9 trin til at styrke BitLocker-sikkerheden i Windows 11 Pro

Din bærbare bliver stjålet i lufthavnen. Inden du når frem til security, er harddisken allerede monteret i en kold laboratorieopsætning, klar til såkaldt “cold-boot”-analyse

Eller måske tjekker en “evil maid” ind på hotelværelset før dig og piller diskret ved BIOS-indstillingerne, så hun kan omgå krypteringen næste gang computeren starter. Lyder det som ren paranoia? Det er det ikke - det er hverdagsopgaver for moderne angribere.

Windows 11 Pro leveres ganske vist med BitLocker slået til som standard, men standardindstillinger er sjældent nok, når trusselsbilledet involverer alt fra firmware-manipulation til avancerede DMA-angreb via Thunderbolt-porten. Hvis du vil undgå, at dine kundedata eller fortrolige projekter havner på The Dark Web, skal BitLocker hærdes og styres proaktivt.

I denne guide fra IT Forum Danmark får du 9 konkrete trin - fra valg af krypteringsprofil til overvågning af gendannelsesnøgler - der løfter BitLocker fra “godt nok” til “bedst i klassen”. Uanset om du er it-administrator i en større organisation eller power-bruger på hjemmekontoret, vil du opdage indstillinger, værktøjer og faldgruber, de fleste overser.

Spænd sikkerhedsbæltet, og lad os dykke ned i, hvordan du forvandler Windows 11 Pro til et digitalt pengeskab, som selv de mest ihærdige tyve må give op over for.

9 trin til at styrke BitLocker-sikkerheden i Windows 11 Pro

Forstå BitLocker og trusselsbilledet i Windows 11 Pro

BitLocker er Microsofts indbyggede fulddiskkryptering i Windows 11 Pro, som hjælper med at beskytte dine data, hvis enheden kommer i de forkerte hænder. Når drevet er låst, kræver det enten korrekt godkendelse eller den rigtige hardware-binding (TPM) før operativsystemet kan startes - ellers fremstår disken blot som vilkårligt binært indhold for en angriber. Men BitLocker er ikke magisk; standardindstillingerne er designet til at fungere «out of the box» frem for at give maksimal modstandskraft. Derfor er det vigtigt at forstå både trusselsbilledet og, hvor der kan skrues op for sikkerheden.

Hvad beskytter bitlocker imod?

Trussel Scenarie BitLockers rolle
Tyveri eller tab Bærbar PC glemmes i toget eller bliver stjålet fra bilen. Drevet forbliver krypteret; angriber kan ikke tilgå filer uden nøglen.
Cold-boot-angreb Angriber genstarter enheden fysisk og dumper RAM-indholdet for at udtrække krypteringsnøgler. Krypteringsnøgler ligger beskyttet i TPM og tømmes ikke til RAM, hvis opstart kræver godkendelse.
“Evil Maid” Maskinen forlades på hotelværelset; en angriber booter eget værktøj fra USB for at installere boot-malware. Kombinationen af BitLocker + Secure Boot kan forhindre uautoriseret bootloader, hvis ekstra startgodkendelse er sat op.

Hvorfor er hærdning nødvendig?

  1. Standard = “bekvemmelighed først”.
    Med TPM only (standard) låser nøglen automatisk op, når BIOS/TPM vurderer, at systemet er intakt. Det giver brugeren en gnidningsfri oplevelse - men en veludrustet angriber kan prøve at omgå TPM-valideringen med firmwaremanipulation eller flytte SSD’en til en identisk platform.
  2. Sårbarheder i hardwarebaseret kryptering.
    Mange SSD’er understøtter “eDrive” kryptering i selve controlleren. Undersøgelser fra Radboud University og NCC Group har vist, at flere implementeringer kan låses op uden korrekt godkendelse. Ved at tvinge BitLocker til softwarebaseret kryptering (XTS-AES) undgår man denne risiko.
  3. Udvidede angrebsflader i moderne hardware.
    Thunderbolt, PCIe-tunneling og DMA giver fantastiske hastigheder - men kan også misbruges til at trække nøgler direkte fra hukommelsen under visse søvntilstande. Avancerede politikker for kernel DMA-beskyttelse og begrænsning af Suspend-to-RAM reducerer risikoen.
  4. Operational drift og nøglehåndtering.
    Selv et stærkt krypteret system kan falde, hvis gendannelsesnøglen ligger i en ubeskyttet Excel-fil. Derfor skal nøgleopbevaring, rotation og rettighedsstyring planlægges fra dag ét.

