Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  24 2707
Hei. Simpelt forklart vil jeg kryptere alle diskene mine med bitlocker.

Viktig og vite: Jeg har ikke Trusted Platform module på motherbordet.

1. Jeg kan velge at denne disken dekrypteres automatisk på denne laptopen? Selv uten TPM?
2. Jeg kan velge å måtte skrive inn passord hver gang jeg starter dataen.

Spørsmålet:
Jeg er ikke 100% klar over hvordan TP modulen funker, men om jeg velger å la diskene starte automatisk på denne pcen, vil de da være fullstendig kryptert om de blir tatt ut og prøvd i en annen pc?

Jeg tenker det funker slik
1. Om det er bios passord så kommer du ikke inn, og er nødt til og ta ut harddisken og putte den inn i en annen laptop.
2. Da vil krypteringen slå inn fordi det ikke er sammelaptop

Slik jeg forstår da så er det umulig for utenforstående, som ikke kan mitt bios passord, og få tilgang til infoen på hard disken min?

Men husk: Jeg har ikke Trusted Platform Module og jeg vet ikke hvor viktig det er.

Om dere har andre tips, eller opplegg, for å holde sensitive info(Aka 4gb med nakenbilder av meg selv) borte om en pc skulle bli stjålet, beslaleget etc, uten at man må skrive 100 passord for å komme inn, kom gjerne med forslag! Eller bekreftelse på at jeg har tenkt feil/riktig.
Sist endret av Picard; 11. mai 2013 kl. 19:45.
Faglært idiot
sengetøv's Avatar
Kan godt dele de 4GB med meg (og kalle det backup ?)

Har ikke så mye peiling på bitlocker, men da jeg testa med ett par av diskene mine fikk jeg valg om å låse de opp automatisk på denne PC-en.

Slik som jeg har forstått det må du taste inn passordet på disken da du putter den inn i en annen pc der du ikke har lagt til valget om automatisk opplåsning.
Sist endret av sengetøv; 11. mai 2013 kl. 19:55.
Bitlocker med startup usb, du kan fikse instillingene i group policy. Uten tpm chip har det ikke noe å si om disken flyttes til en annen maskin.
Sitat av SinHazzard Vis innlegg
Bitlocker med startup usb, du kan fikse instillingene i group policy. Uten tpm chip har det ikke noe å si om disken flyttes til en annen maskin.
Vis hele sitatet...
Nettopp det jeg mistenkte! Utrolig grovt av MS og gi meg muligheten til å velge ikke å trenge passord på denne maskinen, når jeg ikke har TPM. Basically så har jeg ingen beskyttelse i det hele tatt om jeg hadde gjort det slik?

Det er altå TP modulen som gjør at harddisken vet at den har byttet plass og skal kreve nokkel(kronglete forklart, men ja)
http://technet.microsoft.com/en-us/l...1-97b4d762cf31

Du burde ha en bitlocker data recovery agent.
Om jeg ikke har Trusted Platform Module og velger at harddisken autmatisk dekrypteres når den startes i denne maskinen, vil den da automatisk starte i en annen maskin også?
Ikke uten usb, er ihvertfall det min logikk tilsier. Tpm kan lagre pin og boot miljøet, den vil merke den minste endring. Uten tpm tilbyr den ikke noen som helst form for beskyttelse av boot miljøet.

Når du sier automatisk dekrypteres så mener du med usb ikke sant?
Sitat av SinHazzard Vis innlegg
http://technet.microsoft.com/en-us/l...1-97b4d762cf31

Du burde ha en bitlocker data recovery agent.
Vis hele sitatet...
Så lenge jeg har alle nøklene la gret safed på emailen min så burde jeg vel ikke trenge noe annet?
Så lenge du har nøkkelen går det greit, skulle du ved ett uhell miste den så kan du kaste hard disken din.
Sitat av SinHazzard Vis innlegg
Ikke uten usb, er ihvertfall det min logikk tilsier. Tpm kan lagre pin og boot miljøet, den vil merke den minste endring. Uten tpm tilbyr den ikke noen som helst form for beskyttelse av boot miljøet.

Når du sier automatisk dekrypteres så mener du med usb ikke sant?
Vis hele sitatet...
Nope. Jeg har ikke TPM. Jeg har heller ikke USB. Jeg får likevel valget om å automatisk la den dekrypters på denne laptopen. Med andre ord; Det er fullstendig bullshit om du ikke har TPM?

Videre så får jeg ingen beskjed om at jeg ha usb eller smartkort for å bruke denne metoden uten TPM.
Sist endret av Picard; 11. mai 2013 kl. 20:59.
http://technet.microsoft.com/en-us/l...(v=ws.10).aspx


Les litt om de forskjellige policiene. Uten noen slags kontroll under oppstart er jo hele poenget med bitlocker borte.
Jeg har kryptert alle mine HDDer med bitlocker uten TPM.
Bruker en egen minnepinne som har en skjult oppløsningsnøkkel lagret.

Har at mine 3 andre HDDer skal åpnes automatisk når jeg starter maskinen. Denne informasjonen er nok lagret på SSDen (OSdisk) som er kryptert med minnepinnen som nøkkel.
Så dersom jeg putter HDDene i en annen maskin, vet ikke denne at disse var konfigurert til å åpnes automatisk på en annen maskin.

Dersom du har ekstraHDD utenom OSdisk som er kryptert og skal kunne åpnes automatisk under oppstart, ligger denne informasjonen ukryptert og kan hentes ut av folk som har peil (kripos osv), deretter åpne din krypterte HDD.
Sitat av SinHazzard Vis innlegg
Les litt om de forskjellige policiene. Uten noen slags kontroll under oppstart er jo hele poenget med bitlocker borte.
Vis hele sitatet...
Man kan jo også ha et bios passord, og velge at diskene automatisk dekrypteres på denne maskinen. Mens hvis noen tar maskinen din, ikke kan bios passord, og tar ut HDDen, så vil bitlocker kreve nøkkelen.

Hvis ikke, hvorfor ville microsoft gitt det muligheten til å dekryptere automatisk på denne maskinen?

Spørsmålet mitt er: Uten å bruke minnebrikke, og uten å ha TPM, er denne funksjonen bare svada? Kan disken min enkelt åpnes på en annen maskin?
Sitat av Picard Vis innlegg
Man kan jo også ha et bios passord, og velge at diskene automatisk dekrypteres på denne maskinen. Mens hvis noen tar maskinen din, ikke kan bios passord, og tar ut HDDen, så vil bitlocker kreve nøkkelen.

Hvis ikke, hvorfor ville microsoft gitt det muligheten til å dekryptere automatisk på denne maskinen?

Spørsmålet mitt er: Uten å bruke minnebrikke, og uten å ha TPM, er denne funksjonen bare svada? Kan disken min enkelt åpnes på en annen maskin?
Vis hele sitatet...
Nei, den kan ikke åpnes automatisk på en annen maskin.
Derimot, om de flytter OS disk og kryptert disk over til et annet hovedkort, kan de.

Derfor, må du sette HDD passord i bios, og ikke bare vanlig bios-passord om du ikke vil bruke minnebrikke osv.
Laxzzi:

Okay, den er grei! Takk for informativt svar. Jeg har nå både bios passord, og HDD passord satt på i Bios nå.

Er jeg da trygg med å velge at alle diskene mine dekrypteres automatisk på denne maskinen?

Jeg vet jeg har nevnt det flere ganger, men jeg har ikke Trusted Platform module om det har noe å si.
Det er selvfølgelig ikke like trygt som å ha minnepinne eller TPM, men det kreves litt mer enn den gjennomsnittlige scriptkiddien klarer å få til
Sitat av laxzzi Vis innlegg
Det er selvfølgelig ikke like trygt som å ha minnepinne eller TPM, men det kreves litt mer enn den gjennomsnittlige scriptkiddien klarer å få til
Vis hele sitatet...
Så det er fortsatt ikke bulletproof? Jeg har sensitive data på pcen, og det må være bulletproof. Jeg kan ikke bruke usb, fordi jeg kommer til og miste den. Jeg er aldri på et sted mer enn et par måneder.

Jeg vil at disken min skal være fullstendig kryptert mot de mest skillede av de skillede.

Burde jeg bare velge og dekryptere bitlocker med passord hver gang da? Og da kan jeg vel drite i alle andre passord.

Btw, jeg har SSD og HDD.
Sitter å skriver men kommer på noe, win7 eller 8?
Ridder av 1. klasse
Truecrypt kan jo kryptere både systemdisk og andre disker, skal visst nok være ganske sikkert...
Sitat av Mchjort Vis innlegg
Truecrypt kan jo kryptere både systemdisk og andre disker, skal visst nok være ganske sikkert...
Vis hele sitatet...
Det kan jo bitlocker også.


