💼 Management Samenvatting
BitLocker OS drive versleuteling beschermt data-at-rest door Windows system drives volledig te encrypten met AES-256 encryptie, waardoor ongeautoriseerde toegang tot gegevens wordt voorkomen bij diefstal, verlies of ongeautoriseerde fysieke toegang tot devices.
Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
10/10
Implementatie
12u (tech: 4u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Intune
✓ Endpoint Security
✓ Windows 11
✓ Intune
✓ Endpoint Security
Een niet-versleuteld device is volledig gecompromitteerd bij diefstal of verlies. Aanvallers kunnen: het device opstarten vanaf een USB-stick, de harde schijf mounten in een ander systeem, en alle bestanden kopiëren inclusief gebruikersdocumenten, gecachte credentials in LSASS memory dumps, opgeslagen browser wachtwoorden, email OST bestanden met complete mailbox, VPN configuraties met potentiële toegang tot bedrijfsnetwerk, en gevoelige bedrijfsinformatie. BitLocker versleuteling maakt alle data onleesbaar zonder de correcte decryption key die is opgeslagen in de TPM chip. Dit is essentieel voor laptop theft scenarios, veilige device disposal (geen data-wipe nodig als versleuteld), en compliance met AVG, BIO, NIS2 die versleuteling van persoonlijke en gevoelige data vereisen.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.DeviceManagement.Actions
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.DeviceManagement.Actions
Implementatie
Deze control implementeert een Intune policy die BitLocker versleuteling verplicht stelt voor OS drives (C:) met de volgende configuratie: versleutelingsmethode XTS-AES 256-bit voor maximale beveiliging, TPM 1.2 of hoger vereist voor hardware-based key bescherming, startup authentication via TPM alleen (seamless boot) of TPM+PIN (extra security layer), recovery keys automatisch geëscroweerd naar Azure AD voor veilige backup, en devices worden non-compliant gerapporteerd als BitLocker niet is ingeschakeld. Windows 10/11 Pro of Enterprise is vereist (BitLocker is niet beschikbaar in Home edition). De policy dwingt versleuteling af bij enrollment en bij bestaande devices, met een configureerbare grace period voor gebruiker-geïnitieerde encryptie.
Vereisten
Het implementeren van BitLocker OS drive versleuteling vereist een zorgvuldige voorbereiding en controle van verschillende technische en organisatorische voorwaarden. Deze vereisten vormen de fundering voor een succesvolle implementatie en zorgen ervoor dat alle devices in de organisatie kunnen profiteren van volledige schijfversleuteling zonder operationele verstoringen. De eerste en meest kritieke vereiste betreft de Windows-editie die op de devices is geïnstalleerd. BitLocker is uitsluitend beschikbaar op Windows 10 Pro, Enterprise of Education editie, evenals Windows 11 Pro, Enterprise of Education. De Home-editie van Windows ondersteunt BitLocker niet, wat betekent dat organisaties die devices met Windows Home gebruiken, deze moeten upgraden naar een Pro- of Enterprise-editie voordat versleuteling kan worden geïmplementeerd. Deze beperking is van technische aard en kan niet worden omzeild met softwarematige oplossingen. Een tweede essentiële vereiste is de aanwezigheid van een Trusted Platform Module, ofwel TPM, versie 1.2 of hoger. De TPM is een hardwarechip die cryptografische sleutels veilig opslaat en beheert. Bijna alle moderne devices die vanaf 2015 zijn geproduceerd, beschikken over TPM 1.2, terwijl TPM 2.0 sinds 2016 de standaard is geworden. De TPM speelt een cruciale rol in het BitLocker-ecosysteem omdat deze de versleutelingssleutels beschermt tegen softwarematige aanvallen en fysieke manipulatie. Zonder een functionerende TPM zouden organisaties moeten terugvallen op alternatieve authenticatiemethoden zoals een opstartwachtwoord, wat de gebruikerservaring aanzienlijk verslechtert. Voor optimale beveiliging en ondersteuning van TPM 2.0 is UEFI firmware vereist in plaats van legacy BIOS. UEFI biedt verbeterde beveiligingsfuncties zoals Secure Boot, die voorkomt dat kwaadaardige software tijdens het opstartproces wordt geladen. Legacy BIOS-systemen kunnen in sommige gevallen nog steeds werken met TPM 1.2, maar organisaties worden sterk aangeraden om over te stappen op UEFI voor toekomstbestendige beveiliging. Qua schijfruimte is minimaal 128 GB vereist voor de OS-drive. Hoewel BitLocker technisch gezien op kleinere schijven kan werken, is deze ruimte nodig voor het besturingssysteem, applicaties en gebruikersdata. Bovendien heeft de initiële versleutelingsprocedure voldoende vrije ruimte nodig om efficiënt te kunnen werken zonder de prestaties van het systeem te veel te beïnvloeden. Vanuit een licentieperspectief is een Microsoft Intune-abonnement met Endpoint Security-licentie vereist. Deze licentie geeft toegang tot de geavanceerde beveiligingsfuncties binnen Intune, inclusief de BitLocker-beleidsconfiguratie en compliance-rapportage. Organisaties moeten ervoor zorgen dat alle gebruikers en devices over de juiste licenties beschikken voordat ze beginnen met de implementatie. Voor de integratie met Microsoft 365 en Azure Active Directory moeten devices zijn toegevoegd aan Azure AD, hetzij als Azure AD joined devices, hetzij als Hybrid Azure AD joined devices. Deze integratie is essentieel omdat BitLocker recovery keys automatisch worden opgeslagen in Azure AD, wat een centrale en veilige back-upmogelijkheid biedt. Zonder deze integratie zouden organisaties handmatig recovery keys moeten beheren, wat foutgevoelig en tijdrovend is. Het device compliance policy framework moet worden geconfigureerd in Intune om ervoor te zorgen dat devices die niet voldoen aan de BitLocker-vereisten, correct worden geïdentificeerd en gerapporteerd. Dit framework vormt de basis voor automatische compliance-controles en maakt het mogelijk om non-compliant devices te blokkeren via Conditional Access-beleidsregels. Conditional Access-beleidsregels voor het blokkeren van non-compliant devices worden sterk aanbevolen, hoewel ze technisch gezien optioneel zijn. Deze beleidsregels zorgen ervoor dat gebruikers met niet-versleutelde devices geen toegang krijgen tot bedrijfsresources zoals Microsoft 365-applicaties, SharePoint-sites en andere cloudservices. Dit creëert een sterke incentive voor gebruikers om hun devices te versleutelen en verhoogt de algehele beveiligingspostuur van de organisatie. De configuratie van automatische recovery key backup naar Azure AD is een kritieke vereiste die niet mag worden overgeslagen. Deze functie zorgt ervoor dat wanneer gebruikers hun TPM-PIN vergeten of wanneer er hardwareproblemen optreden, de IT-afdeling nog steeds toegang heeft tot de recovery keys om de versleuteling te herstellen. Zonder deze back-up zouden organisaties het risico lopen dat gebruikers permanent toegang verliezen tot hun versleutelde data. Ten slotte is een uitgebreid communicatieplan voor eindgebruikers essentieel voor een soepele implementatie. Gebruikers moeten worden geïnformeerd over het versleutelingsproces, inclusief het feit dat devices mogelijk moeten worden herstart tijdens de initiële versleuteling en dat er tijdelijke prestatie-impact kan optreden tijdens deze fase. Goede communicatie voorkomt onnodige helpdesk-tickets en zorgt ervoor dat gebruikers begrijpen waarom deze beveiligingsmaatregel wordt geïmplementeerd.
Implementatie
De implementatie van BitLocker OS drive versleuteling via Microsoft Intune Endpoint Security is een gestructureerd proces dat zorgvuldige configuratie en validatie vereist. Deze implementatie zorgt ervoor dat alle Windows-devices in de organisatie automatisch worden versleuteld volgens de hoogste beveiligingsstandaarden, zonder dat gebruikers handmatig actie hoeven te ondernemen. Het implementatieproces begint in het Microsoft Intune-beheercentrum, waar beheerders navigeren naar de sectie Endpoint Security en vervolgens naar Disk Versleuteling. Deze centrale locatie biedt een overzicht van alle versleutelingsbeleidsregels en maakt het mogelijk om nieuwe beleidsregels te maken of bestaande te beheren. Door op de knop 'Maak aan Policy' te klikken, wordt het configuratiewizard gestart die beheerders door het volledige proces leidt. Bij het selecteren van het platform moet worden gekozen voor 'Windows 10 en later', wat zowel Windows 10 als Windows 11 omvat. Deze keuze zorgt ervoor dat het beleid wordt toegepast op alle moderne Windows-devices in de organisatie. Het profieltype dat moet worden geselecteerd is 'BitLocker', wat specifiek is ontworpen voor het beheren van BitLocker-versleutelingsinstellingen via Intune. De configuratie-instellingen vormen het hart van het BitLocker-beleid. De eerste en meest kritieke instelling is 'Require Device Versleuteling', die moet worden ingesteld op 'Yes'. Deze instelling dwingt af dat alle devices die onder dit beleid vallen, versleuteling moeten hebben ingeschakeld. Zonder deze instelling zouden devices kunnen blijven functioneren zonder versleuteling, wat de beveiligingsdoelstellingen van de organisatie zou ondermijnen. Binnen de BitLocker System Drive Policy moeten verschillende belangrijke instellingen worden geconfigureerd. De 'Require' instelling moet worden ingesteld op 'Yes' om ervoor te zorgen dat de OS-drive daadwerkelijk wordt versleuteld. De versleutelingsmethode moet worden ingesteld op 'XTS-AES 256-bit', wat de sterkste beschikbare versleutelingsmethode is en voldoet aan alle moderne beveiligingsstandaarden. Deze methode biedt uitstekende prestaties terwijl het maximale beveiligingsniveau wordt geboden. Voor de startup-authenticatie zijn er twee primaire opties beschikbaar. De eerste optie is 'TPM vereist', wat betekent dat alleen de Trusted Platform Module wordt gebruikt voor authenticatie tijdens het opstarten. Deze methode biedt naadloze gebruikerservaring omdat gebruikers geen extra wachtwoord hoeven in te voeren. De tweede optie is 'TPM + PIN', wat een extra beveiligingslaag toevoegt door gebruikers te verplichten een numerieke PIN in te voeren tijdens het opstarten. Deze optie wordt aanbevolen voor devices die zeer gevoelige informatie bevatten of die regelmatig worden blootgesteld aan fysieke risico's. Wanneer TPM + PIN wordt gebruikt, moet de minimum PIN-lengte worden ingesteld op minimaal 6 cijfers, hoewel 8 cijfers wordt aanbevolen voor extra beveiliging. De BitLocker Recovery-instellingen zijn cruciaal voor het beheer van recovery keys. De instelling 'Save BitLocker recovery information to Azure AD' moet worden ingeschakeld om ervoor te zorgen dat recovery keys automatisch worden opgeslagen in Azure Active Directory. Deze automatische back-up voorkomt dat recovery keys verloren gaan en maakt het mogelijk voor IT-beheerders om snel toegang te krijgen tot recovery keys wanneer dat nodig is. De instelling 'Store recovery information voordat BitLocker wordt ingeschakeld' moet worden ingesteld op 'vereist' om ervoor te zorgen dat recovery keys altijd beschikbaar zijn voordat versleuteling begint. Voor de recovery key-opties moet 'Recovery key' worden ingesteld op 'Allowed', wat betekent dat de 48-cijferige numerieke recovery key kan worden gebruikt om versleutelde drives te herstellen. De 'Recovery password' optie moet worden ingesteld op 'Blocked' om ervoor te zorgen dat alleen recovery keys worden gebruikt, wat de beveiliging verhoogt en de beheerbaarheid verbetert. Na het configureren van alle instellingen moet het beleid worden toegewezen aan de juiste device-groepen. Organisaties kunnen ervoor kiezen om het beleid toe te wijzen aan alle devices, of aan specifieke groepen zoals laptops, desktopcomputers of devices die worden gebruikt door gebruikers met toegang tot gevoelige informatie. Deze flexibiliteit maakt het mogelijk om gefaseerde implementaties uit te voeren, waarbij eerst een pilotgroep wordt gebruikt voordat het beleid wordt uitgerold naar de volledige organisatie. Een grace period van 7 dagen wordt aanbevolen om gebruikers de tijd te geven om versleuteling te starten zonder dat hun devices onmiddellijk als non-compliant worden gemarkeerd. Deze periode geeft gebruikers de gelegenheid om hun devices op een geschikt moment te herstarten en versleuteling te starten, wat de gebruikerservaring verbetert en onnodige verstoringen voorkomt. De compliance policy moet worden geconfigureerd om devices te markeren als non-compliant wanneer BitLocker niet is ingeschakeld. Deze instelling zorgt ervoor dat devices die niet voldoen aan de versleutelingsvereisten, correct worden geïdentificeerd in compliance-rapporten en kunnen worden geblokkeerd via Conditional Access-beleidsregels. Voor lokale validatie van de BitLocker-status op een Windows-device kan het PowerShell-script bitlocker-os-drive-encryption.ps1 worden gebruikt. Dit script biedt beheerders de mogelijkheid om de versleutelingsstatus te controleren zonder toegang tot het Intune-beheercentrum, wat handig is voor troubleshooting en lokale verificatie. Na de implementatie is uitgebreide validatie essentieel om ervoor te zorgen dat het beleid correct werkt. Device compliance-rapporten in Intune moeten regelmatig worden gemonitord om de versleutelingsstatus van alle devices te volgen. Deze rapporten tonen welke devices succesvol zijn versleuteld, welke devices nog in het versleutelingsproces zitten, en welke devices non-compliant zijn. Verificatie van recovery keys in Azure AD moet worden uitgevoerd per device om ervoor te zorgen dat alle recovery keys correct zijn opgeslagen. Deze verificatie kan worden gedaan door te navigeren naar Azure AD, Devices, en vervolgens naar de BitLocker recovery keys-sectie. Elke device zou een recovery key moeten hebben die is gekoppeld aan de device-ID. Praktische tests moeten worden uitgevoerd om te verifiëren dat devices correct opstarten met TPM-authenticatie, of met TPM + PIN indien die optie is geconfigureerd. Deze tests zorgen ervoor dat gebruikers geen problemen ondervinden tijdens het normale gebruik van hun devices. Validatie dat non-compliant devices worden geblokkeerd door Conditional Access is cruciaal voor de effectiviteit van het beleid. Deze validatie kan worden uitgevoerd door een testdevice te gebruiken dat niet is versleuteld en te verifiëren dat toegang tot Microsoft 365-services wordt geblokkeerd. Ten slotte moet de helpdesk worden gemonitord voor versleutelingsgerelateerde problemen. Deze monitoring helpt bij het identificeren van veelvoorkomende problemen en het verbeteren van gebruikerscommunicatie en documentatie. Door deze problemen proactief aan te pakken, kunnen organisaties de gebruikerservaring verbeteren en de effectiviteit van de implementatie verhogen.
