Sådan opsættes BitLocker-kryptering på Windows

BitLocker er et værktøj indbygget i Windows, der lader dig kryptere en hel harddisk for forbedret sikkerhed. Sådan konfigureres det.

Da TrueCrypt kontroversielt lukkede butik, anbefalede de deres brugere at gå over fra TrueCrypt til at bruge BitLocker eller Veracrypt. BitLocker har eksisteret i Windows længe nok til at blive betragtet som moden og er et krypteringsprodukt, der generelt betragtes af sikkerhedsmænd. I denne artikel skal vi tale om, hvordan du kan konfigurere det på din pc.

RELATERET: Skal du opgradere til den professionelle udgave af Windows 10?

Bemærk : BitLocker-drevkryptering og BitLocker To Go kræver en Professional- eller Enterprise-udgave af Windows 8 eller 10 eller den ultimative version af Windows 7. Fra og med Windows 8.1 inkluderer Windows og Home- og Pro-udgaverne en "Encryptering" -funktion (en funktion der også er inkluderet i Windows 10), der fungerer på samme måde. Vi anbefaler Device Encryption, hvis din computer understøtter det, BitLocker til Pro-brugere, der ikke kan bruge Device Encryption, og VeraCrypt til folk, der bruger en hjemmeversion af Windows, hvor Device Encryption ikke fungerer.

Kryptere et helt drev eller oprette en krypteret container?

Mange guider derude taler om at oprette en BitLocker-container, der fungerer meget som den slags krypteret container, du kan oprette med produkter som TrueCrypt eller Veracrypt. Det er lidt misvisende, men du kan opnå en lignende effekt. BitLocker fungerer ved at kryptere hele drev. Det kan være dit systemdrev, et andet fysisk drev eller en virtuel harddisk (VHD), der findes som en fil og er monteret i Windows.

RELATERET: Sådan oprettes en krypteret containerfil med BitLocker på Windows

Forskellen er stort set semantisk. I andre krypteringsprodukter opretter du normalt en krypteret container og monterer den derefter som et drev i Windows, når du har brug for det. Med BitLocker opretter du en virtuel harddisk og krypterer den derefter. Hvis du gerne vil bruge en container i stedet for f.eks. At kryptere dit eksisterende system eller lagerdrev, skal du tjekke vores guide til oprettelse af en krypteret containerfil med BitLocker.

Til denne artikel vil vi koncentrere os om at aktivere BitLocker til et eksisterende fysisk drev.

Sådan krypteres et drev med BitLocker

RELATERET: Sådan bruges BitLocker uden et Trusted Platform Module (TPM)

For at bruge BitLocker til et drev er alt, hvad du virkelig skal gøre, at aktivere det, vælge en oplåsningsmetode - adgangskode, PIN og så videre - og derefter indstille et par andre muligheder. Før vi går ind på det, skal du dog vide, at brug af BitLockers fulddisk-kryptering på et systemdrev generelt kræver en computer med et Trusted Platform Module (TPM) på din pc's bundkort. Denne chip genererer og gemmer de krypteringsnøgler, som BitLocker bruger. Hvis din pc ikke har en TPM, kan du bruge gruppepolitik til at aktivere brug af BitLocker uden en TPM. Det er lidt mindre sikkert, men stadig mere sikkert end slet ikke at bruge kryptering.

Du kan kryptere et ikke-systemdrev eller et flytbart drev uden TPM og uden at skulle aktivere indstillingen Gruppepolitik.

På den note skal du også vide, at der er to typer BitLocker-drevkryptering, du kan aktivere:

  • BitLocker-drevkryptering : Nogle gange kaldet BitLocker, dette er en "fuld-disk-kryptering" -funktion, der krypterer et helt drev. Når din pc starter, indlæses Windows boot loader fra System Reserved-partitionen, og boot loader beder dig om din oplåsningsmetode - for eksempel en adgangskode. BitLocker dekrypterer derefter drevet og indlæser Windows. Krypteringen er ellers gennemsigtig - dine filer ser ud som de normalt ville være på et ukrypteret system, men de er gemt på disken i en krypteret form. Du kan også kryptere andre drev end bare systemdrevet.
  • BitLocker To Go : Du kan kryptere eksterne drev - såsom USB-flashdrev og eksterne harddiske - med BitLocker To Go. Du bliver bedt om din oplåsningsmetode - for eksempel en adgangskode - når du slutter drevet til din computer. Hvis nogen ikke har låse op metoden, kan de ikke få adgang til filerne på drevet.

I Windows 7 til 10 behøver du virkelig ikke bekymre dig om at foretage valget selv. Windows håndterer ting bag kulisserne, og den grænseflade, du bruger til at aktivere BitLocker, ser ikke anderledes ud. Hvis du ender med at låse op for et krypteret drev på Windows XP eller Vista, vil du se BitLocker to Go-branding, så vi regnede med, at du i det mindste skulle vide om det.

Så med det ude af vejen, lad os gå over, hvordan dette rent faktisk fungerer.

Trin et: Aktivér BitLocker til et drev

Den nemmeste måde at aktivere BitLocker på et drev er at højreklikke på drevet i et File Explorer-vindue og derefter vælge kommandoen "Tænd BitLocker". Hvis du ikke kan se denne mulighed i din genvejsmenu, har du sandsynligvis ikke en Pro- eller Enterprise-udgave af Windows, og du bliver nødt til at søge en anden krypteringsløsning.

Det er bare så simpelt. Guiden, der dukker op, fører dig gennem valg af flere muligheder, som vi har opdelt i de efterfølgende sektioner.

Trin to: Vælg en oplåsningsmetode

Den første skærm, du ser i guiden "BitLocker Drive Encryption", giver dig mulighed for at vælge, hvordan dit drev skal låses op. Du kan vælge flere forskellige måder at låse drevet op.

Hvis du krypterer dit systemdrev på en computer,  der ikke har en TPM, kan du låse drevet op med en adgangskode eller et USB-drev, der fungerer som en nøgle. Vælg din oplåsningsmetode, og følg instruktionerne for den metode (indtast en adgangskode, eller tilslut dit USB-drev).

RELATERET: Sådan aktiveres en pre-boot BitLocker PIN på Windows

Hvis din computer har en TPM, vil du se yderligere indstillinger for oplåsning dit system drev. For eksempel kan du konfigurere automatisk oplåsning ved opstart (hvor din computer griber krypteringsnøglerne fra TPM og automatisk dekrypterer drevet). Du kan også bruge en PIN-kode i stedet for en adgangskode eller endda vælge biometriske indstillinger som et fingeraftryk.

Hvis du krypterer et ikke-systemdrev eller et flytbart drev, ser du kun to muligheder (hvad enten du har en TPM eller ej). Du kan låse op for drevet med en adgangskode eller et chipkort (eller begge dele).

Trin tre: Sikkerhedskopier din genopretningsnøgle

BitLocker giver dig en gendannelsesnøgle, som du kan bruge til at få adgang til dine krypterede filer, hvis du nogensinde mister din hovednøgle - for eksempel hvis du glemmer din adgangskode, eller hvis pc'en med TPM dør, og du skal få adgang til drevet fra et andet system.

Du kan gemme nøglen på din Microsoft-konto, et USB-drev, en fil eller endda udskrive den. Disse muligheder er de samme, uanset om du krypterer et system eller et ikke-systemdrev.

Hvis du sikkerhedskopierer gendannelsesnøglen til din Microsoft-konto, kan du få adgang til nøglen senere på //onedrive.live.com/recoverykey. Hvis du bruger en anden gendannelsesmetode, skal du sørge for at holde denne nøgle sikker - hvis nogen får adgang til den, kan de dekryptere dit drev og omgå kryptering.

Du kan også sikkerhedskopiere din gendannelsesnøgle flere måder, hvis du vil. Klik bare på hver indstilling, du vil bruge efter tur, og følg derefter instruktionerne. Når du er færdig med at gemme dine gendannelsesnøgler, skal du klikke på "Næste" for at komme videre.

Bemærk : Hvis du krypterer en USB eller et andet flytbart drev, har du ikke mulighed for at gemme din gendannelsesnøgle på et USB-drev. Du kan bruge en af ​​de andre tre muligheder.

Trin fire: Krypter og frigør drevet

BitLocker krypterer automatisk nye filer, når du tilføjer dem, men du skal vælge, hvad der sker med de filer, der aktuelt er på dit drev. Du kan kryptere hele drevet - inklusive den ledige plads - eller bare kryptere de brugte diskfiler for at fremskynde processen. Disse muligheder er også de samme, uanset om du krypterer et system eller et ikke-systemdrev.

RELATERET: Sådan gendannes en slettet fil: Den ultimative guide

Hvis du konfigurerer BitLocker på en ny pc, skal du kun kryptere den anvendte diskplads - det er meget hurtigere. Hvis du indstiller BitLocker på en pc, du har brugt i et stykke tid, skal du kryptere hele drevet for at sikre, at ingen kan gendanne slettede filer.

Når du har foretaget dit valg, skal du klikke på knappen "Næste".

Trin fem: Vælg en krypteringstilstand (kun Windows 10)

Hvis du bruger Windows 10, vil du se en ekstra skærm, der giver dig mulighed for at vælge en krypteringsmetode. Hvis du bruger Windows 7 eller 8, skal du gå videre til næste trin.

Windows 10 introducerede en ny krypteringsmetode ved navn XTS-AES. Det giver forbedret integritet og ydeevne i forhold til AES, der bruges i Windows 7 og 8. Hvis du ved, at det drev, du krypterer, kun skal bruges på Windows 10-pc'er, skal du gå videre og vælge indstillingen "Ny krypteringstilstand". Hvis du tror, ​​at du muligvis har brug for drevet med en ældre version af Windows på et eller andet tidspunkt (især vigtigt, hvis det er et flytbart drev), skal du vælge "Kompatibel tilstand".

Uanset hvilken indstilling du vælger (og igen, disse er de samme for system- og ikke-systemdrev), gå videre og klik på knappen "Næste", når du er færdig, og klik på knappen "Start kryptering" på den næste skærm.

Trin seks: Afslutning

Krypteringsprocessen kan tage alt fra sekunder til minutter eller endda længere afhængigt af størrelsen på drevet, mængden af ​​data, du krypterer, og om du valgte at kryptere ledig plads.

Hvis du krypterer dit systemdrev, bliver du bedt om at køre et BitLocker-systemkontrol og genstarte dit system. Sørg for, at indstillingen er valgt, klik på knappen "Fortsæt", og genstart derefter din pc, når du bliver bedt om det. Når pc'en er startet op igen for første gang, krypterer Windows drevet.

Hvis du krypterer et ikke-system eller et flytbart drev, behøver Windows ikke genstarte, og kryptering begynder med det samme.

Uanset hvilken type drev du krypterer, kan du kontrollere BitLocker-drevkrypteringsikonet i systembakken for at se dets fremskridt, og du kan fortsætte med at bruge din computer, mens drev krypteres - det fungerer bare langsommere.

Låser dit drev op

Hvis dit systemdrev er krypteret, afhænger oplåsning af det af den valgte metode (og om din pc har en TPM). Hvis du har en TPM og valgt at låse drevet op automatisk, bemærker du ikke noget andet - du starter bare lige ind i Windows som altid. Hvis du vælger en anden oplåsningsmetode, beder Windows dig om at låse drevet op (ved at skrive din adgangskode, tilslutte dit USB-drev eller hvad som helst).

RELATERET: Sådan gendannes dine filer fra et BitLocker-krypteret drev

Og hvis du har mistet (eller glemt) din oplåsningsmetode, skal du trykke på Escape på promptskærmen for at åbne din gendannelsesnøgle.

Hvis du har krypteret et ikke-system eller et flytbart drev, beder Windows dig om at låse drevet op, når du først har adgang til det efter start af Windows (eller når du slutter det til din pc, hvis det er et flytbart drev). Indtast din adgangskode, eller indsæt dit chipkort, og drevet skal låse op, så du kan bruge det.

I File Explorer viser krypterede drev en guldlås på ikonet (til venstre). Denne lås skifter til grå og ser ulåst ud, når du låser op for drevet (til højre).

Du kan administrere et låst drev - ændre adgangskoden, slå BitLocker fra, sikkerhedskopiere din gendannelsesnøgle eller udføre andre handlinger - fra BitLocker-kontrolpanelvinduet. Højreklik på et hvilket som helst krypteret drev, og vælg derefter "Manage BitLocker" for at gå direkte til den side.

Som al kryptering tilføjer BitLocker noget overhead. Microsofts officielle BitLocker FAQ siger, at "Generelt pålægger det en enkeltcifret procentuel ydeevne overhead." Hvis kryptering er vigtig for dig, fordi du har følsomme data - for eksempel en bærbar computer fuld med forretningsdokumenter - er den forbedrede sikkerhed værd at afveje ydeevne.