Bitlocker automatisch unlocken

donderdag 21 maart 2019 08:43

Acties:

0 Henk 'm!

omdat het KAN

Topicstarter

Sinds kort heb ik van het werk een andere pc, een HP Elitebook Folio 1040 G4. Hiervoor had ik de G1 versie van dezelfde laptop. Daar had ik bitlocker op geactiveerd maar ik hoefde nooit een pin in te voeren. Op mijn nieuwe laptop heb ik ook bitlocker actief, maar moet ik elke keer een pre-boot pincode invoeren. Dat vind ik niet erg handig. Ten eerste is mijn Windows Hello dan feitelijk waardeloos en ten tweede werkt de pre-boot pin ook alleen met het ingebouwde toetsenbord van de laptop en niet met mijn usb-toetsenbord. Onhandig.

Ik heb gekeken of ik de pre-boot pin kan uitschakelen, maar dat is nog niet zo makkelijk. Bitlocker zelf kan ik wel in- en uitschakelen, maar de pin niet. Ik heb geprobeerd via de command line:

C:\WINDOWS\system32>Enable-BitLockerAutoUnlock
'Enable-BitLockerAutoUnlock' is not recognized as an internal or external command,
operable program or batch file.

En in Powershell:

PS C:\WINDOWS\system32> manage-bde -autounlock -enable C:
BitLocker Drive Encryption: Configuration Tool version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ERROR: Automatic unlocking cannot be used on the OS volume.

Lijkt dus niet te werken, maar op mijn oude machine had ik het wel werkend. Waar moet ik zoeken?

... en gaat over tot de orde van de dag

donderdag 21 maart 2019 08:47

Acties:

0 Henk 'm!

HKLM_

Gebruik je wel de TPM chip?

Cloud ☁️

donderdag 21 maart 2019 08:49

Acties:

+2 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

P_Tingen schreef op donderdag 21 maart 2019 @ 08:43:
Waar moet ik zoeken?

Bij de IT afdeling van je werk? Een beveiligingsfeature uitschakelen op je werklaptop lijkt me niet iets wat je op eigen houtje zou moeten doen.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

donderdag 21 maart 2019 08:55

Acties:

+2 Henk 'm!

Verwijderd

Als je een pin moet invoeren betekend dat dat je TPM chip er of
-niet is of
-niet ingeschakeld is of
-niet goed werkt

donderdag 21 maart 2019 09:01

Acties:

0 Henk 'm!

Androo

Verwijderd schreef op donderdag 21 maart 2019 @ 08:55:
Als je een pin moet invoeren betekend dat dat je TPM chip er of
-niet is of
-niet ingeschakeld is of
-niet goed werkt

Of dat het gewoon ingesteld is door de systeembeheerders.
Bij ons gebruiken we ook een Pin voor de bitlocker op laptops.
Voor workstations gebruiken we bitlocker zonder pin.

Lijkt me niet handig dat je dit op eigen houtje gaat / wilt uitschakelen, zonder tussenkomst van je systeembeheerders. Er zal vast een valide reden zijn waarom ze dit hebben ingeschakeld.

donderdag 21 maart 2019 09:05

Acties:

0 Henk 'm!

WrR0n

Op site van HP staat onder Security dat er een Trusted platform Module (TPM) 2.0 chip aanwezig is. Bron: https://support.hp.com/za-en/document/c05719413

Androo schreef op donderdag 21 maart 2019 @ 09:01:
[...]

Of dat het gewoon ingesteld is door de systeembeheerders.
Bij ons gebruiken we ook een Pin voor de bitlocker op laptops.
Voor workstations gebruiken we bitlocker zonder pin.

Lijkt me niet handig dat je dit op eigen houtje gaat / wilt uitschakelen, zonder tussenkomst van je systeembeheerders. Er zal vast een valide reden zijn waarom ze dit hebben ingeschakeld.

