Automatisch partitie ontgrendelen met BitLocker

Als de C beveiligd is werkt automatisch ontgrendelen prima. Ik heb zelf mijn D schijf toegevoegd aan Bitlocker met automatisch ontgrendelen en een wachtwoord wat ik dus nooit hoef in de vullen. Dit wel dus met een beveiligde C schijf die bij booten om een wachtwoord vraagt.

Volgens mij heeft dit te maken met het feit waar de sleutels worden opgeslagen. Ik denk dat dit op de C schijf gebeurt. Heeft die schijf dan geen Bitlocker is het niet veilig. Ik weet dit niet zeker maar denk dat het zo zit.

Edit: Ik vind Bitlocker op de C en D schijf trouwens heerlijk. Ik ben op alles ingelogt zoals belangrijke email accounts en paypal. Op deze manier hoef ik nooit ergens op in te loggen maar is alles wel compleet veilig. Het wachtwoord voordat Windows boot komt niemand doorheen. Mocht mijn complete PC gejat worden kan niemand iets de data of wachtwoorden doen.

[ Voor 26% gewijzigd door PilatuS op 24-03-2016 22:11 ]

Dat past prima bij de 'default secure' installing die Windows (terecht) hanteert.

Online staat ergens wel een recept om middels een script een Bitlocker volume (in dat geval een remote block device) te ontgrendelen waarbij voor sleutelbeheer gebruik gemaakt wordt van DPAPI.

Bedenkt wel dat een actieve aanvaller door aanpassing van de partitie met het besturingssysteem alsnog toegang kan krijgen tot de gevoelige data.

[ Voor 4% gewijzigd door Rukapul op 24-03-2016 22:09 ]

Indien andere gebruikers geen toegang mogen hebben dan zou EFS beter passen. Eventueel kun je met file permissies toegang ook regelen.

Zo'n script bakken is natuurlijk best een keer aardig. Zoek op Bitlocker en DPAPI en je vindt fragmenten. Dat kun je zelfs tweaken zodat het alleen op het eigen account actief werkt (met extra DPAPI sleutel die alleen beschikbaar is voor het eigen account).

Blijft een poor man's solution, maar het ligt maar net aan tegen welke risico's en aanvallers je wilt beschermen.