Maskinvareakselerert BitLocker flytter tunge kryptografiske operasjoner fra CPU-en til dedikerte sikkerhetsmoduler i moderne brikkesett på nye maskiner neste år. Dette gir raskere kryptering, mindre belastning på systemet og langt bedre beskyttelse av nøklene.

Annonse


Gjør smart sikkerhetsendring

Trond Bie·

BitLocker har skapt alvorlig trøbbel for endel Windows-brukere siden Microsoft aktiverte krypteringen som standard, inkludert på eksterndisker. Det er det neppe alle som var klar over.

Bra for sikkerheten, men ikke om man mister nøkkelen

Problemet oppstår ved formatering av OS-et og man ikke har lagret nøkkelen, eller om man ikke finner den på account.microsoft.com/devices/recoverykey der nøkkelen skal lagres i Microsoft-kontoen. Mao. er det ikke så dumt å bruke Windows med en Microsoft-konto, men på den annen side: vi skjønner at folk ønsker å ha kontroll over dataene sine på egne premisser. I det minste burde Microsoft har opplyst på en langt mer offensiv og bedre måte at de krypterer lagringsenheter og at man må passe på nøklene sine.

Et annet problem med krypteringen er at den i mange tilfeller er programvarebasert, mao. må filene dekrypteres en for en, og det tar tid om maskinen ikke hjelper til med dedikert maskinvare. Dette er hva Microsoft nå endrer.

Maskinvarestøttet kryptering er mye kjappere

For fra og med 2026 introduserer Microsoft maskinvarestøttet kryptering: «Maskinvare-akselerert BitLocker gir raskere og sikrere diskkryptering i Windows ved å utnytte moderne SoC-er og CPU-er. Kryptografiske operasjoner flyttes nå bort fra hovedprosessoren og over til dedikert maskinvare, noe som øker ytelsen og reduserer systembelastningen. På støttet maskinvare er krypteringsnøkler nå maskinvarebeskyttet ved at de pakkes inn og isoleres på silisiumnivå. Dette bidrar til å redusere eksponering for sårbarheter i CPU og minne, og hever nivået for databeskyttelse.”

Annonse


Microsoft presiserer at «forbedringene blir tilgjengelige på nye enheter fra våren 2026 og hjelper organisasjoner med å beskytte sensitiv data med større hastighet og trygghet.»

BitLocker ble introdusert med Windows Vista, men er altså aktivert som standard med nye Windows-versjoner. Om man ønsker å deaktivere BitLocker, må man gjøre det manuelt.

Gjør innloggingen sømløs
En annen forbedring, som ikke har noe med BitLocker å gjøre, men med smidig sikkerhet, er at 1Password, Bitwarden og andre passordprogram integreres i Windows Hello, slik at passnøkler i Windows er enklere å bruke, og det at de synkroniseres på tvers av enhetene man er logget inn på.

Dette er sikkerhetsforbedringene som kommer:

  • Distinct agent accounts som skiller agent-identitet fra bruker
  • Begrensede agent-privilegier med minst mulig tilgang som må gis eksplisitt
  • Krav om signerte og tillitsverifiserte agenter med mulighet for tilbakekalling
  • Personvernbevarende design med databruk kun til definerte formål
  • Agent workspace med isolert, policy-styrt og reviderbar sandkasse
  • Windows 365 for Agents som skybasert, sikkert agentmiljø
  • Agent connectors med innebygd MCP-proxy for samtykke, styring og loggføring
  • Standard sikkerhetspolicy for MCP-komponenter (pakker, signering, identitet, containment)
  • Bypass-policy for utviklere i dev-modus
  • Nye IT-policyer i Intune/Entra/Group Policy for agent workspace og connectors
  • Post Quantum Cryptography (PQC) API-er klare for migrering til kvantesikre algoritmer
  • Maskinvareakselerert BitLocker med nøkkelbeskyttelse på silisiumnivå
  • Oppgradert Windows Hello med raskere autentisering og integrasjon av passkey-managere
  • Passkey-støtte i Windows Hello for 1Password, Bitwarden, Edge mm.
  • App Control for Business for å blokkere usikre og usignerte apper og drivere
  • Intune Managed Installer for trygg kjøring av bedriftsapper
  • Sysmon-funksjonalitet innebygd direkte i Windows
  • Zero Trust DNS med kryptert DNS og godkjente resolvere
  • Wi-Fi 7 for Enterprise med påkrevd WPA3-Enterprise
  • Strengere driverkrav med nye sertifiseringstester
  • Flere Windows in-box-drivere og API-er for å redusere behovet for egne kernel-drivere
  • Flytting av AV-drivere og andre drivertyper til user-mode for bedre stabilitet
  • Driver-isolasjon, DMA-remapping og kompilatorsikringer i kernel-mode
  • Windows 365 Reserve for midlertidige, sikre Cloud PCs etter tap/skade
  • Intune-varsler når maskiner går i WinRE
  • Digital Signage mode uten feilmeldinger på offentlige skjermer
  • Quick Machine Recovery (QMR) for rask gjenoppretting etter feil
  • WinRE-nettverk som arver nettverksinnstillinger fra Windows
  • Autopatch-styring av QMR-oppdateringer
  • Intune Remote Recovery med skript og tiltak fra WinRE
  • Point-in-time restore for å rulle en PC tilbake til tidligere fungerende tilstand
  • Cloud Rebuild som renser og gjenoppbygger Windows via Intune og OneDrive/Backup

💬 Hopp til kommentarene

Annonse