Overzicht van BitLocker
Van toepassing op: Windows Server 2012, Windows 8
Dit onderwerp bevat een overzicht van BitLocker, waaronder een lijst met nieuwe en gewijzigde functies, systeemvereisten, praktische toepassingen en afgeschafte functies. Dit onderwerp bevat ook koppelingen naar aanvullende inhoud met meer informatie over het werken met BitLocker.
Bedoelde u…
Functiebeschrijving
BitLocker-stationsversleuteling is een gegevensbeveiligingsfunctie van het besturingssysteem die voor het eerst is geïntroduceerd in Windows Vista. In volgende besturingssysteemversies is de beveiliging die wordt geboden met BitLocker steeds verder verbeterd en uitgebreid voor meer stations en apparaten. Doordat BitLocker is geïntegreerd met het besturingssysteem, wordt de kans op diefstal of blootstelling van gegevens of ongewenst buiten gebruik gestelde computers verkleind. Manage-bde is het opdrachtregelprogramma dat ook kan worden gebruikt voor het uitvoeren van taken op de computer met betrekking tot BitLocker. Wanneer u het optionele BitLocker-onderdeel installeert op een server, moet u ook de functie Uitgebreide opslag installeren. Deze wordt gebruikt ter ondersteuning van versleutelde harde schijven. Op servers kan een extra BitLocker-functie worden geïnstalleerd: Met BitLocker-versleutelde computers via het netwerk ontgrendelen. Computers met Windows RT, Windows RT 8.1, of Windows 8.1 kunnen worden beveiligd met behulp van Apparaatversleuteling, een aangepaste versie van BitLocker.
BitLocker biedt de beste beveiliging in combinatie met TPM (Trusted Platform Module) versie 1.2 of hoger. TPM is een hardwareonderdeel dat door computerfabrikanten in veel nieuwe computers wordt geïnstalleerd. Dit onderdeel wordt samen met BitLocker gebruikt om gebruikersgegevens te beveiligen en te controleren of er niet met een computer is geknoeid terwijl het systeem offline was.
Op computers zonder TPM versie 1.2 of hoger kunt u BitLocker gebruiken om het station van het Windows-besturingssysteem te versleutelen. Voor deze implementatie is echter vereist dat de gebruiker een USB-opstartsleutel invoegt om de computer op te starten of uit de sluimerstand te halen. In Windows 8 is het gebruik van een wachtwoord is een andere optie voor het beveiligen van het besturingssysteemvolume op een computer zonder TPM. Bij deze twee opties wordt echter geen integriteitscontrole voor het opstarten van het systeem uitgevoerd, en bij BitLocker met TPM wel.
Naast TPM biedt BitLocker de mogelijkheid om de normale opstartprocedure te vergrendelen totdat de gebruiker een pincode (persoonlijk identificatienummer) invoert of een verwisselbaar opslagapparaat, zoals een USB-flashstation, met een opstartsleutel invoegt. Deze extra beveiligingsmaatregelen bieden meervoudige authenticatiemogelijkheden en zekerheid dat de computer alleen kan worden gestart of uit de sluimerstand kan worden gehaald met de juiste pincode of opstartsleutel.
Praktische toepassingen
Gegevens op een verloren of gestolen computer zijn kwetsbaar voor onbevoegde toegang, door er een softwareaanvalsprogramma op uit te voeren of door de harde schijf van de computer over te zetten naar een ander computer. BitLocker helpt u het risico op onbevoegde toegang tot gegevens te verkleinen door de bestands- en systeembeveiliging uit te breiden. BitLocker helpt ook bij het ontoegankelijk maken van gegevens als met BitLocker beveiligde computers buiten gebruik worden gesteld of worden gerecycled.
Remote Server Administration Tools bevat twee extra hulpprogramma's voor het beheer van BitLocker.
