Windows 11:n laitteistovaatimukset julki, Home-versio vaatii MS-tilin

[jive]

mitä softaan tulee, niin jos molemmat pysyvät käyttiksen omassa sovelluskaupassa niin riskit pysyvät samanlaisina mutta en ole sellaisia Windows -käyttäjiä vielä nähnyt. Ehkä tällaisiakin on?(itse en oman olohuonekoneen kohdalla kuulu näihin).

niin, kuulut siihen porukkaan joka tekee koneellaan mitä lystäävät. Et ole tainnut koskaan tehdä töitä isommassa firmassa. Meillä (~15kh) ei perus käyttäjä asenna edes Microsoftin Storesta yhtään mitään vaan asennukset anotaan ITltä.

 

[jive]

sitten tulee negaa siitä miten paljon tehdään e-jätettä pikkuasioiden vuoksi.

Kuluttajalaitteet, varsinkin harrastajakoneet hukkuu kohinaan, kun kaikki konekanta vaihtuu yrityksissä kolmen vuoden välein.

 

[LaDeX]

niin, kuulut siihen porukkaan joka tekee koneellaan mitä lystäävät. Et ole tainnut koskaan tehdä töitä isommassa firmassa. Meillä (~15kh) ei perus käyttäjä asenna edes Microsoftin Storesta yhtään mitään vaan asennukset anotaan ITltä.

Microsoft Storesta on Business-versio johon firma voi itse määritellä tarjolla olevat sovellukset käyttäjien asennettaviksi.

 

[Kaotik]

No jos tuosta jälkimmäisestä kyse niin paremmin Microsoft on siinä puolella pärjännyt. Xbox Onea ei ole vieläkään murrettu.

Ja kaikki prosessorivalmistajat ovat integroimassa jo Onesta tutun Pluton-tietoruvaprosessorin tuleviin prosessoreihinsa.
Aluksi Pluton tulee emuloimaan TPM:ää mutta myöhemmin tarkoitus siirtyä natiiviin

 

[Jarnis]

Kuluttajalaitteet, varsinkin harrastajakoneet hukkuu kohinaan, kun kaikki konekanta vaihtuu yrityksissä kolmen vuoden välein.

Länsimaissa, joo. Isoissa firmoissa, joo.

Vähänkin pienemmät firmat pyrkivät ajamaan koneet ns. loppuun asti (5-6 vuotta ainakin) ja kun mennään länsimaiden kuplan ulkopuolelle niin on aika uskomatonta millä viuhutaan ja millaista SERriä vielä jopa myydään uutena. Esim. AMDn A-sarjan APUja on myyty firmoille varsin äskettävin vielä uusina ja Win 11 nyt sitten on tekemässä niistä SERriä ainakin yrityskäyttöön. Prossuvalmistajien ylijäämät kun tahtovat eksyä kehittyvien maiden OEMeille naur-hinnoilla. Esim vaikka tyyliin Brasilia ja muut Etelä-Amerikan kehittyvät markkinat - isoja konemääriä, rahaa vähän... Joku A10 on siellä ollut vielä kova luu vuosi-pari sitten.

Ja kyllä, nämä voivat ajaa Win 10 elinkaarensa loppuun, mutta silti se näyttää vähän ikävältä kun uutta käyttistä ei pysty päivittämään.

Seuraillaan, tilanne varmasti vielä elää.

 

[Kautium]

Toisaalta, Windowssin turvallisuus on ollut surkealla tolalla jo pitkään.

Onko tämä sitä samaa mutua, jota on jauhettu XP-ajoista lähtien, sivuuttaen sujuvasti samalla kaiken mitä viimeisimmissä Windowseissa on parannettu tietoturvan suhteen?

 

[Zetteri]

Xbox Onea ei ole vieläkään murrettu.

Tuohan kuulemma johtuu siitä että MS on ollut fiksu ja sallinut ajaa ei hyväksyttyä koodia dev moodissa.
Ja dev moodiin saa jokainen oman lootansa kun maksaa 10€.
Esim. RetroArch toimii Xboxilla juuri tuolla dev moodilla. Mutta jos dev moodi on päällä niin hyväksyttyä koodia ei voi ajaa eli esim pelejä.
Tosin tämä ei ole ongelma kun normaali moodin ja dev moodin välillä hyppiminen on tehty helpoksi.

 

[LaDeX]

Tuohan kuulemma johtuu siitä että MS on ollut fiksu ja sallinut ajaa ei hyväksyttyä koodia dev moodissa.
Ja dev moodiin saa jokainen oman lootansa kun maksaa 10€.
Esim. RetroArch toimii Xboxilla juuri tuolla dev moodilla. Mutta jos dev moodi on päällä niin hyväksyttyä koodia ei voi ajaa eli esim pelejä.
Tosin tämä ei ole ongelma kun normaali moodin ja dev moodin välillä hyppiminen on tehty helpoksi.

Tarkoitin nimenomaan piratismimielessä tuota. Xbox Onella ei sitä ole kun taas PS4:llä on.

 

[ztec]

Varsinkin sovellukset ovat aivan kauheaa kuraa Linuxilla jota vaivaa myös samakin ongelma, että käyttäjät tekevät mitä lystäävät ja siinä sivussa puhkovat järjestelmän täyteen reikiä.

Kyllä, toisalta, se antaa myös mahdollisuuden tehdä järjestelmällä jotain, tullaan juuri tuohon alemaan quoteen.

Mihin viittaat Playstationin turvallisuudella? Siihen että Sonyltä vuosi 77 miljoonan luottokortin tiedot? Vai siihen että PS5 on toistaiseksi ainoa pleikkari jolle ei voi warettaa pelejä?

Lottokortintiedot eivät liity Playstationiin suoranaisesti mitenkään. Mutta tuo jälkimmäinen liittyy. Kun alustasta tehdään tarpeeksi suljettu, se tulee automaattisesti myös turvallisemmaksi. Koska esimerkiksi malwarea on todella vaikea ajaa sellaisella alustalla, joka ei sitä suostu suorittamaan. Onko kukaan kuullut malwaresta Playstationille?

