Veilig op slot
Bestanden met standaard Windows-tools veilig in de cloud
Clouddiensten als Dropbox en OneDrive zijn perfect om bestanden op meerdere computers synchroon te houden. Vertrouwelijke documenten wil je bij die diensten liever wel versleutelen. Windows heeft daar zelf de goede tools al voor.
Clientprogramma's van populaire clouddiensten houden een of meerdere geselecteerde mappen op je pc in de gaten. Alles wat daar opgeslagen wordt, wordt automatisch verstuurd naar de server van de aanbieder. En omgekeerd downloadt de client elke wijziging aan een online bestand naar de pc. Als je de software op meerdere computers installeert en er met hetzelfde account inlogt, worden de bestanden in de ingestelde map(pen) automatisch gesynchroniseerd. Behalve op jouw computer(s) staan de bestanden dus ook op een of meerdere servers van de dienstverlener. Niemand weet waar precies. Ze worden daar beschermd tegen nieuwsgierige blikken met beveiligingsmethoden waar je zelf geen invloed op hebt. Daarom kun je persoonlijke of zelfs vertrouwelijke bestanden beter eerst versleutelen en daarna pas aan de cloud toevertrouwen.
Daar zijn in principe twee verschillende manieren voor. Je kunt elk bestand apart versleutelen of je slaat alle te beveiligen bestanden op in een gemeenschappelijke versleutelde container en synchroniseert die vervolgens in zijn geheel. Voor beide methoden bestaan programma's die dat vrij elegant doen zonder dat je je daar steeds mee bezig hoeft te houden. De vermoedelijk bekendste encryptor van afzonderlijke bestanden is BoxCryptor. De gratis variant van die dienst voldoet prima, maar is beperkt qua het aantal bestanden dat je kunt versleutelen. Bij container-encrypters heeft het opensourceprogramma TrueCrypt of diens opvolger VeraCrypt een streepje voor.
Werk je met Windows, dan hoef je geen extra programma te installeren. Dat besturingssysteem heeft alles om een veilige container te maken en te versleutelen. Enkele functies zitten overigens alleen in de Pro-, Enterprise- en Ultimate-edities, maar via een truc kun je ze ook met Windows Home gebruiken.
Virtueel
De hierna beschreven methode voor het veilig opslaan van bestanden in de cloud is gebaseerd op de Windows-versleutelingstechniek BitLocker. Die is eigenlijk bedoeld om complete schijven te versleutelen – oftewel interne en externe harde schijven, geheugenkaarten en -sticks enzovoort. Sinds enkele edities zit er ook ondersteuning in voor virtuele schijven. Die containers (bestanden met de extensie .vhd of .vhdx) zijn als normale schijf in Windows te mounten. De partities daarop krijgen een stationsletter toegewezen. Daarop kun je bestanden opslaan, verwijderen of wijzigen – net als bij een echte harde schijf. En je kunt ze met BitLocker ook versleutelen.
Omdat die virtuele schijven normale bestanden zijn, kun je ze ook makkelijk in een OneDrive- of Dropbox-map zetten. Net als alle andere bestanden worden ze dan automatisch gesynchroniseerd. Er doet zich alleen één probleempje voor: zo'n container bevat meestal meerdere bestanden en kan tamelijk groot worden. Als de synchronisatieclient na elke kleine wijziging aan een document het complete VHD-bestand naar de cloud uploadt, duurt dat onnodig lang en kost dat aardig wat bandbreedte.
Van de clouddiensten die we hebben bekeken, kan de client van Dropbox als enige bij een kleine wijziging alleen de overschreven sectors opnieuw versturen – zowel bij het uploaden als downloaden. Als je het voorbeeld hieronder in de praktijk wilt brengen, zul je dus een Dropboxaccount moeten hebben of aanmaken. Met een gratis account heb je een opslagcapaciteit van 2 GB. Er zijn verschillende acties en manieren om die capaciteit uit te breiden. Je kunt je vrienden per e-mail
uitnodigen om de dienst ook te gebruiken. Soms krijg je meer opslagruimte als je een bepaalde telefoon koopt. Ook zijn er regelmatig acties op platforms als Twitter en Facebook. Als je je daar niet mee wilt bezighouden en gewoon in een keer genoeg opslagruimte wilt, kun je voor 8,25 euro per maand ook kiezen voor een 'Dropbox Plus'-abonnement. Je krijgt dan 1 terabyte tot je beschikking.
Configureren
Bij Windows maak je via een wizard in het Schijfbeheer een nieuw VHD-bestand aan. Klik in het menu op 'Actie / Virtuele harde schijf maken'. Wees bij het instellen van de grootte van de virtuele schijf niet te zuinig: zolang je bij 'Type virtuele harde schijf' de optie 'Dynamisch uitbreiden' selecteert, stel je daarmee namelijk alleen de maximale grootte in. Zolang het VHD-bestand niet vol is, neemt het op je harde schijf en in Dropbox alleen de ruimte in die de opgeslagen bestanden nodig hebben (plus enkele kbyte aan beheerinformatie). In combinatie met Dropbox is het oudere en ook met Windows 7 compatibele VHD-formaat prima. Je hebt het modernere VHDX alleen nodig als de virtuele harde schijf groter dan 2 terabyte gaat worden.
Met een klik op OK wordt het VHDbestand aangemaakt. Voordat je het kunt gebruiken, moet je wel eerst een gloednieuwe harde schijf initialiseren – oftewel een partitietabel en minstens één partitie maken. Spoor voor de partitietabel de nieuwe virtuele harde schijf op in het Schijfbeheer (onderaan in het overzicht met schijven). Normaal gesproken staat hij geheel onderaan. Je herkent hem in elk geval doordat er 'Niet toegewezen' bij staat. Klink in het linkerdeel op de rechtermuisknop en selecteer 'Schijf initialiseren'. In het volgende venster word je voor de keus gesteld of je de schijf de partitiestijl MBR of GPT wilt geven. Met MBR zit je altijd goed. Het enige argument vóór GPT zou de voor Dropbox wat rare wens zijn om partities groter dan 2 terabyte te configureren.
Daarna kun je met de rechtermuisknop klikken op het 'Niet toegewezen' gedeelte en een 'Nieuw eenvoudig volume' aanmaken. De instellingen bij de eerste drie stappen van de wizard zijn prima. Welk bestandssysteem je wilt gebruiken, is aan jou: met NTFS kun je in de VHD met bestanden werken die groter zijn dan 2 GB. Ook kun je compressie gebruiken, waarmee je afhankelijk van het type bestanden ruimte bespaart – ook qua opslagruimte bij Dropbox. Het voordeel van FAT32 zijn ontbrekende bestandsrechten – die hebben hier meer nadelen dan voordelen. Je hebt voor toegang namelijk sowieso het nog te configureren BitLocker-wachtwoord nodig. Laat het vinkje onderaan bij 'Snelformatteren' staan. Daarmee bespaar je heel wat tijd.
Versleutelen
Nu is het tijd om de BitLocker-versleuteling op de virtuele harde schijf te configureren. De complexiteit daarvan hangt af van de gebruikte Windows-editie: bij Professional, Ultimate en Enterprise staat de optie 'BitLocker inschakelen' gewoon bij de Verkenner in het snelmenu van de schijf. Bij de Home-editie heeft BitLocker de beperking dat alleen een schijf met een bestaande versleuteling gebruikt kan worden. Beheerfuncties zitten er niet in, zodat je ook geen nieuwe BitLocker-schijf kunt configureren of het wachtwoord kunt wijzigen. Dankzij cloudsynchronisatie hoeft echter maar één systeem een 'grotere' Windows-licentie te hebben. Je kunt de versleuteling dus bijvoorbeeld op je pc op het werk instellen (als je administratorrechten hebt) en dan op alle andere deelnemende computers gebruiken.
Werk je alleen met Windows Homepc's, dan kun je een truc gebruiken om parallel aan je Windows-versie een (Engelstalige) testlicentie te installeren die Microsoft gratis voor evaluatiedoeleinden aanbiedt (zie de link aan het eind van dit artikel). Die licenties zijn voor Windows Enterprise vanaf de installatiedatum 90 dagen geldig. Met ons eigen script c’t-Win2VHD [1] gaat dat al helemaal makkelijk. Dat script heeft bovendien als voordeel dat je de parallelle installatie met enkele klikken snel weer ongedaan kunt maken.
