In januari 2009 heeft Microsoft voor iedereen een bètaversie van een nieuw besturingssysteem voor werkstations beschikbaar gesteld: Windows 7. Dit besturingssysteem implementeert de geavanceerde beveiligingstechnologieën van Windows Vista. Dit artikel zal zich richten op de Windows BitLocker-coderingstechnologie, die aanzienlijke veranderingen heeft ondergaan sinds de introductie ervan in Windows Vista.
Waarom versleutelen
Het lijkt erop dat niemand vandaag de dag overtuigd hoeft te worden van de noodzaak om gegevens op harde schijven en verwisselbare media te versleutelen, maar toch zullen we enkele argumenten geven vóór deze oplossing. Tegenwoordig zijn de kosten van hardware vele malen lager dan de kosten van informatie op apparaten. Gegevensverlies kan resulteren in reputatieverlies, verlies aan concurrentievermogen en mogelijke rechtszaken. Het apparaat is gestolen of verloren - de informatie is beschikbaar voor vreemden. Om ongeautoriseerde toegang tot gegevens te voorkomen, moet encryptie worden gebruikt. Vergeet bovendien de gevaren niet zoals ongeautoriseerde toegang tot gegevens tijdens reparaties (inclusief garantie) of verkoop van gebruikte apparaten.
BitLocker zal helpen
Wat kan hier tegen zijn? Alleen gegevensversleuteling. In dit geval fungeert codering als de laatste verdedigingslinie voor de gegevens op de computer. Er is een grote verscheidenheid aan versleutelingstechnologieën voor harde schijven. Uiteraard kon Microsoft na de succesvolle implementatie van BitLocker-technologie als onderdeel van Windows Vista Enterprise en Windows Vista Ultimate niet anders dan deze technologie in Windows 7 opnemen. Eerlijk gezegd is het echter vermeldenswaard dat we in de nieuwe versie een aanzienlijk opnieuw ontworpen encryptietechnologie.
Onze kennismaking begint dus met de installatie van Windows 7. Als het in Windows Vista, om vervolgens codering te gebruiken, nodig was om eerst de harde schijf voor te bereiden met behulp van de opdrachtregel, deze op de juiste manier te markeren, of dit later te doen met het speciale Microsoft BitLocker Disk Preparation Tool-programma en vervolgens in Windows 7. Het probleem wordt in eerste instantie opgelost bij het partitioneren van de harde schijf. In mijn geval heb ik tijdens de installatie één systeempartitie opgegeven met een capaciteit van 39 GB, maar ik heb er twee gekregen! Eén daarvan is iets meer dan 38 GB groot en de tweede is 200 MB.
Laten we de schijfbeheerconsole openen (Start, Alle programma's, Systeembeheer, Computerbeheer, Schijfbeheer), zie.
Zoals u kunt zien, is de eerste partitie van 200 MB eenvoudigweg verborgen. Standaard is dit de systeem-, actieve en primaire partitie. Voor degenen die al bekend zijn met encryptie in Windows Vista: er is in dit stadium niets nieuws, behalve dat het partitioneren standaard wordt uitgevoerd en de harde schijf tijdens de installatiefase wordt voorbereid voor daaropvolgende encryptie. Het enige dat opvalt is de grootte: 200 MB versus 1,5 GB in Windows Vista. Natuurlijk is een dergelijke verdeling van de schijf in partities veel handiger, omdat de gebruiker bij het installeren van het besturingssysteem vaak niet meteen nadenkt over de vraag of hij de harde schijf zal coderen.
In het geval van Windows 7 kunt u onmiddellijk na de installatie van het besturingssysteem in het Configuratiescherm in de sectie Systeem en beveiliging BitLocker-stationsversleuteling selecteren. Door op de link Bescherm uw computer door gegevens op uw schijf te versleutelen te klikken, wordt u naar het venster geleid dat wordt weergegeven in .
Let op (rood gemarkeerd in de afbeelding) welke functies ontbreken of anders zijn georganiseerd in Windows Vista. In Windows Vista konden verwisselbare media dus alleen worden gecodeerd als ze het NTFS-bestandssysteem gebruikten, en de codering werd uitgevoerd volgens dezelfde regels als voor harde schijven. En het was mogelijk om de tweede partitie van de harde schijf (in dit geval station D:) pas te coderen nadat de systeempartitie (station C:) was gecodeerd.
Denk echter niet dat zodra u BitLocker inschakelen kiest, alles naar behoren zal werken. Wanneer u BitLocker zonder aanvullende instellingen inschakelt, krijgt u alleen maar versleuteling van de harde schijf op deze computer zonder gebruik te maken van de TPM-module.
Gebruikers in sommige landen, bijvoorbeeld in de Russische Federatie of Oekraïne, hebben echter eenvoudigweg geen andere keus, aangezien de import van computers met TRM in deze landen verboden is. In dit geval worden we, nadat we op BitLocker inschakelen hebben geklikt, naar scherm 3 geleid.
Als het mogelijk is om TPM te gebruiken of als het nodig is om de volledige kracht van codering te gebruiken, moet u de Groepsbeleid-editor gebruiken door gpedit.msc op de opdrachtregel te typen. Er wordt een editorvenster geopend (zie).
Laten we de groepsbeleidsinstellingen die u kunt gebruiken om BitLocker-codering te beheren eens nader bekijken.
Instellingen voor BitLocker-groepsbeleid Door deze groepsbeleidsinstelling te gebruiken, kunt u Active Directory Domain Services (AD DS) dwingen een back-up van informatie te maken voor later herstel van BitLocker Drive Encryption. Deze functie is alleen van toepassing op computers met Windows Server 2008 of Windows Vista.
Als u deze optie instelt en u BitLocker inschakelt, wordt de informatie die nodig is om deze te herstellen automatisch gekopieerd naar AD DS. Als u deze beleidsinstelling uitschakelt of op de standaardwaarde laat staan, worden de herstelgegevens van BitLocker niet naar AD DS gekopieerd.
Kies de standaardmap voor het herstelwachtwoord. Met deze optie kunt u de standaardmap instellen die de wizard BitLocker Drive Encryption weergeeft wanneer u wordt gevraagd naar de locatie van de map waarin u het herstelwachtwoord wilt opslaan. Deze instelling is van toepassing wanneer BitLocker-codering is ingeschakeld. De gebruiker kan het herstelwachtwoord in elke andere map opslaan.
Kies hoe gebruikers door BitLocker beveiligde schijven kunnen herstellen (Windows Server 2008 en Windows Vista). Met deze optie kunt u de herstelmodi van BitLocker beheren die door de installatiewizard worden weergegeven. Dit beleid is van toepassing op computers met Windows Server 2008 en Windows Vista. Deze instelling is van toepassing wanneer BitLocker is ingeschakeld.
Om versleutelde gegevens te herstellen, kan de gebruiker een digitaal wachtwoord van 48 cijfers gebruiken of een USB-stick met een 256-bits herstelsleutel.
Met deze optie kunt u een 256-bits wachtwoordsleutel op een USB-station opslaan als een verborgen bestand en een tekstbestand dat het 48-cijferige herstelwachtwoord bevat. Als u deze groepsbeleidsregel uitschakelt of niet configureert, kunt u met de BitLocker-installatiewizard herstelopties selecteren.
