Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

BitLocker met TPM chip

Pagina: 1
Acties:

  • Luchtbakker
  • Registratie: november 2011
  • Laatst online: 17:49
Hi allemaal.

Ik wil een groep werkplekken voorzien van bitlocker in combinatie met TPM versie 1.2. Groot voordeel is dat bij elke reboot je geen bitlocker password hoeft in te voeren om de machine op te starten.

Echter, wanneer de machine een power loss heeft gehad, dienen we de recovery key in te voeren.
Dit is ongewenst, gezien het een werkplek is waarbij je niet wilt dat bij een stroomstoring xxx aantal machines mogen voorzien van hun recovery key. (alles loopt zoals bij een normaal bedrijf via een ICT servicedesk)

Is dit anders op te lossen?

  • spone
  • Registratie: mei 2002
  • Niet online
Het is een beetje vreemd dat een power loss een vraag om de recovery key triggered, maar dat is blijkbaar een bij-effect van BitLocker als ik het zo lees her en der.

Mogelijk is Network Unlock iets? https://docs.microsoft.co...-to-enable-network-unlock

  • cyberbetica
  • Registratie: januari 2002
  • Laatst online: 17-06 11:07

cyberbetica

DevOpsen? CloudNation.nl

Bedoel je met een power loss gewoon het wegvallen van de stroom? Ik zie het wel eens bij laptops die wanneer je ze uitdrukt in recovery mode komen. Gewoon CTRL-ALT-DEL of nog weer even uitzetten, dan moeten ze gewoon doorstarten. Je hebt niets aangepast, dus ook geen reden om te recoveren.

Als dit niet werkt: TPM1.2 is redelijk bejaard. Wat voor systemen gaat het over? Wellicht los je een hoop problemen op door de BIOS/UEFI te upgraden naar de laatste versie en als mogelijk de TPM naar 2.0 om te zetten of sowieso te updaten. Veel oudere 1.2 systemen zit sowieso nog een kritieke bug in (Infineon chips, dacht ik)

  • Luchtbakker
  • Registratie: november 2011
  • Laatst online: 17:49
spone schreef op vrijdag 12 oktober 2018 @ 09:48:
Het is een beetje vreemd dat een power loss een vraag om de recovery key triggered, maar dat is blijkbaar een bij-effect van BitLocker als ik het zo lees her en der.

Mogelijk is Network Unlock iets? https://docs.microsoft.co...-to-enable-network-unlock
Ik vindt dat ook vrij fors. Hij zal zijn state verloren zijn waardoor hij gelockt is. De bovenstaande oplossing is inderdaad mooi. Er staat mij wel bij dat dit niet werkt in combinatie met TPM 1.2. Weet jij dat zo?
cyberbetica schreef op vrijdag 12 oktober 2018 @ 09:52:
Bedoel je met een power loss gewoon het wegvallen van de stroom?
Ja :)
cyberbetica schreef op vrijdag 12 oktober 2018 @ 09:52:
Als dit niet werkt: TPM1.2 is redelijk bejaard. Wat voor systemen gaat het over? Wellicht los je een hoop problemen op door de BIOS/UEFI te upgraden naar de laatste versie en als mogelijk de TPM naar 2.0 om te zetten of sowieso te updaten.
Helaas is er geen upgrade beschikbaar vanuit HP om hem naar 2.0 te zetten. :'(

  • spone
  • Registratie: mei 2002
  • Niet online
michelsoe12 schreef op vrijdag 12 oktober 2018 @ 10:02:
[...]
Ik vindt dat ook vrij fors. Hij zal zijn state verloren zijn waardoor hij gelockt is. De bovenstaande oplossing is inderdaad mooi. Er staat mij wel bij dat dit niet werkt in combinatie met TPM 1.2. Weet jij dat zo?
Ik zie TPM 2.0 niet staan als harde requirement in de documentatie ervan, maar moet bekennen dat ik het nooit daadwerkelijk geïmplementeerd heb.

Verder nog iets om naar te kijken zijn de PCR flags (datgene wat BitLocker gebruikt om te bepalen of een systeem nog veilig is/niet mee getampered is). Volgens mij valt daar ook nog wel wat aan te tunen zodat de recovery mode uberhaupt niet triggered door een power loss. Is een beetje het idee de oorzaak van het probleem wegnemen ipv de symptomen bestrijden :)

  • alt-92
  • Registratie: maart 2000
  • Niet online

alt-92

ye olde farte

Voor wat betreft 1.2 vs. 2.0: de meeste TPM chips zijn tegenwoordig 2.0 maar worden qua firmware op 1.2 gezet.
Je kan ze vaak ook wel forceren naar 2.0.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 16:26

TheVMaster

Moderator WOS
michelsoe12 schreef op Friday 12 October 2018 @ 09:42:
Hi allemaal.

