Exporteren (0) Afdrukken
Alles uitvouwen

Overzicht van BitLocker-stationsversleuteling

Van toepassing op: Windows Server 2008, Windows Server 2008 R2, Windows Vista

BitLocker-stationsversleuteling is een functie in Windows Server 2008 R2 en in sommige functies van Windows 7 voor het beveiligen van gegevens. Als BitLocker is geïntegreerd met het besturingssysteem, worden de bedreigingen van gegevensdiefstal of het openbaar maken van gegevens op zoekgeraakte, gestolen of onjuist uit bedrijf genomen personal computers geneutraliseerd.

De gegevens op een zoekgeraakte of gestolen computer kunnen door onbevoegden worden bekeken. Er kan een speciaal aanvalsprogramma op de gegevens worden uitgevoerd of de vaste schijf van de computer kan in een andere computer worden geïnstalleerd. BitLocker vermindert dit gevaar door de bestanden en systeembestanden beter te beveiligen. Op computers die met BitLocker zijn beveiligd en uit bedrijf zijn genomen of worden gerecycled, kunnen onbevoegden geen toegang tot de gegevens krijgen.

BitLocker biedt de beste beveiliging wanneer Trusted Platform Module (TPM) versie 1.2 wordt gebruikt. De TMP is een hardwareonderdeel dat tegenwoordig door veel fabrikanten in hun computers wordt geïnstalleerd. Dit hardwareonderdeel en BitLocker beveiligen samen de gebruikersgegevens en zorgen ervoor dat niemand met een computer kan knoeien als het systeem offline is.

Op computers zonder een TPM versie 1.2 kunt u het station met het Windows-besturingssysteem toch met BitLocker versleutelen. In dat geval is er wel een USB-opstartsleutel nodig om de computer te kunnen opstarten of uit de slaapstand te halen en mist u de verificatie van de systeemintegriteit door TMP die voorafgaand aan het opstarten van het systeem wordt uitgevoerd.

Behalve de TPM beschikt BitLocker over een optie waardoor de computer alleen kan worden opgestart als de gebruiker een pincode opgeeft of een verwisselbaar opslagapparaat, zoals een USB-flashstation, aansluit waarop de opstartsleutel staat. Deze extra beveiligingsmaatregelen zorgen voor een multifactor-verificatie, zodat de computer alleen kan worden opgestart of uit de slaapstand kan worden gehaald als de juiste pincode of opstartsleutel wordt ingevoerd.

Verificatie van de systeemintegriteit

BitLocker controleert met behulp van de TMP de integriteit van de eerste opstartonderdelen en de opstartconfiguratiegegevens. Op deze manier is de versleutelde schijf alleen toegankelijk als er niet met die onderdelen is geknoeid en de versleutelde schijf zich in de oorspronkelijke computer bevindt.

BitLocker bewaakt de integriteit van het opstartproces door de volgende acties uit te voeren:

  • Controleren of de integriteit van het eerste opstartbestand nog intact is en ervoor te zorgen dat die bestanden niet onrechtmatig zijn gewijzigd door bijvoorbeeld virussen in de opstartsector of door rootkits.

  • De beveiliging verbeteren door offlineaanvallen van software te verminderen. Andere software die het systeem kan opstarten, heeft geen toegang tot de ontsleutelingssleutels voor de schijf met het Windows-besturingssysteem.

  • Het systeem vergrendelen waarmee is geknoeid. Als er met een gecontroleerd bestand is geknoeid, start het systeem niet op. Omdat het systeem niet op de gebruikelijke manier opstart, weet de gebruiker dat er met een of meer bestanden is geknoeid. Mocht het hele systeem zijn vergrendeld, dan kan met BitLocker het systeem op eenvoudige wijze worden hersteld.

