Overzicht van BitLocker-stationsversleuteling

BitLocker controleert met behulp van de TMP de integriteit van de eerste opstartonderdelen en de opstartconfiguratiegegevens. Op deze manier is de versleutelde schijf alleen toegankelijk als er niet met die onderdelen is geknoeid en de versleutelde schijf zich in de oorspronkelijke computer bevindt.

BitLocker bewaakt de integriteit van het opstartproces door de volgende acties uit te voeren:

• Controleren of de integriteit van het eerste opstartbestand nog intact is en ervoor te zorgen dat die bestanden niet onrechtmatig zijn gewijzigd door bijvoorbeeld virussen in de opstartsector of door rootkits.
  
  
• De beveiliging verbeteren door offlineaanvallen van software te verminderen. Andere software die het systeem kan opstarten, heeft geen toegang tot de ontsleutelingssleutels voor de schijf met het Windows-besturingssysteem.
  
  
• Het systeem vergrendelen waarmee is geknoeid. Als er met een gecontroleerd bestand is geknoeid, start het systeem niet op. Omdat het systeem niet op de gebruikelijke manier opstart, weet de gebruiker dat er met een of meer bestanden is geknoeid. Mocht het hele systeem zijn vergrendeld, dan kan met BitLocker het systeem op eenvoudige wijze worden hersteld.
  
  

Voor het gebruik van BitLocker moet een computer aan bepaalde vereisten voldoen:

• Bij BitLocker kan alleen de systeemintegriteit door een TPM worden gecontroleerd als de computer is voorzien van een TPM versie 1.2. Is er geen TPM in de computer geïnstalleerd, dan moet u bij het inschakelen van BitLocker een opstartsleutel opslaan op een verwisselbaar opslagapparaat, bijvoorbeeld een USB-flashstation.
  
  
• Het BIOS van een computer met een TMP moet TCG-compatibel (Trusted Computing Group) zijn. Het BIOS stelt een certificaatketen in voor de eerste opstart van het systeem (voorafgaand aan het opstarten van het besturingssysteem) en moet ondersteuning bevatten voor Static Root of Trust Measurement, zoals opgegeven door TCG. Op een computer zonder een TPM hoeft het BIOS niet TCG-compatibel te zijn.
  
  
• Het systeem-BIOS (voor computers met of zonder een TPM) moet ondersteuning bieden voor USB-apparaten voor massaopslag, waaronder het lezen van kleine bestanden op een USB-flashstation op een computer waarop het besturingssysteem nog niet is gestart. Zie de onderwerpen USB Mass Storage Bulk-Only en Mass Storage UFI Command Specifications op de USB-website (https://go.microsoft.com/fwlink/?LinkId=83120) voor meer informatie over USB (pagina is mogelijk Engelstalig).
  
  
• De vaste schijf moet met minstens twee partities zijn gepartitioneerd:
  
  
  • Op het station voor het besturingssysteem (of opstartvolume) staan het besturingssysteem en de ondersteunende bestanden. Dit station moet worden geformatteerd met het NTFS-bestandssysteem.
    
    
  • Het systeemstation bevat de bestanden die nodig zijn om Windows te laden nadat de systeemhardware door het BIOS is gereedgemaakt. BitLocker is niet op dit station ingeschakeld. BitLocker werkt alleen als het systeemstation niet is versleuteld, als het verschilt van het station met het besturingssysteem en als het met het NTFS-bestandssysteem is geformatteerd. Het systeemstation moet minimaal 1,5 gigabyte (GB) groot zijn.
    
    

BitLocker wordt automatisch als onderdeel van de installatie van het besturingssysteem geïnstalleerd, maar BitLocker wordt pas ingeschakeld als het is geactiveerd door de wizard voor het instellen van BitLocker. Deze wizard kan worden geopend vanuit het Configuratiescherm of door met de rechtermuisknop op het station in Windows Verkenner te klikken.

Op elk gewenst moment na de installatie en initialisatie van het besturingssysteem kan de systeembeheerder BitLocker via de wizard voor het instellen van BitLocker initialiseren. Het initialisatieproces bestaat uit twee stappen:

1. Op computers met een TPM moet u de TPM met behulp van de wizard voor het initialiseren van een TMP, initialiseren via BitLocker-stationsversleuteling in het Configuratiescherm of door een script uit te voeren dat speciaal is geschreven voor het initialiseren van TPM's.
   
   
2. Stel BitLocker in. Start in het Configuratiescherm de wizard voor het instellen van BitLocker. Deze wizard leidt u door het instelproces en geeft daarbij geavanceerde verificatieopties.
   
   

Wanneer een lokale beheerder BitLocker initialiseert, moet die beheerder ook een herstelwachtwoord of een herstelsleutel maken. Zonder een herstelsleutel of herstelwachtwoord kunnen alle gegevens op het versleutelde station waarschijnlijk niet meer worden benaderd en niet meer worden hersteld als er zich een probleem voordoet met het station dat door BitLocker wordt beveiligd.

