salattavan laitteen ja määrittämällä lukituksen avausmenetelmän (salasana, PIN-koodi, TPM, USB…).

Ohjatun toiminnon aikana järjestelmä kysyy tallenna palautusavain (Microsoft-tilillä, tiedostossa, Active Directoryssa, tulosta se…) ja antaa sinun valita, salataanko vain käytetty tila vai koko levy. Se tarjoaa myös mahdollisuuden suorittaa järjestelmätarkistuksen ennen salauksen aloittamista sen varmistamiseksi, että tietokone käynnistyy oikein BitLocker käytössä.

Miksi BitLocker-aseman salaus kannattaa ottaa käyttöön
Aiheeseen liittyvä artikkeli:
BitLocker-aseman salaus: miksi laitteistokiihdytys kannattaa ottaa käyttöön

Komentoriviltä, ​​jossa on manage-bde.exeEdistyneitä tehtäviä voidaan suorittaa: salauksen käyttöönotto tietyllä asemalla, lukituksen avaussalasanojen lisääminen tai muuttaminen, palautusavainten luominen, levyjen lukitseminen tai lukituksen avaaminen, suojauksen keskeyttäminen päivitysten ajaksi jne. Tämä on erityisen hyödyllistä automatisoiduissa käyttöönottoissa tai hallintaskripteissä.

BitLockerin poistaminen käytöstä edellyttää tulkitse yksikköTämä voidaan tehdä BitLocker-ohjauspaneelista ("Poista BitLocker käytöstä" -vaihtoehdolla) tai komentokehotteen kautta. Prosessi voi kestää jonkin aikaa suurilla asemilla, mutta sen valmistuttua tiedot puretaan ja asema toimii kuten mikä tahansa muu salaamaton asema.

Vaikutus suorituskykyyn, salausaikoihin ja toimintatapoihin

Yksi yleisistä peloista on se, kuinka paljon BitLocker "rasittaa" tietokonetta. Käytännössä Nykyaikaiset tietokoneet, joiden suorittimet tukevat AES-kiihdytystäVaikutus on yleensä hyvin pieni: salaus tehdään lohkotasolla ja järjestelmä salaa/purkaa vain sen, mitä todellisuudessa luetaan tai kirjoitetaan.

  Koodittomat työkalut hyödyllisten tuotteiden luomiseen ilman ohjelmointia

El alkusalaus Kyllä, se voi viedä jonkin aikaa, varsinkin jos päätät salata koko levyn etkä vain käytettyä tilaa. Puhumme minuuteista tai tunneista levyn kapasiteetista ja nopeudesta riippuen. Jos prosessi keskeytyy sähkökatkoksen vuoksi, salaus jatkuu, kun tietokone käynnistetään uudelleen ilman tietojen menetystä.

BitLocker ei salaa kaikkea uudelleen joka kerta, kun tietoja luetaan tai kirjoitetaan: Se toimii tietyillä sektoreilla reaaliajassa.Se ei myöskään estä sellaisten ominaisuuksien käyttöä kuin äänenvoimakkuuden tilannevedokset, varmuuskopiot tai VHD-levyjä, edellyttäen, että ohjelmisto on yhteensopiva.

BitLocker yritysympäristöissä: käyttöönotto, hallinta ja DLP

Organisaatiossa BitLockerin kauneus piilee siinä, että se voi olla automatisoi lähes koko salauksen elinkaarenaktivointi, PIN-koodin monimutkaisuuskäytännöt, avaimen varmuuskopiointi AD:ssä tai Entra ID:ssä, ajoitettu keskeytys päivitysten vuoksi jne.

GPO:n tai Intunen avulla on mahdollista esimerkiksi pakota kaikki järjestelmän yksiköt salattavaksiVaadi kannettaville tietokoneille TPM+PIN-koodi, määritä palautusavainten automaattinen tallennus Active Directoryyn ja estä käyttäjiä tallentamasta tietoja salaamattomille levyille.

Microsoft Enter ID:hen liitetyillä laitteilla Windows yrittää lataa palautusavaimet yrityksen pilveenJos käytäntö sitä edellyttää, suojausta ei palauteta, jos avaimesta ei voida tehdä kopiota, jolloin Entra ID:stä tulee keskeinen palautustietovarasto.

