💼 Management Samenvatting
BitLocker versleuteling voor vaste gegevensschijven (D:, E:, etc.) beschermt gegevens op secundaire interne schijven tegen diefstal en ongeautoriseerde toegang.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
4u (tech: 2u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows 11
BitLocker versleuteling voor de besturingssysteemschijf (C:) is tegenwoordig standaard, maar veel systemen beschikken over aanvullende vaste schijven (D: voor gegevens, E: voor applicaties). Zonder versleuteling van deze schijven ontstaan er significante beveiligingsrisico's. Ten eerste kunnen gegevens leesbaar blijven bij apparaatdiefstal, waarbij een aanvaller de schijf uit het apparaat kan verwijderen en deze kan aansluiten op een ander systeem om toegang te verkrijgen tot alle onversleutelde gegevens. Ten tweede ontstaat er een risico op ongeautoriseerde toegang bij het opstarten vanaf externe media, waardoor aanvallers toegang kunnen krijgen tot de gegevens zonder de normale authenticatiemechanismen te passeren. Ten derde kan het ontbreken van versleuteling leiden tot schendingen van compliance-vereisten, aangezien zowel de Algemene Verordening Gegevensbescherming (AVG) als de Baseline Informatiebeveiliging Overheid (BIO) expliciet versleuteling vereisen voor vertrouwelijke gegevens. Vaste gegevensschijven bevatten vaak kritieke informatie zoals gebruikersprofielgegevens, applicatiegegevens, databasebestanden en bestandsshares. Al deze informatie moet worden beschermd door middel van versleuteling om te voldoen aan beveiligings- en compliance-vereisten.
PowerShell Modules Vereist
Primary API: Intune
Connection:
Required Modules:
Connection:
N/ARequired Modules:
Implementatie
BitLocker versleuteling voor vaste gegevensschijven wordt geconfigureerd via Microsoft Intune schijfversleutelingsbeleid. De configuratie omvat verschillende essentiële instellingen: versleuteling is verplicht ingesteld op Ja, de versleutelingsmethode is XTS-AES 256-bit (de sterkste beschikbare optie), en de herstelsleutel wordt veilig opgeslagen in Azure AD voor herstelscenario's. Een belangrijk aspect van de implementatie is de automatische ontgrendelfunctie, waarbij vaste gegevensschijven automatisch worden ontgrendeld zodra de besturingssysteemschijf is ontgrendeld. Dit betekent dat gebruikers slechts één keer hun wachtwoord of PIN hoeven in te voeren bij het opstarten, waarna alle vaste gegevensschijven automatisch toegankelijk worden zonder aanvullende authenticatie. Deze gebruiksvriendelijke aanpak zorgt ervoor dat versleuteling de productiviteit van gebruikers niet belemmert terwijl de beveiliging wordt gewaarborgd.
Vereisten
Voor de implementatie van BitLocker versleuteling voor vaste gegevensschijven zijn specifieke technische en organisatorische vereisten noodzakelijk. Allereerst moeten alle Windows-apparaten een ondersteunde versie van het besturingssysteem draaien, namelijk Windows 10 Pro, Enterprise of Education. De Home-versie van Windows 10 en Windows 11 biedt geen ondersteuning voor BitLocker versleuteling via beheerssoftware, waardoor deze versies niet geschikt zijn voor organisatorische implementaties. Voor optimale beveiliging en prestaties is het aanbevolen om minimaal Windows 10 versie 1809 of hoger te gebruiken, omdat oudere versies beperkte ondersteuning bieden voor moderne BitLocker-functies zoals XTS-AES versleuteling. Daarnaast is de aanwezigheid van een Trusted Platform Module (TPM) versie 2.0 essentieel voor hardwarematige bescherming van de