BitLocker met TPM chip vs BitLocker met password - Windows clients

donderdag 7 juni 2018 12:04

Acties:

0 Henk 'm!

Topicstarter

Ik heb gisteren mijn laptop geupgrade van Windows 10 Home naar Pro zodat ik BitLocker kan gaan gebruiken.

Werkt allemaal perfect maar heb toch een security vraagje.

BitLocker is actief op de gehele SSD in de laptop i.c.m een TPM chip in de laptop.
Als je de laptop dus aanzet dan boot hij vanzelf door naar Windows 10 ook al is de disk volledig ge-encrypt. Je komt dan wel zonder iets te doen uit bij het loginscherm van Windows.

Een andere pc die ik heb heeft geen TPM chip en daarbij heb ik het zo ingesteld dat BitLocker ook actief is (zonder TPM) maar dat je voor het booten een wachtwoord moet opgeven. Ik heb daarvoor wel aanpassingen moeten maken in de lokale Group Policy editor.

Stel je voor dat iemand zo'n pc en laptop zou stelen dan kunnen ze dus de PC niet eens opstarten, of zien wat voor OS er op staat en ook de laatst gebruikte username niet zien. De laptop boot wel gewoon direct door zodat hij dus aan staat en je het loginscherm ziet van Windows 10. Men kan dus gewoon een netwerkkabeltje in de laptop doen om het aan het netwerk te hangen. Zolang men het Windows wachtwoord niet weet is er denk ik weinig aan de hand (1 lokaal admin account aanwezig op de laptop) Eigenlijk moet je dat toch niet willen voor maximale beveiliging? Dat zit blijkbaar niet standaard in de opties van BitLocker.

Welke van de twee manieren van beveiligen vinden jullie beter?

donderdag 7 juni 2018 12:08

Acties:

0 Henk 'm!

Radiant

Certified MS Bob Administrator

Ik gebruik op mijn laptop (met TPM) ook een Bitlocker-wachtwoord. Een computer met een draaiend OS die op het login scherm staat en allerlei services draait heeft een veel grotere attack surface dan een computer die in een bootscherm staat en om een wachtwoord vraagt terwijl er geen OS draait.

donderdag 7 juni 2018 12:11

Acties:

0 Henk 'm!

metallicelmo

Topicstarter

Radiant schreef op donderdag 7 juni 2018 @ 12:08:
Ik gebruik op mijn laptop (met TPM) ook een Bitlocker-wachtwoord. Een computer met een draaiend OS die op het login scherm staat en allerlei services draait heeft een veel grotere attack surface dan een computer die in een bootscherm staat en om een wachtwoord vraagt terwijl er geen OS draait.

Ja zo denk ik er ook over, is dat achteraf nog aan te passen dat je weet of moet je dat van te voren instellen? Dit zit namelijk niet standaard in de BitLocker opties bij het activeren met TPM

donderdag 7 juni 2018 12:15

Acties:

0 Henk 'm!

Radiant

Certified MS Bob Administrator

Dat kan je later allemaal aanpassen. Je moet Bitlocker eerst activeren voor je opstartschijf, daarna kan je alles instellen.

donderdag 7 juni 2018 20:00

Acties:

0 Henk 'm!

TheVMaster

Moderator WOS

Radiant schreef op Thursday 7 June 2018 @ 12:08:
Ik gebruik op mijn laptop (met TPM) ook een Bitlocker-wachtwoord. Een computer met een draaiend OS die op het login scherm staat en allerlei services draait heeft een veel grotere attack surface dan een computer die in een bootscherm staat en om een wachtwoord vraagt terwijl er geen OS draait.

Dat valt natuurlijk wel mee, als je niets open hebt staan dan kan je volgens mij vrij weinig gebeuren. De Pre-boot authenticatie methodes zijn ook alleen maar bedoelt om DMA attacks tegen te gaan, maar de meeste moderne (zakelijke) hardware heeft geen DMA poorten meer. Dus is het voor de meeste gebruikers redelijk onnodig om die pre-boot pin (of een wachtwoord) in te schakelen.

metallicelmo schreef op Thursday 7 June 2018 @ 12:11:
[...]

Ja zo denk ik er ook over, is dat achteraf nog aan te passen dat je weet of moet je dat van te voren instellen? Dit zit namelijk niet standaard in de BitLocker opties bij het activeren met TPM

Achteraf kun je dat zeker toevoegen, als je dat wilt. Maar wat voor zwaar top secret info bewaar jij op je HDD dat je dat soort extra veiligheidsmaatregelen zou willen nemen? Zelfs Microsoft zegt eigenlijk dat een pre-boot pin voor de meeste moderne devices helemaal overbodig is.

Daarnaast zijn de moderne always-on devices toch altijd aan en zou je dat pre-boot scherm dan alleen maar zien als je moet rebooten na een update ofzo. Of sluit jij je laptop nog iedere keer helemaal af als je onderweg bent? Dan zou het zin hebben, maar ook dan weer….stel je bent je pre-boot wachtwoord (of PIN) vergeten, hoe kom je er dan bij...moet je ook zorgen dat je een recovery key hebt die je niet kwijt raakt (al kan die, als je aanlogt met een MS account natuurlijk in de cloud opgeslagen worden).

[ Voor 41% gewijzigd door TheVMaster op 07-06-2018 20:04 ]

vrijdag 8 juni 2018 10:46

Acties:

0 Henk 'm!

metallicelmo

Topicstarter

Ik heb uiteindelijk nog een pincode erbij ingesteld, nog veiliger naar mijn idee. Pincode en TPM chip gecombineerd. Niemand ziet wat er voor OS draait of wat je username is in het geval je laptop zou worden gestolen. Ik kan me voorstellen dat dit ervoor zorgt dat men sneller gewoon de boel leeg haalt en Windows opnieuw erop zet in plaats van toch nog te proberen in te breken in de laptop die zonder pin code gewoon bij het lockscreen van Windows 10 komt. Thanks voor de tips!

vrijdag 8 juni 2018 11:03

Acties:

+2 Henk 'm!

Wimmel

Hello

Wat ik eigenlijk interessanter vind, hoe is je SSD versleuteld? Wanneer je een TPM gebruikt kan je namelijk met enkele juiste instellingen de versleuteling overlaten aan je SSD waardoor bij diefstal de SSD niet zonder externe tools opnieuw te gebruiken is. Wanneer je het aan Windows overlaat wordt je SSD volgeschreven met versleutelde blokken waardoor je SSD vol is en je problemen met TRIM en performance kan krijgen.

Met het commando manage-bde -status c: kun je dit controleren. Let op het onderdeel Encryption Method.

Softwarematige encryptie:
Afbeeldingslocatie: https://tweakers.net/ext/f/IUN7IeM6mLIkDmjaTln4smee/full.jpg

Afbeeldingslocatie: https://tweakers.net/ext/f/IUN7IeM6mLIkDmjaTln4smee/full.jpg

Hardwarematig:
Afbeeldingslocatie: https://tweakers.net/ext/f/IxZu9FOMW40KK4jhOIssfGwi/full.jpg

Hier staat een redelijk duidelijke uitleg: https://www.lullabot.com/...ssd-encryption-on-windows

[ Voor 10% gewijzigd door Wimmel op 08-06-2018 11:05 ]

Men are from Mars, women are meteors crashing into Mars.
Discogs

vrijdag 8 juni 2018 11:14

Acties:

0 Henk 'm!

Radiant

Certified MS Bob Administrator

JackSparrow schreef op donderdag 7 juni 2018 @ 20:00:
[...]

Dat valt natuurlijk wel mee, als je niets open hebt staan dan kan je volgens mij vrij weinig gebeuren. De Pre-boot authenticatie methodes zijn ook alleen maar bedoelt om DMA attacks tegen te gaan, maar de meeste moderne (zakelijke) hardware heeft geen DMA poorten meer. Dus is het voor de meeste gebruikers redelijk onnodig om die pre-boot pin (of een wachtwoord) in te schakelen.