Tavallaan tuo menee samaan kategoriaan sen kanssa, mitä olen usein sanonut. Mitä yksinkertaisempi ja askeettisempi sovellus, sitä helpompi siitä on tehdä turvallinen. Otetaan kaikki sellaiset ominaisuudet pois, jotka voivat tuoda mukanaan haavoittuvuuksia. Tämä toisaalta toimii myös näkemyksenä sille, miksi mm. nykyiset web-selaimet, käyttikset ja office-paketit jne, IM sovellukset, eivät koskan tule olemaan turvallisia. Niissä on yksinkertaisesti aivan liikaa ominaisuuksia.

Lisään heti tähän sen, mihin tuo keskustelu jatkui hacker developer forumilla. Eli vasta väite oli, että ei ne ominaisuudet tee siitä turvatonta. No se on totta, ei suoranaisesti. Mutta ne lisää valtavan määrän koodia, joka ladataan jostain kirjastoista, joiden laatu on vähän mitä sattuu ja siis epäsuorasti johtavat siihen, että koko sovelluksen codebasea ei esimerkiksi voida auditoida jokaisen muutoksen jälkeen kokonaisuudessaan. Se on ihan eri asia auditoida softa, jossa on kaksi tuhatta riviä koodia, kuin 2 miljardia riviä koodia.

Jos siis halutaan turvallisuutta, pitää mennä mahdollisimman lukitulla ja yksinkertaisella softalla ja myös raudalla. Näin supply chain security saadaan jollain tasolla kuosiin. Tuo TPM ja Secure Boot on pieni askel siihen suuntaan, mitä mm. Playstationissa on tehty jo hyvän aikaa sitten.

Onhan Windowssissa toki ollut aikaisemminkin mahdollisuudet tiukentaa tietoturvaa, esimerkiksi rajoittaa suoritettavia sovelluksia, mutta 99,99% käyttäjistä ei taatusti koskaan tee sitä. Itse olen sen muutaman kerran tehnyt järjestelmän kovettamisen yhteydessä. Tehokasta se suojauksen parantaminen kyllä on.

 

[Zetteri]

Tarkoitin nimenomaan piratismimielessä tuota. Xbox Onella ei sitä ole kun taas PS4:llä on.

Joo, mutta sen takia sitä ei ole murrettu koska porukalla ei ole mielenkiintoa aiheeseen kun homebrewit toimii ilman murtamistakin.

 

[Diizzel]

Microsoftilta on nyt tullut ensimmäinen Windows 11 -versio Windows Insider -jäsenille. Tuosta testiversiosta on otettu pois vaatimukset TPM 2.0:sta ja tietyistä prosessoreista, mutta mitään pysyvää linjausta ei tämän perusteella kannattane odottaa, sillä Microsoft selvittää blogipostauksessessaan edelleen myös syitä noiden vaatimusten olemassaololle. Toki Windows insider -ohjelman myötä Microsoft sanoo voivansa tarkkailla kuinka Windows 11 toimii laajemmalla prosessorikattauksella, mikä antaa tietoa mahdollisiin minimivaatimusten muutoksiin tulevaisuudessa.

Windows Blog

 

[escalibur]

Onhan Windowssissa toki ollut aikaisemminkin mahdollisuudet tiukentaa tietoturvaa, esimerkiksi rajoittaa suoritettavia sovelluksia, mutta 99,99% käyttäjistä ei taatusti koskaan tee sitä. Itse olen sen muutaman kerran tehnyt järjestelmän kovettamisen yhteydessä. Tehokasta se suojauksen parantaminen kyllä on.

Noihin tietoturvaväittelyihin, kannattaa suhteuttaa myös käyttöjärjestelmän suosion. Sanoisin että melko moni turvallisena pidetty käyttöjärjestelmä (olkoot ne tiettyjä Linux-distroja tai macOS-versioita) ei välttämättä suoriutuisi yhtä hyvin kuin Windows 10 jos puhutaan yli miljardin käyttäjän otannasta. Windowsin tietoturva on kaukana täydellisestä ja parannettavaa riittää (ransomware, tiedostojärjestelmän snapshotit yms), mutta tälläisenäänkin se on varsin hyvällä mallilla. Tavallisen käyttäjän ei tarvitse osata oikeastaan mitään muuta, kuin lähinnä hyväksyä rajoitetun tilin käytön paikallisen järjestelmävalvojan tilin sijasta. Sama pätee Linuxiin jossa asoita tehdään root-tunnuksella "koska sillä kaikki toimii".

Sen jälkeen kun Windowsissa palomuuri on oletuksena päällä (XP:n Service Packista lähtien) ja nykyaikainen Windows Defender, emme ole hirveästi lukeneet eri virusten epidemoista. Samaan aikaan eri tietoturvayhtiöt yrittävät etsiä uutta rahastusmallia, kun perinteiset virustorjuntatuotteet eivät millään meinaa mennä kaupaksi.

Seuraavaksi mitä Microsoftina tekisin on vakioasetusten himominen esim. oletuksena Windows Palomuuri voisi päästää vain allekirjoitetut sovellukset nettiin. Muut olisivat oletuksena estettynä. Samoin vakioestoihin voisi lukeutua vaikka Powershellin yhteyden ottaminen internettiin yms. Samoin eri säännöillä voisi olla jonkinlainen vanhentumisaika, niin listalle ei jää roikkumaan sääntöjä monen vuoden takaa.

Ransomware on käytännössä ainut ajankohtainen riesa joka onneksi sekin hankaloituu päivä-päivältä. Sen kohdalla tekemistä riittää ihan kaikilla jotka työskentelevät tiedostojen käsittelyjen kanssa (käyttöjärjestelmät, tallennus- ja varmistuspalvelut yms).

