Översikt över BitLocker

 

Gäller för: Windows Server 2012, Windows 8

Det här avsnittet ger en överblick över BitLocker med en lista över nya och förändrade funktioner, systemkrav, praktiska program och inaktuella funktioner. Det innehåller länkar till ytterligare innehåll som hjälper dig att lära dig mer om hur du arbetar med BitLocker.

Menade du ...

• AppLocker

• EFS

• BitLocker-diskkrypteringsprovider

Funktionsbeskrivning

BitLocker-diskkryptering är en dataskyddsfunktion för operativsystemet som först lanserades i Windows Vista. Efterföljande operativsystemversioner har fortsatt att förbättra säkerheten som erbjuds av BitLocker, så att operativsystemet nu ger BitLocker-skydd till flera enheter. När BitLocker är integrerat med operativsystemet hanteras hot om datastöld eller exponering från förlorade, stulna eller felaktigt inaktiverade datorer. Manage-bde är det kommandoradsverktyg som också kan användas till att utföra åtgärder på datorn som rör BitLocker. När du installerar en valfri BitLocker-komponent på en server måste du också installera funktionen Förbättrad lagring, som används för att stödja kryptering av maskinvaruenheter. På servrar kan även BitLocker-funktionen BitLocker-upplåsning via nätverk installeras. Datorer som kör Windows RT, Windows RT 8.1 eller Windows 8,1 kan skyddas med hjälp av enhetskryptering, vilket är en anpassad version av BitLocker.

BitLocker ger bäst skydd när det används med en TPM (Trusted Platform Module) version 1.2 eller senare. TPM är en maskinvarukomponent som installeras i många nyare datorer av datortillverkarna. Den används tillsammans med BitLocker för att skydda användardata och för att säkerställa att en dator inte har manipulerats medan systemet var offline.

På datorer som inte har TPM version 1.2 eller senare kan du fortfarande använda BitLocker för att kryptera enheten med operativsystemet Windows. Den här implementeringen kräver att användaren sätter i en USB-startnyckel för att starta datorn eller aktivera den från viloläge. I Windows 8 kan ett lösenord för operativsystemets volym vara ett annat alternativ för att skydda operativsystemvolymen på en dator utan TPM. Båda alternativen saknar den verifiering av systemintegritet före start som finns i BitLocker med en TPM.

Förutom TPM innehåller BitLocker alternativet att låsa den normala startprocessen tills användaren anger en personlig kod (PIN) eller sätter i en flyttbar enhet, till exempel ett USB-flashminne, som innehåller en startnyckel. Dessa ytterligare säkerhetsåtgärder ger multifaktorautentisering och garanterar att datorn inte startar eller aktiveras från viloläge förrän rätt PIN-kod eller startnyckel anges.

Praktiska tillämpningar

Data på en förlorad eller stulen dator är sårbar för obehörig åtkomst, antingen genom att ett programangreppsverktyg körs mot den, eller genom att överföra datorns hårddisk till en annan dator. BitLocker skyddar mot obehörig åtkomst genom förbättrade fil- och systemskydd. BitLocker kan också göra data oåtkomliga när BitLocker-skyddade datorer inaktiveras eller återvinns.

Det finns ytterligare två verktyg i verktygen för fjärrserveradministration som du kan använda för att hantera BitLocker.

• Lösenordshanteraren för BitLocker-återställning. Med Lösenordshanteraren för BitLocker-återställning kan du söka efter och visa återställningslösenord för BitLocker-diskkryptering som har varit säkerhetskopierade till Active Directory Domain Services (AD DS). Du kan använda verktyget för att återställa data som lagras på en enhet som har krypterats med BitLocker. Lösenordshanteraren för BitLocker-återställning är ett tillägg för Active Directory-användare och datorer, samt snapin-modulen Microsoft Management Console (MMC).

  Genom att använda det här verktyget kan du undersöka ett datorobjekts Egenskaper om du vill se motsvarande återställningslösenord för BitLocker. Dessutom kan du högerklicka på en domänbehållare och sedan söka efter ett återställningslösenord för BitLocker i alla domäner i Active Directory-skogen. Om du vill visa återställningslösenord måste du vara domänadministratör eller blivit delegerad behörighet från en domänadministratör.

• Verktyg för BitLocker-diskkryptering. Verktygen för BitLocker-diskkryptering innehåller kommandoradsverktygen manage-bde och repairb-de, samt BitLocker-cmdletar för Windows PowerShell. Både manage-bde och BitLocker-cmdletar kan användas för att utföra alla aktiviteter som kan utföras via Kontrollpanelen i BitLocker. De är lämpliga att använda för automatisk distribution och andra skriptscenarier. Repair-bde används till katastrofåterställningsscenarier där en BitLocker-skyddad enhet inte kan låsas upp normalt eller med hjälp av återställningskonsolen.

Nya och ändrade funktioner

I följande tabell visas nya och förändrade funktioner för BitLocker i Windows 8 och Windows Server 2012. Läs mer i Nyheter i BitLocker.

