Toen Microsoft ruim drie jaar geleden Windows 11 aankondigde, zorgde het besturingssysteem meteen voor veel controverse. Niet alleen vanwege de onconventionele interface, maar ook vanwege de hoge hardwarevereisten, is het mogelijk dat veel systemen het officiële Windows 11 nog steeds niet kunnen draaien, bijvoorbeeld in het geval van TPM en Secure Boot.
Microsoft heeft herhaaldelijk uitgelegd waarom functies zoals TPM (Trusted Platform Module) 2.0, VBS (Virtualization-based Security) en Secure Boot belangrijk zijn voor Windows 11-pc's. Microsoft vereist dat de pc's van gebruikers deze functies ondersteunen om Windows 11 te kunnen gebruiken, vanwege de verbeterde beveiligingsvoordelen die deze functies bieden. Microsoft heeft visuele demo's uitgebracht om beter uit te leggen hoe deze functies werken.
Onlangs heeft Microsoft met de Windows 11 24H2-functie-update een van de ondersteuningsartikelen op haar officiële website bijgewerkt met de titel "Automatische apparaatversleuteling via BitLocker", wat Microsoft "Auto-DE" noemt. Het is de moeite waard om op te merken dat in dit document wordt vermeld waarom TPM en Secure Boot vereist zijn voor apparaatversleuteling.
Hieronder vindt u de inhoud van het ondersteunende document voordat het is bewerkt.
Waarom is apparaatversleuteling niet beschikbaar?
Hier volgen de stappen om te bepalen waarom apparaatversleuteling mogelijk niet beschikbaar is:
1. Typ Systeeminformatie in het menu Start, klik met de rechtermuisknop op Systeeminformatie in de lijst met resultaten en selecteer vervolgens Als administrator uitvoeren.
2. Zoek in de lijst Systeemoverzicht - Item naar de waarde Ondersteuning voor automatische apparaatversleuteling of Ondersteuning voor apparaatversleuteling.
- De waarde geeft de reden aan waarom apparaatversleuteling niet kan worden ingeschakeld.
- Als de waarde Voldoet aan de vereisten weergeeft, is apparaatversleuteling momenteel beschikbaar op uw apparaat.
En hier is de inhoud van het ondersteunende document nadat het is bewerkt.
Waarom is apparaatversleuteling niet beschikbaar?
Hier volgen de stappen om te bepalen waarom apparaatversleuteling mogelijk niet beschikbaar is:
1. Typ Systeeminformatie in het menu Start, klik met de rechtermuisknop op Systeeminformatie in de lijst met resultaten en selecteer vervolgens Als administrator uitvoeren.
2. Zoek in de lijst Systeemoverzicht - Item naar de waarde Ondersteuning voor automatische apparaatversleuteling of Ondersteuning voor apparaatversleuteling.
De waarde beschrijft de ondersteuningsstatus van apparaatversleuteling:
- Voldoet aan de vereisten: Apparaatversleuteling beschikbaar op uw apparaat
- TPM kan niet worden gebruikt: Uw apparaat beschikt niet over een Trusted Platform Module (TPM) of TPM is niet ingeschakeld in het BIOS of UEFI.
- WinRE is niet geconfigureerd: Windows Recovery Environment is niet geconfigureerd op uw apparaat.
- PCR7-binding wordt niet ondersteund: Secure Boot is uitgeschakeld in BIOS/UEFI, of u hebt randapparatuur aangesloten op uw apparaat tijdens het opstarten (zoals een speciale netwerkinterface, dockingstation of externe grafische kaart)
In het artikel wordt kort beschreven wat die onvervulde 'voorwaarden' zijn. Voorbeelden hiervan zijn TPM, WinRE (Windows Recovery Environment) en Secure Boot.
Microsoft vermeldde daarnaast ook PCR7. PCR, of Platform Configuration Register, is een geheugenlocatie op de TPM en wordt gebruikt om hash-algoritmen op te slaan. BitLocker is gekoppeld aan PCR-profiel 7, of PCR7. Deze koppeling zorgt ervoor dat de encryptiesleutel, in dit geval de BitLocker-sleutel, alleen tijdens een bepaalde periode tijdens het opstarten wordt geladen, niet ervoor of erna.
Hierbij komt Secure Boot in beeld, aangezien dit het vereiste Microsoft Windows PCA 2011-certificaat verifieert en authenticeert tijdens het opstarten. Een ongeldige handtekening heeft namelijk tot gevolg dat BitLocker andere profielen gebruikt dan 7.
De hernieuwde interesse in BitLocker en encryptie op Windows 11 24H2 kwam onlangs tot stand toen de gigant uit Redmond onverwacht de OEM-vereisten voor Auto-DE op de nieuwste versie van Windows verlaagde. Daardoor kunnen zelfs thuis-pc's automatisch worden versleuteld. Kort daarna bracht het bedrijf ook een handige back-up- en herstelhandleiding voor BitLocker-sleutels uit.
Nog niet zo lang geleden heeft Microsoft TPM 2.0 ook opnieuw bevestigd als een niet-onderhandelbare standaard voor haar besturingssystemen.