U kunt het artikel in het Engels weergeven door het selectievakje Engels in te schakelen. U kunt de Engelse tekst ook in een pop-upvenster weergeven door de muisaanwijzer over de tekst te bewegen.
Vertaling
Engels

Wat is er nieuw in BitLocker

 

Van toepassing op: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

In dit onderwerp voor ervaren gebruikers en IT-professionals vindt u een beschrijving van de functionaliteit BitLocker-stationsversleuteling. Deze functionaliteit is nieuw of gewijzigd in Windows Server 2012 R2, Windows Server 2012 Windows 8.1 en Windows 8.

In dit onderwerp:

In Windows Server 2012 R2 en Windows 8.1 biedt BitLocker op de volgende punten verbeterde ondersteuning:

BitLocker biedt ondersteuning voor apparaatversleuteling op x86- en x64-computers met een TPM die ondersteuning biedt voor de modus Verbonden en stand-by. Deze vorm van versleuteling was eerder alleen beschikbaar voor Windows RT-apparaten.

Met apparaatversleuteling kunt u gegevens op uw Windows-pc beveiligen. Zo kunt u verhinderen dat kwaadwillende gebruikers toegang krijgen tot de systeembestanden op basis waarvan ze uw wachtwoord kunnen afleiden, of tot uw station door dit fysiek uit de pc te verwijderen en in een andere pc te installeren. U kunt zich nog steeds aanmelden bij Windows en uw bestanden normaal gebruiken. Met apparaatversleuteling worden het besturingssysteemstation en alle harde schijven in het systeem beveiligd met de versleutelingsmethode AES 128-bits. Apparaatversleuteling kan worden gebruikt met een Microsoft-account of een domeinaccount. Voor de ondersteuning van apparaatversleuteling moet het systeem ondersteuning bieden voor de modus Verbonden en stand-by en voldoen aan de HCK-vereisten (Windows Hardware Certification Kit) voor TPM en SecureBoot op systemen met de modus Verbonden en stand-by. De volgende secties bevatten een overzicht van de vereisten:

  • System.Fundamentals.Security.DeviceEncryption: algemene vereisten voor apparaatversleuteling.

  • System.Fundamentals: vereisten voor systemen met de modus Verbonden en stand-by.

  • System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby: vereisten voor TPM 2.0- en Secure Boot-systemen met de modus Verbonden en stand-by.

In tegenstelling tot een standaard-BitLocker-implementatie wordt apparaatversleuteling automatisch ingeschakeld zodat het apparaat altijd is beveiligd. De volgende lijst geeft een overzicht van de manier waarop dit wordt gedaan.

  • Nadat een schone installatie van Windows 8.1 is uitgevoerd, wordt de computer voorbereid voor het eerste gebruik. Als onderdeel van deze voorbereiding wordt apparaatversleuteling op het besturingssysteemstation en de harde schijven van de computer geïnitialiseerd met een lege sleutel (dit is het equivalent van de standaard-BitLocker-status Onderbroken).

  • Als het apparaat geen lid is van een domein, is voor het apparaat een Microsoft-account met beheerdersbevoegdheden vereist. Als de beheerder zich aanmeldt met een Microsoft-account, wordt de lege sleutel verwijderd, wordt een herstelsleutel geüpload naar het online-Microsoft-account en wordt de TPM-beveiliging gemaakt. Als voor een apparaat de herstelsleutel is vereist, wordt de gebruiker geïnformeerd een ander apparaat te gebruiken en te navigeren naar de toegangs-URL van een herstelsleutel, zodat de gebruiker de herstelsleutel kan ophalen met zijn of haar eigen Microsoft-accountreferenties.