Den gode nyhed er, at Windows 11 Pro leverer alle værktøjerne til hærdning uden ekstra licensomkostninger: gruppepolitikker, PowerShell-cmdlets og Intune/MDM-integration. Resten handler om at kende de rigtige indstillinger - de næste otte trin guider dig gennem præcis det.

Bekræft forudsætninger: TPM 2.0, UEFI og Secure Boot

Inden du kaster dig over de mere avancerede BitLocker-indstillinger, skal fundamentet være i orden. Tre forudsætninger er ufravigelige: TPM 2.0, UEFI-boot og Secure Boot - samt en låst firmware, så ingen kan omgå dem.

1. Kontrollér tpm 2.0-status

  1. GUI-tjek: Åbn tpm.msc  (Win + R → skriv tpm.msc).
    • Overskriften skal vise “Specifikation Version 2.0” samt “TPM er klar til brug”.
    • Står der “kompatibel TPM kan ikke findes”, skal du sikre, at TPM er aktiveret i firmware - og at enheden ikke starter i Legacy BIOS-tilstand.
  2. PowerShell-tjek: Kør som administrator: 
    Get-Tpm
    Felt Forventet værdi
    TpmPresent True
    TpmReady True
    ManagedAuthLevel Full
    SpecVersion 2.0
  3. Firmware-TPM kontra discrete TPM: Firmware-TPM (fTPM/Intel PTT) er tilstrækkeligt til de fleste scenarier, men til High-Assurance kan en diskret TPM være påkrævet - notér politikken i organisationen.

2. Bekræft uefi-boot og secure boot

  1. Systeminformation: Kør msinfo32.exe
    • “BIOS-tilstand” skal være UEFI.
    • “Secure Boot-status” skal være . Hvis den er Fra, aktiver Secure Boot i firmware.
  2. PowerShell-bekræftelse: 
    Confirm-SecureBootUEFI
    Returnerer True når Secure Boot er aktiv, ellers fejlkode/False.
  3. Boot-mediet skal være GPT-partioneret. Kontrollér med diskpart → list disk; stjerne i GPT-kolonnen bekræfter korrekt layout.

3. Lås bios/uefi for at forhindre manipulation

  • Indstil administrator-adgangskode i firmwaremenyen og gem den i et betroet password-hvælv.
  • Deaktiver muligheden for at boote fra eksterne medier (USB/Network/PXE) medmindre det er strengt nødvendigt.
  • Aktivér “Require physical presence for TPM reset” hvor funktionen findes - det forhindrer fjernangribere i at nulstille TPM og bryde bindingen til BitLocker.
  • Log firmwareændringer centralt, fx via Dell BIOS Events eller HP Sure Admin-certifikater, så afvigelser kan spores.

Når disse tre checkpunkter alle er “grønne”, er maskinen klar til næste trin i hærdningen af BitLocker-installationen.

Vælg stærk krypteringsprofil og omfang

BitLocker er som standard sat op til XTS-AES 128 og kan - afhængigt af hardwareproducenten - ende med at bruge hardwarebaseret kryptering (eDrive), som ikke altid lever op til samme sikkerhedsniveau som Microsofts software-implementering. For at eliminere svage led og sikre den højeste modstandsdygtighed mod brute-force- og sidekanalsangreb bør du derfor eksplicit styre både algoritme, nøglestyrke og omfanget af krypteringen.