Gebruik PowerShell-script bitlocker-os-drive-encryption.ps1 (functie Invoke-Monitoring) – PowerShell script voor lokale validatie van BitLocker status op een Windows device.
Monitoring
Continue monitoring van BitLocker OS drive versleuteling is essentieel voor het behouden van een sterke beveiligingspostuur en het snel identificeren van potentiële problemen. Effectieve monitoring stelt organisaties in staat om proactief te reageren op non-compliant devices, versleutelingsfouten te detecteren en de algehele effectiviteit van het BitLocker-beleid te evalueren. Het primaire monitoring-instrument voor BitLocker-versleuteling is het versleutelingsrapport in Microsoft Intune. Dit rapport is toegankelijk via het navigatiemenu onder Devices, gevolgd door Monitoren, en vervolgens Versleuteling Report. Dit rapport biedt een uitgebreid overzicht van de BitLocker-compliance status per device, inclusief informatie over welke devices succesvol zijn versleuteld, welke devices nog in het versleutelingsproces zitten, en welke devices non-compliant zijn. Het rapport toont ook belangrijke details zoals de versleutelingsmethode die wordt gebruikt, de status van de TPM, en of recovery keys correct zijn opgeslagen in Azure AD. Het Device Compliance Dashboard in Intune biedt een gecentraliseerd overzicht van alle non-compliant devices in de organisatie. Dit dashboard maakt het mogelijk om snel devices te identificeren die niet voldoen aan de BitLocker-vereisten en prioritering toe te passen voor remediatie-acties. Het dashboard toont niet alleen welke devices non-compliant zijn, maar ook de reden waarom ze niet voldoen, wat helpt bij het identificeren van veelvoorkomende problemen en het verbeteren van het implementatieproces. Verificatie van BitLocker recovery keys in Azure AD is een kritieke monitoring-activiteit die regelmatig moet worden uitgevoerd. Deze verificatie kan worden gedaan door te navigeren naar Azure Active Directory, vervolgens naar Devices, en dan naar de BitLocker recovery keys-sectie. Elke device die succesvol is versleuteld, zou een recovery key moeten hebben die is gekoppeld aan de unieke device-ID. Regelmatige verificatie van deze keys zorgt ervoor dat recovery keys beschikbaar zijn wanneer ze nodig zijn, wat cruciaal is voor het herstellen van toegang tot versleutelde drives in geval van hardwareproblemen of vergeten authenticatiegegevens. Monitoring van versleutelingsvoortgang voor nieuwe devices is belangrijk om ervoor te zorgen dat nieuwe devices die worden toegevoegd aan de organisatie, snel worden versleuteld. Deze monitoring helpt bij het identificeren van devices die mogelijk problemen ondervinden tijdens het versleutelingsproces, zoals devices met onvoldoende schijfruimte, TPM-problemen, of andere technische problemen die versleuteling kunnen voorkomen. Door deze problemen vroegtijdig te identificeren, kunnen IT-beheerders proactief ingrijpen voordat devices langdurig non-compliant blijven. Automatische waarschuwingen moeten worden geconfigureerd voor devices die de compliance grace period overschrijden. Deze waarschuwingen zorgen ervoor dat IT-beheerders onmiddellijk worden geïnformeerd wanneer devices langer dan de toegestane periode non-compliant blijven, wat actie mogelijk maakt voordat deze devices een beveiligingsrisico vormen. Deze waarschuwingen kunnen worden geconfigureerd in Intune en kunnen worden verzonden via e-mail, Microsoft Teams, of andere communicatiekanalen die door de organisatie worden gebruikt. Het PowerShell-script bitlocker-os-drive-encryption.ps1 biedt de mogelijkheid om lokale compliance-controles uit te voeren op individuele devices. Dit script is bijzonder nuttig voor troubleshooting en voor het valideren van de BitLocker-status op devices zonder directe toegang tot het Intune-beheercentrum. Het script kan worden uitgevoerd door IT-beheerders tijdens on-site bezoeken of door helpdeskmedewerkers tijdens remote support-sessies. Kwartaalreviews van de versleutelingsstatus en beleidseffectiviteit zijn essentieel voor het behouden van een sterke beveiligingspostuur op de lange termijn. Deze reviews moeten een uitgebreide analyse omvatten van de versleutelingsstatistieken, inclusief het percentage devices dat succesvol is versleuteld, de gemiddelde tijd die nodig is voor versleuteling, en de meest voorkomende redenen voor non-compliance. Deze reviews moeten ook een evaluatie omvatten van