Pagina 1 van 1

Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 28 jul 2017, 23:43
door Mortov Molotov
Dag iedereen,

ben al enige maanden aan 't filosoferen over de meest optimale beveiligingsmethode voor mijn desktop pc. Vooraleer ik verder ga, ziehier de specifics:
  • Operating System: Windows 10 Pro 64-bit
  • CPU: Intel Core i5 6500 @ 3.20GHz, Skylake 14nm Technology
  • RAM: 16.0 GB Dual-Channel Unknown @ 1064 MHz (14-14-14-35)
  • Motherboard: MSI H170 GAMING M3 (MS-7978) (U3E1)
  • Graphics: ATI AMD Radeon R9 390 Series (MSI)
  • Disk drives:
    • C: Samsung SSD 850 EVO, 250GiB (233 GB)
    • D: WDC WD2003FZEX-00SRLA0, 1.82 TB
    • E: SAMSUNG HD103UJ, 932 GB
  • Users: één admin (ikzelf), één standaard gebruiker; allen local accounts

Ik heb al geëxperimenteerd met Veracrypt, doch botste daarbij op het gegeven dat deze software (nog) niet in staat is om systeemencryptie te doen indien de systeempartitie geformatteerd is met GPT (tegenover MBR). Bovendien zou ik de UEFI moeten vervangen door legacy in de BIOS. Finaal is er naar 't schijnt veel gedoe met de extra partities die Windows aanmaakt tijdens de install van Windows; heb al via diskpart tijdens het installatieproces geprobeerd om de generatie van deze partities tegen te gaan, to no avail.

Dus tot nader order is Veracrypt geen optie, wat ik uiteraard bijzonder spijtig vind; niet alleen owv. het gegeven dat het om FOSS gaat, maar ook omdat ik MS met zijn Bitlocker optie niet helemaal vertrouw in het bijhouden van mijn rescue key.


Enfin, voorlopig zal het dus toch wel Bitlocker worden, tenminste tot Veracrypt bovenstaande probleempjes heeft opgelost.

Maar hierbij heb ik een aantal gerichte vragen:
  1. ik ben van plan om deze TPM te kopen; ik vermoed dat deze - gegeven bovenstaande hardware - wel compatibel zal zijn?
  2. ik ben een beetje in de war als ik de documentatie over Bitlocker lees; er wordt gesuggereerd om een USB en wachtwoord te gebruiken indien er geen TPM aanwezig zou zijn, een PINcode indien de TPM aanwezig is; dit laatste lijkt me bijzonder onveilig wegens de eenvoud (enkel cijfers) (snel te hacken via brute force software attack)
  3. belangrijker: hoe veilig is Bitlocker als de TPM gewoon in de pc ingeplugd zit? Ik bedoel, ze moeten maar een brute force attack doen als je een PINcode hebt gebruikt; zie ook puntje 2. Ik bedoel maar: er wordt gesuggereerd dat een TPM veiliger is dan een USB die je telkens moet inpluggen alvorens op te starten (zo je geen TPM hebt op je pc), maar dit is momenteel in strijd met mijn gezond verstand: de USB bewaar je ergens anders, de TPM zit altijd in de pc (bv ook als ik niet thuis ben voor 't werk); al vermoed ik dat ik degene ben die fout zit
  4. nog belangrijker: staat alles meteen open, of moet ik na 't inloggen mijn andere schijven ook unlocken met een wachtwoord?

Graag jullie input, thx!

Mortov Molotov

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 09:26
door Sasuke
Brute force met pin kan niet, want na enkele foutieve pogingen ben je verplicht de rescue key in te geven. Wil je effectieve blocklevel encryptie dan lijkt Bitlocker voor mij de beste keuze, of je moet al een encrypted SSD aanschaffen.

Je key moet je zelf bijhouden, dat dat doet MS niet voor jou, dus wees er voorzichtig mee :-)

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 10:53
door selder
Je HDD/SSD encrypten heeft toch alleen maar veel zin bij draagbare apparaten en dan nog alleen op je data te beveiligen tegen diegene die dat apparaat gestolen heeft?

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 11:17
door raf1
Ik begrijp ook niet de definitie van "de meest optimale beveiligingsmethode voor mijn desktop pc"

Je mag je harddisk nog zo zwaar encrypteren, ooit is die data allemaal op je scherm zichtbaar geweest terwijl er in Windows 10 mogelijks een aantal ongemerkte spionnen hebben meegelezen.

Ik zou dus eerder eens enige maanden filosoferen over OS-beveiliging dan over HDD-beveliging.

Re: RE: Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 11:49
door Mortov Molotov
raf1 schreef:Ik begrijp ook niet de definitie van "de meest optimale beveiligingsmethode voor mijn desktop pc"

Je mag je harddisk nog zo zwaar encrypteren, ooit is die data allemaal op je scherm zichtbaar geweest terwijl er in Windows 10 mogelijks een aantal ongemerkte spionnen hebben meegelezen.

Ik zou dus eerder eens enige maanden filosoferen over OS-beveiliging dan over HDD-beveliging.
Afbeelding

Dan moet ik terug naar Windows 7, gamer zijnde. Lukt nog net met mij skylake processor, maar op lange termijn (nieuwe processor, 2020) moeten we met z'n allen (toch de gamers onder ons) toch naar Windows 10.

Enfin, wat je vraag ter verduidelijking betreft, Raf1: ik probeer mijn data vooral tegen een scenario van fysieke diefstal te beschermen. Backup is al geregeld, maar voor inzicht in m'n data door de daders, moet ik dus nog een oplossing verzinnen.

Vandaar m'n vraag. Afbeelding

Sent from my Nexus 5X using Tapatalk

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 11:50
door UBremoved9108
Bitlocker zorgt er toch gewoon voor dat uw hard disk encrypted is.
Uw PC start steeds op (zonder PIN code of iets anders) en uw Windows logon scherm is de beveiliging: je geraakt niet in Windows zonder u aan te melden.

Wanneer je uw schijf in andere hardware zou steken, moet je uw bitlocker code hebben om te kunnen decrypten (anders zou je uw schijf aan een SATA2USB kunnen hangen).
Je moet met Bitlocker toch nooit bij normaal gebruik van uw PC een extra code of iets dergelijks ingeven?

Re: RE: Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 11:57
door ubremoved_539
Mortov Molotov schreef:ik probeer mijn data vooral tegen een scenario van fysieke diefstal te beschermen. Backup is al geregeld, maar voor inzicht in m'n data door de daders, moet ik dus nog een oplossing verzinnen.
Denk je dat iemand die je desktop komt stelen daar ook maar enige interesse in heeft... of ben jij zo belangrijk ? (de kans dat hackers die informatie remote kunnen inzien is trouwens groter dan dat iemand fysiek een desktop PC komt stelen - dingen zijn te groot en lomp).

In ieder geval de oplossing is reeds gegeven... gewoon Bitlocker gebruiken.

Re: RE: Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 12:02
door Mortov Molotov
cyberbozzo schreef:Bitlocker zorgt er toch gewoon voor dat uw hard disk encrypted is.
Uw PC start steeds op (zonder PIN code of iets anders) en uw Windows logon scherm is de beveiliging: je geraakt niet in Windows zonder u aan te melden.

Wanneer je uw schijf in andere hardware zou steken, moet je uw bitlocker code hebben om te kunnen decrypten (anders zou je uw schijf aan een SATA2USB kunnen hangen).
Je moet met Bitlocker toch nooit bij normaal gebruik van uw PC een extra code of iets dergelijks ingeven?
Dat maakt veel duidelijk, dank je!

Sent from my Nexus 5X using Tapatalk

Re: RE: Re: RE: Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 12:04
door Mortov Molotov
r2504 schreef:
Mortov Molotov schreef:ik probeer mijn data vooral tegen een scenario van fysieke diefstal te beschermen. Backup is al geregeld, maar voor inzicht in m'n data door de daders, moet ik dus nog een oplossing verzinnen.
Denk je dat iemand die je desktop komt stelen daar ook maar enige interesse in heeft... of ben jij zo belangrijk ? (de kans dat hackers die informatie remote kunnen inzien is trouwens groter dan dat iemand fysiek een desktop PC komt stelen - dingen zijn te groot en lomp).

In ieder geval de oplossing is reeds gegeven... gewoon Bitlocker gebruiken.
Ik kan het hier niet meteen vrijgeven, maar ik ben erg belangrijk, ja. Heb van zowat alle politieke partijen smerige info die ik dan telkens inzet vooraleer 't verkiezingen zijn. Herinner je je m'n briljante zet nog van de dioxine nog in 1999? Afbeelding

Sent from my Nexus 5X using Tapatalk

Re: RE: Re: RE: Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 12:10
door ubremoved_539
Mortov Molotov schreef:Heb van zowat alle politieke partijen smerige info die ik dan telkens inzet vooraleer 't verkiezingen zijn.
Gooi die dan maar meteen op de straat... zoiets moet je niet achter slot en grendel hebben... mensen moeten dat gewoon weten :!:

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 12:27
door Goztow
Huur een VPN in een datacenter in Rusland, zet alles erop en log erop in met remote control. Ik vermoed dat voor remote control ook wel wat meer beveiligde protocols bestaan dan de standaard Windows rdp?

Zet een hele hoop fake news op je lokale harde schijf om de dieven lang genoeg bezig te houden wanneer ze je pc te pakken hebben.

Zo ben je ook meteen veilig tegen een crypto locker.

Re: RE: Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 13:08
door Mortov Molotov
Goztow schreef:Huur een VPN in een datacenter in Rusland, zet alles erop en log erop in met remote control. Ik vermoed dat voor remote control ook wel wat meer beveiligde protocols bestaan dan de standaard Windows rdp?

Zet een hele hoop fake news op je lokale harde schijf om de dieven lang genoeg bezig te houden wanneer ze je pc te pakken hebben.

Zo ben je ook meteen veilig tegen een crypto locker.
Bon, all humor aside. Ik wil niet dat de foto's van mijn kinderen in de verkeerde handen vallen, nu duidelijk Afbeelding?

Sent from my Nexus 5X using Tapatalk

Re: RE: Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 13:31
door ubremoved_539
Mortov Molotov schreef:Bon, all humor aside. Ik wil niet dat de foto's van mijn kinderen in de verkeerde handen vallen, nu duidelijk Afbeelding?
Euh, heb jij dan compromitterende foto's van je kinderen ? Ik vrees dat we je dan moeten rapporteren :wink:

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 13:41
door Mortov Molotov
Ok, slotconclusie: ik koop me zo'n tpm aan, installeer bitlocker en - en dit is serieus bedoeld - ik nodig vrijwilligers onder jullie uit om mijn pc te hacken (white hat weliswaar)

Deal?

Sent from my Nexus 5X using Tapatalk

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 14:46
door Goztow
Mijn suggestie beantwoordde nochtans aan je verwachtingen denk ik. :angel:

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 17:22
door Sasuke
@TS, errm ... van mij mag jij je HD encrypteren zoveel je wil maar dat gaat echt geen enkele extra beveiliging opleveren tegen remote hacking hoor. Eens je bent opgestart, en I.t.t. Eerder kan dat wel met een pincode beveiligd worden voor je os überhaupt kan starten, maar als Windows geladen is, is je Hdd unlocked en is dus, vanuit praktisch perspectief, je data niet meer geencrypteerd ... dus een hacker die binnenkant kan gewoon je data lezen alsof je helemaal geen encryptie had gedaan.

Dus even terug naar wat hierboven al werd aangehaald, lees eerst wat meer over OS en netwerkbeveiliging alvorens je druk te maken over hdd encryptie van je desktop. Moesten we over een laptop spreken dan was het inderdaad iets anders.

Re: RE: Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 17:25
door Mortov Molotov
Sasuke schreef:@TS, errm ... van mij mag jij je HD encrypteren zoveel je wil maar dat gaat echt geen enkele extra beveiliging opleveren tegen remote hacking hoor. Eens je bent opgestart, en I.t.t. Eerder kan dat wel met een pincode beveiligd worden voor je os überhaupt kan starten, maar als Windows geladen is, is je Hdd unlocked en is dus, vanuit praktisch perspectief, je data niet meer geencrypteerd ... dus een hacker die binnenkant kan gewoon je data lezen alsof je helemaal geen encryptie had gedaan.

Dus even terug naar wat hierboven al werd aangehaald, lees eerst wat meer over OS en netwerkbeveiliging alvorens je druk te maken over hdd encryptie van je desktop. Moesten we over een laptop spreken dan was het inderdaad iets anders.
Interesting. Will do.

Maar ik veronderstel dus dat je bedoelt dat Bitdefender total security, surf/mailhygiëne + wat gezond verstand dus alsnog onvoldoende zijn?