  • Als de gebruiker zich aanmeldt met een domeinaccount, wordt de lege sleutel pas verwijderd als de gebruiker het apparaat toevoegt aan een domein (op x86-/x64-platforms) en wordt een back-up van de herstelsleutel gemaakt in Active Directory Domain Services. De groepsbeleidsinstelling Computerconfiguratie\Beheersjablonen\Windows-onderdelen\BitLocker-stationsversleuteling\Systeemstations moet zijn ingeschakeld en de optie BitLocker pas inschakelen nadat herstelgegevens voor systeemschijven zijn opgeslagen in AD DS moet zijn geselecteerd. Met deze configuratie wordt het herstelwachtwoord automatisch gemaakt wanneer de computer lid wordt van het domein, waarna een back-up van de herstelsleutel wordt gemaakt in AD DS, de TPM-beveiliging wordt gemaakt en de lege sleutel wordt verwijderd.

Zie Recovery keys: Frequently asked questions (Engelstalig) voor meer informatie over de herstelsleutel en de manier waarop u hiertoe toegang kunt krijgen.

Apparaatversleuteling in- of uitschakelen

  1. Als u een schone installatie van Windows 8.1 hebt uitgevoerd, is apparaatversleuteling standaard ingeschakeld. Als u voor een eerdere Windows-installatie een upgrade hebt uitgevoerd naar Windows 8.1, kunt u apparaatversleuteling inschakelen met behulp van Pc-informatie.

  2. U kunt Pc-informatie openen door vanaf de rechterkant van het scherm te vegen en op Instellingen en vervolgens op Pc-instellingen wijzigen te tikken. (Als u een muis gebruikt, wijst u de rechterbovenhoek van het scherm aan, verplaatst u de muisaanwijzer omlaag, klikt u op Instellingen en klikt u vervolgens op Pc-instellingen wijzigen.)

  3. Tik of klik op Pc en apparaten en tik of klik op Pc-informatie. De sectie Apparaatversleuteling wordt onder aan de pagina Pc-informatie weergegeven.

  4. Selecteer Inschakelen in de sectie Apparaatversleuteling.

  5. Apparaatversleuteling kan niet worden uitgeschakeld op apparaten met Windows RT. Voor andere apparaten kunt u in het gedeelte met instellingen voor apparaatversleuteling op de pagina Pc-informatie de optie Uitschakelen selecteren als u apparaatversleuteling om welke reden dan ook wilt uitschakelen.

Als u niet wilt dat de apparaten die u implementeert automatisch worden beveiligd met apparaatversleuteling, kunt u het bestand voor installatie zonder toezicht gebruiken om de volgende registerinstelling af te dwingen:

  • Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

  • Value: PreventDeviceEncryption equal to True (1)

  • Type: REG_DWORD

Apparaatversleuteling is afhankelijk van de groepsbeleidsinstellingen voor BitLocker. De standaardconfiguratie levert echter conflicten op met een aantal groepsbeleidsinstellingen. In de volgende lijst vindt u een beschrijving van de beleidsinstellingen die moeten worden ingesteld op 'niet geconfigureerd' of, als deze zijn geconfigureerd, op 'beoordeeld' zodat de instellingen apparaatversleuteling ondersteunen.

  • Instellingen voor Computerconfiguratie\Beheersjablonen\Windows-onderdelen\BitLocker-apparaatversleuteling\Systeemstations\Extra authenticatie vereisen bij opstarten:

    • Alle opties waarvoor een andere authenticatiemethode bij opstarten dan TPM is vereist.

      Standaard kan TPM-sleutelbeveiliging alleen voor apparaatversleuteling worden geconfigureerd tijdens het versleutelen van het apparaat. Windows x84- en x86-computers kunt u nog eens extra beveiligen nadat het apparaat is versleuteld. Dit kunt u doen in het onderdeel BitLocker van het Configuratiescherm met behulp van het item Wijzigen hoe de stationsblokkering bij het opstarten wordt opgeheven.

