Om je bestanden nog beter te beveiligen, is het verstandig om de gegevens op je harde schijf te versleutelen. BitLocker is een uitstekend programma waarmee je al jouw data op de harde schijf kunt versleutelen. Daarmee zijn jouw bestanden dus nog beter beveiligd. Het voordeel van BitLocker is dat het erg gemakkelijk te gebruiken is. Het programma is op dit moment standaard beschikbaar op apparaten die draaien op Windows 10 of 11 Pro (dus niet Home), Enterprise en Education. In deze blog leg ik je de meerwaarde uit van versleuteling; hoe de versleuteling van de gegevens op jouw harde schijven in z’n werk gaat en hoe je hiermee praktisch aan de slag kunt.
Waarom BitLocker?
Voordat ik je uitleg hoe je met BitLocker aan de slag kunt, vertel ik je graag eerst wat BitLocker precies doet. Op de harde schijf van jouw laptop staat vermoedelijk (privacy)gevoelige informatie die vanzelfsprekend niet op straat mag belanden. Wanneer je jouw laptop verliest of als die gestolen wordt, kan deze informatie helaas in verkeerde handen terechtkomen. Dat wil je natuurlijk met man en macht voorkomen. BitLocker versleutelt de gegevens op de harde schijf van je apparaat, waardoor cybercriminelen wel bij je harde schijf kunnen komen, maar de gegevens niet kunnen lezen. Hiermee wordt het risico geminimaliseerd dat onbevoegden toegang krijgen tot je gegevens.
Versleuteling met BitLocker
Je vraagt je nu misschien wel af: hoe werkt die versleuteling van je bestanden dan eigenlijk? In de basis versleutelt BitLocker alleen de gegevens die op de harde schijf staan, waar je in principe niets van merkt. Je kunt er ook voor kiezen om andere gedeelten van je harde schijf te beschermen. Zo kun je een aparte partitie creëren en de bestanden die je wilt beschermen daarnaartoe verplaatsen. Vervolgens wordt alleen deze partitie versleuteld met Bitlocker. BitLocker maakt standaard gebruik van een 128-bit AES-encryptie. Het is mogelijk om 256-bit AES-encryptie te gebruiken. Theoretisch gezien biedt 256-bit AES-encryptie een betere beveiliging. In feite is het kraken van een 256-bit AES-encryptie nagenoeg onmogelijk. Met de huidige computerkracht duurt het quadriljoen jaar (een getal met 24 nullen) voordat een 256-bit AES-encryptie is gekraakt.
‘‘Met de huidige computerkracht duurt het quadriljoen jaar (een getal met 24 nullen) voordat een 256-bit AES-encryptie is gekraakt.’’
Advanced Encryption Standard (AES)
AES is een encryptiestandaard waarmee elektronische informatie kan worden voorzien van encryptie. Deze standaard is in 2001 ontwikkeld door het National Institute of Standards and Technology (NIST). AES is de opvolger van DES (Data Encryption Standard), een standaard die in 1990 werd gekraakt. AES geldt nu als een snelle en veilige encryptiestandaard, die wereldwijd wordt gebruikt voor het versleutelen van informatie.
Gegevens beschermen
Over het algemeen heeft BitLocker drie verschillende manieren om jouw harde schijf tegen digitale ellende te beveiligen. Allereerst bestaat er de zogeheten User Authentication Mode: hiermee kun je authenticatie vragen voordat je toegang krijgt tot een harde schijf. Zo zul je een wachtwoord of PIN moeten invoeren om bestanden te ontsleutelen.
Wil je je gegevens nog effectiever beschermen? Wanneer je systeem beschikt over een Trusted Platform Module (TPM), kun je jouw systeem nog beter beveiligen met de Transparant Operation Mode. Hiermee controleert BitLocker namelijk of er ongeautoriseerde veranderingen zijn geweest aan je hardware, software of systeeminstellingen. Wanneer deze veranderingen worden geconstateerd, wordt jouw apparaat in een beveiligde modus opgestart. Het is dan niet meer mogelijk om je harde schijf te unlocken door een wachtwoord of PIN in te voeren.
Daarnaast kun je ook kiezen voor de USB Key mode. Wanneer je je harde schijf op deze manier beveiligt, heb je een USB-drive met een specifieke code nodig om toegang tot je gegevens te krijgen.
BitLocker veilig gebruiken
BitLocker is dus fantastisch te gebruiken wanneer je jouw gegevens wilt beschermen tegen cybercriminelen. Dat is anders voor bijvoorbeeld nationale en internationale instanties die als doel hebben om de wereld veilig te houden. Deze organisaties krijgen wel toegang van Microsoft wanneer zij hierom vragen. BitLocker is namelijk geen open source programma, waardoor je niet kunt zien of er backdoortoegangsmogelijkheden zijn. Mocht je dus bij overheidsinstanties onder een vergrootglas liggen, dan is het mogelijk dat zij een backdoor in BitLocker plaatsen, waarmee Microsoft toegang heeft tot jouw harde schijf. Zolang je niets te verbergen hebt, kun je BitLocker echter met een gerust gevoel gebruiken.
BitLocker inschakelen met een TPM-chip
Het inschakelen van BitLocker kan in Windows 10 Pro, Enterprise en Education via de onderstaande stappen.
1. Ga naar het ‘Configuratiescherm’. Hier typ je in het zoekveld de term ‘bitlocker’ in en druk je op Enter. Klik vervolgens op het programma BitLocker-stationsversleuteling.
2. Druk nu op de knop ‘Bitlocker Inschakelen’.
BitLocker voert een controle uit of jouw apparaat geschikt is voor BitLocker. Wanneer je apparaat over een TPM-module beschikt, moet je jouw computer eerst opnieuw opstarten om de TPM-module te kunnen gebruiken. Zorg er dan wel eerst voor dat alle externe schijven zoals USB-sticks uit je computer verwijderd zijn.
Let op dat je herstelsleutel goed bewaart. Als deze herstelsleutel verloren gaat, is er geen optie meer om je bestanden te herstellen op een vergrendeld station. De enige oplossing die dan nog rest, is het opnieuw installeren van het besturingssysteem. Je bent dan uiteraard al je bestanden kwijt.
Tijdens het opstarten kan een melding verschijnen dat er bepaalde veranderingen op je computer zijn aangebracht. Voor het bevestigen van de veranderingen druk je op sneltoets F10. Direct nadat je computer weer is opgestart, krijg je het BitLocker-venster te zien. De TPM-hardware is nu ingeschakeld.
3. Maak de keuze om alleen de gebruikte schijfruimte te versleutelen. Dit heeft de voorkeur en je bent sneller klaar.
4. Bij het laatste scherm wordt gevraagd of er een systeemcontrole uitgevoerd moet worden. Vink het selectievakje ‘BitLocker systeemcontrole uitvoeren’ aan.
BitLocker inschakelen zonder een TPM-chip
Wil je nou BitLocker inschakelen terwijl je geen TPM hebt? Het is mogelijk om BitLocker te gebruiken zonder TPM-chip. Als jouw apparaat lid is van een bedrijfsnetwerk of schoolnetwerk, kun je deze wijziging waarschijnlijk niet zelf uitvoeren en moet je daarvoor hulp van de IT-afdeling inschakelen. Via de onderstaande stappen kun je zonder TPM-chip alsnog BitLocker inschakelen.
Weet je niet of jouw apparaat over TPM beschikt? Druk dan op ‘Bitlocker inschakelen’. Wanneer je geen TPM hebt, krijg je het volgende scherm te zien:
1. Klik op de Windows-toets; voer ‘gpedit.msc’ in en druk vervolgens op ‘Enter’. De ‘Editor voor lokaal groepsbeleid’ wordt nu geopend.
2. Navigeer naar de groepsbeleid-instelling Computerconfiguratie\Beheersjablonen\Windows-onderdelen\Bitlocker-stationsversleuteling\Systeemstations.
3. Dubbelklik op ‘Extra authenticatie vereisen bij opstarten’; zet deze op ‘Ingeschakeld’ en zorg ervoor dat de optie ‘Bitlocker zonder compatibele TPM toestaan (vereist een wachtwoord of een opstartsleutel op een USB-flashstation) staat ingeschakeld.
4. Klik op ‘OK’. De instellingen zijn direct actief. Opnieuw opstarten van je apparaat is dus niet nodig.
Je kunt nu beginnen met het configureren van BitLocker.
Instellingen voor BitLocker
Voor het bekijken en aanpassen van de instellingen druk je op de Windows-toets en zoek je in de zoekbalk op ‘bitlocker’. Druk vervolgens op ‘BitLocker beheren’. Nu worden alle (externe) harde schijven en partities in je beeld getoond. Voor iedere partitie kun je afzonderlijk bepalen of je BitLocker wilt in- of uitschakelen. Wanneer je BitLocker inschakelt, kun je kiezen om een wachtwoord of een smart card te gebruiken. De meest gebruikelijke manier is het beveiligen van de schijf met een wachtwoord. Kies hiervoor een sterk wachtwoord dat je eenvoudig kunt onthouden.
Vervolgens word je ook gevraagd om een herstelsleutel aan te maken waarmee je in geval van nood je laptop kunt ontgrendelen. Deze herstelsleutel is een uniek 48-cijferig numeriek wachtwoord. Het is verstandig om de herstelsleutel op een veilige plek op te slaan. De herstelsleutel kan worden opgeslagen in je Microsoft-account, worden afgedrukt of door jouw organisatie worden beheerd.
BitLocker gebruiken
Wanneer je BitLocker hebt ingeschakeld, kun je kiezen welke harde schijven je wilt versleutelen. Als je een nieuwe laptop hebt, is het verstandig om het deel te versleutelen dat in gebruik is. Op die manier worden alle nieuwe bestanden automatisch versleuteld. Wanneer je een oudere computer hebt, is het beter om de schijf in z’n geheel te versleutelen.
In Windows 10 Pro kun je een versleutelmodus kiezen: nieuw of compatibel. De nieuwe modus kun je het best gebruiken wanneer je een interne schijf of een verwisselbare schijf hebt, die je alleen op een Windows 10-laptop gebruikt. De compatibele modus is vooral handig wanneer je verwisselbare schijven gebruikt voor oudere versies van Windows waarop de nieuwe encryptiemodus niet beschikbaar is.
Ten slotte druk je op ‘Start Versleutelen’ en zullen de aangegeven schijven worden versleuteld. Vanaf dat moment heb je dus ook je wachtwoord of USB-drive nodig om je laptop te ontgrendelen. Het versleutelen van de schijven kan een tijdje duren. Dit is vooral afhankelijk van de hoeveelheid data die je wilt versleutelen. Tijdens dit proces kun je je computer gewoon blijven gebruiken en word je op de hoogte gehouden van de voortgang. Wanneer het encryptieproces is afgerond, zijn je gegevens versleuteld.
Ten slotte...
Alle bestanden die je vanaf dit moment aanmaakt, worden automatisch versleuteld. Iedere keer wanneer je jouw computer opstart, heb je hier je BitLocker-wachtwoord of USB-drive voor nodig. Daarmee is BitLocker een geweldig programma waarmee je jouw gegevens effectief kunt beveiligen. Tegelijk is het natuurlijk wel belangrijk dat je jouw besturingssysteem up to date houdt en gedegen patch management doet. Ben je benieuwd hoe we jou daarbij kunnen helpen? Neem contact met ons op en we kijken samen naar de mogelijkheden.
Trouwens; we hebben enorm handige en praktische cybersecurity tips en tricks voor eindgebruikers. Schrijf je in voor een gratis abonnement, dan houden wij je op de hoogte!
Download ons redpaper
‘Zo’n hack; dat zal mij toch niet gebeuren?’
en geef concreet vorm en inhoud aan cybersecurity in jouw organisatie
