BitLocker-codering instellen op Windows
BitLocker is een hulpprogramma ingebouwd in Windows waarmee u een volledige harde schijf kunt coderen voor verbeterde beveiliging. Hier leest u hoe u het instelt.
Toen TrueCrypt controversieel de winkel sloot, adviseerden ze hun gebruikers over te stappen van TrueCrypt naar het gebruik van BitLocker of Veracrypt. BitLocker bestaat al lang genoeg in Windows om als volwassen te worden beschouwd en is een coderingsproduct dat over het algemeen goed wordt gewaardeerd door beveiligingsprofessionals. In dit artikel gaan we praten over hoe u het op uw pc kunt instellen.
Notitie: Voor BitLocker-stationsversleuteling en BitLocker To Go is een Professional- of Enterprise-editie van Windows 8 of 10 of de Ultimate-versie van Windows 7 vereist. Vanaf Windows 8.1 hebben de Home- en Pro-edities van Windows echter de functie "Apparaatcodering" ( een functie die ook in Windows 10 is opgenomen) die op dezelfde manier werkt. Wij adviseren Apparaatcodering als uw computer dit ondersteunt, BitLocker voor Pro-gebruikers die Apparaatcodering niet kunnen gebruiken en VeraCrypt voor mensen die een Thuisversie van Windows gebruiken waar Apparaatcodering niet werkt.
Een volledige schijf coderen of een gecodeerde container maken?
Veel gidsen vertellen over het maken van een BitLocker-container die lijkt op het soort gecodeerde container dat u kunt maken met producten als TrueCrypt of Veracrypt. Het is een beetje een verkeerde benaming, maar je kunt een vergelijkbaar effect bereiken. BitLocker werkt door volledige schijven te coderen. Dat kan uw systeemaandrijving, een andere fysieke schijf of een virtuele harde schijf (VHD) zijn die als een bestand bestaat en is gemount in Windows.
Het verschil is grotendeels semantisch. In andere coderingsproducten maakt u meestal een gecodeerde container en koppelt u deze vervolgens als een schijf in Windows aan wanneer u deze wilt gebruiken. Met BitLocker maakt u een virtuele harde schijf en codeert u deze vervolgens. Als u een container wilt gebruiken in plaats van bijvoorbeeld uw bestaande systeem of opslagstation te coderen, raadpleegt u onze handleiding voor het maken van een gecodeerd containerbestand met BitLocker.
Voor dit artikel gaan we ons concentreren op het inschakelen van BitLocker voor een bestaande fysieke schijf.
Een schijf versleutelen met BitLocker
Als u BitLocker wilt gebruiken voor een schijf, hoeft u het alleen maar in te schakelen, een ontgrendelingsmethode-wachtwoord, pincode enzovoort in te stellen en vervolgens een paar andere opties in te stellen. Voordat we hier echter op ingaan, moet u weten dat het gebruik van BitLocker's full-disk-codering op een systeemaandrijving vereist over het algemeen een computer met een Trusted Platform Module (TPM) op het moederbord van uw pc. Deze chip genereert en slaat de coderingssleutels op die BitLocker gebruikt. Als uw pc geen TPM heeft, kunt u Groepsbeleid gebruiken om BitLocker zonder TPM in te schakelen. Het is een beetje minder veilig, maar nog veiliger dan helemaal geen codering.
U kunt een niet-systeemstation of een verwisselbaar station zonder TPM coderen en zonder de instelling Groepsbeleid in te schakelen.
In dat geval moet u ook weten dat er twee typen BitLocker-stationsversleuteling zijn die u kunt inschakelen:
- BitLocker-stationsversleuteling: Soms wordt dit ook BitLocker genoemd. Dit is een functie voor het coderen van volledige schijven die een volledige schijf codeert. Wanneer uw pc opstart, wordt de opstartlader van Windows geladen vanuit de systeemreserveringspartitie en vraagt de bootloader u om uw ontgrendelingsmethode, bijvoorbeeld een wachtwoord. BitLocker decodeert vervolgens de schijf en laadt Windows. De codering is verder transparant: uw bestanden zien er normaal uit op een niet-versleuteld systeem, maar ze worden op een gecodeerde manier op de schijf opgeslagen. U kunt ook andere schijven coderen dan alleen de systeemschijf.
- BitLocker To Go: U kunt externe schijven, zoals USB-flashstations en externe harde schijven, versleutelen met BitLocker To Go. U wordt gevraagd om uw ontgrendelingsmethode, bijvoorbeeld een wachtwoord, wanneer u de schijf op uw computer aansluit. Als iemand de ontgrendelingsmethode niet heeft, heeft deze geen toegang tot de bestanden op de schijf.
