BitLocker is een tool ingebouwd in Windows waarmee u een volledige harde schijf kunt versleutelen voor verbeterde beveiliging. Hier leest u hoe u het instelt.
Toen TrueCrypt controversieel de winkel sloot, adviseerden ze hun gebruikers om over te stappen van TrueCrypt naar BitLocker of Veracrypt. BitLocker bestaat lang genoeg in Windows om als volwassen te worden beschouwd en is een coderingsproduct dat over het algemeen goed wordt gewaardeerd door beveiligingsprofessionals. In dit artikel gaan we het hebben over hoe u het op uw pc kunt instellen.
VERWANT: Moet u upgraden naar de professionele editie van Windows 10?
Notitie: BitLocker-stationsversleuteling en BitLocker To Go vereisen een Professional- of Enterprise-editie van Windows 8 of 10, of de Ultimate-versie van Windows 7. Vanaf Windows 8.1 bevatten de Home- en Pro-edities van Windows echter een functie ‘Apparaatversleuteling’ ( een functie die ook is opgenomen in Windows 10) die op dezelfde manier werkt. We raden apparaatversleuteling aan als uw computer dit ondersteunt, BitLocker voor Pro-gebruikers die apparaatversleuteling niet kunnen gebruiken, en VeraCrypt voor mensen die een Home-versie van Windows gebruiken waar apparaatversleuteling niet werkt.
Een hele schijf versleutelen of een versleutelde container maken?
Veel gidsen praten over het maken van een BitLocker-container die ongeveer hetzelfde werkt als het soort gecodeerde container dat u kunt maken met producten zoals TrueCrypt of Veracrypt. Het is een beetje een verkeerde benaming, maar je kunt een soortgelijk effect bereiken. BitLocker werkt door volledige schijven te versleutelen. Dat kan uw systeemschijf zijn, een andere fysieke schijf of een virtuele harde schijf (VHD) die als bestand bestaat en in Windows is aangekoppeld.
VERWANT: Een gecodeerd containerbestand maken met BitLocker op Windows
Het verschil is grotendeels semantisch. In andere coderingsproducten maakt u gewoonlijk een gecodeerde container en koppelt u deze vervolgens als een station in Windows wanneer u deze nodig hebt. Met BitLocker maakt u een virtuele harde schijf en codeert u deze vervolgens. Als je een container wilt gebruiken in plaats van bijvoorbeeld je bestaande systeem of opslagstation te versleutelen, bekijk dan onze handleiding voor het maken van een gecodeerd containerbestand met BitLocker.
Voor dit artikel gaan we ons concentreren op het inschakelen van BitLocker voor een bestaande fysieke schijf.
Een schijf versleutelen met BitLocker
VERWANT: BitLocker gebruiken zonder een Trusted Platform Module (TPM)
Om BitLocker voor een station te gebruiken, hoeft u het alleen maar in te schakelen, een ontgrendelingsmethode te kiezen (wachtwoord, pincode enzovoort) en vervolgens een paar andere opties in te stellen. Voordat we daarop ingaan, moet u echter weten dat het gebruik van BitLocker’s volledige-schijfversleuteling op een systeemstation vereist doorgaans een computer met een Trusted Platform Module (TPM) op het moederbord van uw pc. Deze chip genereert de coderingssleutels die BitLocker gebruikt en slaat deze op. Als uw pc geen TPM heeft, kunt u Groepsbeleid gebruiken om BitLocker zonder TPM te gebruiken. Het is een beetje minder veilig, maar nog steeds veiliger dan helemaal geen codering te gebruiken.
U kunt een niet-systeemstation of verwisselbaar station coderen zonder TPM en zonder dat u de instelling Groepsbeleid hoeft in te schakelen.
In dat opzicht moet u ook weten dat er twee soorten BitLocker-stationsversleuteling zijn die u kunt inschakelen:
- BitLocker-stationsversleuteling: Dit wordt ook wel BitLocker genoemd, dit is een functie voor “volledige schijfversleuteling” die een hele schijf versleutelt. Wanneer je pc opstart, laadt de Windows-opstartlader vanaf de door het systeem gereserveerde partitie, en de opstartlader vraagt ​​je om je ontgrendelingsmethode, bijvoorbeeld een wachtwoord. BitLocker decodeert vervolgens de schijf en laadt Windows. De versleuteling is verder transparant: uw bestanden verschijnen zoals ze dat normaal zouden doen op een niet-versleuteld systeem, maar ze worden in versleutelde vorm op de schijf opgeslagen. U kunt ook andere stations coderen dan alleen het systeemstation.
- BitLocker To Go: U kunt externe schijven, zoals USB-flashstations en externe harde schijven, coderen met BitLocker To Go. U wordt om uw ontgrendelingsmethode gevraagd, bijvoorbeeld een wachtwoord, wanneer u de schijf op uw computer aansluit. Als iemand de ontgrendelingsmethode niet heeft, hebben ze geen toegang tot de bestanden op de schijf.