Kies de schijfversleutelingsmethode en coderingssterkte. Met behulp van deze regel kunt u het coderingsalgoritme en de lengte van de te gebruiken sleutel selecteren. Als de schijf al is gecodeerd en u besluit vervolgens de sleutellengte te wijzigen, gebeurt er niets. De standaardversleutelingsmethode is AES met een 128-bits sleutel en diffuser.
Geef de unieke ID's voor uw organisatie op. Deze beleidsregel creëert unieke ID's voor elke nieuwe schijf die eigendom is van de organisatie en wordt beschermd door BitLocker. Deze identificatiegegevens worden opgeslagen als het eerste en tweede veld van de identificatie. Met het eerste ID-veld kunt u een unieke organisatie-ID instellen op door BitLocker beveiligde schijven. Deze ID wordt automatisch toegevoegd aan nieuwe met BitLocker beveiligde schijven en kan worden bijgewerkt voor bestaande met BitLocker gecodeerde schijven met behulp van de opdrachtregelsoftware Manage-BDE.
Het tweede ID-veld wordt gebruikt in combinatie met de beleidsregel Toegang tot niet-BitLocker verwijderbare media weigeren en kan worden gebruikt om verwisselbare schijven te beheren. Met een combinatie van deze velden kunt u bepalen of een schijf bij uw organisatie hoort.
Als de waarde van deze regel ongedefinieerd of uitgeschakeld is, zijn identificatievelden niet vereist. Het identificatieveld kan maximaal 260 tekens lang zijn.
Voorkom geheugenoverschrijving bij opnieuw opstarten. Deze regel verbetert de prestaties van uw computer door te voorkomen dat het geheugen wordt overschreven. Houd er echter rekening mee dat BitLocker-sleutels niet uit het geheugen worden verwijderd.
Als deze regel is uitgeschakeld of niet is geconfigureerd, worden BitLocker-sleutels uit het geheugen verwijderd wanneer de computer opnieuw wordt opgestart. Om de bescherming te verbeteren, moet deze regel in de standaardstatus blijven staan.
Configureer de object-ID van het smartcardcertificaat. Deze regel koppelt de object-ID van het smartcardcertificaat aan een met BitLocker gecodeerd station.
Vaste datadrives
In deze sectie worden de groepsbeleidsregels beschreven die van toepassing zijn op gegevensschijven (niet op systeempartities).
Configureer het gebruik van smartcards op vaste dataschijven. Deze regel bepaalt of smartcards kunnen worden gebruikt om toegang te verlenen tot gegevens op de harde schijf van de computer. Als u deze regel uitschakelt, kunnen smartcards niet worden gebruikt. Standaard kunnen smartcards worden gebruikt.
Weiger schrijftoegang tot vaste schijven die niet door BitLocker worden beschermd. Deze regel bepaalt of u wel of niet kunt schrijven naar schijven die niet door BitLocker worden beschermd. Als deze regel is gedefinieerd, zijn alle schijven die niet door BitLocker worden beschermd alleen-lezen. Als de schijf is gecodeerd met BitLocker, is deze leesbaar en beschrijfbaar. Als deze regel is uitgeschakeld of niet is gedefinieerd, zijn alle harde schijven op de computer leesbaar en beschrijfbaar.
Sta toegang toe tot door BitLocker beveiligde vaste gegevensstations vanuit eerdere versies van Windows. Deze beleidsregel bepaalt of schijven met het FAT-bestandssysteem kunnen worden ontgrendeld en gelezen op computers met Windows Server 2008, Windows Vista, Windows XP SP3 en Windows XP SP2.
Als dit beleid is ingeschakeld of niet is geconfigureerd, zijn gegevensschijven die zijn geformatteerd met het FAT-bestandssysteem mogelijk leesbaar op computers met de hierboven genoemde besturingssystemen. Als deze regel is uitgeschakeld, kunnen de bijbehorende schijven niet worden ontgrendeld op computers met Windows Server 2008, Windows Vista, Windows XP SP3 en Windows XP SP2. Deze regel is niet van toepassing op NTFS-geformatteerde schijven.
Deze regel bepaalt of er een wachtwoord vereist is om met BitLocker beveiligde schijven te ontgrendelen. Als u een wachtwoord wilt gebruiken, kunt u vereisten voor wachtwoordcomplexiteit en een minimale wachtwoordlengte instellen. Het is de moeite waard om te overwegen dat u, om complexiteitsvereisten in te stellen, de vereiste voor wachtwoordcomplexiteit moet instellen in de sectie "Wachtwoordbeleid" van Groepsbeleid.
Als deze regel is gedefinieerd, kunnen gebruikers wachtwoorden configureren die aan de geselecteerde vereisten voldoen. Het wachtwoord moet minimaal 8 tekens lang zijn (standaard).
Kies hoe door BitLocker beveiligde vaste schijven kunnen worden hersteld. Met deze regel kunt u het herstel van gecodeerde schijven beheren. Als het niet is geconfigureerd of geblokkeerd, zijn standaard herstelopties beschikbaar.
Besturingssysteemschijven
In dit gedeelte worden de groepsbeleidsregels beschreven die van toepassing zijn op besturingssysteempartities (meestal station C:).
Extra authenticatie vereisen bij het opstarten. Met deze groepsbeleidsregel kunt u instellen dat de Trusted Platform Module (TMP) wordt gebruikt voor authenticatie. Het is de moeite waard om te overwegen dat bij het opstarten slechts één van de functies kan worden opgegeven, anders zal er een fout optreden bij de implementatie van het beleid.
Als dit beleid is ingeschakeld, kunnen gebruikers geavanceerde opstartopties configureren in de BitLocker-installatiewizard. Als het beleid is uitgeschakeld of niet is geconfigureerd, kan de basisfunctionaliteit alleen worden geconfigureerd op computers waarop TPM wordt uitgevoerd. Als u een pincode en een USB-station wilt gebruiken, moet u BitLocker configureren met behulp van de bde-opdrachtregel in plaats van de BitLocker Drive Encryption-wizard.
Vereist extra authenticatie bij het opstarten (Windows Server 2008 en Windows Vista). Dit beleid is alleen van toepassing op computers met Windows 2008 of Windows Vista. Op computers die zijn uitgerust met een TPM kunt u een extra beveiligingsoptie instellen: een pincode (4 tot 20 cijfers). Op computers die niet zijn uitgerust met TRM wordt een USB-schijf met sleutelinformatie gebruikt.
Als deze optie is ingeschakeld, geeft de wizard een venster weer waarin de gebruiker aanvullende opstartopties van BitLocker kan configureren. Als deze optie is uitgeschakeld of niet is geconfigureerd, geeft de installatiewizard de basisstappen weer voor het uitvoeren van BitLocker op computers met TPM.
Configureer de minimale pincodelengte voor het opstarten. Deze optie specificeert de minimale pincodelengte die vereist is om de computer op te starten. De pincode kan variëren van 4 tot 20 cijfers.
Kies hoe door BitLocker beveiligde besturingssysteemschijven kunnen worden hersteld. Deze groepsbeleidsregel kan worden gebruikt om te bepalen hoe met BitLocker gecodeerde schijven worden hersteld als de coderingssleutel ontbreekt.
Configureer het TPM-platformvalidatieprofiel. Met deze regel kunt u de TRM-module configureren. Als er geen overeenkomstige module is, is deze regel niet van toepassing.
