Komplet BitLocker To Go-vejledning: sikker kryptering på USB-drev og eksterne drev

Hvis du arbejder med eksterne harddiske, USB-flashdrev eller SD-kortSandsynligheden for at miste din enhed, eller at den falder i de forkerte hænder, er højere, end vi gerne ville have. Det er her, BitLocker To Go kommer ind i billedet, Microsofts løsning, der sikrer, at selvom du mister din enhed, kan ingen læse en eneste byte uden din adgangskode eller gendannelsesnøgle.

Gennem hele denne guide vil du se, meget mere detaljeret end normalt, Hvad er BitLocker To Go præcist, hvordan konfigurerer man det i Windows, hvordan administrerer man det med gruppepolitikker, og hvad skal man gøre, hvis man mister sin adgangskode? Og hvilke alternativer har du, hvis du vil tage kryptering et skridt videre? Vi dækker også standard BitLocker, TPM-chippens rolle, dens indflydelse på ydeevnen og mere. Tricks avancerede funktioner med PowerShell, så du kan styre værktøjet, som om du var fra IT-afdelingen.

Hvad er BitLocker, og hvad tilføjer BitLocker To Go?

BitLocker er den drevkrypteringsfunktion inkluderet i Windows i Pro-, Enterprise- og Education-udgaverne (fra Windows Vista og fremefter). Dens formål er at beskytte alt indhold på en disk (inklusive operativsystemet), så ingen kan læse dataene uden den korrekte adgangskode, selvom de starter computeren fra et andet system eller tilslutter disken til en anden computer.

I tilfælde af enheder, der administreres i virksomheder, er BitLocker-kryptering normalt inkluderet. centralt styret af IT-afdelingenMange organisationer kræver endda kryptering af bestemte diske eller alle af dem. bærbare gennem gruppepolitikker, uden at brugeren kan beslutte.

Fra kontrolpanelet kan du få adgang til modulet for BitLocker-drevkryptering, hvor Windows viser dig alle drevene med tildelte bogstaver: operativsystemdrevet, interne datadrev og flytbare drev, som er dem, vi er interesserede i til BitLocker To Go.

BitLocker To Go er den BitLocker-variant, der er designet specifikt til Flytbare medier: USB-flashdrev, SD-kort og eksterne harddiske med filsystemer NTFS, FAT16, FAT32 eller exFAT. Dens formål er simpelt: at hvis nogen finder eller stjæler dit USB-drev, vil de kun se et låst drev og vil ikke kunne læse noget uden adgangskoden, et smartkort eller gendannelsesnøglen.

Forskelle mellem BitLocker og BitLocker To Go

Selvom de deler den samme teknologiske base, har BitLocker og BitLocker To Go lidt forskellige tilgangeBitLocker fokuserer på at kryptere systemdrevet og andre interne diske, mens BitLocker To Go er rettet mod flytbare drev, som du ofte tilslutter og frakobler.

I systemdrevkryptering kan BitLocker kombineres med TPM, PIN-kode til støvleadgangskoder og nøgler gemt på USB For at sikre at computeren starter. Umiddelbart efter opstart, selv før Windows indlæses, verificerer systemet integriteten og kræver den definerede godkendelse; ellers starter systemet ikke.

Når du krypterer en intern datapartition eller en ikke-bootdisk, vil BitLocker bede dig om adgangskoden, når du dobbeltklikker på drevet. Uden at indtaste nøglen forbliver indholdet krypteret., uanset hvilke NTFS-tilladelser mapperne eller Windows-brugerne har.

BitLocker To Go fokuserer i mellemtiden på den praktiske brug af krypterede USB-drev, som du kan have med digTilslut USB-drevet til en kompatibel Windows-computer, indtast adgangskoden eller brug dit smartkort, og drevet vil blive dekrypteret. Når du kopierer filer til USB-drevet, krypteres de med det samme; når du kopierer dem væk, dekrypteres de automatisk.

På ældre systemer som Windows XP eller nogle udgaver af Vista, der ikke understøtter BitLocker To Go som standard, tilbyder Microsoft BitLocker To Go-læser, et lille værktøj, der giver dig mulighed for at åbne FAT-drev beskyttet af BitLocker i skrivebeskyttet tilstand, så du i det mindste kan gendanne oplysninger.

Understøttede Windows-versioner og krav

BitLocker og BitLocker To Go er tilgængelige på Windows Pro-, Enterprise- og Education-udgaverneDu finder dem ikke i Home-versionerne, hvor du bliver nødt til at bruge tredjepartsværktøjer som VeraCrypt, hvis du vil kryptere hele diske.

En Windows 7, 8, 8.1, 10 og 11, den konfigurationsmuligheder og tilgængelige algoritmer Disse kan variere en smule afhængigt af den specifikke version. Fra og med Windows 10 version 1511 blev muligheden for at vælge forskellige krypteringsmetoder til bootdrev, interne datadrev og flytbare drev introduceret via Gruppepolitik.

Mange enheder integrerer en chip TPM (Trusted Platform Module) på bundkortet, hvilket forstærker BitLocker-sikkerheden ved at generere og sikkert opbevare en del af nøglerne i hardwareFor at se den kan du åbne Enhedshåndtering og kontroller, om en TPM "Sikkerheds"-enhed vises, eller kør tpm.msc med Windows + R.

Hvis din computer ikke har en TPM, skal du ikke bekymre dig: du kan konfigurere den ved hjælp af gruppepolitikker. BitLocker fungerer uden TPM Brug adgangskoder eller et USB-drev med opstartsnøglen. Aktiver blot indstillingen "Kræv yderligere godkendelse ved opstart" og marker "Tillad BitLocker uden en kompatibel TPM".

Med hensyn til ydeevne er effekten på de fleste moderne systemer med AES-NI hardwarekrypteringsunderstøttelse ret moderatMen hvis du bemærker langsom overførsel på USBDer er observeret betydelige præstationstab i nogle SSD specifikke forhold (for eksempel mærkbare reduktioner i tilfældige læsninger på visse avancerede drev), når BitLocker kun køres af software i stedet for at være afhængig af SSD'ens egen hardwarekryptering.

Sådan får du adgang til og aktiverer BitLocker To Go på Windows

For at administrere BitLocker og BitLocker To Go fra den grafiske brugerflade er den nemmeste måde at gå til Kontrolpanel > System og sikkerhed > BitLocker-drevkrypteringDer vil du se drevene grupperet i: operativsystemdrev, faste datadrev og flytbare datadrev (BitLocker To Go).

En anden hurtig måde at komme dertil på er ved at bruge Windows-søgning. Med din har administratorrettigheder Når du er startet, skal du åbne Start-menuen, skrive "BitLocker" og vælge "Administrer BitLocker". Dette fører dig til den samme kontrolpanel-applet, hvor alle drev vises med deres krypteringsstatus.

På enheder, hvor den endnu ikke er aktiv, vil du se muligheden "Aktivér BitLocker"Når du trykker på den på et flytbart drev, åbnes BitLocker To Go-guiden, som først spørger dig, hvordan du vil låse drevet op.

På USB-drev og eksterne harddiske kan du vælge en låse adgangskoden op eller ved at bruge et smartkort. Adgangskoden skal være stærk og kombinere store og små bogstaver, tal og symboler. Windows kræver en minimumslængde, og i virksomhedsmiljøer kan politikken være strengere.

Før kryptering starter, vil guiden bede dig om at vælge hvordan gem gendannelsesnøgle, den livline du får brug for, hvis Glemt din adgangskode?Du har flere muligheder: Microsoft-konto (uploadet til OneDrive), ukrypteret USB-flashdrev, tekstfil eller papirudskrift. Microsoft anbefaler, at du til hjemmecomputere forbinder den til din Microsoft-konto eller i det mindste gemmer den et sted, der ikke er krypteret med selve drevet.

Krypteringsmuligheder: brugt plads, fuld disk og algoritmer

Når du begynder at kryptere et drev, spørger BitLocker, om du kun vil kryptere brugt plads eller hele disken. Det er meget hurtigere kun at kryptere det brugte, hvilket er ideelt til nye eller nyligt formaterede diske; men på diske med en historik kan slettede data stadig være i frie sektorer og kunne gendannes, hvis nogen tilgår dem uden kryptering.

For drev, der allerede har indeholdt indhold, er kryptering den sikreste løsning. hele albummetSelvom det kan tage længere tid. På denne måde forbliver selv tidligere slettede oplysninger beskyttet. På små drev (USB-drev eller SSD'er med moderat kapacitet) er denne ekstra tid normalt acceptabel.

Hvad angår algoritmer, bruger Windows som standard XTS-AES med 128-bit nøgle til interne drev og AES-CBC med 128-bit nøgle Til eksterne drev og USB-flashdrev. XTS-AES er mere moderne, anses for at være mere robust i visse scenarier og tilbyder normalt overlegen ydeevne.