 

[LaDeX]

Joo, mutta sen takia sitä ei ole murrettu koska porukalla ei ole mielenkiintoa aiheeseen kun homebrewit toimii ilman murtamistakin.

Homebrewien takiako PC:lläkin on piratismia?

 

[jive]

Microsoft Storesta on Business-versio johon firma voi itse määritellä tarjolla olevat sovellukset käyttäjien asennettaviksi.

Kyllä ja intune on firman luurissa, mutta meillä ei edelleenkään perus käyttäjä asenna itse mitään. Ilmeisesti kirjoitan jotenkin huonosti kun en tule ymmärretyksi.

 

[jive]

TPM viittaa hardispohjaiseen ratkaisuun. Firmispohjaisten toteustusten nimi on AMDlla fTPM ja Intelillä PTT (platform trust technology), joten kannattaa etsiä miten PTTn saa enabloitua ko emolla. Ko. CPU sitä tukee.

Ei, TPM on määrittely joka löytyy täältä TPM 2.0 Library | Trusted Computing Group kyseiselle määrittelylle on toki useita toteutuksia.

 

[tavallinen viikari]

Mitä tuo TPM 2.0 aiheuttaa?

Voiko harrastelija siirtää emolevyn ja cpu:n vaihdon yhteydessä vanhan kovalevyn uuteen kokokoonpanoon ilman järjestelmän uudelleen asennusta?

 

[jive]

Voiko harrastelija siirtää emolevyn ja cpu:n vaihdon yhteydessä vanhan kovalevyn uuteen kokokoonpanoon ilman järjestelmän uudelleen asennusta?

riippunee kaikenlaisista seikoista mutta sinällään TPM ei aiheuta yhtään mitään, se on vain suojattu paikka järjestelmässä käytettäville avaimille ja tunnisteille. Secure boot estää kuvaamasi käytön, mutta niin estää rautakryptatut levyt, tietyt Windows lisenssit ja pari muuta, mutta mikään näistä ei varsinaisesti johdu TPM käytöstä.

 

[atomi]

se hoitaa tietoturvahommeleita, voi esim bitlockerilla salata käyttisosion

 

[LaDeX]

se hoitaa tietoturvahommeleita, voi esim bitlockerilla salata käyttisosion

Mitenköhän menee kotikäytössä sitten kun TPM päättää sekoilla. Yrityspuolella tulee jatkuvasti eteen koneita joissa Bitlocker pyytää avauskoodia kun TPM on hajonnut.

 

[Kautium]

Mitenköhän menee kotikäytössä sitten kun TPM päättää sekoilla. Yrityspuolella tulee jatkuvasti eteen koneita joissa Bitlocker pyytää avauskoodia kun TPM on hajonnut.

Yritysmaailmassa Bitlockerin avain löytyy Active Directorystä, mutta kotikoneilla se pitää ottaa itse talteen, jos on salannut sillä levynsä.

Yleisiä TPM troubleshoot -ohjeita löytyy täältä:

Troubleshoot the TPM

Learn how to view and troubleshoot the Trusted Platform Module (TPM).

docs.microsoft.com

Veikkaan että tämä kuvio muuttuu selkeämmäksi vielä ennen julkistusta ja varmasti myös ohjeita ja apuvälineitä TPM-datan varmistamiseen on luvassa.

 

[Obi-Lan]

TPM säilöö vain Bitlockerin avaimen millä se avaa kovalevyn salauksen bootissa. Oikein confattuna myös Microsoft 365 palvelu tallentaa tuon Recovery Key:n ja myös jos kirjautuu koneelle Microsoft Accountilla niin Recovery Key tallennetaan automaattisesti myös tuon tilin tietoihin. MS Account pakotus voinee liittyä osittain myös tähän.

TPM sekoilut mitä itse olen nähnyt on liittynyt lähinnä BIOS päivityksiin joka yleensä aina pyyhkii TPM piirin. Tosin esim. Dellin Command Update osaa jo laittaa Bitlockerin suspendiin ennen kuin päivittää BIOSin.

 

[LaDeX]

TPM säilöö vain Bitlockerin avaimen millä se avaa kovalevyn salauksen bootissa. Oikein confattuna myös Microsoft 365 palvelu tallentaa tuon Recovery Key:n ja myös jos kirjautuu koneelle Microsoft Accountilla niin Recovery Key tallennetaan automaattisesti myös tuon tilin tietoihin. MS Account pakotus voinee liittyä osittain myös tähän.

TPM sekoilut mitä itse olen nähnyt on liittynyt lähinnä BIOS päivityksiin joka yleensä aina pyyhkii TPM piirin. Tosin esim. Dellin Command Update osaa jo laittaa Bitlockerin suspendiin ennen kuin päivittää BIOSin.

Dellin koneissa noita nimenomaan itsellä tullut vastaan. Ilman mitään ennakkovaroitusta tai että mitään päivityksiä ajettu niin yhtäkkiä TPM päättääkin lakata toimimasta. Command Updaten tekemät BIOS-päivitykset ei ole tietääkseni vielä sotkenut.

 

[ztec]

Mitenköhän menee kotikäytössä sitten kun TPM päättää sekoilla. Yrityspuolella tulee jatkuvasti eteen koneita joissa Bitlocker pyytää avauskoodia kun TPM on hajonnut.

Tämä, mm. Office 365 oli täysin jojossa yli puoli vuotta, oisko ollut jotain 9 kk, kun TPM:t oli hajalla. Joka kerta kun koneen käynnisti, se luuli että se on uusi asennus ja vaati kauhean kasan kommervenkkejä. Johti siihen, että konetta ei viitsinut bootata kuin kerran kuussa. Osa ihmisistä hajosi niin pahasti tuohon pelleilyyn, että ostivat uudet koneet kun vanhat "softa sabotointiin". Tuntuu olevan yleistyvä trendi tuo, että laitteet rikotaan tahalallaan, että ihmiset ostaisi uusia. EFS avaimet meni myös jatkuvasti jojoon, eikä salattuja tiedostoja pystynyt lukemaan jne. - Delli tulikin tuossa jo mainittua, toinen jossa noita ongelmia oli paljon oli Fujitsut.

