Microsoft adviseert over softwarematige encryptie BitLocker
Microsoft heeft beveiligingsadvies gepubliceerd over het gebruik van softwarematige encryptie door BitLocker, nu onderzoekers kwetsbaarheden in zelfversleutelende ssd-schijven van Samsung en Crucial hebben ontdekt. De kwetsbaarheden zorgen ervoor dat een aanvaller met fysieke toegang zonder kennis van het wachtwoord toegang tot gegevens op de ssd-schijf kan krijgen.
BitLocker is de encryptiesoftware van Microsoft die standaard met Windows 10 Pro, Enterprise en Education wordt geleverd, alsmede bij Windows 8.1 Pro en Enterprise en Windows 7 Enterprise en Ultimate. BitLocker zal standaard de hardwarematige versleuteling van de harde schijf gebruiken als het over deze functionaliteit beschikt. Beheerders die softwarematige encryptie op zelfversleutelende harde schijven willen afdwingen kunnen dit doen middels een Group Policy.
Nadat de harde schijf via hardwarematige encryptie is versleuteld moet die eerst worden ontsleuteld voordat de softwarematige encryptie kan worden toegepast. Alleen het instellen van de Group Policy is niet voldoende om bestaande data opnieuw te versleutelen, zo laat Microsoft weten. Het is niet nodig om de harde schijf na het aanpassen van de BitLocker-instellingen te formatteren of applicaties opnieuw te installeren.
Reacties (21)
Ik snap niet dat Microsoft dit niet kan leveren bij de home edities. Voor die mensen zou het ook top zijn als dit automatisch aan gaat. Zodat er bij diefstal geen (persoons) gegevens verlies is.
Door Anoniem: Ik snap niet dat Microsoft dit niet kan leveren bij de home edities. Voor die mensen zou het ook top zijn als dit automatisch aan gaat. Zodat er bij diefstal geen (persoons) gegevens verlies is.
Als ik Microsoft zou zijn zou ik liever willen dat de Home gebruikers niet perongeluk BitLocker activeren. Dit omdat corrupt OS meer voorkomt dan verlies van het toestel. Zeg maar is tegen de klant dat je hun data niet kan terug halen omdat er een beveiliging op zat.
Oh en natuurlijk wilt Microsoft geld zien.
07-11-2018, 11:15 door
jennifer
Door Anoniem: Ik snap niet dat Microsoft dit niet kan leveren bij de home edities. Voor die mensen zou het ook top zijn als dit automatisch aan gaat. Zodat er bij diefstal geen (persoons) gegevens verlies is.
Je zou ook de opensource versie van veracrypt kunnen proberen als je vergelijkbare functionaliteiten wilt.
Door Anoniem: Ik snap niet dat Microsoft dit niet kan leveren bij de home edities. Voor die mensen zou het ook top zijn als dit automatisch aan gaat. Zodat er bij diefstal geen (persoons) gegevens verlies is.
Home editions hebben geen Group policy! Verder stuwt het de aanschafprijs omhoog van de Home-versie en is het software met een gebruiksaanwijzing. (dus risico dat mensen er niet goed mee om kunnen gaan)Koop dus gewoon voor meer geld de W10 -pro versie als je Bitlocker wilt, en denkt er goed mee om te kunnen gaan.
Een andere mogelijkheid is software encryptie gebruiken.
Ik vind het versleutelen van complete harde schijven een slecht idee. Want als Windows de geest geeft, dan heb je geen mogelijkheid meer om je data te redden en ben je dus alles kwijt. Als je al data wil versleutelen, maar dan een Veracrypt container aan die jouw gevoelige documenten veilig stelt. Daarvan kun je ook makkelijk backups maken.
Iedereen roept dan wel "backups maken", maar je gaat niet elke dag je boel zitten backuppen. Je raakt, mocht je Windows omver getrokken zijn, altijd wel data kwijt. Je zult maar net met een belangrijk project bezig zijn en de boel crasht tussen de backup momenten in, dan kun je het shaken. Heb je alleen een deel versleuteld met VeraCrypt, dan kun je nog gewoon via een omweg bij je harde schijf komen.
