- Duidelijk verschil tussen EFS, BitLocker en apparaatversleuteling en wanneer u welke moet gebruiken.
- Belangrijke controles: TPM, Secure Boot, WinRE en hardwarecompatibiliteit vóór codering.
- Veilig beheer van herstelsleutels en BitLocker-beveiligingen op schijven en USB's.
- Pas de algoritme-/intensiteitsinstellingen en -opties aan als u merkt dat dit gevolgen heeft voor de prestaties van de SSD.
Het beschermen van wat u op uw pc opslaat is niet optioneel: het is essentieel. Windows biedt meerdere beveiligingslagen om ongeautoriseerde toegang tot uw gegevens te voorkomen, ongeacht of uw computer wordt gestolen of iemand probeert toegang te krijgen vanaf een ander systeem. Met ingebouwde tools (u kunt bijvoorbeeld een map versleutelen met BitLocker) kunt u... Versleutel bestanden, mappen, hele schijven en externe apparaten met slechts een paar klikken.
In deze handleiding vindt u alles wat u nodig hebt om een map te versleutelen met BitLocker en andere alternatieven. U leert welke Windows-editie u nodig hebt, hoe u controleert of uw computer een TPM heeft, hoe u EFS voor afzonderlijke items gebruikt en Hoe u de herstelsleutel kunt maken en correct kunt opslaanIk leg ook uit wat u kunt doen als u geen TPM hebt, welk algoritme en welke sleutellengte u moet kiezen, wat de mogelijke gevolgen voor de prestaties zijn en welke opties beschikbaar zijn als u op zoek bent naar bijvoorbeeld een met een wachtwoord beveiligde container/ISO.
Welke encryptieopties biedt Windows en hoe verschillen ze?
In Windows bestaan drie benaderingen naast elkaar:
- versleuteling van het apparaatHet activeert automatisch de bescherming als uw hardware aan bepaalde vereisten voldoet en koppelt de herstelsleutel aan uw Microsoft-account na uw eerste aanmelding. Het is meestal zelfs beschikbaar op Windows Home, maar niet op alle computers.
- BitLocker, Beschikbaar in de Pro-, Enterprise- en Education-edities, is dit volledige schijfversleuteling voor de systeemschijf en andere interne of externe schijven (BitLocker To Go). Het belangrijkste voordeel is dat het volledige volume end-to-end wordt beschermd.
- EFS (Encrypting File System), Ontworpen voor individuele bestanden en mappen, is het gekoppeld aan je gebruikersaccount, zodat alleen de persoon die ze versleutelt ze vanuit datzelfde profiel kan openen. Het is ideaal voor een handvol gevoelige documenten, maar het vervangt BitLocker niet voor uitgebreide bescherming.
Hoe u kunt zien of uw apparaat apparaatversleuteling en TPM ondersteunt
Om te controleren of het apparaat compatibel is met 'apparaatversleuteling', ga je naar Start, zoek je naar 'Systeeminformatie', klik je met de rechtermuisknop en open je 'Als administrator uitvoeren'. Zoek in 'Systeemoverzicht' naar 'Ondersteuning apparaatversleuteling'. Als je 'Voldoet aan vereisten' ziet, ben je klaar; als je berichten ziet zoals 'TPM kan niet worden gebruikt', 'WinRE is niet geconfigureerd' of 'PCR7-binding wordt niet ondersteund'U moet deze punten corrigeren (TPM/Secure Boot activeren, WinRE configureren, externe docks of grafische kaarten loskoppelen tijdens het opstarten, enz.).
Om te controleren of er een TPM aanwezig is: druk op Windows + X, ga naar 'Apparaatbeheer' en zoek onder 'Beveiligingsapparaten' naar 'Trusted Platform Module (TPM)' met versie 1.2 of hoger. U kunt ook 'tpm.msc' uitvoeren met Windows + R. BitLocker werkt het beste met TPMMaar verderop leest u hoe u het kunt activeren zonder die chip.
