Hur mycket tappar man med Bitlocker?

Trädvy Permalänk
Medlem
Registrerad
Jun 2012

Hur mycket tappar man med Bitlocker?

Hej,
Jag funderar lite på om jag ska kryptera mina diskar som sitter i servern, men hur mycket tappar man med bitlocker på?

Min server består av följande:
SSD: OS
SSD: Slask disk
3xWD Red: Lagring

CPU: Xeon E3-1265l v2 (Vet gammal men den funkar.)
RAM: 16GB DDR3

Stödjer ens min CPU Bitlocker?

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2007
Skrivet av Calby:

Hej,
Jag funderar lite på om jag ska kryptera mina diskar som sitter i servern, men hur mycket tappar man med bitlocker på?

Min server består av följande:
SSD: OS
SSD: Slask disk
3xWD Red: Lagring

CPU: Xeon E3-1265l v2 (Vet gammal men den funkar.)
RAM: 16GB DDR3

Stödjer ens min CPU Bitlocker?

Mig veterligen så använder Bitlocker AES-NI, vilket din propp stödjer. Så gammal vet jag inte om den är, kör generationen innan i min maskin som tuffar och går
I prestanda, så lär du inte tappa nämnvärt. Jag har kryptering (just Bitlocker) på min jobbdator och märker knappt av den, har aldrig upplevt taskiga hastigheter. Det är bara att slå på och testa!

WS: Bärbar workstation, 2 * Dell U2412M
HTPC: Intel NUC, Canton GLE 496, Yamaha RV-A830, Sanyo PLV-Z700
Server: Intel Xeon E3-1240@3.4 GHz, ESXi, 32GB RAM, 8*2TB RAID-Z2 + SSD-cache
Slösurf: MacBook Air 11,6", Samsung S8
Kamera: Canon EOS 5DII + 1DIII, Canon 100/2.8 Macro, Canon 70-200/2.8L, Canon 24-70/2.8L

Trädvy Permalänk
Medlem
Registrerad
Jun 2012

@zyberzero: Tack för svaret, då kommer en följdfråga.

Om jag krypterar hela min servers OS disk låses denna disk upp då per automatik när man loggar in som användare på servern via RDP vid reboot?
Det är en viktig aspekt så man slipper hålla på med massa "struliga" saker.
Fungerar det precis som på en vanlig client dator med Windows 10 är väll en enklare formulering av frågan.

Jag vet att dom övriga diskarna kan man ha så att dom "auto-skriver-in-lösenordet" när man bootar - dvs dom andra diskarna som ligger på servern.

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Registrerad
Nov 2011

Jag har bara använt bitlocker på Windows 10, men borde ju funka på samma sätt på Windows Server.
Har du en TPM-krets i datorn så efterfrågas inga lösenord alls. Du bara startar och loggar in som vanligt.
Har du ingen TPM-krets så efterfrågas ett lösenord när OSet bootar, alltså innan du kan logga in via RDP.

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av Xcorp:

Jag har bara använt bitlocker på Windows 10, men borde ju funka på samma sätt på Windows Server.
Har du en TPM-krets i datorn så efterfrågas inga lösenord alls. Du bara startar och loggar in som vanligt.
Har du ingen TPM-krets så efterfrågas ett lösenord när OSet bootar, alltså innan du kan logga in via RDP.

Okej, så vilket som så är allt krypterat, men TPM kretsen låter lite osäkert, så då kan någon bara försöka att "knäcka" mitt MS lösenord och lyckas dom med det så kommer dom åt all min krypterade data.

I mitt fall så har jag pinkod för att logga in i MS.

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jan 2010
Skrivet av Xcorp:

Jag har bara använt bitlocker på Windows 10, men borde ju funka på samma sätt på Windows Server.
Har du en TPM-krets i datorn så efterfrågas inga lösenord alls. Du bara startar och loggar in som vanligt.
Har du ingen TPM-krets så efterfrågas ett lösenord när OSet bootar, alltså innan du kan logga in via RDP.

Detta är väl inte riktigt rätt. Har du TPM krets så sparas din "Passphrase" där (krypterad) och sedan måste du ange den innan du får åtkomst till disken på något sätt (inklusive boot). Har du inte TPM har jag för mig att man måste spara nyckeln på en USB sticka och datorn bootar bara om nyckeln finns tillgänglig via USB. Detaljerna kan jag inte eftersom jag aldrig behövt köra utan TPM.

Annars, som ni själv är inne på, ger det ingen mening med TPM. Då hade det räckt att kunna Windows lösen för att komma åt disken.