TS:
Jeg er usikker på hvordan sikkerheten er rundt HDD passord i bios, men dersom sikkerheten er så utrolig viktig for deg, burde du bare bli flinkere til å passe på tingene dine.
Skaff deg en minnepinne du kan huke på nøkkelknipet ellernoe.

HDD passord satt i BIOS har backdoor som kan misbrukes, noe bitlocker derimot ikke har.
Om du er journalist i Kina og kinesiske onkel gestapo banker på døren din, og du blir tatt med nøkkelknipe og laptop så er saken du allerede tatt.

Jeg vil at informasjonen for og åpne pcen skal være i hodet mitt, og ingen andre steder.

Slik er det nå:

Systemdisk 1(Os disken): Den har passord
Disk 2, 3 og 4 er satt til og bare åpnes på denne pcen.

Siden de ikke får åpnet os disken uten passord, da vil vel ikke de andre diskene åpnes automatisk om de tas ut og puttes i en annen pc? Eller må jeg virkelig skrive inn 4 passord for 4 disker?

Virker ikke som noen helt har klare svar på dette
Neutral Good
Mith's Avatar
Hvis du ikke har USB eller TPM så må du nødvendigvis inn med passord for å unlocke en drive.
TPM/USB er jo for å sikre at disken sitter i din maskin eller at du er tilstede med din USB-nøkkel.

Med dine krav så må det vel være nok å bare kryptere det du ikke vil andre vil se og ikke kryptere hele systemet?
Da trenger du bare et passord og du trenger det bare når du skal inn på det krypterte materialet.
Du må gi oss info på om du har win 7 eller 8, så vidt jeg forstår har du flere policier i win 8.

Edit kjør på med efs kryptering på mappene i tillegg, 2048 bits rsa kryptering, legg private key på mail.

Edit ser nå ut som at du har win 8, litt kjei i huet. Dette kan vel være ok da. Det at OS disken låser opp de andre diskene er helt greit, os disk har

Bitlocker policies win 8: http://technet.microsoft.com/en-us/l...aspx#BKMK_ospw

Guide win 8 fixed drives (ikke OS disken) http://www.eightforums.com/tutorials...ndows-8-a.html

Quote fra den linken: A fixed data drive that has been encrypted by BitLocker will either automatically be unlocked, or prompt for a smart card or password depending on how you configured it before being unlocked. Encrypted fixed data drives can be configured to automatically unlock when you sign in to Windows 8 after the operating system drive has been unlocked. To be able to automatically unlock fixed data drives, the OS drive that Windows 8 is installed on must also be encrypted by BitLocker.

1 policy:
Configure use of passwords for operating system drives

Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives



This policy setting specifies the constraints for passwords used to unlock BitLocker-protected operating system drives. If non-TPM protectors are allowed on operating system drives, you can provision a password, enforce complexity requirements on the password, and configure a minimum length for the password. For the complexity requirement setting to be effective the Group Policy setting Password must meet complexity requirements located in Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\ must be also enabled.
noteNote
These settings are enforced when turning on BitLocker, not when unlocking a volume. BitLocker will allow unlocking a drive with any of the protectors available on the drive.

If you enable this policy setting, users can configure a password that meets the requirements you define. To enforce complexity requirements on the password, select Require complexity.

When set to Require complexity a connection to a domain controller is necessary when BitLocker is enabled to validate the complexity the password. When set to Allow complexity a connection to a domain controller will be attempted to validate the complexity adheres to the rules set by the policy, but if no domain controllers are found the password will still be accepted regardless of actual password complexity and the drive will be encrypted using that password as a protector. When set to Do not allow complexity, no password complexity validation will be done.

Passwords must be at least 8 characters. To configure a greater minimum length for the password, enter the desired number of characters in the Minimum password length box.

If you disable or do not configure this policy setting, the default length constraint of 8 characters will apply to operating system drive passwords and no complexity checks will occur.
Sist endret av SinHazzard; 13. mai 2013 kl. 18:12.
Jeg får selv uten TPM og minnebrikke valget om å la alle diskene dekryptere automatisk.

Nå har jeg bare passord på OS disken, og håper at de andre 3 diskene da vil kreve nøkkel om de blir bootet uten OS disken.

Jeg må skrive in bitlocker passordet på OS disken hver gang jeg starter pcen, men har satt de andre til automatisk altså.
Da er du nok good to go, de andre hd'ene vil ikke bli låst opp før OS disken er aktiv.