BitLocker inschakelen in Windows Server op je VPS
Met BitLocker versleutel je de schijf van je VPS op Windows Server. In deze handleiding installeer je de benodigde features en schakel je BitLocker in zonder TPM, zoals vereist in een VPS-omgeving.
- TransIP-VPS’en hebben geen TPM. Schakel daarom de policy ‘Require additional authentication at startup’ in en sta ‘Allow BitLocker without a compatible TPM’ toe.
- Kies altijd voor een opstartwachtwoord. USB-opstart is niet beschikbaar in een VPS-omgeving. Je mag de recovery key uiteraard wel veilig extern bewaren.
- Bewaar de herstelsleutel (recovery key) op een veilige locatie zodat je toegang kunt herstellen bij problemen.
Voorbereiding: Verbinden met je server
Stap 1
Verbind met je VPS via RDP of de VPS-console.
BitLocker installeren
Via Server Manager
Stap 1
Open Server Manager (klik op het Server Manager-icoon of start ‘servermanager.exe’).
Stap 2
Klik op ‘Manage’ > ‘Add Roles and Features’.
Stap 3
Klik op ‘Next’ op de welkomstpagina van de wizard.
Stap 4
Selecteer ‘Role-based or feature-based installation’ > ‘Next’.
Stap 5
Kies je server bij ‘Select a server from the server pool’ > ‘Next’.
Stap 6
Ga door naar ‘Features’ door ‘Next’ te klikken op de ‘Server Roles’-pagina.
Stap 7
Vink ‘BitLocker Drive Encryption’ aan. Laat ‘Include management tools’ aangevinkt als je de beheerhulpmiddelen wilt gebruiken. Bevestig ook de installatie van ‘Enhanced Storage’ wanneer dit wordt gevraagd.
Stap 8
Klik op ‘Install’. Laat ‘Restart the destination server automatically if required’ aan als je een automatische herstart wilt toestaan.
Via Windows PowerShell
Stap 1
Open PowerShell als administrator (klik met rechts op ‘Windows PowerShell’ > ‘Run as administrator’).
Stap 2
Installeer BitLocker (inclusief subfeatures en management tools) en herstart indien nodig:
Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools -RestartMet -IncludeAllSubFeature installeer je alle BitLocker-subfeatures (zoals ‘Enhanced Storage’). -IncludeManagementTools voegt de beheertools toe. -Restart herstart de server automatisch wanneer vereist.
BitLocker gebruiken zonder TPM (policy instellen)
Stap 1
Open de Local Group Policy Editor: druk op Start, typ ‘gpedit.msc’ en druk op Enter.
Stap 2
Navigeer naar ‘Computer Configuration’ > ‘Administrative Templates’ > ‘Windows Components’ > ‘BitLocker Drive Encryption’ > ‘Operating System Drives’.
Stap 3
Open ‘Require additional authentication at startup’ (dubbelklik) en zet deze op ‘Enabled’. Vink ‘Allow BitLocker without a compatible TPM’ aan en klik op ‘Apply’ > ‘OK’.
Schijf versleutelen met BitLocker
Stap 1
Open het Configuratiescherm > ‘System and Security’ > ‘BitLocker Drive Encryption’.
Stap 2
Selecteer het station dat je wilt versleutelen en klik op ‘Turn on BitLocker’.
Stap 3
Kies ‘Enter a password’ als opstartmethode, stel een sterk wachtwoord in en ga verder.
Stap 4
Sla de herstelsleutel veilig op (bijvoorbeeld als bestand of in een wachtwoordkluis). Gebruik de USB-optie niet voor dagelijks opstarten.
Stap 5
Kies de versleutelingsopties. Voor nieuwe servers is ‘Encrypt used disk space only’ vaak voldoende en sneller; voor bestaande data kies je ‘Encrypt entire drive’. Selecteer het aanbevolen ‘New encryption mode (XTS-AES)’ voor OS-schijven.
Stap 6
Klik op ‘Start encrypting’ en wacht tot de versleuteling voltooid is. Tijdens het proces blijft de server beschikbaar; een herstart is vereist om de opstartverificatie te testen.
Na de installatie: opstartverificatie testen
Stap 1
Herstart de server. Bij het booten vraagt BitLocker om het zojuist ingestelde wachtwoord. Voer het wachtwoord in om Windows te starten.
In deze handleiding heb je BitLocker geïnstalleerd en geconfigureerd op je Windows Server-VPS, inclusief de vereiste policy voor systemen zonder TPM. Je hebt de opstartverificatie met wachtwoord ingeschakeld en de recovery key veilig opgeslagen.