Hvad er BitLocker: En komplet guide til kryptering i Windows

Informatic Digital » Windows » Hvad er BitLocker: En komplet guide til kryptering i Windows

Hvis du arbejder med følsomme data på en bærbar eller stationær computer, er kryptering ikke længere valgfri: det er en nødvendighed. BitLocker er Microsofts native løsning til kryptering af diske og beskyttelse af information. mod tab, tyveri eller fjernelse af udstyr. Den er mere end blot en lås; den forbinder til systemets opstart og hardware for at forhindre uautoriseret adgang, selv når nogen forsøger at læse disken på en anden computer.

I de senere år er der sket en stigning i brugen af ​​telearbejde, mobilitet og eksterne enheder. Dette øger risikoen for dataeksponering, hvis en terminal mistes eller bliver stjålet.BitLocker reagerer ved at kryptere fulde volumener med AES og integrere med TPM-chippen, virksomhedspolitikker, Active Directory og Microsofts cloudtjenester for at beskytte gendannelsesnøgler og centralt håndhæve kontroller.

Hvad er BitLocker, og hvilke problemer løser det?

BitLocker er en teknologi fra Fuld diskkryptering (FDE) indbygget i Windows der beskytter data i hvile. Når den er aktiveret, gemmes hele indholdet af et drev (system eller data) krypteret; uden nøglen eller en gyldig beskytter forbliver filer ulæselige. Den blev designet til at afbøde trusler såsom tyveri af udstyr, diskudtrækning eller offlineangreb der forsøger at læse lageret direkte.

Det fungerer med algoritmer 128-bit eller 256-bit AES og moderne driftstilstande såsom XTS-AES (anbefalet af Microsoft i nuværende udgivelser) og, for kompatibilitet, AES-CBC i visse ældre scenarier. Volumen-mastertasten (VMK) er beskyttet med "beskyttere" såsom TPM, PIN, adgangskoder eller opstartsnøgler på USB og frigives kun, hvis opstartsmiljøet består integritetskontroller.

For at opnå maksimal beskyttelse er BitLocker afhængig af TPM Trusted Platform ModuleDenne chip validerer, at bootkæden (UEFI/BIOS, manager, kritiske filer) ikke er blevet ændret. Hvis noget ændrer sig (f.eks. en modificeret firmware), kan computeren anmode om gendannelsesnøgle før opstart tillades. Kryptering er også mulig uden TPM, men integritetskontrol før opstart ofres, og en opstartsnøgle på USB eller en adgangskode (sidstnævnte anbefales ikke, da det er sårbart over for brute force, hvis der ikke er nogen lås).

Det er vigtigt at skelne BitLocker fra funktionen enhedskryptering findes i visse hardwarekonfigurationer. Mens standard BitLocker tilbyder avancerede kontroller og muligheder, søger enhedskryptering aktivere beskyttelsen automatisk på kompatible computere (HSTI/Modern Standby, uden tilgængelige eksterne DMA-porte), centreret på systemdrevet og fast, uden at administrere eksterne USB-enheder.

I praksis, med BitLocker korrekt konfigureret, En stjålet bærbar computer bliver til en værdiløs skalTyven vil kunne formatere den, men ikke læse dine data. Dette sikkerhedsgennembrud er nøglen til at overholde reglerne (GDPR, HIPAA osv.) og undgå lækager, bøder og tab af tillid.

Krav, udgaver og forskelle med "enhedskryptering"

For at BitLocker kan yde sit bedste, er både hardware og firmware vigtige. TPM 1.2 eller højere (ideelt set TPM 2.0) er udgangspunktetPå computere med TPM 2.0 understøttes Legacy-tilstand (CSM) ikke; den skal startes i UEFI, og Sikker opstart skal være aktiveret for at styrke tillidskæden.

UEFI/BIOS-firmwaren skal være opfylder specifikationerne fra Trusted Computing Group (TCG) og være i stand til at læse USB-drev i preboot (masselagringsklasse) for boot-nøglescenarier. Drevet skal også have en separat systempartition OS-diskenhed: ukrypteret, ~350 MB anbefales (FAT32 i UEFI, NTFS i BIOS), hvilket giver ledig plads efter aktivering af BitLocker. OS-drevet vil være NTFS.