Net als @Androo zegt het kan zijn dat de systeembeheerders het zo ingesteld heeft. Je kan altijd aan je systeembeheerder vragen waarom het zo is dat je nu pin moet invullen dat je wel tmp chip hebt.

donderdag 21 maart 2019 09:11

Acties:

0 Henk 'm!

P_Tingen

omdat het KAN

Topicstarter

Mijn laptop heeft een TPM chip en die lijkt goed te werken, tenminste, als ik in apparaatbeheer kijk en in de instellingen van Windows zelf:
Afbeeldingslocatie: https://i.imgur.com/V4yAcFG.png

Afbeeldingslocatie: https://i.imgur.com/V4yAcFG.png

Tenzij die onderste twee 'Not ready' meldingen betekenen dat ik iets moet doen.

En ik ben een voorstander van dingen overlaten aan mensen die er verstand van hebben, alleen is mijn vertrouwen in de IT afdeling wel wat gedaald nadat mijn laptop van een nieuw image is voorzien. Dat was kennelijk nodig omdat we overgaan naar een nieuwe helpdesk en die wilde dat. Toen ik mijn laptop terugkreeg deden heel veel zaken het niet; webcam deed het niet, Windows Hello werkte niet, instellingen waren niet beschikbaar in het Nederlands, tweede monitor gaf geen beeld, vpn/skype/antivirus werkten niet.

En ik wil Bitlocker niet uitzetten, ik wil alleen automatisch aanmelden. Het is niet dat ik staatsgeheimen op mijn laptop heb of zo, dus de beveiliging moet wel een beetje leuk blijven.

WrR0n schreef op donderdag 21 maart 2019 @ 09:05:
Je kan altijd aan je systeembeheerder vragen waarom het zo is dat je nu pin moet invullen dat je wel tmp chip hebt.

Toen ik opmerkte dat Windows Hello niet werkte met mijn camera keek de herinstallateur mij domverbaasd aan en vroeg mij "Kan dat dan uberhaupt?". Als je niet eens wéét dat dat kan, dan heb ik er niet heel veel vertrouwen in

[ Voor 18% gewijzigd door P_Tingen op 21-03-2019 09:14 ]

... en gaat over tot de orde van de dag

donderdag 21 maart 2019 09:16

Acties:

0 Henk 'm!

HKLM_

P_Tingen schreef op donderdag 21 maart 2019 @ 09:11:
Mijn laptop heeft een TPM chip en die lijkt goed te werken, tenminste, als ik in apparaatbeheer kijk en in de instellingen van Windows zelf:
[Afbeelding]
Tenzij die onderste twee 'Not ready' meldingen betekenen dat ik iets moet doen.

En ik ben een voorstander van dingen overlaten aan mensen die er verstand van hebben, alleen is mijn vertrouwen in de IT afdeling wel wat gedaald nadat mijn laptop van een nieuw image is voorzien. Dat was kennelijk nodig omdat we overgaan naar een nieuwe helpdesk en die wilde dat. Toen ik mijn laptop terugkreeg deden heel veel zaken het niet; webcam deed het niet, Windows Hello werkte niet, instellingen waren niet beschikbaar in het Nederlands, tweede monitor gaf geen beeld, vpn/skype/antivirus werkten niet.

En ik wil Bitlocker niet uitzetten, ik wil alleen automatisch aanmelden. Het is niet dat ik staatsgeheimen op mijn laptop heb of zo, dus de beveiliging moet wel een beetje leuk blijven.

Misschien geen staatsgeheimen maar wel bedrijfsgeheimen. Bij ons is Windows Hello, inloggen met pincode etc ook allemaal uitgeschakeld. Webcam kan in in bepaalde bedrijven ook nog wel bedenken dat je die uit wilt hebben. Ik zou gewoon eens vragen of het niet anders kan want dan heb je nog niet gedaan zo te horen.

Cloud ☁️

donderdag 21 maart 2019 09:16

Acties:

+1 Henk 'm!

Wish

ingwell

P_Tingen schreef op donderdag 21 maart 2019 @ 09:11:
Mijn laptop heeft een TPM chip en die lijkt goed te werken, tenminste, als ik in apparaatbeheer kijk en in de instellingen van Windows zelf:
[Afbeelding]
Tenzij die onderste twee 'Not ready' meldingen betekenen dat ik iets moet doen.