Sent from my Nexus 5X using Tapatalk

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 29 jul 2017, 17:32
door Sasuke
Voor jouw wensen wel ja, bitlocker en consorten zijn enkel en alleen een beveiliging voor diefstal van je harde schijf of Pc, niet voor actieve protectie. Het zorgt wel voor de extra als je echt 100% paranoia bent, of als je een laptop hebt, maar verder niet.

Zoals ik regelmatig tegen mijn medewerkers en klanten zeg:
Security is a mindset or an attitude, not a tool or a software

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 30 jul 2017, 01:32
door UBremoved9108
Sasuke schreef: Zoals ik regelmatig tegen mijn medewerkers en klanten zeg:
Security is a mindset or an attitude, not a tool or a software
Klopt deels. Hoewel correcte netwerkinfra belangrijk is (geen poorten open tenzij naar een DMZ zone. DMZ <> trusted LAN: gecontroleerd door firewall en dergelijke). En voor de rest ook softwarematig security afdwingen bij je end users (password policy, blokkeren cloud services, etc).

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 30 jul 2017, 01:43
door ITnetadmin
En toch is drive encryption een handige layer, als je niet wil dat dieven aan je files kunnen.
PCs slaan nu eenmaal veel persoonlijke documenten enzo op, en het is mss niet dom om die te beveiligen met bitlocker.
Je moet natuurlijk wel weten wat je doet, want als de pc sterft en je moet de drive extern gaan aansluiten om aan files te geraken, ga je de key moeten hebben, anders is het nada.

Ontkennen dat dat zijn nut heeft is onzin, zelfs gsms als iphone en een aantal androids zijn volop aan het inzetten op device encryption.

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 30 jul 2017, 05:08
door antutu
Afbeelding

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 30 jul 2017, 08:27
door Mortov Molotov
antutu schreef:Afbeelding
:lol:

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 30 jul 2017, 15:50
door ITnetadmin
Uhu, maar dat geldt dus absoluut niet bij diefstal.

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 15 aug 2017, 21:16
door Mortov Molotov
Kleine update:

Ben er toch in geslaagd om m'n GTP partitioned systeemdrive te encrypteren, lukt blijkbaar flawless via Veracrypt vanaf versie 1.18; vorige keer is 't waarschijnlijk misgelopen wegens een PBKAC.

Eén nadeel is dat ik (nog) geen hidden OS kan installeren, maar kom, dat nemen we er dan maar bij.

Wie hier zelf vragen over heeft, kan ze gerust in deze topic posten, maar 'k zal binnenkort een soort guide schrijven, als ik tijd heb :-)

Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 15 aug 2017, 21:42
door proz
Ik vind een volledige systeemencryptie op een Windows niet efficiënt, waarom niet werken met oldskool Truecrypt containers?

Re: RE: Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 15 aug 2017, 23:18
door Mortov Molotov
proz schreef:Ik vind een volledige systeemencryptie op een Windows niet efficiënt, waarom niet werken met oldskool Truecrypt containers?
Heb dat ooit eens gedaan... Vervolgens sync foutje met dropbox en weg was m'n database (voor m'n Master na master thesis)!


Sent from my Nexus 5X using Tapatalk

Re: RE: Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 16 aug 2017, 15:08
door fredo66
r2504 schreef:
Mortov Molotov schreef:Bon, all humor aside. Ik wil niet dat de foto's van mijn kinderen in de verkeerde handen vallen, nu duidelijk Afbeelding?
Euh, heb jij dan compromitterende foto's van je kinderen ? Ik vrees dat we je dan moeten rapporteren :wink:
Nog een reden voor encryptie zou kunnen zijn mocht TS niet willen dat zijn kinderen zijn foto's zien ... :-)

Re: RE: Re: Jullie ervaringen bij Windows systeemencryptie

Geplaatst: 16 aug 2017, 22:00
door Mortov Molotov
fredo66 schreef:
r2504 schreef:
Mortov Molotov schreef:Bon, all humor aside. Ik wil niet dat de foto's van mijn kinderen in de verkeerde handen vallen, nu duidelijk Afbeelding?
Euh, heb jij dan compromitterende foto's van je kinderen ? Ik vrees dat we je dan moeten rapporteren :wink:
Nog een reden voor encryptie zou kunnen zijn mocht TS niet willen dat zijn kinderen zijn foto's zien ... :-)
:lol: