HDDs met Bitlocker makkelijk ontsleutelen?

maandag 27 februari 2017 08:56

LankHoar schreef op dinsdag 28 februari 2017 @ 08:38:
@Trommelrem Indien ik een USB drive ga gebruiken, zit ik weer met een stukje hardware dat ik kwijt kan raken.

@PilatuS Laat ik het zo uitleggen: ik heb een .bat bestandje dat in mijn startup folder staat, en bij het opstarten standaard een aantal dingen opstart (browser, paar tools, een txt bestandje etc.). Dit gaat automatisch, want ik houd van efficiëntie waar mogelijk.

Ik hoopte iets soortgelijks voor mijn encrypted drives te kunnen maken: iets waarmee ik alle drie de schijven in 1x kan unlocken m.b.v. 1 wachtwoord. Ik heb geen idee van scripts (dat startup script is ooit gemaakt door een collega, ik kan hem alleen wijzigen), dus geen idee of het op die manier mogelijk zou zijn (dat ik bv. het script opstart, daar 1 master password invoer, en die vervolgens mijn drives unlocked).

Tot noch toe vind ik de TPM chip het interessantst klinken, echter zit die niet in mijn huidige PC.

Hooo dat dit het duidelijker maakt

Zoals Radiant al vermeldt: Versleutel je OS schijf. Dat maakt de optie Auto Unlock beschikbaar.

De unlockcodes staan namelijk in de registersleutel FVE, welke alleen door system te benaderen is. Om de veiligheid te garanderen moet derhalve je OS partitie versleuteld zijn.

Zonder TPM kun je gebruik maken van Bitlocker, alleen dan zul je bij iedere boot een wachtwoord of recoverysleutel moeten opgeven. Voor extra zekerheid kun je de recoverysleutel ook in je Microsoft account opslaan.

Of koop een TPM voor je moederbord. Die dingen kosten de hoofdprijs niet

Acties:

maandag 27 februari 2017 09:07

TPM en Auto Unlock.

Acties:

jan99999

YubiKey misschien, hier kun je een wachtwoord inzetten, en dan in je usb steken, en dmv aanraken wordt je wachtwoord ingevuld.
Zoek wel van te voren of dit goed werkt, en of je zo wilt werken, dus reviews zoeken.

maandag 27 februari 2017 09:13

Acties:

nescafe

YubiKey werkt perfect inderdaad; hiervoor kun je een static password instellen mbv de personalization tool.

Ik zou wel adviseren een deel van het wachtwoord handmatig in te blijven voeren zodat het two-factor blijft.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

maandag 27 februari 2017 09:53

Acties:

maandag 27 februari 2017 10:08

Langharig tuig

Topicstarter

Persoonlijk houd ik niet zo van een item om in te loggen, (de kans is vrij groot dat ik kwijt ga raken namelijk

). TPM lijkt een chip die je in je PC in moet bouwen? Dat lijkt me dan meer iets voor wanneer ik mijn PC ga vervangen later dit jaar (ga ik onthouden).

Auto Unlock werkt toch zo dat Windows herkent dat het jouw PC is, en dat je dus helemaal geen wachtwoord/USB/chip hoeft te gebruiken om te ontsleutelen? Ik wil dus graag wel dat ik actief iets moet doen om de drives te unlocken.

Is hier geen software-matige oplossing voor?

When life throws you a curve, lean into it and have faith!

Acties:

maandag 27 februari 2017 10:20

Certified MS Bob Administrator

Zonder TPM kan je alleen het (opstart)wachtwoord gebruiken (wat je nu dus doet) of een USB-stick om de encryptiesleutel vrij te geven.

Eventueel kan je met iets als een USB Rubber Ducky doen die je het wachtwoord laat intikken, dat combineert gemak met een terugvalmogelijkheid om zelf het wachtwoord in te tikken

edit: Of als het geen opstartwachtwoord is; Autoit of iets dergelijks.

[ Voor 8% gewijzigd door Radiant op 27-02-2017 10:09 ]

Acties:

Bigs

Zorg dat je volgende computer een TPM module heeft zodat je Auto Unlock kunt gebruiken, dat is de veiligste manier. Tot die tijd lekker het wachtwoord blijven intypen.

maandag 27 februari 2017 10:52

Acties:

MdBruin

LankHoar schreef op maandag 27 februari 2017 @ 09:53:
......
Ik wil dus graag wel dat ik actief iets moet doen om de drives te unlocken.

Is hier geen software-matige oplossing voor?

