Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

HP voorziet EliteBook-laptops van bios-bescherming

Door , 78 reacties

HP heeft de HP EliteBook 800 G4-lijn van zakelijke laptops aangekondigd. De modellen beschikken over generatie drie van de Sure Start-beveiliging, die nu ook de system management mode omvat. Hierdoor kan de beveiliging detecteren of er met het bios geknoeid wordt.

HP Sure Start Gen3 zou zowel tijdens pre-boot als na het opstarten automatisch kunnen detecteren als bijvoorbeeld rootkits het bios proberen aan te passen, claimt HP. De technologie geeft de gebruiker dan een melding en herstelt het bios naar zijn oorspronkelijke staat. Dat gebeurt hardwarematig vanaf een kopie die op een speciale chip staat. Dat kan ook naar versies met speciale instellingen van bijvoorbeeld de it-afdeling van een bedrijf.

Sure Start Gen3 komt naar nieuwe Elite-pc's en HP noemt specifiek de HP EliteBook 800 G4-lijn. Volgens Liliputing komen deze laptops in 2017 beschikbaar, in varianten met 12,5"-, 14"- en 15,6"-schermen. De HP EliteBook 820 G4 is het 12,5"-model, met tot aan 32GB ddr4-2133 ram en 512GB ssd- of 1TB hdd-opslag. De 840 G4 heeft een 14"-scherm met optioneel een resolutie van 2560x1440 pixels en de 850 G4 heeft een 15,6"-scherm dat met een 4k-resolutie geleverd wordt. Deze kan ook een AMD Radeon R7 M465-videokaart krijgen. Alle laptops krijgen Intel-processors van de Kaby Lake-generatie.

Reacties (78)

Wijzig sortering
Kunnen ze er niet gewoon een schuifje opzetten dat het read only maakt? Zou een hoop geneuzel schelen. Wat aanpassen? Maak het even read write.
En dat is niet even makkelijk te omzeilen met een stukje software :) Ik vind het eigenlijk best een heel eenvoudig maar goed idee ;)
Jumpertje dat bereikbaar is via het hardeschijfcompartiment bijvoorbeeld?
stickertje over de rand van het hdd compartimentje en dan gewoon een bedrijfspolicy instellen, stickertje beschadigd verbroken of verplaatst = boete betalen
Jaja want het personeel dat EliteBooks krijgt kun je kleineren met boetes? Sowieso behandel je lager geschoold personeel niet eens met boetes maar met vertrouwen; levert meer op dan het kost. Zeer uitzonderlijk dat je als goeie ICTer de BIOS niet dichtzet met een ww dus Jumper naast de hdd is prima.
het was een aanvulling op de reactie van dmantione maar goed ;)
Niet te vergeten dat de gemiddelde sticker op de onderkant van een laptop toch wel beschadigd raakt na een jaar gebruik.
Alsof de gemiddelde systeembeheerder hoger geschoold is dan de overige werknemers...
Met een boete? Lijkt me niet de sfeer die je in een bedrijf wil creŽren, helemaal niet voor het verwijderen van een stickertje. Als we het hebben over een bv. ee nNDA dan is een boete op zijn plaats, hier niet.
oouh leuk die sticketjes met warranty void if seal is broken.
slaag er redelijk goed in om die los te krijgen zonder te scheuren.
Op die manier maak je het updaten van de bios nog omslachtiger dan het al is wat er alleen maar voor zal zorgen dat niet technisch onderbouwde mensen helemaal niet meer updaten terwijl ze dat wellicht nu wel doen bijvoorbeeld door meegeleverde update software. Dit brengt een beveiligingsrisico met zich mee op deze manier.
Ik denk dat het met de oplossing die in dit artikel beschreven staat alleen maar lastiger wordt om het BIOS actueel te houden.
Mja, ik denk dat het hier ook gaat om medewerkers van bedrijven die zo'n laptop hebben gekregen, die bijvoorbeeld niet mogen opstarten vanaf USB.
De bios toch proberen aan te passen lukt dan niet meer?

