Af Redaktionen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Der var engang, da man kun skulle bekymre sig for, om ens bærbare blev stjålet. Det ville også være surt i sig selv, men hvad med dens indhold? Den er sandsynligvis fuld af fortroligt arbejde, personlige filer, bankoplysninger, elskede fotos og uerstattelige videoer.
Pludselig er det ikke længere den bærbare, man er bange for at miste. Nu ligger man søvnløs af frygt for at miste sine data. Og så er der den ydmyge usb-nøgle – rummelig, men meget nem at tabe.
Den gode nyhed er, at der findes en enkel løsning på faren for tab af data: Kryptering. Det vil sige, at man koder data ved hjælp af en matematisk proces.
Der er flere typer, men de fleste bruger dit kodeord som et matematisk frø, som koden bliver opbygget omkring – hvis du ikke kender kodeordet, kan du ikke få adgang til dataene.
De fleste kodesystemer er ret sårbare, men selv de enkleste kan slå de fleste hackere. Da du har adgang til kryptering, har du ingen undskyldning for ikke at låse dine data inde.
Vi lægger ud med et kig på BitLocker. Det er det krypteringssystem, der er indbygget i Enterprise- og Ultimate-udgaverne af Windows Vista og 7.
Hvis du ikke bruger disse operativsystemer, er der ingen grund til bekymring – vi ser også på nogle gratis alternativer.
BitLocker-beskyttelse
BitLocker er et system, der er udviklet til at kryptere Windows-operativsystemet på din harddisk. Det lyder vældig godt. Problemet er, at BitLocker er svær at installere på en maskine, der allerede kører Vista.
BitLocker kræver to htfs-partitioner – en til systemmappen og en til operativsystemets mappe. Denne opdeling er nødvendig, fordi BitLockers indledende systemverifikation skal finde sted uden for den krypterede operativsystemmappe.
Den ikke-krypterede systemmappe bør være på mindst 1,5GB. Det betyder, at der er plads nok til bootfiler og Windows’ setupprogrammer. Hvis du allerede kører Vista, skal du desværre i gang med en omfattende omgang repartitionering, før du igen installerer krypteringssystemet.
Heldigvis har Microsoft lanceret sit Windows-værktøj til forberedelse af BitLocker-drev, der hjælper med alt det. Værktøjet er en del af Vista Service Pack 1. Hvis du er Vistabruger, er der en god sandsynlighed for, at du allerede har det. Hvis du bruger 7, er værktøjet integreret.
Opsætning af BitLocker
Nu kan vi koncentrere os om Trusted Platform Module (TPM). Det er en chip, der er indbygget i nogle bundkort, og som rummer krypteringsnøgler. Når du skriver dit kodeord, sender Windows det til TPM til validering. Hvis dine nøgle bliver valideret, udfører BitLocker din ordre. Hvis dit bundkort ikke har en TPM-chip, kan du bruge en usb-nøgle.
Hvis du vælger at bruge usb, er det første skridt at tillade support af dit flashdrev som en alternativ form for validering. Tryk [Windows]+[R], skriv ’pgedit.msc’ og tryk [Enter] for at starte Group Policy Editor.
Dernæst skal du gå til »Computerkonfiguration | Administrative skabeloner | Windows-komponenter | BitLocker-drevkryptering«. Hvis du kører Windows 7, skal du åbne mappen til operativsystemet og dobbeltklikke på »Kræv yderligere godkendelse ved start«.
Vistabrugere skal blot dobbeltklikke på »Konfiguration af Kontrolpanel: Aktiver avancerede startindstillinger«. Til sidst vælger du »Aktiveret«, klikker »OK« og lukker Group Policy Editor.
Nu tilbage til opsætningen af harddisken. Vi antager, at du bruger Windows Vista, og at Windows-værktøj til forberedelse af BitLocker-drev er til stede. I så fald er det enkelt at gennemføre den nødvendige splitloading-opsætning af harddisken. Klik »Start | Alle programmer | Tilbehør«.
Klik »Systemværktøjer« efterfulgt af »BitLocker« og dobbeltklik så på »Windows-værktøj til forberedelse af BitLocker-drev«. Når værktøjet er færdig med at trylle, genstarter du computeren.
Til sidst skal du omkring Kontrolpanel og slå BitLocker til. Du kan finde hjælpe på http://support.microsoft.com/kB/933246/en-us.
Brugere af Windows 7 skal følge nøjagtig de samme trin, som Windows-værktøj til forberedelse af BitLocker-drev kræver, og der skal genstartes. Herefter skal man blot følge en enkel wizard fra begyndelse til slut.
De muligheder, du får, afhænger af, om du har en TPM installeret. Du kan om nødvendigt indsætte et flashdrev, hvorpå du kan gemme den krævede nøgle.
Du bliver også bedt om at oprette en gendannelsesnøgle, der kan gemmes på et flashdrev eller som en fil, eller som kan skrives ud. Den får du brug for, hvis BitLocker blokerer for adgang til drevet.
Derfor skal du lave en kopi nu (du kan senere lave yderligere kopier ved hjælp af funktionen Administrer BitLocker). Når drevet er krypteret, kan du kryptere flere drev ved at højreklikke på dem og vælge »Slå BitLocker til«.
Næste gang fortsætter vi denne workshop med kigge bag om Bitlocker, og vi forklarer dig, hvordan du kan bruge et gratis program mage til BitLocker, derefter viser vi, hvordan du krypterer dine filer og sikrer dit flashdrev.
Tag backup af data og kodeord
Kryptering er et tveægget sværd. Det sikrer dine data mod tyve, men hvis du glemmer kodeordet, eller hvis krypteringssystemet tager skade, bliver du afskåret fra dine egne data, og der er ringe eller slet ingen chance for at komme ind igen. Sikker kryptering kræver, at man tager sine forholdsregler.
Begynd med at tage backup af dine data eller dit drev. Hvis du ønsker et gratis, pålideligt værktøj, kan du overveje Macrium Reflect Free (www.macrium.com/reflectfree). Det er også klogt at tage regelmæssig backup af dine data, selv efter at drevet er blevet krypteret – opbevar en ukrypteret kopi et sted.
Der er indbygget forskellige sikkerhedsforanstaltninger i krypteringsværktøjer. For eksempel en rednings-cd til TrueCrypt eller en gendannelsesfil eller udskrift til BitLocker.
Prøv også at tage backup, hvor du kan. Brænd endnu en kopi af rednings-cd’en eller lav flere kopier af din gendannelsesfil ved at vælge »Administrer BitLocker« ved siden af det valgte drev i Kontrolpanel til BitLocker-drevkryptering.
Hvis du bruger EFS i Windows til at kryptere individuelle filer og mapper, skal du sikre dig, at du tager en backup af dit EFS-certifikat, som du skal bruge til at få adgang til filer på en anden computer eller efter geninstallation af Windows. Se http://support.microsoft.com/kB/241201, hvis du kører XP, eller www.bit.ly/8Uh5uj, hvis du kører Windows 7 eller Vista.
Når du skal oprette en ny krypteret beholder eller vil kryptere en partition eller et drev, giver TrueCrypt dig mulighed for at gøre det skjult. Grunden er helt enkelt, at du undgår at blive tvunget til at afsløre kodeordet til det krypterede drev.
Det lyder måske usandsynligt for de fleste brugere af hjemme-pc’er, men for nogle kan det være en ekstra sikkerhedsforanstaltning, som de ikke kan undvære.
Når du vil oprette et skjult drev eller en skjult beholder, laver TrueCrypt et drev i drevet. Det ydre drev er synligt og tilgængeligt, men dit skjulte drev ligger i beholderens ledige plads. Eftersom denne ledige plads bliver fyldt med vilkårlige data i stedet for nuller, er det umuligt at afgøre, om denne ledige plads gemmer endnu et drev.
Processen er enkel: Du opretter to kodeord, et til det ydre drev og et til det skjulte (der skal naturligvis være stor forskel på dem). Når du skal åbne drevet, vælger du, hvilket kodeord du skal skrive. Så får du enten det ydre eller det skjulte drev. Sørg for, at du har nogle ikke-følsomme filer liggende på det ydre drev, så det ser ud, som om det bliver brugt.
Man kan endda oprette et skjult operativsystem på en lignende fremgangsmåde. Det kodeord, du skriver ved boot, afgør, om dit afledningsoperativsystem eller dit skjulte operativsystem bliver indlæst.
Husk at bruge afledningsoperativsystemet ofte – måske til normal, daglig brug – for at aflede mistanke og fjerne opmærksomheden fra dit skjulte operativsystem.
[themepacific_accordion_section title="Fakta"]
Det skal du bruge…
[/themepacific_accordion_section][/themepacific_accordion]