de effectiviteit van het huidige beleid, inclusief een beoordeling van of de configuratie-instellingen nog steeds geschikt zijn voor de behoeften van de organisatie. Tijdens deze kwartaalreviews moeten organisaties ook de helpdesk-statistieken analyseren om te identificeren of er veelvoorkomende problemen zijn die gebruikers ondervinden met BitLocker-versleuteling. Deze analyse kan leiden tot verbeteringen in gebruikerscommunicatie, aanvullende training voor helpdeskmedewerkers, of aanpassingen aan het beleid om gebruikerservaring te verbeteren. Effectieve monitoring vereist ook het bijhouden van trends over tijd, zoals veranderingen in het percentage compliant devices, de frequentie van versleutelingsfouten, en de tijd die nodig is om non-compliant devices te remediëren. Deze trends helpen bij het identificeren van potentiële problemen voordat ze kritiek worden en maken het mogelijk om proactieve maatregelen te nemen om de algehele beveiligingspostuur te verbeteren. Organisaties moeten ook overwegen om geautomatiseerde rapporten te configureren die regelmatig worden gegenereerd en verzonden naar relevante stakeholders, zoals security officers, IT-managers, en compliance-officers. Deze rapporten zorgen ervoor dat alle belanghebbenden op de hoogte blijven van de versleutelingsstatus en kunnen helpen bij het identificeren van gebieden die verbetering behoeven. Ten slotte moet monitoring ook aandacht besteden aan de beveiligingsaspecten van recovery key-beheer. Dit omvat het controleren van wie toegang heeft tot recovery keys, het monitoren van recovery key-gebruik, en het verifiëren dat recovery keys correct worden verwijderd wanneer devices worden uitgeschreven of vervangen. Deze monitoring helpt bij het voorkomen van onbevoegde toegang tot versleutelde data en zorgt ervoor dat recovery keys alleen worden gebruikt voor legitieme doeleinden.
Gebruik PowerShell-script bitlocker-os-drive-encryption.ps1 (functie Invoke-Monitoring) – PowerShell script voor compliance checking van BitLocker status.
Remediatie
Remediatie van non-compliant devices is een kritiek proces dat ervoor zorgt dat alle devices in de organisatie uiteindelijk voldoen aan de BitLocker-versleutelingsvereisten. Effectieve remediatie vereist een gestructureerde aanpak die rekening houdt met verschillende scenario's en problemen die kunnen voorkomen tijdens het versleutelingsproces. De primaire remediatiemethode voor non-compliant devices is automatische versleuteling die wordt getriggerd door de Intune-beleidsregel wanneer een device synchroniseert met de Intune-service. Wanneer een device wordt gedetecteerd als non-compliant, zal het Intune-beleid automatisch proberen versleuteling te starten tijdens de volgende policy-synchronisatie. Dit automatische proces is de meest efficiënte manier om devices te remediëren omdat het geen handmatige interventie vereist en ervoor zorgt dat versleuteling wordt gestart zodra een device de vereisten heeft om versleuteling te ondersteunen. Voor gebruikers die versleuteling handmatig willen starten, biedt Windows een ingebouwde interface die toegankelijk is via Windows Settings, gevolgd door Update & Security, en vervolgens Device Versleuteling. Deze interface geeft gebruikers de mogelijkheid om versleuteling te starten op hun eigen tempo, wat handig kan zijn wanneer gebruikers willen wachten tot een geschikt moment, zoals buiten kantooruren of wanneer het device niet actief wordt gebruikt. De interface biedt ook duidelijke instructies over wat er gebeurt tijdens het versleutelingsproces en wat gebruikers kunnen verwachten. Sommige devices ondervinden blokkerende problemen die automatische of handmatige versleuteling voorkomen. De meest voorkomende blokkerende problemen zijn devices zonder TPM-chip of devices die Windows Home-edities gebruiken, die BitLocker niet ondersteunen. Voor deze devices is een device-upgrade of -vervanging vereist voordat versleuteling kan worden geïmplementeerd. Devices zonder TPM kunnen in theorie nog steeds worden versleuteld met alternatieve authenticatiemethoden zoals een opstartwachtwoord, maar deze methode wordt sterk afgeraden vanwege de slechte gebruikerservaring en verminderde beveiliging. Voor devices met Windows Home-edities is een upgrade naar Windows Pro of Enterprise vereist, wat kan worden gedaan via een licentie-upgrade of door het device te vervangen met een device dat al over de