Att aktivera Bitlocker

Med alla förberedelser i hamn har det blivit dags att slå igång Bitlocker. Processen ser i stort sett identisk ut oavsett förutsättningar, men nämnvärt är ändå att följande steg kommer från en Windows 8.1-dator utan TPM-hårdvara. Med TPM eller Edrive saknas eller tillkommer vissa steg samt alternativ, men generellt är stegen de samma.

Öppna kontrollpanelen för Bitlocker

bitlocker_cp.png

Föga förvånande är första steget i processen att starta samma kontrollpanel för Bitlocker som figurerat tidigare i artikeln. Krypteringen startas genom att trycka på Aktivera Bitlocker vid den önskade enheten.

Låt guiden förbereda lagringsenheten

step1.png

Om Bitlocker ska användas på enheten med operativsystemet krävs ofta vissa förberedleser. I korthet skapar guiden en partition på ungefär 350 MB för grundläggande systemfiler, vilken lämnas okrypterad. Det är via denna själva avkrypteringen initieras när datorn startar. Vissa system har redan en separat startpartition sedan innan.

Välj upplåsningsmetod

step2.png

Nästa steg är att välja metod för upplåsning. Utan TPM handlar det om USB-minne för lagring av nycklarna alternativt ett lösenord som skrivs in varje uppstart. Båda metoderna har för- och nackdelar, och vilket som passar bäst beror på användaren.

Om systemet har TPM finns ytterligare alternativ i listan. TPM-hårdvaran kan sköta all upplåsning helt transparent, utan vare sig USB-minne eller lösenord.

Sätt lösenord eller välj USB-minne

step3.png

Beroende på valt alternativ i föregående steg vill Bitlocker nu ha antingen ett USB-minne för nyckellagring eller ett lösenord att fråga efter vid uppstart. Om lösenord används, tänk på att inte välja samma som vid Windows-inloggningen. Två olika varianter försvårar för en eventuell angripare, och ger dessutom inte tillgång till återställningsnyckeln.

Lagra återställningsnyckeln

step4.png

Återställningsnyckeln används om lösenordet glöms, om USB-minnet försvinner eller om Bitlocker/TPM känner av att hårdvaran ändrats på ett otillåtet sätt. I princip handlar det om en lång sifferserie som låser upp enheten, oavsett krypteringsmetod. Utan återställningsnyckeln är datan förlorad om systemet inte kan låsas upp.

Bitlocker kan lagra återställningsnyckeln på flera olika sätt, bland annat till Microsoft-kontot eller till en fil. Det finns dock en hel del regler, till exempel kan nyckeln inte sparas i roten eller på andra krypterade enheter.

Oavsett metod, tänk på att hålla återställningsnyckeln så hemlig som möjligt. Med tillgång till den kan Bitlocker låsas upp, vilket i princip gör krypteringen meningslös. Att lagra nyckeln på en pappersbit i samma väska som den bärbara datorn är med andra ord inte att rekommendera.

Välj hur enheten ska krypteras

step5.png

Bitlocker erbjuder i normalfall två varianter av kryptering, en för hela lagringsenheten och en för befintlig data. På ett nytt system spelar valet mindre roll, men på en äldre maskin där känsliga filer kan finnas kvar på hårddisken är det intressant att oavsett kryptera hela enheten.

Nämnvärt är att om Microsoft Edrive fungerar och är korrekt initierat finns inte det här steget. Hela enheten krypteras alltid, och valet behövs därför inte. Med andra ord – att alternativet inte dyker upp är ett bra tecken på att Edrive rullar korrekt.

Låt Bitlocker starta om datorn

step6.png

Frivilligt men högst rekommenderat är att låta guiden starta om datorn när alla val är gjorda. Bitlocker kontrollerar då så nycklar och alternativ fungerar innan själva krypteringen påbörjas, vilket säkerställer att inget går snett med dataförlust som följd.

DSC_0210.JPG

Om ett lösenord har valts som upplåsningsmetod för enheten med operativsystemet bör en blå skärm visas direkt efter uppstart. Här finns även alternativ för att skriva in återställningsnyckeln via tangenten Escape.

Låt Bitlocker kryptera enheten

encrypting_2.PNG

Om allt gått som planerat kommer Bitlocker nu att kryptera lagringsenheten. Processen sker i bakgrunden och tar olika lång tid beroende på bland annat lagringsutrymme och prestanda – räkna med allt från några minuter till flera timmar. Det går att använda systemet som vanligt undertiden.

Med Microsoft Edrive är processen i stort sett omedelbar. Ingen ytterligare kryptering behövs utöver SSD-enhetens inbyggda, utan allt som krävs är en handskning mellan hård- och mjukvara.

Klappat och klart!

bitlocker_active.png

När processen slutförts är Bitlocker redo och den valda lagringsenheten krypterad. Kontrollpanelen ger alternativ för att bland annat pausa skyddet, byta upplåsningsmetod eller avkryptera systemet.