Hardware-, firmware- en softwarevereisten

Voor het gebruik van BitLocker moet een computer aan bepaalde vereisten voldoen:

  • Bij BitLocker kan alleen de systeemintegriteit door een TPM worden gecontroleerd als de computer is voorzien van een TPM versie 1.2. Is er geen TPM in de computer geïnstalleerd, dan moet u bij het inschakelen van BitLocker een opstartsleutel opslaan op een verwisselbaar opslagapparaat, bijvoorbeeld een USB-flashstation.

  • Het BIOS van een computer met een TMP moet TCG-compatibel (Trusted Computing Group) zijn. Het BIOS stelt een certificaatketen in voor de eerste opstart van het systeem (voorafgaand aan het opstarten van het besturingssysteem) en moet ondersteuning bevatten voor Static Root of Trust Measurement, zoals opgegeven door TCG. Op een computer zonder een TPM hoeft het BIOS niet TCG-compatibel te zijn.

  • Het systeem-BIOS (voor computers met of zonder een TPM) moet ondersteuning bieden voor USB-apparaten voor massaopslag, waaronder het lezen van kleine bestanden op een USB-flashstation op een computer waarop het besturingssysteem nog niet is gestart. Zie de onderwerpen USB Mass Storage Bulk-Only en Mass Storage UFI Command Specifications op de USB-website (http://go.microsoft.com/fwlink/?LinkId=83120) voor meer informatie over USB (pagina is mogelijk Engelstalig).

  • De vaste schijf moet met minstens twee partities zijn gepartitioneerd:

    • Op het station voor het besturingssysteem (of opstartvolume) staan het besturingssysteem en de ondersteunende bestanden. Dit station moet worden geformatteerd met het NTFS-bestandssysteem.

    • Het systeemstation bevat de bestanden die nodig zijn om Windows te laden nadat de systeemhardware door het BIOS is gereedgemaakt. BitLocker is niet op dit station ingeschakeld. BitLocker werkt alleen als het systeemstation niet is versleuteld, als het verschilt van het station met het besturingssysteem en als het met het NTFS-bestandssysteem is geformatteerd. Het systeemstation moet minimaal 1,5 gigabyte (GB) groot zijn.

Installatie en initialisatie

BitLocker wordt automatisch als onderdeel van de installatie van het besturingssysteem geïnstalleerd, maar BitLocker wordt pas ingeschakeld als het is geactiveerd door de wizard voor het instellen van BitLocker. Deze wizard kan worden geopend vanuit het Configuratiescherm of door met de rechtermuisknop op het station in Windows Verkenner te klikken.

Op elk gewenst moment na de installatie en initialisatie van het besturingssysteem kan de systeembeheerder BitLocker via de wizard voor het instellen van BitLocker initialiseren. Het initialisatieproces bestaat uit twee stappen:

  1. Op computers met een TPM moet u de TPM met behulp van de wizard voor het initialiseren van een TMP, initialiseren via BitLocker-stationsversleuteling in het Configuratiescherm of door een script uit te voeren dat speciaal is geschreven voor het initialiseren van TPM's.

  2. Stel BitLocker in. Start in het Configuratiescherm de wizard voor het instellen van BitLocker. Deze wizard leidt u door het instelproces en geeft daarbij geavanceerde verificatieopties.

Wanneer een lokale beheerder BitLocker initialiseert, moet die beheerder ook een herstelwachtwoord of een herstelsleutel maken. Zonder een herstelsleutel of herstelwachtwoord kunnen alle gegevens op het versleutelde station waarschijnlijk niet meer worden benaderd en niet meer worden hersteld als er zich een probleem voordoet met het station dat door BitLocker wordt beveiligd.

noteOpmerking
BitLocker en de TPM-initialisatie moeten worden uitgevoerd door een lid van de lokale groep Administrators op de computer.

Zie de stapsgewijze handleiding voor Windows BitLocker-stationsversleuteling (http://go.microsoft.com/fwlink/?LinkID=140225) voor meer informatie over de configuratie en implementatie van BitLocker (pagina is mogelijk Engelstalig).