Als u deze regel inschakelt, kunt u opgeven welke bootstrapcomponenten door TPM worden gescand voordat toegang tot de gecodeerde schijf wordt toegestaan.
Verwisselbare gegevensschijven
Beheer het gebruik van BitLocker op verwisselbare schijven. Deze groepsbeleidsregel kan worden gebruikt om de BitLocker-codering op verwisselbare schijven te beheren. U kunt kiezen welke instellingen gebruikers kunnen gebruiken om BitLocker te configureren. Als u wilt dat de wizard voor het instellen van de BitLocker-codering op een verwisselbare schijf wordt uitgevoerd, moet u Gebruikers toestaan BitLocker-beveiliging op verwisselbare gegevensschijven toe te passen selecteren.
Als u Gebruikers toestaan BitLocker op verwisselbare gegevensstations op te schorten en te decoderen selecteert, kan de gebruiker uw verwisselbare schijf ontsleutelen of de codering pauzeren.
Als dit beleid niet is geconfigureerd, kunnen gebruikers BitLocker inschakelen op verwisselbare media. Als de regel is uitgeschakeld, kunnen gebruikers BitLocker niet gebruiken op verwisselbare schijven.
Configureer het gebruik van smartcards op verwisselbare gegevensschijven. Deze beleidsinstelling bepaalt of smartcards kunnen worden gebruikt om een gebruiker te verifiëren en toegang te krijgen tot verwisselbare schijven op een computer.
Weiger schrijftoegang tot verwisselbare schijven die niet door BitLocker worden beschermd. Deze beleidsregel kan worden gebruikt om te voorkomen dat er wordt geschreven naar verwisselbare schijven die niet worden beschermd door BitLocker. In dit geval zijn alle verwisselbare schijven die niet door BitLocker worden beschermd, alleen-lezen.
Als u de optie Schrijftoegang weigeren voor apparaten die in een andere organisatie zijn geconfigureerd selecteert, is schrijven alleen beschikbaar op verwisselbare schijven die tot uw organisatie behoren. De controle wordt uitgevoerd op basis van twee identificatievelden die zijn gedefinieerd in de groepsbeleidsregel Geef de unieke ID's op voor uw organisatie.
Als u deze regel uitschakelt of als deze niet is geconfigureerd, zijn alle verwisselbare schijven beschikbaar voor zowel lezen als schrijven. Deze regel kan worden overschreven door de beleidsinstellingen GebruikersconfiguratieBeheersjablonenSysteemVerwijderbare opslagtoegang. Als de regel Verwisselbare schijven: schrijftoegang weigeren is ingeschakeld, wordt deze regel genegeerd.
Sta toegang toe tot door BitLocker beveiligde verwisselbare gegevensstations uit eerdere versies van Windows. Deze regel bepaalt of verwisselbare schijven die als FAT zijn geformatteerd, kunnen worden ontgrendeld en bekeken op computers met Windows 2008, Windows Vista, Windows XP SP3 en Windows XP SP2.
Als deze regel is ingeschakeld of niet is geconfigureerd, kunnen verwisselbare schijven met het FAT-bestandssysteem worden ontgrendeld en bekeken op computers met Windows 2008, Windows Vista, Windows XP SP3 en Windows XP SP2. In dit geval zijn deze schijven alleen-lezen.
Als deze regel wordt geblokkeerd, kunnen de bijbehorende verwisselbare schijven niet worden ontgrendeld en bekeken op computers met Windows 2008, Windows Vista, Windows XP SP3 en Windows XP SP2. Deze regel is niet van toepassing op schijven die zijn geformatteerd met NTFS.
Configureer de vereisten voor wachtwoordcomplexiteit en de minimale lengte. Deze beleidsregel bepaalt of verwisselbare schijven die zijn vergrendeld met BitLocker moeten worden ontgrendeld met een wachtwoord. Als u een wachtwoord toestaat, kunt u vereisten voor de wachtwoordcomplexiteit en een minimale lengte instellen. Het is de moeite waard om te overwegen dat in dit geval de complexiteitsvereisten moeten samenvallen met de vereisten van het wachtwoordbeleid. ComputerconfiguratieWindows-instellingenBeveiligingsinstellingenAccountbeleidWachtwoordbeleid
Kies hoe met BitLocker beveiligde verwisselbare schijven kunnen worden hersteld. Met deze regel kunt u selecteren hoe met BitLocker beveiligde verwisselbare schijven worden hersteld.
Laten we verder gaan met het coderingsproces. Veranderingen in Groepsbeleid stellen ons in staat om de encryptiemogelijkheden van BitLocker op grotere schaal te gebruiken, en om onze vaardigheden in het werken ermee te consolideren, zullen we proberen te coderen: de systeemschijf, een gegevensschijf, verwijderbare media, zowel onder NTFS als onder FAT ( we gaan ervan uit dat op de computer de TPM-module is geïnstalleerd).
Bovendien moeten we controleren of onze verwisselbare media die zijn geformatteerd onder FAT beschikbaar zullen zijn op een computer met zowel Windows XP SP2 als Windows Vista SP1.
Selecteer om te beginnen in het BitLocker-groepsbeleid het coderingsalgoritme en de sleutellengte (zie).
Selecteer vervolgens in de sectie Besturingssysteemstation de regel Extra authenticatie vereisen bij opstarten (zie).
Hierna zullen we de minimale pincodelengte instellen op 6 tekens met behulp van de regel Minimale pincodelengte configureren voor opstarten. Om het gegevensgedeelte te versleutelen, stellen we eisen aan de complexiteit en een minimale wachtwoordlengte van 8 tekens.
Tegelijkertijd moet u niet vergeten dat u dezelfde vereisten voor wachtwoordbeveiliging moet instellen via de beleidseditor.
Voor verwisselbare schijven selecteert u de volgende instellingen:
- sta het lezen van verwisselbare schijven met het FAT-bestandssysteem niet toe onder oudere versies van Windows;
- wachtwoorden moeten voldoen aan de complexiteitseisen;
- De minimale wachtwoordlengte is 8 tekens.
Gebruik hierna de opdracht gpupdate.exe/force in het opdrachtregelvenster om het beleid bij te werken.
Omdat we besloten hebben om bij elke herstart een pincode te gebruiken, selecteren we Bij elke herstart een pincode vereisen (zie scherm 7).
Hierna starten we het systeem opnieuw op en begint het proces van het coderen van schijf C.
De tweede partitie van onze harde schijf, schijf D, is op een vergelijkbare manier gecodeerd (zie scherm 8).
Voordat we schijf D coderen, moeten we een wachtwoord voor deze schijf instellen. In dit geval moet het wachtwoord voldoen aan onze vereisten voor minimale wachtwoordlengte en complexiteit. Houd er rekening mee dat u deze schijf automatisch op uw computer kunt openen. Net als voorheen slaan we het herstelwachtwoord op een USB-station op. Houd er rekening mee dat wanneer u uw wachtwoord voor de eerste keer opslaat, het ook in een tekstbestand op dezelfde USB-stick wordt opgeslagen!
Laten we nu proberen een USB-station te coderen dat is geformatteerd onder het FAT-bestandssysteem.