En ik ben een voorstander van dingen overlaten aan mensen die er verstand van hebben, alleen is mijn vertrouwen in de IT afdeling wel wat gedaald nadat mijn laptop van een nieuw image is voorzien. Dat was kennelijk nodig omdat we overgaan naar een nieuwe helpdesk en die wilde dat. Toen ik mijn laptop terugkreeg deden heel veel zaken het niet; webcam deed het niet, Windows Hello werkte niet, instellingen waren niet beschikbaar in het Nederlands, tweede monitor gaf geen beeld, vpn/skype/antivirus werkten niet.

En ik wil Bitlocker niet uitzetten, ik wil alleen automatisch aanmelden. Het is niet dat ik staatsgeheimen op mijn laptop heb of zo, dus de beveiliging moet wel een beetje leuk blijven.

Maar je vraagt de Tweakers wel om hulp om de policies van je bedrijf te omzeilen. Dat zou mij een pittig gesprek opleveren met de CISO of een dergelijke rol. In de meeste gevallen is dat namelijk expliciet verboden (o.a. in het bedrijfsreglement).

Vraag het de beheerder. Als die zegt dat hij je kan helpen... mooi. Als die zegt dat het beleid is en dat je er mee te dealen hebt, dan weet je dat ook.

No drama

donderdag 21 maart 2019 09:17

Acties:

+1 Henk 'm!

dehardstyler

P_Tingen schreef op donderdag 21 maart 2019 @ 09:11:
Mijn laptop heeft een TPM chip en die lijkt goed te werken, tenminste, als ik in apparaatbeheer kijk en in de instellingen van Windows zelf:
[Afbeelding]
Tenzij die onderste twee 'Not ready' meldingen betekenen dat ik iets moet doen.

En ik ben een voorstander van dingen overlaten aan mensen die er verstand van hebben, alleen is mijn vertrouwen in de IT afdeling wel wat gedaald nadat mijn laptop van een nieuw image is voorzien. Dat was kennelijk nodig omdat we overgaan naar een nieuwe helpdesk en die wilde dat. Toen ik mijn laptop terugkreeg deden heel veel zaken het niet; webcam deed het niet, Windows Hello werkte niet, instellingen waren niet beschikbaar in het Nederlands, tweede monitor gaf geen beeld, vpn/skype/antivirus werkten niet.

En ik wil Bitlocker niet uitzetten, ik wil alleen automatisch aanmelden. Het is niet dat ik staatsgeheimen op mijn laptop heb of zo, dus de beveiliging moet wel een beetje leuk blijven.

[...]

Toen ik opmerkte dat Windows Hello niet werkte met mijn camera keek de herinstallateur mij domverbaasd aan en vroeg mij "Kan dat dan uberhaupt?". Als je niet eens wéét dat dat kan, dan heb ik er niet heel veel vertrouwen in

Ik heb dit al eens in een Dell laptop opgelost, door naar apparaatbeheer te gaan en dan daar naar TPM zoeken. Daar gooi je dan de TPM driver weg ( die van Microsoft is ) en dan laat je daarna Windows Update naar een nieuwe zoeken. Dan wordt de driver vervangen en werkt het misschien. Anders even de HP driver op de HP driver website zoeken en dan die proberen!

Maar ik denk dat weggooien en automatisch zoeken voldoende is!

donderdag 21 maart 2019 09:17

Acties:

0 Henk 'm!

HKLM_

dehardstyler schreef op donderdag 21 maart 2019 @ 09:17:
[...]

Ik heb dit al eens in een Dell laptop opgelost, door naar apparaatbeheer te gaan en dan daar naar TPM zoeken. Daar gooi je dan de TPM driver weg ( die van Microsoft is ) en dan laat je daarna Windows Update naar een nieuwe zoeken. Dan wordt de driver vervangen en werkt het misschien. Anders even de HP driver op de HP driver website zoeken en dan die proberen!

Maar ik denk dat weggooien en automatisch zoeken voldoende is!

Moet je er wel vanuit gaan dat hij local admin is en dat hoop ik toch niet

bedrijven die hun medewerkers local admin rechten geven leven echt onder een steen

[ Voor 6% gewijzigd door HKLM_ op 21-03-2019 09:18 ]

Cloud ☁️

donderdag 21 maart 2019 09:19

Acties:

0 Henk 'm!

dehardstyler

HKLM_ schreef op donderdag 21 maart 2019 @ 09:17:
[...]

Moet je er wel vanuit gaan dat hij local admin is en dat hoop ik toch niet

Ja dat is uiteraard waar.

edit: @HKLM_ Ik werk bij een groot bedrijf in de energie en oliesector en ben local admin.

[ Voor 17% gewijzigd door dehardstyler op 21-03-2019 09:20 ]

donderdag 21 maart 2019 09:20

Acties:

0 Henk 'm!

WrR0n

Als medewerker moet je je houden aan de afspraken die IT afdeling heeft. Meestal is er goed overleg geweest om dingen uit te zetten in Windows.

donderdag 21 maart 2019 09:21

Acties:

+1 Henk 'm!

P_Tingen

omdat het KAN

Topicstarter

HKLM_ schreef op donderdag 21 maart 2019 @ 09:17:
[...]
Moet je er wel vanuit gaan dat hij local admin is en dat hoop ik toch niet bedrijven die hun medewerkers local admin rechten geven leven echt onder een steen

Jazeker ben ik local admin. Als ontwikkelaar wil je dat ook omdat je met enige regelmaat dingen moet installeren. Bij de vorige klant waar ik zat hebben ze het een tijdje geprobeerd om de ontwikkelaars geen local admin te maken, maar kwamen ze al heel snel op terug. Daarnaast ben ik 100% van de tijd buiten de deur, gedetacheerd. Dus ik moet mezelf wel kunnen redden 'in het veld'.

... en gaat over tot de orde van de dag

donderdag 21 maart 2019 09:21

Acties:

0 Henk 'm!

dehardstyler

P_Tingen schreef op donderdag 21 maart 2019 @ 09:21:
[...]

Jazeker ben ik local admin. Als ontwikkelaar wil je dat ook omdat je met enige regelmaat dingen moet installeren. Bij de vorige klant waar ik zat hebben ze het een tijdje geprobeerd om de ontwikkelaars geen local admin te maken, maar kwamen ze al heel snel op terug. Daarnaast ben ik 100% van de tijd buiten de deur, gedetacheerd. Dus ik moet mezelf wel kunnen redden 'in het veld'.

Hier inderdaad hetzelfde.

donderdag 21 maart 2019 09:29

Acties:

0 Henk 'm!

P_Tingen

omdat het KAN

Topicstarter

Even als context: bij mijn vorige computer heb ik uiteindelijk alles eraf gegooid qua beveiliging en vervangen door open source / standaard windows zaken. Dat zal de puristen hier vreselijk in de oren klinken maar ik had een bedrijfs-AV die geen updates kreeg omdat ik niet op het bedrijfsdomein zat. Daarnaast kreeg ik elke dag een systeemscan te zien die standaard bleef hangen vanwege dezelfde reden. Ik ben een van de weinige gedetacheerden bij ons en onze systemen houden er simpelweg geen rekening mee. Ik moet mezelf dus wel zien te redden.

... en gaat over tot de orde van de dag

donderdag 21 maart 2019 09:32

Acties:

0 Henk 'm!

Wish

ingwell

P_Tingen schreef op donderdag 21 maart 2019 @ 09:29:
Even als context: bij mijn vorige computer heb ik uiteindelijk alles eraf gegooid qua beveiliging en vervangen door open source / standaard windows zaken. Dat zal de puristen hier vreselijk in de oren klinken maar ik had een bedrijfs-AV die geen updates kreeg omdat ik niet op het bedrijfsdomein zat. Daarnaast kreeg ik elke dag een systeemscan te zien die standaard bleef hangen vanwege dezelfde reden. Ik ben een van de weinige gedetacheerden bij ons en onze systemen houden er simpelweg geen rekening mee. Ik moet mezelf dus wel zien te redden.

Als jij mij een ondertekend schrijven laat zien van de persoon verantwoordelijk voor het beveiligen van de informatie vanuit je organisatie die zegt dat je dit mag, ga ik anders naar je vraag kijken. Ik ben geen purist, maar je schendt wel de afspraken die je hebt gemaakt met het bedrijf waarvoor je werkt zo te horen. Maar proof me wrong

No drama

donderdag 21 maart 2019 09:40

Acties:

0 Henk 'm!

P_Tingen

omdat het KAN

Topicstarter

Wish schreef op donderdag 21 maart 2019 @ 09:32:
[...]
Als jij mij een ondertekend schrijven laat zien van de persoon verantwoordelijk voor het beveiligen van de informatie vanuit je organisatie die zegt dat je dit mag, ga ik anders naar je vraag kijken. Ik ben geen purist, maar je schendt wel de afspraken die je hebt gemaakt met het bedrijf waarvoor je werkt zo te horen. Maar proof me wrong

Kennelijk ben jij beter op de hoogte van de afspraken die ik met mijn werkgever heb dan ikzelf, dus laat jij ze maar aan mij zien dan

... en gaat over tot de orde van de dag

donderdag 21 maart 2019 09:42

Acties:

+1 Henk 'm!

Wish

ingwell

P_Tingen schreef op donderdag 21 maart 2019 @ 09:40:
[...]

Kennelijk ben jij beter op de hoogte van de afspraken die ik met mijn werkgever heb dan ikzelf, dus laat jij ze maar aan mij zien dan

Nee, daar ben ik niet van op de hoogte - vandaar de vraag om ze openbaar te maken. Anders vraag je ons je te helpen met die afspraken te omzeilen.

No drama

donderdag 21 maart 2019 09:47

Acties:

0 Henk 'm!

P_Tingen

omdat het KAN

Topicstarter

Een van de afspraken is dat ik geen bedrijfsdocumenten op openbare media zet, dus het publiceren van de ICT Gedragsregels hier, zou al een overtreding zijn van diezelfde regels.

Daarnaast vind ik het lief dat iedereen hier zo begaan is met hoe het eigenlijk 'heurt', maar vergeet niet dat ik

a) niet iets strafbaars doe of wil doen en
b) dat het MIJN verantwoordelijkheid is hoe ik omga met de ICT regels van mijn bedrijf.

Dus alle goedbedoelde reacties hier ten spijt: ik stel gewoon een technische vraag; niet wat jullie van mijn acties vinden.

... en gaat over tot de orde van de dag

donderdag 21 maart 2019 09:51

Acties:

+1 Henk 'm!

Wish

ingwell

P_Tingen schreef op donderdag 21 maart 2019 @ 09:47:

b) dat het MIJN verantwoordelijkheid is hoe ik omga met de ICT regels van mijn bedrijf.

Ja, en het is jouw verantwoordelijkheid je ook aan het Tweakers beleid te houden

No drama

donderdag 21 maart 2019 09:55

Acties:

0 Henk 'm!

tweakict

Succes bij je systeembeheerder(s). Ik verwacht niet dat iemand hier gaat ondersteunen bij het omzeilen van policy's gedefinieerd door de systeembeheerder(s).

Het is inderdaad jouw eigen verantwoording; maar als ik hier achter zou komen, als beheerder, dan stuur ik toch echt aan op een gesprekje met HR (lees: officiële waarschuwing / exit gesprek, conform wangedrag inzake ICT beleid).

Dat jij geen vertrouwen meer hebt in de supportafdeling is eigenlijk bijzaak en dien je aan te kaarten bij de leidinggevende van die afdeling.