En vervolgens wordt er een nieuwe kwetsbaarheid gevonden in bijvoorbeeld het afhandelen van USB of ethernet, Windows Update, SMB, DHCP, WIFI-authenticatie of noem maar een willekeurige andere service of ingang en men kan bij je data. Want dat is allemaal actief bij een geboot OS en niet bij de password prompt van Bitlocker.

vrijdag 8 juni 2018 11:25

Acties:

0 Henk 'm!

metallicelmo

Topicstarter

Ik weet dat mijn vorige laptop (HP ProBook met Samsung SSD) de optie had om de SSD zelf de encryptie te laten regelen, dat zal dan wel hardwarematig zijn geweest met een soort drivelock. Mijn huidige laptop is een ultrabook die niet zakelijk is dus geen drivelock of hardware SSD encryption

Hij geeft overigens dit aan

Size: 236,59 GB
BitLocker Version: 2.0
Conversion Status: Fully Encrypted
Percentage Encrypted: 100,0%
Encryption Method: XTS-AES 128
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
Numerical Password
TPM And PIN

Ik heb deze handleiding gevolgd
https://www.howtogeek.com...bitlocker-pin-on-windows/

[ Voor 8% gewijzigd door metallicelmo op 08-06-2018 14:48 ]

vrijdag 8 juni 2018 11:34

Acties:

0 Henk 'm!

metallicelmo

Topicstarter

Ik had trouwens voorheen VeraCrypt geinstalleerd. Werkte ook goed maar gaf altijd problemen bij grote Windows 10 updates. Ik heb daarom Windows 10 Home OEM geupgrade naar Windows 10 Pro Volume License en nu dus BitLocker in gebruik. Het OS voelt nu wel sneller aan moet ik zeggen dus dat is ook prettiger

zaterdag 9 juni 2018 00:43

Acties:

0 Henk 'm!

TheVMaster

Moderator WOS

Radiant schreef op Friday 8 June 2018 @ 11:14:
[...]

En vervolgens wordt er een nieuwe kwetsbaarheid gevonden in bijvoorbeeld het afhandelen van USB of ethernet, Windows Update, SMB, DHCP, WIFI-authenticatie of noem maar een willekeurige andere service of ingang en men kan bij je data. Want dat is allemaal actief bij een geboot OS en niet bij de password prompt van Bitlocker.

Eh....ja maar dan moet je dus naast die specifieke kwetsbaarheden waar je naar verwijst ook nog in het bezit zijn van jou machine. Daarnaast lees ik nergens dat beide kwetsbaarheden ook nog van toepassing zijn op de twee meest recente (1709 en 1803) releases van Windows 10, aangezien die tweede kwetsbaarheid al uit 2016 komt. Heb jij er staatsgeheimen op staan ofzo, dat je de boel zo overdreven extreem goed wilt beveiligen? Het is natuurlijk (in ieder geval in zakelijk omgevingen) vaak een afwegen tussen veiligheid en gebruikersgemak. Natuurlijk zul je op devices waar (zwaar) vertrouwelijke bedrijfsgeheimen op staan eerder voor wat zwaardere veiligheidsmaatregelen geconfigureerd worden, dan voor een thuis pc van een willekeurige consument.

Begrijp me niet verkeerd hoor, maar ik ken geen enkele grote klant die de pre-boot pin (of een bitlocker wachtwoord) voor de complete populatie heeft geconfigureerd, omdat er naast het gebrek van vertrouwelijke documenten op die machines het natuurlijk ook voorkomt dat medewerkers hun bitlocker wachtwoord (of de PIN) zijn vergeten en dus de helpdesk moeten bellen. Neemt niet weg dat je dat natuurlijk best kunen configureren als jij je er veiliger bij voelt.

[ Voor 7% gewijzigd door TheVMaster op 09-06-2018 00:47 ]

Pagina: 1

Reageer