Puhtaasti DLP:n näkökulmasta BitLocker jää kuitenkin vajaaksi: Se ei analysoi sisältöä eikä estä sähköpostin, pilvipalvelun tai sovellusten kautta tapahtuvaa tietovuodatusta.Se ei myöskään hallitse datan käyttöä käyttäjän kirjautumisen jälkeen. Siksi DLP-projekteissa BitLocker on yleensä vain yksi palapelin palanen, joka vastaa laitteen suojaamisesta, kun taas datankulun hallinta jätetään tiettyjen DLP- tai CASB-ratkaisujen tehtäväksi.

Milloin on suositeltavaa käyttää muita salausratkaisuja BitLockerin lisäksi?

On tilanteita, joissa BitLocker on erinomainen levyn suojaamiseen, mutta on suositeltavaa... täydennä sitä lisäsalauksella tiedosto- tai säilötasolla suojauksen ylläpitämiseksi, kun tiedot poistuvat asemasta.

Joitakin käytännön esimerkkejä siitä, missä "kannettavat" salaustyökalut loistavat:

  • Erittäin arkaluontoisten asiakirjojen lähettäminen sähköpostitse tai niiden jakaminen pilvipalveluiden kautta.
  • Tiedon siirtäminen USB-asema, jossa on FAT32 tai exFAT että hän tulee pelaamaan läpi monista eri joukkueista.
  • Kriittisten tietojen lataaminen alustoille, kuten OneDrive, Google Drive tai Dropbox, varmistaen, että Se voidaan purkaa vain valtuutetuilla laitteilla.

Tällaisissa tapauksissa on yleistä turvautua:

  • Salatut säilöt, kuten VeraCrypt tai CryptomatorLuodaan suuri tiedosto, joka toimii salattuna "virtuaalilevynä"; minne tahansa se menee, suojaus menee, tiedostojärjestelmästä riippumatta.
  • 7-Zip/ZIP-pakatut tiedostot aidolla AES-256-salauksella ja vahva salasana, ei vain "avaimella suojattu". Oikein konfiguroituina ne tarjoavat erittäin vankan suojan, kunhan salasana on pitkä ja monimutkainen.
  • Pilvipalvelut, joissa on päästä päähän -salaustajossa tiedot salataan ennen laitteelta poistumista ja niiden salaus puretaan vain valtuutetuilla asiakkailla.

Tällä tavoin, vaikka BitLocker jatkaa roolinsa täyttämistä laitteella, tiedot säilyttävät toinen salauskerros, joka on riippumaton käyttöjärjestelmästä kun niitä siirretään tai jaetaan.

Aiheeseen liittyvä artikkeli:
Miksi meidän pitäisi salata USB-tikun tiedot

Kokonaiskuva BitLockerista on varsin selkeä: se tarjoaa erittäin vankan täyden levynsalauksen, joka on syvästi integroitu Windowsiin, TPM-tuen, keskitetyn hallinnan ja kohtuullisen suorituskyvyn parannuksen. Tämä tekee siitä lähes välttämättömän lisän yritysten kannettaviin tietokoneisiin, arkaluonteisia tietoja sisältäviin tietokoneisiin ja ulkoisiin asemiin, joiden ei pitäisi vaarantua varkauden tai katoamisen sattuessa.

Samaan aikaan sen rajoitukset Home-versioissa, riippuvuus yhteensopivasta laitteistosta, palautusavainten katoamisen mahdollisuus ja ennen kaikkea se, että se ei estä tietojen salauksen purkamista ja lähettämistä USB:n, sähköpostin tai pilven kautta, tekevät monissa tietoturva- ja DLP-projekteissa välttämättömäksi täydentää BitLockeria lisäkäytännöillä, -toiminnoilla ja tarvittaessa tiedosto- tai säilötason salausratkaisuilla, jotka ylläpitävät suojausta itse levyn ulkopuolella. Jaa nämä tiedot, jotta muut käyttäjät ovat tietoisia ongelmasta.