Vad gäller huvudfrågan kan jag tyvärr inte hjälpa till.

Trädvy Permalänk
Medlem
Registrerad
Nov 2011
Skrivet av sunefred:

Detta är väl inte riktigt rätt. Har du TPM krets så sparas din "Passphrase" där (krypterad) och sedan måste du ange den innan du får åtkomst till disken på något sätt (inklusive boot). Har du inte TPM har jag för mig att man måste spara nyckeln på en USB sticka och datorn bootar bara om nyckeln finns tillgänglig via USB. Detaljerna kan jag inte eftersom jag aldrig behövt köra utan TPM.

Jag har som sagt bara testat på en domänansluten klient, och efter att jag aktiverade bitlocker och startade om så blev jag inte ombedd att mata in något alls förrän den vanliga inloggningen mot mitt konto.
Det kan hända att min inloggning låser upp TPM-kretsen som sedan har den riktiga nyckeln, men då är ju inte allt krypterat?

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jan 2010

@Xcorp: Kanske har du inte krypterad OS disk utan bara krypterat sekundära diskar?

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av sunefred:

Detta är väl inte riktigt rätt. Har du TPM krets så sparas din "Passphrase" där (krypterad) och sedan måste du ange den innan du får åtkomst till disken på något sätt (inklusive boot). Har du inte TPM har jag för mig att man måste spara nyckeln på en USB sticka och datorn bootar bara om nyckeln finns tillgänglig via USB. Detaljerna kan jag inte eftersom jag aldrig behövt köra utan TPM.

Annars, som ni själv är inne på, ger det ingen mening med TPM. Då hade det räckt att kunna Windows lösen för att komma åt disken.

Vad gäller huvudfrågan kan jag tyvärr inte hjälpa till.

Jag behöver endast skriva in min pin-kod till windows 10 på mina clienter och där är hela diskarna krypterade med Bitlocker så ditt påstående verkar inte stämma riktigt heller.

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jan 2010

@XCorp
@Calby

Vi kör "Require additional authentication at startup" group policy (gpedit) under "Adminiastrative Templates\Windows Components\Bit Locker Drive Encryption\Operation System Drive"

Det är därför jag måste skriva in Passphrase innan boot. Detta ger ökad säkerhet då denna Passphrase inte behöver laddas in i minnet under boot. För detaljer kolla här under "Protection during pre-boot: Pre-boot authentication":

https://docs.microsoft.com/en-us/windows/device-security/bitl...

Bra att jag tvingades kolla upp detta. Tack

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av sunefred:

@XCorp
@Calby

Vi kör "Require additional authentication at startup" group policy (gpedit) under "Adminiastrative Templates\Windows Components\Bit Locker Drive Encryption\Operation System Drive"

Det är därför jag måste skriva in Passphrase innan boot. Detta ger ökad säkerhet då denna Passphrase inte behöver laddas in i minnet under boot. För detaljer kolla här under "Protection during pre-boot: Pre-boot authentication":

https://docs.microsoft.com/en-us/windows/device-security/bitl...

Bra att jag tvingades kolla upp detta. Tack

Guld! Tackar, detta skydd behöver jag med oavsett om man kör med TPM eller inte så vill man ju inte att man ska kunna komma så långt som till login utan att de-crypta.

Frågan är bara hur man aktiverar. TPM with PIN.

Nvm här hittar man hur man gör:
https://www.howtogeek.com/262720/how-to-enable-a-pre-boot-bit...

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jan 2010

@Calby
Efter att ha läst dokumentet är min förståelse att båda alternativen (med och utan pre-boot authentication) är säkra och dekrypterar datat med din passphrase. Skillnaden är att med pre-boot authentikation så ligger din passphrase aldrig i minnet. DMA attacker som läser direkt från minnet kan alltså inte läsa ut din passphrase. Om man läser lite längre ned i dokumentet så är det specifikt datorer med t.ex. firewire och thunderbolt som är mottagliga för sådana attacker. Har inte fantasi nog att förstå exakt hur dock

Vad gäller TPM with PIN så är det precis det man aktiverar med "Require additional authentication at startup" som jag beskrev ovan.

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av sunefred:

@Calby
Efter att ha läst dokumentet är min förståelse att båda alternativen (med och utan pre-boot authentication) är säkra och dekrypterar datat med din passphrase. Skillnaden är att med pre-boot authentikation så ligger din passphrase aldrig i minnet. DMA attacker som läser direkt från minnet kan alltså inte läsa ut din passphrase. Om man läser lite längre ned i dokumentet så är det specifikt datorer med t.ex. firewire och thunderbolt som är mottagliga för sådana attacker. Har inte fantasi nog att förstå exakt hur dock

Vad gäller TPM with PIN så är det precis det man aktiverar med "Require additional authentication at startup" som jag beskrev ovan.

