Toon posts:

BitLocker met TPM chip

Pagina: 1
Acties:

  • Luchtbakker
  • Registratie: November 2011
  • Laatst online: 09-06 11:59
Hi allemaal.

Ik wil een groep werkplekken voorzien van bitlocker in combinatie met TPM versie 1.2. Groot voordeel is dat bij elke reboot je geen bitlocker password hoeft in te voeren om de machine op te starten.

Echter, wanneer de machine een power loss heeft gehad, dienen we de recovery key in te voeren.
Dit is ongewenst, gezien het een werkplek is waarbij je niet wilt dat bij een stroomstoring xxx aantal machines mogen voorzien van hun recovery key. (alles loopt zoals bij een normaal bedrijf via een ICT servicedesk)

Is dit anders op te lossen?

  • spone
  • Registratie: Mei 2002
  • Niet online
Het is een beetje vreemd dat een power loss een vraag om de recovery key triggered, maar dat is blijkbaar een bij-effect van BitLocker als ik het zo lees her en der.

Mogelijk is Network Unlock iets? https://docs.microsoft.co...-to-enable-network-unlock

  • cyberbetica
  • Registratie: Januari 2002
  • Laatst online: 24-06-2022

cyberbetica

DevOpsen? CloudNation.nl

Bedoel je met een power loss gewoon het wegvallen van de stroom? Ik zie het wel eens bij laptops die wanneer je ze uitdrukt in recovery mode komen. Gewoon CTRL-ALT-DEL of nog weer even uitzetten, dan moeten ze gewoon doorstarten. Je hebt niets aangepast, dus ook geen reden om te recoveren.

Als dit niet werkt: TPM1.2 is redelijk bejaard. Wat voor systemen gaat het over? Wellicht los je een hoop problemen op door de BIOS/UEFI te upgraden naar de laatste versie en als mogelijk de TPM naar 2.0 om te zetten of sowieso te updaten. Veel oudere 1.2 systemen zit sowieso nog een kritieke bug in (Infineon chips, dacht ik)

  • Luchtbakker
  • Registratie: November 2011
  • Laatst online: 09-06 11:59
spone schreef op vrijdag 12 oktober 2018 @ 09:48:
Het is een beetje vreemd dat een power loss een vraag om de recovery key triggered, maar dat is blijkbaar een bij-effect van BitLocker als ik het zo lees her en der.

Mogelijk is Network Unlock iets? https://docs.microsoft.co...-to-enable-network-unlock
Ik vindt dat ook vrij fors. Hij zal zijn state verloren zijn waardoor hij gelockt is. De bovenstaande oplossing is inderdaad mooi. Er staat mij wel bij dat dit niet werkt in combinatie met TPM 1.2. Weet jij dat zo?
cyberbetica schreef op vrijdag 12 oktober 2018 @ 09:52:
Bedoel je met een power loss gewoon het wegvallen van de stroom?
Ja :)
cyberbetica schreef op vrijdag 12 oktober 2018 @ 09:52:
Als dit niet werkt: TPM1.2 is redelijk bejaard. Wat voor systemen gaat het over? Wellicht los je een hoop problemen op door de BIOS/UEFI te upgraden naar de laatste versie en als mogelijk de TPM naar 2.0 om te zetten of sowieso te updaten.
Helaas is er geen upgrade beschikbaar vanuit HP om hem naar 2.0 te zetten. :'(

  • spone
  • Registratie: Mei 2002
  • Niet online
michelsoe12 schreef op vrijdag 12 oktober 2018 @ 10:02:
[...]
Ik vindt dat ook vrij fors. Hij zal zijn state verloren zijn waardoor hij gelockt is. De bovenstaande oplossing is inderdaad mooi. Er staat mij wel bij dat dit niet werkt in combinatie met TPM 1.2. Weet jij dat zo?
Ik zie TPM 2.0 niet staan als harde requirement in de documentatie ervan, maar moet bekennen dat ik het nooit daadwerkelijk geïmplementeerd heb.

Verder nog iets om naar te kijken zijn de PCR flags (datgene wat BitLocker gebruikt om te bepalen of een systeem nog veilig is/niet mee getampered is). Volgens mij valt daar ook nog wel wat aan te tunen zodat de recovery mode uberhaupt niet triggered door een power loss. Is een beetje het idee de oorzaak van het probleem wegnemen ipv de symptomen bestrijden :)

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Voor wat betreft 1.2 vs. 2.0: de meeste TPM chips zijn tegenwoordig 2.0 maar worden qua firmware op 1.2 gezet.
Je kan ze vaak ook wel forceren naar 2.0.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 09-06 14:00

TheVMaster

Moderator WOS
michelsoe12 schreef op Friday 12 October 2018 @ 09:42:
Hi allemaal.

