Handleiding: BitLocker silent encryption configureren.

Wat is Bitlocker versleuteling?

BitLocker is een ingebouwde beveiligingsfunctie van Windows die volledige schijfversleuteling mogelijk maakt. Het zorgt ervoor dat alle gegevens op een apparaat onleesbaar zijn voor onbevoegden, tenzij de juiste authenticatie wordt gebruikt.

Dit betekent dat zelfs wanneer een laptop wordt gestolen of een harde schijf fysiek wordt verwijderd, de opgeslagen informatie niet toegankelijk is zonder de juiste sleutel. In een tijd waarin datalekken en cyberdreigingen steeds vaker voorkomen, vormt BitLocker een essentiële laag in de bescherming van bedrijfs- en persoonsgegevens.

Het belang van deze versleuteling wordt nog groter wanneer we kijken naar de Algemene Verordening Gegevensbescherming (AVG). Deze wetgeving verplicht organisaties om persoonsgegevens adequaat te beveiligen en passende technische maatregelen te nemen.

Encryptie wordt expliciet genoemd als een van de meest effectieve manieren om datalekken te voorkomen of de impact ervan te beperken. Wanneer gegevens versleuteld zijn en in verkeerde handen vallen, wordt dit vaak niet eens als een datalek beschouwd, omdat de informatie niet bruikbaar is voor derden.

BitLocker helpt organisaties dus niet alleen om hun data te beschermen, maar ook om te voldoen aan de wettelijke verplichtingen en mogelijke boetes of reputatieschade te voorkomen.

Microsoft Intune maakt het beheer van BitLocker bijzonder praktisch en schaalbaar. Waar het handmatig inschakelen van encryptie vaak tijdrovend en foutgevoelig is, biedt Intune de mogelijkheid om dit centraal en automatisch te regelen.

Met de zogenaamde “silent” implementatie kan BitLocker op de achtergrond worden geactiveerd zonder dat eindgebruikers pop-ups zien of handelingen hoeven uit te voeren. Dit verhoogt de gebruiksvriendelijkheid en voorkomt dat medewerkers beveiligingsinstellingen omzeilen of per ongeluk verkeerd configureren.

Bovendien geeft Intune beheerders inzicht in de status van de encryptie en worden herstelsleutels veilig opgeslagen in de cloud, waardoor het beheer overzichtelijk en betrouwbaar blijft.

Bitlocker silent encryption instellen met Microsoft intune.

Navigeer via intune.microsoft.com naar het Microsoft Intune portaal. Ga naar endpoint security > disk encryption > create policy > Platform Windows > Profile Bitlocker > Create (of maken)

Configuratie instellingen voor Bitlocker:

• Apparaat versleuteling: ingeschakeld.
• Waarschuwing voor andere schijfversleuteling: uitgeschakeld. (belangrijk voor silent encryption)
• Standaard gebruikers versleuteling toestaan: ingeschakeld.
• Rotatie van herstel wachtwoord configureren: niet geconfigureerd.

Configuratie instellingen Bitlocker-stations versleuteling:

Als je deze instellingen niet configureerd zullen de standaard instellingen worden gebruikt meestal met AES, CBC 128-bits versleuteling. Het is raadzaam om deze zelf aan te passen naar AES, CBC 256-bits versleuteling voor optimale beveiliging.

• Choose drive encryption: enabled
• For fixed data drives: XTS-AES 256-bit.
• For operating system drives: XTS-AES 256-bit.
• For removable data drives: AES-CBC 256-bit.
• Provide unique identifiers: niet geconfigureerd.

Besturingssysteemstations configuratie instellingen.

Voor silent encryption kan je een opstart pin of key gebruiken, met deze reden worden deze opties uitgeschakeld.

• Enforce drive encryption: enabled.
• Encryption type: Full encryption.
• Require addititional authentication at startup: enabled
• Allow Bitlocker without compatible TPM: False
• Configure TPM startup key and pin: Do not allow startup key and PIN with TPM.
• Configure TPM startup key: Do not allow startup key with TPM.
• Configure TPM startup PIN: Do not allow startup PIN with TPM.
• Configure TPM startup: Allow TPM
• Configure minimum PIN: Disabled.
• Allow enhanced PINs: Disabled.

• Disallow standaard users from changing the pin or password: niet geconfigureerd.
• Allow devices with instantGO: niet geconfigureerd.
• Enable use of Bitlocker authentication requiring preboot keyboard input: niet geconfigureerd.
• Choose how Bitlocker protected operation system drives can be recoverd: Enabled, Allow 256-bit recovery key.
• Configure user storage of Bitlocker recovery information: Allow 48-digit recovery password.
• Allow data recovery agent: False
• Configure storage of Bitlocker recovery information to AD DS: Store recovery passwords en key packages.
• Do not enable Bitlocker until recovery information is stored to AD DS: True
• Omit recovery options from the Bitlocker setup wizard: True
• Save Bitlocker recovery information to AD DS: True
• Save Bitlocker recovery information to AD Ds: True
• Configure pre-boot recovery message and UR: niet geconfigureerd.

Vaste gegevensstations configuratie instellingen.

• Enforce drive encryption: Enabled
• Encryption type: Full encryption
• Choose how Bitlocker-protected fixed drives can be recoverd: enabled met allow 256-bit recovery key.
• Configure user storage of Bitlocker recovery information: allow 48-digit recovery password.
• Allow data recovery agent: False
• Configure storage of Bitlocker recovery information to AD DS: Back-up recovery passwords and key packages.
• Do not enable Bitlocker unitl recovery information is stored: True
• Omit recovery options: True
• Save Bitlocker recovery information to AD DS: True
• Deny write access to fixed drives not protected by Bitlocker: niet geconfigureerd.

Beleid opslaan en toevoegen aan beveiliging groep.

Nadat je alles hebt ingesteld kan je het beleid aan de betreffende beveiliging groep waarop Bitlocker silent encryptie op wordt toegepast.