Bitlocker - Besturingssysteem en overige hdd beveiligen

Bitlocker instellen op de D schijf na de installatie van de C schijf. Kiezen voor een wachtwoord met auto unlock. Zo heb ik het gedaan, maar werk hier met een TPM en wachtwoord voor inloggen, dus weet niet zeker of het bij jou met USB ook zo zal gaan.

Waarom trouwens met USB stick en niet met een wachtwoord ?

[ Voor 24% gewijzigd door PilatuS op 31-05-2018 17:20 ]

Eventueel kan je van Microsoft afstappen (qua drive encryptie) en je bootpartitie (en anderen) encrypteren met VeraCrypt (de nieuwe TrueCrypt).

Zelf kom ik niet vaak BitLocker tegen in professionele hoedanigheid. Meestal heeft dat een reden.

[ Voor 33% gewijzigd door Tokkes op 31-05-2018 17:24 ]

Tokkes schreef op donderdag 31 mei 2018 @ 17:23:
Zelf kom ik niet vaak BitLocker tegen in professionele hoedanigheid. Meestal heeft dat een reden.

Ligt er aan waar je het voor gebuikt. Als het tegen de NSA is heb je vast gelijk. In mijn geval is het tegen diefstal. Ik ben op mijn PC ingelogt in mail en andere dingen. Stel iemand jat mijn PC of gaat er achter zitten kan je overal bij. Door Bitlocker bij het booten te gebruiken komt er niemand in. Dat het dan misschien niet 100% veilig is tegen alles hoeft niet. Voor wat ik er mee wil is het compleet veilig

Misschien is yubikey dan interessant: https://legallygeeky.net/?p=511

Tokkes schreef op donderdag 31 mei 2018 @ 17:23:
Eventueel kan je van Microsoft afstappen (qua drive encryptie) en je bootpartitie (en anderen) encrypteren met VeraCrypt (de nieuwe TrueCrypt).

Zelf kom ik niet vaak BitLocker tegen in professionele hoedanigheid. Meestal heeft dat een reden.

Wat is dan de reden?

Ik kom juist bijna alleen maar bitlocker tegen in de professionele omgevingen (enterprise omgevingen) waar men Windows gebruikt.

Killah_Priest schreef op donderdag 31 mei 2018 @ 18:01:
[...]

Wat is dan de reden?

Ik kom juist bijna alleen maar bitlocker tegen in de professionele omgevingen (enterprise omgevingen) waar men Windows gebruikt.

Professioneel != enterprise natuurlijk. Ik kan me ook niet anders voorstellen dan dat bitlocker word gebruikt natuurlijk. Wanneer je professioneel Linux of Mac gebruikt is dat natuurlijk niet zo. Professioneel mkb zie ik ook niet zo snel bitlocker.

@Anoniem: 914687
Je bent bang om niet meer bij je data te kunnen. Ik krijg daarbij het gevoel dat je geen backup hebt. Als je met dit soort zaken bezig bent moet je of voor een backup zorgen (eigenlijk gewoon altijd) of verdomde goed weten waar je mee bezig bent en veel ervaring ermee hebben.

Tokkes schreef op donderdag 31 mei 2018 @ 17:23:
Eventueel kan je van Microsoft afstappen (qua drive encryptie) en je bootpartitie (en anderen) encrypteren met VeraCrypt (de nieuwe TrueCrypt).

Zelf kom ik niet vaak BitLocker tegen in professionele hoedanigheid. Meestal heeft dat een reden.

Dat is onzin. De grote bedrijven met enterprise Microsoft licenties gebruiken voor de mobiele apparatuur (laptops) veelal bitlocker. Zij gaan geen truecrypt of freeware alternatief gebruiken zonder support of tegen extra betaling terwijl er al een licentie aanwezig is, evenals de kennis goedkoper is.

Craven schreef op donderdag 31 mei 2018 @ 18:07:
[...]

Professioneel != enterprise natuurlijk. Ik kan me ook niet anders voorstellen dan dat bitlocker word gebruikt natuurlijk. Wanneer je professioneel Linux of Mac gebruikt is dat natuurlijk niet zo. Professioneel mkb zie ik ook niet zo snel bitlocker.

@Anoniem: 914687
Je bent bang om niet meer bij je data te kunnen. Ik krijg daarbij het gevoel dat je geen backup hebt. Als je met dit soort zaken bezig bent moet je of voor een backup zorgen (eigenlijk gewoon altijd) of verdomde goed weten waar je mee bezig bent en veel ervaring ermee hebben.

In het MKB kwam ik nog wel machines tegen zonder Bitlocker : dit kwam eigenlijk altijd omdat het om laptops zonder TPM ging (HP Probooks hadden vroeger standaard geen TPM aan boord, alleen specifieke modellen hadden dat) OF mem gebruikte Windows 7 Pro dus geen bitlocker support.

Ik ben al een jaar uit het MKB wereldje, maar alle Windows 10 laptops welke ik tegenkwam hadden Bitlocker aan staan in mijn laatste jaar.

Nogmaals de vraag: Waarom met een USB stick en niet met een wachtwoord ?

Wat er mis gaat is dat het commando niet klopt. Er zit een fout in wat je als commando wil uitvoeren.

PilatuS schreef op Thursday 31 May 2018 @ 17:19:
Bitlocker instellen op de D schijf na de installatie van de C schijf. Kiezen voor een wachtwoord met auto unlock. Zo heb ik het gedaan, maar werk hier met een TPM en wachtwoord voor inloggen, dus weet niet zeker of het bij jou met USB ook zo zal gaan.

Waarom trouwens met USB stick en niet met een wachtwoord ?

TPM is overigens meer dan voldoende. Een Pre-boot PIN is voor de meeste types machines al een tijdje meer aanbevolen door Microsoft. Als je geen TPM hebt, dan is inderdaad een USB stick een oplossing.

Op zich kun je niet zondermeer bij de data op je harddisk (zolang je maar een wachtwoord op je Windows installatie hebt natuurlijk).

PilatuS schreef op Thursday 31 May 2018 @ 17:30:
[...]


Ligt er aan waar je het voor gebuikt. Als het tegen de NSA is heb je vast gelijk. In mijn geval is het tegen diefstal. Ik ben op mijn PC ingelogt in mail en andere dingen. Stel iemand jat mijn PC of gaat er achter zitten kan je overal bij. Door Bitlocker bij het booten te gebruiken komt er niemand in. Dat het dan misschien niet 100% veilig is tegen alles hoeft niet. Voor wat ik er mee wil is het compleet veilig

Waarom niet gewoon een wachtwoord op Windows?! En dan Bitlocker zonder een boot wachtwoord of PIN, is namelijk net zo veilig voor de meeste types machines (helemaal als je een recente machine hebt zonder DMA poorten, of configureer dat anders via een policy).

[ Voor 34% gewijzigd door TheVMaster op 31-05-2018 21:21 ]

JackSparrow schreef op donderdag 31 mei 2018 @ 21:18:
[...]


TPM is overigens meer dan voldoende. Een Pre-boot PIN is voor de meeste types machines al een tijdje meer aanbevolen door Microsoft. Als je geen TPM hebt, dan is inderdaad een USB stick een oplossing.

Ook zonder een TPM kan je zonder een USB stick een boot wachtwoord gebruiken. Vandaar ook de USB stick vraag omdat het zonder ook mogelijk is. Toen ik naar mijn huidige moederbord ging had ik een nieuwe TPM nodig die in het begin nergens te krijgen was, dus een tijdje zonder TPM gedraait en dat dus zonder USB stick.

Waarom niet gewoon een wachtwoord op Windows?! En dan Bitlocker zonder een boot wachtwoord of PIN, is namelijk net zo veilig voor de meeste types machines (helemaal als je een recente machine hebt zonder DMA poorten, of configureer dat anders via een policy).

Ik gebruik het op deze manier al jaren en dat bevalt prima. Of ik nou een wachtwoord in Windows invoer of bij het booten maakt voor mij niet uit. Zolang de SSD's maar volledige hardware encryptie hebben. Gebruik dit nu sinds Windows 8 uitgekomen is, dus dat er inmiddels betere opties zijn zou kunnen. Aangezien dit goed voor mij werkt al jaren lang nooit meer verder gekeken naar iets anders.

Edit:

Op zich kun je niet zondermeer bij de data op je harddisk (zolang je maar een wachtwoord op je Windows installatie hebt natuurlijk).

Zonder encryptie stelt een Windows wachtwoord toch niets voor ?

Edit2: Wel een interessant stukje over de DMA attack trouwens Nou heeft mijn PC geen FireWire, maar ik zag dat ze ook bezig zijn om zoiets via PCI-E poorten te doen. Voor mijn toepassingen is zoiets trouwens niet zo boeiend, net zoals de RAM modules er uit halen en die koelen om uit te lezen

[ Voor 18% gewijzigd door PilatuS op 31-05-2018 22:21 ]

Anoniem: 914687 schreef op donderdag 31 mei 2018 @ 22:27:
Weet er iemand wat de fout in het commando is? Dat er een fout in zit, zo ver was ik natuurlijk ook al

Zoek de fout Even de complete lijn nalopen of even een andere guide opzoeken die het volledige commando uitlegt. Heb er zelf geen ervaring mee, dus durf het niet te zeggen.

PilatuS schreef op Thursday 31 May 2018 @ 22:06:
[...]


Ook zonder een TPM kan je zonder een USB stick een boot wachtwoord gebruiken. Vandaar ook de USB stick vraag omdat het zonder ook mogelijk is. Toen ik naar mijn huidige moederbord ging had ik een nieuwe TPM nodig die in het begin nergens te krijgen was, dus een tijdje zonder TPM gedraait en dat dus zonder USB stick.