[Reactie gewijzigd door twicejr op 14 december 2016 19:06]

Zolang ze het internet ermee op mogen weet je nooit wat ze binnen halen ;)
Het BIOS (UEFI eigenlijk) kan gewoon vanuit Windows geflashed worden, je hoeft niet in DOS of iets dergelijke op te starten om dit voor elkaar te krijgen. De enigste reden waarom vroeger DOS zo vaak gebruikt is omdat het ongebreidelde toegang geeft tot de hardware en de hardware leveranciers gewoon nooit de tijd genomen hebben om hun tools te herschrijven om op de correcte, via de Windows interfaces, toegang te krijgen tot de hardware.
Dus als je Linux of BSD gebruikt of nog iets anders dan heb je geen "correcte" manier volgens jou?
Nee, als ze die tools op Linux of BSD willen laten werken dan moeten ze ook gewoon de interfaces van die besturingssystemen gebruiken, en niet zelf proberen de hardware direct proberen aan te spreken.
En wat als ze nu DOS willen gebruiken?
Dan gebruiken ze gewoon DOS?
Maar dat was volgens jou niet de correcte manier. :)
Daarvoor is er secure boot, dat staat dan aan en is door een rootkit niet meer uit te zetten, ook niet fysiek door een schuifje uit te zetten zoals iemand hierboven voorstelt.
Ligt aan de implementatie. Je kan een EEPROM gebruiken waarbij je de pin die de read/write mode bepaald aan een hardware schakelaar hangt, zonder enige software er tussen.
Dat kan helpen, maar vereist dat je weer ergens een opening in de behuizing maakt om een aparte schuifknop toe te voegen. Je wil zoiets vermoedelijk ook niet gewoon aan de zijkant of bij het toetsenbord.

Bovendien beveiligt zo'n schuifknop niet tegen aanvallers die fysieke toegang tot je toestel hebben, zoals bedrijfspionage of mensen van de luchthaven die je bagage doorzoeken. Dat laatste gebeurt bijvoorbeeld af en toe bij zakelijke reizigers die naar China gaan.
Hey het was zomaar even een idee, het ging me vooral om deze omslachtige manier van bios beveiligen terwijl een hardwarematige oplossing vele malen simpeler is.

Of het nu een schuifje of wat ook is, kunnen we nog over door bakkeleien het was het eerste wat me te binnen schoot. Het gaat me meer om het idee.
Dat zou ook betekenen dat je de bios niet kan updaten.
Tuurlijk wel, schuifje opzij en updaten maar. Daarna schuifje terug en klaar.
Waarmee je er gelijk voor zorgt dat je op dit vlak niets meer met deze laptops kunt in een zakelijke omgeving waar dit soort dingen centraal uitgerold worden of remote beheerd en gecontroleerd moeten worden en laat de elite ook serie nou net veel in die markt ingezet worden. Interessante gedachte maar lang niet altijd wenselijk.
Beetje fantasieloos antwoord niet?

Hoe vaak doe je iets met de bios van corporate laptops? Ik kan ze op 1 hand tellen, we zetten ze op PXE booten om hun PXE image te halen, eventueel een asset tag erin en dat komen we er niet meer aan. Moet het geflashed worden dan wordt dat gedaan door technici of andere capabele mensen en die kunnen dan prima dit aan of uitzetten.

En zo zijn er nog wel een paar scenario's denkbaar.

Waar het me vooral omgaat is het software gedeelte wat weer door andere software uitgeschakeld kan worden. Een hardwarematig schuifje oid maakt zoveel aanvalsvectoren onmogelijk.
Dat heb ik ook al een paar keer voorgesteld in deze groep! Het moet hardware matig onmogelijk gemaakt worden om het flash geheugen te beschrijven waar de firmware in zit.

Dit moet dan ook voor de firmware van de harde schijf, netwerk kaart, grafische kaart en USB gedaan worden.

