Vista en Windows 7 hebben standaard in de Enterprise en Ultimate versies de bitlocker optie zitten. De bitlocker encryptie (versleutel) functie dient ervoor de harddisken, en daarmee de data die erop staat, te beschermen tegen (onbevoegd) gebruik door derden. Ook is deze functie een prima methode om om USB stickjes en schijven te beveiligen tegen lezen en/of kopiëren via de functie "Bitlocker to Go". USB sticks of externe harde schijven die via USB aangesloten zijn, zijn op deze wijze namelijk ook prima te beveiligen tegen ongewenst gebruik. Simpelweg gezegd, pakt bitlocker een stukje (sector) van je harde schijf op en schrijft dit weg in een versleuteld formaat. Tijdens het versleutelen wordt eigenlijk heel langzaam de hele schijf opnieuw herschreven. Het maakt dan ook niet uit of er reeds bestanden op de schijf aanwezig zijn, want aan de begin-, einde- en bestandsformaat verandert helemaal niets. Voor de bewerking zelf dient er overigens minimaal 10% vrije ruimte aanwezig te zijn. Bij erge langzame harde schijven bestaat de kans op een kleine vertraging, aangezien er wel de hele tijd dubbele bewerkingen nodig zijn tijdens het gebruik, maar een gebruik(st)er zal dat minimale verschil normaal nooit merken. In het onderstaande artikel kun je lezen hoe je deze functie gebruikt en worden er enkele tips voor het gebruik gegeven.


Hoe zet ik de bitlocker functie aan?

Allereerst moet ik even melden dat ik zelf altijd de Engelstalige versie van Vista en Windows 7 heb gebruikt, dus wellicht wijken de exacte beschrijvingen een klein beetje af. Ga naar de "Start" knop van Vista of Windows 7 links onderin. De eerste optie daar recht boven is een wit vakje met de tekst ""Programma's Zoeken/starten" er in. Type daar de tekst "Bitlocker" in en bovenaan komt het programma "Bitlocker-Stationsversleuteling" al in beeld. Eenvoudig weg op "Enter" drukken ( of op dat programma klikken) zal het programma starten. Uiteraard gevolgd door de extra bevestiging die gebruikersaccountbeheer (UAC) zal vragen. Tussendoor wil ik wel melden dat ik een voorstander ben van het gebruikersaccount beheer en dat uitzetten hiervan niet verstandig is. Je krijgt nu een scherm te zien, met daarin een overzicht van de aanwezige volumes ( schijven ); waarna je simpelweg de bitlocker versleuteling (encryptie), per schijf aan kunt zetten. Heb je een USB disk aangesloten? Dan kun je daar ook de encryptie op aanzetten via dit scherm. Maar de functie voor USB schijven kan nog makkelijker worden gebruikt. Ga via start naar "Deze Computer". Nu zie je de reeds aangesloten USB stick al staan. Via de rechter muisknop kun je nu via de 3e functie van bovenaf, direct de bitlocker functionaliteit activeren. Heel handig voor zakelijke reizen, waarbij het risico van bestandsverlies natuurlijk altijd aanwezig is. Zie ook Tip1 trouwens. Na een kleine initialisatie zal bitlocker vervolgens vragen hoe de USB disk vrijgegeven moet worden. Dit kan met een wachtwoord, dat vervolgens 2 ingegevens dient te worden, of door middel van een smartcard. Dat zal dus wel meestal een wachtwoord worden, want helaas, het gebruik van smartcards is nog geen algemeen gegeven op deze aardbol anno 2010. Vervolgens krijg je de mogelijkheid de herstelsleutel ( recovery key ) op te slaan op de USB schijf; ( complete onzin als je dit op dezelfde schijf doet trouwens ); De sleutel op te slaan als een bestand; of af te drukken. De laatste 2 zijn zeker aan te raden, voor bedrijven kan dit heel handig zijn op een gereserveerde share. Er volgt nog een bevestigingsscherm en vervolgens kan het (lange) wachten beginnen. Bitlocker zal het gehele volume namelijk versleutelen en afhankelijk van de grootte, kan dit wel enkele minuten tot zelfs een paar uur duren.  Iedere keer dat je de betreffende (USB)schijf aansluit, zal nu wel om het wachtwoord gevraagd worden, en na het intypen daarvan zijn de bestanden op dit volume weer volledig beschikbaar.

Mogelijke problemen:  
Het kan voorkomen dat bitlocker niet automatisch de schijven kan versleutelen. Eén van de van de oorzaken daarvoor kan zijn, dat het opstart volume, meestal de C partitie, geen 2e vrije volume heeft, om nog op te kunnen starten. Uiteraard dienen alle volumes op de NTFS wijze geformateerd te zijn. Dit is standaard meestal zo al "af fabriek", maar iin enkele gevallen ben ik nog wel eens een C schijfje tegen gekomen dat FAT32 geformatteerd was. Ook op wat oudere hardware is vaak TPM nog niet aanwezig of niet actief vanuit de BIOS. Dit is absoluut noodzakelijk voor de bitlocker functie en zal dan eerst aangezet moeten worden. Meer uitleg en toelichting over dit soort problemen is te vinden in het kennis artikel van Microsoft hierover, dat te vinden is op: http://support.microsoft.com/kb/933246 . Hier staan ook een paar mooie schema's op in welke volgorde Windows de bitlocker beschikbaarheid vooraf controleerd, en een mooie tool om bitlocker alsnog te installeren mocht je die kwijt zijn. Voor problemen met TPM zal meestal een BIOS aanpassing nodig zijn, hiervoor kan de Software- & Drivers update pagina van de hardware lverancier meestal wel uitkomst bieden.

Wijzigen van de instellingen:  
Eenmaal de bitlocker functie geactiveerd, zijn er nog wijzigingen mogelijk? Ja natuurlijk is het antwoord! Open "Deze Computer" weer en klik met de rechter muisknop op de betreffende versleutelde (USB)schijf. Nu kun je de instellingen voor dit volume wijzigen. Onderstaand de 5 opties en een kleine uitleg erbij:

  • Wijzig wachtwoord voor het vrijgeven van de schijf
    ( wijzigt het orginele wachtwoord )
  • Verwijder wachtwoord
    ( haalt het wachtwoord weg, maar niet de versleuteling van de schijf )
  • Voeg een smartcard toe
    ( geeft een 2e optie om het volume vrij te geven toe, naast het wachtwoord dus )
  • Sla op of Print de Herstelsleutel opnieuw
    ( geeft opnieuw de mogelijkheid de herstelsleutel op te slaan of af te drukken )
  • Automatisch vrijgeven van het volume
    ( zorgt ervoor dat het volume, op deze computer, automatisch wordt vrijgegeven )

Via deze opties kun je dus precies inregelen wat je verder allemaal nodig hebt om goed met bitlocker te kunnen werken. De laatste optie is verplicht bij het versleutelen van de partitie waarmee je opstart. Spreekt bijna voor zich.

Format?  
Bitlocker zal automatisch het wachtwoord of een smartcard vragen bij elke PC waarin de (USB)schijf geplaatst wiordt vragen. Mits er natuurlijk sprake is van een Enterprise of Ultimate versie. Doe je een versleutelde (USB)disk in een computer die geen bitlocker heeft, of ondersteund,  zal deze computer denken dat de schijf opnieuw geformateerd moet worden en dat zelf ook voor gaan stellen! Krijg je deze vraag? Denk dan heel goed na voordat je op "Ja" klikt, want de gegegevens worden onherroepelijk en echt definitief gewist. Oudere of Home versies (Vista) van Windows herkennen namelijk niet standaard dat bitlocker op een schijf actief is. Dit zal ook niet snel door Microsoft opgelost kunnen worden, dus iets om op te blijven letten voor de komende jaren.

Tip1: Er zijn in sommige landen strenge regels bij douanes. Zo komt het met enige regelmaat voor dat de douane van de Verenigde Staten USB sticks in beslag neemt indien niet aangetoont kan worden wat erop staat. Heb je bestanden nog in de USA? Mail ze dan naar jezelf, Kan je er in ieder geval altijd bij, al is het via webmail.


Tip2:  Pauzeren tijdens het versleutelen is mogelijk. Zorg er dan wel voor dat je computer aan blijft staan, of om milieu bewust met stroom om te gaan, in de "hybernation" of "stand-by" stand wordt gezet. Aangekoppelde (USB)schijven mogen losgekoppeld worden, maar dienen wel weer aangekoppeld te zijn voordat de pc en/of laptop weer aangezet wordt. Let daarbij op dat precies dezelfde USB aansluitingen worden gebruikt, en die allemaal aanwezig zijn, want anders kan dit problemen met de stationsletters opleveren en daarmee dus ook met het pauzeren van de versleuteling. Bijna overbodig te stellen dat beschadiging van de versleuteling zal leiden tot dataverleis.



Let Op:
Het vergeten of kwijt raken van wachtwoord of herstel-sleutel zal er toe leiden dat de opgeslagen gegevens nooit meer gelezen of gewijzigd kunnen worden. Raadpleeg bij twijfel altijd iemand die dit soort versleutelingen wel eens eerder heeft gedaan. Probeer het bovenstaande anders eens op een nieuwe USB schijf, zodat je weet hoe het werkt.


Printscreen:
Niet aanwezig.

 

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Ben OostdamBen Oostdam has been working with Windows systems since 1993. Started shortly with Windows NT 4, worked for several companies as a system administrator, and is currently a Senior Support Engineer for Qurius Customer Care in the Netherlands, specialized in System Center Solutions.

Disclaimer: Er is geen enkele garantie voor het gebruik van de bovenstaande informatie. Het publiceren/uitvoeren van deze tekst is geen enkele garantie en dient altijd vooraf goed bekeken te worden. Het volledige risico van het gebruik van deze tekst is voor de lezer(es)/gebruik(st)er. Schade veroorzaakt door acties naar aanleiding van dit artikel, of claims in elke vorm, kunnen dan ook niet behandeld worden. De webmaster van deze site waarborgt niet de accuraatheid en volledigheid van de inhoud van deze webpagina's. Elke vorm van aansprakelijkheid wordt uitgesloten. Deze artikelen zijn mijn persoonlijke mening, of van mede auteurs, en hoeven niet noodzakelijkerwijs de mening van mijn werkgever te zijn.




 

Wednesday the 23rd, June 2021. All rights reserved.. // Oostdam WebDesign