Iedereen roept dan wel "backups maken", maar je gaat niet elke dag je boel zitten backuppen. Je raakt, mocht je Windows omver getrokken zijn, altijd wel data kwijt. Je zult maar net met een belangrijk project bezig zijn en de boel crasht tussen de backup momenten in, dan kun je het shaken. Heb je alleen een deel versleuteld met VeraCrypt, dan kun je nog gewoon via een omweg bij je harde schijf komen.
07-11-2018, 12:13 door
Tha Cleaner
Door Anoniem: Ik snap niet dat Microsoft dit niet kan leveren bij de home edities. Voor die mensen zou het ook top zijn als dit automatisch aan gaat. Zodat er bij diefstal geen (persoons) gegevens verlies is.
Bij de meeste mensen is de kans groter dat men geen goede backup heeft, dan dat men bij diefstal (persoons) gegevens verliest.Of encryptie dus voor de gemiddelde gebruiker nu echt een hele goede feature is.... Daar heb ik erg mijn twijfels over.
ter info: op Windows 8.1 en 10 home kan je device encryption gebruiken (als je toestel een TPM chip aan boord heeft).
https://www.itprotoday.com/windows-8/device-encryption-windows-81-and-bitlocker-drive-encryption
https://www.itprotoday.com/windows-8/device-encryption-windows-81-and-bitlocker-drive-encryption
Door Anoniem: Ik vind het versleutelen van complete harde schijven een slecht idee. Want als Windows de geest geeft, dan heb je geen mogelijkheid meer om je data te redden en ben je dus alles kwijt. Als je al data wil versleutelen, maar dan een Veracrypt container aan die jouw gevoelige documenten veilig stelt. Daarvan kun je ook makkelijk backups maken.
Je kan bij Windows toch ook wel de harde- of SSD schijf demonteren en als externe drive aan een andere computer hangen?
Door Anoniem: Iedereen roept dan wel "backups maken", maar je gaat niet elke dag je boel zitten backuppen. Je raakt, mocht je Windows omver getrokken zijn, altijd wel data kwijt. Je zult maar net met een belangrijk project bezig zijn en de boel crasht tussen de backup momenten in, dan kun je het shaken. Heb je alleen een deel versleuteld met VeraCrypt, dan kun je nog gewoon via een omweg bij je harde schijf komen.
Totale onzin dat je je gegevens kwijt zou zijn! Of de Windows schijfversleuteling moet wel heel erg knullig in elkaar zitten. Ik heb meerdere keren gegevens van slechte schijven gehaald die volledig waren versleuteld met Linux Unified Key Setup (LUKS). Simpelweg de schijf demonteren en met een externe USB behuizing aan een andere computer hangen. Dan de versleutelde drive mounten en je versleutelingswachtwoord ingeven en klaar.
Is dat BitLocker opensource? en ge-audit? Anders eindigt de discussie(advies) toch al vroeg.
De link https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180028 geeft een 'blanco' pagina, althans niet een artikel.
07-11-2018, 15:25 door
-karma4
Door Anoniem: Is dat BitLocker opensource? en ge-audit? Anders eindigt de discussie(advies) toch al vroeg.
Wat denk je zelf? Het is een Micro$oft product...
Bitlocker heeft voor fulldisk encryptie, by default, een tpm nodig, hier wordt een deel van de key in opgeslagen. Dat zorgt ervoor dat de disk niet in een andere machine gezet kan worden om te decrypten, want je hebt daar een deel van de key niet.
07-11-2018, 17:15 door
Tha Cleaner
Door The FOSS:
Totale onzin dat je je gegevens kwijt zou zijn! Of de Windows schijfversleuteling moet wel heel erg knullig in elkaar zitten. Ik heb meerdere keren gegevens van slechte schijven gehaald die volledig waren versleuteld met Linux Unified Key Setup (LUKS). Simpelweg de schijf demonteren en met een externe USB behuizing aan een andere computer hangen. Dan de versleutelde drive mounten en je versleutelingswachtwoord ingeven en klaar.
Het gaat juist om het achterliggende probleem. De meeste gebruikers weten de wachtwoorden van hun mail accounts al niet. De kans is heel groot dat men een bitlocker recovery ook niet bewaard hebben, of "ergens" in huis hebben liggen. Door Anoniem: Iedereen roept dan wel "backups maken", maar je gaat niet elke dag je boel zitten backuppen. Je raakt, mocht je Windows omver getrokken zijn, altijd wel data kwijt. Je zult maar net met een belangrijk project bezig zijn en de boel crasht tussen de backup momenten in, dan kun je het shaken. Heb je alleen een deel versleuteld met VeraCrypt, dan kun je nog gewoon via een omweg bij je harde schijf komen.