Hvis du vil hæve barren for sikkerhed, kan du bruge editoren til lokale gruppepolitikker (gpedit.msc) Du kan angive brugen af ​​256-bit nøgler til både XTS-AES og AES-CBC. Dette øger teoretisk set modstandsdygtigheden over for brute-force-angreb, på bekostning af et lidt højere ressourceforbrug, selvom effekten er minimal på moderne systemer.

Microsoft tilbyder adskillige politikker kaldet "Vælg drevkrypteringsmetode og krypteringsstyrke for...", der tillader definer algoritmen og nøglelængden separat for systemdrev, interne datadrev og flytbare drev, og tilpasse det til operativsystemet og dets version.

Administration af BitLocker To Go med gruppepolitikker i virksomheder

I virksomhedsmiljøer giver det ikke mening for hver bruger at beslutte, om de vil kryptere deres USB-drev, hvordan nøglerne skal opbevares, eller hvilken algoritme de skal bruge. For at undgå dette kaos implementeres kryptering ved hjælp af... gruppepolitikker (GPO), hvorfra administratoren håndhæver BitLocker To Go-konfigurationen og automatiserer opbevaring gendannelsesnøgler i Active Directory.

Specifikke politikker for flytbare drev findes på: Computerkonfiguration > Administrative skabeloner > Windows-komponenter > BitLocker-drevkryptering > Flytbare datadrevDerfra kan du for eksempel blokere skrivning til USB-drev, der ikke er krypteret med BitLocker.

Den vigtigste direktiv i denne henseende er "Nægt skriveadgang til flytbare drev, der ikke er beskyttet af BitLockerHvis du aktiverer det, vil ethvert ukrypteret USB-drev blive monteret i skrivebeskyttet tilstand, og Windows vil advare dig om, at BitLocker skal aktiveres for at gemme data.

Guiden, der åbnes, når kryptering startes, kan tilpasses, så vis færre muligheder for brugerenFor eksempel kan du foruddefinere, at kun den brugte plads eller hele disken altid krypteres, eller vælge en specifik algoritme fra GPO'erne "Håndhæv drevkrypteringstype på flytbare datadrev" og "Vælg drevkrypteringsmetode og krypteringsstyrke".

Vedrørende administration af gendannelsesnøgler er det almindeligt at konfigurere "Vælg, hvordan du vil gendanne BitLocker-beskyttede flytbare drev"og tvinge dem til automatisk at blive gemt i Active Directory. Hvis "Omgå BitLocker-installationsguidens gendannelsesindstillinger" også er valgt, vil brugerne ikke kunne gemme dem i filer eller udskrive dem selv.

Kontrol af organisationsidentitet og håndhævelse af adgangskoder

Et andet interessant aspekt er evnen til at Marker de krypterede USB-drev med organisationsidentifikatorengennem direktivet "Angiv unikke identifikatorer for din organisation". Hver krypteret enhed er mærket med dette ID, som kan være en streng på op til 260 tegn.

Kombinering af denne identifikator med muligheden "Tillad ikke skriveadgang til enheder, der er konfigureret i en anden organisation."(inkluderet i den samme kategori af BitLocker To Go-politikker), kan du forhindre brugere i at fortsætte med at bruge USB-drev, som de selv krypterede, før virksomhedspolitikken blev implementeret, eller som ikke opfylder den interne standard."

Direktivet "Konfigurer adgangskodebrug til flytbare datadrev" bruges til at justere minimumskompleksiteten af ​​BitLocker To Go-adgangskoder: længde, blanding af tegntyper osv. Normalt koordineres disse regler med domænets globale adgangskodepolitik for at opretholde et ensartet sikkerhedsniveau.

Hvis du også deaktiverer "Tillad brugere at suspendere og dekryptere BitLocker-beskyttelse på flytbare datadrev", opnår du Ingen kan fjerne krypteringen fra et virksomheds-USB-drev på egen hånd; kun administratorer, fra deres konsol, ville have den mulighed.

Hele denne centraliserede konfiguration sikrer, at krypteringen af ​​bærbare drev ikke afhænger af hver enkelt medarbejders velvilje, men af ​​en sammenhængende og gældende sikkerhedspolitik i hele organisationen, hvilket reducerer risikoen for informationslækager fra mistede USB-drev betydeligt.

TPM, bootsikkerhed og brug af BitLocker uden TPM

TPM (Trusted Platform Module) er en lille kryptochip integreret i mange moderne bundkort Dette styrker BitLockers sikkerhed betydeligt, især når bootdrevet er krypteret. Det genererer og gemmer en del af krypteringsnøglerne og verificerer, at bootmiljøet ikke er blevet manipuleret.

