Jullie ervaringen bij Windows systeemencryptie

Windows, Android, iOS, Linux, Chrome OS, ...
Plaats reactie
Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 341
Lid geworden op: 07 jan 2012, 10:57
Uitgedeelde bedankjes: 88 keer
Bedankt: 34 keer
Recent bedankt: 4 keer

Dag iedereen,

ben al enige maanden aan 't filosoferen over de meest optimale beveiligingsmethode voor mijn desktop pc. Vooraleer ik verder ga, ziehier de specifics:
  • Operating System: Windows 10 Pro 64-bit
  • CPU: Intel Core i5 6500 @ 3.20GHz, Skylake 14nm Technology
  • RAM: 16.0 GB Dual-Channel Unknown @ 1064 MHz (14-14-14-35)
  • Motherboard: MSI H170 GAMING M3 (MS-7978) (U3E1)
  • Graphics: ATI AMD Radeon R9 390 Series (MSI)
  • Disk drives:
    • C: Samsung SSD 850 EVO, 250GiB (233 GB)
    • D: WDC WD2003FZEX-00SRLA0, 1.82 TB
    • E: SAMSUNG HD103UJ, 932 GB
  • Users: één admin (ikzelf), één standaard gebruiker; allen local accounts

Ik heb al geëxperimenteerd met Veracrypt, doch botste daarbij op het gegeven dat deze software (nog) niet in staat is om systeemencryptie te doen indien de systeempartitie geformatteerd is met GPT (tegenover MBR). Bovendien zou ik de UEFI moeten vervangen door legacy in de BIOS. Finaal is er naar 't schijnt veel gedoe met de extra partities die Windows aanmaakt tijdens de install van Windows; heb al via diskpart tijdens het installatieproces geprobeerd om de generatie van deze partities tegen te gaan, to no avail.

Dus tot nader order is Veracrypt geen optie, wat ik uiteraard bijzonder spijtig vind; niet alleen owv. het gegeven dat het om FOSS gaat, maar ook omdat ik MS met zijn Bitlocker optie niet helemaal vertrouw in het bijhouden van mijn rescue key.


Enfin, voorlopig zal het dus toch wel Bitlocker worden, tenminste tot Veracrypt bovenstaande probleempjes heeft opgelost.

Maar hierbij heb ik een aantal gerichte vragen:
  1. ik ben van plan om deze TPM te kopen; ik vermoed dat deze - gegeven bovenstaande hardware - wel compatibel zal zijn?
  2. ik ben een beetje in de war als ik de documentatie over Bitlocker lees; er wordt gesuggereerd om een USB en wachtwoord te gebruiken indien er geen TPM aanwezig zou zijn, een PINcode indien de TPM aanwezig is; dit laatste lijkt me bijzonder onveilig wegens de eenvoud (enkel cijfers) (snel te hacken via brute force software attack)
  3. belangrijker: hoe veilig is Bitlocker als de TPM gewoon in de pc ingeplugd zit? Ik bedoel, ze moeten maar een brute force attack doen als je een PINcode hebt gebruikt; zie ook puntje 2. Ik bedoel maar: er wordt gesuggereerd dat een TPM veiliger is dan een USB die je telkens moet inpluggen alvorens op te starten (zo je geen TPM hebt op je pc), maar dit is momenteel in strijd met mijn gezond verstand: de USB bewaar je ergens anders, de TPM zit altijd in de pc (bv ook als ik niet thuis ben voor 't werk); al vermoed ik dat ik degene ben die fout zit
  4. nog belangrijker: staat alles meteen open, of moet ik na 't inloggen mijn andere schijven ook unlocken met een wachtwoord?

Graag jullie input, thx!

Mortov Molotov
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Brute force met pin kan niet, want na enkele foutieve pogingen ben je verplicht de rescue key in te geven. Wil je effectieve blocklevel encryptie dan lijkt Bitlocker voor mij de beste keuze, of je moet al een encrypted SSD aanschaffen.

Je key moet je zelf bijhouden, dat dat doet MS niet voor jou, dus wees er voorzichtig mee :-)
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6437
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

Je HDD/SSD encrypten heeft toch alleen maar veel zin bij draagbare apparaten en dan nog alleen op je data te beveiligen tegen diegene die dat apparaat gestolen heeft?
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 5780
Lid geworden op: 17 nov 2009, 22:39
Uitgedeelde bedankjes: 261 keer
Bedankt: 1770 keer
Recent bedankt: 10 keer

Ik begrijp ook niet de definitie van "de meest optimale beveiligingsmethode voor mijn desktop pc"

Je mag je harddisk nog zo zwaar encrypteren, ooit is die data allemaal op je scherm zichtbaar geweest terwijl er in Windows 10 mogelijks een aantal ongemerkte spionnen hebben meegelezen.

Ik zou dus eerder eens enige maanden filosoferen over OS-beveiliging dan over HDD-beveliging.
Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 341
Lid geworden op: 07 jan 2012, 10:57
Uitgedeelde bedankjes: 88 keer
Bedankt: 34 keer
Recent bedankt: 4 keer

raf1 schreef:Ik begrijp ook niet de definitie van "de meest optimale beveiligingsmethode voor mijn desktop pc"

Je mag je harddisk nog zo zwaar encrypteren, ooit is die data allemaal op je scherm zichtbaar geweest terwijl er in Windows 10 mogelijks een aantal ongemerkte spionnen hebben meegelezen.

Ik zou dus eerder eens enige maanden filosoferen over OS-beveiliging dan over HDD-beveliging.
Afbeelding

Dan moet ik terug naar Windows 7, gamer zijnde. Lukt nog net met mij skylake processor, maar op lange termijn (nieuwe processor, 2020) moeten we met z'n allen (toch de gamers onder ons) toch naar Windows 10.

Enfin, wat je vraag ter verduidelijking betreft, Raf1: ik probeer mijn data vooral tegen een scenario van fysieke diefstal te beschermen. Backup is al geregeld, maar voor inzicht in m'n data door de daders, moet ik dus nog een oplossing verzinnen.

Vandaar m'n vraag. Afbeelding

Sent from my Nexus 5X using Tapatalk
UBremoved9108
Elite Poster
Elite Poster
Berichten: 806
Lid geworden op: 27 sep 2007, 23:31
Uitgedeelde bedankjes: 31 keer
Bedankt: 29 keer

Bitlocker zorgt er toch gewoon voor dat uw hard disk encrypted is.
Uw PC start steeds op (zonder PIN code of iets anders) en uw Windows logon scherm is de beveiliging: je geraakt niet in Windows zonder u aan te melden.

Wanneer je uw schijf in andere hardware zou steken, moet je uw bitlocker code hebben om te kunnen decrypten (anders zou je uw schijf aan een SATA2USB kunnen hangen).
Je moet met Bitlocker toch nooit bij normaal gebruik van uw PC een extra code of iets dergelijks ingeven?
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Mortov Molotov schreef:ik probeer mijn data vooral tegen een scenario van fysieke diefstal te beschermen. Backup is al geregeld, maar voor inzicht in m'n data door de daders, moet ik dus nog een oplossing verzinnen.
Denk je dat iemand die je desktop komt stelen daar ook maar enige interesse in heeft... of ben jij zo belangrijk ? (de kans dat hackers die informatie remote kunnen inzien is trouwens groter dan dat iemand fysiek een desktop PC komt stelen - dingen zijn te groot en lomp).

In ieder geval de oplossing is reeds gegeven... gewoon Bitlocker gebruiken.
Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 341
Lid geworden op: 07 jan 2012, 10:57
Uitgedeelde bedankjes: 88 keer
Bedankt: 34 keer
Recent bedankt: 4 keer

cyberbozzo schreef:Bitlocker zorgt er toch gewoon voor dat uw hard disk encrypted is.
Uw PC start steeds op (zonder PIN code of iets anders) en uw Windows logon scherm is de beveiliging: je geraakt niet in Windows zonder u aan te melden.

Wanneer je uw schijf in andere hardware zou steken, moet je uw bitlocker code hebben om te kunnen decrypten (anders zou je uw schijf aan een SATA2USB kunnen hangen).
Je moet met Bitlocker toch nooit bij normaal gebruik van uw PC een extra code of iets dergelijks ingeven?
Dat maakt veel duidelijk, dank je!

Sent from my Nexus 5X using Tapatalk
Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 341
Lid geworden op: 07 jan 2012, 10:57
Uitgedeelde bedankjes: 88 keer
Bedankt: 34 keer
Recent bedankt: 4 keer

r2504 schreef:
Mortov Molotov schreef:ik probeer mijn data vooral tegen een scenario van fysieke diefstal te beschermen. Backup is al geregeld, maar voor inzicht in m'n data door de daders, moet ik dus nog een oplossing verzinnen.
Denk je dat iemand die je desktop komt stelen daar ook maar enige interesse in heeft... of ben jij zo belangrijk ? (de kans dat hackers die informatie remote kunnen inzien is trouwens groter dan dat iemand fysiek een desktop PC komt stelen - dingen zijn te groot en lomp).

In ieder geval de oplossing is reeds gegeven... gewoon Bitlocker gebruiken.
Ik kan het hier niet meteen vrijgeven, maar ik ben erg belangrijk, ja. Heb van zowat alle politieke partijen smerige info die ik dan telkens inzet vooraleer 't verkiezingen zijn. Herinner je je m'n briljante zet nog van de dioxine nog in 1999? Afbeelding

Sent from my Nexus 5X using Tapatalk
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Mortov Molotov schreef:Heb van zowat alle politieke partijen smerige info die ik dan telkens inzet vooraleer 't verkiezingen zijn.
Gooi die dan maar meteen op de straat... zoiets moet je niet achter slot en grendel hebben... mensen moeten dat gewoon weten :!:
Gebruikersavatar
Goztow
Administrator
Administrator
Berichten: 14441
Lid geworden op: 14 nov 2006, 16:21
Locatie: Brussel
Uitgedeelde bedankjes: 1600 keer
Bedankt: 1194 keer
Recent bedankt: 6 keer

Huur een VPN in een datacenter in Rusland, zet alles erop en log erop in met remote control. Ik vermoed dat voor remote control ook wel wat meer beveiligde protocols bestaan dan de standaard Windows rdp?

Zet een hele hoop fake news op je lokale harde schijf om de dieven lang genoeg bezig te houden wanneer ze je pc te pakken hebben.

Zo ben je ook meteen veilig tegen een crypto locker.
Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 341
Lid geworden op: 07 jan 2012, 10:57
Uitgedeelde bedankjes: 88 keer
Bedankt: 34 keer
Recent bedankt: 4 keer

Goztow schreef:Huur een VPN in een datacenter in Rusland, zet alles erop en log erop in met remote control. Ik vermoed dat voor remote control ook wel wat meer beveiligde protocols bestaan dan de standaard Windows rdp?

Zet een hele hoop fake news op je lokale harde schijf om de dieven lang genoeg bezig te houden wanneer ze je pc te pakken hebben.

Zo ben je ook meteen veilig tegen een crypto locker.
Bon, all humor aside. Ik wil niet dat de foto's van mijn kinderen in de verkeerde handen vallen, nu duidelijk Afbeelding?

Sent from my Nexus 5X using Tapatalk
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Mortov Molotov schreef:Bon, all humor aside. Ik wil niet dat de foto's van mijn kinderen in de verkeerde handen vallen, nu duidelijk Afbeelding?
Euh, heb jij dan compromitterende foto's van je kinderen ? Ik vrees dat we je dan moeten rapporteren :wink:
Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 341
Lid geworden op: 07 jan 2012, 10:57
Uitgedeelde bedankjes: 88 keer
Bedankt: 34 keer
Recent bedankt: 4 keer

Ok, slotconclusie: ik koop me zo'n tpm aan, installeer bitlocker en - en dit is serieus bedoeld - ik nodig vrijwilligers onder jullie uit om mijn pc te hacken (white hat weliswaar)

Deal?

Sent from my Nexus 5X using Tapatalk
Gebruikersavatar
Goztow
Administrator
Administrator
Berichten: 14441
Lid geworden op: 14 nov 2006, 16:21
Locatie: Brussel
Uitgedeelde bedankjes: 1600 keer
Bedankt: 1194 keer
Recent bedankt: 6 keer

Mijn suggestie beantwoordde nochtans aan je verwachtingen denk ik. :angel:
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

@TS, errm ... van mij mag jij je HD encrypteren zoveel je wil maar dat gaat echt geen enkele extra beveiliging opleveren tegen remote hacking hoor. Eens je bent opgestart, en I.t.t. Eerder kan dat wel met een pincode beveiligd worden voor je os überhaupt kan starten, maar als Windows geladen is, is je Hdd unlocked en is dus, vanuit praktisch perspectief, je data niet meer geencrypteerd ... dus een hacker die binnenkant kan gewoon je data lezen alsof je helemaal geen encryptie had gedaan.

Dus even terug naar wat hierboven al werd aangehaald, lees eerst wat meer over OS en netwerkbeveiliging alvorens je druk te maken over hdd encryptie van je desktop. Moesten we over een laptop spreken dan was het inderdaad iets anders.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 341
Lid geworden op: 07 jan 2012, 10:57
Uitgedeelde bedankjes: 88 keer
Bedankt: 34 keer
Recent bedankt: 4 keer

Sasuke schreef:@TS, errm ... van mij mag jij je HD encrypteren zoveel je wil maar dat gaat echt geen enkele extra beveiliging opleveren tegen remote hacking hoor. Eens je bent opgestart, en I.t.t. Eerder kan dat wel met een pincode beveiligd worden voor je os überhaupt kan starten, maar als Windows geladen is, is je Hdd unlocked en is dus, vanuit praktisch perspectief, je data niet meer geencrypteerd ... dus een hacker die binnenkant kan gewoon je data lezen alsof je helemaal geen encryptie had gedaan.

Dus even terug naar wat hierboven al werd aangehaald, lees eerst wat meer over OS en netwerkbeveiliging alvorens je druk te maken over hdd encryptie van je desktop. Moesten we over een laptop spreken dan was het inderdaad iets anders.
Interesting. Will do.

Maar ik veronderstel dus dat je bedoelt dat Bitdefender total security, surf/mailhygiëne + wat gezond verstand dus alsnog onvoldoende zijn?

Sent from my Nexus 5X using Tapatalk
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Voor jouw wensen wel ja, bitlocker en consorten zijn enkel en alleen een beveiliging voor diefstal van je harde schijf of Pc, niet voor actieve protectie. Het zorgt wel voor de extra als je echt 100% paranoia bent, of als je een laptop hebt, maar verder niet.

Zoals ik regelmatig tegen mijn medewerkers en klanten zeg:
Security is a mindset or an attitude, not a tool or a software
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
UBremoved9108
Elite Poster
Elite Poster
Berichten: 806
Lid geworden op: 27 sep 2007, 23:31
Uitgedeelde bedankjes: 31 keer
Bedankt: 29 keer

Sasuke schreef: Zoals ik regelmatig tegen mijn medewerkers en klanten zeg:
Security is a mindset or an attitude, not a tool or a software
Klopt deels. Hoewel correcte netwerkinfra belangrijk is (geen poorten open tenzij naar een DMZ zone. DMZ <> trusted LAN: gecontroleerd door firewall en dergelijke). En voor de rest ook softwarematig security afdwingen bij je end users (password policy, blokkeren cloud services, etc).
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

En toch is drive encryption een handige layer, als je niet wil dat dieven aan je files kunnen.
PCs slaan nu eenmaal veel persoonlijke documenten enzo op, en het is mss niet dom om die te beveiligen met bitlocker.
Je moet natuurlijk wel weten wat je doet, want als de pc sterft en je moet de drive extern gaan aansluiten om aan files te geraken, ga je de key moeten hebben, anders is het nada.

