BitLocker met TPM chip

Het is een beetje vreemd dat een power loss een vraag om de recovery key triggered, maar dat is blijkbaar een bij-effect van BitLocker als ik het zo lees her en der.

Mogelijk is Network Unlock iets? https://docs.microsoft.co...-to-enable-network-unlock

Bedoel je met een power loss gewoon het wegvallen van de stroom? Ik zie het wel eens bij laptops die wanneer je ze uitdrukt in recovery mode komen. Gewoon CTRL-ALT-DEL of nog weer even uitzetten, dan moeten ze gewoon doorstarten. Je hebt niets aangepast, dus ook geen reden om te recoveren.

Als dit niet werkt: TPM1.2 is redelijk bejaard. Wat voor systemen gaat het over? Wellicht los je een hoop problemen op door de BIOS/UEFI te upgraden naar de laatste versie en als mogelijk de TPM naar 2.0 om te zetten of sowieso te updaten. Veel oudere 1.2 systemen zit sowieso nog een kritieke bug in (Infineon chips, dacht ik)

michelsoe12 schreef op vrijdag 12 oktober 2018 @ 10:02:
[...]
Ik vindt dat ook vrij fors. Hij zal zijn state verloren zijn waardoor hij gelockt is. De bovenstaande oplossing is inderdaad mooi. Er staat mij wel bij dat dit niet werkt in combinatie met TPM 1.2. Weet jij dat zo?

Ik zie TPM 2.0 niet staan als harde requirement in de documentatie ervan, maar moet bekennen dat ik het nooit daadwerkelijk geïmplementeerd heb.

Verder nog iets om naar te kijken zijn de PCR flags (datgene wat BitLocker gebruikt om te bepalen of een systeem nog veilig is/niet mee getampered is). Volgens mij valt daar ook nog wel wat aan te tunen zodat de recovery mode uberhaupt niet triggered door een power loss. Is een beetje het idee de oorzaak van het probleem wegnemen ipv de symptomen bestrijden

Voor wat betreft 1.2 vs. 2.0: de meeste TPM chips zijn tegenwoordig 2.0 maar worden qua firmware op 1.2 gezet.
Je kan ze vaak ook wel forceren naar 2.0.

michelsoe12 schreef op Friday 12 October 2018 @ 09:42:
Hi allemaal.

Ik wil een groep werkplekken voorzien van bitlocker in combinatie met TPM versie 1.2. Groot voordeel is dat bij elke reboot je geen bitlocker password hoeft in te voeren om de machine op te starten.

Echter, wanneer de machine een power loss heeft gehad, dienen we de recovery key in te voeren.
Dit is ongewenst, gezien het een werkplek is waarbij je niet wilt dat bij een stroomstoring xxx aantal machines mogen voorzien van hun recovery key. (alles loopt zoals bij een normaal bedrijf via een ICT servicedesk)

Is dit anders op te lossen?

Waarom TPMs met versie 1.2..? Zijn het oudere machines? Ik weet dat de 'oudere' TPMs (v1.2 ipv 2.0) vaker dit soort 'vage' issues hebben.

alt-92 schreef op Friday 12 October 2018 @ 14:26:
Voor wat betreft 1.2 vs. 2.0: de meeste TPM chips zijn tegenwoordig 2.0 maar worden qua firmware op 1.2 gezet.
Je kan ze vaak ook wel forceren naar 2.0.

Inderdaad de 2.0 TPMs zijn al een aantal jaren op de markt. Waarom zouden ze trouwens in de firmware op 1.2 gezet worden? Dat slaat nergens op, aangezien Windows 10 perfect overweg kan met de 2.0 variant.

Misschien is dat bij Windows 7 anders, daar heb ik geen ervaring mee.....maar goed, Windows 7 gaat nog maar iets minder dan 18 mnd mee...

Om welk model laptop gaat het eigenlijk?

[Voor 29% gewijzigd door TheVMaster op 13-10-2018 00:20]

JackSparrow schreef op zaterdag 13 oktober 2018 @ 00:17:
[...]
Om welk model laptop gaat het eigenlijk?

Het gaat volgens mij niet perse om laptops, het zou ook een desktop kunnen zijn .

Puch-Maxi schreef op Saturday 13 October 2018 @ 01:21:
[...]