1. Tving xts-aes 256 i hele miljøet

  1. Åbn gpedit.msc  → Computer Configuration › Administrative Templates › Windows Components › BitLocker Drive Encryption › vælg den relevante drevtype (Operating System Drives, Fixed Data Drives, Removable Data Drives).
  2. Aktivér politikken “Choose drive encryption method and cipher strength”.
  3. Vælg XTS-AES 256-bit under Encryption method.
  4. Udrul via Intune/MDM ved at sætte encryptionMethodWithXts til aes256.

Hvorfor 256-bit? På moderne CPU’er er forskellen i ydeevne minimal, og 256-bit giver et bedre sikkerheds-headroom mod fremtidige, mere effektive angrebsteknikker.

2. Slå usikker hardwarekryptering fra

En række SSD-producenter implementerer eDrive-kryptering dårligere end Windows’ egen software. Angribere kan derfor undertiden bypasse krypteringen ved at nulstille controlleren.

  1. Åbn gpedit.mscComputer Configuration › Administrative Templates › Windows Components › BitLocker Drive Encryption › “Configure use of hardware-based encryption for…”.
  2. Marker “Disabled” for både OS-, faste og flytbare drev. BitLocker falder nu automatisk tilbage på software-kryptering.
  3. Alternativt i PowerShell: 
    # Deaktiver eDrive genereltreg add HKLM\SOFTWARE\Policies\Microsoft\FVE /v DisableHardwareEncryption /t REG_DWORD /d 1 /f

3. Vælg fuld diskkryptering på følsomme enheder

Scenario Anbefalet indstilling
Bærbare til feltarbejde, datacentre, ledelses- eller udviklermaskiner “Encrypt entire drive”
Intern kontor-desktop med begrænset fysisk risiko “Encrypt used disk space only” (kan opgraderes senere uden datatab)
  1. Når BitLocker initialiseres manuelt (manage-bde -on C:), tilføj flaget -full for fuld diskkryptering.
  2. I Intune/Endpoint Manager: Sæt Encryption type til Full disk.
  3. Husk at vælge fuld kryptering før følsomme data lægges på drevet; ellers må disken dekrypteres og krypteres igen.

Bonus: Fuld diskkryptering beskytter mod data remanence - rester af slettede filer, systempartitioner og swap-filer, der ellers kan gendannes efter tyveri.

Tjeklisten i punktform

  • XTS-AES 256 tvunget via GPO/Intune.
  • Hardwarekryptering (eDrive) deaktiveret.
  • Fuld diskkryptering på alle enheder med høj fysisk risiko.
  • Verificér konfigurationen med 
    manage-bde -status
    - kig efter Encryption method: XTS-AES 256 og Hardware Encryption: No.

Med disse tre skridt har du opnået en langt mere robust BitLocker-opsætning, der ikke lader sig overrumple af tvivlsom SSD-firmware eller fremtidige kryptografiske fremskridt.

Krav om ekstra godkendelse ved opstart (TPM + PIN/USB)

Standardopsætningen af BitLocker i Windows 11 Pro låser kun nøglen op via TPM-chippen. Det er hurtigt og brugervenligt, men hvis en angriber får fysisk fat i din enhed, kan han i værste fald udtrække TPM-nøglen, fx via ”evil-maid”- eller sidekanalsangreb. Løsningen er at kræve en ekstra faktor ved opstart, så TPM’en alene ikke er nok til at afkode drevet.

1. Aktivér politikken ”require additional authentication at startup”

  1. Åbn gpedit.msc og gå til:
    Computer Configuration → Administrative Templates → Windows Components → BitLocker Drive Encryption → Operating System Drives
  2. Dobbeltklik på Require additional authentication at startup, vælg Enabled.
  3. Sæt flueben ved Allow BitLocker without a compatible TPM fra, så TPM 2.0 fortsat er påkrævet.
  4. Under Configure TPM startup PIN vælg den ønskede metode:
    • Require PIN with TPM (anbefalet)
    • Require startup key with TPM (USB-nøgle)
    • Require PIN and startup key with TPM (maksimal sikkerhed)

2. Fastlæg pin-standarder

Trusselsniveau PIN-længde Krævet kompleksitet
Normal virksomhed Minimum 6 cifre Cifre 0-9
Øget risiko (bærbare, konsulent-PC’er) 8-10 tegn Både tal og bogstaver
Høj risiko (kritisk/fortroligt) 10+ tegn Tal, store/små bogstaver og specialtegn

PIN’en er kun nødvendig én gang ved boot og bør ikke være den samme som Windows-logonkoden. Længere PIN’s beskytter mod brute-force, fordi TPM’en låser efter 32 forkerte forsøg.