versleutelingssleutels. De TPM is een gespecialiseerde chip die cryptografische sleutels veilig opslaat en beheert, waardoor het mogelijk is om de versleuteling te koppelen aan de hardware van het specifieke apparaat. Dit voorkomt dat aanvallers de versleutelde schijven kunnen lezen door deze in een ander apparaat te plaatsen, zelfs als zij beschikken over de herstelsleutel. Apparaten zonder TPM 2.0 kunnen nog steeds BitLocker gebruiken, maar dan met softwarematige sleutelbescherming die aanzienlijk minder veilig is en daarom niet wordt aanbevolen voor productieomgevingen. De organisatie moet beschikken over apparaten met vaste gegevensschijven, wat betekent dat naast de primaire besturingssysteemschijf (C:) er aanvullende interne schijven aanwezig zijn die permanent in het apparaat zijn geïnstalleerd. Deze schijven worden aangeduid met stationsletters zoals D:, E:, en verder. Het is belangrijk om onderscheid te maken tussen vaste gegevensschijven en verwisselbare schijven (zoals USB-sticks), omdat deze verschillende versleutelingsconfiguraties vereisen. Voor de beheersing en configuratie van BitLocker is een actief Microsoft Intune-abonnement vereist met de benodigde licenties voor apparaatbeheer. Dit omvat minimaal Microsoft Intune Plan 1 of een licentie die deel uitmaakt van Microsoft 365 E3 of E5 pakketten. De Intune-licentie maakt het mogelijk om schijfversleutelingsbeleid centraal te beheren en te deployen naar alle Windows-apparaten binnen de organisatie zonder dat handmatige configuratie op elk apparaat afzonderlijk noodzakelijk is. Een cruciale vereiste voor de herstelsleutelopslag is dat alle apparaten zijn gekoppeld aan Azure Active Directory, hetzij via een volledige Azure AD Join configuratie, hetzij via een Hybrid Azure AD Join configuratie waarbij on-premises Active Directory wordt gesynchroniseerd met Azure AD. Deze koppeling is essentieel voor de veilige opslag van BitLocker herstelsleutels in Azure AD, wat cruciaal is voor herstelscenario's wanneer gebruikers hun wachtwoord vergeten of wanneer hardwareproblemen voorkomen dat normale ontgrendeling plaatsvindt. Zonder deze koppeling moeten herstelsleutels lokaal worden beheerd, wat aanzienlijk complexer en minder veilig is. Organisatorisch dient er een duidelijke verantwoordelijkheidsstructuur te zijn waarbij de IT-afdeling, het security team en compliance officers betrokken zijn bij de implementatie. De organisatie moet beschikken over documentatieprocessen voor het vastleggen van configuratiewijzigingen en procedures voor het beheren van herstelsleutels. Technisch gezien moeten alle Windows-apparaten minimaal Windows 10 versie 1809 of Windows 11 ondersteunen, omdat oudere versies beperkte ondersteuning bieden voor moderne BitLocker-functies via Intune. De netwerkinfrastructuur moet voldoende bandbreedte bieden voor de configuratie-updates en de apparaten moeten regelmatig verbinding kunnen maken met Microsoft Intune services om beleidsupdates te ontvangen. Voor organisaties die werken met hybride omgevingen, waarbij zowel on-premises Active Directory als Azure Active Directory worden gebruikt, is aanvullende configuratie vereist om ervoor te zorgen dat BitLocker-instellingen consistent worden toegepast. De implementatie vereist ook dat er een testomgeving beschikbaar is waarin configuratiewijzigingen eerst kunnen worden gevalideerd voordat ze worden uitgerold naar productieomgevingen, wat het risico op verstoring van bedrijfskritieke systemen tijdens de implementatiefase minimaliseert.