Het gaat volgens mij niet perse om laptops, het zou ook een desktop kunnen zijn .

Eh..natuurlijk, my bad..het kunnen natuurlijk ook desktops zijn.

No worries! Laptops hebben niet zo snel last van een power loss i.v.m. de accu, maar het kan natuurlijk wel.

Gezien 't schijnbaar om Windows machines gaat: Zijn die dingen ge-joined aan een Microsoft AD domein wat ondersteuning bied voor 't beheer van BitLockerKey's?

Als dat zo is dan zou een TPM 1.2 chip gewoon moeten werken.

[Voor 3% gewijzigd door Will_M op 13-10-2018 01:33]

Denk dat een UPS voor ieder werkstation of één per groepje ook geen optie is?
Vond elders deze threads:
• https://social.technet.mi...r-recovery?forum=mdopmbam
• https://social.technet.mi...on-systems?forum=mdopmbam

michelsoe12 schreef op Saturday 13 October 2018 @ 08:30:
[...]


De HP machines (z440) zijn inderdaad lid van het AD,en de keys worden keurig opgeslagen. Alleen wil je niet telkens een key invoeren als er stroomuitval is geweest.

Inmiddels is het gelukt tpm op 2.0 te krijgen, maar dit lost het probleem niet echt op.

Op zich zou TPM 2.0 minder last van 'recovery key' issues moeten hebben maar de vraag is nu wel waarom hebben je pc's zoveel last van stroomstoringen..? Dat is ook niet gezond natuurlijk.

michelsoe12 schreef op Saturday 13 October 2018 @ 17:23:
[...]


Ze hebben geen last van stroomstoring. Alleen willen wij niet xxx aantal systemen moeten voorzien van een recovery key als er wel een keer stroomstoring is . Dat is gewoon onbegonnen en dagelijks werk

Eh...dus we hebben het hier over iets wat MOGELIJK (en theoretisch) zou kunnen gebeuren in het geval van een stroomstoring....oké, dan is dat duidelijk.

Dan is het omwisselen voor laptops, of een UPS plaatsen de enige oplossing lijkt me....

Maar ff serieus, hoe vaak hebben we in NL nou last van een stroomstoring, dat is zowat verwaarloosbaar.

[Voor 16% gewijzigd door TheVMaster op 13-10-2018 19:34]

michelsoe12 schreef op Saturday 13 October 2018 @ 21:11:
[...]


Of het nou vaak voor komt of niet. Ik heb straks als beheerder geen zin om een paar honderd machines te voorzien van een recovery key. Dit kost trouwens ook klauwen vol met geld want medewerkers kunnen tot die tijd niks.

Eh....maar als dat echt zo vaak zou voorkomen, dan zouden we dat toch wel vaker gezien hebben in het wild. Maar ik neem aan dat jij dit hebt getest bij een (groot?) aantal machines en daarom weet dat dit probleem echt een probleem is?

Ik heb dit namelijk nog nooit gehoord...dat bedrijven dus massaal issues hadden met het moeten invullen van een recovery key in het geval van een stroomstoring....

Voor mijn gevoel ben je nu gewoon een probleem aan het maken van iets wat eigenlijk geen probleem is....of denk ik nu te makkelijk?

spone schreef op vrijdag 12 oktober 2018 @ 09:48:
Het is een beetje vreemd dat een power loss een vraag om de recovery key triggered, maar dat is blijkbaar een bij-effect van BitLocker als ik het zo lees her en der.

Mogelijk is Network Unlock iets? https://docs.microsoft.co...-to-enable-network-unlock

Nou ja, Bitlocker gebruik je voor sidechannel attacks, het zou raar zijn als je bij een powerloss (GEEN) recovery hoeft in te vullen....

Berlinetta schreef op Sunday 14 October 2018 @ 18:58:
[...]

Nou ja, Bitlocker gebruik je voor sidechannel attacks, het zou raar zijn als je bij een powerloss (GEEN) recovery hoeft in te vullen....

Ik ben geen security expert maar eh...waar zou een recovery key dan precies bij helpen? Als je de disk uit de machine zou halen (na een power loss) blijft hij encrypted en als hij na een power loss weer aan zou gaan en de disk zou unlocken, dan ben je nog niet op het systeem volgens mij.