Bestanden en mappen versleutelen met EFS (Windows Pro/Enterprise/Education)
Als u slechts een specifieke map of een paar bestanden wilt beveiligen, is EFS snel en eenvoudig. Klik met de rechtermuisknop op het item, ga naar 'Eigenschappen' en klik op 'Geavanceerd'. Vink 'Inhoud versleutelen om gegevens te beveiligen' aan en bevestig. Als u een map versleutelt, vraagt het systeem of u de wijziging alleen op de map wilt toepassen of ook op de submappen en bestanden. Kies de optie die het beste bij uw behoeften past..
Eenmaal geactiveerd, zie je een klein hangslotje op het pictogram. EFS versleutelt voor de huidige gebruiker; als je dat bestand naar een andere pc kopieert of probeert te openen vanuit een ander account, is het niet leesbaar. Wees voorzichtig met tijdelijke bestanden (bijvoorbeeld van apps zoals Word of Photoshop): als de hoofdmap niet versleuteld is, kruimels kunnen onbeschermd blijvenDaarom is het aan te raden om de hele map met uw documenten te versleutelen.
Sterk aanbevolen: maak een back-up van uw encryptiecertificaat. Windows vraagt u om 'nu een back-up van uw sleutel te maken'. Volg de wizard voor het exporteren van het certificaat, sla de sleutel op een USB-stick op en beveilig deze met een sterk wachtwoord. Als u Windows opnieuw installeert of van gebruiker wisselt en de sleutel niet exporteert, raakt u mogelijk de toegang kwijt..
Om te decoderen, herhaalt u het proces: eigenschappen, geavanceerd, Schakel 'Inhoud versleutelen om gegevens te beschermen' uit En het is van toepassing. Het gedrag in Windows 11 is identiek, dus het stapsgewijze proces is hetzelfde.
Een map versleutelen met BitLocker (Windows Pro/Enterprise/Education)
BitLocker versleutelt volledige volumes, zowel intern als extern. Klik in Verkenner met de rechtermuisknop op de schijf die u wilt beveiligen en kies 'BitLocker inschakelen'. Als de optie niet verschijnt, is deze niet beschikbaar in uw Windows-versie. Als u een waarschuwing ontvangt over een ontbrekende TPM, Maak je geen zorgen, het kan zonder TPM gebruikt wordenHet vereist alleen een beleidsaanpassing die ik hierna zal toelichten.
De assistent vraagt u hoe u de schijf kunt ontgrendelen: met een wachtwoord of een smartcard. Het is het beste om een wachtwoord met een goede entropie te gebruiken (hoofdletters, kleine letters, cijfers en symbolen). Kies vervolgens waar u de herstelsleutel wilt opslaan: in uw Microsoft-account, op een USB-stick, in een bestand of afgedrukt. Opslaan in Microsoft-account Dit is erg handig (toegankelijk via onedrive.live.com/recoverykey), maar voeg er wel een extra offline kopie aan toe.
In de volgende stap beslist u of u alleen de gebruikte ruimte of de hele schijf wilt versleutelen. De eerste optie is sneller voor nieuwe schijven; voor eerder gebruikte computers is het beter om de hele schijf te versleutelen om verwijderde gegevens te beschermen die nog hersteld kunnen worden. Meer veiligheid betekent meer initiële tijd..
Kies ten slotte de encryptiemodus: 'nieuw' voor moderne systemen of 'compatibel' als u de schijf wilt verplaatsen tussen pc's met oudere versies van Windows. 'BitLocker-systeemverificatie uitvoeren' En het gaat door. Als het de systeemschijf betreft, start de computer opnieuw op en vraagt bij het opstarten om je BitLocker-wachtwoord; als het een gegevensschijf betreft, begint de encryptie op de achtergrond en kun je gewoon doorwerken.
