Hoe u schijven codeert en gegevens beschermt met BitLocker

Hoe u schijven codeert en gegevens beschermt met BitLocker

05/01/2024

Dit technische en educatieve artikel is bedoeld als leidraad voor beveiligingsanalisten, IT-beheerders en systeemingenieurs bij het inschakelen, configureren en beheren van BitLocker, de volledige schijfversleutelingsoplossing van Microsoft. Het beschermen van gegevens in rust is van fundamenteel belang voor informatiebeveiliging, vooral op mobiele apparaten zoals laptops en tablets, die gevoelig zijn voor diefstal of verlies. BitLocker helpt het risico van ongeautoriseerde gegevenstoegang te beperken in het geval van een fysiek apparaatcompromis [1].

Introductie

Met de toenemende mobiliteit van de beroepsbevolking en de toename van het aantal apparaten waarop gevoelige informatie wordt opgeslagen, is schijfversleuteling een onmisbare beveiligingsmaatregel geworden. BitLocker, ingebouwd in het Windows-besturingssysteem, biedt een robuuste manier om hele volumes te versleutelen, zodat gegevens voor iedereen onleesbaar blijven zonder de juiste decoderingssleutel. Dit is van cruciaal belang om aan de nalevingsvereisten te voldoen en intellectueel eigendom te beschermen [2].

Deze praktische gids behandelt het inschakelen van BitLocker in verschillende scenario's (OS-schijven en vaste/verwijderbare gegevensschijven), het beheren van herstelsleutels, het valideren van de coderingsstatus en best practices voor de implementatie ervan in bedrijfsomgevingen. Er worden stapsgewijze instructies, daadwerkelijke opdrachten en beschrijvingen gegeven, zodat de lezer schijfversleuteling effectief kan implementeren en beheren, waardoor gegevens in rust kunnen worden beschermd en de beveiligingspositie van uw organisatie kan worden versterkt.

Waarom BitLocker gebruiken?

  • Data at Rest Protection: Zorgt ervoor dat gegevens die op de harde schijf zijn opgeslagen, beschermd zijn tegen ongeoorloofde toegang, zelfs als het apparaat wordt gestolen of verloren gaat.
  • Compliance: Helpt te voldoen aan wettelijke en nalevingsvereisten die gegevensversleuteling vereisen (bijv. HIPAA, AVG, LGPD).
  • Integratie met Windows: Als integraal onderdeel van Windows biedt het een vereenvoudigde beheerervaring en integratie met andere Microsoft-tools.
  • Breach Prevention: Voorkomt dat aanvallers toegang krijgen tot gevoelige gegevens door alternatieve besturingssystemen op te starten of de harde schijf te verwijderen.

Vereisten

Om BitLocker in te schakelen en te configureren, hebt u de volgende items nodig:

  1. Windows-versie: BitLocker is beschikbaar in de Pro-, Enterprise- en Education-edities van Windows 10 en 11. De Home-editie heeft een meer basale versie genaamd "Device Encryption" [3].
  2. TPM (Trusted Platform Module): voor schijfversleuteling van het besturingssysteem wordt een TPM-versie 1.2 of hoger ten zeerste aanbevolen (en is doorgaans vereist voor automatische activering). De TPM is een microchip die coderingssleutels opslaat en de systeemintegriteit helpt verifiëren [4].
  3. Beheerdersmachtigingen: een account met lokale beheerdersrechten op het apparaat.
  4. Herstelsleutel: een veilige locatie om de BitLocker-herstelsleutel op te slaan (Microsoft-account, bestand, USB of Azure AD/Active Directory).

Stap voor stap: BitLocker inschakelen en configureren

Laten we het hebben over het inschakelen van BitLocker voor het besturingssysteemstation en voor gegevensstations.

1. TPM-status controleren

Het is belangrijk om te controleren of de TPM is ingeschakeld en klaar is voor gebruik, vooral voor het besturingssysteemstation.

  1. Druk op Win + R, typ tpm.msc en druk op Enter.
  2. Controleer in het venster TPM-beheer de 'Status' en 'Versie' van de TPM.
    • Als de status 'TPM is klaar voor gebruik' is, kunt u doorgaan. *Als dit niet het geval is, moet u dit mogelijk inschakelen in het BIOS/UEFI van uw computer.

2. BitLocker inschakelen voor de besturingssysteemschijf

Dit is de meest voorkomende manier om een laptop of desktop te beschermen.

  1. Open Configuratiescherm.
  2. Navigeer naar Systeem en beveiliging > BitLocker-stationsversleuteling.

  3. Klik in het gedeelte 'Besturingssysteemstations' op BitLocker inschakelen voor station C:.

  4. De BitLocker-wizard start. Kies hoe u een back-up van uw herstelsleutel wilt maken:

    • Opslaan in uw Microsoft-account: aanbevolen voor thuisgebruikers. De sleutel wordt opgeslagen in uw online Microsoft-account.
    • Opslaan in een bestand: slaat de sleutel op in een bestandvan tekst. Zorg ervoor dat u deze op een veilige locatie bewaart (bijvoorbeeld een aparte USB-stick, een beveiligde netwerkshare).
    • Afdrukherstelsleutel: drukt de sleutel af. Bewaar het op een veilige fysieke locatie.
    • Bedrijfstip: In bedrijfsomgevingen moet de herstelsleutel automatisch worden opgeslagen in Azure AD of Active Directory Domain Services (AD DS) via GPO of Intune voor gecentraliseerd beheer [5].

  5. Kies hoe u uw schijf wilt coderen:

    • Alleen gebruikte schijfruimte coderen: Snelst, ideaal voor nieuwe of lege schijven.
    • Gehele schijf coderen: langzamer, maar zorgt ervoor dat alle gegevens (inclusief verwijderde gegevens) worden gecodeerd. Aanbevolen voor schijven met bestaande gegevens.

  6. Kies de coderingsmodus:

    • Nieuwe encryptiemodus (XTS-AES): aanbevolen voor vaste schijven.
    • Compatibele modus (AES-CBC): voor verwisselbare schijven die op oudere systemen kunnen worden gebruikt.

  7. Bevestig de instellingen en klik op Encryptie starten.

  8. BitLocker moet opnieuw worden opgestart om het coderingsproces te starten. Na het opnieuw opstarten wordt de codering op de achtergrond voortgezet.

3. BitLocker inschakelen voor gegevensschijven (vast en verwijderbaar)

Het proces is vergelijkbaar, maar met enkele verschillen in ontgrendelingsopties.

  1. Open Configuratiescherm > Systeem en beveiliging > BitLocker-stationsversleuteling.
  2. Klik in het gedeelte 'Vaste gegevensstations' of 'Verwisselbare schijven' op BitLocker inschakelen voor het gewenste station.

  3. Kies hoe u de schijf wilt ontgrendelen:

    • Gebruik een wachtwoord om de schijf te ontgrendelen: Stel een wachtwoord in om toegang te krijgen tot de schijf.
    • Gebruik een smartcard om het apparaat te ontgrendelen: Vereist een smartcard.
    • Automatisch ontgrendelen op deze machine: Hiermee kan voor vaste schijven de schijf automatisch worden ontgrendeld wanneer het besturingssysteem start (als de besturingssysteemschijf ook is gecodeerd met BitLocker).

  4. Maak een back-up van de herstelsleutel (volgens de opties beschreven in Hoofdstuk 2).

  5. Kies het coderingstype en de modus en start het proces.

4. BitLocker-herstelsleutels beheren

De herstelsleutel is essentieel om toegang te krijgen tot gegevens in geval van problemen (wachtwoord vergeten, TPM-fout, enz.).

  1. In Configuratiescherm > Systeem en beveiliging > BitLocker-stationsversleuteling.
  2. Klik op Maak een back-up van uw herstelsleutel naar de gewenste schijf.

  3. U kunt het bestand opslaan in een bestand, afdrukken of opnieuw opslaan onder een Microsoft-account.

  4. Opdracht om de status te controleren en de sleutel-ID op te halen: Open de opdrachtprompt (beheerder) en voer het volgende uit: cmd beheren-bde-status Om de herstelsleutel-ID te verkrijgen: cmd beheren-bde -beschermers C: -get De 'Sleutel-ID' kan worden gebruikt om de herstelsleutel in Azure AD of Active Directory te lokaliseren.

Validatie en testen

Het is van cruciaal belang om te valideren dat BitLocker actief is en correct werkt.

1. Coderingsstatus controleren

  1. Open Verkenner.

  2. U zou een slotpictogram op de gecodeerde schijf moeten zien, wat aangeeft dat BitLocker actief is.

  3. Open de opdrachtprompt (Admin) en voer de opdracht manage-bde -status uit.

  4. Controleer of de 'Conversiestatus' 'Volledig versleuteld' is en de 'Beschermingsstatus' 'Bescherming ingeschakeld' is.

2. De herstelsleutel testen

  1. Simuleer een herstelsituatie: in een testomgeving of uit voorzichtigheid kunt u proberen de TPM tijdelijk uit te schakelen in BIOS/UEFI of de schijf naar een andere computer te verplaatsen.
  2. Wanneer u Windows start, moet BitLocker naar de herstelmodus gaan en om de herstelsleutel vragen.
  3. Voer de opgeslagen herstelsleutel in om te controleren of deze werkt.