Ik wil een groep werkplekken voorzien van bitlocker in combinatie met TPM versie 1.2. Groot voordeel is dat bij elke reboot je geen bitlocker password hoeft in te voeren om de machine op te starten.

Echter, wanneer de machine een power loss heeft gehad, dienen we de recovery key in te voeren.
Dit is ongewenst, gezien het een werkplek is waarbij je niet wilt dat bij een stroomstoring xxx aantal machines mogen voorzien van hun recovery key. (alles loopt zoals bij een normaal bedrijf via een ICT servicedesk)

Is dit anders op te lossen?
Waarom TPMs met versie 1.2..? Zijn het oudere machines? Ik weet dat de 'oudere' TPMs (v1.2 ipv 2.0) vaker dit soort 'vage' issues hebben.
alt-92 schreef op Friday 12 October 2018 @ 14:26:
Voor wat betreft 1.2 vs. 2.0: de meeste TPM chips zijn tegenwoordig 2.0 maar worden qua firmware op 1.2 gezet.
Je kan ze vaak ook wel forceren naar 2.0.
Inderdaad de 2.0 TPMs zijn al een aantal jaren op de markt. Waarom zouden ze trouwens in de firmware op 1.2 gezet worden? :? Dat slaat nergens op, aangezien Windows 10 perfect overweg kan met de 2.0 variant.

Misschien is dat bij Windows 7 anders, daar heb ik geen ervaring mee.....maar goed, Windows 7 gaat nog maar iets minder dan 18 mnd mee... _/-\o_

Om welk model laptop gaat het eigenlijk?

[Voor 29% gewijzigd door TheVMaster op 13-10-2018 00:20]


  • Puch-Maxi
  • Registratie: december 2003
  • Laatst online: 20-06 12:26
JackSparrow schreef op zaterdag 13 oktober 2018 @ 00:17:
[...]
Om welk model laptop gaat het eigenlijk?
Het gaat volgens mij niet perse om laptops, het zou ook een desktop kunnen zijn :).

My favorite programming language is solder.


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 16:26

TheVMaster

Moderator WOS
Puch-Maxi schreef op Saturday 13 October 2018 @ 01:21:
[...]

Het gaat volgens mij niet perse om laptops, het zou ook een desktop kunnen zijn :).
Eh..natuurlijk, my bad..het kunnen natuurlijk ook desktops zijn.

  • Puch-Maxi
  • Registratie: december 2003
  • Laatst online: 20-06 12:26
No worries! Laptops hebben niet zo snel last van een power loss i.v.m. de accu, maar het kan natuurlijk wel.

My favorite programming language is solder.


  • Will_M
  • Registratie: maart 2004
  • Niet online

Will_M

Intentionally Left Blank

Gezien 't schijnbaar om Windows machines gaat: Zijn die dingen ge-joined aan een Microsoft AD domein wat ondersteuning bied voor 't beheer van BitLockerKey's?

Als dat zo is dan zou een TPM 1.2 chip gewoon moeten werken.

[Voor 3% gewijzigd door Will_M op 13-10-2018 01:33]

Why do subtitles never really tell you what's going on?


  • Luchtbakker
  • Registratie: november 2011
  • Laatst online: 17:49
wimmel_1 schreef op zaterdag 13 oktober 2018 @ 01:30:
Gezien 't schijnbaar om Windows machines gaat: Zijn die dingen ge-joined aan een Microsoft AD domein wat ondersteuning bied voor 't beheer van BitLockerKey's?

Als dat zo is dan zou een TPM 1.2 chip gewoon moeten werken.
De HP machines (z440) zijn inderdaad lid van het AD,en de keys worden keurig opgeslagen. Alleen wil je niet telkens een key invoeren als er stroomuitval is geweest.

Inmiddels is het gelukt tpm op 2.0 te krijgen, maar dit lost het probleem niet echt op.

  • Puch-Maxi
  • Registratie: december 2003
  • Laatst online: 20-06 12:26
Denk dat een UPS voor ieder werkstation of één per groepje ook geen optie is?
Vond elders deze threads:
https://social.technet.mi...r-recovery?forum=mdopmbam
https://social.technet.mi...on-systems?forum=mdopmbam

My favorite programming language is solder.


  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 16:26

TheVMaster

Moderator WOS
michelsoe12 schreef op Saturday 13 October 2018 @ 08:30:
[...]


De HP machines (z440) zijn inderdaad lid van het AD,en de keys worden keurig opgeslagen. Alleen wil je niet telkens een key invoeren als er stroomuitval is geweest.