juiste Windows-editie beschikt. Wanneer versleuteling faalt ondanks dat een device aan alle basisvereisten voldoet, moeten verschillende technische aspecten worden gecontroleerd. De TPM-status moet worden geverifieerd om ervoor te zorgen dat de TPM-chip correct is geïnitialiseerd en functioneert. Dit kan worden gedaan via de Windows Device Manager of door gebruik te maken van het TPM Management Console. Als de TPM niet correct is geïnitialiseerd, kan dit worden opgelost door de TPM opnieuw te initialiseren, hoewel dit voorzichtig moet worden gedaan omdat het kan leiden tot verlies van bestaande versleutelingssleutels. BIOS-instellingen moeten worden gecontroleerd om ervoor te zorgen dat TPM is ingeschakeld en correct is geconfigureerd. Sommige devices hebben TPM standaard uitgeschakeld in de BIOS, wat versleuteling voorkomt. Beheerders moeten de BIOS-instellingen controleren en TPM inschakelen indien nodig. Bovendien moeten beheerders ervoor zorgen dat Secure Boot is ingeschakeld, wat een aanvullende beveiligingslaag biedt en in sommige gevallen vereist is voor optimale BitLocker-functionaliteit. De gezondheid van de schijf moet worden gecontroleerd omdat beschadigde schijven of schijven met fouten versleutelingsproblemen kunnen veroorzaken. Windows biedt ingebouwde tools zoals CHKDSK om schijffouten te detecteren en te repareren. Beheerders moeten ervoor zorgen dat alle schijffouten zijn opgelost voordat versleuteling wordt geprobeerd, omdat versleuteling op een beschadigde schijf kan leiden tot dataverlies of permanente versleutelingsfouten. Het PowerShell-script bitlocker-os-drive-encryption.ps1 biedt geautomatiseerde remediatiefuncties die kunnen worden gebruikt om versleuteling te starten of te herstellen op devices die problemen ondervinden. Dit script kan worden uitgevoerd door IT-beheerders tijdens troubleshooting-sessies en kan helpen bij het identificeren en oplossen van veelvoorkomende versleutelingsproblemen. Voor gebruikers die het versleutelingsproces niet begrijpen of die hulp nodig hebben, moeten duidelijke helpdeskprocedures beschikbaar zijn. Deze procedures moeten stap-voor-stap instructies bevatten voor het starten van versleuteling, het omgaan met veelvoorkomende problemen, en het begrijpen van wat er gebeurt tijdens het versleutelingsproces. Helpdeskmedewerkers moeten worden getraind in het herkennen van veelvoorkomende BitLocker-problemen en het bieden van effectieve ondersteuning aan gebruikers. Devices die persistent non-compliant blijven ondanks herhaalde remediatiepogingen, vereisen escalatie naar het IT-team voor diepgaande troubleshooting. Deze devices kunnen complexe problemen hebben die gespecialiseerde kennis vereisen om op te lossen. Het IT-team moet een gestructureerd troubleshooting-proces volgen dat begint met het verzamelen van diagnostische informatie, gevolgd door systematische tests om de oorzaak van het probleem te identificeren. Tijdens het remediatieproces is het belangrijk om gebruikers regelmatig te informeren over de status van hun devices en wat er wordt gedaan om versleuteling te starten. Deze communicatie helpt bij het verminderen van gebruikersonzekerheid en zorgt ervoor dat gebruikers begrijpen dat actie wordt ondernomen om hun devices te beveiligen. Organisaties moeten ook overwegen om geautomatiseerde remediatie-workflows te implementeren die automatisch actie ondernemen wanneer devices non-compliant worden gedetecteerd. Deze workflows kunnen bijvoorbeeld automatisch e-mails verzenden naar gebruikers met instructies voor het starten van versleuteling, of automatisch tickets aanmaken in het helpdesksysteem voor devices die langer dan een bepaalde periode non-compliant blijven. Effectieve remediatie vereist ook het bijhouden van statistieken over remediatie-activiteiten, inclusief het aantal devices dat succesvol is geremediateerd, de gemiddelde tijd die nodig is voor remediatie, en de meest voorkomende redenen voor non-compliance. Deze statistieken helpen bij het identificeren van trends en het verbeteren van het remediatieproces over tijd. Ten slotte moeten organisaties regelmatig evalueren of hun remediatieprocessen effectief zijn en of er verbeteringen kunnen worden aangebracht. Deze evaluatie moet feedback van gebruikers en helpdeskmedewerkers omvatten, evenals een analyse van remediatiestatistieken om te identificeren waar het proces kan worden geoptimaliseerd.
