Hjemmeside » hvordan » Slik konfigurerer du BitLocker-kryptering på Windows

    Slik konfigurerer du BitLocker-kryptering på Windows

    BitLocker er et verktøy innebygd i Windows som lar deg kryptere en hel harddisk for forbedret sikkerhet. Slik setter du opp det.

    Når TrueCrypt lukkede kontroversielt opp, anbefalte de at brukerne overgikk dem fra TrueCrypt til å bruke BitLocker eller Veracrypt. BitLocker har eksistert i Windows lenge nok til å bli ansett moden, og er et krypteringsprodukt som generelt er anerkjent av sikkerhetsprofiler. I denne artikkelen skal vi snakke om hvordan du kan sette opp det på din PC.

    Merk: BitLocker-stasjonskryptering og BitLocker To Go krever en profesjonell eller Enterprise-versjon av Windows 8 eller 10, eller den ultimate versjonen av Windows 7. Men med Windows 8.1, inneholder Home og Pro-utgavene av Windows en "Enhetskryptering" -funksjon ( en funksjon som også er inkludert i Windows 10) som fungerer på samme måte. Vi anbefaler enhetskryptering hvis datamaskinen støtter den, BitLocker for Pro-brukere som ikke kan bruke Enhetskryptering, og VeraCrypt for folk som bruker en hjemmeversjon av Windows der enhetskryptering ikke fungerer.

    Krypter en hel stasjon eller opprett en kryptert beholder?

    Mange guider der ute snakker om å skape en BitLocker-beholder som fungerer mye som den typen kryptert container du kan opprette med produkter som TrueCrypt eller Veracrypt. Det er litt misvisende, men du kan oppnå en lignende effekt. BitLocker fungerer ved å kryptere hele stasjoner. Det kan være systemstasjonen, en annen fysisk stasjon eller en virtuell harddisk (VHD) som eksisterer som en fil og er montert i Windows.

    Forskjellen er i stor grad semantisk. I andre krypteringsprodukter lager du vanligvis en kryptert container, og monterer den som en stasjon i Windows når du trenger å bruke den. Med BitLocker lager du en virtuell harddisk, og krypterer den deretter. Hvis du vil bruke en beholder i stedet for å si, kryptere ditt eksisterende system eller lagringsstasjon, sjekk ut vår guide for å lage en kryptert containerfil med BitLocker.

    For denne artikkelen skal vi konsentrere oss om å aktivere BitLocker for en eksisterende fysisk stasjon.

    Slik krypterer du et stasjon med BitLocker

    For å bruke BitLocker for en stasjon, er alt du virkelig trenger å gjøre, aktivere et opplåsingsmetode-passord, PIN, og så videre - og sett deretter noen andre alternativer. Før vi kommer inn i det, bør du imidlertid vite at du bruker BitLockers fulldisk-kryptering på en systemstasjon krever vanligvis en datamaskin med en Trusted Platform Module (TPM) på PCens hovedkort. Denne brikken genererer og lagrer krypteringsnøklene som BitLocker bruker. Hvis PC-en din ikke har en TPM, kan du bruke Gruppepolicy for å aktivere BitLocker uten en TPM. Det er litt mindre sikkert, men fortsatt sikrere enn å ikke bruke kryptering i det hele tatt.

    Du kan kryptere en ikke-systemdrikke eller flyttbar stasjon uten TPM, og uten å måtte aktivere gruppepolicyinnstillingen.

    På det notatet bør du også vite at det finnes to typer BitLocker-stasjonskryptering du kan aktivere:

    • BitLocker-stasjonskryptering: Noen ganger referert til som BitLocker, dette er en "fulldisk kryptering" -funksjon som krypterer en hel stasjon. Når datamaskinen starter, laster Windows oppstartslaster fra den systemreservefulle partisjonen, og oppstartsladeren ber deg om opplåsingsmetoden, for eksempel et passord. BitLocker dekrypterer deretter stasjonen og laster Windows. Kryptering er ellers gjennomsiktig - filene dine vises som de normalt ville ha på et ukryptert system, men de lagres på disken i kryptert form. Du kan også kryptere andre stasjoner enn bare systemstasjonen.
    • BitLocker å gå: Du kan kryptere eksterne stasjoner - for eksempel USB-minnepinner og eksterne harddisker - med BitLocker To Go. Du blir bedt om å låse opp metoden, for eksempel et passord - når du kobler stasjonen til datamaskinen. Hvis noen ikke har opplåsningsmetoden, kan de ikke få tilgang til filene på stasjonen.