	Opmerking
	BitLocker en de TPM-initialisatie moeten worden uitgevoerd door een lid van de lokale groep Administrators op de computer.

Zie de stapsgewijze handleiding voor Windows BitLocker-stationsversleuteling (https://go.microsoft.com/fwlink/?LinkID=140225) voor meer informatie over de configuratie en implementatie van BitLocker (pagina is mogelijk Engelstalig).

BitLocker kan met de bestaande AD DS-infrastructuur (Active Directory Domain Services) van het bedrijf herstelsleutels extern opslaan. BitLocker beschikt over een wizard voor instellen en beheren en functies voor het uitbreiden en beheren via een WMI-interface (Windows Management Instrumentation) met ondersteuning voor het gebruik van scripts. Bovendien is de herstelconsole van BitLocker geïntegreerd in het eerste opstartproces, waardoor de gebruiker of een helpdeskmedewerker weer toegang tot een vergrendelde computer kan krijgen.

Zie Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983) voor meer informatie over het schrijven van scripts voor BitLocker (pagina is mogelijk Engelstalig).

Veel computers die door de eerste eigenaar of gebruiker zijn afgedankt, worden weer door andere gebruikers gebruikt. In het bedrijfsleven kunnen computers op andere afdelingen worden ingezet of door het bedrijf worden overgedragen aan een programma voor het hergebruik van computers.

De gegevens op niet-versleutelde schijven blijven leesbaar, zelfs als de schijf opnieuw is geformatteerd. In bedrijven worden schijven die uit bedrijf worden genomen, vaak eerst meerdere malen overschreven of vernietigd om te voorkomen dat de gegevens in verkeerde handen terechtkomen.

Met BitLocker is een eenvoudige en goedkope oplossing voor het uit bedrijf nemen van computers mogelijk. Door de gegevens die zijn versleuteld met BitLocker, niet te ontsleutelen en de sleutels te verwijderen, wordt het onmogelijk dat deze gegevens door anderen kunnen worden gelezen. Het is vrijwel niet mogelijk gegevens die met BitLocker zijn versleuteld, te lezen als alle BitLocker-sleutels zijn verwijderd, omdat dan eerst een 128-bits of 256-bits AES-versleuteling moet worden gekraakt.

BitLocker kan een computer niet tegen alle mogelijke aanvallen beschermen. Als bijvoorbeeld kwaadwillende gebruikers of programma's, zoals virussen of rootkits, toegang krijgen tot een computer voordat deze zoekraakt of wordt gestolen, kunnen zij wellicht 'een achterdeur' openen waardoor zij later toegang tot de versleutelde gegevens kunnen krijgen. De beveiliging van BitLocker kan in gevaar worden gebracht als het USB-station met de opstartsleutel niet uit de computer is gehaald of als de pincode of het aanmeldingswachtwoord voor Windows bij anderen bekend is.

De verificatiemodus met alleen een TPM is de gemakkelijkste modus om te implementeren, te beheren en te gebruiken. Deze modus is ook het meest geschikt voor computers waarachter geen gebruiker zit, of die zonder toezicht moeten worden opgestart. Het nadeel van de modus met alleen een TMP is dat de gegevensbeveiliging niet optimaal is. Als er binnen uw organisatie medewerkers zijn die gevoelige gegevens op mobiele computers hebben staan, kunt u overwegen op die computers BitLocker met multifactor-verificatie te installeren.

Zie het onderwerp over de gegevensversleutelingstoolkit voor mobiele pc's (https://go.microsoft.com/fwlink/?LinkId=85982) voor meer informatie over beveiligingsmaatregelen met BitLocker (pagina is mogelijk Engelstalig).

Voor servers in een gedeelde of in potentie niet-veilige omgeving, zoals een filiaal, kan BitLocker worden gebruiken voor het versleutelen van het station met het besturingssysteem en andere gegevensstations van dezelfde server.

Standaard wordt BitLocker niet bij Windows Server 2008 R2 geïnstalleerd. Voeg BitLocker vanaf de pagina Serverbeheer van Windows Server 2008 R2 toe. U moet na het installeren van BitLocker de server opnieuw opstarten. Met WMI kunt u BitLocker op afstand inschakelen.

BitLocker wordt ondersteund op EFI-servers (Extensible Firmware Interface) en maakt gebruik van een 64-bits processorarchitectuur.

	Opmerking
	BitLocker biedt geen ondersteuning voor clusterconfiguraties.

Nadat het station is versleuteld en wordt beveiligd door BitLocker, kunnen lokale beheerders en domeinbeheerders via de pagina BitLocker beheren in het onderdeel BitLocker-stationsversleuteling in het Configuratiescherm het wachtwoord voor het ontgrendelen van het station wijzigen, het wachtwoord van de schijf wijzigen, een smartcard voor het ontgrendelen van het station toevoegen, de herstelsleutel opnieuw opslaan en afdrukken, het station automatisch ontgrendelen, sleutels dupliceren en de PIN op de beginwaarden instellen.