[...]

Natuurlijk kun je ook een Startup Wachtwoord gebruiken zonder dat je een USB Stick nodig hebt. Alleen heeft het (als je pc dus een TPM heeft) geen enkele meerwaarde om daarnaast ook nog een pre-booth authenticatie methode (zoals PIN of Wachtwoord) toe te voegen. Puur om de redenen die dat artikel wat ik eerder al aanhaalde beschrijven. Ik ben hier toevallig de afgelopen weken mee bezig geweest voor een grote enterprise klant in het buitenland (icm hun security afdeling), vandaar dat ik er ff uitgebreid op reageer

Ik gebruik het op deze manier al jaren en dat bevalt prima. Of ik nou een wachtwoord in Windows invoer of bij het booten maakt voor mij niet uit. Zolang de SSD's maar volledige hardware encryptie hebben. Gebruik dit nu sinds Windows 8 uitgekomen is, dus dat er inmiddels betere opties zijn zou kunnen. Aangezien dit goed voor mij werkt al jaren lang nooit meer verder gekeken naar iets anders.

Edit:


[...]


Zonder encryptie stelt een Windows wachtwoord toch niets voor ?

Edit2: Wel een interessant stukje over de DMA attack trouwens Nou heeft mijn PC geen FireWire, maar ik zag dat ze ook bezig zijn om zoiets via PCI-E poorten te doen. Voor mijn toepassingen is zoiets trouwens niet zo boeiend, net zoals de RAM modules er uit halen en die koelen om uit te lezen

Natuurlijk is een Windows wachtwoord alleen niet voldoende. Dan kun je eenvoudig de disk in een andere pc stoppen en dan alsnog bij de data komen (als je dan niet boot van die disk, want Windows wachwoord) als je hem als 'data-disk' gebruikt. Bitlocker zonder Windows wachtwoord snap ik ook niet helemaal, maar goed...als je vervolgens wel een Bitlocker wachtwoord hebt dan kan dat natuurlijk ook. Lastige is alleen als je dan je BitLocker wachtwoord kwijt bent...dan kom je (zonder je recovery key) dus nooit meer bij je data.

Anoniem: 914687 schreef op Thursday 31 May 2018 @ 22:27:
Ik vind het gewoon heel handig als ik er alleen de usb stick maar in hoeft te stoppen en geen wachtwoord hoeft in te voeren. Weet er iemand wat de fout in het commando is? Dat er een fout in zit, zo ver was ik natuurlijk ook al

Tuurlijk en als je machine geen TPM chip heeft die je kunt gebruiken (want die unlockt je disk automatisch als je hem aan zet), dan zul je de disk handmatig (dmv een wachtwoord of usb stick) moeten unlocken. Anders kun je niet naar Windows booten en dat is ook best lastig

Anoniem: 914687 schreef op Thursday 31 May 2018 @ 22:28:
En inderdaad, alleen een windows wachtwoord is echt waardeloos. Vandaar dat ik dus ook bitlocker wil gebruiken

Dat zeg ik ook nergens. Ik zeg alleen maar dat, als je dus een TPM hebt, het eigenlijk onzin is om ook nog een pre-boot authenticatie methode zoals een PIN of wachtwoord te gebruiken (om dus de disk te unlocken). Daarnaast zou je natuurlijk gewoon je Windows 10 installatie met een wachtwoord moeten beschermen, net zoals je telefoon ook van een PIN/wachtwoord hebt voorzien.

[ Voor 13% gewijzigd door TheVMaster op 01-06-2018 09:55 ]

Anoniem: 914687 schreef op dinsdag 5 juni 2018 @ 13:50:
Beste allemaal,

Helaas is er bij één van mijn schijven iets mis gegaan. Het is bij alle schijven probleemloos gelukt, maar deze bleef bij 99,99& hangen. En dat meer dan een dag. Uiteindelijk is het geheel vastgelopen en bij opnieuw opstarten is de schijf 0 bytes groot. Het wachtwoord dat ik heb ingevuld werkt niet. En de herstelsleutel accepteert hij hook niet. Kortom: Ik heb een probleem. Natuurlijk heb ik een backup van 90% van mijn bestanden, maar dat neemt niet weg dat het heel veel werk kost om alles weer terug te zetten aangezien het een 5TB schijf was. Wie kan mij aan een oplossing helpen? Wat kan ik doen om dit te fixen?

Grtzz

De backup terug zetten is de oplossing Het hele punt van Bitlocker is dat je er niet bij kan zonder sleutel/recovery, als beide niet werken houdt het helaas op...
Overigens niet gek dat het een dag of meer blijft hangen wanneer 5TB aan disk ruimte moet worden versleuteld, dat duurt wel even.