Få mere at vide om BitLocker-drevkryptering

BitLocker-drevkryptering beskytter de operativsystemer, faste datadrev og flytbare datadrev, der mistes eller bliver stjålet. Indholdet af drevene krypteres med BitLocker, og brugerne skal angive legitimationsoplysninger for at få adgang til oplysningerne. På det drev, hvor Windows er installeret, bruges TPM (Trusted Platform Module) og BitLocker til at registrere, om computerens kritiske startproces er blevet ændret. Det kan desuden være nødvendigt med en pinkode eller en startnøgle, for at brugerne kan få adgang til dataene på drevet. På faste og flytbare datadrev kan brugere få adgang til et drev, der er beskyttet med BitLocker, ved hjælp af en adgangskode eller et chipkort eller ved at låse drevet op automatisk.

BitLocker til operativsystemdrev er udviklet til at fungere med de systemer, der har kompatibel TPM-sikkerhedshardware og BIOS. Hvis systemet skal være kompatibelt med BitLocker, skal computerproducenterne følge de standarder, der er defineret af TCG (Trusted Computing Group). Du kan finde flere oplysninger om TCG ved at besøge webstedet for Trusted Computing Group (http://go.microsoft.com/fwlink/?LinkId=67440 (siden er evt. på engelsk)).

Aktivere BitLocker

Installationsguiden til BitLocker, som kan startes fra enten Kontrolpanel eller Windows Stifinder, bruges til at aktivere BitLocker på et fast eller flytbart datadrev, som er installeret på computeren eller på drevet med operativsystemet på computere med en kompatibel TPM. Hvis du vil aktivere BitLocker på et operativsystemdrev på en computer uden TPM, eller du vil bruge andre funktioner og indstillinger i BitLocker, kan du ændre de gruppepolitikindstillinger for BitLocker, der styrer, hvilke funktioner der er tilgængelige via installationsguiden til BitLocker.

På computere med en kompatibel TPM kan du låse op for de operativsystemdrev, der er beskyttet med BitLocker, på fire måder:

  • TPM-beskyttelse. Brug af TPM-beskyttelse kræver ikke input fra brugeren for at dekryptere og give adgang til drevet. Hvis TPM-valideringen bliver gennemført, logger brugeren på som sædvanlig. Hvis TPM mangler eller er ændret, eller hvis TPM registrerer ændringer i operativsystemets startfiler, aktiveres en gendannelsestilstand i BitLocker, og du har brug for en gendannelsesadgangskode for at få adgang til dataene.

  • TPM med startnøgle. Ud over den beskyttelse, som leveres af TPM, bliver en del af krypteringsnøglen gemt på et USB-flashdrev. Dette hedder en startnøgle. Der er ikke adgang til data på den krypterede diskenhed uden startnøglen.

  • TPM med pinkode. Ud over den beskyttelse, som leveres af TPM, skal brugeren angive en pinkode i BitLocker. Der er ikke adgang til data på den krypterede diskenhed uden angivelse af pinkoden.

  • TPM med startnøgle og pinkode. Denne indstilling kan kun konfigureres ved hjælp af kommandolinjeværktøjet Manage-bde. Ud over beskyttelsen af kernekomponenterne i TPM gemmes en del af krypteringsnøglen på et USB-flashdrev, og brugeren skal angive en pinkode for at blive godkendt i TPM. Godkendelsen består af flere dele, og det betyder, at hvis du skulle miste eller få stjålet USB-nøglen, kan den ikke bruges til at få adgang til drevet, da der også skal angives en korrekt pinkode.

    Bemærk!

    • Det anbefales, at du altid bruger Windows TPM-standarddriveren med BitLocker. Hvis der er installeret en TPM-driver, som ikke er fra Microsoft, kan den forhindre, at TPM-standarddriveren indlæses, hvilket kan få BitLocker til at rapportere, at der ikke findes en TPM på computeren. I det tilfælde vil TPM'en ikke kunne bruges i BitLocker. Hvis der er konfigureret gruppepolitikindstillinger, så BitLocker skal bruges med en TPM, vil det ikke være muligt at slå BitLocker til, før den driver, der ikke er fra Microsoft, fjernes.

Hvis du vil bruge BitLocker til at beskytte et operativsystemdrev på en computer uden en TPM, kan du vælge mellem følgende indstillinger:

  • Kun startnøgle. Alle de nødvendige oplysninger til krypteringsnøglen gemmes på et USB-flashdrev. Brugeren skal sætte USB-flashdrevet i computeren inden start. Den nøgle, der er gemt på flashdrevet, låser computeren op. Når computeren ikke har en TPM, findes alle oplysninger, som kræves til at læse det krypterede drev, i startnøglen. Brug af en TPM anbefales, da det er med til at forbedre sikkerheden, idet den beskytter mod angreb på computerens kritiske startproces.