  • Instellingen voor Computerconfiguratie\Beheersjablonen\Windows-onderdelen\BitLocker-stationsversleuteling\Besturingsstations\Instellen hoe met BitLocker beveiligde systeemstations kunnen worden hersteld en Computerconfiguratie\Beheersjablonen\Windows-onderdelen\BitLocker-stationsversleuteling\Harde schijven\Instellen hoe met BitLocker beveiligde harde schijven kunnen worden hersteld:

    • Apparaatversleuteling maakt alleen gebruik van herstelwachtwoorden. Als u deze groepsbeleidsinstelling hebt geconfigureerd met de optie Herstelwachtwoord van 48 cijfers niet toestaan, wordt geen apparaatversleuteling gebruikt omdat het herstelwachtwoord de enige herstelmethode voor apparaatversleuteling is.

    • Voor apparaatversleuteling moeten back-ups van wachtwoorden worden gemaakt op een onlineopslaglocatie. Als u deze groepsbeleidsinstelling hebt geconfigureerd en hierbij de optie BitLocker-herstelgegevens opslaan in Active Directory Domain Services hebt uitgeschakeld, wordt geen apparaatversleuteling gebruikt omdat voor het wachtwoord voor apparaatversleuteling een back-up moet worden gemaakt in AD DS als het apparaat lid is van een domein.

In Windows Server 2012 R2 en Windows 8.1 maken herstelwachtwoordbeveiligingen gebruik van een FIPS-compatibel algoritme, waarmee BitLocker beter kan worden beheerd in de FIPS-modus.

System_CAPS_noteOpmerking

Federal Information Processing Standard (FIPS) is in de Verenigde Staten ontwikkeld en bevat een definitie van de beveiligings- en interoperabiliteitsvereisten voor computersystemen die door de Amerikaanse overheid worden gebruikt. De FIPS 140-standaard bevat definities van goedgekeurde cryptografische algoritmen. Daarnaast bevat de FIPS 140-standaard vereisten voor het genereren van sleutels en voor sleutelbeheer.

Zie Systeem cryptography: Gebruik FIPS-algoritmen voor codering, hashing en ondertekening als u de FIPS-compatibele modus voor Windows wilt instellen.

Wijzigingen in functionaliteit omvatten:

  • FIPS-compatibele herstelwachtwoordbeveiligingen kunnen worden gemaakt wanneer de FIPS-modus in Windows actief is. Voor deze modus wordt het FIPS-certificeerbare algoritme gebruikt.

  • De herstelwachtwoorden die in de FIPS-modus in Windows 8.1 worden gemaakt, kunnen worden onderscheiden van herstelwachtwoorden die op andere systemen zijn gemaakt.

  • Ontgrendeling met herstelwachtwoorden waarvoor gebruik wordt gemaakt van herstelwachtwoordbeveiliging op basis van het FIPS-certificeerbare algoritme werkt in alle gevallen die nu ook werken voor herstelwachtwoorden.

  • Wanneer volumes worden ontgrendeld met behulp van FIPS-compatibele herstelwachtwoorden, wordt het volume ontgrendeld zodat lees-/schrijftoegang is toegestaan, zelfs in de FIPS-modus.

  • FIPS-compatibele herstelwachtwoordbeveiligingen kunnen in de FIPS-modus worden geëxporteerd en worden opgeslagen in AD.

Wanneer u in versies eerder dan Windows Server 2012 R2 en Windows 8.1 FIPS-compliance inschakelde voor systeemcryptografie, was het niet mogelijk herstelwachtwoorden in BitLocker te maken of te gebruiken en werd de gebruiker in plaats daarvan gedwongen gebruik te maken van herstelsleutels. Nu kunnen gebruikers hun BitLocker-herstelwachtwoord gebruiken voor het ontgrendelen van systemen met Windows Server 2012 R2 en Windows 8.1. In de volgende lijst worden de twee toepassingen beschreven:

  • Herstelwachtwoorden kunnen worden gemaakt in de FIPS-modus

    Om te voldoen aan de FIPS-vereisten, kunt u de lokale beleidsinstelling Systeem cryptography: Gebruik FIPS-algoritmen voor codering, hashing en ondertekening inschakelen. Als u ervoor wilt zorgen dat BitLocker is ingeschakeld voor clientcomputers in uw organisatie, kunt u uw installatiekopieën voor Windows-implementaties bijwerken zodat deze instelling wordt gebruikt. Daarnaast kunt u back-ups van uw herstelwachtwoorden in AD blijven maken. U kunt deze beheerhulpprogramma's gebruiken om te controleren of de herstelwachtwoorden zijn gemaakt en zijn opgeslagen voor BitLocker-clientcomputers in de FIPS-modus.

  • Herstelwachtwoorden kunnen worden gebruikt in de FIPS-modus

    Wanneer gebruikers in uw organisatie BitLocker-herstel op hun computers met Windows 8.1 moeten uitvoeren, kunnen ze het herstelwachtwoord ophalen via ingestelde kanalen, bijvoorbeeld via de helpdesk of de IT-beheerder, het wachtwoord opgeven in de BitLocker-interface en verdergaan met hun werkzaamheden.

    Ontgrendelen met een herstelwachtwoord is volledig functioneel in de FIPS-modus.

Zie Prepare your organization for BitLocker: Planning and Policies (Engelstalig) voor meer informatie over hoe de FIPS-compatibele BitLocker-herstelwachtwoorden in uw ontwerp passen.

In Windows Server 2012 en Windows 8 biedt BitLocker verbeterde ondersteuning voor de volgende scenario's:

  • BitLocker-inrichting

    BitLocker kan worden gebruikt om stations tijdens de installatie in een versleutelde status te implementeren voordat Setup wordt aangeroepen.

  • Alleen gebruikte schijfruimte versleutelen

    BitLocker biedt nu twee versleutelingsmethoden: Alleen gebruikte schijfruimte versleutelen en Volledige versleuteling voor volumes. Met Alleen gebruikte schijfruimte versleutelen wordt de versleuteling veel sneller uitgevoerd omdat hierbij alleen gebruikte blokken op het doelvolume worden versleuteld.

  • Wijziging in standaardgebruikerspincode en -wachtwoord

    Hiermee kunnen standaardgebruikers de BitLocker-pincode in besturingssysteemvolumes en het BitLocker-wachtwoord op gegevensvolumes wijzigen, waarmee het aantal interne helpdeskverzoeken wordt verminderd.

  • Netwerk ontgrendelen

    Hiermee kan een BitLocker-systeem in een bekabeld netwerk het systeemvolume automatisch ontgrendelen tijdens het opstarten (in netwerken die Windows Server 2012 ondersteunen), waarmee het aantal interne helpdeskverzoeken voor verloren pincodes wordt verminderd.

  • Ondersteuning voor versleutelde harde schijven voor Windows

    Het gebruik van BitLocker-ondersteuning voor versleutelde harde schijven heeft als voordelen dat gebruikers voor het beheren van stationsversleuteling gebruik kunnen maken van een vertrouwde methode en dat op hardware gebaseerde versleuteling wordt gebruikt.

In Windows Vista en Windows 7 kunt u BitLocker voor systeem- en gegevensvolumes na de installatie inrichten via de opdrachtregelinterface manage-bde of via de gebruikersinterface van het Configuratiescherm. In Windows 8 en Windows 8.1 kan BitLocker ook eenvoudig worden ingericht voordat het besturingssysteem wordt geïnstalleerd.