Implementatie in het bedrijf

BitLocker kan met de bestaande AD DS-infrastructuur (Active Directory Domain Services) van het bedrijf herstelsleutels extern opslaan. BitLocker beschikt over een wizard voor instellen en beheren en functies voor het uitbreiden en beheren via een WMI-interface (Windows Management Instrumentation) met ondersteuning voor het gebruik van scripts. Bovendien is de herstelconsole van BitLocker geïntegreerd in het eerste opstartproces, waardoor de gebruiker of een helpdeskmedewerker weer toegang tot een vergrendelde computer kan krijgen.

Zie Win32_EncryptableVolume (http://go.microsoft.com/fwlink/?LinkId=85983) voor meer informatie over het schrijven van scripts voor BitLocker (pagina is mogelijk Engelstalig).

Computers uit bedrijf nemen of recyclen

Veel computers die door de eerste eigenaar of gebruiker zijn afgedankt, worden weer door andere gebruikers gebruikt. In het bedrijfsleven kunnen computers op andere afdelingen worden ingezet of door het bedrijf worden overgedragen aan een programma voor het hergebruik van computers.

De gegevens op niet-versleutelde schijven blijven leesbaar, zelfs als de schijf opnieuw is geformatteerd. In bedrijven worden schijven die uit bedrijf worden genomen, vaak eerst meerdere malen overschreven of vernietigd om te voorkomen dat de gegevens in verkeerde handen terechtkomen.

Met BitLocker is een eenvoudige en goedkope oplossing voor het uit bedrijf nemen van computers mogelijk. Door de gegevens die zijn versleuteld met BitLocker, niet te ontsleutelen en de sleutels te verwijderen, wordt het onmogelijk dat deze gegevens door anderen kunnen worden gelezen. Het is vrijwel niet mogelijk gegevens die met BitLocker zijn versleuteld, te lezen als alle BitLocker-sleutels zijn verwijderd, omdat dan eerst een 128-bits of 256-bits AES-versleuteling moet worden gekraakt.

Punten van overweging bij BitLocker-beveiliging

BitLocker kan een computer niet tegen alle mogelijke aanvallen beschermen. Als bijvoorbeeld kwaadwillende gebruikers of programma's, zoals virussen of rootkits, toegang krijgen tot een computer voordat deze zoekraakt of wordt gestolen, kunnen zij wellicht 'een achterdeur' openen waardoor zij later toegang tot de versleutelde gegevens kunnen krijgen. De beveiliging van BitLocker kan in gevaar worden gebracht als het USB-station met de opstartsleutel niet uit de computer is gehaald of als de pincode of het aanmeldingswachtwoord voor Windows bij anderen bekend is.

De verificatiemodus met alleen een TPM is de gemakkelijkste modus om te implementeren, te beheren en te gebruiken. Deze modus is ook het meest geschikt voor computers waarachter geen gebruiker zit, of die zonder toezicht moeten worden opgestart. Het nadeel van de modus met alleen een TMP is dat de gegevensbeveiliging niet optimaal is. Als er binnen uw organisatie medewerkers zijn die gevoelige gegevens op mobiele computers hebben staan, kunt u overwegen op die computers BitLocker met multifactor-verificatie te installeren.

Zie het onderwerp over de gegevensversleutelingstoolkit voor mobiele pc's (http://go.microsoft.com/fwlink/?LinkId=85982) voor meer informatie over beveiligingsmaatregelen met BitLocker (pagina is mogelijk Engelstalig).

BitLocker implementeren op servers

Voor servers in een gedeelde of in potentie niet-veilige omgeving, zoals een filiaal, kan BitLocker worden gebruiken voor het versleutelen van het station met het besturingssysteem en andere gegevensstations van dezelfde server.

Standaard wordt BitLocker niet bij Windows Server 2008 R2 geïnstalleerd. Voeg BitLocker vanaf de pagina Serverbeheer van Windows Server 2008 R2 toe. U moet na het installeren van BitLocker de server opnieuw opstarten. Met WMI kunt u BitLocker op afstand inschakelen.

BitLocker wordt ondersteund op EFI-servers (Extensible Firmware Interface) en maakt gebruik van een 64-bits processorarchitectuur.

noteOpmerking
BitLocker biedt geen ondersteuning voor clusterconfiguraties.

Sleutelbeheer

Nadat het station is versleuteld en wordt beveiligd door BitLocker, kunnen lokale beheerders en domeinbeheerders via de pagina BitLocker beheren in het onderdeel BitLocker-stationsversleuteling in het Configuratiescherm het wachtwoord voor het ontgrendelen van het station wijzigen, het wachtwoord van de schijf wijzigen, een smartcard voor het ontgrendelen van het station toevoegen, de herstelsleutel opnieuw opslaan en afdrukken, het station automatisch ontgrendelen, sleutels dupliceren en de PIN op de beginwaarden instellen.

noteOpmerking
De typen sleutels die op een computer kunnen worden gebruikt, kunnen worden beheerd met behulp van Groepsbeleid. Zie de implementatiegids van BitLocker (http://go.microsoft.com/fwlink/?LinkID=140286) voor meer informatie over het gebruik van Groepsbeleid bij BitLocker (pagina is mogelijk Engelstalig).

De BitLocker-beveiliging tijdelijk uitschakelen

Een beheerder kan in bepaalde scenario's BitLocker tijdelijk uitschakelen, zoals bij het:

  • Opnieuw opstarten van de computer voor onderhoud zonder gebruikersinvoer, bijvoorbeeld een pincode of een opstartsleutel.

  • Bijwerken van het BIOS.

  • Installeren van een hardwareonderdeel met een optioneel alleen-lezen geheugen (optie-ROM).

  • Bijwerken van de kritieke eerste opstartonderdelen zonder het BitLocker-herstel te starten. Bijvoorbeeld:

    • Installeren van een andere versie van het besturingssysteem of een ander besturingssysteem, waardoor de MBR (hoofdopstartrecord) kan worden gewijzigd.

    • Opnieuw partitioneren van de schijf, waardoor de partitietabel kan worden gewijzigd.

    • Uitvoeren van andere systeemtaken waardoor de opstartonderdelen die door de TPM worden gevalideerd, worden gewijzigd.

  • Upgraden van de systeemkaart om de TPM te vervangen of te verwijderen zonder BitLocker-herstel te starten.

  • Uitzetten (uitschakelen) of wissen van de TPM zonder BitLocker-herstel te starten.

  • Verplaatsen van een schijf die door BitLocker wordt beveiligd, naar een andere computer zonder BitLocker-herstel te starten.

Deze scenario's worden het 'upgradescenario voor computers' genoemd. BitLocker kan worden in- of uitgeschakeld via het onderdeel BitLocker-stationsvergrendeling in het Configuratiescherm.

De volgende stappen zijn nodig om een computer die door BitLocker wordt beveiligd, bij te werken.

  1. BitLocker tijdelijk uitschakelen door het in de uitgeschakelde modus te plaatsen.

  2. Het systeem of het BIOS bijwerken.

  3. BitLocker weer inschakelen.

Als BitLocker in de uitgeschakelde modus wordt geplaatst, blijft het station versleuteld, maar wordt de hoofdsleutel van het station versleuteld met een symmetrische sleutel die niet-versleuteld op de vaste schijf is opgeslagen. De beschikbaarheid van deze niet-versleutelde sleutel schakelt de gegevensbeveiliging van BitLocker uit, maar zorgt er wel voor dat wanneer de computer vervolgens weer wordt opgestart, er voor het opstarten geen gebruiker aanwezig hoeft te zijn. Wanneer BitLocker opnieuw wordt ingeschakeld, wordt deze niet-versleutelde sleutel van de schijf verwijderd en wordt de beveiliging van BitLocker weer geactiveerd. Daarnaast wordt de hoofdsleutel van het station ingevoerd en opnieuw versleuteld.

Voor het verplaatsen van het versleutelde station (de fysieke schijf) naar een andere computer met BitLocker hoeven geen extra stappen te worden uitgevoerd, omdat de sleutel die de hoofdsleutel van het station beveiligt, niet-versleuteld op de schijf is opgeslagen.