    I Windows 7 til og med 10 trenger du ikke å bekymre deg for å gjøre selve valget. Windows håndterer ting bak kulissene, og grensesnittet du vil bruke til å aktivere BitLocker, ser ikke annerledes ut. Hvis du ender opp med å låse opp en kryptert stasjon på Windows XP eller Vista, ser du merkevaren BitLocker to Go, så vi skjønte at du burde vite det i det minste.

    Så, med det ut av veien, la oss gå over hvordan dette egentlig virker.

    Trinn ett: Aktiver BitLocker for en stasjon

    Den enkleste måten å aktivere BitLocker for en stasjon på er å høyreklikke stasjonen i et File Explorer-vindu, og velg deretter "Slå på BitLocker" -kommandoen. Hvis du ikke ser dette alternativet på hurtigmenyen, har du sannsynligvis ikke en Pro eller Enterprise-versjon av Windows, og du må søke en annen krypteringsløsning.

    Det er bare så enkelt. Veiviseren som dukker opp, går deg gjennom valg av flere alternativer, som vi har brutt ned i seksjonene som følger.

    Trinn to: Velg en opplåsningsmetode

    Den første skjermen du vil se i veiviseren "BitLocker Drive Encryption" lar deg velge hvordan du låser opp stasjonen. Du kan velge flere forskjellige måter å låse opp stasjonen på.

    Hvis du krypterer systemstasjonen på en datamaskin som ikke Har en TPM, du kan låse opp stasjonen med et passord eller en USB-stasjon som fungerer som en nøkkel. Velg opplåsningsmetoden og følg instruksjonene for den metoden (skriv inn et passord eller koble til USB-stasjonen).

    Hvis datamaskinen din gjør Har en TPM, du får se flere alternativer for å låse opp systemstasjonen. For eksempel kan du konfigurere automatisk opplåsing ved oppstart (hvor datamaskinen tar tak i krypteringsnøklene fra TPM og dekrypterer automatisk stasjonen). Du kan også bruke en PIN-kode i stedet for et passord, eller til og med velge biometriske alternativer som et fingeravtrykk.

    Hvis du krypterer en ikke-systemdrikke eller flyttbar stasjon, ser du bare to alternativer (enten du har en TPM eller ikke). Du kan låse opp stasjonen med et passord eller et smartkort (eller begge deler).

    Trinn tre: Sikkerhetskopier gjenopprettingsnøkkelen

    BitLocker gir deg en gjenopprettingsnøkkel som du kan bruke til å få tilgang til de krypterte filene dine, hvis du noen gang mister hovednøkkelen, for eksempel hvis du glemmer passordet ditt eller om PCen med TPM dør, og du må få tilgang til stasjonen fra et annet system.

    Du kan lagre nøkkelen til din Microsoft-konto, en USB-stasjon, en fil, eller til og med skrive den ut. Disse alternativene er de samme, uansett om du krypterer et system eller ikke-systemstasjon.

    Hvis du sikkerhetskopierer gjenopprettingsnøkkelen til din Microsoft-konto, kan du få tilgang til nøkkelen senere på https://onedrive.live.com/recoverykey. Hvis du bruker en annen gjenopprettingsmetode, må du sørge for at denne nøkkelen er trygg. Hvis noen får tilgang til det, kan de dekryptere stasjonen og kringgå kryptering.

    Du kan også sikkerhetskopiere gjenopprettingsnøkkelen på flere måter hvis du vil. Bare klikk på hvert alternativ du vil bruke igjen, og følg deretter instruksjonene. Når du er ferdig med å lagre gjenopprettingsnøklene dine, klikker du på "Neste" for å fortsette.

    Merk: Hvis du krypterer en USB eller annen flyttbar stasjon, har du ikke mulighet til å lagre gjenopprettingsnøkkelen til en USB-stasjon. Du kan bruke noen av de tre andre alternativene.

    Trinn fire: Krypter og lås opp stasjonen

    BitLocker krypterer automatisk nye filer etter hvert som du legger til dem, men du må velge hva som skjer med filene som er på stasjonen din. Du kan kryptere hele stasjonen - inkludert ledig plass - eller bare kryptere de brukte diskfilene for å øke hastigheten på prosessen. Disse alternativene er også det samme om du krypterer et system eller en ikke-systemstasjon.

    Hvis du setter opp BitLocker på en ny PC, krypterer du bare den brukte diskplassen - det er mye raskere. Hvis du setter inn BitLocker på en PC du har brukt på en stund, bør du kryptere hele stasjonen for å sikre at ingen kan gjenopprette slettede filer.

    Når du har valgt ditt valg, klikker du på "Neste" -knappen.

    Trinn fem: Velg en krypteringsmodus (kun Windows 10)

    Hvis du bruker Windows 10, ser du en ekstra skjerm som lar deg velge en krypteringsmetode. Hvis du bruker Windows 7 eller 8, hopper du videre til neste trinn.

    Windows 10 introduserte en ny krypteringsmetode kalt XTS-AES. Det gir forbedret integritet og ytelse over AES som brukes i Windows 7 og 8. Hvis du vet at stasjonen du krypterer, bare skal brukes på Windows 10-PCer, fortsett og velg alternativet "Ny kryptering modus". Hvis du tror at du kanskje må bruke stasjonen med en eldre versjon av Windows på et tidspunkt (spesielt viktig hvis det er en flyttbar stasjon), velg alternativet "Kompatibel modus".

    Uansett hvilket alternativ du velger (og igjen, disse er de samme for system- og ikke-systemstasjoner), gå videre og klikk på "Neste" -knappen når du er ferdig, og på neste skjerm klikker du på "Start kryptering" -knappen.

    Trinn seks: Etterbehandling

    Krypteringsprosessen kan ta alt fra sekunder til minutter eller enda lenger, avhengig av størrelsen på stasjonen, hvor mye data du krypterer, og om du valgte å kryptere ledig plass.

    Hvis du krypterer systemstasjonen, blir du bedt om å kjøre en BitLocker-systemkontroll og starte systemet på nytt. Kontroller at alternativet er valgt, klikk på "Fortsett" -knappen, og start datamaskinen på nytt når du blir spurt. Etter at PC-en starter opp for første gang, krypterer Windows stasjonen.

    Hvis du krypterer et ikke-system eller en flyttbar stasjon, trenger Windows ikke å starte om igjen, og kryptering starter umiddelbart.

    Uansett hvilken type stasjon du krypterer, kan du sjekke BitLocker Drive Encryption-ikonet i systemstatusfeltet for å se fremdriften, og du kan fortsette å bruke datamaskinen mens stasjoner krypteres - det vil bare utføre langsommere.

    Lås opp stasjonen din

    Hvis systemstasjonen din er kryptert, låser den opp, avhengig av hvilken metode du valgte (og om PCen har en TPM). Hvis du har en TPM og valgt for å få stasjonen opplåst automatisk, vil du ikke merke noe annet - du vil bare starte opp rett i Windows som alltid. Hvis du velger en annen opplåsningsmetode, ber Windows deg om å låse opp stasjonen (ved å skrive inn passordet ditt, koble til USB-stasjonen eller hva som helst).

    Og hvis du har mistet (eller glemt) opplåsningsmetoden, trykker du på Escape på promptskjermbildet for å angi gjenopprettingsnøkkelen.

    Hvis du har kryptert en ikke-system eller flyttbar stasjon, ber Windows deg om å låse opp stasjonen når du først får tilgang til den etter at du har startet Windows (eller når du kobler den til PCen hvis den er en flyttbar stasjon). Skriv inn passordet ditt eller sett inn smartkortet ditt, og stasjonen skal låse opp slik at du kan bruke det.

    I File Explorer viser krypterte stasjoner en gulllås på ikonet (til venstre). Den låsen endres til grå og vises ulåst når du låser opp stasjonen (til høyre).

    Du kan administrere en låst stasjon - endre passordet, slå av BitLocker, sikkerhetskopier gjenopprettingsnøkkelen eller utfør andre handlinger - fra BitLocker-kontrollpanelvinduet. Høyreklikk en kryptert stasjon, og velg deretter "Administrer BitLocker" for å gå direkte til den aktuelle siden.


    Som alle kryptering, legger BitLocker til litt overhead. Microsofts offisielle BitLocker FAQ sier at "Generelt legger det til en enkeltsifret prosentvis ytelsesoverhead." Hvis kryptering er viktig for deg fordi du har sensitive data, for eksempel en bærbar datamaskin full av forretningsdokumenter, er den forbedrede sikkerheten vel verdt ytelsen -av.