image

Forensisch experts gewaarschuwd voor standaard BitLocker-encryptie Windows 11

vrijdag 9 mei 2025, 09:54 door Redactie, 21 reacties

Forensisch experts moeten er rekening mee houden dat bijna alle in beslag genomen Windows 11-apparaten, ook in het consumentensegment, voortaan volledig versleuteld zijn. Dat komt omdat de schijfversleuteling door BitLocker in Windows 11 versie 24H2 standaard staat ingeschakeld, zo waarschuwt forensisch softwarebedrijf Elcomsoft. Dat levert onder andere forensische tools voor opsporingsdiensten.

"De Windows 11 24H2-update introduceert een verandering in Microsofts benadering van schijfversleuteling, een verandering die grote gevolgen voor digitaal forensisch onderzoek zal hebben", aldus Oleg Afonin van Elcomsoft. "Met deze release wordt BitLocker-encryptie automatisch ingeschakeld op de meeste moderne hardware wanneer Windows met een Microsoft Account wordt geïnstalleerd."

De versleuteling vindt plaats in de achtergrond en wordt ook toegepast bij de Home-edities en consumentenapparatuur, waar volledige schijfversleuteling meestal niet standaard plaatsvond, gaat de forensisch expert verder. Hij merkt op dat de schijfversleuteling alleen plaatsvindt bij nieuwe installaties van Windows 11 24H2, niet bij een update naar deze versie.

Microsoft heeft ook een workaround verwijderd waardoor gebruikers eenvoudig het gebruik van een Microsoft Account tijdens de installatie konden omzeilen, wat ook het omzeilen van de standaard schijfversleuteling lastiger maakt, stelt Afonin. De recovery keys om toegang tot een versleuteld systeem te krijgen worden voor persoonlijke apparatuur automatisch naar het Microsoft Account van de gebruiker geüpload. Opsporingsdiensten kunnen via juridische kanalen deze recovery keys opvragen, maar dit introduceert wel vertragingen en procedurele complicaties, gaat Afonin verder.

De forensisch expert waarschuwt dat de aanpassing van Microsoft langetermijngevolgen voor forensisch onderzoek zal hebben. Zo zullen in beslag genomen harde schijven onbruikbaar zijn, tenzij de recovery keys worden bemachtigd. Volgens Afonin moeten forensisch experts er dan ook rekening mee houden dat bijna alle in beslag genomen Windows 11-apparaten voortaan versleuteld zullen zijn, ook in het consumentensegment.

Reacties (21)
Vandaag, 10:22 door Anoniem
Degenen die je eigenlijk zou moeten waarschuwen zijn de gebruikers. Voorheen werd je Home Edition namelijk niet versleuteld en dat gaat nu wel gebeuren. Je zal je decryptie ergens veilig moeten opslaan op een plek waar je bij kan als je windows machine ineens een hik krijgt en de sleutel vereist.

Voor de forensisch onderzoekers maakt het in dit geval niet veel uit. Niemand stelt in dat er een opstart wachtwoord nodig is om de schijf te ontsleutelen. Dat zou een hele kleine attack surface geven. In de meeste gevallen zal de machine opstarten waarna je Windows zelf als attack surface hebt. Ik ga niet beweren dat het dan een eitje is maar het is in ieder geval een stuk makkelijker dan een machine met een opstart wachtwoord.
Vandaag, 10:25 door Named
Ik vroeg me al af, waarom word schijf-encryptie ook voor consumenten ingeschakeld?
Mensen raken continu wachtwoorden of keys kwijt, en als ze daardoor hun data verliezen is dat naar.

Voor bedrijfscomputers is Bitlocker echter wél weer verstandig.
Vandaag, 10:31 door Anoniem
Zoals al in het bericht geschreven, slaat Microsoft de sleutel van je lokale full disk encryptie op in je Microsoft Account waar alle westerse opsporingsdiensten erbij kunnen. Omdat Elcomsoft Russisch is, hebben de opsporingsdiensten in Rusland daar niet veel aan.

Sinds kort wordt ook Bitlocker ingesteld bij Windows 11 Home bij het opnieuw installeren.
Vandaag, 10:32 door Anoniem
> Mensen raken continu wachtwoorden of keys kwijt, en als ze daardoor hun data verliezen is dat naar.

Je kan dat zien als een bewuste trap richting cloud, oftewel: zet je documenten veilig bij MS online.
Vandaag, 10:52 door Anoniem
Het is aan een Microsoft account verbonden, dus Microsoft kan er bij.
Niet zo leuk als je een NSA whistleblower bent...
Vandaag, 10:55 door Anoniem
Als men echt veilig wil zijn gebruikt men individuele offline bestandsversleuteling, oh, en géén Windows!!!
Even een request onder valse voorwendselen over een dissident aan Microsoft, en de schade is gedaan.
Microsoft met haar NSAkey root certificaten... Lol!
Het enige waar Microsoft goed in is, is haar gebruikers bespioneren.
Vandaag, 10:59 door Anoniem
AnduinOS: De perfecte Linux voor Windows-gebruikers die op zoek zijn naar een probleemloze overstap.

