BitLocker is een in Windows ingebouwd hulpprogramma waarmee u een hele harde schijf kunt versleutelen voor verbeterde beveiliging. Hier is hoe je het instelt.
Toen TrueCrypt controversieel de winkel sloot, adviseerden ze hun gebruikers om over te stappen van TrueCrypt naar het gebruik van BitLocker of Veracrypt . BitLocker bestaat al lang genoeg in Windows om als volwassen te worden beschouwd, en is een versleuteling product dat over het algemeen goed wordt gewaardeerd door beveiligingsprofessionals. In dit artikel gaan we het hebben over hoe u het op uw pc kunt instellen.
VERWANT: Moet u upgraden naar de professionele editie van Windows 10?
Notitie : BitLocker-stationsversleuteling en BitLocker To Go vereisen een Professionele of Enterprise-editie van Windows 8 of 10, of de Ultimate-versie van Windows 7. Vanaf Windows 8.1 zijn de Home- en Pro-edities van Windows bevat een 'apparaatversleuteling' functie (een functie die ook in Windows 10 is opgenomen) die op dezelfde manier werkt. We raden apparaatversleuteling aan als uw computer dit ondersteunt, BitLocker voor Pro-gebruikers die geen apparaatversleuteling kunnen gebruiken, en VeraCrypt voor mensen die een Home-versie van Windows gebruiken waar apparaatversleuteling niet werkt.
Een hele schijf versleutelen of een versleutelde container maken?
Veel gidsen praten over het maken van een BitLocker-container die ongeveer hetzelfde werkt als het soort gecodeerde container dat u kunt maken met producten zoals TrueCrypt of Veracrypt. Het is een beetje een verkeerde benaming, maar je kunt een soortgelijk effect bereiken. BitLocker werkt door volledige schijven te versleutelen. Dat kan uw systeemschijf zijn, een andere fysieke schijf of een virtuele harde schijf (VHD) die als bestand bestaat en in Windows is aangekoppeld.
VERWANT: Een gecodeerd containerbestand maken met BitLocker op Windows
Het verschil is grotendeels semantisch. In andere coderingsproducten maakt u gewoonlijk een gecodeerde container en koppelt u deze vervolgens als een station in Windows wanneer u deze moet gebruiken. Met BitLocker maakt u een virtuele harde schijf en codeert u deze vervolgens. Als je een container wilt gebruiken in plaats van bijvoorbeeld je bestaande systeem of opslagstation te versleutelen, bekijk dan onze gids voor het maken van een gecodeerd containerbestand met BitLocker .
Voor dit artikel gaan we ons concentreren op het inschakelen van BitLocker voor een bestaande fysieke schijf.
Een schijf versleutelen met BitLocker
VERWANT: BitLocker gebruiken zonder een Trusted Platform Module (TPM)
Om BitLocker voor een station te gebruiken, hoeft u het alleen maar in te schakelen, een ontgrendelingsmethode te kiezen (wachtwoord, pincode enzovoort) en vervolgens een paar andere opties in te stellen. Voordat we daar verder op ingaan, moet u weten dat het gebruik van BitLockers volledige-schijfversleuteling op een systeemstation vereist doorgaans een computer met een Trusted Platform Module (TPM) op het moederbord van uw pc. Deze chip genereert de coderingssleutels die BitLocker gebruikt en slaat deze op. Als uw pc geen TPM heeft, kan dat gebruik Groepsbeleid om het gebruik van BitLocker zonder TPM mogelijk te maken . Het is iets minder veilig, maar nog steeds veiliger dan helemaal geen codering te gebruiken.
U kunt een niet-systeemstation of verwisselbaar station coderen zonder TPM en zonder dat u de instelling Groepsbeleid hoeft in te schakelen.
In dat opzicht moet u ook weten dat er twee soorten BitLocker-stationsversleuteling zijn die u kunt inschakelen:
- BitLocker-stationsversleuteling : Dit wordt ook wel BitLocker genoemd, dit is een functie voor "volledige schijfversleuteling" die een hele schijf versleutelt. Wanneer uw pc opstart, wordt de Windows-opstartlader geladen vanaf de door het systeem gereserveerde partitie , en de bootloader vraagt je om je ontgrendelingsmethode, bijvoorbeeld een wachtwoord. BitLocker decodeert vervolgens de schijf en laadt Windows. De versleuteling is verder transparant: uw bestanden verschijnen zoals ze normaal zouden doen op een niet-versleuteld systeem, maar ze worden in versleutelde vorm op de schijf opgeslagen. U kunt ook andere stations coderen dan alleen het systeemstation.
- BitLocker To Go : U kunt externe schijven, zoals USB-flashstations en externe harde schijven, coderen met BitLocker To Go. U wordt om uw ontgrendelingsmethode gevraagd, bijvoorbeeld een wachtwoord, wanneer u de schijf op uw computer aansluit. Als iemand de ontgrendelingsmethode niet heeft, heeft hij geen toegang tot de bestanden op de schijf.