Veikkaan että tämä kuvio muuttuu selkeämmäksi vielä ennen julkistusta ja varmasti myös ohjeita ja apuvälineitä TPM-datan varmistamiseen on luvassa.

Tuohon HSM:n varmistamiseen olen törmännyt aikaisemminkin. Mielestäni se kuulostaa erittäin huonolta idealta, koska koko HSM:n ja TPM:n ideana on se, että sen tietoja ei voi varastaa / vuotaa. Joten mielestäni on myös parasta, jos niitä tietoja ei voi varmistaa mitenkään. Mutta tämä on kanssa varmaan niitä aiheita joista keskustelu jatkuu pitkään. Henkilökohtaisesti olen vahvasti sitä mieltä, että HSM / TPM joka antaa mahdollisuuden tietojen varmistamiseen, on jo arkkitehtuurisesti hajalla ja sunniteltu väärin, eikä toteuta ensisijaista tarkoitustaan enää tarkoituksen mukaisesti.

Täsmälleen sama keskustelu on käyty myös 2FA / FIDO2 / tokenien varmuuskopioinnista ja olisiko softa ratkaisu sitten parempi, kun avaimet on helppo kopioida. Ehh.

 

[Taneli-]

Itselläni on nyt käytössä Windows 10 Enterprise ja tuon softan mukaan ilmainen windows 11 päivitys olisi tulossa. En ole tähänkään saakka käyttänyt mitään bitblockereita tai työn puolesta saatavaa Safeguard softaa. Eli ei kait tuo pelkän TPM:n olemassaolo nyt konetta sekoita? Kun tähän kuitenkin on voinut ihan rauhassa asennella eri emon, eri muistit ja prosessorinkin, vaihtaa näytönohjainta jne. ilman että käyttis on siitä itseensä ottanut...

 

[hik]

Mutu-huuhaa-pohjalta:

Komponentteja vekslaavat harrastajat on väitetysti pieni vähemmistö.
Iso enemmistö, joka käyttää pakettikonetta kunnes se on toivottoman hidas, olisi se jonka mukaan suunnittelussa mennään.
Tosin erillisnäytönohjaimille tuntuu olevan ihan hirmusti kysyntää joten ehkä ylläoleva väittämä ei pidä paikkaansa.
Aikaisemmat Windowsit on kyllä sallineet komponenttien vaihdot, paitsi ei emolevyn vaihtoa.

Tietoturvan "paraneminen" (=säilyminen nykytasolla jos uhat ajan mittaan kasvaa) komponenttien vekslaamisen vaikeutumisen uhallakin olisi kait ymmärrettävää.

Kaapin perällä itsellä on mm. useampi vanha kovalevy jotka pitäisi viedä tietoturvajätteeseen. Nykyisellään salaamattomia
levyjä menee varmaan paljon SERriin. Jatkossa ehkä käy, jos käyttiksen rutiinisti salaamat levyt vie SERriin.
Tosin veikkaan että käyttäjien tiedostoja ei oletuksena salata, vaan ainoastaan käyttis, ellei tee sellaista valintaa.

 

[Special Once]

Ei sillä ole väliä. Kuten sanoin, buginen softa. Minulla on Win10:n Enterprise-versio ja tyssää samaan ilmoitukseen. Googletus kertoi että syy olisi juuri tuo O365-linkitys. En ole jaksanut itse testata toisella tunnuksella, kun tiedän muutenkin ettei tämä kone ole yhteensopiva.

Mulla on itselläni myös Education eikä tähän ole liitetty ikinä mitään muuta kuin yksi paikallinen tili. Sama virhe tulee.

 

[Nerkoon]

Mutu-huuhaa-pohjalta:

Komponentteja vekslaavat harrastajat on väitetysti pieni vähemmistö.
Iso enemmistö, joka käyttää pakettikonetta kunnes se on toivottoman hidas, olisi se jonka mukaan suunnittelussa mennään.
Tosin erillisnäytönohjaimille tuntuu olevan ihan hirmusti kysyntää joten ehkä ylläoleva väittämä ei pidä paikkaansa.
Aikaisemmat Windowsit on kyllä sallineet komponenttien vaihdot, paitsi ei emolevyn vaihtoa.

Tietoturvan "paraneminen" (=säilyminen nykytasolla jos uhat ajan mittaan kasvaa) komponenttien vekslaamisen vaikeutumisen uhallakin olisi kait ymmärrettävää.

Kaapin perällä itsellä on mm. useampi vanha kovalevy jotka pitäisi viedä tietoturvajätteeseen. Nykyisellään salaamattomia
levyjä menee varmaan paljon SERriin. Jatkossa ehkä käy, jos käyttiksen rutiinisti salaamat levyt vie SERriin.
Tosin veikkaan että käyttäjien tiedostoja ei oletuksena salata, vaan ainoastaan käyttis, ellei tee sellaista valintaa.

Ei niitä komponentteja tarvitse vekslata. Olen esimerkiksi itse nähnyt kuinka Windowsin aktivointi vetää itsensä jojoon kun yhden kaapelin paikan muutti emolevyllä. En luota tippaakaan siihen, että Microsoft oikeasti hoitaisi homman ns. pomminvarmasti kun tähänastiset kokemukset asiasta kertovat kaikki päinvastaista.

 

[user9999]

Onhan tuo levyn salaus ollut vuosia ihan normaalia yritysmaailmassa. En edes muista kunnolla aikaa kun levyt ei olleet salattuja.

Offtopic:
Macit Apple Silicon prossulla tai T2-sirulla on salattu automaattisesti jo myyntipaketissa.