Inmiddels is het gelukt tpm op 2.0 te krijgen, maar dit lost het probleem niet echt op.
Op zich zou TPM 2.0 minder last van 'recovery key' issues moeten hebben maar de vraag is nu wel waarom hebben je pc's zoveel last van stroomstoringen..? Dat is ook niet gezond natuurlijk.

  • Luchtbakker
  • Registratie: november 2011
  • Laatst online: 17:49
JackSparrow schreef op zaterdag 13 oktober 2018 @ 17:17:
[...]


Op zich zou TPM 2.0 minder last van 'recovery key' issues moeten hebben maar de vraag is nu wel waarom hebben je pc's zoveel last van stroomstoringen..? Dat is ook niet gezond natuurlijk.
Ze hebben geen last van stroomstoring. Alleen willen wij niet xxx aantal systemen moeten voorzien van een recovery key als er wel een keer stroomstoring is . Dat is gewoon onbegonnen en dagelijks werk

  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 16:26

TheVMaster

Moderator WOS
michelsoe12 schreef op Saturday 13 October 2018 @ 17:23:
[...]


Ze hebben geen last van stroomstoring. Alleen willen wij niet xxx aantal systemen moeten voorzien van een recovery key als er wel een keer stroomstoring is . Dat is gewoon onbegonnen en dagelijks werk
Eh...dus we hebben het hier over iets wat MOGELIJK (en theoretisch) zou kunnen gebeuren in het geval van een stroomstoring....oké, dan is dat duidelijk.

Dan is het omwisselen voor laptops, of een UPS plaatsen de enige oplossing lijkt me....

Maar ff serieus, hoe vaak hebben we in NL nou last van een stroomstoring, dat is zowat verwaarloosbaar.

[Voor 16% gewijzigd door TheVMaster op 13-10-2018 19:34]


  • Luchtbakker
  • Registratie: november 2011
  • Laatst online: 17:49
JackSparrow schreef op zaterdag 13 oktober 2018 @ 19:32:
[...]


Eh...dus we hebben het hier over iets wat MOGELIJK (en theoretisch) zou kunnen gebeuren in het geval van een stroomstoring....oké, dan is dat duidelijk.

Dan is het omwisselen voor laptops, of een UPS plaatsen de enige oplossing lijkt me....

Maar ff serieus, hoe vaak hebben we in NL nou last van een stroomstoring, dat is zowat verwaarloosbaar.
Of het nou vaak voor komt of niet. Ik heb straks als beheerder geen zin om een paar honderd machines te voorzien van een recovery key. Dit kost trouwens ook klauwen vol met geld want medewerkers kunnen tot die tijd niks.

  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 16:26

TheVMaster

Moderator WOS
michelsoe12 schreef op Saturday 13 October 2018 @ 21:11:
[...]


Of het nou vaak voor komt of niet. Ik heb straks als beheerder geen zin om een paar honderd machines te voorzien van een recovery key. Dit kost trouwens ook klauwen vol met geld want medewerkers kunnen tot die tijd niks.
Eh....maar als dat echt zo vaak zou voorkomen, dan zouden we dat toch wel vaker gezien hebben in het wild. Maar ik neem aan dat jij dit hebt getest bij een (groot?) aantal machines en daarom weet dat dit probleem echt een probleem is?

Ik heb dit namelijk nog nooit gehoord...dat bedrijven dus massaal issues hadden met het moeten invullen van een recovery key in het geval van een stroomstoring....

Voor mijn gevoel ben je nu gewoon een probleem aan het maken van iets wat eigenlijk geen probleem is....of denk ik nu te makkelijk?

  • Animalcommencal
  • Registratie: juli 2015
  • Niet online
spone schreef op vrijdag 12 oktober 2018 @ 09:48:
Het is een beetje vreemd dat een power loss een vraag om de recovery key triggered, maar dat is blijkbaar een bij-effect van BitLocker als ik het zo lees her en der.

Mogelijk is Network Unlock iets? https://docs.microsoft.co...-to-enable-network-unlock
Nou ja, Bitlocker gebruik je voor sidechannel attacks, het zou raar zijn als je bij een powerloss (GEEN) recovery hoeft in te vullen....

  • TheVMaster
  • Registratie: juli 2001
  • Laatst online: 16:26

TheVMaster

Moderator WOS
F. Scaglietti schreef op Sunday 14 October 2018 @ 18:58:
[...]

Nou ja, Bitlocker gebruik je voor sidechannel attacks, het zou raar zijn als je bij een powerloss (GEEN) recovery hoeft in te vullen....
Ik ben geen security expert maar eh...waar zou een recovery key dan precies bij helpen? Als je de disk uit de machine zou halen (na een power loss) blijft hij encrypted en als hij na een power loss weer aan zou gaan en de disk zou unlocken, dan ben je nog niet op het systeem volgens mij.
Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True