Staat bitlocker key op schijf zelf of in windows?

Als je de schijf aankoppelt aan een ander windows systeem zal gevraagd worden om de BitLocker key

Bitlocker 2Go:
For removable data drives, the recovery password and recovery key can be saved to a folder, saved to your Microsoft Account, or printed. By default, you cannot store a recovery key for a removable drive on a removable drive.

Src:
https://docs.microsoft.co...locker-key-management-faq

Even goed testen voordat je met echte data gaat spelen... Een andere optie is Veracrypt container based encryptie. Eventueel als portable app beschikbaar en het voordeel van multi-OS support.

[ Voor 39% gewijzigd door sh4d0wman op 12-09-2022 02:49 ]

Voor een externe schijf zou ik echt geen Bitlocker gebruiken. (Voor een interne schijf trouwens ook niet). Er zijn me iets te vaak mensen data kwijtgeraakt omdat ze de key per ongeluk hebben weggegooid of nooit opgeslagen omdat ze dachten dat het niet belangrijk was.

Gebruik Veracrypt, makkelijker kan het niet. Schijf eraan, volume mounten (alleen het wachtwoord intypen is genoeg) en je kunt bij je data. Bitlocker doet veel te moeilijk met dat key management, dat is helemaal niet geschikt voor eindgebruikers.

PhilipsFan schreef op maandag 12 september 2022 @ 03:05:
Gebruik Veracrypt, makkelijker kan het niet. Schijf eraan, volume mounten (alleen het wachtwoord intypen is genoeg) en je kunt bij je data.

Da's dus identiek aan bitlocker to go....

As with BitLocker, you can open drives that are encrypted by BitLocker To Go by using a password or smart card on another computer.

PhilipsFan schreef op maandag 12 september 2022 @ 03:05:
Voor een externe schijf zou ik echt geen Bitlocker gebruiken. (Voor een interne schijf trouwens ook niet). Er zijn me iets te vaak mensen data kwijtgeraakt omdat ze de key per ongeluk hebben weggegooid of nooit opgeslagen omdat ze dachten dat het niet belangrijk was.

Gebruik Veracrypt, makkelijker kan het niet. Schijf eraan, volume mounten (alleen het wachtwoord intypen is genoeg) en je kunt bij je data. Bitlocker doet veel te moeilijk met dat key management, dat is helemaal niet geschikt voor eindgebruikers.

Wat is het verschil tussen een sleutel en een wachtwoord?

DeTeraarist schreef op maandag 12 september 2022 @ 18:20:
[...]

Wat is het verschil tussen een sleutel en een wachtwoord?

Een wachtwoord is gewoon dat wat het is, een wachtwoord. Met een Veracrypt volume kun je met een wachtwoord bij je gegevens.

Bitlocker maakt het allemaal zo moeilijk. Hij maakt een sleutel aan en slaat die ergens op je PC op. En versleutelt de sleutel vervolgens met een wachtwoord. Waardoor jij denkt dat je met je wachtwoord bij je bestanden kunt. Als je de schijf vervolgens in een andere PC stopt en je wachtwoord nog weet, dan denk je dus bij je bestanden te kunnen, maar helaas. De sleutel staat nog ergens in de TPM op je oude PC. Die je waarschijnlijk hebt verkocht of weggegooid. Echt, Microsoft moet nog zoveel leren. Bitlocker is veilig zat, maar absoluut niet gebruikersvriendelijk. En daardoor raken mensen echt data kwijt.

PhilipsFan schreef op maandag 12 september 2022 @ 19:36:
[...]

Een wachtwoord is gewoon dat wat het is, een wachtwoord. Met een Veracrypt volume kun je met een wachtwoord bij je gegevens.