3. Overvej usb-startnøgle til særlige scenarier

  • Udskiftelig boot-faktor: En krypteret USB-nøgle fungerer som fysisk token; uden den er maskinen ubrugelig.
  • Offline-arbejdsstationer eller lab-udstyr: Hvor brugere sjældent logger på domænenetværk og derfor ikke profiterer af netværks-baseret unlock.
  • ”Two-man rule”: Kombiner PIN + USB, så to personer skal møde op for at starte systemet.

Sørg for at:

  1. Formatere USB-nøglen med FAT32 før opsætningen.
  2. Gem backup af startup-nøglen i et sikkert, adskilt HSM-/nøgleskab.
  3. Dokumentér serienummer og tildelt enhed, så nøglen kan spærres ved tab.

4. Udrul via powershell eller intune

For automatiseret implementering kan du køre:

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 ` -TpmAndPinProtector -Pin "12345678"

I Intune findes indstillingen under Endpoint security → Disk encryption → Windows Encryption Policy → Startup authentication requirement. Kombinér med compliance-politikker, der blokerer adgang, hvis PIN mangler.

5. Test og dokumentér

  • Genstart og verificér, at PIN-prompt vises før Windows-logoet.
  • Kontrollér med manage-bde -protectors -get C:, at ID: TPMAndPIN eller ID: StartupKey er listet.
  • Opdater gendannelsesplanen, så servicedesk kender proceduren, hvis PIN mistes.

Med en ekstra godkendelse ved opstart forhøjes sikkerheden dramatisk: selv hvis en angriber kloner eller fysisk flytter SSD’en, vil han stadig mangle den menneskelige eller fysiske faktor, der låser TPM-nøglen op.

Sikker håndtering af gendannelsesnøgler

En gendannelsesnøgle er din sidste livline, hvis TPM eller PIN fejler - men den kan samtidig blive angribernes gyldne billet, hvis den havner de forkerte steder. Derfor skal nøglen behandles på samme niveau som adgangskoder og certifikater.

1. Automatisk og kontrolleret backup

  1. Azure AD-joined eller Hybrid AD-joined pc’er
    BitLocker uploader automatisk gendannelsesnøgler til Azure AD, så snart drevet krypteres. Tjek i Devices ▸ BitLocker keys på portal.azure.com, at hver maskine har en aktuel GUID-mærket nøgle.
    Intune-politikker: Endpoint security ▸ Disk encryption ▸ Windows Encryption > Store recovery information in Azure AD.
  2. On-prem AD
    Aktivér GPO’en Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Store BitLocker recovery information in Active Directory Domain Services. Verificér via Active Directory Users and Computers ▸ BitLocker Recovery.
  3. Microsoft-konti (stand-alone pc’er)
    Brugeren bliver bedt om at gemme nøglen i Microsoft-kontoen (account.microsoft.com/devices/recoverykey). Vejled slutbrugere til at bekræfte, at nøglen er synlig dér, før krypteringen færdiggøres.
  4. MDM-løsninger
    Saml nøgler centralt via f.eks. Intune, MobileIron eller Workspace ONE ved hjælp af bitLockerRecoveryKeys-payload. Sørg for, at REST-API eller rapporter kræver MFA.

2. Minimer adgang - Princippet om mindst privilegium

Rolle Nødvendig adgang Anbefalet kontrol
Service Desk Tier 1 Læse nøgle ved brugerens tilstedeværelse Delegér Read BitLocker Recovery Password-rettighed i AD; kræv tik-its og MFA
Systemadministratorer Rotation og bulk-eksport Privileged Access Workstation + PIM i Azure AD
Revisorer Skrivebeskyttede logs Eksporter rapport, ikke nøgler
  • Anvend Conditional Access til at begrænse nøglevisning til betroede netværk/enheder.
  • Log alle nøgleopslag via Azure AD Audit Logs eller Event ID 4890/4892 på domænecontrollere.
  • Afskaff udprintede eller pdf-gemte nøgler; de er næsten umulige at spore.

3. Plan for nøgle-rotation ved eksponering

  1. Detekter lækage
    Brug SIEM-regler til at alarmere på usædvanlige masseeksporter eller kopiering til ukendte steder.
  2. Rotér nøglen
    Fra Windows 10 1909+ kan nøgler roteres automatisk når de tilgås via Self-Service BitLocker recovery eller manuel kommando:
    Manage-bde -protectors -adbackup C:
    Intune: Rotate BitLocker recovery key (Remote action).
  3. Dokumentér og luk hændelsen
    Gem hændelses-ID, tidspunkt og ny RecoveryKeyID i ticket-systemet. Sørg for at gamle nøgler er slettet fra AD/Azure AD.

4. Ekstra bedste praksis

  • Opret en Break-Glass-konto med begrænset varighed, der kun kan læse nøgler i nødsituationer.
  • Gem en offline, krypteret kopi i et ISO 27001-godkendt hvælving - kun til DR-scenarier, ikke daglig support.
  • Indbyg gendannelsestest i offboarding-processen: Hvis en pc returneres, verificér at nøglen stadig matcher enheden og roter derefter.

Ved at kombinere automatisk, centraliseret lagring med stramme adgangskontroller og en klar rotationsstrategi sikrer du, at BitLocker-sikkerheden ikke undermineres af den nøgle, der skal redde dig, når alt andet går galt.

Krypter alle drev – også data- og flytbare drev

BitLocker er kun lige så stærk som den svageste ukrypterede sektor på maskinen. Derfor bør alle lokale og flytbare lagerenheder med følsomme data være fuldt krypteret - ikke kun systemdrevet.

1. System- og datadrev: Slå fuld kryptering til

  1. Systemdrevet (C:)
    Indstillinger > Privatliv og sikkerhed > Enhedskryptering/BitLocker-drevkryptering - sørg for, at BitLocker er aktiveret og anvender det valgte krypteringsskema (fx XTS-AES 256). Systemdrevet bør være bundet til TPM + PIN, jf. tidligere trin.
  2. Yderligere datadrev (D:, E: …)
    Højreklik på drevet i Stifinder > Slå BitLocker til eller kør:
    manage-bde -on D: -used -encryptionmethod XTS_AES_256
    Vælg fuld diskkryptering, medmindre drevet er nyt og tomt; “kun brugt plads” kan efterlade historiske data ukrypteret ved gendannelse.

2. Auto-unlock: Kun til stationære, betroede drev

BitLocker kan automatisk låse data- eller sekundære drev op, når OS-drevet er dekrypteret. Det øger brugervenligheden, men reducerer sikkerheden, hvis drevet fysisk fjernes.

  • Aktivér auto-unlock kun for interne diske, der er fastmonteret, fx sekundære SSD’er i en stationær PC.
  • Deaktiver auto-unlock for drev i bærbare eller hot-swap-skuffer. Brug i stedet adgangskode eller smartkort for at holde drevet sikret, hvis det fjernes.
  • Kontroller status med PowerShell:
    Get-BitLockerVolume | Select MountPoint, AutoUnlockEnabled

3. Bitlocker to go: Usb- og flytbare drev

Når medarbejdere tilslutter flytbare medier, bør organisationen sikre, at kun krypterede enheder kan skrives til:

Gruppolitik Placering Anbefalet indstilling
Require use of BitLocker for removable data drives Computer Configuration → Administrative Templates → Windows Components → BitLocker Drive Encryption → Removable Data Drives Enabled
Deny write access to removable drives not protected by BitLocker Samme sti som ovenfor Enabled

Effekten er, at:

  • Usb-nøgler uden BitLocker vises som skrivebeskyttede i Stifinder.
  • Brugeren får automatisk prompt til at aktivere BitLocker To Go (med adgangskode eller smartkort) ved første formattering.
  • Organisationen kan indsamle og sikkerhedskopiere gendannelsesnøgler via AAD eller Intune, jf. forrige afsnit.

4. Kontrollering og rapportering

Overvåg at alle drev er krypteret:

Get-BitLockerVolume | Select-Object MountPoint, VolumeType, EncryptionMethod, ProtectionStatus

Rapporter genereres automatisk i Intune eller Microsoft Defender for Endpoint, så it-afdelingen kan reagere på undtagelser.

Opsummering

Ved at kryptere alle drev - og håndhæve BitLocker To Go på flytbare medier - eliminerer du de fleste datalækager forårsaget af glemte usb-nøgler, stjålne harddiske eller utilsigtet affaldshåndtering. Kombineret med stærke gendannelsesrutiner og korrekt policyhåndhævelse bliver BitLocker et komplet forsvar mod fysisk kompromittering.

Hærd mod fysisk adgang og DMA-angreb

DMA-angreb (Direct Memory Access) udnytter, at høj-båndbreddemedier som Thunderbolt, USB4 eller interne PCIe-porte kan tilgå RAM direkte - også inden Windows og BitLocker har låst hukommelsen ned. Med få minutters fysisk adgang kan en angriber derfor dumpe nøgler og dekryptere hele drevet. Følg nedenstående trin for at minimere den risiko:

1. Tænd for kernel dma protection

  1. Åbn msinfo32.exe  →  find feltet Kernel DMA Protection. Værdien skal være Aktiveret.
  2. Hvis den viser Deaktiveret:
    • Sørg for, at BIOS/UEFI er opdateret til seneste version.
    • Check at Virtualization-Based Security (VBS) er slået til (Windows-sikkerhed  →  Enhedssikkerhed  →  Kernesisolering).
    • I Group Policy: Computer Configuration → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security  →  sæt til Enabled med Secure Boot + DMA Protection.

2. Begræns thunderbolt/pcie adgang før opstart

Indstilling (BIOS/UEFI) Anbefalet værdi Effekt
Thunderbolt Security Level User Authorization eller Secure Connect Kræver godkendelse i OS før enheden får DMA-adgang.
Pre-Boot PCIe Disable Blokerer PCIe-enheder indtil Secure Boot er færdig.
Thunderbolt Pre-Boot Support Off Forhindrer I/O inden BitLocker låser hukommelsen.

Har du ældre maskiner uden disse valg, kan du i Windows deaktivere porte under Computer Configuration → Administrative Templates → System → Removable Storage Access eller via Intune Settings Catalog (Thunderbolt DMA Protection).

3. Brug secure boot - Og lås boot-ordre

  1. Aktivér Secure Boot i UEFI, hvis det ikke allerede er tvunget af Windows 11 install-programmet.
  2. Sæt Supervisor-/Admin-password i UEFI, og
    • fjern alle ikke-nødvendige boot-enheder (PXE, ekstern USB/CD).
    • sæt Internal NVMe/SSD som første og eneste aktivt boot-medie.
  3. Deaktiver Boot Menu Hotkey hvis BIOS tillader det, så angriberen ikke kan ændre rækkefølgen uden adgangskode.

4. Undgå strømtilstande der efterlader ram læsbart

  • Slå klassisk S3-sleep fra via Group Policy eller powercfg /hibernate off + Modern Standby, da RAM bliver liggende ukrypteret i slumretilstand.
  • Foretræk Hibernate (dvale) eller total nedlukning, hvor BitLocker-nøglen ryddes fra hukommelsen.
  • Hvis Modern Standby (S0ix) anvendes, påse at Memory Integrity og Kernel DMA Protection er aktive - ellers kan portene stadig nå RAM under connected standby.