Als u van gedachten verandert, klikt u in Verkenner met de rechtermuisknop op het versleutelde station en gaat u naar 'BitLocker beheren' om BitLocker op die computer uit te schakelen, het wachtwoord te wijzigen, de herstelsleutel opnieuw te genereren of automatisch ontgrendelen in te schakelen. BitLocker werkt niet zonder minstens één authenticatiemethode.
BitLocker gebruiken zonder TPM: Groepsbeleid en opstartopties
Als u geen TPM hebt, opent u de Lokale Groepsbeleid-editor met 'gpedit.msc' (Windows + R) en navigeert u naar 'Computerconfiguratie' > 'Beheersjablonen' > 'Windows-onderdelen' > 'BitLocker-stationsversleuteling' > 'Stations van het besturingssysteem'. Open 'Extra authenticatie vereisen bij opstarten' en stel dit in op 'Ingeschakeld'. Vink het vakje 'BitLocker toestaan zonder compatibele TPM' aan. Pas de wijzigingen toe en voer 'gpupdate /target:Computer /force' uit om de toepassing ervan af te dwingen.
Wanneer u de BitLocker-wizard op uw systeemschijf start, biedt deze twee methoden: 'Plaats een USB-stick' (hiermee wordt een .BEK-opstartsleutel opgeslagen die bij elke opstart moet worden ingevoerd) of 'Voer een wachtwoord in' (preboot-pincode/wachtwoord). Als u USB gebruikt, wijzig dan de opstartvolgorde in uw BIOS/UEFI-instellingen zodat uw computer vanaf de USB-stick kan opstarten. Probeer niet om vanaf die USB-stick op te starten.Verwijder de USB-stick pas als alles voltooid is.
Voordat BitLocker versleutelt, kan het een 'systeemtest' om te bevestigen dat u tijdens het opstarten toegang hebt tot de sleutel. Als dit mislukt en er een opstartmelding verschijnt, controleer dan de opstartvolgorde en beveiligingsopties (Secure Boot, enz.) en probeer het opnieuw.
BitLocker To Go: bescherm USB-schijven en externe harde schijven
Sluit het externe apparaat aan, klik met de rechtermuisknop op de schijf in Verkenner en kies 'BitLocker inschakelen'. Stel een wachtwoord in en sla de herstelsleutel op. U kunt 'Niet meer vragen op deze pc' aanvinken om automatisch ontgrendelen in te schakelen. Op andere pc's: Bij het verbinden wordt het wachtwoord gevraagd voordat u de inhoud ervan kunt lezen.
Op zeer oude systemen (Windows XP/Vista) is er geen native ondersteuning voor ontgrendeling, maar Microsoft heeft 'BitLocker To Go Reader' uitgebracht voor alleen-lezen toegang op FAT-geformatteerde schijven. Als u achterwaartse compatibiliteit wilt, overweeg dan om de 'compatibele' encryptiemodus in de tovenaar.
Versleutelingsalgoritme en sterkte, en hun impact op de prestaties
BitLocker gebruikt standaard XTS-AES met een 128-bits sleutel op interne schijven en AES-CBC 128 op externe schijven. U kunt de encryptie verhogen naar 256 bits of het algoritme aanpassen in de instellingen: 'BitLocker-stationsversleuteling' > 'Kies encryptiemethode en -sterkte…'. Afhankelijk van de Windows-versie wordt dit onderverdeeld per schijftype (opstarten, data, verwisselbaar). XTS-AES is de aanbevolen voor robuustheid en prestaties.
Bij moderne CPU's (AES-NI) is de impact meestal minimaal, maar er zijn gevallen waarbij de prestaties afnemen, vooral op bepaalde SSD's met Windows 11 Pro wanneer BitLocker softwarematig wordt afgedwongen op schijven met hardwarematige encryptie. Bij willekeurige leesbewerkingen op bepaalde modellen (bijvoorbeeld de Samsung 990 Pro 4TB) zijn tot 45% lagere prestaties gemeten. Als u ernstige degradatie opmerkt, kunt u het volgende doen: 1) BitLocker uitschakelen in dat volume (waarbij de beveiliging in gevaar komt) of 2) de hardwareversleuteling van de SSD zelf opnieuw installeren en afdwingen als deze betrouwbaar is (complexer proces en afhankelijk van de fabrikant).
