Laptop beter beveiligen

Bitlocker met password is voldoende. Je Windows-wachtwoord nu heb je weinig aan, want je kan gewoon de harddisk eruit halen en doodleuk uitlezen met een andere PC. Met een schijf die met Bitlocker is beveiligd kan dit niet.

Uiteraard kan je trackingsoftware dan ook niet opstarten, maar persoonlijk vind ik het zelf niet zo erg om een laptop kwijt te zijn (daar heb je een verzekering voor); data is een stuk belangrijker.

Prey Project heeft niks met beveiligen te maken, puur met het terug vinden. Zou ik geen tijd in steken aangezien je wilt dat de laptop niet meer bruikbaar is, wat indirect elke vorm van software tracking ook onbruikbaar maakt.

Als je wilt beveiligen moet je aan encryptie denken, dan is Bitlocker een goede optie maar kan iets als VeraCrypt (opvolger van TrueCrypt) ook prima werken.

Ik gebruik zelf Bitlocker op 2 SSD's met hardware encryptie. Los van de data die er op staat is dit voornamelijk omdat ik op iedere site ingelogt ben en niemand er bij kan komen en ook diefstal geen probleem is. Gewoon 1 wachtwoord voor het booten waarmee beide SSD's volledig versleutelt zijn. De hardware encryptie zorgt er voor dat er geen snelheidsverlies is.

BitLocker zit al in je Windowsversie, dus die ligt voor de hand om te gebruiken. Ik gebruik die zelf ook op mijn werklaptop. Werkt prima, ik merk geen vertraging.

Je lokale disk is dus niet geencrypt, daarnaast is het ook nog de vraag of je backups dat wel zijn ?

Misschien via bios je hd extra beveiligen(extra password), en dan nog bitlocker gebruiken.
Misschien uitzoeken of deze 2 zich goed verstaan.
En of je nog recovery kunt doen als je de hd uit je laptop haalt, ivm moederbord defect.

BIOS-password ook nog eens toevoegen is een beetje onzinnig, dat levert alleen extra ergernis op en biedt geen extra beveiliging.

jan99999 schreef op woensdag 22 februari 2017 @ 11:04:
Misschien via bios je hd extra beveiligen(extra password), en dan nog bitlocker gebruiken.
Misschien uitzoeken of deze 2 zich goed verstaan.
En of je nog recovery kunt doen als je de hd uit je laptop haalt, ivm moederbord defect.

Recovery heb je je backup voor. Een HDD beveiligen in de bios is vrij nutteloos, wel zou ik de bios beveiligen met een wachtwoord simpelweg om hem wat meer tamper proof te maken.

Aloa!


Windows 10 wachtwoord heb je er zo af:

Voorbeeld:
YouTube: How to bypass lost forgotten admin password in Windows 10 or 8

Bios wachtwoord kan je er ook zo afhalen ligt er aan wat voor type laptop het is maar er zijn trucs om die te resetten.

Ik zou trouwens alleen bitlocker gebruiken als je een SSD heb want anders wordt het wel wat trager ( zeker als er een 5400 rpm diskje in zit).

Maar ik zou dit doen:

-Bitlocker
-Keypass voor je passwords met een goed master wachtwoord (http://keepass.info/)


En your done

Groetjes,
Ben

Ben1988 schreef op woensdag 22 februari 2017 @ 11:36:
Ik zou trouwens alleen bitlocker gebruiken als je een SSD heb want anders wordt het wel wat trager ( zeker als er een 5400 rpm diskje in zit).

Performance verschil is minimaal en juist bij een SSD zou je eerder een verschil merken dan bij een HDD. Dus een 5400RPM HDD moet een enkel probleem zijn.

Misschien een open deur, maar heb je het al aan je IT afdeling gevraagd?

