Bitlocker

Så premissen er at dit drev ikke kan krypteres fordi du kører med lokal konto - og dit spørgsmål er hvad du skal gøre for at undgå at det bliver krypteret????

Det giver jo ikke mening at svare på - men afslører nok nærmere en usikkerhed i forhold til hvad der kan ske automatisk.

Dit drev bliver KUN krypteret automatisk, hvis der er et "sikkert sted" at anbringe gendannelsesnøglen. Det vil der være hvis du selv initierer krypteringen og gemmer nøglen via print, gem på USB-stick, ikke krypteret drev eller lignende. Windows kan ved opdatering finde på at gøre det hvis den er tilknyttet en Microsoft konto - eks. hvis man konfigurerer OneDrive, Windows Live Mail op imod eks. en outlook adresse (Microsoft konto) o.lign. - så vil gendannelsesnøglen blive gemt under PC´ens navn på de pågældende Microsoft konto. Men det kræver altså at man er så langt i processen, at Microsoft kontoen har opfattet at PC´en er fuldt ejet af ejeren af kontoen.

Altså - hvis ikke du føjer en online-konto til Windows under indstillinger, og undlader at svare ja hvis andre Microsoft tjenester spørger om du vil føje din konto til PC´en, så vil Windows ikke have noget sikkert sted at gemme gendannelsesnøglen, og derfor kun kryptere drevet hvis du selv aktiverer krypteringen.

Når det så er sagt - HVIS dit drev skulle blive standard-krypteret, så betyder det næppe noget, medmindre du ofte tager harddisken ud for at tilgå data fra en anden PC. Så længe harddisken sidder i samme PC, vil din TPM-chip automatisk låse op for krypteringen - så du bemærker overhovedet ikke at den er krypteret. Derfor vil du også til enhver tid kunne gå ind og dekryptere disken, hvis du skulle ønske det - UDEN brug af gendannelsesnøgle.

Og det bringer mig frem til - jeg forstår ikke modviljen mod krypteringen. Den er guld værd i det øjeblik man skal bortskaffe harddisken (= ingen andre kan på nogen måde læse data på den), og det betyder også at man ikke kan tilgå disken i "offline" tilstand (boote på en USB-stick og uden om brugersystemet læse data). Jeg kunne ikke drømme om at køre på en PC der ikke havde disken krypteret - med al den data der efterlades rundt om i systemet, kan enhver der får fat på data aflæse stort set alt  hvad du har foretaget dig på PC´en. "Jeg har ikke noget at skjule" er et dårligt argument, for hvad er din mailkonto - eller facebook konto værd, hvis en anden også kan tilgå data og lukke dig ude.

Altså - bitlocker er ikke noget der er indført for at genere - det er indført for at beskytte din data, fuldstændig som vi i dag har password på vores brugerkonto. Det password kan ikke stå alene, men sammen med krypteringen er der endnu et sikkerhedslag der beskytter din data.

Jeg tænker når du har pro udgaven af Windows 11, at det vigtigste sted du angriber problemet er gennem gruppe politik som der er i pro udgaverne. Jeg vil ikke satse på at ændre indstillinger du laver ikke ændres når Windows update kører.

Man kan muligvis også lave noget i registeret. Men lider mest til gruppepolitik.
Hvis du har haft Microsoft konto på den kan du jo som en sikkerhed sørge for du har den 48 tegn lange kode gemt et sted hvis noget går galt  ved en opdatering. Opdateres bios eller andet firmware på pc vil det afkræve en indtastning af bitlocker kode ved genstart af computeren.
Bitlocker er helt sikkert et fint værktøj, men man skal være forberedt på at man på et tidspunkt vil skulle taste den ind. Så backup af den hvis bitlocker har været aktiveret.

Ja at sætte den rette gruppepolitik er nok det mest sikre - det kan du let gøre med følgende kommando i en eleveret kommandoprompt:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\BitLocker" /v PreventDeviceEncryption /t REG_DWORD /d 1 /f

Men husk at du så heller ikke manuelt kan gå ind og aktivere den senere, hvis du skulle ombestemme dig (før du har kørt kommandoen igen med 0 i stedet for 1)

Tusinde tak for fyldestgørende svar.
Og i øvrigt stor tak for at gennemskue min "usagte" bekymring om en auto-update ville bringe mig i problemer.

Tak til Jer begge. Betragt hermed tråden for lukket.

Velbekomme :-)

Nu vi havde Bitlocker her på eksperten, så så jeg lige nu her nogle nyheder vedrørende Bitlocker (som jeg heller ikke selv bruger)
https://www.youtube.com/watch?v=80n7TPziN_g