Het coderen van een USB-drive begint met het feit dat ons wordt gevraagd een wachtwoord in te voeren voor de toekomstige gecodeerde schijf. Volgens bepaalde beleidsregels is de minimale wachtwoordlengte 8 tekens. In dit geval moet het wachtwoord voldoen aan de complexiteitseisen. Nadat we het wachtwoord hebben ingevoerd, wordt ons gevraagd de herstelsleutel in een bestand op te slaan of af te drukken.
Nadat de codering is voltooid, proberen we dit USB-station te bekijken op een andere computer met Windows Vista Home Premium SP1. Het resultaat wordt getoond in Figuur 9.
Zoals u kunt zien, wordt de informatie niet gelezen als de schijf verloren gaat; bovendien wordt de schijf hoogstwaarschijnlijk eenvoudigweg geformatteerd.
Wanneer u hetzelfde USB-station probeert aan te sluiten op een computer met Windows 7 Beta1, ziet u mogelijk het bericht dat wordt weergegeven in Scherm 10.
We hebben dus gekeken hoe de codering in Windows 7 zal plaatsvinden. Vergeleken met Windows Vista zijn er veel meer regels in groepsbeleid verschenen, en dienovereenkomstig zal de verantwoordelijkheid van IT-personeel voor de juiste toepassing en interactie met werknemers toenemen.
Bitlocker-schijfversleuteling
BitLocker - BitLocker (volledige naam BitLockerDrive Encryption) is ingebouwd in de besturingssystemen Windows Vista Ultimate/Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012 en Windows 8.
Met BitLocker kunt u het gehele opslagmedium (logische schijf, SD-kaart, USB-sleutel) volledig versleutelen. Tegelijkertijd worden AES 128- en AES 256-coderingsalgoritmen ondersteund.
Mogelijk bent u ook geïnteresseerd in het artikel “”, waarin we probeerden uit te vinden of het mogelijk is om Windows-schijfversleuteling te hacken.
De coderingsherstelsleutel kan worden opgeslagen op uw computer, op een USB-apparaat of op een TPM-hardwarechip (Trusted Platform Module). U kunt ook een kopie van de sleutel opslaan in uw Microsoft-account (maar waarom?).
UITLEG U kunt de sleutel alleen in de TPM-chip opslaan op computers waarbij de TPM-chip in het moederbord is ingebouwd. Als het moederbord van de computer is uitgerust met een TPM-chip, kan de sleutel daaruit worden gelezen na authenticatie met een USB-sleutel/smartcard, of na het invoeren van een pincode.
In het eenvoudigste geval kunt u de gebruiker authenticeren met een gewoon wachtwoord. Deze methode past natuurlijk niet bij James Bond, maar voor de meeste gewone gebruikers die een deel van hun gegevens voor collega's of familieleden willen verbergen, zal het voldoende zijn.
Met BitLocker kunt u elk volume coderen, inclusief het opstartvolume (datgene waarvan Windows opstart). Vervolgens moet het wachtwoord worden ingevoerd bij het opstarten (of andere authenticatiemiddelen gebruiken, bijvoorbeeld TPM).
ADVIES Ik raad u ten zeerste af uw opstartvolume te coderen. Ten eerste neemt de productiviteit af. Technet.microsoft meldt dat de typische prestatievermindering 10% is, maar in uw specifieke geval kunt u meer traagheid op uw computer verwachten, afhankelijk van uw configuratie. En in feite hoeven niet alle gegevens te worden gecodeerd. Waarom dezelfde programmabestanden versleutelen? Er is niets vertrouwelijks aan hen. Ten tweede, als er iets met Windows gebeurt, ben ik bang dat alles slecht kan aflopen: het volume formatteren en gegevens verliezen.
Daarom kunt u het beste één volume coderen: een afzonderlijke logische schijf, een externe USB-schijf, enz. En vervolgens al uw geheime bestanden op deze gecodeerde schijf plaatsen. Programma's die bescherming vereisen, kunt u ook op een gecodeerde schijf installeren, bijvoorbeeld hetzelfde 1C Accounting.
U sluit een dergelijke schijf alleen aan als dat nodig is: dubbelklik op het schijfpictogram, voer het wachtwoord in en krijg toegang tot de gegevens.
Wat kunt u versleutelen met BitLocker?
U kunt elke schijf coderen, behalve netwerk en optisch. Hier is een lijst met ondersteunde schijfverbindingstypen: USB, Firewire, SATA, SAS, ATA, IDE, SCSI, eSATA, iSCSI, Fibre Channel.
Versleuteling van volumes die via Bluetooth zijn verbonden, wordt niet ondersteund. En hoewel de geheugenkaart van een mobiele telefoon die via Bluetooth met een computer is verbonden, eruit ziet als een afzonderlijk opslagmedium, kan deze niet worden gecodeerd.
Ondersteunde bestandssystemen zijn NTFS, FAT32, FAT16, ExFAT. Andere bestandssystemen worden niet ondersteund, waaronder CDFS, NFS, DFS, LFS, software RAID-arrays (hardware RAID-arrays worden ondersteund).
U kunt solid-state schijven coderen: (SSD-schijven, flashdrives, SD-kaarten), harde schijven (inclusief schijven die via USB zijn aangesloten). Versleuteling van andere typen schijven wordt niet ondersteund.
Bitlocker-schijfversleuteling
Ga naar uw bureaublad, start Verkenner en klik klik met de rechtermuisknop op de schijf, die u wilt coderen. Ik wil u eraan herinneren dat dit een logisch volume, een SD-kaart, een flashstation, een USB-station of een SSD-station kan zijn. Selecteer BitLocker inschakelen in het menu dat verschijnt.
Commando om BitLocker-codering in te schakelen
Het eerste dat u wordt gevraagd, is hoe u toegang krijgt tot de gecodeerde schijf: met behulp van een wachtwoord of een smartcard. U dient één van de opties te selecteren (of beide: dan gaat het om zowel het wachtwoord als de smartcard), anders wordt de knop Volgende niet actief.
Hoe verwijderen we de Bitlocker-blokkering? In de volgende stap wordt u gevraagd een reservekopie van de sleutel te maken
herstel.
De herstelsleutel archiveren UITLEG De herstelsleutel wordt gebruikt om de schijf te ontgrendelen voor het geval u uw wachtwoord bent vergeten of uw smartcard bent kwijtgeraakt. U kunt niet weigeren een herstelsleutel aan te maken. En dit klopt, want toen ik terugkwam van vakantie, ben ik mijn wachtwoord voor de gecodeerde schijf vergeten. Het kan zijn dat dezelfde situatie zich opnieuw voor u voordoet. Daarom kiezen we een van de voorgestelde methoden voor het archiveren van de herstelsleutel.
- De sleutel opslaan in uw Microsoft-account. Ik raad deze methode niet aan: er is geen internetverbinding - u kunt uw sleutel niet krijgen.
- Opslaan in een bestand is de beste manier. Het herstelsleutelbestand wordt naar uw bureaublad geschreven.
De herstelsleutel opslaan op het bureaublad - U begrijpt dat het van daaruit naar een veiligere plaats moet worden overgebracht, bijvoorbeeld naar een flashstation. Ook is het raadzaam om deze te hernoemen, zodat uit de bestandsnaam niet direct duidelijk is dat dit exact dezelfde sleutel is. U kunt dit bestand openen (u zult later zien hoe het eruit ziet) en de herstelsleutel zelf naar een bestand kopiëren, zodat alleen u weet wat de regel is en in welk bestand deze zich bevindt. Het is beter om het originele bestand later met de herstelsleutel te verwijderen. Op deze manier zal het betrouwbaarder zijn.