Implementatie
De implementatie van BitLocker versleuteling voor vaste gegevensschijven via Microsoft Intune vereist een gestructureerde aanpak die begint met een grondige analyse van de huidige omgeving. Voordat de daadwerkelijke configuratie wordt toegepast, dient er een inventarisatie plaats te vinden van alle Windows-apparaten die vaste gegevensschijven hebben, inclusief hun huidige configuratiestatus en eventuele bestaande BitLocker-instellingen. Deze inventarisatie vormt de basis voor het ontwikkelen van een implementatieplan dat rekening houdt met de specifieke behoeften en risicoprofielen van verschillende afdelingen of gebruikersgroepen binnen de organisatie. De implementatie start met het aanmaken van een nieuw schijfversleutelingsbeleid in Microsoft Endpoint Manager admin center. Navigeer hiervoor naar Endpoint security en selecteer vervolgens Disk versleuteling. Klik op Beleid maken en selecteer als platform Windows 10 en later. Binnen dit beleid wordt de categorie Vaste gegevensschijf geselecteerd, gevolgd door de specifieke instelling voor versleuteling. De belangrijkste configuratie-instelling is dat versleuteling verplicht is ingesteld op Ja, wat betekent dat alle vaste gegevensschijven automatisch worden versleuteld zodra het beleid wordt toegepast. De versleutelingsmethode wordt ingesteld op XTS-AES 256-bit, wat de sterkste beschikbare versleutelingsmethode is en wordt aanbevolen voor alle productieomgevingen. Deze methode gebruikt de AES (Advanced Encryption Standard) algoritme met een sleutellengte van 256 bits in XTS-modus, wat specifiek is ontworpen voor schijfversleuteling en uitstekende beveiliging biedt tegen moderne aanvalsmethoden. Een cruciale configuratie-instelling betreft de herstelsleutelopslag, waarbij de herstelsleutel wordt opgeslagen in Azure AD. Deze functie, genaamd recovery key escrow, zorgt ervoor dat herstelsleutels centraal en veilig worden beheerd in Azure AD, waardoor IT-beheerders toegang hebben tot de sleutels wanneer gebruikers hun wachtwoord vergeten of wanneer hardwareproblemen voorkomen dat normale ontgrendeling plaatsvindt. De automatische ontgrendelfunctie zorgt ervoor dat vaste gegevensschijven automatisch worden ontgrendeld zodra de besturingssysteemschijf is ontgrendeld. Dit betekent dat gebruikers slechts één keer hun wachtwoord of PIN hoeven in te voeren bij het opstarten, waarna alle vaste gegevensschijven automatisch toegankelijk worden zonder aanvullende authenticatie. Het beleid wordt toegewezen aan alle Windows-apparaten binnen de organisatie, waarbij gebruik wordt gemaakt van Intune's targeting capabilities om specifieke security groups of apparaatcategorieën te selecteren indien nodig. Een belangrijke overweging bij de implementatie is de gracieperiode van zeven dagen, waarbij gebruikers een waarschuwing ontvangen voordat verplichte versleuteling wordt toegepast. Deze periode geeft gebruikers de mogelijkheid om hun gegevens te back-uppen en zich voor te bereiden op de versleutelingsprocedure, die enige tijd kan duren afhankelijk van de grootte van de schijven en de prestaties van het apparaat. Tijdens de implementatie wordt gebruik gemaakt van het PowerShell-monitoringscript dat beschikbaar is via de scriptreferentie, waarbij de functie Invoke-Monitoring wordt aangeroepen om de huidige versleutelingsstatus van vaste gegevensschijven te controleren voordat wijzigingen worden doorgevoerd. Het implementatieproces verloopt gefaseerd, beginnend met een pilotgroep van testapparaten om te valideren dat de configuratie correct wordt toegepast en geen negatieve impact heeft op de systeemprestaties of gebruikerservaring. Na succesvolle validatie wordt de configuratie uitgerold naar grotere groepen apparaten, waarbij regelmatige monitoring wordt uitgevoerd om eventuele problemen tijdig te detecteren en op te lossen. De implementatie omvat ook het configureren van logretentie-instellingen en monitoringprocessen om ervoor te zorgen dat versleutelingsstatus regelmatig wordt gecontroleerd en gerapporteerd. Organisaties moeten rekening houden met de tijd die nodig is voor de versleutelingsprocedure, aangezien het versleutelen van grote schijven meerdere uren kan duren. De implementatie wordt afgerond met documentatie van de configuratie-instellingen, het testen van de versleutelingsfunctionaliteit en het valideren dat herstelsleutels correct worden opgeslagen in Azure AD.