Succes!

donderdag 21 maart 2019 09:57

Acties:

0 Henk 'm!

Brilsmurfffje

Parttime Prutser

Die preboot pin is een extra beveiliging bovenop de werking van de TPM chip. Ik zou bij ICT en je manager neerleggen dat het een onwerkbaar apparaat oplevert voor jou. Maar ik betwijfel of je hierom een sterke case kan maken voor jezelf.

donderdag 21 maart 2019 10:13

Acties:

0 Henk 'm!

P_Tingen

omdat het KAN

Topicstarter

Wish schreef op donderdag 21 maart 2019 @ 09:51:
[...]
Ja, en het is jouw verantwoordelijkheid je ook aan het Tweakers beleid te houden

Touché

Ik neem het wel even op met de Helpdesk. Dank in ieder geval voor het meedenken

... en gaat over tot de orde van de dag

donderdag 21 maart 2019 13:47

Acties:

0 Henk 'm!

Jester-NL

... pakt een botte bijl

Als ik zoek op het disablen van een pre-boot PIN in bootlocker wordt mij vriendelijk verteld dat zulks via een group policy wordt geregeld. En ik denk dat je post van half tien duidelijk maakt waarom je nu wel en eerder niet tegen dit issue aanliep

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

donderdag 21 maart 2019 23:38

Acties:

+1 Henk 'm!

TheVMaster

Moderator WOS

Androo schreef op Thursday 21 March 2019 @ 09:01:
[...]

Of dat het gewoon ingesteld is door de systeembeheerders.
Bij ons gebruiken we ook een Pin voor de bitlocker op laptops.
Voor workstations gebruiken we bitlocker zonder pin.

Lijkt me niet handig dat je dit op eigen houtje gaat / wilt uitschakelen, zonder tussenkomst van je systeembeheerders. Er zal vast een valide reden zijn waarom ze dit hebben ingeschakeld.

Pre-boot PIN is op zich niet echt iets wat een extra beveiligingslaag toevoegd, in ieder geval niet op recente modellen laptops (waarbij geen DMA poorten meer aanwezig zijn, daarnaast kun je die poorten ook met een GPO uitschakelen als de machine gelocked is).

Brilsmurfffje schreef op Thursday 21 March 2019 @ 09:57:
Die preboot pin is een extra beveiliging bovenop de werking van de TPM chip. Ik zou bij ICT en je manager neerleggen dat het een onwerkbaar apparaat oplevert voor jou. Maar ik betwijfel of je hierom een sterke case kan maken voor jezelf.

Lees anders hier even. Pre-boot PIN is in veel gevallen een klein beetje een spelbreker voor de end-user experience en heeft voor de gemiddelde geruiker meer nadelen dan voordelen. Tuurlijk zijn er vast 'top secret' systemen waarbij je er voor zou kunnen pleiten, maar wij adviseren eigenlijk altijd om hem niet by-default in te schakelen.

[ Voor 36% gewijzigd door TheVMaster op 21-03-2019 23:46 ]

vrijdag 22 maart 2019 01:40

Acties:

0 Henk 'm!

Thralas

P_Tingen schreef op donderdag 21 maart 2019 @ 08:43:
Lijkt dus niet te werken, maar op mijn oude machine had ik het wel werkend. Waar moet ik zoeken?

In ieder geval niet bj de auto unlock setting. Die is expliciet bedoeld voor data drives. Voor een secundaire disk die je automatisch wilt unlocken bijvoorbeeld.

Wat dan wel? Volgens mij is Add-BitLockerKeyProtector hier handig qua documentatie.

Bitlocker kent verschillende protectors, welke je ook met manage-bde kunt toevoegen en verwijderen.

Blijkbaar gebruik je nu tpmandpin en wil je tpm. Ik heb geen ervaring met Bitlocker, maar ik zou de tpm protector proberen te adden, en dan tpmandpin verwijderen.

vrijdag 22 maart 2019 03:10

Acties:

0 Henk 'm!

Snake

Los Angeles, CA, USA

Werkt dit:

Run > tpm.msc

Rechtsboven > Prepare TPM?

ZORG DAT JE BACKUPS HEBT VAN JE KEY!

[ Voor 25% gewijzigd door Snake op 22-03-2019 03:10 ]

Going for adventure, lots of sun and a convertible! | GMT-8

Vraag

Alle reacties