BitLocker-herstelwachtwoord-viewer. De BitLocker-herstelwachtwoord-viewer helpt u bij het vinden en weergeven van herstelwachtwoorden voor BitLocker-stationsversleuteling waarvan een back-up is gemaakt in Active Directory Domain Services (AD DS). U kunt dit hulpprogramma gebruiken voor het herstellen van gegevens die zijn opgeslagen op een station dat is versleuteld met BitLocker. Het hulpprogramma BitLocker-herstelwachtwoord-viewer is een extensie voor de MMC-module (Microsoft Management Console) Active Directory: gebruikers en computers.
Met dit hulpprogramma kunt u het dialoogvenster Eigenschappen van een computerobject onderzoeken om de bijbehorende BitLocker-herstelwachtwoorden weer te geven. Bovendien kunt u met de rechtermuisknop op een domeincontainer klikken en zoeken naar een BitLocker-herstelwachtwoord in alle domeinen in het Active Directory-forest. Als u herstelwachtwoorden wilt weergeven, moet u een domeinbeheerder zijn of moet een domeinbeheerder machtigingen aan u hebben overgedragen.
Hulpprogramma's voor BitLocker-stationsversleuteling. De hulpprogramma's voor BitLocker-stationsversleuteling omvatten de opdrachtregelprogramma's manage-bde en repair-bde en de BitLocker-cmdlets voor Windows PowerShell. Met manage-bde en de BitLocker-cmdlets kunt u alle taken uitvoeren die u ook via het onderdeel BitLocker van het Configuratiescherm kunt uitvoeren. Ze zijn ook geschikt voor gebruik in automatische implementaties en scripts. Repair-bde kan worden gebruikt voor noodherstelgevallen waarbij een met BitLocker beveiligd station niet normaal kan worden ontgrendeld, en ook niet met de herstelconsole.
Nieuwe en gewijzigde functionaliteit
De volgende tabel bevat de nieuwe en gewijzigde functionaliteit voor BitLocker in Windows 8 en Windows Server 2012. Bekijk Wat is er nieuw in BitLocker.
Onderdeel/functionaliteit |
Windows 7 |
Windows 8 en Windows Server 2012 |
|---|---|---|
Pincode of wachtwoord voor BitLocker opnieuw instellen |
U hebt administratorbevoegdheden nodig om de pincode voor BitLocker op een systeemstation en het wachtwoord op een harde of verwisselbare schijf opnieuw in te stellen. |
Standaardgebruikers kunnen de pincode en het wachtwoord voor BitLocker opnieuw instellen voor systeemstations, harde schijven en verwisselbare schijven. |
Schijfversleuteling |
Wanneer BitLocker wordt ingeschakeld, wordt de hele schijf versleuteld. |
Bij het inschakelen van BitLocker kunt u kiezen of de hele schijf moet worden versleuteld of alleen de gebruikte ruimte op de schijf. De schijf wordt versleuteld al naargelang het gebruik van schijfruimte. |
Ondersteuning voor versleutelde harde schijven |
Niet ondersteund door BitLocker. |
BitLocker biedt ondersteuning voor harde schijven met het Windows-logo die vooraf zijn versleuteld door de fabrikant. |
Ontgrendeling met een netwerksleutel voor tweeledige authenticatie |
Niet beschikbaar. Voor tweeledige authenticatie was altijd fysieke aanwezigheid op de computer vereist. |
Dankzij een nieuw type sleutelbeveiliging kunt u nu een speciale netwerksleutel gebruiken om computers te ontgrendelen en de prompt voor het invoeren van de pincode over te slaan als computers in vertrouwde bekabelde netwerken opnieuw moeten worden opgestart. Zo kunt u buiten kantoortijd extern onderhoud plegen op computers die zijn beveiligd met een pincode en hebt u toch tweeledige authenticatie zonder fysiek aanwezig te hoeven zijn op de computer. Bovendien zorgt dit ervoor dat gebruikersauthenticatie is vereist wanneer de computer niet is verbonden met het vertrouwde netwerk. |
Beveiliging voor clusters |
Niet beschikbaar. |
Windows Server 2012 bevat BitLocker-ondersteuning voor gedeelde clustervolumes en failoverclusters die worden uitgevoerd in een domein van een Windows Server 2012-domeincontroller waarop de Kerberos Key Distribution Center-service is ingeschakeld. |
Een BitLocker-sleutelbeveiliging koppelen aan een Active Directory-account |
Niet beschikbaar. |
Hiermee kan een BitLocker-sleutelbeveiliging worden gekoppeld aan een gebruiker, groep of computeraccount in Active Directory. Die sleutelbeveiliging kan worden gebruikt voor het ontgrendelen van gegevensvolumes die met BitLocker zijn beveiligd wanneer een gebruiker is aangemeld met de juiste referenties of is aangemeld op een computer met de juiste referenties. |
Verwijderde of afgeschafte functionaliteit
De optie Diffuser kan niet meer worden toegevoegd aan het versleutelingsalgoritme Advanced Encryption Standard (AES).