Totale onzin dat je je gegevens kwijt zou zijn! Of de Windows schijfversleuteling moet wel heel erg knullig in elkaar zitten. Ik heb meerdere keren gegevens van slechte schijven gehaald die volledig waren versleuteld met Linux Unified Key Setup (LUKS). Simpelweg de schijf demonteren en met een externe USB behuizing aan een andere computer hangen. Dan de versleutelde drive mounten en je versleutelingswachtwoord ingeven en klaar.
Heb je de bitlocker recovery key wel, dan is recovery natuurlijk mogelijk.
Door Anoniem: Is dat BitLocker opensource? en ge-audit? Anders eindigt de discussie(advies) toch al vroeg.
Waarom zou de discussie vroeg al beëindigen?Door The FOSS:
Wat denk je zelf? Het is een Micro$oft product...
Je keyboard heeft blijkbaar ook een bugje in de firmware zitten. Je toetsaanslagen werken namelijk niet goed.Door Anoniem: Is dat BitLocker opensource? en ge-audit? Anders eindigt de discussie(advies) toch al vroeg.
Wat denk je zelf? Het is een Micro$oft product...
07-11-2018, 17:40 door
karma4
Door Tha Cleaner:
Waarom zou de discussie vroeg al beëindigen?
Vraag im me ook af.Waarom zou de discussie vroeg al beëindigen?
- het is foor meerdere grote afnemers lees staten geuit.
- open source het geoonlijke vrijwilligers werk is niet zo betrouwbaar als beweerd wordt.
- Wie heeft selinux van de NSA of de code sponsoring can Intel Nvidia IBM echt goed gedaan?
Door The FOSS:
Wat denk je zelf? Het is een Micro$oft product...
Je keyboard heeft blijkbaar ook een bugje in de firmware zitten. Je toetsaanslagen werken namelijk niet goed.[/quote]Ik denk dat foss liever een boel flappen aan big blue spendeert. Zo niet zelf hij promoot het wel.Wat denk je zelf? Het is een Micro$oft product...
Bitlocker, dat kennen we nog. Windows schakelt de bitlocker encrypie uit bij grote updates (feature by design dit is geen bug move along please). Dan kun je via de toetscombi bij een terminal komen en bijvoorbeeld een cmd over en stickeykey progsel heen kopieren...
Gelukkig kun je zoeken naar updates ook niet uitzetten en word localhost daarby gebegeerd. Dus ja, een valse update verder en je bent er, als de boel al echt uit stond...
Voor laptopjes blijft dma toegang ook mogelijk met de niet uit-maar soort van standby van windows 10.
Gelukkig kun je zoeken naar updates ook niet uitzetten en word localhost daarby gebegeerd. Dus ja, een valse update verder en je bent er, als de boel al echt uit stond...
Voor laptopjes blijft dma toegang ook mogelijk met de niet uit-maar soort van standby van windows 10.
Door The FOSS:
Totale onzin dat je je gegevens kwijt zou zijn! Of de Windows schijfversleuteling moet wel heel erg knullig in elkaar zitten. Ik heb meerdere keren gegevens van slechte schijven gehaald die volledig waren versleuteld met Linux Unified Key Setup (LUKS). Simpelweg de schijf demonteren en met een externe USB behuizing aan een andere computer hangen. Dan de versleutelde drive mounten en je versleutelingswachtwoord ingeven en klaar.
Nou... ik denk dat je daar teveel over nadenkt vanuit je eigen perspectief. Niet iedereen is in staat om hun harde schijf uit hun computer te trekken en in een USB-case te stoppen. En steeds meer is dat ook niet meer mogelijk, omdat steeds meer fabrikanten overgaan op het verlijmen van hun apparaten. Een Surface Pro bijvoorbeeld, dat ding is niet open te maken zonder het hele apparaat te slopen. En sommige laptops zijn dan wel weer open te maken, maar zit de harddisk op een plek dat je de halve laptop moet slopen. Dat is dus geen echte oplossing.Totale onzin dat je je gegevens kwijt zou zijn! Of de Windows schijfversleuteling moet wel heel erg knullig in elkaar zitten. Ik heb meerdere keren gegevens van slechte schijven gehaald die volledig waren versleuteld met Linux Unified Key Setup (LUKS). Simpelweg de schijf demonteren en met een externe USB behuizing aan een andere computer hangen. Dan de versleutelde drive mounten en je versleutelingswachtwoord ingeven en klaar.