Gebruik PowerShell-script bitlocker-fixed-data-drives.ps1 (functie Invoke-Monitoring) – Verifieer de versleutelingsstatus van vaste gegevensschijven.
Monitoring
Effectieve monitoring van BitLocker versleuteling voor vaste gegevensschijven is cruciaal voor het waarborgen van de beveiligingspostuur van de organisatie en het tijdig detecteren van problemen met versleutelingsconfiguraties. De monitoringstrategie omvat zowel technische controles als organisatorische processen die ervoor zorgen dat de versleuteling correct functioneert en dat alle vaste gegevensschijven daadwerkelijk zijn versleuteld. De technische monitoring begint met regelmatige verificatie dat de BitLocker-versleutelingsconfiguratie daadwerkelijk actief is op alle beheerde endpoints met vaste gegevensschijven. Dit wordt gerealiseerd door middel van het PowerShell-monitoringscript dat periodiek wordt uitgevoerd om de versleutelingsstatus te controleren en eventuele afwijkingen te detecteren. Het script controleert of de BitLocker-instellingen correct zijn toegepast via Intune-beleid en of er geen lokale configuratiewijzigingen hebben plaatsgevonden die de beoogde instellingen kunnen hebben overschreven. Microsoft Intune biedt uitgebreide monitoringmogelijkheden via de Endpoint Manager admin center, waarbij beheerders kunnen navigeren naar Devices, vervolgens Monitoren, en daar het versleutelingsrapport kunnen bekijken. Dit rapport biedt een overzicht van alle Windows-apparaten en hun versleutelingsstatus, waarbij specifieke aandacht wordt besteed aan vaste gegevensschijven. Het rapport toont welke apparaten volledig zijn versleuteld, welke apparaten gedeeltelijk zijn versleuteld, en welke apparaten nog niet zijn versleuteld. Het streefdoel is dat 100% van alle vaste gegevensschijven versleuteld is, wat essentieel is voor het waarborgen van een consistente beveiligingspostuur binnen de organisatie. Voor gedetailleerde monitoring kunnen beheerders gebruik maken van PowerShell-opdrachten om de versleutelingsstatus te controleren. De opdracht Get-BitLockerVolume kan worden gebruikt om informatie over alle BitLocker-volumes te verzamelen, waarbij het filter VolumeType -eq 'Data' wordt toegepast om alleen vaste gegevensschijven te selecteren. Deze opdracht geeft gedetailleerde informatie over de versleutelingsstatus van elke schijf, inclusief de gebruikte versleutelingsmethode, de status van de versleuteling (volledig versleuteld, gedeeltelijk versleuteld, of niet versleuteld), en de status van de herstelsleutelopslag. Naast configuratiemonitoring is het essentieel om te monitoren op onversleutelde vaste gegevensschijven, wat kan wijzen op problemen met de implementatie of mogelijk kwaadaardige activiteiten waarbij aanvallers proberen versleuteling te omzeilen. Organisaties moeten waarschuwingen configureren die automatisch worden geactiveerd wanneer onversleutelde vaste gegevensschijven worden gedetecteerd, zodat beheerders direct actie kunnen ondernemen om de beveiligingspostuur te herstellen. De monitoring omvat ook het analyseren van versleutelingspatronen om afwijkend gedrag te identificeren, zoals schijven die plotseling niet meer versleuteld zijn, of schijven die deels versleuteld zijn en niet verder gaan met de versleutelingsprocedure. Voor effectieve monitoring is integratie met een Security Information and Event Management (SIEM) systeem aanbevolen, waardoor versleutelingsstatusgegevens centraal kunnen worden verzameld, geanalyseerd en gecorreleerd met andere beveiligingsgebeurtenissen. De monitoringprocessen moeten worden gedocumenteerd in een runbook dat beschrijft welke controles worden uitgevoerd, hoe vaak deze plaatsvinden, wie verantwoordelijk is voor de monitoring, en welke acties moeten worden ondernomen bij het detecteren van afwijkingen. Regelmatige reviews van de monitoringresultaten door het security team zorgen ervoor dat de effectiviteit van de BitLocker-versleuteling continu wordt geëvalueerd en dat verbeteringen kunnen worden doorgevoerd waar nodig.
