Acties:
  • 0 Henk 'm!

  • martijnvanderh
  • Registratie: November 2011
  • Laatst online: 19-06 11:59
Hi all,

We zijn bij ons op kantoor kleinschalig aan het testen met Yubikeys.
Dit om te voorkomen dat boeventuig gestolen PC's kunnen uitlezen voor gevoelige informatie.

Wat we al hebben?
Mini PC met Windows 10 Pro. Hier zit in 1 SSD in.
Het is ons al gelukt om hier 2 accounts op te zetten. Ieder account heeft z'n eigen set van 2 yubikeys (1 voor gebruik, 1 voor backup in de kluis).
Ook is het gelukt om bitlocker in te stellen voor de OS drive.

We hebben de Yubikey 5 NFC keys.

Bij inloggen hoeven we alleen User + WW in te voeren terwijl de yubikey in de drive zit.

We lopen tegen een paar zaken aan.

1) Is er een mogelijkheid dat Yubico Login de laatste user onthoud? Nu moeten we steeds volledige user invullen.
2) Bitlocker encrypt de schijf alleen weer als er power off is. Bij log off is de schijf niet encrypted.
3) Grootste vraagstuk is op dit moment dat we graag zouden zien dat bij verwijderen van Yubikey de computer gelocked wordt en de schijf encrypt.

Zijn onze wensen haalbaar? Heeft iemand hier ervaring mee?

Is Yubikey nog wel helemaal geschikt voor en onze wensen? Of moeten we aan smartcards denken?
Zoiets: YouTube: How to Use Smart Card Log In using RapidIdentity MFA

Acties:
  • 0 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 06:22
1) Is er een mogelijkheid dat Yubico Login de laatste user onthoud? Nu moeten we steeds volledige user invullen.

Met Group policys is dit prima in te regelen. (Ook via de local GPO)

2) Bitlocker encrypt de schijf alleen weer als er power off is. Bij log off is de schijf niet encrypted.

Hoe zou dat moeten werken dan? Een schijf zal ge-deencrypt moeten zijn om gegevens uit te lezen. Als je systeem aanstaat is dat dus het geval.


3) Grootste vraagstuk is op dit moment dat we graag zouden zien dat bij verwijderen van Yubikey de computer gelocked wordt en de schijf encrypt.

Dit kan ook met een GPO

Cloud ☁️


Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

2: de opslag is versleuteld. Maar tijdens werken moet alles ontsleuteld worden om te gebruiken. Dus de sleutel zit in het slot. Dit heeft overigens weinig met Yubikey zelf van doen, dat wordt puur door Windows zelf afgehandeld.

3: zoeken bij google naar 'lock PC when yubikey removed' geeft allerhande tips :Y) Zoals https://sourceforge.net/projects/yubimonistd-gt/

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • +1 Henk 'm!

  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

martijnvanderh schreef op dinsdag 15 december 2020 @ 23:03:

2) Bitlocker encrypt de schijf alleen weer als er power off is. Bij log off is de schijf niet encrypted.
De schijf is altijd encrypted. Encryptie en decryptie gebeurt bij Bitlocker on the fly, in het RAM, maar de disk zelf blijft encrypted.