Funktion/funktionalitet	Windows 7	Windows 8 och Windows Server 2012
Återställa PIN-kod eller lösenord i BitLocker	Administratörsbehörighet krävs för att återställa PIN-koden för BitLocker på en operativsystemenhet och lösenordet på en enhet med fasta eller flyttbara data.	Vanliga användare kan återställa BitLockers PIN-kod och lösenord på operativsystemenheter, fasta dataenheter och flyttbara enheter.
Diskkryptering	Hela disken krypteras när BitLocker är aktiverad.	Du kan välja att kryptera hela disken eller bara det använda utrymmet på disken när BitLocker är aktiverad. När diskutrymmet används krypteras disken.
Stöd för maskinvarukrypterad enhet	Stöds inte internt av BitLocker.	BitLocker har stöd för hårddiskar med Windows-logotypen som levereras förkrypterade från tillverkaren.
Låsa upp med en nätverksbaserad nyckel för tvåfaktorautentisering	Inte tillgänglig. Fysisk närvaro vid datorn krävs vid tvåfaktorautentisering.	En ny typ av nyckelskydd innebär att en särskild nätverksnyckel används för att låsa upp och hoppa över frågan om PIN-kod i situationer där datorer startas om på betrodda kabelanslutna nätverk. Detta möjliggör fjärrunderhåll på datorer som skyddas med hjälp av en PIN-kod under icke-arbetstid och det ger tvåfaktorautentisering utan fysisk närvaro vid datorn, samtidigt som användarautentisering krävs när datorn inte är ansluten till ett betrott nätverk.
Skydd för kluster	Inte tillgänglig.	Windows Server 2012 innehåller BitLocker-stöd för Windows-klusterdelade volymer och Windows-redundanskluster som körs i den domän som upprättats av en domänkontrollant för Windows Server 2012 och som har aktiverat Kerberos-tjänsten Key Distribution Center.
Länka ett BitLocker-nyckelskydd till ett Active Directory-konto	Inte tillgänglig.	Innebär att ett BitLocker-nyckelskydd kan kopplas till en användare, grupp eller ett datorkonto i Active Directory. Nyckelskyddet kan användas för att låsa upp BitLocker-skyddade datavolymer när en användare är inloggad med rätt autentiseringsuppgifter eller har loggat in på en dator med rätt autentiseringsuppgifter.

 

Borttagna eller föråldrade funktioner

Spridaralternativet går inte längre att lägga till i krypteringsalgoritmen Advanced Encryption Standard (AES).

Grupprincipinställningen ”Konfigurera TPM-verifieringsprofil” används inte längre i Windows 8 och Windows Server 2012. Den har ersatts av systemspecifika principer för BIOS-baserade och UEFI-baserade datorer.

–tpm-alternativet stöds inte längre av manage-bde.

Systemkrav

BitLocker har följande maskinvarukrav:

Datorn måste ha TPM 1.2 eller TPM 2.0 för att BitLocker ska kunna använda den systemintegritetskontroll som finns i TPM (Trusted Platform Module). Om datorn inte har TPM innebär en aktivering av BitLocker att du sparar en startnyckel på den flyttbara enheten, som t.ex. ett USB-flashminne.

En dator med en TPM måste även ha en TCG-kompatibel (Trusted Computing Group) inbyggd BIOS- eller UEFI-programvara. Den inbyggda BIOS- eller UEFI-programvaran upprättar en förtroendekedja för operativsystemet före systemstart och den måste innehålla stöd för TCG-angiven SRTM (Static Root of Trust Measurement). En dator utan TPM kräver inte TCG-kompatibel inbyggd programvara.

Systemets inbyggda BIOS- eller UEFI-programvara (för datorer med och utan TPM) måste stödja USB-masslagringens enhetsklass, inklusive att läsa små filer på ett USB-flashminne i förväg i systemdriftsmiljön. Mer information om USB finns i specifikationerna för USB-masslagring och UFI-kommandot för masslagring på USB-webbplatsen.

Hårddisken måste vara partitionerad med minst två enheter:

• Enheten med operativsystemet (eller startenheten) innehåller operativsystemet och dess stödfiler. Den måste vara formaterad med NTFS-filsystemet.

• Systemenheten innehåller de filer som behövs för att läsa in Windows när den inbyggda programvaran har förberett maskinvaran i systemet. BitLocker är inte aktiverad på den här enheten. För BitLocker ska fungera får inte systemenheten vara krypterad, den måste skilja sig från enheten med operativsystemet och måste formateras med filsystemet FAT32 på datorer som använder UEFI-baserad inbyggd programvara, eller med NTFS-filsystemet på datorer som använder inbyggd BIOS-programvara. Vi rekommenderar att systemenheten är ungefär 350 MB i storlek. Det måste finnas cirka 250 MB ledigt utrymme när BitLocker har aktiverats.

När den installeras på en ny dator skapar Windows automatiskt de partitioner som krävs för BitLocker.

I det här biblioteket

• Nyheter i BitLocker

• Nyheter i BitLocker för Windows 8 och Windows Server 2012 [omdirigerad]

• Vanliga och frågor svar om BitLocker

• BitLocker Basic-distribution

• BitLocker: Så här distribuerar du på Windows Server 2012

• BitLocker: Så här aktiverar du låsa upp nätverk

• BitLocker: Använd BitLocker Drive Encryption verktyg för att hantera BitLocker

• BitLocker: Använd Lösenordshanteraren för BitLocker-återställning

• Grupprincipinställningar för BitLocker

• BCD-inställningarna och BitLocker

• Guide för BitLocker-återställning

• Skydda klusterdelade volymer och SAN-nätverk med BitLocker

Se även

• Förbereda din organisation för BitLocker: Planering och principer

• Skydda BitLocker från förstartsattacker

• Kryptera hårddisk

• BitLocker-Cmdlets i Windows PowerShell

• TechNet Wiki-artiklar

• Säkerhet och skydd

• Serverroller och tekniker i Windows Server 2012 R2 och Windows Server 2012