De wizard voor 'BitLocker inschakelen' in het snelmenu van een schijf vraagt eerst naar de gewenste ontgrendelmethode. Smartcards worden in particuliere kring eigenlijk niet gebruikt, dus je kunt beter voor de bovenste methode met een wachtwoord kiezen. Bij het instellen van een nieuw wachtwoord gelden de algemene veel voorkomende regels: gebruik een lang wachtwoord dat bij voorkeur
hoofd- en kleine letters, cijfers en speciale tekens bevat. Zorg ervoor dat je het wachtwoord niet al bij een andere dienst gebruikt.
Bij de volgende stap word je gevraagd om een back-up van de herstelsleutel op te slaan. Die sleutel bestaat uit 48 cijfers en is een laatste redmiddel voor als je je wachtwoord vergeten bent. Het is dus aan te raden om de herstelsleutel op een veilige plek te bewaren en apart van het VHD-bestand te houden – de wizard dwingt je sowieso om de sleutel ergens op te slaan of af te drukken. Het is misschien alleen niet zo slim om die sleutel aan je Microsoft-account toe te vertrouwen of welke andere cloud dan ook.
Bij Windows 10 moet je tenslotte nog de vraag naar de versleutelingsmethode beantwoorden. Als je het VHD-bestand alleen op computers met Windows 10 gaat gebruiken, kun je voor de nieuwe methode kiezen (ingevoerd bij Windows 10). Anders is de 'Compatibele modus' beter. Na een klik op 'Versleutelen starten' wordt BitLocker geconfigureerd. Meestal is dat binnen enkele seconden gepiept, maar als je op de virtuele schijf al wat bestanden hebt gezet, kan het ook een paar minuten duren.
Meteen na het configureren wordt het VHD-bestand als schijf aan Windows gekoppeld. Je kunt die als een normale externe gegevensdrager gebruiken. Na een herstart van Windows of opnieuw aanmelden hoef je er in Verkenner alleen op te dubbelklikken om toegang te krijgen. Afhankelijk van Windows' humeur kun je daarbij een foutmelding krijgen, die je verder kunt negeren. Het is ook mogelijk dat rechtsonder de tekst 'Station 'X:' ontgrendelen – Dit station is met BitLocker beveiligd.' komt te staan. Als je daarop klikt, verschijnt rechtsboven een invoerveld. Typ daarin je wachtwoord en de schijf wordt ontgrendeld.
Gebruiken
Schakel je computer na gedane arbeid niet zomaar uit (of klap het deksel van je laptop niet dicht). Werp eerst de VHDschijf uit via het snelmenu in de Verkenner. Daarna gaat de Dropbox-client het VHD-bestand (concreet: de gewijzigde sectoren) namelijk pas synchroniseren naar de cloud. Als dat klaar is, kun je Windows afsluiten. Je ziet dit aan het Dropbox-pictogram in het systeemvak (bij de tijd en datum). Een groen vinkje bij het pictogram geeft aan dat de boel is gesynchroniseerd.
Dat gaat makkelijker met het PowerShell-script DropboxSync.ps1 dat bij de link aan het eind van dit artikel staat. Voordat je het script de eerste keer gebruikt, moet je het met een editor aan je eigen situatie aanpassen. Zet in de eerste regels het pad naar je Dropbox-map en de naam van het VHD-bestand – standaard staat er Dropbox\Dropbox.vhd in je gebruikersprofiel. Daarnaast kun je bepalen of het script na synchronisatie alleen een melding moet geven of dat je je meteen bij Windows wilt afmelden en de computer wilt afsluiten of op stand-by zetten.
Eerst controleert het script of het aangegeven VHD-bestand als schijf gekoppeld is. Zo ja, dan wordt het uitgeworpen. Daarna wordt elke halve seconde aan de Dropbox-client gevraagd of deze nog aan het synchroniseren is. Pas als het antwoord volgt dat alles afgerond is, wordt de gewenste actie uitgevoerd.
Om het script handig te kunnen gebruiken, moet je het eerst ergens op je harde schijf opslaan en vervolgens een snelkoppeling ernaar op het Bureaublad maken. Zet bij Eigenschappen (in het snelmenu van de snelkoppeling) bij 'Doel' powershell.exe "C:\pad\naar\DropboxSync. ps1". Via de knop 'Geavanceerd' kun je instellen dat het script altijd met administratorrechten moet opstarten. Het script controleert dat overigens ook zelf en haalt de vereiste rechten indien nodig automatisch op. Daarna zul je eraan moeten wennen dat je niet meer het startmenu gebruikt om de computer uit te schakelen, maar het script. Als het VHD-bestand niet gekoppeld is, zet het script alleen de computer uit of in stand-by.
Mogelijke conflicten
Ondanks het script kan het natuurlijk toch gebeuren dat je van de computer wegloopt terwijl het VHD-bestand nog niet helemaal gesynchroniseerd is. Koppel je het bestand vervolgens aan een andere pc, dan ziet die nog de oudere versie. Voer je daar wijzigingen door, dan ontstaan er twee versies met afwijkende laatste wijzigingen. Gelukkig is de software van Dropbox slim genoeg om dergelijke situaties te herkennen en gaan er dus geen bestanden verloren. In de Dropbox-map staat dan naast het origineel (bijvoorbeeld Dropbox.vhd) nog een tweede bestand
met een naam volgens het patroon 'Dropbox (computernaam kopie met conflict datum).vhd'. In dat bestand staan de wijzigingen die op de betreffende computer gedaan zijn.
Om alle wijzigingen samen te brengen, zou je op het idee kunnen komen om beide bestanden gewoon parallel als schijf te koppelen. Je zou dan met een tool als csdiff of WinMerge (of simpelweg met twee Verkenner-vensters) de laatste wijzigingen naar een van de schijven kunnen kopiëren en de andere weggooien.
Zo eenvoudig werkt het echter niet: Windows geeft elke schijf namelijk een random gegenereerde handtekening. Daarmee wordt een schijf weer herkend als hij opnieuw gekoppeld wordt – zodat er bijvoorbeeld dezelfde letter aan wordt toegekend als de laatste keer. Het nadeel daarvan: Windows weigert om twee schijven met dezelfde ID tegelijk te gebruiken. Als je beide kopieën van het VHD-bestand achter elkaar met een dubbelklik in de Verkenner probeert te mounten, krijg je bij de tweede de melding dat het bestand niet toegankelijk is. Het Schijfbeheer ziet het bestand op dat moment als een schijf die offline is. Ga je met de muis over het infopictogram dan zie je dat er een 'handtekeningconflict' is.
Om dat zelf op te lossen, kun je het programma diskpart gebruiken. Start dat via een Opdrachtprompt met administratorrechten. Met het commando list disk krijg je een overzicht van alle harde schijven en zie je welk nummer Windows aan de offline gezette schijf toegewezen heeft. Je kunt die schijf selecteren met bijvoorbeeld select disk 4 – het nummer kun je aanpassen aan de situatie in je eigen systeem. Met uniqueid disk achterhaal je de huidige ID van die schijf. Bij MBRpartitionering is dat een hexadecimaal getal van acht cijfers, bij GPT-schijven een GUID. Je kunt die ID wijzigen met een commando volgens het patroon uniqueid disk id=1234abcd. Als nieuwe ID kun je het best de oude nemen en die op een plek wijzigen. Mount de virtuele schijf tenslotte met online disk en je hebt na het intypen van je BitLocker-wachtwoord parallel toegang tot beide kopieën.
Ook die procedure staat bij de link hieronder in een speciaal PowerShellscript. In de standaardversie wordt gezocht naar het bestand Dropbox.vhd en naar een bijbehorend conflictbestand in de map waar het script staat – het script is er dus voor bedoeld om naar je Dropboxmap te kopiëren. Met een paar eenvoudige tekstwijzigingen kun je het echter ook voor een andere bestandsnaam gebruiken of omleiden naar een vast ingestelde map.
(mvdm)