5. Test og bekræft hærdningen

  1. Kør Get-ComputerInfo | Select KernelDmaProtection i PowerShell - skal returnere On.
  2. Sæt en Thunderbolt-dock i før login; den bør først godkendes i Windows og ikke fungere i BitLocker-PIN-prompten.
  3. Gennemfør et sleep-/resume-scenarie og bekræft, at der kræves fuld BitLocker-godkendelse (Suspend>Resume bør ikke ske uden PIN/TPM-tjek).

Ved at kombinere Kernel DMA Protection, stram BIOS-konfiguration og sikre strømstyringspolitikker lukker du effektivt de mest udbredte fysiske angrebsvinkler mod BitLocker-krypterede Windows 11 Pro-enheder.

Kontroller ændringer og opdateringer uden lockouts

Når firmwaren, BIOS/UEFI eller TPM-konfigurationen ændres, er der stor risiko for, at BitLocker tolker ændringen som et angreb og nægter at frigive nøglen ved næste opstart - medmindre du forbereder systemet korrekt. Følg nedenstående best-practice for at sikre, at kritiske opdateringer kan rulles ud uden uplanlagte lockouts.

1. Suspendér bitlocker før indgreb

  1. Planlæg ændringsvinduet
    Angiv et konkret tidsrum, hvor opdateringen udføres, og informer brugerne om, at maskinen genstartes.
  2. Deaktiver (suspendér) beskyttelsen midlertidigt
    manage-bde -protectors -disable C: -RebootCount 1
    -RebootCount 1 betyder, at BitLocker automatisk re-aktiveres efter næste succesfulde boot.
  3. Bekræft status
    manage-bde -status C: skal nu vise "Beskyttelse afbrudt". Gem et screenshot i changesættets dokumentation.
  4. Udfør firmware-/TPM-opdateringen og genstart maskinen.
  5. Kontrollér, at BitLocker er genoptaget
    Efter genstart bør status være "Beskyttet". Hvis ikke, kan du genoptage manuelt:
    manage-bde -protectors -enable C:

2. Forstå og planlæg pcr-bindingen

BitLocker måler boot-processen i TPM’s PCR-registre (Platform Configuration Registers). Ændrer du boot-rækkefølgen, Secure Boot-nøgler, eller tilføjer du nye PCIe-enheder, ændres også PCR-værdierne.

PCR Hvad måles? Typiske ændringer der påvirker
PCR 0 Firmware og Sec. Boot nøgle UEFI- eller BIOS-opdatering, Secure Boot reset
PCR 2 Option ROM / PCIe-enheder Indsætning af Thunderbolt-dock, ekstra NIC
PCR 7 Secure Boot policy Ændring af PK, KEK eller db/dbx

Hvis en planlagt ændring påvirker disse PCR’er, skal BitLocker suspenderes. Overvej desuden om du vil re-konfigurere hvilke PCR’er nøglen bindes til via GPO (Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives > Configure TPM platform validation profile).

3. Brug network unlock i domænemiljøer

Har du mange stationære PC’er i samme VLAN, forenkler Network Unlock vedligeholdelsen:

  • PC’en låses automatisk op ved PXE-boot, så længe den kan nå en WDS-server med de korrekte certifikater.
  • Firmware-opdateringer kan pushes om natten uden manuel indgriben eller PIN-indtastning.
  • Kræver TPM 2.0, UEFI og en WDS-rolletjeneste konfigureret med Network Unlock-certifikat (EKU 1.3.6.1.4.1.311.80.1).

4. Automatisér processen via intune eller sccm

Med moderne endpoint-styring kan suspendér/genoptag-sekvensen gøres fuldautomatisk:

  1. Opret et PowerShell-script som første step i din vedligeholdelsespakke:
    manage-bde -protectors -disable C: -RC 2
  2. Deploy BIOS-/firmware-opdateringen som andet step.
  3. Tilføj en Detection Rule, der sikrer, at BitLocker er aktiveret (Get-BitLockerVolume), før deployment markeres success.