De groepsbeleidsinstelling TPM-validatieprofiel configureren is afgeschaft in Windows 8 en Windows Server 2012. Deze is vervangen door specifieke systeembeleidsregels voor BIOS- en UEFI-computers.
De optie –tpm wordt niet meer ondersteund in manage-bde.
Systeemvereisten
Voor BitLocker gelden de volgende hardwarevereisten:
Om in BitLocker de systeemintegriteitscontrole van een Trusted Platform Module (TPM) te kunnen gebruiken, is TPM 1.2 of TPM 2.0 op de computer vereist. Als u BitLocker inschakelt op een computer zonder TPM, moet u een opstartsleutel opslaan op een verwisselbaar apparaat, zoals een USB-flashstation.
Op een computer met TPM is ook TCG-compatibele (Trusted Computing Group) BIOS- of UEFI-firmware vereist. In de BIOS- of UEFI-firmware wordt een vertrouwensketen vastgelegd voor het opstarten van het pre-besturingssysteem, waarin ondersteuning voor de door TCG opgegeven Static Root of Trust Measurement moet zijn opgenomen. Op een computer zonder TPM is geen TCG-compatibele firmware vereist.
De USB-massaopslagapparaatklasse, waaronder het lezen van kleine bestanden op een USB-flashstation in de pre-besturingssysteemomgeving, moet worden ondersteund door de BIOS- of UEFI-firmware (voor computers met en zonder TPM). Zie de specificaties voor USB Mass Storage Bulk-Only en Mass Storage UFI Command op de USB-website voor meer informatie over USB.
De harde schijf moet worden gepartitioneerd met ten minste twee schijven:
Het besturingssysteemstation (het opstartstation) bevat het besturingssysteem en alle bijbehorende ondersteuningsbestanden. Het moet zijn geformatteerd met het NTFS-bestandssysteem.
Het systeemstation bevat de bestanden die nodig zijn om Windows te laden nadat de systeemhardware is voorbereid door de firmware. BitLocker is niet ingeschakeld op dit station. BitLocker werkt alleen als het systeemstation niet is versleuteld, een ander station is dan het besturingssysteemstation en is geformatteerd met het FAT32-bestandssysteem op computers die gebruikmaken van UEFI-firmware of met het NTFS-bestandssysteem op computers die gebruikmaken van BIOS-firmware. De aanbevolen grootte voor het systeemstation is ongeveer 350 MB. Nadat BitLocker is ingeschakeld, is op dit station ongeveer 250 MB vrije ruimte vereist.
Wanneer BitLocker wordt geïnstalleerd op een nieuwe computer, worden de benodigde partities voor BitLocker in Windows automatisch gemaakt.
In deze bibliotheek
What's New in BitLocker for Windows 8 and Windows Server 2012 [omgeleid] (Engelstalig)
BitLocker: Gebruik van BitLocker-station versleuteling hulpmiddelen voor het beheren van BitLocker
BitLocker: Viewer voor wachtwoorden voor BitLocker-herstel gebruiken
Beschermen gedeelde volumes en storage area networks met BitLocker