Gebruik PowerShell-script bitlocker-os-drive-encryption.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
BitLocker OS drive versleuteling is een fundamentele beveiligingsmaatregel die essentieel is voor naleving van meerdere nationale en internationale compliance frameworks en beveiligingsstandaarden. Deze control vormt de basis voor gegevensbescherming bij rust en is vaak een harde vereiste voor organisaties die opereren in gereguleerde sectoren zoals financiën, gezondheidszorg en overheid. De CIS Benchmark voor Intune en Windows specificeert expliciet dat BitLocker OS drive versleuteling moet zijn ingeschakeld met AES-256-versleuteling en TPM-gebaseerde sleutelbescherming. Deze benchmark wordt wereldwijd erkend als een best practice voor Windows-beveiliging en wordt vaak gebruikt als basis voor security-audits en compliance-evaluaties. Organisaties die voldoen aan de CIS Benchmark-aanbevelingen demonstreren een sterke beveiligingspostuur en verminderen het risico op beveiligingsincidenten. BIO, de Baseline Informatiebeveiliging Overheid, behandelt versleuteling in Thema 10.01, dat zich richt op cryptografische maatregelen voor de bescherming van gevoelige informatie. Specifiek vereist BIO 10.01 versleuteling bij rust voor gevoelige informatie, wat betekent dat alle data die is opgeslagen op devices, inclusief OS-drives, moet worden versleuteld. BitLocker voldoet aan deze vereiste door volledige schijfversleuteling te bieden die alle data op de OS-drive beschermt, ongeacht of deze data actief wordt gebruikt of niet. Nederlandse overheidsorganisaties moeten voldoen aan BIO-vereisten, wat BitLocker OS drive versleuteling tot een verplichte maatregel maakt. ISO 27001:2022, de internationale standaard voor informatiebeveiligingsmanagement, behandelt versleuteling in controle A.8.24, die zich richt op het gebruik van cryptografie. Deze controle vereist dat organisaties een beleid hebben voor encryptie van data bij rust, wat betekent dat alle opgeslagen data moet worden versleuteld met geschikte cryptografische methoden. BitLocker met AES-256-versleuteling voldoet aan deze vereiste en biedt een bewezen, industrie-standaard methode voor het versleutelen van OS-drives. Organisaties die ISO 27001-certificering nastreven of behouden, moeten kunnen aantonen dat ze effectieve versleutelingsmaatregelen hebben geïmplementeerd. De NIS2-richtlijn, die is geïmplementeerd in Nederlandse wetgeving, vereist in Artikel 21 dat organisaties passende cybersecurity risicobeheersmaatregelen implementeren, waaronder versleuteling van gevoelige data. Deze vereiste is bijzonder relevant voor organisaties die worden aangemerkt als essentiële of belangrijke entiteiten onder NIS2, wat een breed scala aan sectoren omvat, waaronder energie, transport, gezondheidszorg, en digitale dienstverlening. BitLocker OS drive versleuteling helpt organisaties te voldoen aan deze NIS2-vereisten door gevoelige data te beschermen tegen diefstal of verlies van devices. De Algemene Verordening Gegevensbescherming, ofwel AVG, vereist in Artikel 32 dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen. Versleuteling wordt expliciet genoemd als een voorbeeld van een passende technische maatregel, wat betekent dat organisaties die persoonsgegevens verwerken, versleuteling moeten overwegen als onderdeel van hun gegevensbeschermingsstrategie. BitLocker OS drive versleuteling helpt organisaties te voldoen aan AVG-vereisten door ervoor te zorgen dat persoonsgegevens die zijn opgeslagen op devices, beschermd zijn tegen ongeautoriseerde toegang, zelfs wanneer devices worden gestolen of verloren. Voor organisaties die betrokken zijn bij de verwerking van betalingsgegevens, vereist PCI-DSS Requirement 3.4 versleuteling van cardholder data bij rust. Hoewel deze vereiste primair gericht is op databases en bestandssystemen die cardholder data bevatten, is het ook belangrijk dat OS-drives worden versleuteld om te voorkomen dat cardholder data wordt blootgesteld wanneer devices worden gestolen of gecompromitteerd. BitLocker OS drive versleuteling vormt een belangrijke component van een alomvattende PCI-DSS compliance-strategie. Naast deze specifieke compliance-vereisten, is BitLocker OS drive versleuteling ook belangrijk voor het voldoen aan algemene due diligence-vereisten en het demonstreren van een sterke beveiligingspostuur aan stakeholders, klanten en regelgevers. Organisaties die kunnen aantonen dat ze effectieve versleutelingsmaatregelen hebben geïmplementeerd, zijn beter gepositioneerd om te voldoen aan contractuele vereisten, verzekeringsvoorwaarden, en andere zakelijke verplichtingen die beveiligingsmaatregelen vereisen. Voor auditing-doeleinden moeten organisaties kunnen aantonen dat BitLocker correct is geconfigureerd en geïmplementeerd op alle relevante devices. Dit vereist uitgebreide documentatie van het BitLocker-beleid, configuratie-instellingen, compliance-rapporten, en bewijs van continue monitoring en remediatie-activiteiten. Auditors zullen typisch vragen om bewijs dat alle devices zijn versleuteld, dat recovery keys veilig worden beheerd, en dat non-compliant devices worden geïdentificeerd en geremediateerd. Effectieve compliance vereist ook regelmatige evaluatie en bijwerking van het BitLocker-beleid om ervoor te zorgen dat het blijft voldoen aan veranderende compliance-vereisten en best practices. Organisaties moeten hun BitLocker-implementatie regelmatig beoordelen tegen de nieuwste versies van relevante compliance frameworks en hun beleid aanpassen indien nodig om te blijven voldoen aan alle vereisten. Ten slotte is het belangrijk om te erkennen dat compliance niet alleen gaat over het voldoen aan minimale vereisten, maar ook over het implementeren van best practices die de algehele beveiligingspostuur van de organisatie verbeteren. BitLocker OS drive versleuteling is niet alleen een compliance-vereiste, maar ook een kritieke beveiligingsmaatregel die helpt bij het beschermen van gevoelige informatie en het voorkomen van datalekken.
