Zowel Windows 10 als Windows 11 zijn voorzien van apparaatversleuteling: een functie om alle bestanden op de schijf in één handeling te versleutelen zodat onbevoegden niet zomaar toegang tot de persoonlijke bestanden kunnen krijgen (net als bij BitLocker, maar dan zonder instelmogelijkheden). Door de versleuteling zijn de persoonlijke bestanden op de schijf alleen toegankelijk vanuit het gebruikersaccount zelf of, indien aanwezig, vanuit een administratoraccount. Hiermee wordt dus voorkomen dat onbevoegden met fysiek toegang tot het apparaat toegang tot mogelijk gevoelige informatie kunnen krijgen (bijvoorbeeld bij diefstal, verlies of omdat je de pc regelmatig onbeheerd achterlaat).
Apparaatversleuteling is alleen beschikbaar wanneer het gebruikersaccount aan een Microsoft-account is gekoppeld, de pc is voorzien van een TPM-chip en in het BIOS zowel UEFI secure boot als DMA-beveiliging zijn ingeschakeld (het gaat dus hoofdzakelijk om pc's die aan de hardware-eisen van Windows 11 voldoen). Wordt aan alle voorwaarden voldaan dan komt de optie voor apparaatversleuteling beschikbaar via Instellingen > Privacy en beveiliging > Apparaatversleuteling (bij Windows 10 via Instellingen > Bijwerken en beveiliging > Apparaatversleuteling).
Het versleutelen van alle bestanden op de schijf klinkt als een interessante beveiligingsmethode, het kan echter onverwachts tot grote problemen leiden! Want hoe kom je nog bij de persoonlijke bestanden wanneer er geen toegang meer tot het gebruikersaccount en eventuele administratoraccounts verkregen kan worden? Een ongeluk ligt in een klein hoekje, denk bijvoorbeeld aan een ontoegankelijk geraakt Microsoft-account, een crash van Windows, een defect moederbord, per ongeluk gewiste versleutelingsinformatie in de TPM-chip of een al dan niet verkeerd uitgevoerde BIOS-flash. En mocht je denken dat het verborgen administratoraccount uitkomst kan bieden dan heb je het mis, deze kan vanwege de versleuteling van de schijf namelijk niet meer buiten Windows om geactiveerd worden...
Nu wordt bij het inschakelen van apparaatversleuteling nog wel een herstelsleutel aangemaakt waarmee mogelijke toegangsproblemen opgelost kunnen worden. Deze herstelsleutel is terug te vinden via het dashboard van het Microsoft-account. (zie https://account.microsoft.com/devices/recoverykey).
Is deze herstelsleutel echter ontoegankelijk (bijvoorbeeld omdat er niet meer kan worden ingelogd met het Microsoft-account) en is er geen recente back-up van de persoonlijke bestanden dan heb je echt een groot probleem! En dat dergelijke toegangsproblemen daadwerkelijk kunnen voordoen, is te merken aan de heftige verhalen die ik regelmatig van lezers ontvang. Allen met de handen in het haar vanwege onherstelbaar versleutelde bestanden, waarbij zelfs de herstelsleutel vreemd genoeg geen oplossing bood.
Het is maar lastig voor te stellen dat persoonlijke bestanden zomaar door Windows worden versleuteld, je kan er immers flink mee in de problemen komen. Ik ging er dan ook vanuit dat deze optie door de gebruiker moest zijn ingeschakeld, totdat Douwe Visser mij erop attendeerde dat apparaatversleuteling op zijn computer automatisch door Windows was geactiveerd. En bij controle van mijn Surface-tablet bleek ook hier apparaatversleuteling automatisch en buiten mijn weten om ingeschakeld. Blijkbaar wordt apparaatversleuteling automatisch en zonder kennisgeving geactiveerd wanneer tijdens de setup van Windows met een Microsoft-account wordt aangemeld (hetgeen vanaf de 2022-update verplicht is bij zowel de Home als de Pro-versie van Windows)...
Aangezien apparaatbeheer ongemerkt geactiveerd wordt, luidt mijn advies om te controleren of apparaatversleuteling ook op jouw eigen pc is ingeschakeld. Is apparaatversleuteling daadwerkelijk geactiveerd, denk er dan goed over na of je er wel gebruik van wilt blijven maken. Speel je liever op safe, schakel deze optie dan weer uit via Instellingen > Privacy en beveiliging > Apparaatversleuteling (Windows 11) of via Instellingen > Bijwerken en beveiliging > Apparaatversleuteling (Windows 10). Let op: het in- en uitschakelen kan vrij lang duren, zet de pc in de tussentijd dus niet uit! Laat je apparaatversleuteling liever toch aan staan om je persoonlijke bestanden te beschermen, sla dan offline een kopie van de herstelsleutel op en maak met grote regelmaat een back-up van je persoonlijke bestanden.
© 2001-2024 - Menno Schoone - SchoonePC - Rotterdam - Privacyverklaring