Läs mer om BitLocker-diskkryptering

BitLocker-diskkryptering skyddar operativsystemsenheter, fasta dataenheter och flyttbara dataenheter som tappas bort eller blir stulna. BitLocker gör detta genom att kryptera innehållet på enheterna och kräva att användare autentiserar sin användarinformation för att komma åt informationen. På den enhet där Windows är installerat använder BitLocker TPM (Trusted Platform Module) för att upptäcka om datorns viktiga startprocess har manipulerats. Dessutom kan en PIN-kod eller startnyckel krävas för att användare ska få tillgång till data på enheten. På fasta och flyttbara dataenheter kan användare få tillgång till en BitLocker-skyddad enhet genom att använda ett lösenord, ett smartkort eller genom att låta enheten låsas upp automatiskt.

BitLocker för operativsystemsenheter har utformats för att fungera med system som är utrustade med kompatibel TPM-säkerhetsmaskinvara och BIOS. För kompatibilitet med BitLocker måste datortillverkarna följa de standarder som har definierats av Trusted Computing Group, TCG. Mer information om TCG finns på webbplatsen Trusted Computing Groups (http://go.microsoft.com/fwlink/?LinkId=67440).

Aktivera BitLocker

Installationsguiden för BitLocker som kan startas antingen från Kontrollpanelen eller Windows Utforskaren, används för att aktivera BitLocker på en fast eller flyttbar dataenhet som har installerats på datorn eller på operativsystemsenheten på datorer med en kompatibel TPM-modul. Om du vill aktivera BitLocker på en operativsystemsenhet på en dator som inte har någon TPM-modul eller använda andra BitLocker-funktioner eller -alternativ, kan du ändra grupprincipinställningarna för BitLocker som styr vilka funktioner som kan nås via installationsguiden för BitLocker.

På datorer med en kompatibel TPM, kan operativsystemsenheter som är BitLocker-skyddade låsas upp på fyra sätt:

  • Endast TPM. Vid validering med endast TPM krävs inte någon åtgärd från användarens sida för att dekryptera och ge tillgång till enheten. Om TPM-valideringen lyckas upplevs inloggningen för användaren som en vanlig inloggning. Om TPM saknas eller ändras, eller om TPM-modulen upptäcker ändringar i kritiska startfiler för operativsystemet, övergår BitLocker till återställningsläge och du måste ha ett återställningslösenord för att få tillgång till informationen.

  • TPM och startnyckel. Förutom det skydd som utgörs av TPM lagras en del av krypteringsnyckeln på en USB-flash-enhet. Detta kallas även för en startnyckel. Det går inte att få tillgång till informationen på den krypterade volymen utan startnyckeln.

  • TPM och PIN-kod. Förutom det skydd som utgörs av TPM måste användaren också ange en PIN-kod för BitLocker. Det går inte att få tillgång till informationen på den krypterade volymen utan PIN-koden.

  • TPM med startnyckel och PIN-kod. Det här alternativet kan bara konfigureras med kommandoradsverktyget Manage-bde. Utöver kärnkomponentsskyddet som TPM:en tillhandahåller, lagras en del av krypteringsnyckeln på en USB-flash-enhet. Det krävs även en PIN-kod för att autentisera användaren för TPM:en. Detta ger flerfunktionsautentisering så att om USB-nyckeln tappas bort eller blir stulen, kan den inte användas för att få tillgång till enheten eftersom även en korrekt PIN-kod krävs.

    Obs!

    • Vi rekommenderar alltid att du använder standard-TPM-drivrutinen för Windows med BitLocker. Om en TPM-drivrutin från ett annat företag än Microsoft är installerad kan den förhindra TPM-standarddrivrutinen från att läsas in, vilket får till följd att BitLocker rapporterar att ingen TPM finns på datorn. I det här fallet kan BitLocker inte använda TPM:en. Om grupprincipinställningar har konfigurerats för att kräva att BitLocker används med en TPM, kan BitLocker inte aktiveras förrän drivrutinen som inte har tillverkats av Microsoft , tas bort.

Om du vill använda BitLocker för att skydda en operativsystemsenhet på en dator utan TPM är följande alternativ tillgängliga:

  • Endast startnyckel. All nödvändig krypteringsnyckelinformation lagras på en USB-flash-enhet. Användaren måste sätta in USB-flash-enheten för att kunna starta datorn. Nyckeln på USB-flash-enheten låser upp datorn. Om datorn inte har TPM finns all information som krävs för att kunna läsa den krypterade enheten i startnyckeln. Att använda en TPM rekommenderas eftersom det skyddar mot attacker som görs mot datorns viktiga startprocess.