Compliance & Frameworks
- CIS M365: Control Intune-BitLocker-1 (L1) - BitLocker OS drive versleuteling moet zijn ingeschakeld met AES-256 en TPM-based key bescherming
- BIO: 10.01.01, 10.01.02 - BIO Baseline Informatiebeveiliging Overheid - Thema 10: Cryptografie - Beleid voor encryptie van data bij rest en sleutelbeheer
- ISO 27001:2022: A.8.24 - ISO 27001:2022 - A.8.24: gebruiken of cryptography voor bescherming van data bij rest
- NIS2: Artikel - NIS2 - Cybersecurity risicobeheer: Versleuteling van gevoelige data ter bescherming tegen diefstal
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune BitLocker: OS Drive Encryption
.DESCRIPTION
CIS - BitLocker OS drive (C:) encryption met XTS-AES 256-bit en TPM 2.0.
.NOTES
Filename: bitlocker-os-drive-encryption.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Feature: BitLocker OS Drive|Expected: Encrypted with XTS-AES 256
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "bitlocker-os-drive-encryption.ps1"; PolicyName = "BitLocker OS Drive"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Encrypted"; Details = @() }; function Invoke-Revert { Write-Host "Revert via Intune" }
try { $osVol = Get-BitLockerVolume -MountPoint "C:" -ErrorAction SilentlyContinue; if ($osVol) { $r.CurrentValue = $osVol.ProtectionStatus; if ($osVol.ProtectionStatus -eq 'On') { $r.IsCompliant = $true; $r.Details += "OS drive encrypted: $($osVol.EncryptionMethod)" }else { $r.Details += "OS drive NOT encrypted" } }else { $r.Details += "BitLocker niet beschikbaar" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { Write-Host "BitLocker OS Drive configureren via Intune:" -ForegroundColor Yellow; Write-Host "Endpoint Security > Disk Encryption > BitLocker" -ForegroundColor Gray; Write-Host "System Drive Encryption: Require" -ForegroundColor Gray; Write-Host "Encryption Method: XTS-AES 256-bit" -ForegroundColor Gray; Write-Host "Startup Authentication: TPM 2.0 required" -ForegroundColor Gray }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Write-Host "Revert via Intune" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Critical: KRITIEK RISICO: Gestolen of verloren device zonder BitLocker is volledige databreach. Alle bestanden zijn direct leesbaar: documenten, emails, gecachte credentials, VPN configuraties. Dit leidt tot: AVG violations met boetes tot €20 miljoen of 4% jaaromzet, NIS2 violations met boetes tot €10 miljoen of 2% jaaromzet, reputatieschade, klantvertrouwen verlies, en potentiële class-action lawsuits. BitLocker voorkomt gegevenstoegang bij device verlies - device kan worden vervangen, data blijft veilig.
Management Samenvatting
Verplicht BitLocker OS drive versleuteling via Intune policy voor alle Windows devices. Configuratie: AES-256, TPM-based bescherming, recovery keys automatisch naar Azure AD. Non-compliant devices geblokkeerd door voorwaardelijke toegang. Voldoet aan BIO 10.01, ISO 27001 A.8.24, AVG Artikel 32, NIS2. Implementatietijd: 4 uur technisch + 8 uur organisatorisch (communicatie, testing, helpdesk prep). KRITIEKE control - hoogste prioriteit.
- Implementatietijd: 12 uur
- FTE required: 0.1 FTE