In Windows 7 t / m 10 hoeft u zich echt geen zorgen te maken over het zelf maken van de selectie. Windows behandelt dingen achter de schermen en de interface die u gebruikt om BitLocker in te schakelen, ziet er niet anders uit. Als je uiteindelijk een gecodeerde schijf ontgrendelt op Windows XP of Vista, zie je de BitLocker to Go-branding, dus we dachten dat je er op zijn minst van op de hoogte moest zijn.
Dus, met dat uit de weg, laten we eens kijken hoe dit echt werkt.
Stap één: schakel BitLocker in voor een schijf
De eenvoudigste manier om BitLocker voor een station in te schakelen, is door met de rechtermuisknop op het station te klikken in een Verkenner-venster en vervolgens de opdracht “BitLocker inschakelen” te kiezen. Als u deze optie niet in uw contextmenu ziet, heeft u waarschijnlijk geen Pro- of Enterprise-editie van Windows en moet u een andere coderingsoplossing zoeken.
Zo simpel is het. De wizard die verschijnt, helpt u bij het selecteren van verschillende opties, die we hebben opgesplitst in de volgende secties.
Stap twee: kies een ontgrendelingsmethode
In het eerste scherm dat u ziet in de wizard “BitLocker-stationsversleuteling” kunt u kiezen hoe u uw schijf wilt ontgrendelen. U kunt verschillende manieren selecteren om de schijf te ontgrendelen.
Als u uw systeemstation op een computer codeert dat niet een TPM hebben, kunt u de drive ontgrendelen met een wachtwoord of een USB-drive die als sleutel fungeert. Selecteer uw ontgrendelingsmethode en volg de instructies voor die methode (voer een wachtwoord in of sluit uw USB-station aan).
VERWANT: Hoe u een BitLocker-pincode vóór het opstarten op Windows kunt inschakelen
Als uw computer doet een TPM hebben, ziet u extra opties voor het ontgrendelen van uw systeemstation. U kunt bijvoorbeeld automatisch ontgrendelen bij het opstarten configureren (waarbij uw computer de coderingssleutels van de TPM pakt en de schijf automatisch decodeert). U kunt ook een pincode gebruiken in plaats van een wachtwoord, of zelfs biometrische opties zoals een vingerafdruk kiezen.
Als u een niet-systeemstation of verwisselbaar station codeert, ziet u slechts twee opties (of u nu een TPM hebt of niet). U kunt de schijf ontgrendelen met een wachtwoord of een smartcard (of beide).
Stap drie: maak een back-up van uw herstelsleutel
BitLocker biedt u een herstelsleutel die u kunt gebruiken om toegang te krijgen tot uw gecodeerde bestanden, mocht u ooit uw hoofdsleutel verliezen, bijvoorbeeld als u uw wachtwoord vergeet of als de pc met TPM doodgaat en u de schijf moet openen vanaf een ander systeem.
U kunt de sleutel opslaan in uw Microsoft-account, een USB-stick of een bestand, of deze zelfs afdrukken. Deze opties zijn hetzelfde, of u nu een systeemstation of een niet-systeemstation codeert.
Als u een back-up maakt van de herstelsleutel naar uw Microsoft-account, kunt u de sleutel later openen op https://onedrive.live.com/recoverykey. Als u een andere herstelmethode gebruikt, zorg er dan voor dat u deze sleutel veilig bewaart. Als iemand er toegang toe krijgt, kan deze uw schijf decoderen en de codering omzeilen.
U kunt desgewenst ook op meerdere manieren een back-up van uw herstelsleutel maken. Klik achtereenvolgens op elke optie die u wilt gebruiken en volg de instructies. Als u klaar bent met het opslaan van uw herstelsleutels, klikt u op “Volgende” om verder te gaan.
Notitie: Als u een USB-station of ander verwisselbaar station codeert, kunt u uw herstelsleutel niet opslaan op een USB-station. U kunt een van de andere drie opties gebruiken.
Stap vier: codeer en ontgrendel de schijf
BitLocker versleutelt automatisch nieuwe bestanden terwijl u ze toevoegt, maar u moet kiezen wat er gebeurt met de bestanden die momenteel op uw schijf staan. U kunt de volledige schijf versleutelen – inclusief de vrije ruimte – of gewoon de gebruikte schijfbestanden versleutelen om het proces te versnellen. Deze opties zijn ook hetzelfde, of u nu een systeemstation of een niet-systeemstation codeert.
VERWANT: Een verwijderd bestand herstellen: de ultieme gids
Als u BitLocker op een nieuwe pc installeert, codeert u alleen de gebruikte schijfruimte – het gaat veel sneller. Als u BitLocker instelt op een pc die u al een tijdje gebruikt, moet u de hele schijf versleutelen om ervoor te zorgen dat niemand verwijderde bestanden kan herstellen.
Als u uw keuze heeft gemaakt, klikt u op de knop “Volgende”.
Stap vijf: Kies een versleutelingsmodus (alleen Windows 10)
Als u Windows 10 gebruikt, ziet u een extra scherm waarin u een versleutelingsmethode kunt kiezen. Als u Windows 7 of 8 gebruikt, gaat u verder met de volgende stap.
Windows 10 introduceerde een nieuwe versleutelingsmethode genaamd XTS-AES. Het biedt verbeterde integriteit en prestaties ten opzichte van de AES die wordt gebruikt in Windows 7 en 8. Als je weet dat de schijf die je versleutelt alleen zal worden gebruikt op Windows 10-pc’s, ga je gang en kies je de optie “Nieuwe versleutelingsmodus”. Als u denkt dat u de schijf ooit met een oudere versie van Windows moet gebruiken (vooral belangrijk als het een verwisselbare schijf is), kiest u de optie “Compatibele modus”.
Welke optie je ook kiest (en nogmaals, deze zijn hetzelfde voor systeemschijven en niet-systeemschijven), ga je gang en klik op de knop “Volgende” als je klaar bent, en klik in het volgende scherm op de knop “Start versleutelen”.
Stap zes: afronden
Het versleutelingsproces kan van seconden tot minuten of zelfs langer duren, afhankelijk van de grootte van de schijf, de hoeveelheid gegevens die u versleutelt en of u ervoor kiest om vrije ruimte te versleutelen.
Als u uw systeemstation codeert, wordt u gevraagd om een ​​BitLocker-systeemcontrole uit te voeren en uw systeem opnieuw op te starten. Zorg ervoor dat de optie is geselecteerd, klik op de knop “Doorgaan” en start uw pc opnieuw op wanneer daarom wordt gevraagd. Nadat de pc voor het eerst een back-up heeft gemaakt, codeert Windows de schijf.
Als u een niet-systeem of verwijderbare schijf codeert, hoeft Windows niet opnieuw op te starten en begint de codering onmiddellijk.
Welk type schijf u ook versleutelt, u kunt het BitLocker-stationsversleutelingspictogram in het systeemvak controleren om de voortgang te zien, en u kunt uw computer blijven gebruiken terwijl schijven worden versleuteld – het zal alleen langzamer werken.
Uw schijf ontgrendelen
Als uw systeemstation gecodeerd is, hangt het ontgrendelen ervan af van de methode die u kiest (en of uw pc een TPM heeft). Als je een TPM hebt en ervoor hebt gekozen om de schijf automatisch te laten ontgrendelen, merk je niets anders – je start gewoon rechtstreeks Windows op zoals altijd. Als u een andere ontgrendelingsmethode hebt gekozen, vraagt ​​Windows u om de schijf te ontgrendelen (door uw wachtwoord in te voeren, uw USB-schijf aan te sluiten of wat dan ook).
VERWANT: Hoe u uw bestanden kunt herstellen vanaf een met BitLocker gecodeerde schijf
En als u uw ontgrendelingsmethode bent kwijtgeraakt (of bent vergeten), drukt u op Escape op het promptscherm om uw herstelsleutel in te voeren.
Als u een niet-systeem of verwijderbare schijf hebt gecodeerd, vraagt ​​Windows u om de schijf te ontgrendelen wanneer u deze voor het eerst opent nadat u Windows hebt gestart (of wanneer u deze op uw pc aansluit als het een verwisselbare schijf is). Typ uw wachtwoord of plaats uw smartcard en de schijf moet worden ontgrendeld zodat u deze kunt gebruiken.
In Verkenner tonen gecodeerde schijven een gouden slot op het pictogram (aan de linkerkant). Dat slot verandert in grijs en lijkt ontgrendeld wanneer je de schijf ontgrendelt (aan de rechterkant).
U kunt een vergrendelde schijf beheren – het wachtwoord wijzigen, BitLocker uitschakelen, een back-up van uw herstelsleutel maken of andere acties uitvoeren – vanuit het BitLocker-configuratiescherm. Klik met de rechtermuisknop op een gecodeerd station en selecteer vervolgens “BitLocker beheren” om rechtstreeks naar die pagina te gaan.
Zoals alle codering, voegt BitLocker wat overhead toe. In de officiële BitLocker-FAQ van Microsoft staat: “Over het algemeen wordt een prestatieoverhead van één cijfer opgelegd.” Als versleuteling belangrijk voor u is omdat u gevoelige gegevens hebt, bijvoorbeeld een laptop vol zakelijke documenten, is de verbeterde beveiliging de afweging tussen prestaties zeker waard.