Jag har Thunderbolt på min dator så jag aktiverade TPM with PIN så då skall jag vara skyddad, gött mos.
Passade även på att aktivera i BIOS så om botten skruvas av på laptopen så aktiveras ett BIOS lösenord som måste skrivas in, aktiverade även lösenord för Boot menu samt om man skall göra ändringar i BIOS.

Så nu är min laptop stöldsäkrad, vill ju inte att vem som helst skall komma åt mina filer.
Så nu får dom bokstavligen en fin kloss bara

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jan 2010

@Calby: Nice

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av sunefred:

Btwn, nu är det ju en pinkod dvs bara siffror - går det att göra så att det är ett lösenord? Dvs med både siffror och bokstäver?
pinkod känns inte så där super säkert.

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jan 2010
Skrivet av Calby:

Btwn, nu är det ju en pinkod dvs bara siffror - går det att göra så att det är ett lösenord? Dvs med både siffror och bokstäver?
pinkod känns inte så där super säkert.

Japp, leta upp "Allow enhanced PINs for startup" i grupp policies för BitLocker. Utöver det så brukar man konfigurera "Configure use of passwords for operating system drives" för att tvinga användare till en minimum längd på lösen etc.

Trädvy Permalänk
Medlem
Plats
Lund
Registrerad
Okt 2003

Antar att du inte kör virtuella maskiner?

Chassi: InWin 305, PSU: Corsair AX750w, CPU: Intel 8700k, MB: Asus TUF Z370-Plus Gaming CPU-Cooler:: Deepcool Gamer Storm Captain 240 EX GPU: Zotac 1070 AMP Ram: Corsair Vengeanance 16GB 3000mhz, HD:s: Samsung 960 EVO Samsung 850 128gb, Crucial MX 100 256GB
Övrigt: HP Proliant Microserver Gen8 * Synology DS214+

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av IuZ:

Antar att du inte kör virtuella maskiner?

Jo, jag har Hyper-V installerat och jag kör någon VM.

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Lund
Registrerad
Okt 2003

@Calby: Enligt VMware ska man inte köra bitlocker på OS-disk. Vet inte hur stödet för det är i HyperV riktigt.

Chassi: InWin 305, PSU: Corsair AX750w, CPU: Intel 8700k, MB: Asus TUF Z370-Plus Gaming CPU-Cooler:: Deepcool Gamer Storm Captain 240 EX GPU: Zotac 1070 AMP Ram: Corsair Vengeanance 16GB 3000mhz, HD:s: Samsung 960 EVO Samsung 850 128gb, Crucial MX 100 256GB
Övrigt: HP Proliant Microserver Gen8 * Synology DS214+

Trädvy Permalänk
Medlem
Plats
Lund
Registrerad
Okt 2003

Saxat från Technet: https://social.technet.microsoft.com/Forums/office/en-US/38bd...

"Bitlocker is not supported inside VMs. That is due to the fact that TPM chips cannot be passed through into VMs.

It does however not mean, that BL won't work. You cannot use netunlock as it needs a tpm - correct. But you can use startup keys (emulated floppy disks) that provide the key so you have a hands-free reboot."

Chassi: InWin 305, PSU: Corsair AX750w, CPU: Intel 8700k, MB: Asus TUF Z370-Plus Gaming CPU-Cooler:: Deepcool Gamer Storm Captain 240 EX GPU: Zotac 1070 AMP Ram: Corsair Vengeanance 16GB 3000mhz, HD:s: Samsung 960 EVO Samsung 850 128gb, Crucial MX 100 256GB
Övrigt: HP Proliant Microserver Gen8 * Synology DS214+

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av IuZ:

Saxat från Technet: https://social.technet.microsoft.com/Forums/office/en-US/38bd...

"Bitlocker is not supported inside VMs. That is due to the fact that TPM chips cannot be passed through into VMs.

It does however not mean, that BL won't work. You cannot use netunlock as it needs a tpm - correct. But you can use startup keys (emulated floppy disks) that provide the key so you have a hands-free reboot."

Medveten om det och därför så krypteras det med PW istället för TPM Chipset.
Så ingen större fara, fungerar bra

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av sunefred:

Japp, leta upp "Allow enhanced PINs for startup" i grupp policies för BitLocker. Utöver det så brukar man konfigurera "Configure use of passwords for operating system drives" för att tvinga användare till en minimum längd på lösen etc.

Tackar, löste problemet

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V