Bitlocker aanzetten op Microsoft Surface Pro 3

Ik probeer Bitlocker aan te zetten op een Microsoft Surface Pro 3. Windows 10 Pro is geïnstalleerd dus dat is niet het probleem.

Na het voor het eerst starten van Bitlocker en de zeg maar Systeemcontrole deed Bitlocker iets met de herstel partitie (het ging zo snel dat ik dat helaas hier niet kan melden) en dat resulteerde in de foutmelding:

U kunt de Windows Herstelomgeving niet meer gebruiken, tenzij deze handmatig wordt ingeschakeld en naar het systeemstattion wordt verplaatst.

In hetzelfde scherm met de foutmelding stond er echter wel een 'goed gegaan' vinkje voor Uw station voorbereiden voor Bitlocker. Beetje verwarrend.

Als ik vervolgens verder ga komt de volgende foutmelding in beeld:

Op deze pc wordt het invoeren van een Bitlocker-herstelwachtwoord tijdens het opstarten niet ondersteund. Vraag de beheerder de Windows Herstelomgeving te configureren, zodat u Bitlocker kunt gebruiken.

Googlen op die laatste foutmelding levert op dat een BIOS upgrade de oplossing zou zijn. Dat heb ik geprobeerd maar dat helpt niet.

Ik vrees dat het toch aan die herstelomgeving ligt. Probleem is alleen dat Bitlocker daar zelf mee aan de slag gaat.

Mel33 schreef op dinsdag 26 november 2019 @ 10:42:
Voor dat jij iets doet, aub maak een backup!!


We moeten wel wat meer weten.

Is het een schone machine?
kan zijn dat er malware op zit oid, this maar een vraag die even gecontroleerd moet worden.

Een schone lei is wel het beste om bitlocker aan te zetten btw.

Wat je kan doen is bitlocker uitzetten als het nu aan is, en de Surface helemaal naar fabrieksinstellingen herstellen en dan bitlocker weer eens proberen, maar ik hoop niet dat die herstel partitie nu verneukt is.
maar maak eerst die backup als er veel te bewaren valt!

De Surface is niet 'schoon' maar continue in gebruik. Diegene die m gebruikt heb ik gewezen op het gevaar van het gebruiken van Bitlocker als er iets mis gaat maar dat is geen issue. Ik kan de Surface dan terug zetten naar fabrieksinstellingen.

Ik heb gecontroleerd met 'manage-bde -status' of Bitlocker toch iets gedaan heeft maar de harde schijf is fully decrypted.

De vraag is even waarom Bitlocker uit zichzelf iets ging aanpassen op de harde schijf. Dat ging zo snel dat ik het niet kon volgen, ik heb alleen de foutmelding maar ook het vinkje dat het station gereed is voor Bitlocker. Dat is verwarrend.

Even terugkomend op de issue. TPM is actief op de Surface. Dat heb ik gecontroleerd door de status op te vragen met tpm.msc.

De Recovery key wordt opgeslagen op een USB-stick. Het is hier al een paar keer voorgekomen dat medewerkers hun PC/harde schijf niet konden unlocken omdat ze hun YubiKey niet bij zich hadden waar het wachtwoord op staat. Die USB-stick 'verhielp' dan dat probleem.

Op dit moment is dat voor de Surface echter nog geen optie want zover kom ik dus niet.

RKD schreef op zaterdag 30 november 2019 @ 21:24:
Er is een gpo setting die het mogelijk maakt om een pincode in te voeren op een tablet. Die moet aanstaan voor de Surface. Ik zoek hem wel ff op was iets met slate devices.

Dit is hem:
Enable use of BitLocker Authentication requiring preboot keyboard input on slates.

Zal ook wel in de local policy met gpedit.msc ingesteld kunnen worden.

Edit: Bitlocker heeft altijd een bepaalde preboot partitie nodig het kan zijn dat hij die geresized heeft in de wizard de eerste keer.

Ik zal die GPO setting even proberen.

Zoals ik al meldde paste Bitlocker inderdaad iets aan op de harde schijf. Dat ging echter zo snel dat ik er geen schermafdruk van kon maken.

Ik moet het topic toch weer heropenen.

Via schijfbeheer zag ik dat de Surface geen herstelpartitie had. Op mijn eigen Windows 10 PC was die wel aanwezig. Ik heb dit 'opgelost' door een volledige herinstallatie van Windows 10 uit te voeren. Daarbij werd de standaard herstel partitie van 500MB aangemaakt.

Vervolgens Bitlocker gestart. Dat ging nu zonder problemen behalve dat ik geen optie kreeg om een pincode in te voeren. Als je gebruik maakt van TPM is een pincode de makkelijkste optie. Ik probeerde dat achteraf te doen via een DOS prompt en dan manage-bde xxxxx. Dat leverde de foutmelding op dat op dit apparaat (de Surface) geen toetsenbord beschikbaar is in de preboot omgeving (lees Bitlocker). Door wat aanpassingen met een group policy kon ik toch zo een pincode invoeren. Via manage-bde -status kon ik zien dat dit inderdaag gelukt was.

Vervolgens de Surface herstart waarna het bitlocker scherm verscheen. Ik kon wel wat intypen maar dat werd niet geaccepteerd. Ik kon het ook maar 1 keer proberen, daarna moest ik direct bezig met de herstelsleutel die ik overigens alleen maar kon invoeren door een extern toetsenbord aan te sluiten. Ik heb dit 3 keer geprobeerd omdat een typefout snel gemaakt is. Alles wat ik daarna nog geprobeerd heb met een pincode lukt niet.

Daarna gekeken naar een andere methode om toch een soort authenticatie te doen. Nu via een USB-stick. Daar kon ik pas gebruik van maken na weer een wijziging via een group policy. Als ik nu echter die optie selecteer gebeurt er in feite niks. Ik heb de USB-stick achteraf onderzocht (ook gekeken naar de hidden files) maar daar is helemaal niks op gedaan.

Kortom, op de Surface is Bitlocker nu actief op de C:-schijf maar ik kan geen authenticatie methode gebruiken. Volgens mij is dit vrij zinloos.

Knee-Buckler schreef op vrijdag 6 december 2019 @ 11:27:
Je bedoeld die pin code die je intoetst bij het aanzetten van het device?

Waarom wil je die gebruiken? Omdat het er fancy uitziet? het gaat om de recovery key en deze heb je als het goed is ergens anders opgeslagen.

Die extra pincode is alleen maar kut de schjif is encrypted dus zonder die key die je ergens opgeslagen hebt kunnen ze er niet veel mee, behalve het device opstarten...

Het idee van Bitlocker aanzetten op de C:-schijf lijkt me juist dat iemand die de pincode niet weet in dit specifieke geval Windows niet kan starten. Het enige nut van bitlocker is nu dat iemand de harde schijf uit de Surface haalt en ergens anders probeert te gebruiken. Dat gaat dan niet werken.

[ Voor 10% gewijzigd door be3a18 op 06-12-2019 11:34 ]

Knee-Buckler schreef op vrijdag 6 december 2019 @ 11:35:
[...]


Je hebt toch Windows credentials? Als je die niet hebt dan zou ik het op een Surface wel aanraden.. omdat de bios pin gewoon niet werkt (want je hebt geen toetsenbord)

Voor iemand met fysieke toegang tot de Surface is dat, met name in het geval van Windows 10, en voor iemand met kennis van zaken een beveiliging van niks.

Zet mij achter zo'n PC en ik heb binnen een kwartier toegang. Misschien niet op het netwerk maar wel op de lokale harde schijf en alles wat daar staat.

Deze Surface hangt bij ons overigens in het Windows domein.

Knee-Buckler schreef op vrijdag 6 december 2019 @ 12:29:
[...]


Hoe wil je dat gaan doen dan? Om die beveiliging? met de utilman?? Of wat bedoel je met "een beveiliging van niks"

Maar beveiliging is ook niet waar bitlocker voor bedoeld is. Het is encryptie voor het beschermen tegen uitlezen met diefstal of wanneer het device verloren is.

Dan moet je een ander device halen, want op de Surface (zonder toetsenbord) is een bios pin niet mogelijk.

We willen gewoon niet dat op de Surface bij verlies of diefstal Windows gestart kan worden zoals het er nu op staat.

Een YubiKey emuleert een (extern) toetsenbord, gaat dat werken (ik kan het uiteraard gewoon gaan testen)?

Knee-Buckler schreef op vrijdag 6 december 2019 @ 12:37:
[...]


Heb ik geen ervaring mee, zul je dus gewoon moeten testen

Duidelijk, ik ga een poging doen.