Tevens zou ik ook graag zien dat ze UEFI totaal verwijderen. Dit soort nutteloze, maar onderliggende software is een feest voor inlichtingendiensten om hun malware in te verstoppen.

[Reactie gewijzigd door ArtGod op 15 december 2016 09:38]

Gaat niet gebeuren, UEFI is niet voor niets ingevoerd en bied vele voordelen boven legacy. Verwijderen is geen optie.

[Reactie gewijzigd door dezwarteziel op 14 december 2016 22:05]

Moderne besturingssystemen hebben geen UEFI of BIOS nodig.

Vaak wordt Secure Boot genoemd als reden voor UEFI. Als je de hele harde schijf versleuteld en alle updates via digitale handtekeningen checkt heb je ook de-facto Secure Boot.

Los daarvan zou je Secure Boot ook via kleine firmware kunnen doen. Daar heb je niet een heel subsysteem nodig zoals UEFI welke enorm groot is, veel bugs bevat en dus makkelijk als doelwit kan dienen om aanvallen uit te voeren.
Wat een ongelooflijke onzin! Dat kan jij wel vinden maar de vele opties die ik in mijn BIOS/UEFI heb zitten heb ik gewoon nodig, of Windows 10 dat nu nodig heeft of niet. Bv. dingen als XMP kunnen niet in Win ingesteld worden, sterker nog dat geld voor alles wat ik in het bios vind. Als BIOS/UEFI niet nodig zou zijn, dan had het er niet in gezeten.

Secure boot zorgt ervoor dat alleen door de fabrikant goed gekeurde software de PC kan opstarten, dit heeft geen bal met encryptie te maken. Een HDD encrypten doe je met bitlocker of truecrypt.

Er zitten geen bugs in mijn UEFI, alles werkt naar behoren, jij bedoelt exploits.

[Reactie gewijzigd door dezwarteziel op 15 december 2016 09:46]

Prima idee. En ook graag een hardwarematig knopje om je mic en camera uit te zetten. En nee, dan bedoel ik niet zo een die e.e.a. alsnog softwarematig regelt, gewoon de fysieke verbinding via een fysieke schakelaar graag.
Dit schuifje die voor mijn webcam geschoven kan worden zit al jaren op mijn 6 jaar oude Asus laptop.
Ja, want meneer de hacker met fysieke toegang trekt zich hier iets van aan... schuifje omzetten, aanpassing doen, schuifje terug.
Je weet dus niet of het device gecompromitteerd is.

Met de oplossing van HP is het, he, het is aangepast, red flag!
Op naar IT voor remediation!
Als iemand fysiek toegang heeft helpt niets meer.
En het een hoeft het andere niet uit te sluiten natuurlijk.
Weer geen Thunderbolt 3, waarom komen de nieuwe laptops niet met TB3 aansluiting ?
Wel van alle andere "pietluttigheden" uitbrengen, maar TB3, ho maar.

Ligt dat nu echt aan mij :'(

Ik snap dat TB3 duurder is dan USB-c poorten met enkel USB3.1, maar toch zeker op dit soort laptops zou je toch TB3 verwachten.

De chip van Intel, de JHL6540 kost 8,55 $
http://ark.intel.com/prod...-Thunderbolt-3-Controller

En ik dacht dat er geen royalty's of licentie kosten opzaten.

TB3 is ideaal, zeker bij een ultrabook die je als desktopvervanger wil gebruiken met externe graphics als je wil gamen.

EDIT: nog wat zitten zoeken. het probleem lijkt te liggen in het moeizaam proces om TB3 certificering te krijgen.
http://www.pcworld.com/ar...ilure-into-a-success.html

[Reactie gewijzigd door abusimbal op 14 december 2016 20:10]

Dit zijn de wat luxere zakelijke laptops van HP. Dit zijn geen ultrabooks. Ze zijn wel zo duur als ultrabooks, maar schieten tekort op dingen als accu en draagbaarheid. Maar in ruil daarvoor krijg je wel dingen waar zakelijke gebruikers vaak meer aan hebben, zoals een docking station poort.