Gebruik PowerShell-script bitlocker-fixed-data-drives.ps1 (functie Invoke-Monitoring) – Controleren.
Compliance en Auditing
BitLocker versleuteling voor vaste gegevensschijven speelt een cruciale rol in het voldoen aan diverse compliance- en auditvereisten die van toepassing zijn op Nederlandse overheidsorganisaties en andere publieke sector entiteiten. De implementatie van deze beveiligingsmaatregel draagt direct bij aan het voldoen aan de vereisten van verschillende belangrijke standaarden en regelgevingen. De CIS Windows Security Benchmark, specifiek controle 1.4.x, vereist expliciet dat BitLocker versleuteling wordt geconfigureerd voor alle gegevensschijven, inclusief vaste gegevensschijven. Deze controle is onderdeel van de Level 1 controles die worden beschouwd als basisbeveiligingsmaatregelen die door alle organisaties moeten worden geïmplementeerd. De implementatie van BitLocker versleuteling voor vaste gegevensschijven voldoet aan deze CIS-aanbeveling en demonstreert dat de organisatie voldoet aan internationale beveiligingsbest practices. De Baseline Informatiebeveiliging Overheid (BIO), specifiek controle 18.01, vereist cryptografische maatregelen voor gegevensbescherming, waarbij versleuteling wordt beschouwd als een essentiële beveiligingsmaatregel voor het beschermen van vertrouwelijke gegevens. Deze controle vereist dat organisaties passende cryptografische maatregelen implementeren om gegevens te beschermen tegen ongeautoriseerde toegang, waarbij BitLocker versleuteling een bewezen en aanbevolen oplossing is voor het beschermen van gegevens op vaste schijven. De implementatie van BitLocker versleuteling voor vaste gegevensschijven draagt direct bij aan het voldoen aan deze BIO-vereiste en demonstreert dat de organisatie voldoet aan de Nederlandse overheidsstandaarden voor informatiebeveiliging. Voor organisaties die werken met persoonsgegevens is BitLocker versleuteling voor vaste gegevensschijven ook relevant in de context van de Algemene Verordening Gegevensbescherming (AVG), specifiek artikel 32, dat vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Versleuteling wordt expliciet genoemd als een geschikte technische maatregel voor het beschermen van persoonsgegevens, waarbij BitLocker versleuteling een bewezen en aanbevolen oplossing is voor het beschermen van persoonsgegevens op vaste schijven. De implementatie van BitLocker versleuteling voor vaste gegevensschijven draagt direct bij aan het voldoen aan deze AVG-vereiste en demonstreert dat de organisatie voldoet aan de Europese regelgeving voor gegevensbescherming. De internationale standaard ISO 27001:2022, specifiek controle A.8.24, vereist dat organisaties cryptografie gebruiken om informatie te beschermen tegen ongeautoriseerde toegang en wijziging. Deze controle vereist dat organisaties passende cryptografische maatregelen implementeren om gegevens te beschermen, waarbij schijfversleuteling wordt beschouwd als een essentiële beveiligingsmaatregel. De implementatie van BitLocker versleuteling voor vaste gegevensschijven voldoet aan deze ISO-vereiste en demonstreert dat de organisatie voldoet aan internationale informatiebeveiligingsstandaarden. Tijdens externe audits en compliance-assessments moeten organisaties kunnen aantonen dat BitLocker versleuteling voor vaste gegevensschijven correct is geconfigureerd en actief is op alle relevante apparaten. Dit vereist uitgebreide documentatie van de configuratie-instellingen, de implementatiemethodologie, en de monitoringprocessen die worden gebruikt om de effectiviteit te waarborgen. Auditdocumentatie moet ook bevatten hoe herstelsleutels worden beheerd, wie toegang heeft tot deze sleutels, en hoe sleutels worden beschermd tegen ongeautoriseerde toegang. Organisaties moeten regelmatig zelfassessments uitvoeren om te verifiëren dat de versleuteling nog steeds voldoet aan de compliance-vereisten en dat eventuele wijzigingen in regelgeving of standaarden worden opgevolgd. De documentatie moet worden bijgewerkt wanneer configuratiewijzigingen worden doorgevoerd en moet beschikbaar zijn voor interne en externe auditors tijdens compliance-reviews.