Bron:
https://nl.linuxadictos.com/Anduinos-is-de-perfecte-Linux-voor-Windows-gebruikers-die-op-zoek-zijn-naar-een-probleemloze-overstap..html

Het is ontwikkeld door een Microsoft ingenieur die gelukkig wel beter weet. (-:
Vandaag, 11:26 door Anoniem
Reken maar dat onze opsporingsdiensten gewoon een achterdeur hebben. Anders hebben de Iraelische collega's er wel weer een ' oplossing' voor. Bitlocker kent ook zo een aantal zwakheden en ik zou er niet blind op vertrouwen als ik iets te verbergen zou hebben. Als je niet afhankelijk van MS wilt zijn, of geen closed source oplossingen wil dan is Veracrypt wel een goede oplossing. Voor linux is LUKS een goede oplossing. De vraag is alleen, hoe krijg je bij een storing of een bug in de code je data terug. Wellicht is het beter om je cruciale data in versleutelde containers op te bergen. Die kun je immers noemen zoals je dat wilt waardoor deze bijzonder lastig zijn te vinden, als je ze tenminste niet enorm groot maakt zoidat ze door de grote weer opvallen. Of je slaat ze ergens online op onder een schuilnaam, dan weet je zeker dat niemand ze kan vinden.
Bij diefstal van een laptop trekt de dief de SSD eruit en plaatst er een andere in. Soms kan ook de bios chip worden vervangen waardoor er geen enkele beveiliging meer aanwezig is. Misschien van lastig op een MAC maar ook daar zijn methoden voor te vinden.
Vandaag, 11:52 door johanw - Bijgewerkt: Vandaag, 11:52
Door Anoniem: Het is aan een Microsoft account verbonden, dus Microsoft kan er bij.
Niet zo leuk als je een NSA whistleblower bent...

Juist, Bitlocker is alleen daarom al onveilig. Mijn schijven zijn met Veracrypt versleuteld en het wachtwoord zit veilig in mijn hoofd opgeslagen. Daar kun je met grof geweld ook bij maar niet achter mijn rug om.
Vandaag, 12:03 door Anoniem
Tja mensen moeten idd zelf de keus hebben dit te gebruiken of niet,ongevraagt dingen standaard inschakelen is uit den boze.
Vandaag, 12:16 door Anoniem
https://www.ghacks.net/2024/05/06/how-to-block-windows-11-from-encrypting-drives-during-installation/
Vandaag, 12:50 door Ron625
Wanneer dit zonder toestemming van de eigenaar gebeurt, is dat alleen een extra reden om heel Windows te verwijderen.
Vandaag, 12:55 door Anoniem
Door johanw:
Door Anoniem: Het is aan een Microsoft account verbonden, dus Microsoft kan er bij.
Niet zo leuk als je een NSA whistleblower bent...

Juist, Bitlocker is alleen daarom al onveilig. Mijn schijven zijn met Veracrypt versleuteld en het wachtwoord zit veilig in mijn hoofd opgeslagen. Daar kun je met grof geweld ook bij maar niet achter mijn rug om.

Het hoeft niet perse in de MS-cloud opgeslagen te worden. Je kan bitlocker ook aanzetten met een key die lokaal wordt opgeslagen (b.v. een paswoordDB op een NAS of andere laptop).
En het is nog steeds mogelijk om Windows 11 zonder Microsoft account te installeren (twee weken geleden nog gedaan):

Tijdens het selecteren van een land is het mogelijk om via Shift + F10 de Windows command prompt te starten. Vervolgens zorgt het commando 'start ms-cxh:localonly' ervoor dat de installatie zonder Microsoft Account kan worden afgerond.
Vandaag, 13:41 door Anoniem
als ik een Windows 11 Home editie wil kopen is dat iets van 140 euro. De Pro versie is ruim 200 maar daar zit dan wel weer bitlocker in.

Maar in Home zit dus OOK bitlocker? hoe verhoudt zich dat dan nog tot de prijs / home editie?
Of is bitlocker wel standaard aan maar kan de gebruiker er niets mee?
Vandaag, 13:58 door Anoniem
zie ook:
https://www.microsoft.com/nl-nl/windows/compare-windows-11-home-vs-pro-versions#tabs1-2

het enige verschil tussen Home en Pro is Bitlocker, aldus dit overzicht.
Je kunt natuurlijk de Pro-versie ook in een domein hangen enzo, maar goed, dit overzicht toont echt alleen Bitlocker als verschil.

Daar zit je dan met je pro-versie als poweruser consument.
Vandaag, 14:01 door Anoniem
Door Anoniem: Het is aan een Microsoft account verbonden, dus Microsoft kan er bij.
Niet zo leuk als je een NSA whistleblower bent...