Dankzij deze verbetering kunnen beheerders BitLocker voorafgaand aan de implementatie van het besturingssysteem inschakelen vanuit Windows Preinstallation Environment (WinPE). Hierbij wordt een willekeurig gegenereerde lege beveiliging toegepast op het geformatteerde volume en wordt het volume voorafgaand aan het Windows-installatieproces versleuteld. Als voor de versleuteling de optie Alleen gebruikte schijfruimte versleutelen (zie de volgende sectie voor een beschrijving) wordt gebruikt, duurt deze stap slechts enkele seconden. Deze methode is dus zeer geschikt voor gebruik in standaardimplementatieprocessen.

Beheerders kunnen om de BitLocker-status van een bepaald volume te controleren, de status van het station in het onderdeel BitLocker van het Configuratiescherm of in Windows Verkenner bekijken. Wanneer een station vooraf is ingericht voor BitLocker, wordt de status Wachten op activering met een geel uitroepteken in het onderdeel BitLocker van het Configuratiescherm weergegeven. Deze status betekent dat er alleen een lege beveiliging is gebruikt bij het versleutelen van het volume. In dit geval wordt het volume niet beveiligd en moet een beveiligde sleutel aan het volume worden toegevoegd voordat het station als volledig beveiligd wordt beschouwd. U kunt het Configuratiescherm, het hulpprogramma manage-bde of de WMI-API's gebruiken om de juiste sleutelbeveiliging toe te voegen, waarna de status van het volume wordt bijgewerkt. In de volgende tabel ziet u de juiste sleutelbeveiligingen die kunnen worden toegevoegd aan stations die vooraf zijn ingericht met BitLocker-beveiliging:

Stationstype

Sleutelbeveiliging

Besturingssysteem

TPM

TPM en pincode

Opstartsleutel (voor systemen zonder TPM)

Wachtwoord (voor systemen zonder TPM)

Harde schijf

Automatisch ontgrendelen

Wachtwoord

Smartcard

Verwisselbare schijf

Wachtwoord

Smartcard

In Windows 7 moeten alle gegevens en de vrije ruimte op de schijf worden versleuteld voor BitLocker. Het versleutelingsproces kan lang duren voor grote volumes. In Windows 8 en Windows 8.1 hebben beheerders de keuze het hele volume of alleen de gebruikte ruimte te versleutelen. Wanneer u de optie Alleen gebruikte schijfruimte versleutelen kiest, wordt alleen het gedeelte van het station versleuteld dat gegevens bevat. Vrije schijfruimte wordt niet versleuteld. Met de optie Alleen gebruikte schijfruimte versleutelen wordt het versleutelen veel sneller uitgevoerd voor (gedeeltelijk) lege stations dan met eerdere implementaties van BitLocker. Als Alleen gebruikte schijfruimte versleutelen is ingeschakeld, kan bij het inrichten van BitLocker tijdens Windows-implementaties een station in korte tijd worden vergrendeld voordat het besturingssysteem wordt geïnstalleerd. Met de optie voor volledige versleuteling worden zowel de gegevens als de vrije ruimte op het volume versleuteld (op dezelfde manier als BitLocker in Windows 7 en Windows Vista werkt).

Nieuwe groepsbeleidsinstellingen voor versleutelingstype

U kunt groepsbeleidsinstellingen gebruiken om af te dwingen dat de optie Alleen gebruikte schijfruimte versleutelen of de optie Volledige versleuteling voor volumes wordt gebruikt wanneer BitLocker wordt ingeschakeld voor een station. De groepsbeleidsinstellingen voor BitLocker-stationsversleuteling bevinden zich in het pad \Computerconfiguratie\Beheersjablonen\Windows-onderdelen\BitLocker-stationsversleuteling van de lokale groepsbeleidsobjecteditor.

De volgende nieuwe groepsbeleidsregels zijn beschikbaar:

  • Harde schijven versleuteling van schijven afdwingen op harde schijven

  • Besturingssysteemstations\Type versleuteling van station afdwingen op schijven met besturingssystemen

  • Verwisselbare schijven\Type versleuteling van schijf afdwingen op verwisselbare schijven

Voor elk van deze beleidsregels geldt dat zodra ze zijn ingeschakeld, u kunt opgeven welk type versleuteling voor welk stationstype moet worden gebruikt. Als het beleid niet is geconfigureerd, kunnen gebruikers de versleutelingsmethode kiezen wanneer ze BitLocker inschakelen.