In Windows 7 t / m 10 hoef je je geen zorgen te maken over het zelf maken van de selectie. Windows verwerkt dingen achter de schermen en de interface die u gebruikt om BitLocker in te schakelen, ziet er niet anders uit. Als je uiteindelijk een gecodeerd station ontgrendelt in Windows XP of Vista, zie je de branding van BitLocker to Go, dus we dachten dat je er op zijn minst van op de hoogte moest zijn..
Dus laten we, met dat uit de weg, eens kijken hoe dit werkt.
Stap één: schakel BitLocker in voor een schijf
De eenvoudigste manier om BitLocker in te schakelen voor een schijfeenheid, is door met de rechtermuisknop op de schijf te klikken in een Verkenner-venster en vervolgens de opdracht "BitLocker inschakelen" in te schakelen. Als u deze optie niet ziet in uw contextmenu, heeft u waarschijnlijk geen Pro- of Enterprise-editie van Windows en moet u een andere versleutelingsoplossing zoeken.
Het is zo simpel. De wizard die verschijnt, begeleidt u bij het selecteren van verschillende opties, die we hebben opgesplitst in de volgende secties.
Stap twee: kies een ontgrendelmethode
Het eerste scherm dat u in de wizard "BitLocker-stationsversleuteling" ziet, laat u kiezen hoe u uw schijf kunt ontgrendelen. U kunt verschillende manieren selecteren om de schijf te ontgrendelen.
Als je je systeemschijf versleutelt op een computer die dat wel doet niet Als u een TPM hebt, kunt u de schijf ontgrendelen met een wachtwoord of een USB-schijf die als sleutel fungeert. Selecteer uw ontgrendelingsmethode en volg de instructies voor die methode (voer een wachtwoord in of sluit uw USB-station aan).
Als uw computer doet Als je een TPM hebt, zie je extra opties voor het ontgrendelen van je systeemschijf. U kunt bijvoorbeeld automatisch ontgrendelen configureren bij het opstarten (waarbij uw computer de coderingssleutels van de TPM pakt en het station automatisch decodeert). U kunt ook een pincode gebruiken in plaats van een wachtwoord, of zelfs biometrische opties zoals een vingerafdruk kiezen.
Als u een niet-systeemstation of een verwisselbaar station codeert, ziet u slechts twee opties (of u nu een TPM hebt of niet). U kunt de schijf ontgrendelen met een wachtwoord of een smartcard (of beide).
Stap drie: maak een back-up van uw herstelsleutel
BitLocker biedt u een herstelsleutel die u kunt gebruiken om toegang te krijgen tot uw gecodeerde bestanden als u ooit uw belangrijkste sleutel kwijtraakt, bijvoorbeeld als u uw wachtwoord vergeet of als de pc met TPM sterft en u toegang moet hebben tot de schijf vanaf een ander systeem.
U kunt de sleutel opslaan in uw Microsoft-account, een USB-stick, een bestand of deze zelfs afdrukken. Deze opties zijn hetzelfde, of u nu een systeem- of niet-systeemstation codeert.
Als u een back-up maakt van de herstelsleutel naar uw Microsoft-account, kunt u de sleutel later openen op https://onedrive.live.com/recoverykey. Als u een andere herstelmethode gebruikt, moet u deze sleutel veilig bewaren. Als iemand er toegang toe krijgt, kunnen ze uw schijf decoderen en codering omzeilen.
U kunt ook op meerdere manieren een back-up van uw herstelsleutel maken als u dat wilt. Klik om de beurt op elke optie die u wilt gebruiken en volg de aanwijzingen. Als je klaar bent met het opslaan van je herstelsleutels, klik je op "Volgende" om verder te gaan.
Notitie: Als u een USB- of ander verwisselbaar station codeert, kunt u uw herstelsleutel niet opslaan op een USB-station. U kunt een van de andere drie opties gebruiken.
Stap vier: Versleutel en ontgrendel de schijf
BitLocker codeert automatisch nieuwe bestanden terwijl u ze toevoegt, maar u moet kiezen wat er gebeurt met de bestanden die zich momenteel op uw schijf bevinden. U kunt de volledige schijf coderen, inclusief de vrije ruimte, of de gebruikte schijfbestanden versleutelen om het proces te versnellen. Deze opties zijn ook hetzelfde, of u nu een systeem- of niet-systeemstation codeert.
Als u BitLocker installeert op een nieuwe pc, codeert u alleen de gebruikte schijfruimte - het is veel sneller. Als u BitLocker instelt op een pc die u al een tijdje gebruikt, moet u het hele station coderen om ervoor te zorgen dat niemand verwijderde bestanden kan herstellen.
Wanneer je je selectie hebt gemaakt, klik je op de knop "Volgende".
Stap vijf: kies een versleutelingsmodus (alleen Windows 10)
Als u Windows 10 gebruikt, ziet u een extra scherm waarin u een coderingsmethode kunt kiezen. Als u Windows 7 of 8 gebruikt, gaat u verder met de volgende stap.
Windows 10 introduceerde een nieuwe versleutelingsmethode genaamd XTS-AES. Het biedt verbeterde integriteit en prestaties ten opzichte van de AES die wordt gebruikt in Windows 7 en 8. Als u weet dat de schijf die u codeert, alleen op Windows 10-pc's zal worden gebruikt, moet u de optie "Nieuwe coderingsmodus" kiezen. Als u denkt dat u op een bepaald moment de drive met een oudere versie van Windows moet gebruiken (vooral belangrijk als het een verwisselbare schijf is), kiest u de optie "Compatibele modus".
Welke optie u ook kiest (en nogmaals, deze zijn hetzelfde voor systeem- en niet-systeemstations), ga door en klik op de knop "Volgende" wanneer u klaar bent, en klik in het volgende scherm op de knop "Starten versleutelen".
Stap zes: Afwerking
Het coderingsproces kan van seconden tot minuten of zelfs langer duren, afhankelijk van de grootte van de schijf, de hoeveelheid gegevens die u codeert en of u ervoor kiest om de vrije ruimte te versleutelen.
Als u uw systeemschijf versleutelt, wordt u gevraagd om een BitLocker-systeemcontrole uit te voeren en uw systeem opnieuw te starten. Zorg ervoor dat de optie is geselecteerd, klik op de knop "Doorgaan" en start vervolgens uw pc opnieuw op wanneer hierom wordt gevraagd. Nadat de computer voor de eerste keer opstart, codeert Windows de schijf.
Als u een niet-systeem of verwisselbaar station codeert, hoeft Windows niet opnieuw te worden opgestart en begint de codering onmiddellijk.
Welk type station u ook codeert, u kunt het BitLocker-stationsversleutelingspictogram in het systeemvak controleren om de voortgang ervan te bekijken en u kunt doorgaan met het gebruik van uw computer terwijl schijven worden gecodeerd - het zal gewoon langzamer werken.
Uw schijf ontgrendelen
Als uw systeemschijf gecodeerd is, hangt ontgrendeling ervan af van de gekozen methode (en of uw pc een TPM heeft). Als je een TPM hebt en ervoor kiest om de drive automatisch te ontgrendelen, merk je niets anders: je zult gewoon rechtstreeks in Windows opstarten zoals altijd. Als u een andere ontgrendelingsmethode hebt gekozen, vraagt Windows u om de drive te ontgrendelen (door uw wachtwoord te typen, uw USB-stick aan te sluiten, of wat dan ook).
En als je je ontgrendelingsmethode kwijt bent (of bent vergeten), druk je op Escape op het promptscherm om je herstelsleutel in te voeren.
Als u een niet-systeem of verwisselbaar station hebt gecodeerd, vraagt Windows u om het station te ontgrendelen wanneer u het voor het eerst gebruikt nadat u Windows hebt gestart (of wanneer u het op uw pc aansluit als het een verwisselbaar station is). Typ uw wachtwoord of plaats uw smartcard en de schijf moet worden ontgrendeld zodat u deze kunt gebruiken.
In Verkenner tonen gecodeerde schijven een gouden vergrendeling op het pictogram (aan de linkerkant). Die vergrendeling verandert in grijs en wordt ontgrendeld weergegeven wanneer u de schijf ontgrendelt (aan de rechterkant).
U kunt een vergrendelde schijf beheren: pas het wachtwoord aan, schakel BitLocker uit, maak een back-up van uw herstelsleutel of voer andere acties uit vanuit het BitLocker-configuratiescherm. Klik met de rechtermuisknop op een gecodeerd station en selecteer vervolgens "BitLocker beheren" om rechtstreeks naar die pagina te gaan.
Net als alle codering voegt BitLocker enige overhead toe. De officiële BitLocker-veelgestelde vraag van Microsoft zegt: "Over het algemeen legt dit een eencijferig prestatieniveau van de prestaties op." Als versleuteling belangrijk voor u is omdat u over vertrouwelijke gegevens beschikt, bijvoorbeeld een laptop vol zakelijke documenten, is de verbeterde beveiliging de prestatieshandel meer dan waard -uit.