Voor de meeste home gebruikers is dit dus een velige oplossing, maar niet voor iedereen.
Zwart wit denken is proachtig, maar in de security werled berijk je er niets mee want er zijn altijd mogelijkheden (in tijd)
Vandaag, 14:07 door Anoniem
Bizar dit ! Doordat bitlocker standaard wordt, is het bijna onmogelijk om linux op te starten naast Windows. Immers het uitzetten van Secure Boot (ook door Microsoft verprust voor Linux) levert een vraag om een bitlocker key op. Die zit meestal in het microsoft account van de gebruiker die door Microsoft gewend is dat er automatisch ingelogd wordt. Men is het wachtwoord kwijt en tot ergenis hangt daar dan een heel oud telefoonnummer of recovery e-mail adres aan. Ik maak veel van deze ellende mee en wordt echt niet zo blij van dit. Waarom zijn voor experts dit soort dingen niet uit te zetten of anders te doen. Wat een ramp, "Microsoft"
Vandaag, 14:18 door Anoniem
Door Anoniem: als ik een Windows 11 Home editie wil kopen is dat iets van 140 euro. De Pro versie is ruim 200 maar daar zit dan wel weer bitlocker in.

Maar in Home zit dus OOK bitlocker? hoe verhoudt zich dat dan nog tot de prijs / home editie?
Of is bitlocker wel standaard aan maar kan de gebruiker er niets mee?
Bitlocker is niet het enige verschil tussen Home en Pro
Vandaag, 14:43 door Anoniem
Door Anoniem: > Mensen raken continu wachtwoorden of keys kwijt, en als ze daardoor hun data verliezen is dat naar.

Je kan dat zien als een bewuste trap richting cloud, oftewel: zet je documenten veilig bij MS online.

ja totdat er weer een bug is die alles weggooit, was dat niet x jaar geleden met onedrive zo ^^
Vandaag, 14:59 door Anoniem
Door Anoniem: als ik een Windows 11 Home editie wil kopen is dat iets van 140 euro. De Pro versie is ruim 200 maar daar zit dan wel weer bitlocker in.

Maar in Home zit dus OOK bitlocker? hoe verhoudt zich dat dan nog tot de prijs / home editie?
Of is bitlocker wel standaard aan maar kan de gebruiker er niets mee?
Je kon altijd al bitlocker op Windows Home krijgen met enige beperkingen net als dat het mogelijk is om gpedit.msc te draaien vanuit home. Er is bijna niks wat je niet met home kan doen wat je in Pro wel kan mits je zelf instelt en onderzoek doet. En dat verschil wordt dus steeds kleiner.

Wat je niet kan is het hangen in een Windows server domein officieel en als bedrijf is het ook niet verstandig dat wel te proberen juridische kant etc. Als thuis gebruiker kan je het probably met veel moeite wel werkend krijgen als je een kopie van Pro hebt waar je de code uit kan halen voor integratie. Maar again zal niet makkelijk zijn.
Is het allemaal je tijd waard vs de 99 euro upgrade of de 200 directe aankoop probably not.

Maar bedenk goed wat je uberhaubt wilt doen met Windows. Als je het namelijk niet in een domein hoeft te hangen is er zeer weinig reden waarom je Pro zou nemen. Je hebt geen recht op directe support wat je met Enterprise wel kan extra kopen zoals een Designated Support engineer (DSE) of een Microsoft Unified Enterprise Support Service voor rapid response (schreewend duur begint bij 50K tot 6 Mil per jaar) dus eigenlijk betaal je grof geld voor bijna niks extra bij Pro.

Updates pushen over een netwerk kan je ook via een al ingekochte endpoint protection service bijvoorbeeld of een agent script. Beperkingen kan je ook pushen via script en zoals aangegeven group policy kan je dus ook gewoon werkend krijgen onder Home.

Dus ja wat is de meerwaarde ik weet het werkelijk niet *zolang je het niet in een domein hoeft te hangen*
Vandaag, 15:32 door Anoniem
Door Anoniem: Bizar dit ! Doordat bitlocker standaard wordt, is het bijna onmogelijk om linux op te starten naast Windows. Immers het uitzetten van Secure Boot (ook door Microsoft verprust voor Linux) levert een vraag om een bitlocker key op. Die zit meestal in het microsoft account van de gebruiker die door Microsoft gewend is dat er automatisch ingelogd wordt. Men is het wachtwoord kwijt en tot ergenis hangt daar dan een heel oud telefoonnummer of recovery e-mail adres aan. Ik maak veel van deze ellende mee en wordt echt niet zo blij van dit. Waarom zijn voor experts dit soort dingen niet uit te zetten of anders te doen. Wat een ramp, "Microsoft"
de oplossing is eenvoudig. Geen dualboot meer.
Waarom zou je ook. MIcrosoft forceert het voor zichzelf.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.