De Bitlocker functionaliteit werd geïntroduceerd bij Windows Vista / Windows Server 2008. Hiermee is het mogelijk om een harddisk volledig te voorzien van encryptie. Bitlocker gebruikt de TPM (Trusted Platform Module) chip op het moederbord om de decryptie sleutel in op te slaan en is hierdoor een zeer veilige oplossing voor de bescherming van alle gegevens op de harddisk. Als je een Bitlocker versleutelde harddisk uit een PC haalt en in een andere PC stopt is de TPM chip uiteraard niet beschikbaar en moet je de herstel sleutel opgeven.
In Windows 7 en Windows Server 2008 R2 is Bitlocker verder ontwikkeld, zo is het nu mogelijk om data partities (bijv. D:\) te versleutelen en wordt er onder andere nu bij de installatie standaard een extra partitie aangemaakt die nodig is voor Bitlocker.
Hierdoor is het nog gemakkelijker om Bitlocker via Group Policies in een domein af te dwingen.
Nieuw in Windows 7 / Windows Server 2008 R2 is Bitlocker-to-Go waarbij je encryptie kunt aanzetten voor USB sticks en/of externe harddisks. In deze blogpost zullen we dan even kijken naar hoe we de encryptie inschakelen voor een externe harddisk en hoe dat op een andere PC dan eruit ziet. Als eerste sluiten we een externe harddisk aan en klikken daarop met de rechtermuis knop op en kiezen voor Bitlocker inschakelen:
Geef een wachtwoord op en klik op volgende:
Nu komt een belangrijke stap: Het opslaan van de herstelsleutel. Deze zal nodig zijn als de harddisk moet worden geopend op een andere PC en het wachtwoord niet werkt. Mijn advies is dan ook om dit af te drukken, in een bestand op te slaan en dat nog naar te e-mailen naar jezelf: Zorg in ieder geval dat je dit ERG GOED OPSLAAT!
Klik op Volgende, en dan als je klaar bent weer volgende:
Na enige tijd verschijnt:
En bij “Computer” zien we dit:
Halen we de USB disk nu los en sluiten we hem weer aan (ook op een andere PC) dan verschijnt het scherm voor het wachtwoord:
Dit werkt zowel op Windows 7, Windows Vista en Windows XP (vanaf SP2). De laatste twee kunnen niet schrijven naar de USB harddisk maar wel de gegevens bekijken. Dit komt omdat bij Bitlocker-to-Go er een uitvoerbaar bestand op de USB stick / externe harddisk wordt opgeslagen waarmee de data is te ontsluiten.
Thanks!
Tijdens de laatste TechNet Intrack over Windows 7 en MDOP werd de vraag gesteld hoe een beheerder de data van een harddisk die is voorzien van Bitlocker kan benaderen vanuit een andere PC.
Dus vandaag heb ik de harddisk uit mijn werk laptop (Voor de Microsoft laptops is het verplicht om Bitlocker aan te zetten) geschroeft en deze aan de Windows 7 PC gekoppeld. Meteen herkent Windows 7 de Bitlocker schijf en start automatisch de recovery procedure. Hij vraagt dan om de recovery key (Herstelsleutel):
In het “Computer” scherm zien we het encrypted volume op harddisk met driveletter (H:) maar vergrendeld:
Uiteraard heb je nu wel de herstelsleutel nodig. Wanneer je als beheerder de Bitlocker encryptie hebt afgedwongen via de Group Policies en daarbij hebt aangegeven dat er een recovery sleutel moet worden opgeslagen in de Active Directory heb je een speciale tool nodig om de recovery sleutel uit de Active Directory te halen. Meer informatie daarover en de download links vind je hier: http://support.microsoft.com/default.aspx/kb/928202
Mocht de recovery sleutel ook op USB stick zijn opgeslagen dan kun je die gebruiken of natuurlijk (zoals ik in mijn geval deed) de recovery sleutel vanuit het tekst bestand wat bij het aanmaken is gegenereerd. Simpel copy & paste was voldoende om toegang te krijgen tot de harddisk:
Met de optie “Bitlocker beheren” kunnen we dan een aantal opties nog aanpassen:
Op de Computer is H:\ nu ook unlocked.
Hierbij is het wel duidelijk dat *ZONDER* de recovery sleutel (herstelsleutel) er GEEN ENKELE MOGELIJKHEID IS om de data op de Bitlocker Encrypted partitie te benaderen.
Is er bij het (handmatig) aanzetten van Bitlocker geen USB stick gemaakt of de recovery key niet opgeslagen / uitgeprint dan houdt het hier op. Bitlocker heeft geen backdoor, geen Uber-master key bij Microsoft en decryptie is dus dan niet mogelijk.
Vandaar dat het belangrijk is om Bitlocker vanuit Group Policies aan te zetten zodat de recovery key ook in de Active Directory wordt opgeslagen (of de Windows Server 2008 R2 Domain Recovery Key (DRA)) gebruikt kan worden.
Thanks!
Hartelijk dank voor het volgen, de support en het komen naar onze evenementen!
See ya in 2010!