Ik wil een groep werkplekken voorzien van bitlocker in combinatie met TPM versie 1.2. Groot voordeel is dat bij elke reboot je geen bitlocker password hoeft in te voeren om de machine op te starten.

Echter, wanneer de machine een power loss heeft gehad, dienen we de recovery key in te voeren.
Dit is ongewenst, gezien het een werkplek is waarbij je niet wilt dat bij een stroomstoring xxx aantal machines mogen voorzien van hun recovery key. (alles loopt zoals bij een normaal bedrijf via een ICT servicedesk)

Is dit anders op te lossen?
Waarom TPMs met versie 1.2..? Zijn het oudere machines? Ik weet dat de 'oudere' TPMs (v1.2 ipv 2.0) vaker dit soort 'vage' issues hebben.
alt-92 schreef op Friday 12 October 2018 @ 14:26:
Voor wat betreft 1.2 vs. 2.0: de meeste TPM chips zijn tegenwoordig 2.0 maar worden qua firmware op 1.2 gezet.
Je kan ze vaak ook wel forceren naar 2.0.
Inderdaad de 2.0 TPMs zijn al een aantal jaren op de markt. Waarom zouden ze trouwens in de firmware op 1.2 gezet worden? :? Dat slaat nergens op, aangezien Windows 10 perfect overweg kan met de 2.0 variant.

Misschien is dat bij Windows 7 anders, daar heb ik geen ervaring mee.....maar goed, Windows 7 gaat nog maar iets minder dan 18 mnd mee... _/-\o_

Om welk model laptop gaat het eigenlijk?

[Voor 29% gewijzigd door TheVMaster op 13-10-2018 00:20]


  • Puch-Maxi
  • Registratie: December 2003
  • Laatst online: 01:57
JackSparrow schreef op zaterdag 13 oktober 2018 @ 00:17:
[...]
Om welk model laptop gaat het eigenlijk?
Het gaat volgens mij niet perse om laptops, het zou ook een desktop kunnen zijn :).

My favorite programming language is solder.


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 09-06 14:00

TheVMaster

Moderator WOS
Puch-Maxi schreef op Saturday 13 October 2018 @ 01:21:
[...]

Het gaat volgens mij niet perse om laptops, het zou ook een desktop kunnen zijn :).
Eh..natuurlijk, my bad..het kunnen natuurlijk ook desktops zijn.

  • Puch-Maxi
  • Registratie: December 2003
  • Laatst online: 01:57
No worries! Laptops hebben niet zo snel last van een power loss i.v.m. de accu, maar het kan natuurlijk wel.

My favorite programming language is solder.


  • Will_M
  • Registratie: Maart 2004
  • Niet online

Will_M

Intentionally Left Blank

Gezien 't schijnbaar om Windows machines gaat: Zijn die dingen ge-joined aan een Microsoft AD domein wat ondersteuning bied voor 't beheer van BitLockerKey's?

Als dat zo is dan zou een TPM 1.2 chip gewoon moeten werken.

[Voor 3% gewijzigd door Will_M op 13-10-2018 01:33]

Boldly going forward, 'cause we can't find reverse


  • Luchtbakker
  • Registratie: November 2011
  • Laatst online: 09-06 11:59
wimmel_1 schreef op zaterdag 13 oktober 2018 @ 01:30:
Gezien 't schijnbaar om Windows machines gaat: Zijn die dingen ge-joined aan een Microsoft AD domein wat ondersteuning bied voor 't beheer van BitLockerKey's?

Als dat zo is dan zou een TPM 1.2 chip gewoon moeten werken.
De HP machines (z440) zijn inderdaad lid van het AD,en de keys worden keurig opgeslagen. Alleen wil je niet telkens een key invoeren als er stroomuitval is geweest.

Inmiddels is het gelukt tpm op 2.0 te krijgen, maar dit lost het probleem niet echt op.

  • Puch-Maxi
  • Registratie: December 2003
  • Laatst online: 01:57
Denk dat een UPS voor ieder werkstation of één per groepje ook geen optie is?
Vond elders deze threads:
https://social.technet.mi...r-recovery?forum=mdopmbam
https://social.technet.mi...on-systems?forum=mdopmbam

My favorite programming language is solder.


  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 09-06 14:00

TheVMaster

Moderator WOS
michelsoe12 schreef op Saturday 13 October 2018 @ 08:30:
[...]


De HP machines (z440) zijn inderdaad lid van het AD,en de keys worden keurig opgeslagen. Alleen wil je niet telkens een key invoeren als er stroomuitval is geweest.

Inmiddels is het gelukt tpm op 2.0 te krijgen, maar dit lost het probleem niet echt op.
Op zich zou TPM 2.0 minder last van 'recovery key' issues moeten hebben maar de vraag is nu wel waarom hebben je pc's zoveel last van stroomstoringen..? Dat is ook niet gezond natuurlijk.

  • Luchtbakker
  • Registratie: November 2011
  • Laatst online: 09-06 11:59
JackSparrow schreef op zaterdag 13 oktober 2018 @ 17:17:
[...]


Op zich zou TPM 2.0 minder last van 'recovery key' issues moeten hebben maar de vraag is nu wel waarom hebben je pc's zoveel last van stroomstoringen..? Dat is ook niet gezond natuurlijk.
Ze hebben geen last van stroomstoring. Alleen willen wij niet xxx aantal systemen moeten voorzien van een recovery key als er wel een keer stroomstoring is . Dat is gewoon onbegonnen en dagelijks werk

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 09-06 14:00

TheVMaster

Moderator WOS
michelsoe12 schreef op Saturday 13 October 2018 @ 17:23:
[...]


Ze hebben geen last van stroomstoring. Alleen willen wij niet xxx aantal systemen moeten voorzien van een recovery key als er wel een keer stroomstoring is . Dat is gewoon onbegonnen en dagelijks werk
Eh...dus we hebben het hier over iets wat MOGELIJK (en theoretisch) zou kunnen gebeuren in het geval van een stroomstoring....oké, dan is dat duidelijk.

Dan is het omwisselen voor laptops, of een UPS plaatsen de enige oplossing lijkt me....

Maar ff serieus, hoe vaak hebben we in NL nou last van een stroomstoring, dat is zowat verwaarloosbaar.

[Voor 16% gewijzigd door TheVMaster op 13-10-2018 19:34]


  • Luchtbakker
  • Registratie: November 2011
  • Laatst online: 09-06 11:59
JackSparrow schreef op zaterdag 13 oktober 2018 @ 19:32:
[...]


Eh...dus we hebben het hier over iets wat MOGELIJK (en theoretisch) zou kunnen gebeuren in het geval van een stroomstoring....oké, dan is dat duidelijk.

Dan is het omwisselen voor laptops, of een UPS plaatsen de enige oplossing lijkt me....

Maar ff serieus, hoe vaak hebben we in NL nou last van een stroomstoring, dat is zowat verwaarloosbaar.
Of het nou vaak voor komt of niet. Ik heb straks als beheerder geen zin om een paar honderd machines te voorzien van een recovery key. Dit kost trouwens ook klauwen vol met geld want medewerkers kunnen tot die tijd niks.

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 09-06 14:00

TheVMaster

Moderator WOS
michelsoe12 schreef op Saturday 13 October 2018 @ 21:11:
[...]


Of het nou vaak voor komt of niet. Ik heb straks als beheerder geen zin om een paar honderd machines te voorzien van een recovery key. Dit kost trouwens ook klauwen vol met geld want medewerkers kunnen tot die tijd niks.
Eh....maar als dat echt zo vaak zou voorkomen, dan zouden we dat toch wel vaker gezien hebben in het wild. Maar ik neem aan dat jij dit hebt getest bij een (groot?) aantal machines en daarom weet dat dit probleem echt een probleem is?

Ik heb dit namelijk nog nooit gehoord...dat bedrijven dus massaal issues hadden met het moeten invullen van een recovery key in het geval van een stroomstoring....

Voor mijn gevoel ben je nu gewoon een probleem aan het maken van iets wat eigenlijk geen probleem is....of denk ik nu te makkelijk?

  • Berlinetta
  • Registratie: Juli 2015
  • Niet online
spone schreef op vrijdag 12 oktober 2018 @ 09:48:
Het is een beetje vreemd dat een power loss een vraag om de recovery key triggered, maar dat is blijkbaar een bij-effect van BitLocker als ik het zo lees her en der.

Mogelijk is Network Unlock iets? https://docs.microsoft.co...-to-enable-network-unlock
Nou ja, Bitlocker gebruik je voor sidechannel attacks, het zou raar zijn als je bij een powerloss (GEEN) recovery hoeft in te vullen....

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 09-06 14:00

TheVMaster

Moderator WOS
Berlinetta schreef op Sunday 14 October 2018 @ 18:58:
[...]

Nou ja, Bitlocker gebruik je voor sidechannel attacks, het zou raar zijn als je bij een powerloss (GEEN) recovery hoeft in te vullen....
Ik ben geen security expert maar eh...waar zou een recovery key dan precies bij helpen? Als je de disk uit de machine zou halen (na een power loss) blijft hij encrypted en als hij na een power loss weer aan zou gaan en de disk zou unlocken, dan ben je nog niet op het systeem volgens mij.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee