Szyfrowanie dysku

  • Sprawdź bezpośredni link do posta
  • Statsy wątku

mokry44 | 16.05.2018 12:07 | Odpowiedzi: 13 | Śledzony: 7 | Czytano: 1622 razy

Wątków: 20 | Odpowiedzi: 140

Cześć,
czeka mnie szyfrowanie kilku laptopów i zastanawiam się jakim zrobić to softem..
Kiedyś szyfrowałem jakąś win10 pro bitlockerem i proces był spoko, natomiast laptopy, które teraz dostane będą działały pod kontrolą win10 home, gdzie bitlockera nie ma...

Najbardziej przemawia do mnie Veracrypt, natomiast naczytałem się w 'internetach', że przy dużych update Windowsa jest problem z aktualizacją i dyski trzeba odszyfrowywać - ile w tym prawdy? Ma ktoś, używa, wypowie się?

Skocz do ostatniej odpowiedzi | Pierwszy post na stronie

Odpowiedzi:

16.05.2018 15:29

Wątków: 42 | Odpowiedzi: 1224

...

Potwierdzam, ja musiałem odszyfrowywać dyski przy dużych (tych co są dwa razy w roku) update'ach Win10. Oczywiście VeraCrypt. Skończyło się na tym, ze nie szyfruję, bo mi się nie chce.

Cimci rimci, ktoś mi tu mymci.

16.05.2018 17:42

Wątków: 87 | Odpowiedzi: 1234

Przy W10 mam doświadczenie z VeraCrypt oraz DiskCryptorem

Przez długi czas uzywalem DiskCryptora. Jest szybki i był bezproblemowy. Niestety nie jest już rozwijany i pojawiły się pewne problemy pod Windows 10, ale do obejscia.

Postanowiłem spróbować VeraCrypt, jako spadkobiercy TrueCrypta, którego używałem w przeszłości, a którego porzuciłem na rzecz DiskCryptora że względu na lepszą optymalizację pod dyski SSD tego drugiego.

Wracając do VeraCrypta to zrezygnowałem z niego po jednym dniu. Miał jeden bardzo irytujący ficzer, którego nie potrafiłem obejść (bo się chyba nie da, takie ich zabezpieczenie). Mianowicie przy normalnym haśle, tj. do 20 znakow, bootowanie trwa baaaardzo dlugo, nawet 30-60 sekund w zależności od mocy kompa! Chodzi o ten moment od wpisania hasła to chwili kiedy Windows w ogóle ZACZYNA się uruchamiac. Aby to obejść mozna założyć sobie trudniejsze haslo, powyżej 20 czy ileś znakow, i zmniejszyć jakiś parametr bezpieczenstwa. Przy łatwiejszych hasłach program na to nie pozwala.

Jak dla mnie było to nie do zaakceptowania. Wróciłem więc kombinować z DiskCryptorem. Ostatecznie udało mi się go prawidłowo zainstalować w trybie zgodności z Windows 7... i wszystko działa prawidłowo.

Niestety prawda jest, że duże aktualizacje nie przechodza. Małe tak. Przy Creators Update, a więc 2 razy do roku. trzeba odszyfrować partyjce systemowa oraz przy DiskCryptorze również odinstalować cały program (bardzo wazne!), ponieważ jego sterowniki nie są kompatybilne z najnowszymi wersjami Windows 10!

Przy SSD idzie to całkiem sprawnie, 30-60min na ok 100GB z tego co pamietam. Przy HDD jest gorzej. Ale to już każdy sam musi zdecydować jak bardzo chcę mieć bezpieczne swoje dane.

16.05.2018 18:05

Wątków: 148 | Odpowiedzi: 2172

hmm

z doswiadczenia w mojej firmie wiem, że nie ma nic lepszego na Win niż właśnie bitlocker. Korzystalismy z wielu rozwiązań i najlepsze okazalo sie natywne szyfrowanie. Mamy też mcafee do szyfrowania starych lapkow, które nie mają modulów tpm. Jedno co moge powiedzieć, że mcaffe jest duzo bardziej problematyczny i ma wiekszy nażut na wydajność, ale jakoś daje radę. Najnowsza wersja nawet pozwala na zrobienie aktualizacji funkcji bez rozszyfrowywania dysku. Mcafee ma rownież modul do bitlockera i pozwala nam administrować zaszyfrowanymi stacjami roboczymi (tj przechowuje w bazie klucze deszyfrujące). Jest to na pewno dużo tańsze rozwiązanie niż Microsoftowy SCCM.
Jesli chodzi o darmowe rozwiązania to tak jak już tu ktoś wczesniej wspomniał problemy mogą zacząć się jak przyjdzie duży update systemu i wtedy będziesz musiał się z tym babrać ręcznie.

Zastanów się nad upgradem do Pro lub rozważ konieczność szyfrowania.

najlepsze rozwiązanie to Bitlocker + hardwareowe szyfrowanie edrive na SSD Ikona: :)

I7-3770, 2x4GB PC3-12800, P8H77-V, SSD 256GB MICRON M1100, HDD 1 TB WD RED, BEQUIET E9-400W, ANTEC 300, P2412H

16.05.2018 19:39

Wątków: 20 | Odpowiedzi: 140

:/

no to lipton troszkę, generalnie gdybym miał to u siebie w firmie to pół biedy, może i chciałoby mi się to robić (odszyfrowywać -> aktualizować -> zaszyfrowywać), ale te lapki najlepiej jakbym widział tylko w momencie szyfrowania :> Nie chce mi się z nimi bujać potem.

Zastanowię się jeszcze nad opcją utworzenia zaszyfrowanej partycji i niech trzymają na niej jakieś ważniejsze pliki... Innego rozwiązania za bardzo nie widzę :/

Znalazłem jeszcze coś takiego:
https://github.com/th-wilde/veracrypt-w10-patcher
ale rozwiązanie problemu to to nie jest niestety :/

Niko, tak wiem, jeśli tylko home miałyby bitlockera, to nawet by tego posta nie było :>
Co do upgrade do PRO, ile to teraz kosztuje? z 500 cebulionów?

16.05.2018 19:54

Wątków: 11 | Odpowiedzi: 4444

RODO nadchodzi wiec podlacze sie do watku.
Czy istnieje jakies oprogramowanie do szyfrowania dyskow w laptopach ktore wspolpracowaloby z czytnikiem odciskow palcow?

Knowledge is wonderful, but imagination is even better

16.05.2018 20:11

Wątków: 148 | Odpowiedzi: 2172

ok0nek

a co dokladnie chcesz uzyskać? Bo jesli chodzi o zaszyfrowanie stacji roboczej i odblokowywanie jej za pomoca palucha to z bitlockerem raczej problemu nie bedzie. Możesz z GPO ustawić polityki, ktore pozwala Ci logowac się do domeny za pomocą odcisku. Dysk bedzie zaszyfrowany a do jego odlokowywania bedziesz musiał mieć minimum 2 protectory: jednym byłby moduł TPM drugim hasło\odcisk do kompa. Możesz oczywiście też zrezygnować z TPMa ale to jest mało wygodne i wtedy bedziesz potrzebowal dodatkowego hasła lub pinu jako preboot

I7-3770, 2x4GB PC3-12800, P8H77-V, SSD 256GB MICRON M1100, HDD 1 TB WD RED, BEQUIET E9-400W, ANTEC 300, P2412H

17.05.2018 08:51

Wątków: 42 | Odpowiedzi: 1224

mokry44

W VeraCrypcie możesz robić kontenery, czyli taka quasi-partycja, przestrzeń na dysku, na kórej możesz coś zapisywać. Logujesz się do systemu, potem do kontenera i voila. Póki nie odszyfrujesz kontenera plików nie ma.

Cimci rimci, ktoś mi tu mymci.

17.05.2018 08:56

Wątków: 11 | Odpowiedzi: 4444

uzyskac chce nastpeujaca rzecz:

poniewaz mamy laptopy na ktorych sa przetwarzane dane wrazliwe i opuszczaja one nasz kampus. Chce je zaszyfrowac ( jak zginie laptop to mam tylko strate laptopa a nie musze sie bujac ze zglaszaniem incydentu odnosnie utraty danych i cala karuzela z tym zwiazana) Zeby szyfrowanie mialo sens musi byc jakies sensowne haslo ktore uzytkownicy beda musieli wpisac przy probie uruchomienia laptopa. Zeby ograniczyc fale lamentu ze ono jest takie dlugie i trudne wpadlem na pomysly czy moze nie da sie skonfigurowac skaner odciskow palca ktore by odblokowywalo zaszyfrowanego laptopa ( haslo przed startem systemu). Stad moje pytanie czy jest to wykonalne?
Dodatkowym problemem jest to iz sa to laptopy ktore nie maja przypisanej jednej osoby jako wlasciciela (bo wtedy wymyslam jedno dlugie haslo i uzytkownik musi sie go nauczyc). Laptopy te sa wymienne a co za tym idzie musialbym za kazdym razem zmieniac haslo jak daje go nowemu uzytkownikowi. Stad moje kolejne pytanie czy mozna w zaszyfrowanm dysku bez koniecznosci odszyfrowywania go zmienic haslo destepu?

Knowledge is wonderful, but imagination is even better

17.05.2018 13:11

Wątków: 148 | Odpowiedzi: 2172

hmm

no to tak jak juz wcześniej wspominalem najlepiej by CI to było zrobić wykorzystująć natywne rozwiązanie w postaci bitlockera. Do tego laptopy z modułem kryptograficznym TPM + indywidualne hasło dla każdego użytkownka (ew. odcisk palca). Takie hasło możesz wtedy zmieniać sobie zdalnie np. z poziomu AD jeśli ją masz. Tylko, że tego nie uzyskasz na wersji Home tak jak już sam zauważyłeś.

Bitlocker oferuje też szereg innych metod uwierzytelniania. Możesz skorzystać z 2 lub nawet 3 skłądnikowego uwierzytelniania. Jeśli laptop nie ma TPM to może to być np. specjalny pendrive, który musi być włożony do portu USB, karta inteligentna, hasło lub PIN itp.. Nie mniej jednak moim skromnym zdaniem najlepsza opcja to właśnie TPM + hasło/PIN/biometria.

Wszystkie informacje na ten temat możesz znaleźć w necie bo jest obszerna dokumentacja dot. samego narzędzia bitlocker.

I7-3770, 2x4GB PC3-12800, P8H77-V, SSD 256GB MICRON M1100, HDD 1 TB WD RED, BEQUIET E9-400W, ANTEC 300, P2412H

17.05.2018 14:01

Wątków: 11 | Odpowiedzi: 4444

Niko dzieki za info poczytam.

Knowledge is wonderful, but imagination is even better

17.05.2018 20:15

Wątków: 110 | Odpowiedzi: 3399

Szyfrowaniu od Microsoftu w życiu nie zaufam. Co do veracrypta to mamy nim od dawna wszystkie kompy zaszyfrowane i nie ma z tym problemu poza tym co już było wymienione, trzeba odszyfrowac przy dużych aktualizacjach 10 co moim zdaniem nie jest wielkim peoblemem samo w sobie bo trwa z godzinę, półtora a podczas tego można normalnie pracować, problemem jest kwestia taka, że przy szyfrowaniu veracrypt tworzy plik bodajże iso z obrazem płyty ratunkowej ale oprócz tego wymaga też wypalenia tego obrazu na płycie więc przy ponownym szyfrowaniu płyta z poprzedniego razu jest do wywalenia i mamy nową płytę...

i5 6600 3.9GHz(Spartan Pro), Asus H170M-PLUS, Asus 970 Strix OC, 16GB DDR4 HyperX 2133MHz, SSD 275GB + 1TB HDD, BeQuiet L8 500W, Zalman Z9: AG Neovo L-W27 27 cali

17.05.2018 20:24

Wątków: 148 | Odpowiedzi: 2172

Darnokos

nie zaufasz bo co?
bo naczytales sie ze ma jakiegoś backdoora albo, ze MS współpracuje z rzadem amerykańskim? A jakie to ma tak naprawdę znaczenia dla przeciętnego użytkownika. Bitlocker robi to do czego został stworzony czyli chroni dane, jest szybki, prosty w uzyciu, bezpieczny, ma mały narzut na wydajność, obsługuje szyfrowanie sprzętowe eDrive i do tego wszystkie niezbedne narzędzia do odzyskiwania i odszyfrowywania sa dostepne out of the box. Nie trzeba tworzyć jakiś specjalnych płytek ratunkowych, uzywać magicznych narzędzi do awaryjnego odszyfrowywania, martwić się, że z każdą aktualizacja systemu lub uefi dane trzeba bedzie odszyfrowywać. W najgorszym wypadku będzie potrzebował klucz odzyskiwania lub wklepać kilka komend w cmd lub powershellu.

I7-3770, 2x4GB PC3-12800, P8H77-V, SSD 256GB MICRON M1100, HDD 1 TB WD RED, BEQUIET E9-400W, ANTEC 300, P2412H

17.05.2018 21:26

Wątków: 45 | Odpowiedzi: 641

mi osobiście Bitlocker wydaje się bezpieczny, na pewno jest bezproblemowy i po prostu robi co ma robić.
Używałem go razem z modułem TPM i wszystko działało jak należy.
Problemem jest tylko klucz odzyskiwania, który pasuje do danej konfiguracji jako drugie hasło i trzeba go też umieścić na innym zaszyfrowanym nośniku. Wystarczy zmienić kolejność napędów w UEFI i już jest problem bo trzeba podawać klucz odzyskiwania, a żeby to odbyło się w miarę sprawnie trzeba mieć drugi komputer i po odszyfrowaniu przepisać go do komputera gdzie jest proszony.
Sam klucz odzyskiwania też mi się nie podoba bo składa się z samych cyfr, dokładnie 48 i tak jak pisałem działa jako drugie hasło.

Teoretycznie jest możliwe, że istnieje trzecie hasło które pozwala rozszyfrować każdy dysk ale o tym już wiedzą tylko Ci w Microsofcie ew. w agenturze.

Prawo jest jak płot, wąż się prześlizgnie, tygrys przeskoczy a bydło się nie rozbiega.

Aby dodać odpowiedź zaloguj się.

Ostatnie tematy na boardzie
1. Program do robienia Backupu - czy ktoś tego używa 1 mario_34 | fojcieh Dziś 06:55
2. [GIEŁDA] Samsung S9 Black Nowy 13 aloscha | _Torwald_ 14.08.2018
3. [OT] Przeprosiny na rzecz firmy KOST-BET 85 mod75 | Doown 14.08.2018
4. Laptop do WoT do 4000 zł 6 whiteman69 | jcxjcx 14.08.2018
5. Promocja na karty graficzne 1060 i 1050ti 9 krokiet25 | jaskierro 14.08.2018
Poprzednie-Następne
1. [GIEŁDA] [S] Monitor Dell u2312hm ISP 23" FHD 21 Shibby | Shibby 16.05.2018
2. [GIEŁDA] [K][VGA/USB] KVM pod min 8 wejść 4 helianthus | helianthus 16.05.2018
3. [GIEŁDA] Obudowo-wentylatorowo-wyprzedażowo 43 Captain_Hook | Neuromancer_Theta 16.05.2018
4. Problem z dostępem do QNAPa 7 Kozio_17 | Kozio_17 16.05.2018
5. Jak nie U2715H to co? Wybór monitora 27"... 127 Shibby | Lucullus 16.05.2018
6. [BLOG] New! Allegro przetwarzanie danych po likwidacji konta... 11 rms84 | lonio 16.05.2018