BitLocker voegt een extra laag beveiliging toe aan Windows, maar menig gebruiker weet niet eens of het aanstaat op hun apparaat. Hoe schakel je BitLocker in en waarom zou je dat doen?
Microsoft voegde BitLocker in 2007 toe aan Windows. Dat betekent dat de beveiligingsfunctie al sinds Windows Vista meegaat. Je zou denken dat de functie inmiddels welgekend is onder Windows-gebruikers, maar vraag aan tien willekeurige pc-eigenaars waar BitLocker voor dient en het merendeel zal je daar wellicht geen antwoord op kunnen geven.
BitLocker is een functie die je als gebruiker zelf moet aanzetten als je geen nieuwe Windows-pc met versie Windows 11 23H2 of nieuwer hebt. In toekomstige Windows-versies wil Microsoft dit automatisch voor je doen, maar nu moet je nog handmatig te werk gaan. We tonen je hoe je dat doet, en waarom je BitLocker in de eerste plaats zou moeten aanzetten.
Hoe werkt BitLocker?
BitLocker is een encryptietool om de interne harde schijf van je pc te versleutelen en kan ook worden uitgebreid naar externe schijven. Dit beschermt lokale bestanden op je pc als je het apparaat kwijtgeraakt of het gestolen wordt. BitLocker zet bestanden om naar onleesbare code die een onrechtmatige eigenaar enkel kan ontcijferen met behulp van een unieke sleutel.
BitLocker kan werken zonder Trusted Platform Module (TPM), maar heeft wel profijt van de aanwezigheid van een beveiligingschip. Met een TPM wordt de encryptiesleutel in de hardware van je apparaat opgeslagen. Een TPM 2.0-chip is één van de vereisten om Windows 11 te draaien. Werkt je pc nog op Windows 10 is het waarschijnlijk, maar geen garantie dat een TPM-module in het binnenwerk ingebakken zit.
Niet iedere Windows-versie is overigens voorzien van BitLocker. Microsoft reserveert de functie voor de Pro-, Enterprise- en Education-versies van Windows 11 en Windows 10. De Home-versie voor particuliere gebruikers bevat met Apparaatversleuteling wel een gelijkaardige functie. Het verschil is dat BitLocker steunt op een sterker encryptieprotocol (XTS-AES 128/256-bit) en de gebruiker meer opties biedt om de volledige harde schijf of enkele onderdelen te versleutelen.
lees ook
Windows 11 Home, Pro en Enterprise: welke versie past bij jouw onderneming?
BitLocker inschakelen in Windows
BitLocker wordt (nog) niet automatisch ingeschakeld op alle Windows-pc’s. De functie is echter eenvoudig te vinden via de instellingen, al moet je weten waar te zoeken.
-
Stap 1: Apparaatversleuteling
Eerst tonen we hoe je de Apparaatversleuteling die beschikbaar is voor iedere Windows-pc aanzet. Dit is slechts kwestie van een simpele aan/uit-knop aan te vinken. Ga in de instellingen naar Privacy & Beveiliging en vervolgens Apparaatversleuteling. Via de schuifbalk activeer je de versleutelingsfunctie.
-
Stap 2: BitLocker inschakelen
BitLocker moet je zoeken onder Systeem > Opslag > Geavanceerde opslaginstellingen > Schijven en volumes. Hier vind je een overzicht van beschikbare schijven en opslagvolumes op je apparaat. Klik op Eigenschappen om meer informatie te bekijken. Wij doen dit voor Local Disc (C:): de interne harde schijf van onze pc.
Met BitLocker kan je de schijf in zijn geheel versleutelen om alle bestanden op je apparaat te beschermen. Onder het vak voor BitLocker zie je of dit voor de schijf geactiveerd is en indien niet, kan je het hier aanzetten.
-
Stap 3: PowerShell
Een iets complexere methode om BitLocker in te schakelen verloopt via Powershell. Start het commando met Enable-BitLocker. Specifieer vervolgens het opslagvolume dat je wil versleutelen. Typ hier bijvoorbeeld (C:): als je net zoals in de vorige stap je interne harde schijf wil toevertrouwen aan BitLocker. Tenslotte vraagt Powershell ook om te aan te geven hoe je de BitLocker-sleutel gaat beveiligen. Dat kan met TPM zijn, een pincode, opstartsleutel of een combinatie van meerder methoden.
Dit voorbeeld van Microsoft toont hoe een PowerShell-script voor BitLocker vorm krijgt, wanneer je gebruik zou maken van de TPM-chip in combinatie met een opstartsleutel.
Enable-BitLocker
[-MountPoint] <String[]>
-TpmAndStartupKeyProtector
[-StartupKeyPath] <String>[-EncryptionMethod <BitLockerVolumeEncryptionMethodOnEnable>]
[-HardwareEncryption][-SkipHardwareTest]
[-UsedSpaceOnly]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
BitLocker-sleutel vinden
Als BitLocker actief is, kan je een herstelscherm te zien krijgen wanneer je je pc opstart. Dat kan onder andere gebeuren bij (te veel) mislukte aanmeldpogingen of als je de BIOS-instellingen of beveiligingsfirmware probeert te veranderen, en heel uitzonderlijk als Windows na een update vreemde kuren heeft.
In deze eerder zeldzame gevallen is het belangrijk dat je je BitLocker-sleutel bij de hand hebt, of je zit met een onbruikbaar toestel. Zo vind je die terug.
-
Stap 1: Microsoft-account
De BitLocker-sleutel van je apparaat is te vinden via je online Microsoft-account. Log in en ga naar het menu Apparaten. Vouw het venster open en klik verder op BitLocker-sleutels weergeven. Je krijgt nu je Sleutel-id te zien, maar voor de effectieve herstelsleutel moet je nog één keer verder klikken. De herstelsleutel bestaat uit een cijferreeks van 48 tekens. Bewaar je sleutel op een veilige plek.
-
Stap 2: Azure AD
Voor werkaccounts kan de BitLocker-sleutel ook in de Azure Active Directory weergeven worden. Heb je via je account geen toegang tot de Azure AD van je organisatie, zal je hulp moeten inroepen van de beheerder om je sleutel te bekomen.
Kan BitLocker gekraakt worden?
Je hebt mogelijk al eens in een nieuwsartikel gelezen dat BitLocker gekraakt werd. Dat is verre van eenvoudig en vereist heel wat technische kennis en gespecialiseerde apparatuur, maar onmogelijk is het nooit. Neem altijd het zekere voor het onzekere en maak back-ups van bestanden voor je ze versleutelt: een advies dat in iedere situatie telt, met of zonder BitLocker.