Hvad angår udgaver, BitLocker understøttes på Windows Pro, Enterprise, Pro Education/SE og Education (Windows 10/11); også i Windows 7 Enterprise/Ultimate og i Windows Server (2016/2019/2022, blandt andet). Tilgængelighed og rettigheder afhænger af licensen: Windows Pro/Pro Education/SE, Enterprise E3/E5 og Education A3/A5 udstede de tilsvarende tilladelser.

On enhedskryptering: findes på enheder, der består HSTI/Modern Standby-valideringer og ikke eksponerer eksterne DMA-porte. Den initialiseres efter OOBE med en Ryd tast i suspenderet tilstand indtil TPM-beskytteren er oprettet, og gendannelsesnøglen er sikkerhedskopieret. Hvis computeren er tilsluttet Microsoft-logon-ID (tidligere Azure AD) eller til et AD DS-domæne, sikkerhedskopieringen foretages automatisk, og derefter fjernes den slettede nøgle. På personlige computere skal du logge ind med en Microsoft-konto med administratorrettigheder udløser sikkerhedskopiering af nøglen i kontoen og aktivering af TPM-beskytteren. Enheder med kun lokale konti De kan teknisk set krypteres, men uden tilstrækkelig beskyttelse og administration.

Er din hardware egnet til enhedskryptering? msinfo32.exe (Systemoplysninger) angiver dette med feltet "Understøttelse af enhedskryptering". Hvis det ikke oprindeligt var berettiget, kan ændringer som f.eks. aktivering Sikker start kan aktivere det og få BitLocker til at blive aktiveret automatisk.

I miljøer, hvor automatisk enhedskryptering ikke er et problem, kan det forhindres med registreringsdatabasen:

Denne tast forhindrer aktivering uden indgriben for at give plads til en IT-styret implementering.

Og flytbare drevWindows inkluderer BitLocker To Go, som krypterer USB-drev og eksterne drev. Administrationskompatibilitet kan variere afhængigt af konsollen (for eksempel kan visse sikkerhedsløsninger begrænse eller ikke håndtere dette scenarie), men på Windows-niveau findes funktionen og bruges i vid udstrækning i organisationer.

Aktivering, administration, gendannelse og praktisk sikkerhed

Grundlæggende aktivering sker direkte fra Windows: Kontrolpanel > System og sikkerhed > BitLocker-drevkryptering eller ved at søge efter "Administrer BitLocker" i Start. På computere, der understøtter "enhedskryptering" (inklusive Home-udgaven), vil du se det samme afsnit i Indstillinger. Log ind med en administratorkonto og følg guiden for at vælge beskyttere og gemme gendannelsesnøglen.

Almindelige trin ved aktivering af BitLocker på systemdrevet: vælg beskytter (kun TPM, TPM+PIN anbefales, adgangskode eller opstartsnøgle), bestem krypteringens omfang (kun brugt plads til nyt udstyr eller komplet enhed hvis den allerede indeholder data), og vælg krypteringstilstanden (ny for faste drev eller kompatibel, hvis du flytter drevet mellem computere). Mens du krypterer, kan du samarbejde med teamet; processen kører i baggrunden.

Hvis du foretrækker kommandolinjestyring, administreres BitLocker med administrere-bde (privilegeret kommandoprompt):
manage-bde -on C: -rp -rk E:\ genererer og gemmer en gendannelsesnøgle til E:. Du kan tilføje en adgangskode/PIN-kode med manage-bde -protectors -add C: -pw o -TPMAndPIN, og tjek status med manage-bde -statusSådan deaktiverer og dekrypterer du: manage-bde -off C:. Husk at opbevare dine nøgler på sikre steder. og ikke krypteret.

Virksomhedsscenarier kræver livscyklusstyring: GPO at kræve beskyttere og kryptering, Active Directory/Indtast ID at beskytte nøgler, og endda MDM (såsom Microsoft Intune) til at anvende politikker på bærbare computere uden for netværket. Kopiering af nøgler til AD/ID gør det nemt at hente og revidere krypteringsstatus pr. enhed.