Når du aktiverer BitLocker på faste eller flytbare datadrev, kan der låses op på følgende måder i BitLocker:

  • Adgangskode. Du kan bruge en adgangskode til at låse faste datadrev op, f.eks. interne harddiske, og flytbare datadrev, f.eks. eksterne harddiske og USB-flashdrev. Indstillinger for gruppepolitik kan bruges til at angive en minimumlængde på adgangskoden.

  • Chipkort. Hvis du vil bruge et chipkort med BitLocker, skal du have et kompatibelt certifikat eller et chipkort. Certifikatet vælges automatisk i BitLocker, medmindre du har flere kompatible certifikater. Hvis det er tilfældet, skal du vælge, hvilket certifikat der skal bruges.

    Sikkerhedsbemærkning

    • Når du krypterer et drev ved hjælp af et chipkort, oprettes der en certifikatbaseret beskytter på drevet. Denne beskytter indeholder nogle ukrypterede oplysninger, der kræves til oplåsning af drevet. Den offentlige nøgle og det miniaturecertifikat, der blev brugt til at kryptere drevet, gemmes i ikke-krypteret format i beskytterens metadata på drevet. Disse oplysninger kan bruges til at identificere det nøglecenter, der udstedte certifikatet.

  • Automatisk oplåsning. De faste datadrev, der er krypteret med BitLocker, kan konfigureres, så de automatisk låses op, når du logger på Windows. Du kan vælge, at flytbare datadrev skal låses op automatisk, efter at drevet er blevet krypteret. Hvis du vil kunne låse faste datadrev op automatisk, skal det drev, hvor Windows er installeret, også være krypteret af BitLocker.

Åbne indhold på de datadrev, der er beskyttet med BitLocker

Når et datadrev er blevet beskyttet med BitLocker, skal adgang til drevet godkendes, før indholdet vises. Faste datadrev kan låses op automatisk, når operativsystemet er blevet låst op. Hvis drevet ikke låses op automatisk, skal du enten klikke på Computer for at få vist drevene på computeren, højreklikke på drevet og klikke på Lås op, eller du skal bruge BitLocker-drevkryptering i Kontrolpanel. Afhængigt af den godkendelsesmetode, der er konfigureret på computeren, vil drevet enten blive låst op automatisk, eller du vil blive bedt om at indsætte et chipkort eller angive en adgangskode. Når flytbare datadrev indsættes i computeren, vil du blive bedt om at angive en adgangskode eller indsætte et chipkort, når det registreres, at drevet er beskyttet med BitLocker.

Indstillinger for genoprettelse

Hvis du vil forhindre, at du mister adgang til de drev, der er beskyttet med BitLocker, i tilfælde af TPM-fejl, glemte adgangskoder eller mistede chipkort eller USB-nøgler, er det vigtigt, at administratorerne har en måde, de kan få adgang til de drev, der er beskyttet med BitLocker. BitLocker understøtter følgende metoder til genoprettelse af adgang til beskyttede drev:

  • Genoprettelsesnøgle eller genoprettelsesadgangskode. Du kan bruge en genoprettelsesnøgle eller en genoprettelsesadgangskode med BitLocker. Hvis en BitLocker-nøgle ikke er tilgængelig, f.eks. i tilfælde af et mistet chipkort eller en glemt brugeradgangskode, kan du bruge en genoprettelsesadgangskode på 48 cifre til at låse det beskyttede drev op. I stedet for en adgangskode kan du også bruge en genoprettelsesnøgle, der er blevet gemt på en fil på et flytbart medie, f.eks. et USB-flashdrev, til at låse det beskyttede drev op.

  • Sikkerhedskopiering af nøgler til Active Directory-domænetjenester. BitLocker-genoprettelsesadgangskoder kan gemmes i Active Directory-domænetjenester. Det gør det muligt for administratorer, f.eks. helpdesk-medarbejdere, at hjælpe brugere med at genoprette de drev, der er beskyttet med BitLocker, når de har glemt eller mistet deres genoprettelsesadgangskode.

  • Betroet bruger til genoprettelse af data. En betroet bruger til genoprettelse af data er en person, f.eks. en systemadministrator, som kan bruge hans eller hendes administrative legitimationsoplysninger til at låse op for de drev, der er beskyttet med BitLocker. BitLocker er ikke konfigureret med betroede standardbrugere til genoprettelse af data, og de er heller ikke aktiveret som standard. De skal aktiveres og konfigureres ved hjælp af Gruppepolitik.

Flere referencer