Bitlocker maakt het allemaal zo moeilijk. Hij maakt een sleutel aan en slaat die ergens op je PC op. En versleutelt de sleutel vervolgens met een wachtwoord. Waardoor jij denkt dat je met je wachtwoord bij je bestanden kunt. Als je de schijf vervolgens in een andere PC stopt en je wachtwoord nog weet, dan denk je dus bij je bestanden te kunnen, maar helaas. De sleutel staat nog ergens in de TPM op je oude PC. Die je waarschijnlijk hebt verkocht of weggegooid. Echt, Microsoft moet nog zoveel leren. Bitlocker is veilig zat, maar absoluut niet gebruikersvriendelijk. En daardoor raken mensen echt data kwijt.

vreemd verhaal, bitlocker slaat helemaal geen sleutel op op je PC. sterker nog dat kan default helemaal niet je moet die (Recovery) key opslaan op een andere schijf of uitprinten.

voor removable disks moet je gewoon bitlocker to go gebruiken dan heb je alleen maar een wachtwoord nodig en is het leven een stuk eenvoudiger.

en er worden helemaal geen key's opgeslagen op de TPM. het hebben van je recovery key is in alle gevallen voldoende om de hele schijf te kunnen gebruiken op een vreemde machine.

been there done that, gebruik bitlocker al sinds windows vista

Zwelgje schreef op dinsdag 13 september 2022 @ 14:37:
[...]


vreemd verhaal, bitlocker slaat helemaal geen sleutel op op je PC. sterker nog dat kan default helemaal niet je moet die (Recovery) key opslaan op een andere schijf of uitprinten.

voor removable disks moet je gewoon bitlocker to go gebruiken dan heb je alleen maar een wachtwoord nodig en is het leven een stuk eenvoudiger.

en er worden helemaal geen key's opgeslagen op de TPM. het hebben van je recovery key is in alle gevallen voldoende om de hele schijf te kunnen gebruiken op een vreemde machine.

been there done that, gebruik bitlocker al sinds windows vista

Keys worden bij (de normale) Bitlocker absoluut en zeker weten opgeslagen op de TPM. Dat je het al lange tijd gebruikt, wil niet zeggen dat je weet hoe het werkt.

Een recovery key is als het ware een backup van wat er in je TPM staat. Om een met Bitlocker geencrypte harddisk te kunnen gebruiken op een andere PC heb je inderdaad de recovery key nodig. Maar een recovery key moet ook weer worden versleuteld met een wachtwoord. Een gemiddelde gebruiker ben je dan allang kwijt, die denkt dan, als ik het wachtwoord onthou kan ik bij m'n data. Als je de recovery key EN het bijbehorende wachtwoord hebt, dan kun je inderdaad het volume weer ontsleutelen. Als je 1 van beide niet hebt (en de oorspronkelijke PC met TPM ook niet) dan is het byebye voor je data. Buitengesloten door je eigen beveiliging.

Bij de meeste gebruikers gebeurt het op die manier. Ze hebben de schijf uit de oude pc gehaald en de pc weggegooid, weggegeven of gewist. Ze weten het wachtwoord nog, maar hebben niet meer de recovery key. Of andersom. Het is een hopeloos ingewikkeld systeem. Wel veilig, maar niet gebruikersvriendelijk. Ik neem aan dat je nog nooit (hardware)problemen hebt ondervonden in de tijd dat je Bitlocker gebruikt, want anders was je hier beslist wel een keer tegenaan gelopen. Ik raad iedereen aan om belangrijke data te backuppen op een NIET met bitlocker beschermde schijf.

Ik weet niet wat Bitlocker to go is, klinkt als een slap aftreksel dat bevuild is door de naam Bitlocker.

PhilipsFan schreef op dinsdag 13 september 2022 @ 15:04:
[...]
Ik weet niet wat Bitlocker to go is, klinkt als een slap aftreksel dat bevuild is door de naam Bitlocker.

Bitlocker to go is gewoon van Microsoft en geschikt/bedoeld voor usb-sticks en externe schijven.
Werkt prima met mijn externe harddisks en mijnn *.vhdx bestanden.

PhilipsFan schreef op maandag 12 september 2022 @ 03:05:
Voor een externe schijf zou ik echt geen Bitlocker gebruiken. (Voor een interne schijf trouwens ook niet). Er zijn me iets te vaak mensen data kwijtgeraakt omdat ze de key per ongeluk hebben weggegooid of nooit opgeslagen omdat ze dachten dat het niet belangrijk was.

Gebruik Veracrypt, makkelijker kan het niet. Schijf eraan, volume mounten (alleen het wachtwoord intypen is genoeg) en je kunt bij je data. Bitlocker doet veel te moeilijk met dat key management, dat is helemaal niet geschikt voor eindgebruikers.

Bitlocker schijven zijn ook te openen met een wachtwoord, als je het wachtwoord kwijt bent dan pas heb je de herstelsleutel nodig.

beetje off-topic, maar ik heb toevallig gisteren een oude met bitlocker beveilgde USB 2.0-HDD van 250GB aangesloten op een Win10 PC. (met bestanden gemaakt sinds 2013). Niks geen problemen.

Tijdens het maken van deze bitlocker schijf (in 2013, kan dat??) heb ik wel de vraag gekregen om een medium aan te leveren voor het opslaan van een Herstelsleutel, dus dat klopt wel.

(Ik heb nooit een TPM chip in een PC gehad, zou er een sleutel in de uefi opgeslagen zijn? is dit een zwakke versie van Bitlocker, zo zonder TPM-chip?) Ik koppel de schijf aan, vraagt om wachtwoord, en klaar is kees. Herstelsleutel moet je inderdaad aanleveren indien nodig, maar alleen als je t wachtwoord vergeten bent. (logisch)

Maar mijn ervaring: In windows-omgevingen werkt het supergoed.

PhilipsFan schreef op dinsdag 13 september 2022 @ 15:04:
[...]
Het is een hopeloos ingewikkeld systeem. Wel veilig, maar niet gebruikersvriendelijk

Het hele idee van bitlocker is nu net om disken niet eenvoudig beschikbaar te krijgen op een ander systeem. Working as intended noemen we dat..

Ik weet niet wat Bitlocker to go is, klinkt als een slap aftreksel dat bevuild is door de naam Bitlocker.

Het lijkt mij handig dat je dan even gaat inlezen wat het wél is, en wat het specifieke doel van Bitlocker to go is.

Bitlocker en Bitlocker to go zijn twee verschillende encryptie-methodes voor storage, elk met een specifiek doel en daaraan gekoppelde voor- en nadelen. Je bljft nu nadelen van Btilocker aanstippen voor een doel waar het niet voor bedoeld is.

Question Mark schreef op woensdag 14 september 2022 @ 10:34:
[...]
Het hele idee van bitlocker is nu net om disken niet eenvoudig beschikbaar te krijgen op een ander systeem. Working as intended noemen we dat..

[...]

Het lijkt mij handig dat je dan even gaat inlezen wat het wél is, en wat het specifieke doel van Bitlocker to go is.

Bitlocker en Bitlocker to go zijn twee verschillende encryptie-methodes voor storage, elk met een specifiek doel en daaraan gekoppelde voor- en nadelen. Je bljft nu nadelen van Btilocker aanstippen voor een doel waar het niet voor bedoeld is.

Ik begrijp het. Jij begrijpt het. Maar normale mensen begrijpen het niet. Ik heb mensen hierdoor data zien verliezen. Als je een schijf met Bitlocker formatteert ipv Bitlocker To Go, en je verliest je TPM of recovery key, dan is het gebeurd met je data.

Hoeveel mensen zien nu het verschil? Het is typisch Microsoft om Bitlocker To Go nagenoeg dezelfde naam te geven als de normale Bitlocker. Je weet gewoon dat er mensen zich gaan vergissen en data gaan verliezen. Waarom niet een nieuwe naam? Dan is de kans op vergissingen een stuk kleiner.

Niks ten nadele van Bitlocker overigens, want het is beslist hartstikke veilig als je het goed gebruikt, maar het heeft wel een risico op dataverlies als je er niet goed mee omgaat.

Bitlocker, Bitlocker 2 go. Veracrypt. encryptool versie x,y,z.

Als Data verlies belangrijk is, dan heb je Backups.
Ook met je USB stick. Je disk waar je veracrypt op hebt staan kan iets mis gaan.

Leuk dat ik weet dat mijn wachtwoord. Hallo1234 is. Maar met een defecte disk heb je alsnog geen toegang tot je data.

Voor mij werkt Bitlocker en Bitlocker 2 go echt meer dan Prima.

PhilipsFan schreef op dinsdag 13 september 2022 @ 15:04:
[...]

Keys worden bij (de normale) Bitlocker absoluut en zeker weten opgeslagen op de TPM. Dat je het al lange tijd gebruikt, wil niet zeggen dat je weet hoe het werkt.

Er wordt op de TPM maar 1 key opgeslagen en die is voor de C: partitie. Alle andere keys worden gewoon op C: bewaard. Om die reden kun je met Bitlocker geen partities encrypten zonder eerst C: te encrypten want anders zou je de encryptiekeys voor de beveiligde disks gewoon van de onbeveiligde C: kunnen lezen.

PhilipsFan schreef op woensdag 14 september 2022 @ 13:10:
[...]

Ik begrijp het. Jij begrijpt het. Maar normale mensen begrijpen het niet. Ik heb mensen hierdoor data zien verliezen. Als je een schijf met Bitlocker formatteert ipv Bitlocker To Go, en je verliest je TPM of recovery key, dan is het gebeurd met je data.

Hoeveel mensen zien nu het verschil? Het is typisch Microsoft om Bitlocker To Go nagenoeg dezelfde naam te geven als de normale Bitlocker. Je weet gewoon dat er mensen zich gaan vergissen en data gaan verliezen. Waarom niet een nieuwe naam? Dan is de kans op vergissingen een stuk kleiner.

Bitlocker is niet een bestandssysteem, dus 'formateren met bitlocker' kan niet, je formateert nog gewoon NTFS/exFAT/FAT32 en versleuteld met Bitlocker.
Als jij je TPM verliest (hoe doe je dat zonder de SSD zelf ook niet te verliezen?...) heb je de recovery key nog.
Als je de recovery key verliest heb je de TPM nog.

Het zou handig zijn je eerst in te lezen in wat Bitlocker en Bitlocker To Go zijn, het is hetzelfde (grotendeels), de methode om 't in te stellen is hetzelfde en je krijgt gewoon netjes een vraag welke van de twee je wilt met een simpel advies om Bitlocker To Go voor verwisselbare apparaten te gebruiken maar niet voor de interne SSD, waar ontstaat dan verwarring over?

Niks ten nadele van Bitlocker overigens, want het is beslist hartstikke veilig als je het goed gebruikt, maar het heeft wel een risico op dataverlies als je er niet goed mee omgaat.

Die moet je dan toch even toelichten
Dus je zit achter de computer, plots val je van je stoel, schiet de schroevendraaier door de kamer, de twee schroeven in je behuizing worden per ongeluk los gedraaid, het zij-paneel valt er vanaf, de schroevendraaier schiet door en raakt de TPM welke los komt van het moederbord en nog voordat je kan herstellen van je val van de stoel zie je de TPM uit het raam stuiteren en in de sloot verdwijnen?...

Dan kijk je naar links en zie je de mok die je voor vaderdag hebt gekregen omvallen, natuurlijk heb je de recovery key opgeborgen maar vandaag heeft je kat besloten die onder je bureau te leggen, precies waar de koffie terecht komt.

Dus nu door een zeer realistisch scenario ( ) is je TPM weg en je recovery key ook, de tweede kopie van je recovery key is ook weg want je kind heeft vanochtend de USB stick waar die op stond geformateerd...

Gelukkig heeft Microsoft je herinnert om die recovery key goed te bewaren dus staat deze ook gelinkt aan je Microsoft account, maar een neerstortende satelliet heeft net alle datacenters van Microsoft over de hele wereld vernietigt...

Ai wat een pech, naja tijd om de backup terug te zetten.

Dus ook in dat bizarre scenario kan je geen data kwijt raken... Ik zal het nog maar een keer zeggen: data die het niet waard was om te back-uppen kan niet 'verloren' gaan, die data kan enkel opgeruimd worden. Daarnaast is het onmogelijk om 'per ongeluk' je TPM kwijt te raken en je recovery keys ook, in het beste geval is het grove nalatigheid, blijkbaar geef je (of iemand anders) niets om de data in dat geval, niet genoeg om de recovery key veilig te bewaren en ook niet genoeg om een backup te maken.

Bitlocker/drive encryptie in het algemeen staat los van je backup strategie, dus ook als je de drive encryptie (of dat nou Veracrypt of Bitlocker is) helemaal verprutst omdat je de simpele instructie van de Bitlocker wizard niet volgt kan je altijd nog herstellen vanuit de backup.

Ik had al een realistisch scenario geschetst en het is helemaal niet zo moeilijk. Je gebruikt Bitlocker op je PC. Je maakt een recovery key (die je beveiligt met een wachtwoord) maar je bent consument en hebt geen verstand van recovery keys, dus je onthoudt alleen het wachtwoord.

Dan koop je een nieuwe PC en gooit de oude weg (verkoop/weggeven/weet ik wat), maar je haalt de SSD/HDD eruit om in je nieuwe PC te monteren. Je wilt 'm benaderen en je weet het wachtwoord, dus wat kan er fout gaan? Nou, dat dus.

Ik ken mensen die hierdoor data zijn kwijtgeraakt. Het is gewoon geen logische gebruikersvriendelijke manier van werken. Daarom raad ik iedereen die data wil versleutelen Veracrypt aan, dat is veel eenvoudiger en daar kan dus veel minder mee misgaan. Veracrypt bewaart de symmetrische keys gewoon op het volume zelf, dus als je het wachtwoord nog weet, kun je altijd weer bij je data. Veel eenvoudiger voor consumenten.

PhilipsFan schreef op donderdag 15 september 2022 @ 14:39:
Ik had al een realistisch scenario geschetst en het is helemaal niet zo moeilijk. Je gebruikt Bitlocker op je PC. Je maakt een recovery key (die je beveiligt met een wachtwoord) maar je bent consument en hebt geen verstand van recovery keys, dus je onthoudt alleen het wachtwoord.

Dan koop je een nieuwe PC en gooit de oude weg (verkoop/weggeven/weet ik wat), maar je haalt de SSD/HDD eruit om in je nieuwe PC te monteren. Je wilt 'm benaderen en je weet het wachtwoord, dus wat kan er fout gaan? Nou, dat dus.

Ik ken mensen die hierdoor data zijn kwijtgeraakt. Het is gewoon geen logische gebruikersvriendelijke manier van werken. Daarom raad ik iedereen die data wil versleutelen Veracrypt aan, dat is veel eenvoudiger en daar kan dus veel minder mee misgaan. Veracrypt bewaart de symmetrische keys gewoon op het volume zelf, dus als je het wachtwoord nog weet, kun je altijd weer bij je data. Veel eenvoudiger voor consumenten.

Dus Veracrypt werkt hetzelfde als Bitlocker to Go. Ook die bewaart de key gewoon op het volume en het password dient alleen om die key te ontsleutelen.

PhilipsFan schreef op donderdag 15 september 2022 @ 14:39:
maar je bent consument en hebt geen verstand van recovery keys, dus je onthoudt alleen het wachtwoord.

Dan ben je gewoon erg dom bezig. Tijdens de setup wordt zeer duidelijk aangegeven dat de recoverykeys belangrijk zijn. Zo belangrijk zefls dat je deze niet eens op de schijf waar Bitlocker op komt te staan mag opslaan. De setup staat het niet toe deze keys op het medium te zetten waar Bitlocker op komt. Als je het dan nog niet snapt dan moet je maar stoppen met zulke dingen. Dat mensen dingen doen die ze niet snappen is niet een fout van Bitlocker. Zo kan je alles wel als een nadeel bestempelen waarbij gebruikers niet weten wat ze doen, zoals bijvoorbeeld een backup maken van je wachtwoordmanager database. Is dat dan ook de fout van de manager ? Met de recoverykeys is het niet anders.

PhilipsFan schreef op donderdag 15 september 2022 @ 14:39:
Ik had al een realistisch scenario geschetst en het is helemaal niet zo moeilijk. Je gebruikt Bitlocker op je PC. Je maakt een recovery key (die je beveiligt met een wachtwoord) maar je bent consument en hebt geen verstand van recovery keys, dus je onthoudt alleen het wachtwoord.

Bitlocker geeft je een simpele instructie en probeert zo goed mogelijk je te dwingen een kopie van de recovery key te maken dus dat gaat niet tenzij je het expres weigert.
Dan nog, als je er dusdanig weinig van begrijpt en weigert twee zinnen te lezen tijdens de setup dan moet je er sowieso niet aan komen...

Dan koop je een nieuwe PC en gooit de oude weg (verkoop/weggeven/weet ik wat), maar je haalt de SSD/HDD eruit om in je nieuwe PC te monteren. Je wilt 'm benaderen en je weet het wachtwoord, dus wat kan er fout gaan? Nou, dat dus.

Er kan daar niets echt fout gaan, gaat precies zoals bedoeld is
Die data was niet de moeite waard om een recovery key op te slaan/uit te printen.
Die data was niet de moeite waard om een backup te maken.
Die data was zelfs niet de moeite waard om het eerst veilig te stellen.
Hoe kan je data, die niets waard is, ooit 'verliezen'?

Ik ken mensen die hierdoor data zijn kwijtgeraakt. Het is gewoon geen logische gebruikersvriendelijke manier van werken. Daarom raad ik iedereen die data wil versleutelen Veracrypt aan, dat is veel eenvoudiger en daar kan dus veel minder mee misgaan. Veracrypt bewaart de symmetrische keys gewoon op het volume zelf, dus als je het wachtwoord nog weet, kun je altijd weer bij je data. Veel eenvoudiger voor consumenten.

Waar het dus op neer komt is dat je niet weet wat Bitlocker To Go is en het daarom niet vertrouwd, het doet hier namelijk exact hetzelfde als Veracrypt, zonder afhankelijk te zijn van een derde partij
Dat jij mensen kent die er alles aan doen om hun data 'verliezen' en jou het dan laten oplossen zegt meer over die mensen dan over de drive encryptie die zij half ingesteld hebben

PhilipsFan schreef op donderdag 15 september 2022 @ 14:39:
Ik had al een realistisch scenario geschetst en het is helemaal niet zo moeilijk. Je gebruikt Bitlocker op je PC. Je maakt een recovery key (die je beveiligt met een wachtwoord) maar je bent consument en hebt geen verstand van recovery keys, dus je onthoudt alleen het wachtwoord.

Dan koop je een nieuwe PC en gooit de oude weg (verkoop/weggeven/weet ik wat), maar je haalt de SSD/HDD eruit om in je nieuwe PC te monteren. Je wilt 'm benaderen en je weet het wachtwoord, dus wat kan er fout gaan? Nou, dat dus.

Heel leuk maar Veracrypt gaat dat niet oplossen aangezien het niet kan werken met de boot schijf. Ergo: Je kunt je bootschijf óf met bitlocker versleutelen óf niet. Je verhaal gaat daarmee alleen nog op voor niet-boot schijven en daar kun je ook gewoon Bitlocker-to-go voor gebruiken.

Seriously; de verhalen die je schetst zijn gewoon niet realistisch. Als het gaat om externe media zal Windows automatisch Bitlocker-to-go gebruiken wanneer je het vraagt het volume te encrypten. Daar hoef je zelf niets voor te doen. Alleen bij niet-verwijderbare niet-bootschijven moet je even opletten en dat scenario komt steeds minder vaak voor.

En zelfs dan is het een kwestie van even lezen wat Bitlocker je verteld en netjes de key ergens veilig opslaan. Zoals, bijvoorbeeld, in je Onedrive zodat hij na een reinstall ook meteen beschikbaar is.

Als jij veracrypt graag gebruikt dan more power to you maar ga nou geen nonsense verspreiden over andere software.

Gezien Windows 11 je bijna verplicht om met een Microsoft account te koppelen en dus je bitlocker key hier wordt opgeslagen is de kans dat je die kwijtraakt nagenoeg 0.

"je bent een rund als je met 3rd party encryptysoftware stunt" (anno 2022)

Ik wil graag 'inbreken' op dit oude topic omdat in dit draadje zo te zien de kenners aanwezig zijn.

Korte situatieschets:
Oud werkstation van werkgever meegekregen. (Dell Optiplex 3020) met de originele ssd er nog in.
Ik heb ding thuis opgestart om specs e.d. te bekijken. Mijn eigen losse hdd als 2e schijf toegevoegd om werking te checken.
Alles werkte dus ssd geformatteerd (full, dus niet snel formatteren)
Nu blijkt mijn hdd gebitlockt te zijn.
Zover ik kan zien, wanneer ik deze aansluit op Surface, met Bitlocker to go.

Deze regel in power shell uitvoeren werkte ook niet: Disable-BitLocker -MountPoint "D:"

Vanzelfsprekend heb ik dus noch een password, noch de key.
Staat deze nog op het mobo van de Dell en is de hdd dus nog op een-of-andere manier te unlocken of is het echt einde oefening.
Het is een hdd zonder een OS maar met data er op.

[ Voor 5% gewijzigd door Rob310 op 19-11-2023 20:36 ]

Rob310 schreef op zondag 19 november 2023 @ 20:29:
Ik wil graag 'inbreken' op dit oude topic omdat in dit draadje zo te zien de kenners aanwezig zijn.

Korte situatieschets:
Oud werkstation van werkgever meegekregen. (Dell Optiplex 3020) met de originele ssd er nog in.
Ik heb ding thuis opgestart om specs e.d. te bekijken. Mijn eigen losse hdd als 2e schijf toegevoegd om werking te checken.
Alles werkte dus ssd geformatteerd (full, dus niet snel formatteren)
Nu blijkt mijn hdd gebitlockt te zijn.
Zover ik kan zien, wanneer ik deze aansluit op Surface, met Bitlocker to go.

Deze regel in power shell uitvoeren werkte ook niet: Disable-BitLocker -MountPoint "D:"

Vanzelfsprekend heb ik dus noch een password, noch de key.
Staat deze nog op het mobo van de Dell en is de hdd dus nog op een-of-andere manier te unlocken of is het echt einde oefening.
Het is een hdd zonder een OS maar met data er op.

Als ik je goed begrijp is het volgende gebeurt:

• Windows was door je werkgever op C: geïnstalleerd en van Bitlocker voorzien.
• Er was een policy actief die aangesloten externe disks ook encrypte. Daardoor is jouw eigen HDD nu ook encrypted.
• Je hebt de C: schijf van die PC geformatteerd.

Dat is inderdaad einde oefening. De Bitlocker key van de C: schijf wordt "op het mobo" gezet (in de TPM-chip) maar de key voor alle andere encrypted disks wordt alleen op de C: schijf opgeslagen. En die heb je geformatteerd.

downtime schreef op zondag 19 november 2023 @ 21:40:
[...]

Als ik je goed begrijp is het volgende gebeurt:

• Windows was door je werkgever op C: geïnstalleerd en van Bitlocker voorzien.
• Er was een policy actief die aangesloten externe disks ook encrypte. Daardoor is jouw eigen HDD nu ook encrypted.
• Je hebt de C: schijf van die PC geformatteerd.

Dat is inderdaad einde oefening. De Bitlocker key van de C: schijf wordt "op het mobo" gezet (in de TPM-chip) maar de key voor alle andere encrypted disks wordt alleen op de C: schijf opgeslagen. En die heb je geformatteerd.

Jouw samenvatting is 100% correct
Ik wist niet van het bestaan van dat bitlocker gebeuren anders had ik wel anders gehandeld

Gelukkig was het enige wat op die schijf stond al mijn oude Vhs/video 8 banden die ik zelf had gedigitaliseerd maar helaas betekent dat dat ik ze allemaal opnieuw mag doen.....
(zo blij dat ik de apparatuur daarvoor nog niet had verkocht).

Dank voor je info

Heeft de pc aan het internet gehangen/mogelijk de bitlocker key ergens online opgeslagen ?
(microsoft entra id of de ad van werkgever)

[ Voor 20% gewijzigd door DDX op 19-11-2023 22:35 ]

Wat ik me afvraag: als er een policy actief is die externe harddisks encrypt, dan is dat InTune, right? Die zou de recovery key dan in de AD moeten hebben opgeslagen, voor zover ik begrijp.

@Rob310, met welk account ben je erop ingelogd voordat je hem wiste, en kan de werkgever op dat account nog iets terugvinden (zie ook @DDX' reactie)?

Daarnaast: de schijf, afhankelijk van hoe vol die stond, hoe snel die is en hoe lang die aan de machine heeft gehangen, is mogelijk nog niet volledig versleuteld. Misschien kun je met een recovery-tool nog wat terughalen.

[ Voor 3% gewijzigd door CodeCaster op 19-11-2023 23:02 ]

https://learn.microsoft.c...-protection/bitlocker/faq

A domain administrator can also configure policy settings to automatically generate recovery passwords and store them in Active Directory Domain Services (AD DS) or Microsoft Entra ID for any BitLocker-protected drive.

When an administrator selects the Do not enable BitLocker until recovery information is stored in AD DS for (operating system | fixed data | removable data) drives check box in any of the Choose how BitLocker-protected operating system drives can be recovered, Choose how BitLocker-protected fixed data drives can be recovered, and Choose how BitLocker-protected removable data drives can be recovered policy settings, users can't enable BitLocker unless the computer is connected to the domain and the backup of BitLocker recovery information to AD DS succeeds. With these settings configured if the backup fails, BitLocker can't be enabled, ensuring that administrators will be able to recover BitLocker-protected drives in the organization.

When an administrator clears these check boxes, the administrator is allowing a drive to be BitLocker-protected without having the recovery information successfully backed up to AD DS; however, BitLocker won't automatically retry the backup if it fails. Instead, administrators can create a backup script, as described earlier in What if BitLocker is enabled on a computer before the computer joins the domain? to capture the information after connectivity is restored.

Dus afhankelijk van die laatste setting wordt bitlocker pas enabled als je connected bent.
Maar dat vinkje uitzetten om zomaar te gaan encrypten zonder dat je backup van key maakt naar ad is dus verre van slim.

Rob310 schreef op zondag 19 november 2023 @ 22:12:
[...]


Jouw samenvatting is 100% correct
Ik wist niet van het bestaan van dat bitlocker gebeuren anders had ik wel anders gehandeld

Gelukkig was het enige wat op die schijf stond al mijn oude Vhs/video 8 banden die ik zelf had gedigitaliseerd maar helaas betekent dat dat ik ze allemaal opnieuw mag doen.....
(zo blij dat ik de apparatuur daarvoor nog niet had verkocht).

Dank voor je info

Wijze les;
Backups hebben.

(Alhoewel je die wel had alleen wel de bewerkelijke variant).