CautionWaarschuwing
Het zelfs maar heel kort weergeven van de hoofdsleutel van het station vormt een risico voor de beveiliging, omdat een aanvaller dan de mogelijkheid heeft om de hoofdsleutel van het station en de versleutelingssleutel voor het hele station te bemachtigen wanneer deze sleutels door de lege sleutel worden weergegeven.

Zie de stapsgewijze handleiding voor Windows BitLocker-stationsvergrendeling (http://go.microsoft.com/fwlink/?LinkID=140225) voor meer informatie over het uitschakelen van BitLocker (pagina is mogelijk Engelstalig).

Systeemherstel

Een herstelproces kan door een aantal scenario's worden geactiveerd, zoals:

  • Verplaatsen van een met BitLocker beveiligd station naar een nieuwe computer.

  • Installeren van een nieuwe systeemkaart met een nieuwe TPM.

  • Uitzetten, uitschakelen of wissen van de TPM.

  • Bijwerken van het BIOS.

  • Bijwerken van het optie-ROM.

  • Uitvoeren van een upgrade voor essentiële eerste opstartonderdelen die er de oorzaak van zijn dat de systeemintegriteit niet kan worden gevalideerd.

  • Vergeten van de pincode in gevallen waarin pincodeverificatie is ingeschakeld.

  • Zoekraken van het USB-flashstation met de opstartsleutel in gevallen waarin verificatie via een opstartsleutel is ingeschakeld.

Een beheerder kan het herstel ook als een toegangscontrolemechanisme starten, bijvoorbeeld tijdens het opnieuw implementeren van een computer. Bovendien kan een beheerder een versleuteld station vergrendelen en eisen dat de gebruikers BitLocker-herstelgegevens moeten ophalen om het station te ontgrendelen.

Herstel instellen

Beheerders kunnen via groepsbeleid instellen welke herstelmethoden wel en niet zijn toegestaan of optioneel zijn voor gebruikers die BitLocker gebruiken. Het herstelwachtwoord kan worden opgeslagen in AD DS en de beheerder kan voor iedere gebruiker van de computer instellen dat de gebruiker deze optie moet gebruiken, mag gebruiken of niet mag gebruiken. De herstelgegevens kunnen bovendien op een USB-flashstation worden opgeslagen.

Herstelwachtwoord

Het herstelwachtwoord is een willekeurig gegenereerd getal van 48 bits dat tijdens het installeren van BitLocker kan worden gemaakt. Als de computer overgaat in de herstelmodus, wordt de gebruiker gevraagd zijn of haar wachtwoord met de functietoetsen (F0 t/m F9) in te voeren. Het herstelwachtwoord kan worden beheerd en gekopieerd als BitLocker is ingeschakeld. Via de pagina BitLocker beheren in het onderdeel BitLocker-stationsvergrendeling in het Configuratiescherm kan het herstelwachtwoord voor later gebruik worden afgedrukt of in een bestand worden opgeslagen.

Een domeinadministrator kan het groepsbeleid zo instellen dat herstelwachtwoorden automatisch worden gegenereerd en dat er een back-up van de herstelwachtwoorden op AD DS wordt gemaakt zodra BitLocker wordt ingeschakeld. De domeinadministrator kan ook instellen dat BitLocker alleen een station kan versleutelen wanneer de computer met het netwerk is verbonden en er een back-up van het herstelwachtwoord in AD DS is gemaakt.

Herstelsleutel

De herstelsleutel kan tijdens het installeren van BitLocker worden gemaakt en op een USB-flashstation worden opgeslagen. De herstelsleutel kan ook worden beheerd en gekopieerd als BitLocker is ingeschakeld. Als de computer overgaat in de herstelmodus, wordt de gebruiker gevraagd het USB-station met de herstelsleutel op de computer aan te sluiten.

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Weergeven:
© 2015 Microsoft