Houd er rekening mee dat een sterkere encryptie (256 bits) een iets hogere belasting met zich meebrengt, maar op huidige apparatuur is het verschil meestal nog te overzien. Geef prioriteit aan veiligheid als u gevoelige of gereguleerde gegevens verwerkt.
Herstelsleutels: waar u ze kunt bewaren en hoe u ze kunt gebruiken
Maak en bewaar altijd een herstelsleutel wanneer u BitLocker inschakelt. Beschikbare opties: 'Opslaan in uw Microsoft-account' (gecentraliseerde toegang), 'Opslaan op een USB-stick', 'Opslaan in een bestand' of 'Sleutel afdrukken'. De sleutel is een 48-cijferige code waarmee u uw account kunt ontgrendelen als u uw wachtwoord vergeet of als BitLocker een opstartafwijking detecteert op de systeemeenheid.
Als u meerdere schijven versleutelt, heeft elke sleutel een unieke identificatiecode. De bestandsnaam van de sleutel bevat meestal een GUID waar BitLocker tijdens het herstel om vraagt. Om de sleutels te bekijken die in uw Microsoft-account zijn opgeslagen, gaat u naar onedrive.live.com/recoverykey terwijl u bent aangemeld. Vermijd het opslaan van sleutels op dezelfde versleutelde schijf en bewaar offline kopieën.
BitLocker integreert een beheerconsole waar u het volgende kunt doen: het wachtwoord wijzigen, beveiligingsmaatregelen toevoegen of verwijderen (wachtwoord, PIN+TPM, smartcard), de herstelsleutel opnieuw genereren en encryptie uitschakelen wanneer u deze niet meer nodig hebt.
Met wachtwoord beveiligde ISO's: betrouwbare alternatieven in Windows 11
Windows biedt geen native 'wachtwoordbeveiligde ISO'. Sommige hulpprogramma's converteren naar hun eigen formaten (zoals '.DAA' in PowerISO), wat niet ideaal is als je het '.ISO'-bestand wilt bewaren. Maak in plaats daarvan een gecodeerde container met VeraCrypt en u kunt het op aanvraag koppelen: het werkt als een met een wachtwoord beveiligde 'virtuele schijf' en is draagbaar.
Als u iets lichts wilt delen, bieden moderne archiveringsprogramma's encryptie met AES: maak een wachtwoordbeveiligd '.zip'- of '.7z'-archief met tools zoals 7-Zip of WinRAR en selecteer de optie om bestandsnamen te encrypteren. Voor externe schijven is BitLocker To Go de aanbevolen methode in Windows Pro; in Home, VeraCrypt voldoet perfect aan zijn doel..
Met al het bovenstaande kunt u beslissen of u een map wilt versleutelen met EFS, een hele schijf met BitLocker of een container wilt maken met VeraCryptHet belangrijkste is dat u de methode kiest die past bij uw Windows-editie en hardware, dat u de herstelsleutel op een veilige plaats bewaart en dat u het algoritme en de lengte aanpast op basis van uw prioriteiten. Als u voor deze drie punten zorgt, zijn uw gegevens beschermd zonder dat uw leven er moeilijker door wordt..
Redacteur gespecialiseerd in technologie- en internetvraagstukken met ruim tien jaar ervaring in verschillende digitale media. Ik heb gewerkt als redacteur en contentmaker voor e-commerce-, communicatie-, online marketing- en reclamebedrijven. Ik heb ook geschreven op websites over economie, financiën en andere sectoren. Mijn werk is ook mijn passie. Nu, via mijn artikelen in Tecnobits, probeer ik al het nieuws en de nieuwe kansen te verkennen die de wereld van de technologie ons elke dag biedt om ons leven te verbeteren.