Lagra dina Bitlocker nycklar i Azure AD

Av 14 maj, 2016Azure, Office 365

Kryptering är idag ett mycket vanligt sätt att skydda sina data. Dessvärre har kryptering uppmärksammat den senaste tiden åt andra hållet… nämligen som skadlig programvara i form av ett RansomWare virus. Principen är densamma, man krypterar data och skapar en nyckel som kan låsa upp dessa data. I normafall är det ägaren till datorn som har denna nyckel men i Ransom-fallet är det den som sprider programmet som håller i nyckeln och begär en summa pengar för att du skall få den.

Eftersom både hård- och mjukvara har moderniserats ordentligt de senaste åren har de flesta Operativsystem, nyare datorer, surfplattor och mobiler idag stöd för någon typ av  kryptering. Väl uppsatt märker man inget som användare av datorn, du loggar in som vanligt och dina program beter sig som vanligt. Beroende på hur krypteringen är konfigurerad kan du vid omstart av datorn bli tillfrågad att ange ett lösenord.

Varför skall man då kryptera?

Ett enkelt svar: När du blir av med din dator skall den som tagit datorn inte kunna plocka isär datorn och ta ut hårddisken och på så vis komma åt dina data på den. Krypteringen kräver lite prestanda men med dagens datorer är det knappt märkbart och en billig försäkring till att dina data förblir dina. Viktigt att komma ihåg är att ALLTID spara krypteringsnycklarna på ett säkert ställe…bort från datorn. Om dessa går förlorade kommer inte ens du åt dina data!

bitlocker-computer-properties

De flesta företag som använder Bitlocker idag lagrar sina nycklar i Active Directory (OnPrem). Om man inte har eller vill ha egna domänservrar kan alltså Azure ta emot och lagra din dators nycklar, ett alternativ du kan välja i samband med att du konfigurerar Bitlocker tjänsten. Fördelen här är att detta stöds av gamla och nya klienter.

För att ”out of the box” lagra Bitlocker nyckeln i Azure AD behövs Windows 10 och såklart en prenumeration på Azure Active Directory vilket kan ordnas separat men ingår i Office 365 (åtminstone i Business och Enterprise)

Azure-bitlocker

Rätt konfigurerad kan alla använda sig av säkerhetslösningar i företagsklass. Kom dock ihåg att Bitlock från början är konfigurerad att kräva TPM – Trusted Platform Module. En ”vanlig” konsumentdator har inte ett sådant chip och du måste därför justera datorns grupprinciper så att Bitlocker inte letar efter detta chip.

Grupprinciper ändrar du enklast genom att välja start/kör och skriva gpedit.msc i rutan. Stega ner dig i inställningen för Bitlocker enligt nedan bild och slå på så att Bitlocker också stödjer datorer utan TPM-chip. OK:a dig ut därifrån och starta om datorn innan du startar Bitlocker programmet.

enable-bitlocker-without-tpm

 

Din Windows 10 måste vara ansluten till Azure innan du sätter igång. Något du gör från din dators systeminställningar. (nedan bild) Bitlocker kräver också att du är inloggad med det Azure konto du väljer att koppla till datorn.

connect-to-azure-ad

Sen är det bara att köra igång Bitlocker som genom ett antal steg samlar in information om ditt lösenord samt var säkerhetsnyckeln skall lagras…i detta fall till ett till molndomänkontot.

save-bitlocker-key-to-azure

Beroende på vilka inställningar som gjorts kan du också behöva sätta en pinkod som alternativ inloggning.

bitlocker-set-pincode

När datorn är ansluten till Azure Active Directory kan den kontrolleras på samma sätt som med ett Onprem alternativ…åtminstone vad det gäller möjligheten till inloggning för datorkontot.

azure-ad-computer-accounts-control

Det enda som saknas nu för att få ett fullfjädrat alternativ till OnPrem AD är möjligheten till de vanligaste Policy-inställningar. Alla historiska uppdateringar och funktioner pekar på att det bara är en tidsfråga innan den möjligheten finns som tillval.

 

 

 

Svara