Förberedelser
Att slå igång Bitlocker är i grund och botten relativt riskfritt och simpelt. Trots det kan det vara bra att göra vissa förberedelser, om inte annat för att förenkla och snabba på aktiveringen.
Säkerhetskopiera
Aktivering av Bitlocker är i normalfall en process som inte förstör data på enheten. Som vanligt finns det dock en risk att något går snett eller att en nyckel skrivs ned felaktigt, vilket i praktiken innebär att alla lagrade filer blir otillgängliga.
Glöm inte att säkerhetskopiera viktiga filer
En rejäl säkerhetskopiering innan krypteringen påbörjas är därför att rekommendera. Att ha färska versioner av alla viktiga filer på en extern hårddisk, i nätverket eller i någon molntjänst är alltid bra, men speciellt viktigt då strukturen på lagringsenheten ska förändras.
Extra viktigt blir steget om Edrive ska aktiveras. Funktionen kräver som tidigare nämnt att lagringsenheten rensas helt via till exempel diskpart, något som följdaktligen även raderar all data.
Förbered hård- och mjukvara
Det är en bra idé att kontrollera systemets egenskaper innan Bitlocker aktiveras. Huruvida datorn har TPM-hårdvara eller om SSD-enheten har stöd för tekniken Microsoft Edrive påverkar förfarandet längre fram i processen. Likaså bör processorns eventuella stöd för hårdvaruaccelereread AES-kryptering vara aktivt, annars påverkas både funktion och prestanda när Bitlocker rullar igång.
Sist men inte minst, för system utan TPM-hårdvara kan det även vara önskvärt med ett tomt USB-minne. På detta kan inloggningsnycklar lagras för att låta systemet starta utan ett extra upplåsningssteg, något som kan vara smidigt för den som inte vill hålla extra lösenord i huvudet.
Förberedelser utan TPM-hårdvara
Som tidigare konstaterat ställer sig Bitlocker på tvären när användaren försöker aktivera funktionen för enheten med operativsystemet om TPM-hårdvara saknas. Lösningen är att ändra i en lokal grupprincip för att lätta på systemets regler.
Starta panelen för lokala grupprinciper genom att skriva gpedit.msc i starskärmens sökruta. Parametern som ska ändras heter Ytterligare autentisering krävs vid start och ligger en bit ned i trädet, under Datorkonfiguration -> Administrativa mallar -> Windows-komponenter -> Bitlocker-diskkryptering -> Operativsystemenheter.
Väl inne i alternativet ska radioknappen flyttas från "Inte konfigurerad" till "Aktiverad". Kontrollera att rutan Tillåt Bitlocker utan kompatibel TPM är markerad och tryck på OK-knappen för att spara. Nu är allt redo för att gå vidare och aktivera krypteringen.
Föreberedelser för Microsoft Edrive
För att Microsoft Edrive ska fungera korrekt krävs att SSD-enheten är i "oinitierat läge". Det innebär att all data och alla partitionstabeller måste bort, hårdvaran kommer med andra ord återställas totalt.
En enkel metod för detta är via Windows-komponenten diskpart. Mjukvaran startas enklast via en kommandoprompt och ger tillgång till en rad verktyg för att hantera systemets lagringsenheter. Om processen gäller enheten för operativsystemet kan en kommandoprompt startas via Shift + F10 under Windows-installationen.
Relevanta kommandon för diskpart
Kommando | Funktion |
|---|---|
diskpart | Startar mjukvaran diskpart |
list disk | Visar alla systemets lagringsenheter |
select disk X | Väljer en speciell enhet, där X är motsvarande siffra från list disk |
clean | Rensar den valda disken på all data och alla partitionstabeller |
Det är extremt viktigt att kontrollera så rätt enhet är vald innan kommandot clean körs. För att vara på den säkra sidan kan det vara en bra idé att fysiskt rycka ur kablarna till övriga enheter, alternativt deaktivera dessa i datorns UEFI/BIOS.
Användare av SSD-enheter från Samsung kan som ytterligare steg behöva aktivera krytperingen manuellt genom mjukvaran Magician. Bra information om detta och Edrive-installation i allmänhet finns i ett blogg-inlägg av Helge Klein.
Rätt SATA-drivrutiner från Intel
Äldre versioner av Intels RST-drivrutin för SATA-enheter skickar inte vidare alla kommandon som behövs för Microsoft Edrive. Resultatet är att funktionen slås av permanent – den kan inte aktiveras igen med ny mjukvara, utan i praktiken måste operativsystemet installeras om.
Problemet är löst i och med version 13.2 av RST-drivrutinen. Windows Update kan i vissa fall välja en äldre variant, det kan därför vara en bra idé att förbereda med rätt mjukvara direkt från Intels webbplats. Den senaste versionen heter i skrivande stund 13.6.
Hur stödet för Edrive ser ut med SATA-drivrutinen från AMD är oklart. Extremt få användare har av allt att döma testat konceptet, vilket gör att internet är i stort sett fritt från både positiva och negativa rapporter. Ett alternativ är att helt enkelt köra med Microsofts medföljande drivrutin, vilken skickar vidare de kommandon som behövs.