Waarom zou je je al die moeite op de hals halen als je ook een versleutelde container met VeraCrypt kan aanmaken? Is ook veilig, is cross-platform (zou voor jou zeker een argument kunnen zijn aangezien je géén Windows draait).
BitLocker.... slecht idee!
Door Anoniem: Bitlocker, dat kennen we nog. Windows schakelt de bitlocker encrypie uit bij grote updates (feature by design dit is geen bug move along please). Dan kun je via de toetscombi bij een terminal komen en bijvoorbeeld een cmd over en stickeykey progsel heen kopieren...
Heb je hier ook een bron van?Door Anoniem:
Door Anoniem: Bitlocker, dat kennen we nog. Windows schakelt de bitlocker encrypie uit bij grote updates (feature by design dit is geen bug move along please). Dan kun je via de toetscombi bij een terminal komen en bijvoorbeeld een cmd over en stickeykey progsel heen kopieren...
Heb je hier ook een bron van?Ik wel:
https://social.technet.microsoft.com/Forums/en-US/0e48536f-40ff-4046-bd08-ed4a39b4840f/bitlocker-automatically-suspending-during-updates?forum=win10itprosecurity
(Maar geen idee van of dit echt waar is; originele poster?)
Je hebt helemaal geen third party tools nodig.
Windows 10 kan je eventueel zelf ook een VHD(X) maken, oftewel een virtuele disk die je opslaat op je disk.
https://www.windowscentral.com/how-create-and-set-vhdx-or-vhd-windows-10
En wanneer je deze gemaakt hebt, kan je deze apart voorzien van Bitlocker.
Netzoals je bij een USB disk ook Bitlocker kan inschakelen.
VHD(X) file kan je dan op elke Windows computer openen, vraagt dan alleen om je wachtwoord.
Enige nadeel zal Windows only zijn om te openen denk ik, voor Bitlocker mogelijk om te encrypten wel W10 Pro nodig hebt.
Maar met Home editie kan je volgens mij wel Bitlocker enabled devices openen.
Windows 10 kan je eventueel zelf ook een VHD(X) maken, oftewel een virtuele disk die je opslaat op je disk.
https://www.windowscentral.com/how-create-and-set-vhdx-or-vhd-windows-10
En wanneer je deze gemaakt hebt, kan je deze apart voorzien van Bitlocker.
Netzoals je bij een USB disk ook Bitlocker kan inschakelen.
VHD(X) file kan je dan op elke Windows computer openen, vraagt dan alleen om je wachtwoord.
Enige nadeel zal Windows only zijn om te openen denk ik, voor Bitlocker mogelijk om te encrypten wel W10 Pro nodig hebt.
Maar met Home editie kan je volgens mij wel Bitlocker enabled devices openen.
Door The FOSS:
Ik wel:
https://social.technet.microsoft.com/Forums/en-US/0e48536f-40ff-4046-bd08-ed4a39b4840f/bitlocker-automatically-suspending-during-updates?forum=win10itprosecurity
(Maar geen idee van of dit echt waar is; originele poster?)
Door Anoniem:
Door Anoniem: Bitlocker, dat kennen we nog. Windows schakelt de bitlocker encrypie uit bij grote updates (feature by design dit is geen bug move along please). Dan kun je via de toetscombi bij een terminal komen en bijvoorbeeld een cmd over en stickeykey progsel heen kopieren...
Heb je hier ook een bron van?Ik wel:
https://social.technet.microsoft.com/Forums/en-US/0e48536f-40ff-4046-bd08-ed4a39b4840f/bitlocker-automatically-suspending-during-updates?forum=win10itprosecurity
(Maar geen idee van of dit echt waar is; originele poster?)
Bron geeft aan dat dit eigenlijk ook al oud nieuws is, en niet meer van toepassing is.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