- Het afdrukken van een herstelsleutel is een behoorlijk wild idee, tenzij je dit stukje papier vervolgens in een kluis stopt en met zeven sloten afsluit.
Nu moet u bepalen welk deel van de schijf moet worden gecodeerd.
Hoeveel van de schijf moet worden gecodeerd? U kunt alleen de bezette ruimte coderen, of u kunt de hele schijf in één keer coderen. Als uw schijf bijna leeg is, is het veel sneller om alleen de bezette ruimte te coderen. Laten we de opties bekijken:
- laat er maar 10 MB aan gegevens op een flashdrive van 16 GB staan. Kies de eerste optie en de schijf wordt onmiddellijk gecodeerd. Nieuwe bestanden die naar een flashdrive worden geschreven, worden “on the fly” gecodeerd, dat wil zeggen automatisch;
- de tweede optie is geschikt als er veel bestanden op de schijf staan en deze bijna helemaal vol is. Voor dezelfde flashdrive van 16 GB, maar gevuld tot 15 GB, zal het verschil in coderingstijd volgens de eerste of tweede optie echter vrijwel niet te onderscheiden zijn (15 GB of 16 GB wordt gecodeerd
bijna tegelijkertijd); - Als er echter weinig gegevens op de schijf staan en u de tweede optie kiest, zal het versleutelen pijnlijk lang duren vergeleken met de eerste methode.
Je hoeft dus alleen maar op de knop te drukken Versleuteling starten.
Schijfversleuteling met Bitlocker Wacht tot de schijf is gecodeerd. Schakel de computer niet uit en start hem niet opnieuw op voordat de codering is voltooid. U ontvangt een bericht waarin dit wordt aangegeven.
Als er een stroomstoring optreedt, gaat de codering verder waar deze was gebleven toen Windows werd gestart. Dit staat op de website van Microsoft. Ik heb niet gecontroleerd of dit waar is voor de systeemschijf - ik wilde het risico niet lopen.
Artikel gaat verder op de volgende pagina. Om naar de volgende pagina te gaan, klikt u op knop 2 die zich onder de sociale netwerkknoppen bevindt.
Volgens deskundigen is laptopdiefstal een van de grootste problemen op het gebied van informatiebeveiliging (IS).
In tegenstelling tot andere bedreigingen voor de informatiebeveiliging is de aard van het probleem van “gestolen laptop” of “gestolen flashdrive” vrij primitief. En als de kosten van vermiste apparaten zelden meer dan enkele duizenden dollars bedragen, wordt de waarde van de informatie die erop is opgeslagen vaak in miljoenen uitgedrukt.
Volgens Dell en het Ponemon Institute verdwijnen er jaarlijks alleen al op Amerikaanse luchthavens 637.000 laptops. Stel je eens voor hoeveel flashdrives er kwijtraken, omdat ze veel kleiner zijn, en het per ongeluk laten vallen van een flashdrive net zo eenvoudig is als het beschieten van peren.
Wanneer een laptop van een topmanager van een groot bedrijf vermist raakt, kan de schade als gevolg van zo'n diefstal tientallen miljoenen dollars bedragen.
Hoe kunt u uzelf en uw bedrijf beschermen?
We vervolgen onze serie artikelen over Windows-domeinbeveiliging. In het eerste artikel in de serie hebben we gesproken over het instellen van een beveiligde domeinaanmelding, en in het tweede over het instellen van veilige gegevensoverdracht in een e-mailclient:
- Hoe maak je een Windows-domein veiliger met een token? Deel 1.
- Hoe maak je een Windows-domein veiliger met een token? Deel 2.
In dit artikel zullen we het hebben over het instellen van de codering van informatie die op uw harde schijf is opgeslagen. U leert hoe u ervoor kunt zorgen dat alleen u de informatie op uw computer kunt lezen.
Weinig mensen weten dat Windows ingebouwde tools heeft waarmee u informatie veilig kunt opslaan. Laten we een van hen overwegen.
Sommigen van jullie hebben vast wel eens het woord ‘BitLocker’ gehoord. Laten we uitzoeken wat het is.
Wat is BitLocker?
BitLocker (precies BitLocker Drive Encryption genoemd) is een technologie voor het coderen van de inhoud van computerstations, ontwikkeld door Microsoft. Het verscheen voor het eerst in Windows Vista.
Met BitLocker was het mogelijk om volumes op de harde schijf te coderen, maar later, in Windows 7, verscheen een soortgelijke technologie, BitLocker To Go, die is ontworpen om verwisselbare schijven en flashdrives te coderen.
BitLocker is een standaardcomponent van Windows Professional en serverversies van Windows, wat betekent dat het al beschikbaar is voor de meeste zakelijke toepassingen. Anders moet u uw Windows-licentie upgraden naar Professional.
Hoe werkt BitLocker?
Deze technologie is gebaseerd op volledige volume-encryptie die wordt uitgevoerd met behulp van het AES-algoritme (Advanced Encryption Standard). Encryptiesleutels moeten veilig worden opgeslagen en BitLocker heeft hiervoor verschillende mechanismen.
De eenvoudigste, maar tegelijkertijd meest onveilige methode is een wachtwoord. De sleutel wordt elke keer op dezelfde manier uit het wachtwoord verkregen, en als iemand uw wachtwoord ontdekt, wordt de coderingssleutel dus bekend.
Om te voorkomen dat de sleutel in gewone tekst wordt opgeslagen, kan deze worden gecodeerd in een TPM (Trusted Platform Module) of op een cryptografisch token of smartcard die het RSA 2048-algoritme ondersteunt.
TPM is een chip die is ontworpen om basisbeveiligingsgerelateerde functies te implementeren, waarbij voornamelijk gebruik wordt gemaakt van coderingssleutels.
De TPM-module wordt meestal op het moederbord van de computer geïnstalleerd, maar het is erg moeilijk om in Rusland een computer met een ingebouwde TPM-module aan te schaffen, aangezien de import van apparaten zonder FSB-melding in ons land verboden is.
Het gebruik van een smartcard of token om een schijf te ontgrendelen is een van de veiligste manieren om te bepalen wie het proces heeft voltooid en wanneer. Om in dit geval de vergrendeling te verwijderen, heeft u zowel de smartcard zelf als de pincode daarvoor nodig.
Hoe BitLocker werkt:
- Wanneer BitLocker wordt geactiveerd, wordt er een masterbitreeks gemaakt met behulp van een pseudo-willekeurige getalgenerator. Dit is de volume-encryptiesleutel - FVEK (full-volume-encryptiesleutel). Het codeert de inhoud van elke sector. De FVEK-sleutel wordt strikt vertrouwelijk bewaard.
- FVEK wordt gecodeerd met behulp van de VMK-sleutel (volumemastersleutel). De FVEK-sleutel (gecodeerd met de VMK-sleutel) wordt op schijf opgeslagen tussen de volumemetagegevens. Het mag echter nooit in gedecodeerde vorm op schijf terechtkomen.
- VMK zelf is ook gecodeerd. De gebruiker kiest de coderingsmethode.
- De VMK-sleutel wordt standaard gecodeerd met behulp van de SRK-sleutel (storage root key), die is opgeslagen op een cryptografische smartcard of token. Dit gebeurt op vergelijkbare wijze bij TPM.
Overigens kan de coderingssleutel van het systeemstation in BitLocker niet worden beveiligd met een smartcard of token. Dit komt door het feit dat bibliotheken van de leverancier worden gebruikt om toegang te krijgen tot smartcards en tokens, en deze zijn uiteraard niet beschikbaar voordat het besturingssysteem is geladen.
Als er geen TPM is, stelt BitLocker voor om de systeempartitiesleutel op een USB-flashstation op te slaan, wat natuurlijk niet het beste idee is. Als uw systeem geen TPM heeft, raden we u af uw systeemschijven te coderen.
Over het algemeen is het coderen van de systeemschijf een slecht idee. Indien correct geconfigureerd, worden alle belangrijke gegevens gescheiden van de systeemgegevens opgeslagen. Dit is in ieder geval handiger vanuit het oogpunt van hun back-up. Bovendien vermindert het coderen van systeembestanden de prestaties van het systeem als geheel, en vindt de werking van een niet-gecodeerde systeemschijf met gecodeerde bestanden plaats zonder snelheidsverlies. - Encryptiesleutels voor andere niet-systeem- en verwisselbare schijven kunnen worden beschermd met een smartcard of token, evenals met een TPM.
Als er geen TPM-module of smartcard is, wordt in plaats van SRK een sleutel gebruikt die is gegenereerd op basis van het wachtwoord dat u hebt ingevoerd om de VMK-sleutel te coderen.
Wanneer het systeem opstart vanaf een gecodeerde opstartschijf, doorzoekt het alle mogelijke sleutelarchieven - controleert op de aanwezigheid van een TPM, controleert USB-poorten of, indien nodig, vraagt het de gebruiker om een melding (dit wordt herstel genoemd). Dankzij de detectie van sleutelarchief kan Windows de VMK-sleutel ontsleutelen die de FVEK-sleutel ontsleutelt die de gegevens op de schijf ontsleutelt.
Elke sector van het volume wordt afzonderlijk gecodeerd, en een deel van de encryptiesleutel wordt bepaald door het nummer van die sector. Als gevolg hiervan zullen twee sectoren die dezelfde niet-versleutelde gegevens bevatten er bij versleuteling anders uitzien, waardoor het erg moeilijk wordt om versleutelingssleutels te bepalen door eerder bekende gegevens te schrijven en te ontsleutelen.
Naast FVEK, VMK en SRK gebruikt BitLocker een ander type sleutel dat ‘voor het geval dat’ wordt aangemaakt. Dit zijn de herstelsleutels.
Voor noodgevallen (de gebruiker is een token kwijtgeraakt, zijn pincode vergeten, enz.) vraagt BitLocker u in de laatste stap om een herstelsleutel te maken. Het systeem voorziet niet in de weigering om het te creëren.
Hoe schakel ik gegevensversleuteling in op uw harde schijf?
Voordat u begint met het coderen van volumes op uw harde schijf, is het belangrijk op te merken dat deze procedure enige tijd in beslag zal nemen. De duur ervan hangt af van de hoeveelheid informatie op de harde schijf.
Als de computer tijdens het versleutelen of ontsleutelen wordt uitgeschakeld of in de slaapstand gaat, worden deze processen hervat waar ze waren gestopt de volgende keer dat u Windows start.
Zelfs tijdens het coderingsproces kan het Windows-systeem worden gebruikt, maar het is onwaarschijnlijk dat u tevreden zult zijn met de prestaties ervan. Als gevolg hiervan nemen de schijfprestaties na codering met ongeveer 10% af.
Als BitLocker beschikbaar is op uw systeem en u met de rechtermuisknop klikt op de naam van de schijf die moet worden gecodeerd, wordt het geopende menu-item weergegeven Schakel BitLocker in.
Op serverversies van Windows moet u een rol toevoegen BitLocker-stationsversleuteling.
Laten we beginnen met het instellen van de codering van een niet-systeemvolume en de coderingssleutel beschermen met een cryptografisch token.
We zullen een token gebruiken dat is geproduceerd door het bedrijf Aktiv. In het bijzonder de Rutoken EDS-token PKI.
I. Laten we Rutoken EDS PKI voorbereiden op het werk.
In de meeste normaal geconfigureerde Windows-systemen wordt na de eerste verbinding met Rutoken EDS PKI automatisch een speciale bibliotheek voor het werken met tokens geproduceerd door het bedrijf Aktiv - Aktiv Rutoken minidriver - gedownload en geïnstalleerd.
Het installatieproces voor een dergelijke bibliotheek is als volgt.
De aanwezigheid van de Aktiv Rutoken minidriver-bibliotheek kan worden gecontroleerd via apparaatbeheer.
Als het downloaden en installeren van de bibliotheek om de een of andere reden niet is gelukt, installeer dan de Rutoken Drivers voor Windows-kit.
II. Laten we de gegevens op de schijf coderen met BitLocker.
Klik op de schijfnaam en selecteer Schakel BitLocker in.
Zoals we eerder zeiden, zullen we een token gebruiken om de schijfversleutelingssleutel te beschermen.
Het is belangrijk om te begrijpen dat als u een token of smartcard met BitLocker wilt gebruiken, deze RSA 2048-sleutels en een certificaat moet bevatten.
Als u de Certificate Authority-service in een Windows-domein gebruikt, moet het certificaatsjabloon de reikwijdte van het “Disk Encryption”-certificaat bevatten (meer over het instellen van Certificate Authority in het eerste deel van onze serie artikelen over Windows-domeinbeveiliging).
Als u geen domein heeft of als u het beleid voor het uitgeven van certificaten niet kunt wijzigen, kunt u een fallback-methode gebruiken met behulp van een zelfondertekend certificaat. Er wordt beschreven hoe u een zelfondertekend certificaat voor uzelf kunt uitgeven.
Laten we nu het overeenkomstige vakje aanvinken.
In de volgende stap selecteren we een methode voor het opslaan van de herstelsleutel (we raden aan om te kiezen Druk de herstelsleutel af).
Het stuk papier met de afgedrukte herstelsleutel moet op een veilige plaats worden bewaard, bij voorkeur in een kluis.
In de volgende fase starten we het schijfversleutelingsproces. Zodra dit proces is voltooid, moet u mogelijk uw systeem opnieuw opstarten.
Wanneer codering is ingeschakeld, verandert het pictogram van de gecodeerde schijf.
En nu, wanneer we deze schijf proberen te openen, zal het systeem u vragen een token in te voeren en de pincode in te voeren.
Implementatie en configuratie van BitLocker en TPM kunnen worden geautomatiseerd met behulp van de WMI-tool of Windows PowerShell-scripts. Hoe de scenario's worden geïmplementeerd, is afhankelijk van de omgeving. De opdrachten voor BitLocker in Windows PowerShell worden in dit artikel beschreven.
Hoe kan ik met BitLocker gecodeerde gegevens herstellen als het token verloren is gegaan?
Als u gecodeerde gegevens in Windows wilt openen
Hiervoor heeft u de herstelsleutel nodig die we eerder hebben afgedrukt. Voer het gewoon in het juiste veld in en het gecodeerde gedeelte wordt geopend.
Als u gecodeerde gegevens op GNU/Linux- en Mac OS X-systemen wilt openen
Hiervoor heeft u het hulpprogramma DisLocker en een herstelsleutel nodig.
Het DisLocker-hulpprogramma werkt in twee modi:
- BESTAND - De volledige door BitLocker versleutelde partitie wordt gedecodeerd in een bestand.
- FUSE - alleen het blok waartoe het systeem toegang heeft, wordt gedecodeerd.
We zullen bijvoorbeeld het Linux-besturingssysteem en de FUSE-hulpprogrammamodus gebruiken.
In de nieuwste versies van veelgebruikte Linux-distributies is het dislocker-pakket al opgenomen in de distributie, bijvoorbeeld in Ubuntu, vanaf versie 16.10.
Als het dislocker-pakket om de een of andere reden niet beschikbaar is, moet u het hulpprogramma downloaden en compileren:
tar -xvjf dislocker.tar.gz
Laten we het bestand INSTALL.TXT openen en controleren welke pakketten we moeten installeren.
In ons geval moeten we het libfuse-dev-pakket installeren:
sudo apt-get install libfuse-dev
Laten we beginnen met het samenstellen van het pakket. Laten we naar de map src gaan en de opdrachten make en make install gebruiken:
cd src/make make install
Wanneer alles is gecompileerd (of u het pakket hebt geïnstalleerd), gaan we beginnen met het instellen ervan.
Laten we naar de map mnt gaan en daarin twee mappen maken:
- Gecodeerde partitie - voor een gecodeerde partitie;
- Gedecodeerde partitie - voor een gedecodeerde partitie.
Laten we de gecodeerde partitie zoeken. Laten we het decoderen met behulp van het hulpprogramma en het verplaatsen naar de map Encrypted-partition:
dislocker -r -V /dev/sda5 -p herstelsleutel /mnt/Encrypted-partition(in plaats van recovery_key vervangt u uw herstelsleutel)
Laten we een lijst met bestanden weergeven die zich in de map Encrypted-partition bevinden:
ls gecodeerde partitie/
Laten we de opdracht invoeren om de partitie te mounten:
mount -o loop Driveq/dislocker-file Decrypted-partition/
Om de gedecodeerde partitie te bekijken, gaat u naar de map Encrypted-partition.
Laten we het samenvatten
Volume-encryptie inschakelen met BitLocker is heel eenvoudig. Dit alles gebeurt moeiteloos en gratis (op voorwaarde dat u over een professionele of serverversie van Windows beschikt uiteraard).
U kunt een cryptografisch token of smartcard gebruiken om de coderingssleutel te beschermen waarmee de schijf wordt gecodeerd, waardoor het beveiligingsniveau aanzienlijk wordt verhoogd.
Niemand is helemaal verrast door het feit dat puur persoonlijke informatie of bedrijfsgegevens van hoge waarde op een personal computer kunnen worden opgeslagen. Het is onwenselijk als dergelijke informatie in handen komt van derden die er gebruik van kunnen maken, waardoor de voormalige eigenaar van de pc ernstige problemen krijgt.
Afhankelijk van de omstandigheden kan Bitlocker worden geactiveerd of gedeactiveerd.
Het is om deze reden dat veel gebruikers de wens uiten om actie te ondernemen gericht op het beperken van de toegang tot alle bestanden die op de computer zijn opgeslagen. Een dergelijke procedure bestaat daadwerkelijk. Na bepaalde manipulaties te hebben uitgevoerd, kan geen enkele buitenstaander, zonder het wachtwoord of de sleutel om het te herstellen, toegang krijgen tot de documenten.
U kunt belangrijke informatie beschermen tegen toegang door derden door uw schijf te coderen met Bitlocker. Dergelijke acties helpen de volledige vertrouwelijkheid van documenten te garanderen, niet alleen op een specifieke pc, maar ook in het geval dat iemand de harde schijf verwijdert en in een andere pc plaatst.
Algoritme voor het in- en uitschakelen van de functie
Bitlocker-schijfversleuteling werkt op Windows 7, 8 en 10, maar niet op alle versies. Er wordt van uitgegaan dat het moederbord uitgerust met de specifieke computer waarop de gebruiker de codering wil uitvoeren, een TPM-module moet hebben.
ADVIES. Wees niet boos als u zeker weet dat er niet zo'n speciale module op uw moederbord zit. Er zijn enkele trucs waarmee u een dergelijke vereiste kunt "negeren" en dienovereenkomstig zonder een dergelijke module kunt installeren.
Voordat u begint met het coderen van alle bestanden, is het belangrijk op te merken dat deze procedure behoorlijk lang duurt. Het is lastig om vooraf een exacte hoeveelheid tijd aan te geven. Het hangt allemaal af van hoeveel informatie er op de harde schijf staat. Tijdens het coderingsproces blijft Windows 10 werken, maar het is onwaarschijnlijk dat u tevreden zult zijn met de prestaties, omdat de prestatie-indicator aanzienlijk zal worden verminderd.
De functie inschakelen
Als Windows 10 op uw computer is geïnstalleerd en u een actieve wens heeft om gegevensversleuteling in te schakelen, gebruik dan onze tips zodat u niet alleen slaagt, maar ook de manier om deze wens te realiseren niet moeilijk is. Zoek in eerste instantie de "Win" -toets op uw toetsenbord, soms gaat deze gepaard met het Windows-pictogram, houd deze ingedrukt en houd tegelijkertijd de "R" -toets ingedrukt. Als u deze twee toetsen tegelijkertijd indrukt, wordt het venster Uitvoeren geopend.
In het geopende venster vindt u een lege regel waarin u “gpedit.msc” moet invoeren. Nadat u op de knop "Ok" hebt geklikt, wordt een nieuw venster "Lokale groepsbeleid-editor" geopend. In dit venster hebben we nog een korte weg te gaan.
Zoek en klik aan de linkerkant van het venster onmiddellijk op de regel "Computerconfiguratie", zoek in het geopende submenu naar "Beheersjablonen" en ga vervolgens in het volgende submenu dat wordt geopend naar de optie die zich als eerste in de lijst bevindt en genaamd "Windows-componenten".
Beweeg nu uw blik naar de rechterkant van het venster, zoek "Bitlocker Disk Encryption" erin en dubbelklik om het te activeren. Nu wordt een nieuwe lijst geopend, waarin uw volgende doel de regel "Besturingssysteemschijven" zou moeten zijn. Klik ook op deze regel, je hoeft alleen nog maar één overgang te maken om dichter bij het venster te komen waar Bitlocker direct wordt geconfigureerd, zodat je het kunt inschakelen, en dat is precies wat je wilt.
Zoek de regel "Met deze beleidsinstelling kunt u de vereiste voor aanvullende authenticatie bij het opstarten configureren", dubbelklik op deze instelling. In het geopende venster vindt u het gewenste woord "Inschakelen", daarnaast vindt u een selectievakje, daarin moet u een specifiek teken plaatsen in de vorm van een vinkje van uw toestemming.
Net onder dit venster bevindt zich een subsectie "Platforms", waarin u het selectievakje naast de aanbieding moet aanvinken om BitLocker zonder een speciale module te gebruiken. Dit is erg belangrijk, vooral als uw Windows 10 geen TPM heeft.