Beveiligingstips en best practices

  • Gecentraliseerd beheer: gebruik in bedrijfsomgevingen Microsoft Intune of Group Policy Objects (GPO's) om BitLocker centraal te beheren, inclusief het afdwingen van versleutelingsbeleid en het automatisch maken van back-ups van herstelsleutels naar Azure AD of AD DS [5].
  • Veilige sleutelopslag: Bewaar de herstelsleutel nooit op dezelfde schijf die wordt gecodeerd. Gebruik een aparte, veilige locatie, zoals een wachtwoordkluis, eenvanaf gecodeerde USB of een directoryservice.
  • TPM is essentieel: geef prioriteit aan apparaten met TPM 2.0 voor betere beveiliging en eenvoudiger BitLocker-beheer.
  • Preboot-pincode/wachtwoord: voor een betere beveiliging van de schijf van uw besturingssysteem kunt u overwegen om naast de TPM ook een preboot-pincode of wachtwoord in te stellen. Dit vereist dat de gebruiker een pincode invoert voordat Windows zelfs maar wordt geladen, ter bescherming tegen cold boot-aanvallen.
  • Versleuteling van verwisselbare schijven: Stimuleer of eis codering van alle verwisselbare schijven (USB, externe HD's) die gevoelige gegevens kunnen bevatten.
  • Periodieke beoordeling: Controleer regelmatig de coderingsstatus van apparaten en de toegankelijkheid van herstelsleutels.
  • Gebruikerseducatie: Informeer gebruikers over het belang van BitLocker, hoe ze hun herstelsleutels kunnen beheren en wat ze moeten doen als ze problemen ondervinden.

Algemene probleemoplossing

  • BitLocker wordt niet geactiveerd: controleer of de TPM is geactiveerd en correct is geconfigureerd in BIOS/UEFI. Zorg ervoor dat de schijf een EFI/UEFI-systeempartitie heeft (als het een besturingssysteemstation is). Controleer het groepsbeleid dat activering mogelijk verhindert.
  • Vragen om herstelsleutel bij opstarten: Dit kan gebeuren als er hardwarewijzigingen zijn geweest (bijvoorbeeld BIOS/UEFI-update, moederbordwijziging) of als de TPM is uitgeschakeld. Voer de herstelsleutel in. Als dit regelmatig voorkomt, onderzoek dan de hoofdoorzaak (bijvoorbeeld een onstabiele TPM, een hardwareprobleem).
  • Verloren herstelsleutel: Als de herstelsleutel verloren gaat en er geen back-up op een toegankelijke locatie is, zijn de gegevens op de gecodeerde schijf mogelijk niet meer te herstellen. Daarom is een veilige back-up zo cruciaal.
  • Verminderde prestaties: Real-time codering en decodering kan een kleine prestatievermindering veroorzaken, vooral op oudere hardware. Zorg ervoor dat de hardware voldoet aan de prestatievereisten.
  • GPO/Intune-problemen: als BitLocker wordt beheerd via GPO of Intune en er zijn problemen, controleer dan de beleidshandhaving, gebeurtenislogboeken op apparaten en de connectiviteit met Azure AD/AD DS voor sleutelback-up.

Conclusie

Schijfversleuteling met BitLocker is een krachtig en essentieel hulpmiddel voor het beschermen van gegevens in rust op Windows-apparaten. Door BitLocker te implementeren kunnen organisaties ervoor zorgen dat gevoelige informatie beveiligd is tegen ongeoorloofde toegang in het geval van hardwarediefstal, verlies of onjuiste verwijdering. Correcte configuratie, veilig beheer van herstelsleutels en naleving van best practices zijn van cruciaal belang voor het maximaliseren van de effectiviteit van BitLocker. Met deze gids zullen beveiligingsanalisten, IT-beheerders en systeemingenieurs toegerust zijn om de gegevensbeveiliging in hun omgevingen te versterken en zo bij te dragen aan een robuuster beveiligingsbeleid dat voldoet aan de huidige eisen.

Referenties:

[1] Microsoft Leer. BitLocker-overzicht. Beschikbaar op: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-overview [2] Microsoft Leer. BitLocker-planningshandleiding. Beschikbaar op: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/planning-guide [3] Microsoft Leer. Apparaatversleuteling op Windows. Beschikbaar op: [https://support.microsoft.com/pt-br/windows/cryptia-de-dispósito-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df] (https://support.microsoft.com/pt-br/windows/cryptia-de-dispósito-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df) [4] Microsoft Leer. Trusted Platform Module Technologieoverzicht. Beschikbaar op: https://learn.microsoft.com/en-us/windows/security/information-protection/tpm/tpm-overview [5] Microsoft Leer. Maak een back-up van BitLocker-herstelsleutels. Beschikbaar op: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-recovery-guide-plan#bitlocker-recovery-key-storage