Al gedacht aan bijvoorbeeld een fingerprint reader waardoor je wachtwoord word ingevuld. Hoef je alleen je vinger over de reader te halen om de drives te unlocken (werkt alleen als Windows is opgestart en niet als je bijvoorbeeld je drive zodanig encrypt dat je een key nodig hebt om te kunnen opstarten).

[ Voor 2% gewijzigd door MdBruin op 27-02-2017 10:55 . Reden: Correctie ]

maandag 27 februari 2017 18:21

Acties:

maandag 27 februari 2017 20:27

Langharig tuig

Topicstarter

MdBruin schreef op maandag 27 februari 2017 @ 10:52:
[...]

Al gedacht aan bijvoorbeeld een fingerprint reader waardoor je wachtwoord word ingevuld. Hoef je alleen je vinger over de reader te halen om de drives te unlocken (werkt alleen als Windows is opgestart en niet als je bijvoorbeeld je drive zodanig encrypt dat je een key nodig hebt om te kunnen opstarten).

Hmm, daar ga ik eens naar kijken! Bedankt voor de tip (net als de rest)

When life throws you a curve, lean into it and have faith!

Acties:

maandag 27 februari 2017 20:32

LankHoar schreef op maandag 27 februari 2017 @ 08:53:
Elke dag voeg ik opnieuw het wachtwoord in, en ik vroeg me af of ik dit enigzins kan automatiseren, doch nog steeds m.b.v. een wachtwoord.

LankHoar schreef op maandag 27 februari 2017 @ 09:53:
Ik wil dus graag wel dat ik actief iets moet doen om de drives te unlocken.

Als je perse iets wilt doen, dan zet je de unlock toch op een USB drive?
Zie o.a. deze oplossing.

Acties:

PilatuS

Snap niet precies wat je nu wil. Je wil beveiliging maar dan zonder wachtwoord ? Of bedoel je dat je voor de 2e en 3e schijf een wachtwoord moet invoeren in Windows ? Dat kan namelijk ook zonder een wachtwoord te moeten invoeren.

Heb Bitlocker zelf zo ingestelt dat er voor het booten om een wachtwoord gevraagt word en daarna in Windows daarmee beide SSD's die voorzien zijn van hardware encryptie ontgrendeld worden. Ik gebruik een TPM maar zonder kan dit net zo goed.

dinsdag 28 februari 2017 08:38

Acties:

dinsdag 28 februari 2017 09:09

Langharig tuig

Topicstarter

@Trommelrem Indien ik een USB drive ga gebruiken, zit ik weer met een stukje hardware dat ik kwijt kan raken.

@PilatuS Laat ik het zo uitleggen: ik heb een .bat bestandje dat in mijn startup folder staat, en bij het opstarten standaard een aantal dingen opstart (browser, paar tools, een txt bestandje etc.). Dit gaat automatisch, want ik houd van efficiëntie waar mogelijk.

Ik hoopte iets soortgelijks voor mijn encrypted drives te kunnen maken: iets waarmee ik alle drie de schijven in 1x kan unlocken m.b.v. 1 wachtwoord. Ik heb geen idee van scripts (dat startup script is ooit gemaakt door een collega, ik kan hem alleen wijzigen), dus geen idee of het op die manier mogelijk zou zijn (dat ik bv. het script opstart, daar 1 master password invoer, en die vervolgens mijn drives unlocked).

Tot noch toe vind ik de TPM chip het interessantst klinken, echter zit die niet in mijn huidige PC.

Hooo dat dit het duidelijker maakt

When life throws you a curve, lean into it and have faith!

Acties:

dinsdag 28 februari 2017 09:26

Certified MS Bob Administrator

Dat kan je voor elkaar krijgen door ook je OS-schijf te versleutelen. Dan moet je bij het booten een wachtwoord invullen en dan kan je je andere schijven automatisch laten unlocken.

Is extragratis je OS-schijf ook nog eens beveiligd

Acties:

Beste antwoord ✓

dinsdag 28 februari 2017 09:40

LankHoar schreef op dinsdag 28 februari 2017 @ 08:38:
@Trommelrem Indien ik een USB drive ga gebruiken, zit ik weer met een stukje hardware dat ik kwijt kan raken.

@PilatuS Laat ik het zo uitleggen: ik heb een .bat bestandje dat in mijn startup folder staat, en bij het opstarten standaard een aantal dingen opstart (browser, paar tools, een txt bestandje etc.). Dit gaat automatisch, want ik houd van efficiëntie waar mogelijk.

Ik hoopte iets soortgelijks voor mijn encrypted drives te kunnen maken: iets waarmee ik alle drie de schijven in 1x kan unlocken m.b.v. 1 wachtwoord. Ik heb geen idee van scripts (dat startup script is ooit gemaakt door een collega, ik kan hem alleen wijzigen), dus geen idee of het op die manier mogelijk zou zijn (dat ik bv. het script opstart, daar 1 master password invoer, en die vervolgens mijn drives unlocked).

Tot noch toe vind ik de TPM chip het interessantst klinken, echter zit die niet in mijn huidige PC.

Hooo dat dit het duidelijker maakt

Zoals Radiant al vermeldt: Versleutel je OS schijf. Dat maakt de optie Auto Unlock beschikbaar.

De unlockcodes staan namelijk in de registersleutel FVE, welke alleen door system te benaderen is. Om de veiligheid te garanderen moet derhalve je OS partitie versleuteld zijn.

Zonder TPM kun je gebruik maken van Bitlocker, alleen dan zul je bij iedere boot een wachtwoord of recoverysleutel moeten opgeven. Voor extra zekerheid kun je de recoverysleutel ook in je Microsoft account opslaan.

Of koop een TPM voor je moederbord. Die dingen kosten de hoofdprijs niet

Acties:

dinsdag 28 februari 2017 13:33

Certified MS Bob Administrator

Hou er wel rekening mee dat als je een TPM zou gebruiken met auto-unlock dat een kwaadwillende wel gewoon je computer kan opstarten en je eventueel kwetsbaar zou zijn voor exploits in het bootproces (die niet worden afgevangen door secure boot), in Windows of bij benadering van je PC via het netwerk. Een heel OS dat opstart heeft veel meer attack vectors dan een simpele bootloader die om een wachtwoord vraagt. Denk bijvoorbeeld aan de recente flater met de recovery console die toegankelijk was tijdens een Windows Update.

Om die reden gebruik ik nog steeds een opstartwachtwoord op mijn laptop (met TPM)..

Acties:

PilatuS

Wat je wil kan gewoon met Bitlocker en zo heb ik het zelf ook. De OS disk en de Data disk hebben beide encryptie. De OS disk word geunlocked bij het booten door een wachtwoord. De Data disk word in Windows daarna automatisch geunlocked. Je geeft hiervoor de Data disk in Windows hetzelfde wachtwoord als de OS disk en zet auto unlock aan.

Een TPM stelt trouwens niets voor, die plug je net zo makkelijk in de PC als een RAM stick of SATA kabel. Een TPM geeft wat extra beveiliging maar is niet nodig voor wat je wil doen.

woensdag 1 maart 2017 08:53

Acties:

woensdag 1 maart 2017 09:52

Langharig tuig

Topicstarter

Volgens mij kon ik destijds mijn OS disk niet encrypten, en kreeg ik een of andere error (het is een SSD, maar moet niet uitmaken lijkt me). Ik ga er van het weekend nog eens naar kijken, dit klinkt in ieder geval veelbelovend!

Thanks all!

When life throws you a curve, lean into it and have faith!

Acties:

zondag 5 maart 2017 17:40

gpedit.msc optie Bitlocker PIN.

Acties:

zondag 5 maart 2017 17:45

Langharig tuig

Topicstarter

Gelukt!

Nu vraag ik me of of mijn Windows wachtwoord nog wel nut heeft? Of kan ik die nu net zo goed uitschakelen?

When life throws you a curve, lean into it and have faith!

Acties:

PilatuS

LankHoar schreef op zondag 5 maart 2017 @ 17:40:
Gelukt! Nu vraag ik me of of mijn Windows wachtwoord nog wel nut heeft? Of kan ik die nu net zo goed uitschakelen?

Een Windows wachtwoord bij inloggen heeft sowieso al bijna geen nut. Als je een wachtwoord van Bitlocker bij booten hebt word het natuurlijk helemaal nutteloos.

zondag 5 maart 2017 17:47

Acties:

zondag 5 maart 2017 17:48

Certified MS Bob Administrator

Mocht je de computer ook via het netwerk benaderen heeft dat wachtwoord zeker nut.

Acties:

zondag 5 maart 2017 17:48

Langharig tuig

Topicstarter

Radiant schreef op zondag 5 maart 2017 @ 17:47:
Mocht je de computer ook via het netwerk benaderen heeft dat wachtwoord zeker nut.

Dat doe ik niet, dus ik heb hem nu uitgeschakeld.

Thanks allen, ben hier echt blij mee. Lang leve GoT!

When life throws you a curve, lean into it and have faith!

Acties:

NLKornolio

BF3/BF4: NLKornolio

je kan gewoon een losse tpm module kopen kost een tientje ofzo

zondag 5 maart 2017 22:02

Acties: