TPM-hårdvara och Microsoft Edrive
I normalfallet kommer Bitlocker med relativt strikta systemkrav. Framför allt behöver datorn så kallad TPM-hårdvara för att enheten med operativsystemet ska kunna krypteras. TPM står för Trusted Platform Module och är ett krypteringssystem från Trusted Computing Group.
Det handlar i praktiken om dedikerade kretsar för att lagra och generera krypteringsnycklar samt för att hålla koll på datorns övriga hårdvara. Förändras något, till exempel om en lagringsenhet byts ut eller flyttas, spärras systemet och krypteringen måste låsas upp manuellt.
TPM-hårdvara installerad på ett moderkort.
Hårdvara för TPM är mycket vanligt i bärbara datorer, särskilt i modeller avsedda för företagsmarknaden. Många moderkort för stationära datorer har dessutom en förberedd plats där användaren kan installera en egen modul. Exakt vilka TPM-moduler som fungerar och hur installationen går till varierar mellan olika moderkortsmodeller. Ta en titt i manualen!
Kontrollera om datorn innehåller aktiv TPM-hårdvara
Den enklaste metoden för att kontrollera huruvida TPM finns på plats är genom att starta Bitlockers kontrollpanel. Längst ned till vänster finns en länk för TPM-administration, vilken öppnar en dialogruta som berättar om modulen är redo.
Med aktiv TPM går det att se information och att göra inställningar i kontrollpanelen.
Om TPM-hårdvaran inte upptäcks av Windows kan kretsen vara inaktiverad i UEFI. Exakt hur aktiveringen går till varierar mellan olika tillverkare – läs i manualen till moderkortet eller kontakta supporten för hjälp. Med alla delar på plats är det raksträcka resten av vägen. Nästa steg är att förbereda för aktiveringen av Bitlocker.
Bitlocker utan TPM-hårdvara
Bitlocker för lagringsenheter som inte innehåller ett operativsystem fungerar direkt, även utan TPM. Säkerhet kan sättas i form av ett separat lösenord eller knytas till när användaren loggar in i Windows.
Som standard fungerar inte Bitlocker på enheten med operativsystemet utan installerad TPM.
Att köra Bitlocker på enheten som innehåller själva operativsystemet utan TPM i datorn är dock inaktiverat som standard. Guiden skickar upp ett felmeddelande, vilket lätt kryptiskt förklarar metoden för att gå runt begränsningen.
I korthet handlar det om att tillåta ett undantag, där krypteringen knyts till lösenord eller USB-minne snarare än TPM. Det krävs med andra ord lite extra arbete och förberedelser innan Bitlocker kan aktiveras.
Bitlocker med Microsoft Edrive
En ofta förbisedd funktion i Windows 8/8.1 är Microsoft Edrive. I korthet innebär det möjlighet att använda vissa SSD-enheters inbyggda och redan aktiva kryptering för Bitlocker. Systemet ersätter inte TPM eller andra metoder för upplåsning, utan syftar framför allt till att ge en alternativ metod för själva säkrandet av datan.
Bitlocker med Edrive har flera fördelar. Framför allt handlar det om hastighet – eftersom processorn i stort sett inte blandas in påverkas systemets prestanda mer eller mindre inte alls jämfört med okrypterat läge. Det går även mycket snabbt att initiera Bitlocker då i princip allt redan är redo, endast en "handskakning" mellan mjuk- och hårdvara krävs.
Lagringsenheter med stöd för Edrive är fortfarande relativt ovanliga.
Även om Edrive på papperet är ett smart koncept finns dock ett antal nackdelar. Funktionen bygger på standarden IEEE 1667, vilken inte är implementerad i alla SSD-enheter och inte alltid nämns i specifikationerna. Även med stöd för tekniken är det inte heller säkert att Edrive fungerar. Kompletta listor över kompatibla enheter saknas.
Modeller som fungerar är bland annat Crucial MX100, MX200 och M500, Samsung 840 Evo, 850 Evo och 850 Pro samt en uppsjö OEM-varianter för bärbara datorer. Det "enklaste" sättet att undersöka kompatibiltiet är att helt enkelt använda lämplig sökmotor och leta information på internet.
Edrive har även en annan nackdel – enheten som ska krypteras måste vara i "oinitierat läge" när Windows hittar den. Det innebär kort och gott att inget filsystem och ingen data kan finnas på plats, något som i praktiken gör att en ren installation av Windows måste ske om enheten med operativsystemet står i fokus.
Användare har experimenterat med olika typer av kloningsmjukvaror, vilket helt enkelt inte verkar fungera. Windows behöver av allt att döma känna igen Edrive-enheten redan vid installation, och initiering av tekniken i efterhand fungerar inte.
Andra krav är bland annat att datorn måste starta i UEFI-läge, samt att CSM (Compatibility Support Module) måste vara inaktiverat. Mer information om Edrive finns på Microsofts webbplats.
Microsoft Edrive är i dagsläget svårt att komma igång med och kan innebära en hel del pill att få på plats. Funktionen rekommenderas endast för mer avancerade användare, och alla detaljer finns inte med i den här kom igång-guiden.