In dit venster is de configuratie van de gewenste functie voltooid, zodat u deze kunt sluiten. Beweeg nu de muiscursor over het "Windows" -pictogram en klik er met de rechtermuisknop op, waardoor een extra submenu verschijnt. Daarin vindt u de regel "Configuratiescherm", ga ernaartoe en vervolgens naar de volgende regel "Bitlocker-schijfversleuteling".
Zorg ervoor dat u aangeeft waar u de codering wilt laten plaatsvinden. Dit kan op zowel harde als verwisselbare schijven worden gedaan. Nadat u het gewenste object heeft geselecteerd, klikt u op de knop “Bitlocker inschakelen”.
Nu start Windows 10 een automatisch proces, dat af en toe uw aandacht trekt en u vraagt uw wensen te specificeren. Het is natuurlijk het beste om een back-up te maken voordat u een dergelijk proces uitvoert. Anders kan zelfs de pc-eigenaar de informatie niet herstellen als het wachtwoord en de bijbehorende sleutel verloren gaan.
Vervolgens begint het proces van het voorbereiden van de schijf voor daaropvolgende codering. Terwijl dit proces wordt uitgevoerd, mag u de computer niet uitschakelen, aangezien deze actie ernstige schade aan het besturingssysteem kan veroorzaken. Na een dergelijke mislukking kunt u uw Windows 10 eenvoudigweg niet starten, daarom zult u in plaats van codering een nieuw besturingssysteem moeten installeren, waardoor u extra tijd verspilt.
Zodra de schijfvoorbereiding succesvol is voltooid, begint het daadwerkelijke instellen van de schijf voor codering. U wordt gevraagd een wachtwoord in te voeren, waarmee u later toegang krijgt tot de gecodeerde bestanden. U wordt ook gevraagd een herstelsleutel aan te maken en in te voeren. Beide belangrijke componenten kunnen het beste op een veilige plaats worden bewaard, bij voorkeur bedrukt. Het is erg dom om het wachtwoord en de herstelsleutel op de pc zelf op te slaan.
Tijdens het versleutelingsproces kan het systeem u vragen welk onderdeel u specifiek wilt versleutelen. Het is het beste om de volledige schijfruimte aan deze procedure te onderwerpen, hoewel er een optie is om alleen de bezette ruimte te coderen.
Het enige dat overblijft is het selecteren van een actieoptie zoals “Nieuwe coderingsmodus” en vervolgens een automatische scan van het BitLocker-besturingssysteem uitvoeren. Vervolgens zal het systeem het proces veilig voortzetten, waarna u wordt gevraagd uw pc opnieuw op te starten. Voldoe natuurlijk aan deze vereiste en start opnieuw op.
Na de volgende lancering van Windows 10 zult u ervan overtuigd zijn dat toegang tot documenten zonder het invoeren van een wachtwoord onmogelijk zal zijn. Het coderingsproces gaat door. U kunt het beheren door op het BitLocker-pictogram in het meldingenpaneel te klikken.
De functie uitschakelen
Als de bestanden op uw computer om wat voor reden dan ook niet langer van groot belang zijn, en u het niet leuk vindt om elke keer een wachtwoord in te voeren om toegang te krijgen, dan raden we u aan eenvoudigweg de coderingsfunctie uit te schakelen.
Om dergelijke acties uit te voeren, gaat u naar het meldingenpaneel, zoekt u daar het BitLocker-pictogram en klikt u erop. Onderaan het geopende venster vindt u de regel “Beheer BitLocker”, klik erop.
Nu zal het systeem u vragen welke actie voor u de voorkeur verdient:
- archiveer de herstelsleutel;
- verander het wachtwoord voor toegang tot gecodeerde bestanden;
- verwijder een eerder ingesteld wachtwoord;
- schakel BitLocker uit.
Als u besluit BitLocker uit te schakelen, moet u uiteraard de laatst aangeboden optie kiezen. Er verschijnt onmiddellijk een nieuw venster op het scherm, waarin het systeem zeker wil weten dat u de encryptiefunctie echt wilt uitschakelen.
AANDACHT. Zodra u op de knop “BitLocker uitschakelen” klikt, begint het decoderingsproces onmiddellijk. Helaas wordt dit proces niet gekenmerkt door hoge snelheid, dus je zult je zeker een tijdje moeten voorbereiden, waarin je gewoon moet wachten.
Als u op dit moment een computer nodig heeft, kunt u zich dat natuurlijk veroorloven; er bestaat geen categorisch verbod op. U moet zich er echter op voorbereiden dat de pc-prestaties op dit moment mogelijk extreem laag zijn. Het is niet moeilijk om de reden voor deze traagheid te begrijpen, omdat het besturingssysteem een enorme hoeveelheid informatie moet ontsluiten.
Dus als u bestanden op uw computer wilt coderen of decoderen, hoeft u alleen maar onze aanbevelingen te lezen, vervolgens zonder haast elke stap van het aangegeven algoritme uit te voeren en u na voltooiing te verheugen over het behaalde resultaat.
BitLocker is een kleine applicatie die door Microsoft is uitgebracht om ondersteuning voor BitLocker-coderingstechnologie toe te voegen aan oudere versies van Windows. Het programma wordt gedistribueerd in twee versies: voor 32-bits en 64-bits systemen. Houd er rekening mee dat u het alleen op oudere versies van het besturingssysteem hoeft te installeren: XP en Vista. In moderne Windows 7 en Windows 10 wordt de bovenstaande coderingstechnologie standaard ondersteund.
Over afspraak
Het programma is bedoeld voor degenen die externe media gebruiken die zijn beveiligd met BitLocker en zijn geformatteerd in het FAT-bestandssysteem. Wanneer u de blokkering opheft, moeten ze automatisch door de computer worden herkend en u worden gevraagd gegevens in te voeren ter autorisatie. Het probleem is dat dit niet gebeurt bij oudere versies van het Microsoft-besturingssysteem. De reden hiervoor hebben we al eerder uiteengezet: in Windows XP en Vista is er geen ondersteuning voor een “eigen” versleutelingsalgoritme. Om de een of andere reden is het zelfs niet toegevoegd aan het laatst uitgebrachte Service Pack. Gebruikers moeten dus een update installeren waarmee oudere besturingssystemen “handmatig” kunnen werken met “beschermde” USB-drives en SD-kaarten. Ja, dit is niet helemaal handig, maar de installatie duurt een kwestie van seconden en de installatiebestanden zelf wegen enkele kilobytes en kunnen volledig gratis worden gedownload. Na voltooiing van de installatie hoeft u geen aanvullende acties of instellingen uit te voeren.
Over de versleutelingsmethode
BitLocker is een eigen technologie die door Microsoft is ontwikkeld om gegevens op verwisselbare opslagapparaten te beschermen. Hiermee kunt u externe apparaten gebruiken als toegangssleutels (tokens) en ondersteunt het ook geavanceerde volume-encryptie-algoritmen: AES 128 en AES 256. Dit beveiligingssysteem werd voor het eerst geïntroduceerd in Windows 7. Vervolgens werd het opgenomen in elke nieuwe versie van de populaire besturingssysteem van de reus uit Redmond.
Belangrijkste kenmerken
- toegang tot gegevens die zijn opgeslagen op media die zijn beveiligd met dezelfde technologie;
- snelle installatie;
- afzonderlijke versies voor 32-bits en 64-bits systemen;
- automatische integratie met noodzakelijke diensten;
- De update is geheel gratis beschikbaar.
