Översikt över BitLocker-diskkryptering

BitLocker kan använda TPM för att verifiera integriteten hos startkomponenter och startkonfigurationer. Det garanterar att BitLocker endast gör den krypterade enheten åtkomlig förutsatt att komponenterna inte har manipulerats och att enheten fortfarande finns på originaldatorn.

BitLocker säkrar integriteten under startprocessen genom att:

• Tillhandahålla en metod som kontrollerar att startfilsintegriteten har bibehållits och hjälper till att kontrollera att det inte skett någon obehörig modifiering av filerna, t.ex. med startsektorvirus eller rootkits.
  
  
• Höja skyddet mot programvaruattacker offline. Ett annat program som kan tänkas starta systemet får inte åtkomst till dekrypteringsnycklarna för operativsystemenheten för Windows.
  
  
• Låsa systemet när det har manipulerats. Om någon av filerna som kontrolleras har manipulerats startar inte systemet. Användaren uppmärksammas på problemet i och med att systemet inte startas som vanligt. Om systemutelåsning inträffar finns det en enkel återställningsfunktion i BitLocker.
  
  

För att kunna använda BitLocker måste datorn uppfylla vissa krav:

• Om BitLocker ska kunna använda systemintegritetskontrollen i TPM, måste datorn ha TPM version 1.2. Om datorn inte har TPM, kräver aktivering av BitLocker att du sparar en startnyckel på en flyttbar enhet t.ex. ett USB-minne.
  
  
• En dator med TPM måste också ha ett TCG-kompatibelt BIOS (Trusted Computing Group). BIOS-programmet etablerar en certifikatkedja som startar före operativsystemet och måste inkludera stöd för SRTM (Static Root of Trust Measurement) enligt TCG. En dator utan TPM kräver inte ett TCG-kompatibelt BIOS.
  
  
• System-BIOS (för datorer med och utan TPM) måste stödja klassen för USB-masslagringsenheter och kunna läsa små filer på ett USB-minne innan operativsystemet har startat. Mer information om USB-masslagring och UFI-kommandospecifikationer finns på USB-webbplatsen (https://go.microsoft.com/fwlink/?LinkId=83120). Sidan kan vara på engelska.
  
  
• Hårddisken måste vara partitionerad med minst två enheter:
  
  
  • Operativsystemenheten (eller startenheten) innehåller operativsystemet och dess supportfiler. Den måste vara formaterad med NTFS-filsystemet.
    
    
  • Systemenheten innehåller de filer som behövs för att läsa in Windows efter att BIOS har förberett systemmaskinvaran. BitLocker är inte aktiverat på den här enheten. BitLocker kräver inte att systemenheten ska vara krypterad men den måste vara skiljd från operativsystemenheten och formaterad med NTFS-filsystemet. Systemenheten måste vara minst 1,5 GB (gigabytes).
    
    

BitLocker installeras automatiskt som en del av operativsystemet. BitLocker kan dock inte användas förrän det aktiverats med hjälp av inställningsguiden för BitLocker, som kan startas från Kontrollpanelen eller genom att högerklicka i Utforskaren i Windows.

Efter att operativsystemet har installerats kan systemadministratören när som helst initiera BitLocker med hjälp av inställningsguiden för BitLocker. Initieringsprocessen innehåller följande två steg:

1. På datorer som har TPM initieras TPM med guiden TPM-initiering, med kontrollpanelsobjektet BitLocker-diskkryptering eller genom att köra ett anpassat skript.
   
   
2. Installera BitLocker. Starta installationsguiden för BitLocker från Kontrollpanelen. Guiden hjälper dig med installationen och innehåller avancerade autentiseringsalternativ.
   
   

När en lokal administratör initierar BitLocker bör han eller hon även skapa ett återställningslösenord eller en återställningsnyckel. Utan en återställningsnyckel eller ett återställningslösenord kan alla data på den krypterade hårddisken bli oåtkomliga om det uppstår något fel med den BitLocker-skyddade enheten.

	OBS
	BitLocker- och TPM-initiering måste utföras av en användare som tillhör den lokala gruppen Administratörer på datorn.

Mer information om konfigurering och distribution av BitLocker finns i steg-för-steg-instruktionerna för Windows BitLocker-diskkryptering (https://go.microsoft.com/fwlink/?LinkID=140225 (sidan kan vara på engelska)).

I en företagsmiljö kan återställningsnycklarna för BitLocker lagras på en server i företagets befintliga AD DS-infrastruktur (Active Directory-domäntjänster). BitLocker innehåller en guide för installation och hantering samt utökning och hanterbarhet genom ett WMI-gränssnitt (Windows Management Instrumentation) med skriptstöd. Med BitLocker följer också en återställningskonsol som är integrerad i startprocessen och kan ge användaren eller kundtjänstpersonalen åtkomst till en låst dator.

Mer information om skript för BitLocker finns på Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983). Sidan kan vara på engelska.

Många persondatorer idag återanvänds av andra än den ursprungliga ägaren. I en företagsmiljö kan datorer återdistribueras till andra avdelningar eller lämnas för återvinning som en del av datoruppgraderingen.

På okrypterade hårddiskar kan data fortsätta att vara läsbara även efter att disken har formaterats. Företag gör ofta flera överskrivningar eller fysiskt förstör diskarna för att minska risken för exponering av data på avställda diskar.

BitLocker kan hjälpa till att skapa en enkel kostnadseffektiv avställningsprocess. Genom att lämna data som har krypterats av BitLocker och sedan ta bort nycklarna kan ett företag permanent minska risken för att data exponeras. Det blir i det närmaste omöjligt att komma åt BitLocker-krypterade data efter att alla BitLocker-nycklar har tagits bort eftersom det innebär att lösa 128-bitars kryptering eller 256-bitars AES-kryptering.

BitLocker kan inte skydda en dator från alla typer av attacker. Om misstänkta användare eller program t.ex. virus eller rootkit har åtkomst till datorn innan den förloras eller stjäls kan de skapa svaga punkter så att de senare kan nå krypterade data. BitLocker-skydd kan manipuleras om USB-startnyckeln lämnas kvar i datorn eller om PIN-koden eller Windows-lösenordet inte hålls skyddat.

Autentiseringsläget Endast TPM-skydd är det enklaste att distribuera, hantera och använda. Det kan också vara det mest lämpliga för obevakade datorer eller datorer som måste startas om i oövervakat läge. Autentiseringsläget som endast bygger på TPM har den lägsta nivån för dataskydd. Om delar av organisationen har mycket känsliga data på bärbara datorer, bör du överväga att distribuera BitLocker med flerfunktionsautentisering på de datorerna.

Mer information om säkerhetsaspekter för BitLocker finns på sidan om datakrypteringsverktyg för bärbara datorer (https://go.microsoft.com/fwlink/?LinkId=85982). Sidan kan vara på engelska.

För servrar i en delad eller potentiellt osäker miljö, exempelvis en företagsfilial, kan BitLocker användas för att kryptera både operativsystemenheten och dataenheterna på samma server.

Som standard installeras inte BitLocker med Windows Server 2008 R2. Lägg till BitLocker från Serverhanteraren i Windows Server 2008 R2. Du måste starta om när BitLocker har installerats på en server. Med WMI kan du aktivera BitLocker från en fjärrdator.

BitLocker kan användas på EFI-servrar (Extensible Firmware Interface) som använder 64-bitars processorarkitektur.

	OBS
	BitLocker stöder inte klusterkonfigurationer.

Efter att enheten krypterats och skyddats med BitLocker, kan den lokala administratören och domänadministratören använda sidan Hantera BitLocker i kontrollpanelsobjektet BitLocker-diskkryptering för att byta lösenordet som låser upp enheten, ta bort lösenordet från enheten, lägga till ett smartkort för att låsa upp enheten, spara eller skriva ut återställningsnyckeln, låsa upp enheten automatiskt, kopiera nycklar och återställa PIN-koden.

	OBS
	Vilka nyckeltyper som kan användas för en viss dator kan styras med hjälp av en grupprincip. Mer information om hur du använder grupprinciper tillsammans med BitLocker finns i distribueringsanvisningarna för BitLocker (https://go.microsoft.com/fwlink/?LinkID=140286 (sidan kan vara på engelska)).

En administratör kan tillfälligt behöva inaktivera BitLocker i vissa situationer, t.ex. för att göra följande:

• Starta om datorn för underhåll utan att någon information från användaren krävs (t.ex. en PIN-kod eller startnyckel).
  
  
• Uppdatera BIOS-programvaran
  
  
• Installera en maskinvarukomponent som har ett extra ROM-minne.
  
  
• Uppgradera viktiga startkomponenter utan att starta återställning med BitLocker. Exempel:
  
  
  • Installera en annan version av operativsystemet eller ytterligare operativsystem, vilket kan ändra MBR (master boot record).
    
    
  • Ompartitionera disken, vilket kan ändra partitionstabellen.
    
    
  • Utföra andra systemåtgärder som påverkar startkomponenter som verifieras av TPM.
    
    
• Uppgradera moderkortet för att ersätta eller ta bort TPM utan att starta återställning med BitLocker.
  
  
• Inaktivera eller rensa TPM utan att starta återställning med BitLocker.
  
  
• Flytta en BitLocker-skyddad enhet till en annan dator utan att starta återställning med BitLocker.
  
  

De här scenarierna kallas datoruppgraderingsscenarier. BitLocker kan aktiveras eller inaktiveras från kontrollpanelobjektet BitLocker-kryptering.

Följande steg krävs för att uppgradera en BitLocker-skyddad dator.

1. Stäng av BitLocker tillfälligt genom att inaktivera det.
   
   
2. Uppgradera systemet eller BIOS.
   
   
3. Aktivera BitLocker igen.
   
   

Om du tvingar BitLocker till inaktiverat läge fortsätter enheten att vara krypterad men enhetens huvudnyckel krypteras med en symmetrisk nyckel som lagras okrypterad på hårddisken. Tillgängligheten för den okrypterade nyckeln inaktiverar det dataskydd som BitLocker ger, men garanterar att efterföljande datorstarter fungerar utan ytterligare användarinformation. När BitLocker åter har aktiverats, tas den okrypterade nyckeln bort från disken och BitLocker-skyddet aktiveras igen. Dessutom krypteras enhetens huvudnyckel igen.

Om du flyttar den krypterade enheten (d.v.s. den fysiska disken) till en annan BitLocker-skyddad dator krävs inga ytterligare steg eftersom nyckeln som skyddar enhetens huvudnyckel lagras okrypterad på disken.

	Varning
	Exponering av enhetens huvudnyckel även under en mycket kort stund innebär en säkerhetsrisk eftersom en angripare kan ha kommit åt huvudnyckeln och hela enhetens krypteringsnyckel när nycklarna exponerades via den okrypterade nyckeln.

Mer information om hur du inaktiverar BitLocker finns i steg-för-steg-instruktionerna för Windows BitLocker-diskkryptering (https://go.microsoft.com/fwlink/?LinkID=140225 (sidan kan vara på engelska)).

Ett antal situationer kan starta en återställningsprocess, t.ex.:

• Om den BitLocker-skyddade enheten ska flyttas till en annan dator.
  
  
• Om ett nytt moderkort med TPM ska installeras.
  
  
• Om TPM-modulen ska stängas av, inaktiveras eller tömmas.
  
  
• Uppdatera BIOS-programvaran
  
  
• Uppdatera ett extra ROM-minne.
  
  
• Vid uppgradering av kritiska tidiga startkomponenter som får verifieringen av systemintegriteten att misslyckas.
  
  
• Om PIN-koden har glömts och PIN-autentiseringen aktiverats.
  
  
• Om USB-minnet med startnyckeln förkommer när autentisering med startnyckel har aktiverats.
  
  

En administratör kan också starta återställning som en åtkomstkontroll (t.ex. under omdistribution av datorer). En administratör kan bestämma att låsa en krypterad disk och kräva att användaren hämtar BitLocker-återställningsinformation för att låsa upp disken.