Ontkennen dat dat zijn nut heeft is onzin, zelfs gsms als iphone en een aantal androids zijn volop aan het inzetten op device encryption.
Gebruikersavatar
antutu
Pro Member
Pro Member
Berichten: 376
Lid geworden op: 12 jun 2017, 17:17
Uitgedeelde bedankjes: 147 keer
Bedankt: 37 keer

Afbeelding
There's something strange and you can't reboot. Who you gonna call? Joost Prutsers.
Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 341
Lid geworden op: 07 jan 2012, 10:57
Uitgedeelde bedankjes: 88 keer
Bedankt: 34 keer
Recent bedankt: 4 keer

antutu schreef:Afbeelding
:lol:
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Uhu, maar dat geldt dus absoluut niet bij diefstal.
Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 341
Lid geworden op: 07 jan 2012, 10:57
Uitgedeelde bedankjes: 88 keer
Bedankt: 34 keer
Recent bedankt: 4 keer

Kleine update:

Ben er toch in geslaagd om m'n GTP partitioned systeemdrive te encrypteren, lukt blijkbaar flawless via Veracrypt vanaf versie 1.18; vorige keer is 't waarschijnlijk misgelopen wegens een PBKAC.

Eén nadeel is dat ik (nog) geen hidden OS kan installeren, maar kom, dat nemen we er dan maar bij.

Wie hier zelf vragen over heeft, kan ze gerust in deze topic posten, maar 'k zal binnenkort een soort guide schrijven, als ik tijd heb :-)
proz
Premium Member
Premium Member
Berichten: 675
Lid geworden op: 05 feb 2005, 00:30
Locatie: BE
Uitgedeelde bedankjes: 58 keer
Bedankt: 49 keer

Ik vind een volledige systeemencryptie op een Windows niet efficiënt, waarom niet werken met oldskool Truecrypt containers?
Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 341
Lid geworden op: 07 jan 2012, 10:57
Uitgedeelde bedankjes: 88 keer
Bedankt: 34 keer
Recent bedankt: 4 keer

proz schreef:Ik vind een volledige systeemencryptie op een Windows niet efficiënt, waarom niet werken met oldskool Truecrypt containers?
Heb dat ooit eens gedaan... Vervolgens sync foutje met dropbox en weg was m'n database (voor m'n Master na master thesis)!


Sent from my Nexus 5X using Tapatalk
fredo66
Elite Poster
Elite Poster
Berichten: 1956
Lid geworden op: 26 jan 2009, 09:29
Locatie: Gent
Uitgedeelde bedankjes: 351 keer
Bedankt: 155 keer

r2504 schreef:
Mortov Molotov schreef:Bon, all humor aside. Ik wil niet dat de foto's van mijn kinderen in de verkeerde handen vallen, nu duidelijk Afbeelding?
Euh, heb jij dan compromitterende foto's van je kinderen ? Ik vrees dat we je dan moeten rapporteren :wink:
Nog een reden voor encryptie zou kunnen zijn mocht TS niet willen dat zijn kinderen zijn foto's zien ... :-)
EDPNET VDSL XS' - Fritzbox 7360v1 - Voip EDPNET in en Megavoip uit - One+ - Roku3 - PS4Pro
Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 341
Lid geworden op: 07 jan 2012, 10:57
Uitgedeelde bedankjes: 88 keer
Bedankt: 34 keer
Recent bedankt: 4 keer

fredo66 schreef:
r2504 schreef:
Mortov Molotov schreef:Bon, all humor aside. Ik wil niet dat de foto's van mijn kinderen in de verkeerde handen vallen, nu duidelijk Afbeelding?
Euh, heb jij dan compromitterende foto's van je kinderen ? Ik vrees dat we je dan moeten rapporteren :wink:
Nog een reden voor encryptie zou kunnen zijn mocht TS niet willen dat zijn kinderen zijn foto's zien ... :-)
:lol:
Plaats reactie

Terug naar “Software en apps”