Vid aktivering av BitLocker på fasta eller flyttbara dataenheter kan BitLocker använda följande upplåsningsmetoder:

  • Lösenord. Du kan använda ett lösenord för att låsa upp fasta dataenheter (t.ex. interna hårddiskar) och flyttbara dataenheter (t.ex. externa hårddiskar och USB-flash-enheter). Grupprincipinställningar kan användas för att ange minimilängden på lösenord.

  • Smartkort. Om du vill använda ett smartkort med BitLocker måste du ha ett kompatibelt certifikat på smartkortet. BitLocker väljer automatiskt certfikatet om du inte har flera kompatibla certifikat. I det fallet måste du välja vilket certifikat som ska användas.

    Säkerhetstips

    • När du krypterar en enhet med ett smartkort skapas ett certifikatbaserat skydd på enheten. Detta skydd innehåller okrypterad information som krävs för upplåsning av enheten. Den offentliga nyckeln och tumavtrycket för certifikatet som användes för att kryptera enheten, lagras okrypterade i skyddets metadata på enheten. Denna information kan användas för att identifiera den certifikatutfärdare som utfärdade certifikatet.

  • Automatisk upplåsning. Fasta dataenheter som har krypterats med BitLocker kan konfigureras så att de automatiskt låses upp när du loggar in i Windows. Automatisk upplåsning för flyttbara enheter kan väljas när enheten har krypterats. För att kunna låsa upp fasta dataenheter automatiskt måste den enhet som Windows är installerat på också vara krypterad med BitLocker.

Få tillgång till innehåll på BitLocker-skyddade dataenheter

När en dataenhet har skyddats med BitLocker, autentiseras enheten innan innehållet visas. Fasta dataenheter kan automatiskt låsas upp när operativsystemsenheten har låsts upp. Om enheten inte automatiskt låses upp, kan du antingen klicka på Dator och visa enheterna på datorn, högerklicka på enheten och klicka på Lås upp eller använda alternativet BitLocker-diskkryptering på Kontrollpanelen. Beroende på vilken autentiseringsmetod som har konfigurerats för din dator kommer enheten antingen att automatiskt låsas upp eller uppmana dig att ange ett smartkort eller lösenord. När flyttbara dataenheter sätts in i datorn och när enheten har identifierats som en BitLocker-skyddad enhet, uppmanas du att ange ett lösenord eller smartkort.

Återställningsalternativ

Du förhindrar att du inte längre komma åt BitLocker-skyddade enheter om det skulle uppstå fel med TPM, lösenord glöms bort, smartkort eller USB-nycklar tappas bort, genom att säkerställa att administratörer har tillgång till BitLocker-enheter. BitLocker stöder följande metoder för återställning av åtkomst till skyddade enheter:

  • Återställningsnyckel eller återställningslösenord. Du kan använda en återställningsnyckel eller ett återställningslösenord med BitLocker. Om det inte finns någon BitLocker-nyckel tillgänglig, t.ex. i fallet med ett smartkort som saknas eller ett användarlösenord som har glömts bort, kan ett 48-taligt återställningslösenord användas för att låsa upp den skyddade enheten. I stället för ett lösenord kan en återställningsnyckel som har lagrats i en fil på flyttbara media t.ex. en USB-flash-enhet, också användas för att låsa upp den skyddade enheten.

  • Säkerhetskopiering av nycklar i Active Directory DS. Återställningslösenord för BitLocker kan lagras i Active Directory DS. Detta gör att administratörer, som supportavdelningar, kan hjälpa användare att återställa BitLocker-skyddade enheter när de har tappat bort återställningslösenordet.

  • Dataåterställningsagent. En dataåterställningsagent är en person, t.ex. en systemadministratör, som kan använda sina autentiseringsuppgifter som administratör för att låsa upp BitLocker-skyddade enheter. BitLocker har inte konfigurerats med standardagenter för dataåterställning. Dataåterställningsagenter är heller inte aktiverade som standard. De måste aktiveras och konfigureras med hjälp av grupprinciper.

Ytterligare referenser