Hi,

Ik wil bitlock ook gebruiken voor mijn windows 10 pc. Echter als ik de instructies volg dan vind ik nergens bitlock.

https://computertotaal.nl...van-windows-10-gebruiken/

Ik heb geen free versie maar een betaalde windows 10. Als ik bij windows zoeken bitlock in tik krijg ik ook 0 resultaten.

gerjanv18 schreef op vrijdag 24 februari 2017 @ 14:28:
Hi,

Ik wil bitlock ook gebruiken voor mijn windows 10 pc. Echter als ik de instructies volg dan vind ik nergens bitlock.

https://computertotaal.nl...van-windows-10-gebruiken/

Ik heb geen free versie maar een betaalde windows 10. Als ik bij windows zoeken bitlock in tik krijg ik ook 0 resultaten.

Heb je wel de PRO versie ? Betaald of gratis geupgrade vanaf Windows 7 of 8 gaat het niet om. Het gaat om de PRO versie.

Heb zelf Windows 10 PRO omdat ik geupgrade heb vanaf een 8.1 PRO. Als je de standaard versie koopt of upgrade vanaf een niet PRO Windows 7 of 8 heb je geen Windows 10 PRO en dus geen Bitlocker.

Paar zaken:

* Pro laptop nemen met TPM
* Enterprise of Pro Windows met bitlocker als policy
* Beleid wat gepushed is door werkplekbeheer (zoals niet schrijven naar un-encrypted externe drives, geen twee netwerken tegelijk actief, etc...)
* 2factor Authentication (SMS, token, of smartcard)
* Domain users gebruiken
* Reduced-permissions account voor meeste gebruik
* Beleid rondom auto-locking, zelf locken als je weggaat, geen hibernate, etc...

Meeste hiervan hoeft niet eens veel impact te hebben in je werkdruk. Meeste bedrijven die ISO-27001/27002 certified zijn hebben dit overigens vaak toch al als beleid...

Alleen encrypten ben je er nog niet mee, het schermt af tegen een paar technische attacks. Even weglopen om koffie te halen/password brute-forcen/social engineering e.d. heb je niks aan encryptie van een drive...

[ Voor 14% gewijzigd door Umbrah op 24-02-2017 14:55 ]

Inderdaad, ik heb windows home. Ik wil wel upgraden naar PRO maar dan wil ik van te voren wel weten of ik TPM heb. Is dat ook op een andere manier te controleren?

Ik zie dat ik ook geen TPM heb.
Mijn moederbord:
ASUS Maximus VIII Hero - Moederbord - ATX - LGA1151 Socket - Z170 - Gigabit Ethernet - HD Audio - USB 3.0

Is hier een TPM chip op te zetten?

[ Voor 39% gewijzigd door gerjanv18 op 24-02-2017 14:59 ]

gerjanv18 schreef op vrijdag 24 februari 2017 @ 14:55:
Inderdaad, ik heb windows home. Ik wil wel upgraden naar PRO maar dan wil ik van te voren wel weten of ik TPM heb. Is dat ook op een andere manier te controleren?

Bitlocker is niet afhankelijk van het hebben van een TPM (https://en.wikipedia.org/wiki/Trusted_Platform_Module), maar het helpt wel (en met een hoop andere zaken, lees zelf maar na op gelinkte pagina, die is vrij simpel). Doorgaans weet je wel of je een TPM hebt.. op zakelijke machines/laptops is het vrij gebruikelijk.

En anders kun je altijd nog even in device manager kijken (devmgmt.msc); daar staat hij tussen "security devices".

