Hur mycket tappar man med Bitlocker?

Mig veterligen så använder Bitlocker AES-NI, vilket din propp stödjer. Så gammal vet jag inte om den är, kör generationen innan i min maskin som tuffar och går
I prestanda, så lär du inte tappa nämnvärt. Jag har kryptering (just Bitlocker) på min jobbdator och märker knappt av den, har aldrig upplevt taskiga hastigheter. Det är bara att slå på och testa!

Jag har bara använt bitlocker på Windows 10, men borde ju funka på samma sätt på Windows Server.
Har du en TPM-krets i datorn så efterfrågas inga lösenord alls. Du bara startar och loggar in som vanligt.
Har du ingen TPM-krets så efterfrågas ett lösenord när OSet bootar, alltså innan du kan logga in via RDP.

Detta är väl inte riktigt rätt. Har du TPM krets så sparas din "Passphrase" där (krypterad) och sedan måste du ange den innan du får åtkomst till disken på något sätt (inklusive boot). Har du inte TPM har jag för mig att man måste spara nyckeln på en USB sticka och datorn bootar bara om nyckeln finns tillgänglig via USB. Detaljerna kan jag inte eftersom jag aldrig behövt köra utan TPM.

Annars, som ni själv är inne på, ger det ingen mening med TPM. Då hade det räckt att kunna Windows lösen för att komma åt disken.

Vad gäller huvudfrågan kan jag tyvärr inte hjälpa till.

Jag har som sagt bara testat på en domänansluten klient, och efter att jag aktiverade bitlocker och startade om så blev jag inte ombedd att mata in något alls förrän den vanliga inloggningen mot mitt konto.
Det kan hända att min inloggning låser upp TPM-kretsen som sedan har den riktiga nyckeln, men då är ju inte allt krypterat?

@Xcorp: Kanske har du inte krypterad OS disk utan bara krypterat sekundära diskar?

@XCorp
@Calby

Vi kör "Require additional authentication at startup" group policy (gpedit) under "Adminiastrative Templates\Windows Components\Bit Locker Drive Encryption\Operation System Drive"

Det är därför jag måste skriva in Passphrase innan boot. Detta ger ökad säkerhet då denna Passphrase inte behöver laddas in i minnet under boot. För detaljer kolla här under "Protection during pre-boot: Pre-boot authentication":

https://docs.microsoft.com/en-us/windows/device-security/bitl...

Bra att jag tvingades kolla upp detta. Tack

@Calby
Efter att ha läst dokumentet är min förståelse att båda alternativen (med och utan pre-boot authentication) är säkra och dekrypterar datat med din passphrase. Skillnaden är att med pre-boot authentikation så ligger din passphrase aldrig i minnet. DMA attacker som läser direkt från minnet kan alltså inte läsa ut din passphrase. Om man läser lite längre ned i dokumentet så är det specifikt datorer med t.ex. firewire och thunderbolt som är mottagliga för sådana attacker. Har inte fantasi nog att förstå exakt hur dock

Vad gäller TPM with PIN så är det precis det man aktiverar med "Require additional authentication at startup" som jag beskrev ovan.

Japp, leta upp "Allow enhanced PINs for startup" i grupp policies för BitLocker. Utöver det så brukar man konfigurera "Configure use of passwords for operating system drives" för att tvinga användare till en minimum längd på lösen etc.

Antar att du inte kör virtuella maskiner?

@Calby: Enligt VMware ska man inte köra bitlocker på OS-disk. Vet inte hur stödet för det är i HyperV riktigt.

Saxat från Technet: https://social.technet.microsoft.com/Forums/office/en-US/38bd...

"Bitlocker is not supported inside VMs. That is due to the fact that TPM chips cannot be passed through into VMs.

It does however not mean, that BL won't work. You cannot use netunlock as it needs a tpm - correct. But you can use startup keys (emulated floppy disks) that provide the key so you have a hands-free reboot."