5. Husk dokumentation og recovery-beredskab

  • Gem ændringsloggen i et centralt Change Management-system.
  • Sørg for gyldige gendannelsesnøgler gemt i Azure AD, AD eller MDM før du påbegynder arbejdet.
  • Test altid mindst én maskine i lab-miljø med BitLocker aktivt inden masseudrulning.

Med en veldokumenteret procedure, planlagt PCR-håndtering og evt. Network Unlock eliminerer du risikoen for, at en nødvendig BIOS- eller TPM-opdatering ender i et adgangsproblem mandag morgen. Resultatet er højere oppetid og fortsat stærk krypteringsbeskyttelse uden afbrydelse for brugerne.

Overvågning, rapportering og løbende test

En succesfuld BitLocker-implementering bliver først rigtig stærk, når den følges op af en lige så stringens drift. Nedenfor finder du de vigtigste strategier og værktøjer til at holde krypterings-status synlig, opdage afvigelser i tide og sikre, at recovery-processen rent faktisk virker den dag uheldet er ude.

1. Overvåg i realtid med powershell og manage-bde

  1. Hurtigt sundhedstjek
    Get-BitLockerVolume | Select-Object MountPoint, VolumeStatus, ProtectionStatus, EncryptionMethod
    Giver et øjebliksbillede af alle krypterede volumener.
  2. Dybdegående rapport
    manage-bde -status C:
    inkluderer TPM-binding, låsningsmekanismer og genoprettelses-GUID’er.
  3. Automatisér og alarmér
    Kør ovenstående i en Scheduled Task og send resultatet til et SIEM eller som e-mail/Syslog ved Status ≠ "Protection On".

2. Event viewer: Fang tidlige signaler

BitLocker genererer rigeligt med logs i Event Viewer ➜ Applications and Services Logs ➜ Microsoft ➜ Windows ➜ BitLocker-API. Nedenstående hændelser er værd at slå alert på:

Event ID Betydning
24635 Fejlet aktiveringsforsøg - kan indikere forkert Group Policy eller TPM-problem
24620 BitLocker suspenderet (kan være legitimt før BIOS-opdatering, men skal logges)
24588 Recovery-nøgle anvendt ved boot - bør altid undersøges

3. Intune og endpoint manager-rapporter (azure ad-enheder)

  • Encryption report - viser compliance ned på drev-niveau inkl. algoritme (XTS-AES 256).
  • Endpoint security > Disk encryption - Policy-status, fejl og detaljer om nødgenoprettelses-nøgler.
  • Device compliance - Gør BitLocker til hård Compliance setting for at blokere ikke-krypterede enheder.

Udnyt Graph-API’en til at trække samme data til Power BI eller dit SIEM for central oversigt.

4. Test jævnligt: “øvelser gør mester”

  1. Genoprettelsesøvelse - Planlæg kvartalsvis scenarie, hvor en test-maskine tvinges i recovery-mode. Valider at nøgle kan hentes fra Azure AD/AD og at unlock virker.
  2. Dokumentér trin-for-trin - Hav en skabelon med screenshots, så nye helpdesk-medarbejdere hurtigt kan assistere.
  3. Nøglerotation - Udnyt RotateBitLockerKeys (Intune) hvis en nøgle er delt eller brugt.

5. Processtyring og offboarding

  • Indfør Change Management: BitLocker skal suspenderes før firmware-opdatering, men en planlagt opgave genaktiverer kryptering efter genstart.
  • Ved offboarding af medarbejdere, eksportér og arkivér enhedens sidste kendte status + recovery-nøgle i revisionssikkert depot.
  • Slet usikre backups; nøgler må kun eksistere i krypterede og auditerede lagre.

Med struktureret overvågning, klare rapporteringskanaler og løbende test lukker du sidste hul i forsvarskæden og sikrer, at BitLocker bliver en aktiv sikkerhedsforanstaltning - ikke blot et flueben i compliance-arket.

Indholdsfortegnelse