Overigens, beveiligen omwille van beveiligen is doorgaans niet de beste strategie, hoe nobel ook. Het zou moeten beginnen met jezelf een paar vragen stellen:
* Wat wil ik beveiligen
* Wat gebeurt er als data op straat komt te liggen (consequenties)
* Wat zijn de eisen van mijn klanten

Pas daarna zul je moeten nadenken over de technische aspecten. Als een worst case, "data komt op straat" zal betekenen dat je geen klanten meer hebt, en op persoonlijke nooit in de sector nooit meer aan de bak komt, dan is het mogelijk de moeite waard, mocht je het niet zelf kunnen, dit soort zaken uit te besteden. Ook zakelijk. Daarnaast is certificeren van een bedrijf/processen ook een goede om eventuele zaken naar boven te laten drijven, en tertiair: verzekeren. Waarvoor certificeren soms verplicht is.

gerjanv18 schreef op vrijdag 24 februari 2017 @ 14:55:
Ik zie dat ik ook geen TPM heb.
Mijn moederbord:
ASUS Maximus VIII Hero - Moederbord - ATX - LGA1151 Socket - Z170 - Gigabit Ethernet - HD Audio - USB 3.0

Is hier een TPM chip op te zetten?

Google-fu leert mij naar het lezen hiervan: https://rog.asus.com/foru...hip-for-Maximus-Hero-VIII

Dat het eigenlijk niet ondersteund is/en blijkbaar lastig is. Het is game hardware, niet zakelijk... er is een hoop te doen om te beveiligen, maar echt waterdicht krijg je het niet (hoewel een TPM ook geen garantie is). Overigens zijn er meer redenen om niet te werken met kritische/vertrouwelijke data op dergelijke hardware. Maar goed, nogmaals, afhankelijk van wat je doet uiteraard...

[ Voor 21% gewijzigd door Umbrah op 24-02-2017 15:07 ]

Umbrah schreef op vrijdag 24 februari 2017 @ 15:04:
[...]
Google-fu leert mij naar het lezen hiervan: https://rog.asus.com/foru...hip-for-Maximus-Hero-VIII

Dat het eigenlijk niet ondersteund is/en blijkbaar lastig is. Het is game hardware, niet zakelijk... er is een hoop te doen om te beveiligen, maar echt waterdicht krijg je het niet (hoewel een TPM ook geen garantie is). Overigens zijn er meer redenen om niet te werken met kritische/vertrouwelijke data op dergelijke hardware. Maar goed, nogmaals, afhankelijk van wat je doet uiteraard...

Ik heb hier hetzelfde moederbord met een TPM. Het heeft zowat een jaar geduurt voordat er 14 pin TPM's op de markt waren. Inmiddels zijn ze goed leverbaar.

Heb het eerste jaar Bitlocker zonder TPM gedraait en later toen de TPM leverbaar was deze geplaatst en draai nu dus netjes met TPM.

@PilatuS Heb je het model voor mij? Dan kan ik hem op zoeken

Ik doe vanaf thuis webdevelopement / scripting. Gaat met name om databases en scripts. Daarnaast staat er ook privé het e.e.a. op wat ik gewoon beveiligd wil hebben.

gerjanv18 schreef op vrijdag 24 februari 2017 @ 15:30:
@PilatuS Heb je het model voor mij? Dan kan ik hem op zoeken

http://www.ebay.com/itm/A...c90d7a:g:zqkAAOSw4A5Yryd5

http://www.ebay.com/itm/A...f97b3e:g:a28AAOSwSv1Xl8Bf

[ Voor 18% gewijzigd door PilatuS op 24-02-2017 15:37 ]

Je kunt al je logins met wachtwoorden gaan opslaan in een Keypass database?

Dan heb je de inlogcodes ook nog eens apart beveiligd.

ajaaaan schreef op vrijdag 24 februari 2017 @ 15:38:
Je kunt al je logins met wachtwoorden gaan opslaan in een Keypass database?

Dan heb je de inlogcodes ook nog eens apart beveiligd.

Ook al draai ik Bitlocker gebruik ik ook KeePass er naast. Doordat de PC Bitlocker draait ben ik wel overal in de browser standaard op ingelogt omdat er toch niemand bij kan. Maar KeePass of iets gelijk aan dat gebruiken is altijd aan te raden. Voor iedere site een ander wachtwoord onthouden is onmogelijk en hetzelfde wachtwoord gebruiken is geen optie.

gerjanv18 schreef op vrijdag 24 februari 2017 @ 15:30:
@PilatuS Heb je het model voor mij? Dan kan ik hem op zoeken

Ik doe vanaf thuis webdevelopement / scripting. Gaat met name om databases en scripts. Daarnaast staat er ook privé het e.e.a. op wat ik gewoon beveiligd wil hebben.

Je hebt voor Bitlocker niet per se een TPM nodig. Zonder TPM is ook mogelijk.

Verwijderd schreef op vrijdag 24 februari 2017 @ 15:58:
[...]

Je hebt voor Bitlocker niet per se een TPM nodig. Zonder TPM is ook mogelijk.

Klopt. Maar voor die 2 tientjes is met wel beter. Met TPM geeft meer veiligheid tegen bepaalde virussen en andere manieren om in te breken op de machine. Als de mogelijkheid er is om een TPM te gebruiken zou ik dat ook doen.

Ik heb de TPM besteld! Bitlocker is dus niet werkend zonder Windows Pro? Dan zal ik verplicht moeten upgraden.

gerjanv18 schreef op vrijdag 24 februari 2017 @ 16:10:
Ik heb de TPM besteld! Bitlocker is dus niet werkend zonder Windows Pro? Dan zal ik verplicht moeten upgraden.

Bitlocker zit alleen in de PRO versie, dus ja.

Ik kan je trouwens deze guide aanraden: Meh: Gigabyte Z97X-SLI with Bitlocker and Crucial MX300 SED

Kijk ook even of je SSD mogelijk hardware encryptie ondersteunt. Als dat zo is wil je daar gebruik van maken.

[ Voor 37% gewijzigd door PilatuS op 24-02-2017 16:13 ]

Als de logins van veel systemen op jouw systeem staan, is het dan niet verstandiger daar een gecentraliseerde password manager daarvoor te gebruiken op de zaak zelf ipv op jouw laptop?

Volgens mij heeft KeePass een dergelijke mogelijkheid.

Radiant schreef op woensdag 22 februari 2017 @ 11:07:
BIOS-password ook nog eens toevoegen is een beetje onzinnig, dat levert alleen extra ergernis op en biedt geen extra beveiliging.

Maakt de laptop wel onbruikbaar. Met alleen BitLocker is het kwestie van andere schijf erin en de laptop valt weer te gebruiken. Met een BIOS-wachtwoord valt de laptop zelf ook niet meer te gebruiken.

Nu is een BIOS-wachtwoord ook wel te kraken, maar dat is niet voor iedereen weggelegd.

Zorg trouwens ook dat je het serienummer van de laptop en de MAC-adressen van de netwerkadapters noteert. Als hij dan gestolen wordt dan valt hij iig te herkennen als de politie de dader opspoort en de buit wil terugbrengen naar de eigenaar. Ik heb dat soort dingen (serienummers apparatuur, framenummer fiets e.d.) in een passwordmanager staan.

[ Voor 7% gewijzigd door ThinkPad op 24-02-2017 16:30 ]

PilatuS schreef op vrijdag 24 februari 2017 @ 15:41:
[...]


Ook al draai ik Bitlocker gebruik ik ook KeePass er naast. Doordat de PC Bitlocker draait ben ik wel overal in de browser standaard op ingelogt omdat er toch niemand bij kan. Maar KeePass of iets gelijk aan dat gebruiken is altijd aan te raden. Voor iedere site een ander wachtwoord onthouden is onmogelijk en hetzelfde wachtwoord gebruiken is geen optie.

Iedereen noemde Bitlocker al, vandaar dat ik deze niet heb genoemd, maar ik bedoel ook zoals je aangeeft de combinatie;
Bitlocker voor de disk
KeePass (of gelijkwaardige tool) voor de logins met wachtwoorden

Toch nog even een side-question.
Als ik via Windows de optie aan klik om te upgraden naar Pro zie ik een prijs van € 159.

Maar hier zie ik € 18,95 wat is het verschil?
pricewatch: Microsoft Windows 10 Pro NL 64bit OEM