Blandt dens nøglefunktioner er datakryptering og beskyttelse mod malware støvleTPM'en opretter et nøglepar (offentlig og privat), gemmer en del af den private nøgle og kontrollerer under opstart, at boot manager og andre kritiske komponenter ikke er blevet ændret. Hvis den registrerer noget mistænkeligt, kan den forhindre normal opstart.

Chippen kan også aktivere en karantænetilstand Når den registrerer en potentiel kompromittering, giver den systemet mulighed for at forsøge reparation, før den starter normalt. Derudover fungerer den som et sikkert lager for certifikater, adgangskoder og krypteringsnøgler, hvilket er meget mere robust end at gemme dem på diskfiler.

Det er ikke kun fordele: brugen af ​​TPM indebærer en vis hardwareafhængighedDet betyder, at en chipfejl kan gøre krypterede data utilgængelige, hvis der ikke er forberedt sikkerhedskopier og gendannelsesnøgler. Desuden er ikke alle systemer og applikationer fuldt kompatible, og administrationen kan være kompleks for uerfarne brugere.

Hvis din computer mangler en TPM, eller du stadig ønsker at kryptere systemdrevet, kan du bruge løsningen ved at aktivere politikken "Kræv yderligere godkendelse ved opstart" og markere feltet for at tillade BitLocker uden en TPM. I så fald sikres opstartsprocessen ved hjælp af USB-drev med bootnøgle eller pre-boot-adgangskode, som du skal indtaste hver gang du tænder computeren.

Avanceret BitLocker-administration med PowerShell

Ud over grafiske værktøjer tilbyder Windows dig en række PowerShell-cmdlets at administrere BitLocker og BitLocker To Go med langt mere fleksibilitet, ideelt til at automatisere opgaver, skrive scripts eller administrere snesevis af computere på én gang.

PowerShell er et meget kraftfuldt konsol- og scriptingmiljø, der erstatter de gamle .bat-filer af MS-DOS. Derfra kan du kontrollere drevenes status, aktivere kryptering, tilføje eller fjerne beskyttelser, låse eller låse diske op og deaktivere BitLocker, alt baseret på kommandoer veldefineret.

For at se status for en bestemt enhed bruges cmdlet'en Get-BitLockerVolumesom accepterer MountPoint-parameteren (for eksempel F:). Hvis du tilføjer et “| fl” til sidst, får du en detaljeret liste med de konfigurerede beskyttere, krypteringsprocenten, låsestatus osv.

Administrationen af ​​sikkerhedsfunktioner (adgangskoder, gendannelsesnøgler, opstartsnøgler) udføres med Tilføj-BitLockerKeyProtectorDu kan tilføje en adgangskodebeskytter, en gendannelsesnøgle (som gemmes som en fil i en bestemt sti), en 48-cifret adgangskodebeskytter til gendannelse eller en opstartsnøgle, der placeres på et USB-drev.

Når du har konfigureret de ønskede beskyttere, startes krypteringen af Aktivér BitLockerAngiv drevet med MountPoint og den type beskyttelse, der skal bruges. Systemet vil begynde at kryptere disken og vise (eller du kan fremtvinge det med fvenotify.exe) et statusvindue.

Når du vil låse, oplåse eller konfigurere automatisk oplåsning af et krypteret drev, har du følgende muligheder. Lås-BitLocker, Lås-BitLocker op, Aktiver-BitLockerAutoUnlock og Deaktiver-BitLockerAutoUnlockMed Unlock-BitLocker kan du vælge, hvilken sikkerhed du vil bruge til at åbne drevet: normal adgangskode, gendannelsesadgangskode eller gendannelsesnøglefil.

Deaktivering og dekryptering af et drev, du ikke længere ønsker at beskytte, involverer brug af Deaktiver BitLockerNår du kører det, dekrypteres drevet gradvist, indtil det bliver til almindelig tekst, og igen kan du følge fremskridtet via meddelelsesboksen, hvis du kører fvenotify.exe.

Relateret artikel:

Sådan opretter du en rednings-USB med antivirus: en praktisk guide

Isaac

Passioneret forfatter om bytes-verdenen og teknologien generelt. Jeg elsker at dele min viden gennem skrivning, og det er det, jeg vil gøre i denne blog, vise dig alle de mest interessante ting om gadgets, software, hardware, teknologiske trends og mere. Mit mål er at hjælpe dig med at navigere i den digitale verden på en enkel og underholdende måde.