Remediatie
Wanneer monitoring aangeeft dat BitLocker versleuteling voor vaste gegevensschijven niet correct is geconfigureerd of niet actief is, moet er direct actie worden ondernomen om de beveiligingspostuur te herstellen. Het remediatieproces begint met een grondige analyse van de oorzaak van de configuratieafwijking, waarbij onderscheid wordt gemaakt tussen technische problemen, onbedoelde configuratiewijzigingen, en mogelijk kwaadaardige activiteiten waarbij aanvallers versleuteling proberen uit te schakelen. Voor apparaten waarop de BitLocker-versleutelingsconfiguratie ontbreekt of incorrect is, wordt het remediatiescript uitgevoerd dat de correcte instellingen opnieuw toepast via Microsoft Intune. Het script maakt gebruik van de Invoke-Remediation functie die de huidige configuratie controleert en indien nodig de BitLocker-instellingen herstelt naar de gewenste staat. Het remediatieproces verloopt gestructureerd, waarbij eerst wordt gecontroleerd of het apparaat nog steeds verbonden is met Microsoft Intune en of er geen onderliggende connectiviteitsproblemen zijn die de configuratie-update kunnen blokkeren. Indien het apparaat niet meer verbonden is met Intune, moet eerst de verbinding worden hersteld voordat remediatie kan plaatsvinden. Voor apparaten waarop lokale configuratiewijzigingen de Intune-beleidsinstellingen hebben overschreven, wordt naast het opnieuw toepassen van de Intune-configuratie ook onderzocht hoe deze lokale wijzigingen hebben kunnen plaatsvinden en welke maatregelen nodig zijn om te voorkomen dat dit in de toekomst opnieuw gebeurt. Dit kan het implementeren van aanvullende beveiligingsmaatregelen omvatten, zoals het beperken van lokale beheerdersrechten of het implementeren van aanvullende Group Policy-instellingen die lokale wijzigingen aan BitLocker-configuraties blokkeren. In gevallen waarin vaste gegevensschijven niet zijn versleuteld of deels versleuteld zijn en niet verder gaan met de versleutelingsprocedure, moet het remediatieproces de versleuteling opnieuw initiëren of hervatten. Dit kan worden gedaan door middel van het remediatiescript dat automatisch de versleutelingsprocedure start voor onversleutelde schijven. Het is belangrijk om rekening te houden met de tijd die nodig is voor de versleutelingsprocedure, aangezien het versleutelen van grote schijven meerdere uren kan duren en de prestaties van het apparaat kan beïnvloeden tijdens het versleutelingsproces. Voor apparaten waarbij de herstelsleutel niet correct is opgeslagen in Azure AD, moet het remediatieproces de herstelsleutel opnieuw opslaan in Azure AD om ervoor te zorgen dat IT-beheerders toegang hebben tot de sleutel wanneer deze nodig is. Dit kan worden gedaan door de herstelsleutel handmatig op te halen van het apparaat en deze op te slaan in Azure AD, of door gebruik te maken van het remediatiescript dat automatisch de herstelsleutel ophaalt en opslaat in Azure AD. Na het uitvoeren van de remediatie wordt de configuratie opnieuw geverifieerd om te bevestigen dat de BitLocker-versleuteling correct is hersteld en actief is. Het remediatieproces wordt gedocumenteerd in een incidentlog, inclusief de gedetecteerde afwijking, de uitgevoerde acties, en de verificatie van de herstelde configuratie. Voor terugkerende problemen wordt een root cause analysis uitgevoerd om structurele oorzaken te identificeren en permanente oplossingen te implementeren. Organisaties moeten ook overwegen om geautomatiseerde remediatie in te stellen waarbij configuratieafwijkingen automatisch worden gedetecteerd en gecorrigeerd, wat de tijd tussen detectie en herstel aanzienlijk verkort en de beveiligingspostuur verbetert. Dit kan worden gerealiseerd door gebruik te maken van Intune's automatische remediatiemogelijkheden in combinatie met PowerShell-scripts die periodiek worden uitgevoerd om de versleutelingsstatus te controleren en indien nodig automatisch remediatie uit te voeren.