Protect data on your Mac with FileVault

Turn on FileVault to add an extra layer of security to the encrypted data on your Mac.

support.apple.com

 

[Kautium]

Aikaisemmat Windowsit on kyllä sallineet komponenttien vaihdot, paitsi ei emolevyn vaihtoa.

Ei Windows 10 ole ollut moksiskaan minkään komponentin vaihdosta, eli myös emon voi vaihtaa mukisematta. Lisenssin kanssa voi tosin joutua säätämään, riippuen siitä mikä lisenssityyppi on käytössä ja kuinka monta muutosta koneeseen on tehty, mutta muuten tuossa ei ole ongelmaa. Win7 ja vanhemmat Windowsit eivät välttämättä toimineet emon vaihdon jälkeen lainkaan ilman hillitöntä kikkailua.

Tietoturvan "paraneminen" (=säilyminen nykytasolla jos uhat ajan mittaan kasvaa) komponenttien vekslaamisen vaikeutumisen uhallakin olisi kait ymmärrettävää.

Sehän siinä nimenomaan on taustalla. Ei se TMP ole pelkästään bitlockeria varten olemassa. Ja tuskin se bitlocker on jatkossakaan automaattisesti käytössä.

Ei niitä komponentteja tarvitse vekslata. Olen esimerkiksi itse nähnyt kuinka Windowsin aktivointi vetää itsensä jojoon kun yhden kaapelin paikan muutti emolevyllä.

Jos siellä muutetaan jotain niin, että laite näyttäytyy käyttöjärjestelmälle kokonaan uutena laitteena, niin sitten tuo on mahdollista, mutta ei muuten. Eikä tuo se siltikään tarkoita että "aktivointi vetäisi itseään jojoon". Sen kun aktivoi uudestaan jos tuollainen tulee vastaan ja sillä siisti.

Itselläni on nyt käytössä Windows 10 Enterprise ja tuon softan mukaan ilmainen windows 11 päivitys olisi tulossa. En ole tähänkään saakka käyttänyt mitään bitblockereita tai työn puolesta saatavaa Safeguard softaa. Eli ei kait tuo pelkän TPM:n olemassaolo nyt konetta sekoita? Kun tähän kuitenkin on voinut ihan rauhassa asennella eri emon, eri muistit ja prosessorinkin, vaihtaa näytönohjainta jne. ilman että käyttis on siitä itseensä ottanut...

Tätä ei vielä voi varmuudella sanoa, eli se riippuu siitä mitä kaikkea sinne TMP-moduuliin tallennetaan. Oma veikkaus on, että komponenttien vaihtaminen tulee olemaan jatkossa nykyistä monimutkaisempaa.

 

[LaDeX]

Mutu-huuhaa-pohjalta:

Komponentteja vekslaavat harrastajat on väitetysti pieni vähemmistö.
Iso enemmistö, joka käyttää pakettikonetta kunnes se on toivottoman hidas, olisi se jonka mukaan suunnittelussa mennään.
Tosin erillisnäytönohjaimille tuntuu olevan ihan hirmusti kysyntää joten ehkä ylläoleva väittämä ei pidä paikkaansa.
Aikaisemmat Windowsit on kyllä sallineet komponenttien vaihdot, paitsi ei emolevyn vaihtoa.

Tietoturvan "paraneminen" (=säilyminen nykytasolla jos uhat ajan mittaan kasvaa) komponenttien vekslaamisen vaikeutumisen uhallakin olisi kait ymmärrettävää.

Kaapin perällä itsellä on mm. useampi vanha kovalevy jotka pitäisi viedä tietoturvajätteeseen. Nykyisellään salaamattomia
levyjä menee varmaan paljon SERriin. Jatkossa ehkä käy, jos käyttiksen rutiinisti salaamat levyt vie SERriin.
Tosin veikkaan että käyttäjien tiedostoja ei oletuksena salata, vaan ainoastaan käyttis, ellei tee sellaista valintaa.

Tuo on kyllä yksi perkele jos rupeavat levyjä kryptaamaan. Meikäläinen ei sellaista sulata sitten yhtään. Levy pitää pystyä vaihtamaan toiseen koneeseen plug'n'playnä koska vain. Myös käyttislevy jotta sieltä saa pelastettua datan jos kone hajoaa.

 

[hik]

Ei Windows 10 ole ollut moksiskaan minkään komponentin vaihdosta, eli myös emon voi vaihtaa mukisematta. Lisenssin kanssa voi tosin joutua säätämään

Samaa mieltä ja näin tarkoitinkin mutta määrittelin mielessäni sanan "sallia" eri tavalla.

 

[weetabix]

Tuo on kyllä yksi perkele jos rupeavat levyjä kryptaamaan. Meikäläinen ei sellaista sulata sitten yhtään. Levy pitää pystyä vaihtamaan toiseen koneeseen plug'n'playnä koska vain. Myös käyttislevy jotta sieltä saa pelastettua datan jos kone hajoaa.

No siis itsellä Linuxilla on ollut läppärissä koko levyn kryptaus jo pitkään. Kahdella komennolla sen saa Ubuntun livetikulla auki eri koneessa miten vain. Softapohjainen salaus on tuossa mielessä mukavampi, että pelkällä salasanalla sen saa oikeasti auki missä tahansa. Tuo Applen tapa onkin sitten ongelmallisempi kun kryptaus on sidottu rautaan (sekä varmistussirun, että fyysisesti juotetun tallennus median osalta), eikä sitä pysty muussa koneessa saamaan auki.

Bitlockerista ei ole kokemusta saako levyn auki muulla koneella pelkällä salausavaimella vai ei, kun ei ole koskaan tullut tarvetta kokeilla (omassa käytössä kun windowssissa ei ole mitään talteen otettavaa dataa, kun pelit kyllä voi ladata uudestaan ellei sitten pelien tallennuksia laske tällaisiksi tärkeäksi dataksi).

 

[AeshmA]

Tuo on kyllä yksi perkele jos rupeavat levyjä kryptaamaan. Meikäläinen ei sellaista sulata sitten yhtään. Levy pitää pystyä vaihtamaan toiseen koneeseen plug'n'playnä koska vain. Myös käyttislevy jotta sieltä saa pelastettua datan jos kone hajoaa.

Oletuksenahan W11 tuskin bitlockeria päälle pakottaa kotikoneessasi, aktivoitaessa kun pitää määritellä mihin palautusavaimet tallennetaan, joten sinänsä huoli tuosta lienee turha.

Bitlockerista ei ole kokemusta saako levyn auki muulla koneella pelkällä salausavaimella vai ei, kun ei ole koskaan tullut tarvetta kokeilla (omassa käytössä kun windowssissa ei ole mitään talteen otettavaa dataa, kun pelit kyllä voi ladata uudestaan ellei sitten pelien tallennuksia laske tällaisiksi tärkeäksi dataksi).

Saa auki avaimella millä tahansa laitteella. Bitlockerilla voi suojata myös siirrettäviä levyjä, joten olisihan se erikoista jos vaikkapa USB-tikku olisi tuon jälkeen sidottu tiettyyn koneeseen.

 

[weetabix]

Oletuksenahan W11 tuskin bitlockeria päälle pakottaa kotikoneessasi, aktivoitaessa kun pitää määritellä mihin palautusavaimet tallennetaan, joten sinänsä huoli tuosta lienee turha.

Tämä Lenovo Yoga Slim 7 todellakin kytki bitlockerin päälle ilman eri ilmoitusta. Windows versio on toki Windows 10 Home, mutta tässä tuli operaattorilta ostettaessa automaattisesti joku Lenovon kahden vuoden premium -tuki, johon tuo bitlocker todennäköisesti liittyy. Mutta kyllä, tältä viikolta todellakin kokemusta että bitlocker todellakin on vakiona päällä ilman eri ilmoitusta (huomasi asian kun buuttasin linuxin tikulta asentaakseni sen ja gpartedissa näin että windows osiota ei voi bitlockerin takia pienentää). Pienensin siis windowssin asemaa windowssista käsin levyhallinnalla ja linuxin asentamisen jälkeen kaivoin bitlockerin avaimen MS tililtä johon se oli tallentunut kun olin MS tunnarilla kirjautunut (kun käyttis hermostui vaikka en koskenut sen asetuksiin tai osioihin mitenkään linuxia asentaessa).

 

[Kautium]

Tämä Lenovo Yoga Slim 7 todellakin kytki bitlockerin päälle ilman eri ilmoitusta. Windows versio on toki Windows 10 Home, mutta tässä tuli operaattorilta ostettaessa automaattisesti joku Lenovon kahden vuoden premium -tuki, johon tuo bitlocker todennäköisesti liittyy.

Ei tuolla ole mitään tekemistä Windowsin toimintojen kanssa, vaan se on juuri joku kolmannen osapuolen sovellus, joka se on on laittanut päälle. Win10 ei kryptaa levyjä automaattisesti ja sillä siisti. Win11 saattaa niin tehdä tulevaisuudessa, mutta se jää nähtäväksi. Itse en usko siihen.

Mutta kyllä, tältä viikolta todellakin kokemusta että bitlocker todellakin on vakiona päällä ilman eri ilmoitusta (huomasi asian kun buuttasin linuxin tikulta asentaakseni sen ja gpartedissa näin että windows osiota ei voi bitlockerin takia pienentää). Pienensin siis windowssin asemaa windowssista käsin levyhallinnalla ja linuxin asentamisen jälkeen kaivoin bitlockerin avaimen MS tililtä johon se oli tallentunut kun olin MS tunnarilla kirjautunut (kun käyttis hermostui vaikka en koskenut sen asetuksiin tai osioihin mitenkään linuxia asentaessa).

Ei sinne kryptatun Windowsin sisälle tai sen osioihin tarvitse koskea, jotta Bitlocker kyselee avainta. Riittää että käy tekemässä muutoksia vaikkapa osiotauluun, kuten toista käyttöjärjestelmää asentaessa tapahtuu. Toimii siis kuten suunniteltukin.

 

[Cirrus]

Pitää tarkistaa. Outoa ettei manuaalissa mainita TPM:ää lainkaan.

Minä vuonna viimeksi emolevyjen manuaaleissa on olleet kaikki mahdolliset (cpu:n) bios säädöt ja vivut mainittuna?

 

[weetabix]

Ei tuolla ole mitään tekemistä Windowsin toimintojen kanssa, vaan se on juuri joku kolmannen osapuolen sovellus, joka se on on laittanut päälle. Win10 ei kryptaa levyjä automaattisesti ja sillä siisti. Win11 saattaa niin tehdä tulevaisuudessa, mutta se jää nähtäväksi. Itse en usko siihen.

Teknisesti ottaen tuo on varmaan noin ja eihän läppäriä ostettaessa ne officet tai virus skannerit ole Windowssin mukana tulevia. Mutta yhtälailla ne tulevat ostettavan laitteen kanssa yhdessä sen Windowssin kanssa, joten käyttäjälle nämä muodostavat aika lailla yhden kokonaisuuden.

Mutta mitä kryptaukseen tulee Windows11:sta, niin jos vaatimus MS tilille tulee Home versioon niin ainakin iso mahdollisuus on että tuokin tulee käyttöön. Toki sillä TPM sirun käytöllä on paljon muitakin vaikutuksia ja voihan olla että MS ei halua kerralla kytkeä ihan kaikkea päälle ja jättää erillisen support -soppareiden tai Pro version alle tuon kryptauksen (kuten ainakin joissakin Lenovon pöytäkoneissa vaaditaan Pro versio windowssistakin).

 

[escalibur]

Minä vuonna viimeksi emolevyjen manuaaleissa on olleet kaikki mahdolliset (cpu:n) bios säädöt ja vivut mainittuna?

En tiedä, kun asiaa ei tullut seurattua. Osaat varmaan itse vastata, vai tulitko lähinnä näsäviisästelemään?

 

[Cirrus]

En tiedä, kun asiaa ei tullut seurattua. Osaat varmaan itse vastata, vai tulitko lähinnä näsäviisästelemään?

Ei koskaan. Se että emon manuaalissa ei ole kaikkia bios-asetuksia ei ole mitenkään outoa, harvinaista tai mitään muutakaan.

 

[escalibur]

Ei koskaan.

Näin vähän arvelinkin.

https://content.etilize.com/User-Manual/1035849585.pdf

https://download.gigabyte.com/FileList/Manual/mb_manual_z490m_e.pdf

https://dlcdnets.asus.com/pub/ASUS/mb/SocketAM4/PRIME_X570-P/E15829_PRIME_PRO_TUF_GAMING_X570_Series_BIOS_EM_WEB.pdf

 

[Obi-Lan]

Ei tuolla ole mitään tekemistä Windowsin toimintojen kanssa, vaan se on juuri joku kolmannen osapuolen sovellus, joka se on on laittanut päälle. Win10 ei kryptaa levyjä automaattisesti ja sillä siisti. Win11 saattaa niin tehdä tulevaisuudessa, mutta se jää nähtäväksi. Itse en usko siihen.

Moni valmistaja salaa jo nyt uusien toimitettavien koneiden kovalevyt valmiiksi Bitlockerilla. Kovo tulee salattuna Bitlocker suspend tilassa ja jos/kun koneeseen kirjaudutaan MS/M365 tilillä niin Bitlocker aktivoituu automaattisesti, palautusavain varmuuskopioidaan pilvitiliin ja salausavain sinetöidään TPM piiriin. Ihan Windowsin ominaisuus, tosin valmistaja tekee tuon valmistelun.

Jos ei kirjaudu MS/M365 tilillä niin Bitlocker jää päälle mutta suspend tilaan eli kovalevy on salattu, mutta sen salausavain on selkokielisenä jossain kovalevyn alussa. Surface 3 taisi olla ensimmäinen laite missä tämä tuli vastaan.

 

[Tup3x]

Näin vähän arvelinkin.

https://dlcdnets.asus.com/pub/ASUS/mb/SocketAM4/PRIME_X570-P/E15829_PRIME_PRO_TUF_GAMING_X570_Series_BIOS_EM_WEB.pdf

Hyvin tuolla ainakin oli tuo TPM laitettu.

1.6.1 AMD fTPM configuration

 

[Kautium]

Moni valmistaja salaa jo nyt uusien toimitettavien koneiden kovalevyt valmiiksi Bitlockerilla. Kovo tulee salattuna Bitlocker suspend tilassa ja jos/kun koneeseen kirjaudutaan MS/M365 tilillä niin Bitlocker aktivoituu automaattisesti, palautusavain varmuuskopioidaan pilvitiliin ja salausavain sinetöidään TPM piiriin. Ihan Windowsin ominaisuus, tosin valmistaja tekee tuon valmistelun.

Jos ei kirjaudu MS/M365 tilillä niin Bitlocker jää päälle mutta suspend tilaan eli kovalevy on salattu, mutta sen salausavain on selkokielisenä jossain kovalevyn alussa. Surface 3 taisi olla ensimmäinen laite missä tämä tuli vastaan.

Kyllä, mutta se on sen laitevalmistajan päätös, ei Microsoftin, eikä se varsinkaan ole mikään Windowsiin sisäänrakennettu automatiikka, joka koskisi nykyisellään kaikkia ja siksi on harhaanjohtavaa edes viitata sellaiseen. Tuossa oli puhe Win10:stä, mutta mutta kuten sanoin, Win11 saattaa muuttaa tätä, se jää nähtäväksi.

 

[LaDeX]

Moni valmistaja salaa jo nyt uusien toimitettavien koneiden kovalevyt valmiiksi Bitlockerilla. Kovo tulee salattuna Bitlocker suspend tilassa ja jos/kun koneeseen kirjaudutaan MS/M365 tilillä niin Bitlocker aktivoituu automaattisesti, palautusavain varmuuskopioidaan pilvitiliin ja salausavain sinetöidään TPM piiriin. Ihan Windowsin ominaisuus, tosin valmistaja tekee tuon valmistelun.

Jos ei kirjaudu MS/M365 tilillä niin Bitlocker jää päälle mutta suspend tilaan eli kovalevy on salattu, mutta sen salausavain on selkokielisenä jossain kovalevyn alussa. Surface 3 taisi olla ensimmäinen laite missä tämä tuli vastaan.

Onpa harvinaisen typerää. Tuollaiset asiat pitäisi olla käyttäjän päätettävissä.

 

[escalibur]

Onpa harvinaisen typerää. Tuollaiset asiat pitäisi olla käyttäjän päätettävissä.

Ideaalimaailmassa kyllä, mutta käytännössä tuo ei toimi lainkaan. XP on ollut yksi osoitus miksi päivitysten yms asioiden ylläpitäminen ei kannata jättää käyttäjille päätettäviksi. Massoja (mukaan lukien useiden firmojen IT-ylläpitoa) ei kiinnosta säätää, opiskella, ylläpitää tai räpeltää mitään ellei ole ihan pakko. Tämän takia ohjat otettiin omiin käsiin. Ärsyttävää mutta useasta eri vaihtoehdosta, kenties se vähiten huono.

 

[LaDeX]

Ideaalimaailmassa kyllä, mutta käytännössä tuo ei toimi lainkaan. XP on ollut yksi osoitus miksi päivitysten yms asioiden ylläpitäminen ei kannata jättää käyttäjille päätettäviksi. Massoja (mukaan lukien useiden firmojen IT-ylläpitoa) ei kiinnosta säätää, opiskella, ylläpitää tai räpeltää mitään ellei ole ihan pakko. Tämän takia ohjat otettiin omiin käsiin. Ärsyttävää mutta useasta eri vaihtoehdosta, kenties se vähiten huono.

Päivitykset on eri asia kuin levyn kryptaus. Kryptaus estää pääsyn omaan dataan.

 

[escalibur]

Päivitykset on eri asia kuin levyn kryptaus. Kryptaus estää pääsyn omaan dataan.

Pointtini oli lähinnä, ettei käyttäjien varaan kannata laskea mitään.

Salaamattomistakin läppäreistä on ollut riesaa. Suuressa maailmassa ne saattavat olla houkuttelevia tavaroita ei niinkään laitteen, vaan niiden sisällön vuoksi.

Unencrypted stolen laptop costs Lifespan more than $1M

The Rhode Island health system has settled with OCR for the HIPAA violation after an employee's computer went missing – with protected health information of 20,431 individuals left accessible.

www.healthcareitnews.com

Data of 43,000 patients breached after theft of unencrypted laptop

A laptop of a Coplin Health Systems employee was stolen from a car and serves as a reminder to encrypt all data.

www.healthcareitnews.com

Unencrypted laptop exposes personal details of 37,000 Eir customers, faulty security update blamed

37000 Eir customers have been put at risk after an unencrypted laptop was stolen. A faulty security update has been blamed for the error.

www.tripwire.com

UK military laptop theft exposes thousands to risk of identity theft

A laptop stolen from a UK military recruiter contained unencrypted, personal …

arstechnica.com

Asiat paranevat vuosi vuodelta, juuri näiden oletusasetusten ja pakollisten vaatimusten myötä. Sitä päivää odotellessa, kun julkisia palveluita ei voi käyttää ottamatta 2FA:ta käyttöön.

 

[Walla]

Päivitykset on eri asia kuin levyn kryptaus. Kryptaus estää pääsyn omaan dataan.

No eikös tuo ole käyttäjän päätettävissä? Bitlockerin voi ottaa pois päältä. Oletusasetuksen oleminen tietoturvallisen puolella on minusta ihan perusteltavissa.

 

[Sompi]

Tuo levyn kryptaus ei myöskään millään tavalla paranna tietoturvaa, jos edes salausavaimet eivät ole käyttäjän omissa käsissä, vaan jossain proprietary-sirulla emolevyllä. Nykyään suurin osa viruksista on ransomwarea ja sen voi toteuttaa ihan normikäyttäjän oikeuksilla toimivana userspace-ohjelmana, joka salaa käyttäjän tiedostot ja sen jälkeen alkaa vaatimaan lunnaita. Käyttäjän tarvitsee vain olla riittävän tyhmä, että suorittaa jonkun satunnaisen netistä ladatun .EXE-tiedoston. Pahimmassa tapauksessa ransomwaren kehittäjä hyödyntää jotain käyttöjärjestelmän privilege escalation -haavoittuvuutta ja varastaa sen avaimen sieltä TPM-sirulta ja muuttaa sen toiseksi, jolloin ei tarvitse edes aikaavievästi itse salata niitä käyttäjän tiedostoja millään omalla avaimellaan.

Ylipäätään tuo nykyinen tietoturvamalli, jossa luotetaan vain alati monimutkaistuvaan softaan ja proprietary-firmiksiä ajaviin "luotettuihin" siruihin, jotka olevinaan varmistavat sen että bootattava binääri (käytännössä käyttöjärjestelmä ja/tai sen kerneli) on varmasti sitä mitä pitää, on viallinen. Monimutkaisuus takaa sen, että aukkoja on varmasti. Käynnistysmedian fyysinen kirjoitussuojaus on yksinkertainen ja ainoa oikeasti toimiva tapa varmistaa, että kone ajaa käynnistymisensä jälkeen oikean ohjelman.

 

[LaDeX]

Pointtini oli lähinnä, ettei käyttäjien varaan kannata laskea mitään.

Salaamattomistakin läppäreistä on ollut riesaa. Suuressa maailmassa ne saattavat olla houkuttelevia tavaroita ei niinkään laitteen, vaan niiden sisällön vuoksi.

Unencrypted stolen laptop costs Lifespan more than $1M

The Rhode Island health system has settled with OCR for the HIPAA violation after an employee's computer went missing – with protected health information of 20,431 individuals left accessible.

www.healthcareitnews.com

Data of 43,000 patients breached after theft of unencrypted laptop

A laptop of a Coplin Health Systems employee was stolen from a car and serves as a reminder to encrypt all data.

www.healthcareitnews.com

Unencrypted laptop exposes personal details of 37,000 Eir customers, faulty security update blamed

37000 Eir customers have been put at risk after an unencrypted laptop was stolen. A faulty security update has been blamed for the error.

www.tripwire.com

UK military laptop theft exposes thousands to risk of identity theft

A laptop stolen from a UK military recruiter contained unencrypted, personal …

arstechnica.com

Asiat paranevat vuosi vuodelta, juuri näiden oletusasetusten ja pakollisten vaatimusten myötä. Sitä päivää odotellessa, kun julkisia palveluita ei voi käyttää ottamatta 2FA:ta käyttöön.

Yrityksien, organisaatioiden jne. koneet ovat houkuttelevia kuten linkkaamissasi artikkeleissakin tapaukset ollut. Puhun tätä nyt täysin kotikäyttäjän näkökulmasta. Yrityspuolellahan Bitlockerilla kryptaus on ollut arkipäivää vuosikausia. Oma työkone kysyy myös joka bootissa Bitlockerin avaamiseksi salasanaa.

No eikös tuo ole käyttäjän päätettävissä? Bitlockerin voi ottaa pois päältä. Oletusasetuksen oleminen tietoturvallisen puolella on minusta ihan perusteltavissa.

Toistaiseksi on päätettävissä mutta miten tulevaisuudessa. Itse en halua millään henkilökohtaisella koneella mitään kryptauksia edes oletusarvoisena asetuksena. Laitan sellaisen päälle itse jos haluan.