In Windows 7 tot en met 10 hoeft u zich echt geen zorgen te maken over het zelf maken van de selectie. Windows doet dingen achter de schermen, en de interface die u gebruikt om BitLocker in te schakelen, ziet er niet anders uit. Als je uiteindelijk een gecodeerde schijf ontgrendelt op Windows XP of Vista, zie je de BitLocker to Go-branding, dus we dachten dat je er op zijn minst van op de hoogte moest zijn.
Laten we dus, met dat uit de weg, eens kijken hoe dit eigenlijk werkt.
Stap één: schakel BitLocker in voor een schijf
De eenvoudigste manier om BitLocker voor een station in te schakelen, is door met de rechtermuisknop op het station te klikken in een Verkenner-venster en vervolgens de opdracht "BitLocker inschakelen" te kiezen. Als u deze optie niet in uw contextmenu ziet, heeft u waarschijnlijk geen Pro- of Enterprise-editie van Windows en moet u een andere coderingsoplossing zoeken.
Zo simpel is het. De wizard die verschijnt, helpt u bij het selecteren van verschillende opties, die we hebben onderverdeeld in de volgende secties.
Stap twee: kies een ontgrendelingsmethode
In het eerste scherm dat u ziet in de wizard BitLocker-stationsversleuteling, kunt u kiezen hoe u uw schijf wilt ontgrendelen. U kunt verschillende manieren selecteren om de schijf te ontgrendelen.
Als u uw systeemschijf versleutelt op een computer dat doesn’t een TPM hebben, kunt u de drive ontgrendelen met een wachtwoord of een USB-drive die als sleutel fungeert. Selecteer uw ontgrendelingsmethode en volg de instructies voor die methode (voer een wachtwoord in of sluit uw USB-station aan).
VERWANT: Hoe u een BitLocker-pincode vóór het opstarten op Windows kunt inschakelen
Als uw computer doet een TPM hebben, ziet u extra opties om uw systeemschijf te ontgrendelen. U kunt bijvoorbeeld automatisch ontgrendelen bij het opstarten configureren (waarbij uw computer de coderingssleutels van de TPM pakt en de schijf automatisch decodeert). U zou ook kunnen gebruik een pincode in plaats van een wachtwoord, of kies zelfs biometrische opties zoals een vingerafdruk.
Als u een niet-systeemstation of verwisselbaar station versleutelt, ziet u slechts twee opties (of u nu een TPM heeft of niet). U kunt de schijf ontgrendelen met een wachtwoord of een smartcard (of beide).
Stap drie: maak een back-up van uw herstelsleutel
BitLocker biedt u een herstelsleutel die u kunt gebruiken om toegang te krijgen tot uw gecodeerde bestanden, mocht u ooit uw hoofdsleutel verliezen, bijvoorbeeld als u uw wachtwoord vergeet of als de pc met TPM doodgaat en u de schijf moet openen vanaf een ander systeem.
U kunt de sleutel in uw Microsoft account , een USB-stick, een bestand, of druk het zelfs af. Deze opties zijn hetzelfde, of u nu een systeemstation of een niet-systeemstation codeert.
Als u een back-up van de herstelsleutel maakt in uw Microsoft-account, kunt u de sleutel later openen op https://onedrive.live.com/recoverykey . Als u een andere herstelmethode gebruikt, moet u deze sleutel veilig bewaren. Als iemand er toegang toe krijgt, kan deze uw schijf decoderen en de codering omzeilen.
U kunt desgewenst ook op meerdere manieren een back-up van uw herstelsleutel maken. Klik achtereenvolgens op elke optie die u wilt gebruiken en volg de instructies. Als u klaar bent met het opslaan van uw herstelsleutels, klikt u op 'Volgende' om verder te gaan.
Notitie : Als u een USB-station of ander verwisselbaar station codeert, heeft u niet de mogelijkheid om uw herstelsleutel op een USB-station op te slaan. U kunt een van de andere drie opties gebruiken.
Stap vier: codeer en ontgrendel de schijf
BitLocker versleutelt automatisch nieuwe bestanden terwijl u ze toevoegt, maar u moet kiezen wat er gebeurt met de bestanden die momenteel op uw schijf staan. U kunt de volledige schijf versleutelen - inclusief de vrije ruimte - of gewoon de gebruikte schijfbestanden versleutelen om het proces te versnellen. Deze opties zijn ook hetzelfde, of u nu een systeemstation of een niet-systeemstation codeert.
VERWANT: Een verwijderd bestand herstellen: de ultieme gids
Als u BitLocker op een nieuwe pc installeert, codeert u alleen de gebruikte schijfruimte - het gaat veel sneller. Als u BitLocker instelt op een pc die u al een tijdje gebruikt, moet u de hele schijf versleutelen om ervoor te zorgen dat niemand herstel gewiste files .
Als u uw keuze heeft gemaakt, klikt u op de knop "Volgende".
Stap vijf: Kies een versleutelingsmodus (alleen Windows 10)
Als u Windows 10 gebruikt, ziet u een extra scherm waarop u een versleutelingsmethode kunt kiezen. Als u Windows 7 of 8 gebruikt, gaat u verder met de volgende stap.
Windows 10 introduceerde een nieuwe versleutelingsmethode genaamd XTS-AES. Het biedt verbeterde integriteit en prestaties ten opzichte van de AES die wordt gebruikt in Windows 7 en 8. Als je weet dat de schijf die je versleutelt alleen zal worden gebruikt op Windows 10-pc's, ga je gang en kies je de optie "Nieuwe versleutelingsmodus". Als u denkt dat u de schijf ooit met een oudere versie van Windows moet gebruiken (vooral belangrijk als het een verwisselbare schijf is), kiest u de optie 'Compatibele modus'.
Welke optie je ook kiest (en nogmaals, deze zijn hetzelfde voor systeemschijven en niet-systeemschijven), ga je gang en klik op de knop "Volgende" als je klaar bent, en klik in het volgende scherm op de knop "Start versleutelen".
Stap zes: afronden
Het versleutelingsproces kan van seconden tot minuten of zelfs langer duren, afhankelijk van de grootte van de schijf, de hoeveelheid gegevens die u versleutelt en of u ervoor kiest om vrije ruimte te versleutelen.
Als u uw systeemschijf versleutelt, wordt u gevraagd om een BitLocker-systeemcontrole uit te voeren en uw systeem opnieuw op te starten. Zorg ervoor dat de optie is geselecteerd, klik op de knop "Doorgaan" en start uw pc opnieuw op wanneer daarom wordt gevraagd. Nadat de pc voor de eerste keer een back-up heeft gemaakt, codeert Windows de schijf.
Als u een niet-systeem of verwisselbare schijf codeert, hoeft Windows niet opnieuw op te starten en begint de codering onmiddellijk.
Welk type schijf u ook versleutelt, u kunt het BitLocker-stationsversleutelingspictogram in het systeemvak bekijken om de voortgang te zien, en u kunt uw computer blijven gebruiken terwijl schijven worden versleuteld - het zal alleen langzamer werken.
Uw schijf ontgrendelen
Als uw systeemstation gecodeerd is, hangt het ontgrendelen ervan af van de methode die u kiest (en of uw pc een TPM heeft). Als je een TPM hebt en ervoor hebt gekozen om de schijf automatisch te laten ontgrendelen, merk je niets anders - je start gewoon rechtstreeks op in Windows zoals altijd. Als u een andere ontgrendelingsmethode hebt gekozen, vraagt Windows u om de schijf te ontgrendelen (door uw wachtwoord in te voeren, uw USB-schijf aan te sluiten of wat dan ook).
VERWANT: Hoe u uw bestanden kunt herstellen vanaf een met BitLocker gecodeerde schijf
En als u uw ontgrendelingsmethode bent kwijtgeraakt (of bent vergeten), drukt u op Escape op het promptscherm om voer uw herstelsleutel in .
Als u een niet-systeem of verwisselbare schijf hebt versleuteld, vraagt Windows u om de schijf te ontgrendelen wanneer u deze voor het eerst opent nadat u Windows hebt gestart (of wanneer u deze op uw pc aansluit als het een verwisselbare schijf is). Typ uw wachtwoord of plaats uw smartcard en de schijf moet worden ontgrendeld zodat u deze kunt gebruiken.
In Verkenner tonen gecodeerde schijven een gouden slot op het pictogram (aan de linkerkant). Dat slot verandert in grijs en lijkt ontgrendeld wanneer je de schijf ontgrendelt (aan de rechterkant).
U kunt een vergrendelde schijf beheren - het wachtwoord wijzigen, BitLocker uitschakelen, een back-up maken van uw herstelsleutel of andere acties uitvoeren - vanuit het BitLocker-configuratiescherm. Klik met de rechtermuisknop op een gecodeerd station en selecteer vervolgens "BitLocker beheren" om rechtstreeks naar die pagina te gaan.
Zoals alle codering, voegt BitLocker wat overhead toe. De officiële Veelgestelde vragen over BitLocker van Microsoft zegt: "Over het algemeen legt dit een prestatie-overhead van één cijfer op." Als codering belangrijk voor u is omdat u gevoelige gegevens hebt, bijvoorbeeld een laptop vol zakelijke documenten, is de verbeterde beveiliging de afweging tussen prestaties zeker waard.