Gebruik PowerShell-script bitlocker-fixed-data-drives.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- CIS M365: Control 1.4 (L1) - BitLocker versleuteling voor gegevensschijven
- BIO: 18.01.01 - Gegevensversleuteling bij rust
- ISO 27001:2022: A.8.24 - Gebruik van cryptografie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune BitLocker: Fixed Data Drives Encryption
.DESCRIPTION
CIS 1.4 - BitLocker encryption voor fixed data drives (D:, E:, etc.) met XTS-AES 256-bit.
.NOTES
Filename: bitlocker-fixed-data-drives.ps1|Author: Nederlandse Baseline voor Veilige Cloud|OMA-URI: ./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption|Expected: Enabled
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "bitlocker-fixed-data-drives.ps1"; PolicyName = "BitLocker Fixed Drives"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Encrypted"; Details = @() }; function Invoke-Revert { Write-Host "Revert via Intune policy" }
try { $vols = Get-BitLockerVolume -ErrorAction SilentlyContinue | Where-Object { $_.VolumeType -eq 'Data' }; if ($vols) { $encrypted = ($vols | Where-Object { $_.ProtectionStatus -eq 'On' }).Count; $total = $vols.Count; $r.CurrentValue = "$encrypted/$total encrypted"; if ($encrypted -eq $total -and $total -gt 0) { $r.IsCompliant = $true; $r.Details += "Alle fixed drives encrypted" }else { $r.Details += "Niet alle drives encrypted" } }else { $r.IsCompliant = $true; $r.Details += "Geen extra data drives" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { Write-Host "BitLocker Fixed Drives configureren via Intune:" -ForegroundColor Yellow; Write-Host "Endpoint Security > Disk Encryption > Windows 10+" -ForegroundColor Gray; Write-Host "Fixed Data Drive Encryption: Require" -ForegroundColor Gray; Write-Host "Encryption Method: XTS-AES 256-bit" -ForegroundColor Gray }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Write-Host "Revert via Intune policy" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder BitLocker versleuteling voor vaste gegevensschijven ontstaat er een hoog risico op datalekken. Onversleutelde vaste gegevensschijven zijn leesbaar bij apparaatdiefstal, waarbij een aanvaller de schijf uit het apparaat kan verwijderen en deze kan aansluiten op een ander systeem om toegang te verkrijgen tot alle onversleutelde gegevens. Dit leidt tot schendingen van compliance-vereisten, waaronder de AVG-vereiste voor versleuteling van persoonsgegevens en de BIO-controle 18.01 voor cryptografische maatregelen voor gegevensbescherming. Voor laptops en mobiele apparaten met vaste gegevensschijven is versleuteling verplicht, aangezien deze apparaten een hoog risico lopen op diefstal of verlies. Voor desktopwerkstations wordt versleuteling aanbevolen op basis van de gevoeligheid van de gegevens die op deze apparaten worden opgeslagen.
Management Samenvatting
Versleutel alle vaste gegevensschijven (D:, E:, etc.) via BitLocker met XTS-AES 256-bit versleuteling. Sla herstelsleutels veilig op in Azure AD. Streef naar 100% dekking voor alle apparaten met vaste gegevensschijven. Deze implementatie voldoet aan CIS 1.4, BIO 18.01 en AVG-vereisten voor versleuteling. De implementatietijd bedraagt 2-4 uur.
- Implementatietijd: 4 uur
- FTE required: 0.03 FTE