TheVMaster schreef op vrijdag 22 september 2023 @ 18:45:
[...]
Nee, het is niet een stuk veiliger
Waar zegt Microsoft dat dan precies, ze gebruiken het zelf niet eens op hun ‘gemiddelde’ kantoorwerkplek volgens mij? Overigens gaat het vaak ook om een mix van veiligheid en gebruikersvriendelijkheid
Maar jij hebt blijkbaar graag erg tevreden gebruikers? Ik bedoel, hebben ze allemaal bedrijfsgeheimen op hun werk machines? Pfff…RDS, welkom in de wereld van de Moderne Werkplek. Nee, ik kan je verzekeren dat steeds minder klanten dat soort technieken (pre-boot pin en RDS) gebruiken.
Ja, tuurlijk is het veel veiliger.
Dacht je dat ze bij Microsoft dachten: laten we een functie toevoegen om je Bitlocker boot/systeem volume te ontgrendelen met een pincode maar het eigenlijk geen nut heeft
Hier zegt Microsoft dat oa
op deze pagina heel duidelijk:
Pre-boot authentication
Pre-boot authentication with BitLocker is a policy setting that requires the use of either user input, such as a PIN, a startup key, or both to authenticate prior to making the contents of the system drive accessible.
[...]
Pre-boot authentication is designed to prevent the encryption keys from being loaded to system memory without the trusted user supplying another authentication factor such as a PIN or startup key. This feature helps mitigate DMA and memory remanence attacks.
Memory remanence
Enable secure boot and mandatorily prompt a password to change BIOS settings. For customers requiring protection against these advanced attacks, configure a TPM+PIN protector, disable Standby power management, and shut down or hibernate the device before it leaves the control of an authorized user.
Attacker with skill and lengthy physical access
Targeted attack with plenty of time; this attacker will open the case, will solder, and will use sophisticated hardware or software.
Mitigation:
- Pre-boot authentication set to TPM with a PIN protector (with a sophisticated alphanumeric PIN [enhanced pin] to help the TPM anti-hammering mitigation).
Andere links:
Stack Exchange Information Security 1
Stack Exchange Information Security 2:
In addition, you can require a pin code or password, which will improve security quite a lot, as the pin code or password will be required in addition to the TPM if configured correctly.
En ja, tuurlijk heeft de gemiddelde werknemer bedrijfsgeheimen op zijn laptop staan. Denk aan offertes, inkoopkosten/prijzen en verkoopkosten/prijzen, persoongegevens etc. Als het remote staat op een cloud of RDS omgeving kan dat natuurlijk anders zijn. Maar ik kom dan toch regelmatig tegen dat mensen data toch even op hun eigen laptop zetten.
En uiteraard gaat misschien het merendeel van mensen die een laptop stelen of vinden niet heel veel werk stoppen in toegang zoeken tot de data.
Ik gebruik Bitlocker pre-boot PIN ook alleen op laptops, op desktops/workstations wordt wel Bitlocker encryptie gebruikt zonder PIN omdat die het pand niet verlaten en dus veel minder kans op datalek. Waar ik wel benieuwd naar ben is of je als een medewerker zijn laptop kwijtraakt of wordt gestolen dit moet melden als datalek...
hier lijken ze van wel te zeggen. Maar met Bitlocker PIN lijkt het mij absoluut niet nodig.
Tot slot, uiteraard uitgaande dat er (bedrijfs)data op een laptop staat. Als een laptop met Bitlocker zonder PIN opstart is het hele volume toch ontgrendeld. Op het loginscherm kan je de laptop al direct verbinden met WiFi of natuurlijk via een netwerkkabel. Als er ergens in het OS of software een lek zit die bekend is kan je die uitbuiten om wellicht toegang te krijgen tot het volume (afhankelijk van het type lek). Maar het kan ook eenvoudig een user fout zijn, bijv iemand die file sharing iets te ver open heeft staan of zijn firewall even heeft uitgezet oid..
Tja, misschien allemaal ver gezocht maar voor mijn gebruikers is de Bitlocker pincode meestal hetzelfde als de Windows pincode, Nou nou wat een moeite voor gebruikers om de pincode 1 keer extra in te moeten voeren zeg...
Moderne werkplek: wat versta
jij daaronder?
Voor mij is het een marketing hype term. We werken toch al jaren zo dat je overal kan werken...
Google eens op Moderne Werkplek of Modern Workplace: het blijft allemaal een vaag marketing verhaal waarin vaak alleen wordt genoemd dat je in Microsoft 365 draait. Ja duh... wie niet?!
De Moderne Werkplek is imho ook verzonnen om ons IT dienstverleners (veel) meer geld te laten verdienen over de rug van hun klanten.
[
Voor 13% gewijzigd door
Urk op 24-09-2023 01:00
]
:strip_exif()/u/290839/crop5b757283a589c_cropped.gif?f=community)
/u/13585/crop66dc35d57b464_cropped.png?f=community)
/u/30465/billgates2.PNG?f=community)
:strip_icc():strip_exif()/u/797597/crop5d62c8df1cd63_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/27863/325159.jpg?f=community)
:strip_icc():strip_exif()/u/312286/crop643543554636e_cropped.jpg?f=community)
.
:strip_icc():strip_exif()/u/4421/sas.jpg?f=community)
/u/217664/crop57a47149436c0_cropped.png?f=community)
:strip_icc():strip_exif()/u/782695/crop671b96fb75045_cropped.jpg?f=community)
/u/97359/crop64803232ade4a_cropped.png?f=community)
:strip_exif()/u/834/bianchi_logo2.gif?f=community){kind=logo}
:strip_icc():strip_exif()/u/335968/crop57d2c94ca341d_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/403510/tweakers.net.jpg?f=community)
![[Afbeelding]](https://tweakers.net/i/C_9RKz8wqdtH-RQgb-ZVTs4kdHY=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/or30fCPWFTmuBD2sLqyAn7jG.jpg?f=user_large){kind=link}