Daar komt bij dat je voor de prijs van een externe gpu behuizing een prima pc'tje kan bouwen om die GPU aan te sturen ipv je laptop. Externe GPU's zijn een leuke proof of concept maar voordat het een goed alternatief wordt voor een desktop pc zijn we nog wel een paar jaar verder.
Op moment heb ik tijdelijk zo'n ding(vorige generatie misschien) met een i5 door mijn huidige :) stage. En ik kan zeker zeggen dat ze lang meegaan op een accu. Waar zo'n apparaat echt in uitblinkt is naar mijn mening echt een super hoge bouwkwaliteit. De laptop voelt solide aan en wil bijna niet buigen en het materiaal is krasvast. Dus gewoon ideaal als zakelijke laptop die je overal zonder bescherming mee naar toe kan slepen.... :)
... maar schieten tekort op dingen als accu en draagbaarheid.
Heb niet de indruk dat je er al mee gewerkt hebt of er eentje vast hebt gehad. Zo'n 850 G3 is verrassend licht (lichter dan sommige tablets) en gaat lang mee op een acculading.
Ik werk dagelijks met een 820 (g1 dacht ik, Gen4 i5). In geen geval een lomp monster, maar een XPS13 of een Surface Pro stop ik liever in mijn tas als ik ergens heen moet. En dat is niet om een paar mm verschil, ik durf wel te zeggen dat die footprints twee keer zo groot zijn.
Zijn inderdaad geen ultrabooks inderdaad, de definitie is ook veranderd in de loop der jaren. Met "ultrabook" bedoelde ik dunne, lichtere en zuinige laptops. Toen de Elitebook uitkwam, de G1 dus, was deze een ultrabook.
nieuws: HP kondigt nieuwe zakelijke ultrabooks aan
https://en.wikipedia.org/wiki/Ultrabook#Specifications
Ondertussen is dit versie 4 (G4) en moet er ook al een touchscreen bij om ultrabook te mogen heten.

De prijs van eGPU kastjes is inderdaad duur, let wel, deze bevast wel een PSU en is een docking station.

Met TB3 zijn er de eerste eGPU's, Je betaalt altijd dan premium bij launch, kijk toen SSD's uitkwamen.

Intel geeft eGPU als 1 van de 4 grootste voorbeelden waarom je TB3 zou willen hebben.
http://www.intel.com/cont...es-it-all-infographic.jpg

De grootste reden is denk ik 1 poort voor alles. Daarom bij uitstek de poort voor een docking station, toch 1 van de accessoires voor zakelijk gebruik.
Als het bij Intel 8,55 kost, wordt HP's verkoopprijs 17,10 hoger, de importeur vraagt 34,20 extra, de tussenhandelaar 68,40 en de retailer 136,80 ex btw.

TB3 is mooi, maar voor nog vrijwel niemand een reden om het model wel of niet te kopen. USB3 is in de praktijk snel genoeg en voor compatibiliteit wilt men de hdmi, dvi, vga, e-sata en ethernet-poorten er ook op houden.
Zijn dit afbeeldingen van de nieuwe EliteBooks? Damn, die bezels. Maak die schermranden nou eens iets smaller. Ik hoop dat meer fabrikanten het voorbeeld van Dell (XPS 13/15) volgen. Hoeft niet meteen zo smal, maar dit is toch echt lelijk HP?
Misschien heeft het te maken met de achterliggende gedachte dat elke EliteBook nog aan bepaalde standaaden moet doen, wat bijvoorbeeld op wikipedia (onder andere) na te lezen valt
The HP EliteBook line is engineered to meet military MIL-STD-810 standards for reliability and performance under extreme conditions,[5] namely for temperature, altitude, humidity, dust, shock and vibration. The notebooks feature a magnesium alloy chassis, anodized aluminum lid and palm rests, spill-resistant keyboards, active hard-drive protection and dual pointing devices (touchpad and pointing stick)
En de folio en 1040 dan? Die vind ik prachtig. (De 840 vind ik ook erg mooi).
Bij een laptop hebben die dunne randen wel als nadeel dat je met je vinger snel je scherm vastpakt bij het openen, sluiten of verstellen en als je je scherm graag vlekvrij houdt, is dat niet al te handig.
En helaas zijn ze qua ergonomie er ook achteruit op gegaan (sedert een paar generaties geleden al). Vroeger had je een afgeronde rand op het einde van de laptop (waar je polsen zich bevinden), nu is dat een vierkante rand geworden dat pijnlijk wordt van zodra je je polsen er 2 seconden legt. Ook zijn de touchpads achteruitgegaan, het rechtsklikken detecteert hij de helft van de keer als een linkerklik, ook is het nieuwe touchpad niet meer zo precies als de oude. De contextmenu toets op het toetsenbord (die tussen de rechter windows en ctrl key) is ook verdwenen (wtf?).

Spreek als een eigenaar van een Probook 450 G4. Ik denk dat ik die dat ik nu heb zo snel mogelijk ga doorschuiven en eens beginnen kijken naar andere merken...
Is het gezichtsbedrog of ziet die LAN connector er nogal plat uit ipv een vierkant?
Zie 2de foto...

Edit: of schuift er een klepje onderaan open om de connector in te pluggen?

[Reactie gewijzigd door Elconejo op 14 december 2016 20:29]

Yup, jouw edit klopt, klepje komt omlaag :)
Ja, klepje schuift open zodat de connector erin past. Is bij mijn huidige Elitebook 850 ook zo.
Als liefhebber van Elitebooks moet ik toch zeggen dat ik het doodzonde vind dat het design niet meekomt met die zakelijke machines. Enorme bezels en volgens mij ook een relatief klein touchpad.

Techniek ziet er wel weer zeer goed uit, al heb ik vrijwel altijd mn twijfels wanneer een fabrikant gaat opscheppen over veiligheids features.
Niet naar bedoelt, maar misschien is dit dan niet de laptop voor jou? Dit is bedoelt voor een professional, waarvoor het niet zozeer uitmaakt of hij de snelste laptop heeft, maar wel zeker wil zijn dat hij 24/7 desnoods door kan werken, dus ook niet door issues wil opgehouden worden. Als dat niet het gene is wat je zoekt, hebben ze nog andere laptops die minder uitgebreid zijn qua durability en security.
In het datacentrum wil/kan ik niet zonder mijn Elitebook. I/O die ik nodig heb, accuduur die werkelijk perfect is, zeer goede wifi, en een machine die doorbuffelt als ik hem laat vallen/mishandel.

Om te zeggen dat mijn Elitebook mn leven heeft gered gaat wat ver, maar als Datacenter Tech ben ik zeker een professional waarvoor deze bedoeld is.

Neemt niet weg dat ik het jammer vind dat het touchpad relatief klein is en de bezels wat groot. En daar heb je gelijk, die wensen komen van mn consumenten Dell.

No worries, ik ben geen gamer die een zware GPU wenst en multi color LED toetsenbord. ;)
Echt zeer goede wifi zou ik nu niet zeggen. De twee antennes plakken ze gewoon al jaren goedkoop naast de chip: http://www.myfixguide.com...o-9470m-Disassembly-5.jpg ;(

Verder is het wel opvallend dat sinds de G1 het design nauwelijks veranderd is. Vroeger had je toch een verse look om de 2 reeksen bij elite/pro book? Misschien volgen ze nu eerder Lenovo daarin en wijzigen ze alleen zaken die problemen opleveren, zoals die vuile zwarte cover van de G2 :/
Ik gebruik zelf een 2560p, omdat de accu een handvat is voor staand gebruik. Ideaal. Maar in dat model is wifi beter dan een lenovo die ik ook kon kiezen toen der tijd. Het nieuwere model (G1) staat op mn bureau in kantoor. Aan de kabel, dus wifi bij dat model weet ik vrij weinig over.

Wat betreft design ging het om de zoveel reeksen volgens mij ja. Mn 2540p was een lelijk ding, was meer dan blij met de 2560p.

Dat zwarte design/materiaal wat Lenovo gebruikt vind ik best tof, alleen was het alu design een stuk mooier. Wel rete koud vanuit een koude auto als je er met je polsen op moet.
Wat is er mis met die antennes? In mijn Lenovo X230 zaten de wwan antennes ook gewoon los omdat er geen wwan kaartje in zat.
Niets mis mee maar op die manier zou ik het niet omschrijven als 'zeer goede wifi'. Bij Dell XPS krijg je een Killer wifi kaartje + uitgebreide antennes: https://d3nevzfk7ii3be.cl...igi/DN53MvHeg4N21Ex5.huge
Andere merken versterken het signaal door bijvoorbeeld de antennes naar het scherm te laten lopen. Bij HP heb je dus antennes van enkele centimeters die ze vastplakken aan de onderkant van het moederbord.
Nog even mooi, onveranderd dus, als mijn 820 G3. Wat wel mooi is, is dat de machines nu officieel 32GB ondersteunen. In mijn G3 zit nu ook 32GB en dat werkt perfect, maar HP ondersteunt het officieel niet. Enige wat mooi geweest zou zijn in de G4, is als ze displayport en USB omgedraaid zouden hebben. Als ik mijn notebook G3 nu in de dock zet, dan wordt de rechter USB net afgedekt. Jammer dat ze dat niet gefixed hebben.

Verder blijven het prachtige machines die het winnen van menig notebook op de betrouwbaarheid. Het kost wel wat, maar dan heb je ook wat. Naast de 820 G3 prive heb ik ook nog een 820 G2 zakelijk. Dat is wel een flink verschil.

Voor mijn geen bling bling Dell XPS ofzo.

[Reactie gewijzigd door techie782 op 14 december 2016 19:54]

Enige wat mooi geweest zou zijn in de G4, is als ze displayport en USB omgedraaid zouden hebben. Als ik mijn notebook G3 nu in de dock zet, dan wordt de rechter USB net afgedekt. Jammer dat ze dat niet gefixed hebben.
Da's inderdaad zonde. Bij een 850 G3 wordt ook sd onbereikbaar bij docken. Ze hadden best nog wat poorten aan de linkerkant kunnen steken in plaats van rechts waar de dock ze deels bedekt.
Zoals altijd zal ook hier wel iemand een manier rond vinden, of nog erger, een manier vinden om die "speciale chip" te hacken, zodat de malware zichzelf automatisch opnieuw installeert... Vroeg of laat zullen er tijden komen dat er niets anders op zal zitten om de volledige hardware te wisselen om van malware af te raken.
Deels klinkt dit geweldig, en met name voor bedrijven maar anderzijds vraag ik mij af of je dit ook fijn vindt als je iets als coreboot zou willen of een whitelist verwijderen. Zoals de tekst het nu beschrijft lijkt het een optie te zijn die aangezet kan worden. En hopelijk voor een goede implememtatie is die externe chip goed beveiligt en is die bus niet of nouwelijks te sniffen of het nut ervan te verwaarlozen door een check van de binnegetrokke bios. Leuke bootloops ;)
Zo heel nieuw is deze technologie niet, mijn ZBook 15 G2 beschikt ook al over een versie van deze bescherming. Je kan ook een bescherming instellen dat als de UEFI aangepast wordt dit tegengehouden wordt.
Die EliteBook 840 G4 is wat mij betreft een super-optie als hij de zelfde PCI-E SSD heeft als de huidige ZBook G3 ook heeft. Dan zit hij vermoedelijk voor veel mensen op een sweet-spot, met een goed scherm en een reguliere graka.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*