Nogle sikkerhedspakker tilføjer et administrationslag oven på BitLocker. For eksempel med visse virksomhedsløsninger, Masternøgler kan sendes til konsollen til gendannelse. Hvis en bruger tidligere har krypteret drevet selv, er den nøgle muligvis ikke på administrationsplatformen. I så fald er anbefalingen normalt at dekryptere og genkryptere ved hjælp af konsolpolitikken.og deaktiver dubletter af BitLocker-politikker i GPO'er for at undgå konflikter under kryptering.

Et almindeligt spørgsmål: "I dag bad mit team om gendannelsesnøgle Pludselig er jeg blevet kompromitteret? Normalt nej. Firmware-/UEFI-opdateringer, ændringer af sikker opstart, hardwaremodifikationer eller bestemte drivere De kan ændre TPM-målinger og gennemtvinge udfordringen. Indtast nøglen, log ind, og hvis hændelsen matcher en nylig ændring, er der ingen tegn på en indtrængen. Hvis du ikke kan huske, hvor du gemte den, skal du tjekke din Microsoft-konto/ID/AD DS eller eventuelle udskrifter/.txt/.bek-filer, du måtte have genereret.

Med hensyn til sikkerhed er BitLocker robust, hvis den er konfigureret korrekt. Vigtige gode praksisser:

• Brug TPM + PIN-kode i starten for at hærde possession factor (TPM) med viden (PIN).
• gøre det muligt for Sikker Boot for at forhindre ondsindede bootloadere.
• Beskyt og revider opbevaring af gendannelsesnøgler (AD/Indtast ID og begrænset adgang).
• Konfigurer sessionslås og sikker dvaletilstand for at minimere muligheder.

Intet system er ufejlbarligt, og det er vigtigt at kende de teoretiske/praktiske vektorer: boot-angreb i miljøer uden sikker opstart, koldstart (fjernelse/læsning af RAM umiddelbart efter nedlukning), eller det klassiske "sticky note"-problem med gendannelsesnøglen. Med operationel disciplin og firmwarekontroller, minimeres disse risici.

BitLocker har også brugsovervejelser: Ikke alle udgaver af Windows inkluderer det (for eksempel kræver 10 Home alternativer eller enhedskryptering, hvis det understøttes), og på computere uden TPM skal du stole på Bootbar USB eller adgangskoder (mere skrøbelig). Væsentlige hardwareændringer eller visse opgraderinger kan kræve yderligere oplåsningstrin. Ydeevnen er dog optimeret og effekten er typisk lav på moderne hardware.

For flytbare drev, BitLocker To Go Beskytter USB-drev og eksterne drev, ideelt til data på farten. Afhængigt af de tredjepartsværktøjer, der er implementeret i din organisation, Administrationen af ​​disse medier kan være begrænsetgennemgå IT-politikken, før brugen af ​​den standardiseres.

Partitionerings- og forberedelseskrav bør ikke overses i ældre implementeringer. Systemdrevet (bootdrevet) skal forblive ukrypteret og adskilt fra operativsystemdrevet. I moderne Windows-installationer oprettes dette layout automatisk, men i ældre scenarier kan du bruge "BitLocker Drive Preparation Tool" eller diskpart at ændre størrelsen og oprette den passende partition. Kun når volumen er fuldt krypteret og har aktive beskyttere, betragtes den som sikker.

Om operativsystemkompatibilitet: Windows 11/10 Pro, Enterprise og Education understøtter BitLocker; Windows 8.1 Pro/Enterprise også, og i Windows 7 Du finder den i Enterprise/Ultimate. I serververdenen er den til stede fra Windows Server 2008 og senere versionerHvis du kigger på kryptering på tværs af platforme (Linux/Windows) eller strengt revideret gratis software, er alternativer som f.eks. VeraCrypt kan være bedre egnet i nogle tilfælde.

Hvis du administrerer flåder, omfatter en komplet strategi:

• GPO For at gennemtvinge kryptering ved domænetilslutning skal du vælge en algoritme (f.eks. XTS-AES 256) og kræve TPM+PIN-kode.
• AD DS/ID-login som et lager for gendannelsesnøgler og til rapportering af overholdelse af regler.
• MDM (f.eks. Intune) til computere, der sjældent opretter forbindelse til virksomhedens VPN.
• Integration med sikkerhedsværktøjer der giver dig mulighed for at låse, opgøre og reagere på tab/tyveri, ved at kombinere BitLocker (beskytter data) med placerings- eller fjernlåsefunktioner (beskytter enheden).

En nyttig omtale: BitLocker implementerer ikke Single Sign-On Før opstart. Efter at have gennemført forhåndsgodkendelsen (TPM/PIN/nøgle), logger brugeren normalt ind i Windows. Dette er i overensstemmelse med målet om Beskyt miljøet før du læsser systemet.

Vigtige spørgsmål, almindelige fejl og cases fra det virkelige liv

Hvornår skal du bruge BitLocker? Når computeren gemmer oplysninger, som du ikke ønsker at afsløreFra personoplysninger (ID, løn, økonomiske optegnelser) til klientdokumentation, planer, kontrakter eller intellektuel ejendom. For professionelle, der rejser eller arbejder på caféer, coworking-områder og lufthavne, er det en livredder i tilfælde af tyveri.

Er det kompliceret for slutbrugerne? Ikke specieltBrugerfladen guider dig gennem valget af beskyttere og nøglebackup. Det kritiske punkt er opbevaring af gendannelsesnøglenHvis din enhed er knyttet til et ID eller domæne, er den sandsynligvis allerede sikkerhedskopieret. Hvis det er en personlig computer, kan du gemme den på din Microsoft-konto og, hvis du vil, udskrive en kopi. Undgå at gemme den på selve den krypterede computer.

Hvorfor bliver den nogle gange bedt om adgangskoden, efter den er tændt? Dette falder normalt sammen med Firmware-/opstartsændringer, aktivering af sikker opstart, TPM-opdateringer eller hardwareudskiftningBitLocker registrerer en afvigelse og går i gendannelsestilstand. Indtast nøglen, og hvis alt er i orden, vil den ikke bede om den igen, medmindre der er nye ændringer.

Påvirker BitLocker ydeevnen? På nuværende computere er effekten meget tilfreds, især hvis hardwaren understøtter AES-acceleration (processorspecifikke instruktioner). Vælg AES 128 kan give et præstationsløft; AES 256 giver yderligere kryptomargin i regulerede miljøer.

Hvad sker der uden TPM? Du kan konfigurere adgangskode eller bootnøgle på USB, men du vil miste validering af integritet før opstart. En adgangskode uden en låsepolitik er også mere sårbar overfor brute force angrebHvis det er muligt, så sats på TPM 2.0 + UEFI + Sikker opstart.

Hvad hvis jeg vil kryptere en USB-nøgle for at transportere data? BitLocker To GoHusk at koordinere med IT, hvis din virksomhed bruger sikkerhedsplatforme, der håndhæver specifikke politikker på flytbare medier (f.eks. kræver en adgangskode af en vis kompleksitet eller nægter brugen af ​​ikke-godkendte drev).

En juridisk og overholdelsesvenlig bemærkning: med krypterede enheder, Et tyveri kan være en hardwarehændelse og ikke et anmeldepligtigt databrud, afhængigt af de lovgivningsmæssige rammer og risikoanalysen. Det vil sige, at kryptering er et mål for afgørende afbødning for GDPR og andre regler, selvom det ikke erstatter sikkerhedskopier, adgangskontrol, hændelseslogning eller sårbarhedsstyring.

Endelig, hvis du integrerer BitLocker med virksomhedens endpoint-løsninger, undgå overlappende politikker (GPO vs. Security Console), der kan forårsage krypteringsfejl. Hvis en computer blev krypteret lokalt, og platformen ikke har dens nøgle, dekrypterer og krypterer den igen ved hjælp af den officielle politik. Politisk sammenhæng forenkler støtte og genopretning.

relateret artikel:

Symmetrisk kryptering: 10 vigtige nøgler til at forstå denne sikkerhedsteknik

Brug BitLocker med omhu – TPM + PIN, sikker opstart, velbeskyttede nøgler og ensartede politikker – Det gør forskellen på at miste et hold og også at miste information.I hverdagen vil du næppe bemærke dens tilstedeværelse, men når noget går galt, er du taknemmelig for at have dine data krypteret, dine nøgler under kontrol og visheden om, at selvom hardwaren forsvinder, dine dokumenter forbliver dine alene.