	Opmerking
	De typen sleutels die op een computer kunnen worden gebruikt, kunnen worden beheerd met behulp van Groepsbeleid. Zie de implementatiegids van BitLocker (https://go.microsoft.com/fwlink/?LinkID=140286) voor meer informatie over het gebruik van Groepsbeleid bij BitLocker (pagina is mogelijk Engelstalig).

Een beheerder kan in bepaalde scenario's BitLocker tijdelijk uitschakelen, zoals bij het:

• Opnieuw opstarten van de computer voor onderhoud zonder gebruikersinvoer, bijvoorbeeld een pincode of een opstartsleutel.
  
  
• Bijwerken van het BIOS.
  
  
• Installeren van een hardwareonderdeel met een optioneel alleen-lezen geheugen (optie-ROM).
  
  
• Bijwerken van de kritieke eerste opstartonderdelen zonder het BitLocker-herstel te starten. Bijvoorbeeld:
  
  
  • Installeren van een andere versie van het besturingssysteem of een ander besturingssysteem, waardoor de MBR (hoofdopstartrecord) kan worden gewijzigd.
    
    
  • Opnieuw partitioneren van de schijf, waardoor de partitietabel kan worden gewijzigd.
    
    
  • Uitvoeren van andere systeemtaken waardoor de opstartonderdelen die door de TPM worden gevalideerd, worden gewijzigd.
    
    
• Upgraden van de systeemkaart om de TPM te vervangen of te verwijderen zonder BitLocker-herstel te starten.
  
  
• Uitzetten (uitschakelen) of wissen van de TPM zonder BitLocker-herstel te starten.
  
  
• Verplaatsen van een schijf die door BitLocker wordt beveiligd, naar een andere computer zonder BitLocker-herstel te starten.
  
  

Deze scenario's worden het 'upgradescenario voor computers' genoemd. BitLocker kan worden in- of uitgeschakeld via het onderdeel BitLocker-stationsvergrendeling in het Configuratiescherm.

De volgende stappen zijn nodig om een computer die door BitLocker wordt beveiligd, bij te werken.

1. BitLocker tijdelijk uitschakelen door het in de uitgeschakelde modus te plaatsen.
   
   
2. Het systeem of het BIOS bijwerken.
   
   
3. BitLocker weer inschakelen.
   
   

Als BitLocker in de uitgeschakelde modus wordt geplaatst, blijft het station versleuteld, maar wordt de hoofdsleutel van het station versleuteld met een symmetrische sleutel die niet-versleuteld op de vaste schijf is opgeslagen. De beschikbaarheid van deze niet-versleutelde sleutel schakelt de gegevensbeveiliging van BitLocker uit, maar zorgt er wel voor dat wanneer de computer vervolgens weer wordt opgestart, er voor het opstarten geen gebruiker aanwezig hoeft te zijn. Wanneer BitLocker opnieuw wordt ingeschakeld, wordt deze niet-versleutelde sleutel van de schijf verwijderd en wordt de beveiliging van BitLocker weer geactiveerd. Daarnaast wordt de hoofdsleutel van het station ingevoerd en opnieuw versleuteld.

Voor het verplaatsen van het versleutelde station (de fysieke schijf) naar een andere computer met BitLocker hoeven geen extra stappen te worden uitgevoerd, omdat de sleutel die de hoofdsleutel van het station beveiligt, niet-versleuteld op de schijf is opgeslagen.

	Waarschuwing
	Het zelfs maar heel kort weergeven van de hoofdsleutel van het station vormt een risico voor de beveiliging, omdat een aanvaller dan de mogelijkheid heeft om de hoofdsleutel van het station en de versleutelingssleutel voor het hele station te bemachtigen wanneer deze sleutels door de lege sleutel worden weergegeven.

Zie de stapsgewijze handleiding voor Windows BitLocker-stationsvergrendeling (https://go.microsoft.com/fwlink/?LinkID=140225) voor meer informatie over het uitschakelen van BitLocker (pagina is mogelijk Engelstalig).

Een herstelproces kan door een aantal scenario's worden geactiveerd, zoals:

• Verplaatsen van een met BitLocker beveiligd station naar een nieuwe computer.
  
  
• Installeren van een nieuwe systeemkaart met een nieuwe TPM.
  
  
• Uitzetten, uitschakelen of wissen van de TPM.
  
  
• Bijwerken van het BIOS.
  
  
• Bijwerken van het optie-ROM.
  
  
• Uitvoeren van een upgrade voor essentiële eerste opstartonderdelen die er de oorzaak van zijn dat de systeemintegriteit niet kan worden gevalideerd.
  
  
• Vergeten van de pincode in gevallen waarin pincodeverificatie is ingeschakeld.
  
  
• Zoekraken van het USB-flashstation met de opstartsleutel in gevallen waarin verificatie via een opstartsleutel is ingeschakeld.
  
  

Een beheerder kan het herstel ook als een toegangscontrolemechanisme starten, bijvoorbeeld tijdens het opnieuw implementeren van een computer. Bovendien kan een beheerder een versleuteld station vergrendelen en eisen dat de gebruikers BitLocker-herstelgegevens moeten ophalen om het station te ontgrendelen.