Er zijn beheerdersbevoegdheden vereist om BitLocker te configureren voor besturingssysteemstations. In een organisatie waarin computers worden beheerd door IT-professionals en aan gebruikers normaal gesproken geen beheerdersbevoegdheden worden verleend, kan de implementatie van de optie TPM en pincode op een groot aantal computers lastig zijn. In Windows 8 zijn nog steeds beheerdersbevoegdheden vereist voor de configuratie van BitLocker, maar kunnen gebruikers standaard de BitLocker-pincode of het -wachtwoord voor besturingssysteemvolumes of het Bitlocker-wachtwoord voor vaste volumes wijzigen. Hiermee kunnen gebruikers hun eigen pincodes en wachtwoorden kiezen en hoeven ze niet de willekeurig gegenereerde tekenset te onthouden. Daarnaast kunnen IT-professionals voor alle computerinstallatiekopieën dezelfde begininstelling voor pincodes of wachtwoorden gebruiken. Dit heeft echter ook als resultaat dat gebruikers wachtwoorden en pincodes kiezen die vatbaarder zijn voor pogingen het wachtwoord te raden, voor woordenboekaanvallen en social-engineeringaanvallen waardoor gebruikers alle computers kunnen ontgrendelen waarvoor nog steeds de oorspronkelijke pincode of het oorspronkelijke wachtwoord wordt gebruikt. Aangeraden wordt om gebruik van complexe wachtwoorden en pincodes te vereisen, zodat gebruikers met de nodige zorgvuldigheid wachtwoorden en pincodes instellen.

Standaardgebruikers moeten de huidige pincode of het huidige wachtwoord voor het station invoeren om de pincode of het wachtwoord voor BitLocker te wijzigen. Als een gebruiker een verkeerde pincode of een verkeerd wachtwoord invoert, is de standaardtolerantie voor nieuwe pogingen ingesteld op 5. Zodra de limiet voor nieuwe pogingen is bereikt, kan een standaardgebruiker de pincode of het wachtwoord voor BitLocker niet wijzigen. Het aantal nieuwe pogingen wordt opnieuw ingesteld op nul wanneer de computer opnieuw wordt opgestart of wanneer een beheerder de pincode of het wachtwoord voor BitLocker opnieuw instelt.

U kunt de optie om standaardgebruikers toe te staan pincodes en wachtwoorden te wijzigen uitschakelen met behulp van de groepsbeleidsinstelling Standaardgebruikers niet toestaan PIN-code of wachtwoord te veranderen in de sectie \Computerconfiguratie\Beheersjablonen\Windows-onderdelen\BitLocker-stationsversleuteling\Systeemstations van de lokale groepsbeleidsobjecteditor.

In Windows Server 2012 is de nieuwe BitLocker-beveiligingsoptie Netwerk ontgrendelen toegevoegd voor besturingssysteemvolumes. Met Netwerk ontgrendelen kunnen computers en servers waarvoor BitLocker is ingeschakeld, eenvoudiger worden beheerd in domeinomgevingen. Dit komt doordat besturingssysteemvolumes tijdens het opnieuw opstarten van het systeem automatisch kunnen worden ontgrendeld wanneer de volumes zijn verbonden met een vertrouwd bekabeld bedrijfsnetwerk. Voor deze functie moet voor de clienthardware een DHCP-stuurprogramma in de UEFI-firmware zijn geïmplementeerd.

