Bitlocker USB only - Privacy en beveiliging

vrijdag 23 januari 2009 14:42

Acties:

Topicstarter

Ik vraag we af hoe veilig gebruik van Vista/2008 - Bitlocker precies is met "USB only" als de USB key blijft zitten in de machine. Ik heb nergens kunnen achterhalen dat het mogelijk zou zijn een recovery key te destilleren uit een startup key.

Het doel is data beschermen tegen oneigenlijk gebruik in geval van diefstal/verlies op machines zonder TPM.
Als op de USB key alleen de startup key staat en geen recovery key lijkt het me wel een redelijke bijdrage te leveren. Indat geval is het OS te starten, maar de data nog steeds beschermd achter een login/password.
(Natuurlijk kan er altijd gebruik gemaakt worden van security leaks in het OS).

Klopt mijn verhaal?

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

dinsdag 27 januari 2009 11:34

Acties:

paulhekje

Topicstarter

Antwoord gekregen van Microsoft:
Als de disk wordt gemount in een andere machine kan de startup key gebruikt worden om toegang te krijgen tot de data.

De startup key is dus ook een recovery key en de USB flash drive erin laten zitten met de startup key geeft geen enkele bescherming.

ik ben nu aan het testen met een usb image gemount via HP iLO, maar dit is geen fijne oplossing, vooral niet bij grote aantallen servers.

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

dinsdag 27 januari 2009 11:40

Acties:

The Realone

Is dit niet vrij logisch? Of denk ik nu te simplistisch?

Je USB key fungeert dus als een soort token. Als je die er dan toch in laat zitten kun je net zo goed geen Bitlocker gebruiken. Wat is precies je doel in wat voor omgeving?

dinsdag 27 januari 2009 13:08

Acties:

paulhekje

Topicstarter

op basis van de documentatie had ik niet verwacht dat een startup key voor iets anders dan booten van een machine gebruikt kon worden.
doel is data beschermen op servers die in minder goed beveiligde ruimtes staan.

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

dinsdag 27 januari 2009 13:17

Acties:

The Realone

Ik neem aan dat die bakken altijd draaien? De enige mogelijke beveiliging is een boot protection. Want het gevaar dat iemand bij de data kan komen terwijl de servers nog draaien hou je natuurlijk altijd, ik kan me ook geen beveiliging voorstellen die daar iets tegen zou kunnen doen afgezien van de standaard Windows logon credentials.

Als je het gevaar bij diefstal van die servers tegen wilt gaan kun je toch ook gewoon met een pre-boot authentication werken, Bitlocker heeft hier ook ondersteuning voor neem ik aan. Een fatsoenlijke wachtwoord is in mijn ogen nog altijd beter dan een hardware token.

dinsdag 27 januari 2009 13:34

Acties:

paulhekje

Topicstarter

een wachtwoord of iets dergelijks vereist ingrijpen van een beheerder ter plekke of remote via iLO. dat probeer ik te voorkomen.

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

dinsdag 27 januari 2009 13:46

Acties:

Emiel1984

Made in NL

Ik heb geen idee wat je budget is maar als het systeem aan staat kan je wellicht een (USB) finger reader gebruiken welke als 'wachtwoord' figureert. Dit is volgens mij de goedkoopste oplossing zonder het typen van een wachtwoord. Hoe veilig dit is weet ik echter niet. Voor een goede betaalbare beveiliging zal je denk ik toch altijd een wachtwoord nodig hebben.

[LTS][MTS][HTS]

dinsdag 27 januari 2009 13:59

Acties:

gertvdijk

Je zit natuurlijk met een probleem dat inherent is aan de combinatie van eenvoud en beveiliging die je wil.
Om toch nog even wat toe te voegen, wat wel mogelijk een 'oplossing' is, zou je eens het idee kunnen uitwerken van een apart encrypted volume (waar je gevoelige data op staat) die wordt geopend bij het booten met een key die hij van een andere server haalt.
Natuurlijk moet je voorwaarden stellen voor het verkrijgen van die key op de betreffende server, waarbij je kan denken aan public/private key authentication + encrypted tunnel (SSH heeft dit standaard beide - sluit sniffen uit) en connecting IP (sluit uit dat je machine ergens anders dan het bekende de key van verkrijgen). Daarnaast kan je het volume 'unmounten'/locken wanneer die 'keyserver' niet bereikbaar is of een onbekende respons geeft. Dan kan je 'dief' alleen je data lezen als hij hackt terwijl je server up&running is. Het geeft wel een vrij complexe setup wat je uptime/betrouwbaarheid misschien niet ten goede komt, maar het is wellicht de moeite waard om er wat mee te stoeien in een testomgeving of met VMs.

[ Voor 7% gewijzigd door gertvdijk op 27-01-2009 14:22 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

dinsdag 27 januari 2009 14:14

Acties:

The Realone

paulhekje schreef op dinsdag 27 januari 2009 @ 13:34:
een wachtwoord of iets dergelijks vereist ingrijpen van een beheerder ter plekke of remote via iLO. dat probeer ik te voorkomen.

Maar dat is alleen als die dingen opnieuw geboot worden, en hoe vaak komt dat voor? Je zult altijd het probleem houden dat er ergens interventie van een persoon nodig is.

Als je een pre-boot authenticatie gebruikt (of dat nu met een password, fingerprint, smartcard of token is) is je data encrypted op het moment dat dat ding plat gaat en onder de arm meegenomen wordt.

Een andere oplossing is er niet naast de bestaande Windows beveiliging. De data zal (neem ik aan) beschikbaar moeten zijn zodra de server aan staat. Je kunt moeilijk iedere keer een encrypted data volume mounten/unlocken op het moment dat iets of iemand wat moet hebben.