Voor besturingssysteemvolumes die worden beveiligd met de beveiligingsoptie TPM + pincode moet een pincode worden opgegeven wanneer een computer opnieuw wordt opgestart of uit de sluimerstand wordt gehaald (als de computer bijvoorbeeld is geconfigureerd voor Wake on LAN). De vereiste om een pincode op te geven kan het voor ondernemingen moeilijk maken om softwarepatches te installeren op niet-beheerde computers en servers. Voor computers die zijn geconfigureerd voor gebruik van de sleutelbeveiliging TPM + pincode, biedt Netwerk ontgrendelen een methode waarmee Windows kan worden gestart zonder tussenkomst van de gebruiker. Netwerk ontgrendelen werkt op dezelfde manier als de sleutelbeveiliging TPM + opstartsleutel. In plaats van dat de opstartsleutel moet worden gelezen van een USB-medium, bestaat de sleutel voor Netwerk ontgrendelen uit een sleutel die wordt opgeslagen in TPM en een versleutelde netwerksleutel die naar de server wordt verzonden, die vervolgens wordt ontsleuteld en wordt geretourneerd naar de client in een beveiligde sessie. De netwerksleutel wordt samen met een AES 256-bits sessiesleutel in het systeemstation opgeslagen en versleuteld met de openbare 2048-bits RSA-sleutel van het certificaat van de server voor ontgrendelen. De netwerksleutel wordt ontsleuteld met behulp van een provider op een WDS-server met Windows Server 2012 en versleuteld geretourneerd met de bijbehorende sessiesleutel. In gevallen waarbij de provider voor Netwerk ontgrendelen niet beschikbaar is, wordt het standaardontgrendelingsscherm TPM en pincode weergegeven voor het ontgrendelen van het station. Voor de configuratie op de server om Netwerk ontgrendelen in te schakelen moet een 2048-bits openbaar/persoonlijk RSA-sleutelpaar in de vorm van een X.509-certificaat worden ingericht en moet het certificaat van de openbare sleutel naar de clients worden gedistribueerd. Dit certificaat moet via de console Groepsbeleidbeheer rechtstreeks op de domeincontroller met Windows Server 2012 worden beheerd en geïmplementeerd. Zie BitLocker: Het inschakelen van netwerk ontgrendelen voor meer informatie.

BitLocker biedt volledige versleuteling voor volumes van Windows-besturingssysteemvolumes en -gegevensvolumes met behulp van versleuteling op basis van software. In Windows 8 biedt BitLocker ook ondersteuning voor een nieuw verbeterd opslagapparaattype, de versleutelde harde schijf. Steeds meer nieuwe servers en computers maken gebruik van dit nieuwe type. Versleutelde harde schijven bieden volledige versleuteling voor schijven, wat betekent dat versleuteling plaatsvindt in elk blok van de fysieke schijf. Versleutelingsbewerkingen zijn efficiënter voor versleutelde harde schijven omdat het versleutelingsproces wordt overgenomen door de opslagcontroller op de schijf (ook wel bekend als op hardware gebaseerde versleuteling).

Windows 8 heeft ondersteuning voor versleutelde harde schijven in het besturingssysteem ingebouwd via de volgende mechanismen:

  • Identificatie: in Windows 8 kan worden vastgesteld dat het station van het apparaattype Versleutelde harde schijf is

  • Activering: met Schijfbeheer in Windows 8 worden volumes geactiveerd en gemaakt en waar nodig toegewezen aan bereiken/bandbreedten

  • Configuratie: in Windows 8 worden volumes gemaakt en waar nodig toegewezen aan bereiken/bandbreedten

  • API: Windows 8 biedt API-ondersteuning voor toepassingen om versleutelde harde schijven onafhankelijk van BitLocker-stationsversleuteling te beheren

  • BitLocker: in het onderdeel BitLocker van het Configuratiescherm kunnen gebruikers versleutelde harde schijven op dezelfde manier beheren als schijven met volledige versleuteling voor volumes.

Zie Versleutelde harde schijf voor meer informatie over de systeemvereisten en het gebruik.

Weergeven: