Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft zet 'kluis' voor gevoelige gegevens in OneDrive

Microsoft heeft een 'kluis' voor OneDrive gepresenteerd, waarin gebruikers gevoelige gegevens kunnen zetten die de dienst extra beveiligt. Zo vereist het altijd een extra beveiliging als gebruikers de gegevens willen bekijken.

Gebruikers moeten een pincode of sms-code invoeren, maar kunnen er ook voor kiezen om de kluis biometrisch te ontgrendelen met bijvoorbeeld een vingerafdrukscanner, zegt Microsoft. Bestanden in de Personal Vault staan in Windows 10 in een BitLocker-omgeving, ook als gebruikers geen BitLocker gebruiken om bestanden te versleutelen.

Ook is het mogelijk om foto's te maken die rechtstreeks in de Personal Vault komen, zoals scans van paspoorten. Die belanden dan niet in de Foto's-app op Android of de Camera Roll op iOS, aldus Microsoft.

De functie komt als eerst uit in Nieuw-Zeeland, Australië en Canada, zo laat Microsoft weten. Voor het einde van het jaar moeten alle gebruikers de Personal Vault kunnen gebruiken in de webopslagdienst. In de gratis versie is Personal Vault beperkt tot een bepaald aantal bestanden, maar Microsoft zegt niet hoeveel dat er zijn. Ook vergroot Microsoft de opslag in de goedkoopste variant in de betaalde versie van 50GB naar 100GB.

Door Arnoud Wokke

Redacteur mobile

26-06-2019 • 07:34

127 Linkedin Google+

Reacties (127)

Wijzig sortering
Dus nu kan ik mijn KeePass database (met 20+ karakter passphrase en keyfile die uiteraard niet in OneDrive staat) die op mijn OneDrive staat waar ik alleen met MFA toegang tot kan krijgen, ook nog eens in een OneDrive personal vault opslaan, waar ik dan vervolgens nog eens moet authenticeren.

Mag ik dat een klein beetje overkill vinden :)
Wat ik mij vooral afvraag is hoe het dan op de servers bij microsoft staat. De bulk van mijn gegevens heb ik gewoon los op onedrive, maar voor bepaalde gegeven (bankafschriften, facturen, loonstroken, paspoorten) gebruik ik cryptomator om een extra beveiligingslaag aan te brengen. Is dit een alternatief hiervoor, of is dit enkel een extra authenticatielaag.

De beperking op hoeveelheid gegevens is natuurlijk zodat niet iedereen álle data, of copyrighted materiaal als films in hun kluis gaat zetten.
Uit de bron van het artikel:
Personal Vault uses more than just two-step verification to help keep your files safe and private. On Windows 10 PCs, OneDrive syncs your Personal Vault files to a BitLocker-encrypted area of your local hard drive. And like all files in OneDrive, the contents of your Personal Vault are encrypted at-rest in the Microsoft cloud and in-transit to your device
Ik vraag me af of dit dan ook op Home edititions van Windows 10 werkt waar geen BitLocker op staat. Zoals ik het lees maakt het dus alleen een verschil op jouw apparaat want in de cloud is het allemaal encrypted.
Op de Home edition staat wel BitLocker, het is alleen niet aan te zetten tenzij je je Windows doet geloven dat het minimaal de Pro versie is. :+ Dus MS kan het hier wel makkelijk voor aanzetten. Anders dan dat, wel een terechte vraag natuurlijk. Als Home deze functie niet gaat ondersteunen, dan is dat voor de meeste mensen een beetje zuur.
OneDrive is in de kern niets meer of minder dan My-SharePoint. Dus je persoonlijke pagina binnen een SharePoint farm. De bestanden staan dan dus volgens mij ook 'gewoon' als blob in een content database.
OneDrive is begonnen als een evolutie van de MySite in SharePoint, maar dat is het al lang niet meer. En dan heb je 't ook nog specifieker over OneDrive for Business, de consumentenversie van OneDrive is vanaf het begin af aan een ander product geweest wat niets met SharePoint te maken had (behalve dan misschien een paar engineers uit hetzelfde team, dat zou kunnen).

De business versie is juist langzaam aan verschoven naar de consumenten versie en hoewel ik ook niet achter de schermen kan kijken weet ik redelijk zeker dat ook OneDrive for business nu niet meer hard aan SharePoint (Online) vast hangt. Kortom: dit statement was vroeger deels waar, vandaag de dag klopt het niet.
Nog niet lang geleden een grote hoeveelheid OneDrive gebruikers gemigreerd en het is nog gewoon My Sharepoint. Geloof je mij niet, kijk dan maar eens gewoon bij Microsoft:
https://docs.microsoft.com/en-us/onedrive/list-onedrive-urls

Niets bijzonders dus.
Nogmaals; dat is het verschil tussen de consumenten OneDrive en OneDrive for Business. Het artikel wat je linkt geeft ook netjes aan links bovenin dat het gaat over OneDrive for Business.

Voorheen waren er zelfs twee aparte sync clients voor de ene dienst en voor de andere dienst, dat kwam dus niet omdat het achter de schermen gewoon dezelfde dienst is ;)
Weet ik, maar je reactie geeft ook ODfB aan:
De business versie is juist langzaam aan verschoven naar de consumenten versie en hoewel ik ook niet achter de schermen kan kijken weet ik redelijk zeker dat ook OneDrive for business nu niet meer hard aan SharePoint (Online) vast hangt. Kortom: dit statement was vroeger deels waar, vandaag de dag klopt het niet.

De statement is dus gewoon nog waar.
OneDrive personal is begonnen als Windows Live Mesh.
OfB is nog steeds een SP site, met alle SP mogelijkheden. URL:
https://<tenant>-my.sharepoint.com/personal/<user><tenant>/_layouts/15/onedrive.aspx
Ik kan het niet meer vinden maar er was ooit een whitepaper over hoe Onedrive werkt. En hier wordt verteld dat het juist niet in sharepoint zit. Dit was al enige jaren geleden en misschien dat daar wel wat veranderd is in de loop der jaren.

Heb jij toevallig een bron? Ben wel benieuwd naar hoe het nu zit.
Dit gaat over Onedrive for Business. Dat is een heel ander product dan Onedrive. Verwarrend, mee eens maar idd, Onedrive for Business is inderdaad onderdeel van je my-sharepoint omgeving.

Onedrive (en daar gaat het in het artikel over) maakt voor zover ik weet geen onderdeel uit van Sharepoint. Dat zou ook wel een leuke farm zijn met hun miljoenen gebruikers.
OneDrive is in de kern niets meer of minder dan My-SharePoint

Dat is OneDrive for Business. Fijn he die verwarrende namen 8-)
Heb jij je paspoort op je pc staan ?
Zoals gezegd versleuteld, maar inderdaad, ik heb alle documenten die ik zou missen als er bijvoorbeeld brand uit zou breken ook digitaal als backup.
Het is zeer verstandig wat je doet (ik doe het zelf ook :)) en de meeste mensen komen hier achter als ze plots een kopie moeten overhandigen en deze thuis hebben liggen / niet bij de hand (bijvoorbeeld op vakantie).

Cryptomator blijven gebruiken is ook een vereiste volgens mij. OneDrive is niet versleuteld en deze update verandert dit niet. Het voegt enkel een authenticatie toe op een map. Zoals MS het aangeeft:
Personal Vault is a protected area in OneDrive that you can only access with a strong authentication method or a second step of identity verification, such as your fingerprint, face, PIN, or a code sent to you via email or SMS

Wat betreft encryptie zegt MS:
OneDrive syncs your Personal Vault files to a BitLocker-encrypted area of your local hard drive. And like all files in OneDrive, the contents of your Personal Vault are encrypted at-rest in the Microsoft cloud and in-transit to your device.
Je data heeft dus lokaal bitlocker versleuteling maar in de MS cloud ben je afhankelijk van MS encryptie (waar je geen invloed op hebt).
Maar in onedrive wel al bit locker encrypted.
hmhmhmhmhm.... Ja, ik ben er nog niet helemaal over uit wat ik daarvan vind. Bitlocker offload ook de encryptie als deze detecteert dat de hardware dit ondersteund. Wel leuk het slotje maar niet echt beveiliging:
nieuws: Nederlandse onderzoekers vinden kwetsbaarheden in hardwarematige encr...

Ik denk dat je dan beter op 3rd party tools kan vertrouwens als Cryptomator want dan weet je zeker dat de data lokaal en in de cloud versleuteld is.
kende Cryptomater niet. Ziet er veelbelovend uit.
Dat cryptomator ziet er goed uit, dank voor de tip!
Wat ik mij vooral afvraag is hoe het dan op de servers bij microsoft staat. De bulk van mijn gegevens heb ik gewoon los op onedrive, maar voor bepaalde gegeven (bankafschriften, facturen, loonstroken, paspoorten) gebruik ik cryptomator om een extra beveiligingslaag aan te brengen. Is dit een alternatief hiervoor, of is dit enkel een extra authenticatielaag.

Het lijkt er wel op, maar Mirosoft geeft vervelend genoeg niet de exacte gegevens die je nodig hebt om die afweging te maken.
Het lijkt erop dat er aan de bestaande beveiliging drie zaken toegevoegd worden:

1) extra authenticatie. Dus iemand die op wat voor reden dan ook de link krijgt of een soort OneDrive access-cookie/token, kan er nog steeds niet bij want het vereist een extra login.
2) Ook wordt de data niet automatisch op onbeveiligde locaties gezet.
3) Versleuteling "at rest".

Echter over (3) wordt geen informatie gegeven. Wie beheert de sleutel!? Dat is Microsoft, dus het is geen bescherming tégen Microsoft of exacter gesteld bijvoorbeeld de Nederlandse overheid die jouw data opvraagt bij een fiscaal strafrechtelijk onderzoek.

Maar het kan nietemin daarom toch een uitstekende beveiliging zijn tegen andere aanvallen! Juist als de sleutels niet fysiek op de client (jouw PC, etc) staan kan een aanvaller (denk aan malware, maar ook verlies/diefstal van je laptop terwijl die gele post-it er nog op zit :P ) die de ruwe data te pakken krijgt die niet lezen, want het is versleuteld met een sleutel die men enkel krijgt als men via 2FA bij Microsoft inlogt.

Dus of het een vervangende beveiliging is, is afhankelijk van tegen wat voor aanvallen jij je momenteel primair verdedigd. Tegen de Nederlandse fiscus die via dwangbevel jou data gaat opvragen of tegen verlies/diefstal van een client (laptop/telefoon) waar een aanvaller niet hoeft in te loggen op je OneDrive client en dus zo de bestanden eraf kan halen. Tegen het eerst is dit geen beveiliging, tegen het tweede wel.
In netwerken heb je ACL's, firewalls, VLANs, whitelists, VPN's, ...
Fysisch zijn er genoeg bedrijven waar een backup paswoord in een kluis ligt die in een beveiligde ruimte staat in een gebouw dat afgesloten wordt met een badge-systeem en een inbraakalarm, dus zo vreemd is dat in het echte leven ook niet.
Het is niet omdat er nog andere beveilingen zijn dat een extra beveiliging overbodig is
Ik beschouwde OneDrive als onderdeel van het Office 365 abonnement al als een kluis, deze extra layer of security wordt dan een kluis in een kluis. Benieuwd wanneer het hier in Nederland voorbij komt. Voor het einde van het jaar is tenslotte nogal ruim...
In principe kan iedereen die je PC jat de gegevens die gesynced zijn met je PC inzien, dat zal hierbij wel niet het geval zijn.
Bij alle Micosoft Surface modellen staat Bitlocker standaard aan op de gehele schijf. Dan moet je wel een heel gemakkelijk wachtwoord gebruiken wil men er zo bijkomen.
Maar niet iedereen die OneDrive gebruikt heeft een surface of gebruikt BitLocker. Ik heb een Office 365 family abbo en dus 1TB OneDrive opslag. Mijn desktop thuis is niet ge-BitLocker'd. Tot nu toe staan de scans van m'n ID/rijbewijs/paspoort gewoon kant en klaar in de Pictures, die zet ik dan mooi in de vault.
Je kan ook een Truecrypt/Veracrypt container maken ongeveer ten grote van de verwachte bestanden. Dat doe ik sowieso altijd voor gevoelige informatie of bijvoorbeeld belangrijke mailtjes.
Bitlocker heb ik ooit geprobeerd op mijn C schijf, maar deze gaf foutmelding na foutmelding. Veracrypt werkt weer wel, maar is lastig als Windows 10 een grote update heeft. Moet je de hele boel decrypten eerst...

Kortom, containers aanmaken is ook een oplossing.

Verder erg tof deze ontwikkeling, heb namelijk zelf ook het family abo en ben zeer tevreden over de grootte van de opslag, Office zie ik als een extraatje die je erbij krijgt.
Enkel moet je dan die meuk op al je computers installeren, zijn de files via een browser dus helemaal niet toegankelijk, en moet je alles instellen in een compleet andere GUI. Voor 99.99% van de gebruikers is "ff truecrypt downloaden" niet een haalbare optie. (wat je zelf al zegt, een update en je mag alles weer opnieuw doen) Een knopje aantikken in OneDrive (waarschijnlijk krijg je bij introductie een korte gids) en ook nog functies die gevoelig spul er automatisch inzetten maakt het al een stuk bruikbaarder.
Vandaar dat ik aan gaf deze ontwikkeling erg tof te vinden. Vooral betreft gebruiksgemak.
Onedrive was al mijn eerste keuze betreft online opslag, puur omdat de prijs ongeveer gelijk is aan die van de concurrenten, maar je krijgt er gratis Office bij wat een enorm voordeel is.

In het begin werkte OneDrive nog niet helemaal naar wens, maar gelukkig heeft Microsoft steeds meer functionaliteit ingebouwd. Was in het begin nogal erg zoeken hoe je bepaalde instellingen moest aanpassen betreft synchen of juist niet synchen op diverse apparaten.

Wat ik me verder wel af vraag is welke encryptie achter deze vault verschuild.
De vault maakt alleen maar verschil aan jouw kant, in de cloud niet. En ik vertrouw m'n desktop wel en de omgeving waar die staat. M'n laptop heb ik wel encrypted.

Side note:
Foutmelding na foutmelding met BitLocker kwam waarschijnlijk door het missen van een TPM chip. Je kan dat oplossen door je group policy aan te passen en je PC om een wachtwoord te laten vragen:
gpedit.msc -> computer config -> Administrative templates -> Windows components -> BitLocker drive encryption -> Operating system drives -> Require additional authentication at startup (aanzetten -> apply en checken of de setting op 'allow TPM' en niet op 'require TPM' staat).
Dat was inderdaad de melding, ik zal er straks eens naar kijken. Een encrypted systeem voelt toch altijd wat veiliger aan. Bedankt voor de handleiding.
Lijkt me heel verstandig. En sowieso zou ik die scans in een password protected zip file zetten.
En met een watermerk “uniek” maken per gebruik van een kopie ID. Je weet namelijk ook niet hoe de vragende partij je kopie opslaat. Die hebben misschien ook geen BitLocker of versleutelde OneDrive.

Maar de beste “kluis” voor een kopie ID is helemaal niet opslaan.
"Maar niet iedereen die OneDrive gebruikt heeft een surface of gebruikt BitLocker. "

Inderdaad. Ik, bijv., ben een Linux-gebruiker van OneDrive.
Er worden tegenwoordig ook surface apparaten verkocht met home licentie, hier kan je helaas geen bitlocker op activeren
Mijn Surface Pro 6 werd geleverd met home licentie én bitlocker ingeschakeld op de ssd. Ik kon echter geen andere schijven encrypten, zoals dat met pro+ wel kan.
Heb je jouw Surface Pro dan 2e hands gekocht? Vanuit de fabriek worden ze alleen met Windows 10 Pro geleverd.
Dit klopt niet meer...
Surface Pro 6 wordt ook geleverd met Windows 10 Home...
https://www.microsoft.com...ivetab=pivot:techspecstab

Bitlocker is alleen voor Windows 10 Pro, echter heeft Windows 10 Home wel "device-encryption":
https://support.microsoft...turn-on-device-encryption

W10 Home vs Pro:
Zie hier ook Device Encryption bij Home editie, wel wordt er in kleine lettertjes vermeld dat je hardware hiervoor compatible moet zijn, verwezen wordt naar punt 2 onderaan de pagina:
https://www.microsoft.com...re-windows-10-home-vs-pro

[Reactie gewijzigd door MZONDERL op 26 juni 2019 09:38]

Surface Pro 6 wordt vanuit de fabriek wel degelijk met Windows 10 Home geleverd, Microsoft adverteert er zelfs mee. Zie: https://www.microsoft.com...vetab=pivot%3aoverviewtab
Sinds nummer 6 wordt de consumentenversie met home geleverd, de businessesversie heeft nog steeds pro.
home licenties kunnen in sommige gevallen wel "encrypten". Dit is onderwater gewoon bitlocker.
"in sommige gevallen"

Ik vind dat iedereen recht moet hebben op drive encryption. Dit zou in mijn ogen ook niet uit moeten maken of je home of pro hebt.
De meeste mensen a.k.a home users weten geeneens wat encryptie is.
Mee eens. Op iPhones is het dan ook wel mooi dat het standaard aan staat. Android en Windows moet je het zelf aanzetten, wat dus dan ook vaak niet gebeurd.
Encryptie staat standaard aan op bijna alle nieuwe Android-toestellen, m.u.v. de allergoedkoopste. Vanaf Android Q moeten zelfs die standaard encrypted zijn.
Maar niet elk device beschikt over TPM, dan zit je dus met een extra wachtwoord wat voor veel mensen als lastig word ervaren.

Daarnaast heeft bijvoorbeeld Dell nog heel veel issues met spontaan verdwijnende TPM. Voor een consument is het waarschijnlijk een drama om dan de bitlocker key te achterhalen en data te backuppen zodat Dell een mobo swap kan gaan uitvoeren.
"in sommige gevallen" houdt in dat je aan de volgende voorwaarden moet voldoen:

Requires modern hardware (InstantGo/AOAC/HSTI-compliant). Review this doc for more details on Device Encryption.

Bron:https://www.microsoft.com/en-us/windows/compare-windows-10-home-vs-pro
Het betreft "device-encryption", waar naar extra opmerking 2 wordt verwezen, onderaan de pagina.
Waar baseer je deze informatie op? Heb je hier een bron van?

Komend uit een organisatie waar letterlijk elke PC een Surface device is (Pro/Laptop/Book, zélfs Studio), heb ik dit persoonlijk nog niet meegemaakt namelijk.
Wij gebruiken wél Bitlocker, echter dient dit handmatig ingesteld te worden, net zoals bij overige Windows 10 Pro/Enterprise devices.
Gebruikt jullie organisatie een 'custom' installatie? Of de OOB installatie van Microsoft?
Ook kan het zijn dat de Bitlocker instellingen bij jullie bij een GPO geregeld worden, waardoor er bijv. handmatig een pincode aangemaakt moet worden.

[Reactie gewijzigd door kevlar01 op 26 juni 2019 08:24]

Wij gebruiken de OOB installatie van Microsoft, vervolgens logt de gebruiker in en wordt de laptop voor ze geconfigureerd. Hiermee wordt (middels Azure en GPO) Bitlocker óók ingesteld, en de recovery key opgeslagen onder het cloud domain account van de desbetreffende gebruiker.

Voorheen deden we de geautomatiseerde stappen handmatig, waaronder dus Bitlocker instellen.

Net even een Surface Laptop 1 (Italian keyboard) out-of-box getest:
Manage-bde -status c:
Size: 237.16 GB
Bitlocker version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage encrypted: 100.0%
Encryption Method: XTS-AES 128
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors: None Found

Voor zover ik weet is dit enkel TPM encryptie gebaseerd op de technologie van Bitlocker, en dus géén Bitlocker encryptie an sich.

[Reactie gewijzigd door Awesomehobo op 26 juni 2019 09:07]

De schijf is encrypted zo te zien. Volgens mij kan je de schijf dus niet zonder meer uit de Surface halen en gebruiken in een andere Windows installatie.
Er zit alleen geen opstart pincode op(protection = off), dus als men de Windows credentials heeft kunnen ze wel nog bij de data.
Helaas werkt dat automatisch encrypten lang niet bij alle laptops. Remediation failed etc. etc.

[Reactie gewijzigd door DoubleYouPee op 26 juni 2019 10:28]

Ik mag dan aannemen dat de Surfaces die bij jou in de organisatie worden gebruikt niet worden ingezet met de 'out-of-the-box' Windows installatie... dat is dus een heel ander verhaal.
Met modern beheer is een out-of-the-box installatie prima. Alles wordt gewoon achteraf geconfigureerd via intune of SCCM.
Werkelijk nog nooit gezien en wordt bij ons als ongewenst gezien... alles wordt met een nieuwe image ingedraaid. Sterker nog, onze nieuwe apparaten worden geleverd met een door ons geleverde image.
Waar ik werk worden de laptops gewoon met een kaal OOB image direct uit de doos uitgeleverd. Devices worden gemanaged vanuit Intune en dat werkt perfect voor 14.000 mensen.

Eerste app die vanuit intune gepushed wordt is een takenlijst die de mensen helpt met wat standaard settings, office downloaden en drive mappings aanmaken.
Kijk naar "Windows AutoPilot", dit betreft het "moderne beheer" waarbij je niet meer met images werkt.
Een "clean install" van Windows 10 media of de OEM voor installatie is voldoende, daar wordt via AutoPilot je systeem verder geconfigureerd in samenwerking met Intune.
Ligt er een beetje aan in hoeverre er veel 'bloatware' er in de OOB installatie zit.
Achteraf configureren kan ook prima als de installatie zo goed als 'kaal' is.
Mijn voorkeur zou echter wel altijd uitgaan naar een custom image, omdat je dan de installatie zelf in de hand hebt. De hardware leverancier kan bijv. ineens overstappen naar een andere Windows 10 versie waardoor bepaalde applicaties niet meer werken, of een hoop bloatware toegevoegd hebben, of een trial antivirus die je eerst moet uninstallen etc. etc.
Dan moet je voor je bedrijf geen consumentenspul kopen. Ik heb nog nooit een enterprise apparaat van Dell in handen gehad waar ook nog even fijn wat 3rd party zooi op stond.
Werkelijk nog nooit gezien en wordt bij ons als ongewenst gezien...
Dan moet je eens beter gaan kijken. Alleen omdat je het niet ziet wil niet zeggen dat het niet bestaat...
Google bijvoorbeeld eens op "Bring your own device (BYOD)" ;)

Kleine landen als Rusland, UAE en Brazilië hebben een zeer grote BYOD acceptatie (meer dan 50%) en in Polen zie ik het ook vaak.
Je kan wat ze in Rusland e.d. doen niet vergelijken met wat we hier doen... en BYOD is weer heel wat anders, die worden in de meeste gevallen op een apart netwerk gezet en moeten inloggen via een afgeschermde omgeving. Iets met security enzo... vreemde apparaten toestaan op je netwerk zoals eigen apparaten toegang hebben is simpelweg not done.
Want hier doen we het allemaal veel beter? Modern beheer (intune) en Office 365 zorgen ervoor dat je overal toegang hebt tot je data. Geen aparte netwerken of inloggen op afgeschermde omgevingen. Dat is de hele ideologie van de moderne werkplek: Open, deel en werk samen aan al je bestanden, vanaf elke locatie om maar even op-topic in onedrive te blijven.. Conditional access zorgt ervoor dat je toegang geeft tot de resources op basis van vele kenmerken, iets met security enz..

vreemde apparaten toestaan op je netwerk zoals eigen apparaten toegang hebben is simpelweg not done.
Want met eigen apparaten gaat nooit iets mis... De hele reden waarom we Office 365 en moderne werkplekken hebben is omdat de oude 'ideeën' niet werken en we 'out-of-the-box' moeten gaan denken. We beschermen tegenwoordig data met rights management en encryptie, geen machines of netwerken... Dat was überhaupt nooit het doel...
Dat je systemen gebruikt zoals sharepoint, office365 etc om makkelijk te kunnen samenwerken, ook met personen buiten je organisatie staat echt geheel los om een 'vreemd' systeem je bedrijfsnetwerk binnen te laten. Ook zijn dergelijke omgevingen zoals Office265 in die zin afgeschermde omgevingen want je staat een ander alleen toegang toe tot locaties die gewenst zijn.

Oftewel, je gaat een beetje kort door de bocht en verwart het ene met het andere.

Ennuh... als je 'out-of-the-box' denkt zit je nog steeds in de doos en wordt je alleen maar uitgepakt ;) Het is outside-of-the-box...

https://www.focus-lerenen...e-box-of-outside-the-box/
Dat je systemen gebruikt zoals sharepoint, office365 etc om makkelijk te kunnen samenwerken, ook met personen buiten je organisatie staat echt geheel los om een 'vreemd' systeem je bedrijfsnetwerk binnen te laten.

Hebben die personen buiten je organisatie geen vreemde systemen? Die benaderen immers toch dezelfde data als de medewerkers binnen je bedrijfsnetwerk? Of geef je die een eigen systeem om de gedeelde data te benaderen? En waar staat de data eigenlijk in Office 365? Ik weet het niet, ergens in Europa. Dus eigenlijk sla je al data op buiten je afgeschermde bedrijfsnetwerk.

Ik zie heel vaak dat mensen denk dat je cloud en on-premise kunt mixen zonder hier goed over na te denken. Plots staat organisatie data op een privé computer omdat Word standaard wil opslaan naar Onedrive en de medewerker ook inlogt op een 'vreemde' computer.

Ennuh.. Office265 is nog niet uitgebracht door Microsoft ;)
Goed... je kan duidelijk geen onderscheid maken tussen het samenwerken met diensten als Office365 om samen te kunnen werken in wat office documentjes e.d. en het toelaten van 'vreemde systemen' binnen je bedrijfsnetwerk. Dat staat toch echt vrij ver van elkaar. Dat ook nog eens helemaal los van het verhaal mbt licenties, certificaten, policies etc etc.

Dat er ook met cloud werken zaken mis kunnen gaan is simpelweg uit te leggen; de zwakste schakel binnen computersystemen zit nog altijd tussen het beeldscherm de de stoel ;) En zeker als diezelfde gebruikers op systemen van buitenaf werken waarop je totaal geen invloed hebt en wat hun definitie van 'security' is. Als ik zie hoe externen vanuit grote bedrijven, of erger nog ZZP-ers hun zaakjes qua beveiliging hebben geregeld, dan schieten daar de tranen van in je ogen.

En excuseer mij een typfoutje... dat kan gebeuren, dat is gelukkig niet hetzelfde als een verkeerde uitdrukking gebruiken om je punt te maken :+

[Reactie gewijzigd door MicGlou op 26 juni 2019 14:51]

Goed... je kan duidelijk geen onderscheid maken tussen het samenwerken met diensten als Office365 om samen te kunnen werken in wat office documentjes e.d. en het toelaten van 'vreemde systemen' binnen je bedrijfsnetwerk. Dat staat toch echt vrij ver van elkaar. Dat ook nog eens helemaal los van het verhaal mbt licenties, certificaten, policies etc etc.

Tja, agree to disagree denk ik dan maar. Mijn mening is dat je de twee niet gescheiden kan zien. Als je maar 1 dienst van Office 365 in je bedrijfsnetwerk gebruikt dan heb je immers al een potentieel probleem..

Dat er ook met cloud werken zaken mis kunnen gaan is simpelweg uit te leggen; de zwakste schakel binnen computersystemen zit nog altijd tussen het beeldscherm de de stoel ;) En zeker als diezelfde gebruikers op systemen van buitenaf werken waarop je totaal geen invloed hebt en wat hun definitie van 'security' is. Als ik zie hoe externen vanuit grote bedrijven, of erger nog ZZP-ers hun zaakjes qua beveiliging hebben geregeld, dan schieten daar de tranen van in je ogen.

Daar kun je juist wel redelijk goed mee omgaan door modern beheer af te dwingen. Azure rights management, DLP en conditional access helpen daar allemaal mee.. Vroeger werden nog wel eens volledige shares gekopieerd door een oude medewerker. Dat gaat dan niet meer...
Ik ben trouwens zelf ZZP-er maar deel je mening verder wel hoor :)
Hij heeft gelijk. Als jij als consument een surbook koopt met pro staat bitlocker aan en wordt de key opgeslagen in je MS-account. In een domein- situatie werkt dit uiteraard anders.
Dan ga je er dus wél van uit dat de desbetreffende consument inlogt met zijn/haar MS account..

Wanneer ik een OOB Surface Laptop pak en een lokaal account in stel staat Bitlocker protectie uit:
Manage-bde -status c:
Size: 237.16 GB
Bitlocker version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage encrypted: 100.0%
Encryption Method: XTS-AES 128
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors: None Found
Dat klopt want anders kan die z'n key geen backup geven. :)
Bitlocker wordt op Surface device automatisch aangezet, tenzij dit d.m.v. een policy wordt uitgeschakeld (omdat je bv. niet de default instellingen wilt gebruiken). Dan heb ik het natuurlijk over het (voor consumenten) inloggen met je MS account en zakelijk via Intune enrolled (of Domain joined).

[Reactie gewijzigd door JackSparrow op 26 juni 2019 09:52]

Maar Surface/Bitlocker gebruikers zijn maar een fractie van alle OneDrive gebruikers lijkt mij.
Deze nieuwe 'kluis' biedt als extra voordeel dat je bij het unlocken van je pc niet ook deze gevoelige data unlockt. Wellicht handig als je je pc niet altijd meteen lockt als je er even van wegloopt, of als je even iemand anders op je pc laat werken.
Toegegeven, als er zoveel gevoelige info op je pc staat, is het niet handig om een van deze dingen te doen, maar voor mij zou het in de praktijk soms toch wel handig zijn.
Verder lijkt het me bijvoorbeeld handig als ik gevoelige bestanden deel met mensen die de bestanden op hun privé-computer zullen openen.
Ik mag toch aannemen dat je die sync ook kan uitzetten of in de vorm van afmelden op alle apparaten. Zodat wanneer de gejatte pc aangezet wordt, alles gewist wordt. Mits het niet naar je harde schijf wordt gesynced.
In principe kan iedereen die je PC jat de gegevens die gesynced zijn met je PC inzien, dat zal hierbij wel niet het geval zijn.
Dat geldt natuurlijk voor alle lokale data. Dat kan je eenvoudig oplossen door BitLocker aan te zetten en natuurlijk een wachtwoord/pincode/vingerafdruk/etc. te gebruiken voor je Windows account.
Dat klopt inderdaad. Elke keer als je bestanden uit je OneDrive 'kluis' wilt openen via het web, pc of een mobiel apparaat, dan moet je je aanmelden met PIN, fingerprint / facial authentication, of een two-factor authentication (2FA) code.

Prachte feature als je het mij vraagt.
De OneDrive als onderdeel van Office 365 is OneDrive for Business, daar gelden andere beveiligingstoepassingen. Het gaat hier over de consumenten versie van OneDrive.
De OneDrive als onderdeel van Office 365 is precies gelijk aan de consumenten versie van OneDrive. Tenzij je natuurlijk Office 365 Business gebruikt, die is inderdaad anders dan de consumenten versie.
Dit klopt gedeeltelijk...

Office 365 Home and Personal:
- OneDrive

Office 365 Business and Enterprise (E1, E3, E5, etc):
- OneDrive for Business

Er zit zeker een verschil in deze 2 varianten.
Bijvoorbeeld is maar 1 OneDrive te koppelen per Windows User sessie, terwijl OneDrive for Business meerdere gekoppeld tegelijk kan worden (bv. verschillende Tenants)
Dat is niet correct. Microsoft kan altijd bij je data doordat de key waarmee versleuteld wordt daar bekend is. Pas als de data versleuteld wordt met een key die alleen in jouw bezit is kan je cloudopslag als een kluis beschouwen.

Je zal dan client-side moeten versleutelen en ontsleutelen.

Als je analogie van een kluis wilt gebruiken dan zijn de meeste cloud drives kluizen waarbij er ook een sleutel bij de bankmedewerker ligt (en waarbij die sleutel genoeg is om bij de kluis te komen).
2FA door middel van SMS :/ Dat is al bewezen niet veilig te zijn snap dat het beter dan niks is maarja...

For a long time, security experts have warned that text messages are vulnerable to hijacking — and this morning, they showed what it looks like in practice. A demonstration video posted by Positive Technologies (and first reported by Forbes) shows how easy it is to hack into a bitcoin wallet by intercepting text messages in transit.

All the group needed was the name, surname and phone number of the targeted Bitcoin user.

https://www.theverge.com/...ion-hack-password-bitcoin
SMS is 1 optie, je hebt natuurlijk ook andere mogelijkheden.
Ja uiteraard maar je creëert een stukje schijnveiligheid :/.
sms is nog altijd beter dan geen mfa. Maar je hebt gelijk, liever iets anders zoals een token generator.
Microsoft snapt dat zelf ook wel en raadt vooral hun eigen authenticator aan. Dat kun je overal terug lezen. Punt is dat niet iedereen een smartphone heeft of een andere reden heeft om SMS te gebruiken. 'Zomaar' SMS blokkeren als optie is in hun eigen vingers snijden. Ook al is het een minder ideale oplossing.

Ik raad overigens zelf ook SMS af, daar niet van.
Je kan dus niet 'random' gehacked worden. De hacker moet nogal wat informatie over je hebben voordat hij dat kan. M.a.w. je moet echt een specifieke target zijn, waar hij research naar moet doen om die info te achterhalen.
Voor / Achternaam + Tel is nou niet wat je noemt bijster moeilijk te bemachtigen :/.

Uiteraard is het beter dan niks maar nog steeds beter om het uit te faseren.
Vergis je niet: tot op heden heeft Onedrive geen zero-knowledge-ondersteuning. Dit betekent dat Microsoft in theorie je gegevens kan inzien, en dat je zelf alsnog de boel nog een keer moet versleutelen. Bron: https://www.cloudwards.net/review/onedrive/

Wat betekent deze 'vault' ten aanzien van zero knowledge? Met andere woorden: kunnen Microsoft-medewerkers nog bij de bestanden?

[Reactie gewijzigd door Ossebol op 26 juni 2019 08:08]

Op basis van SMS, eenvoudige pincode of biometrie... antwoord is dus overduidelijk ja, ze kunnen erbij. Geen van deze authenticatie opties ondersteunen private keys die client side blijven.

Deze kluis beschermt alleen tegen mensen die fysieke toegang hebben tot je PC, meer niet.
Ja dit is precies ook het probleem dat ik heb met OneDrive. Ik gebruik het ook (de zakelijke O365 versie op eigen domein) maar dit houdt me tegen om er al teveel gebruik van te maken.

Sommige prive gegevens encrypt ik met GPG maar het is een gedoe om dit steeds apart te moeten doen en het risico dat ik het vergeet. Zero Knowledge is gewoon een must-have. Misschien niet voor alle files, maar wel als optie voor een deel van de files zoals dit nu ook geintroduceerd wordt.

Tools als Boxcryptor zijn voor mij geen optie omdat ik teveel platforms door elkaar gebruik (Mac, Windows, Linux, iOS, Android, alles eigenlijk).

Maar inderdaad wat @Youri219 zegt.. Dit gaat het hem ook weer niet worden.

[Reactie gewijzigd door GekkePrutser op 26 juni 2019 10:40]

Was al een tijdje aan het hopen dat de optie van 50GB voor 2€ per maand ging worden uitgebreid. Blij dat het er eindelijk eens van gekomen is :)
Al zou ik liever eigenlijk nog andere storage opties zien zonder er meteen een Office 365 abonnement te moeten bijnemen.
Tsja, wat wil je nog tussen de 2 €/m voor 50 GB en 5,75 €/m voor 1 TB? Voegt bv. 250 GB voor 4 €/m dan nog echt iets toe?
Als ik jaarlijks een bedrag kan uitsparen voor iets wat ik toch niet ga gebruiken, waarom niet?
Het komt inderdaad wel "maar" op 21€ neer in dit geval.
Hoe meer opties hoe beter denk ik dan
Gebruikers moeten een pincode of sms-code invoeren, maar kunnen er ook voor kiezen om de kluis biometrisch te ontgrendelen met bijvoorbeeld een vingerafdrukscanner,
Microsoft spreekt over 2FA en noemt een paar voorbeelden, niet dat alleen deze methodes worden ondersteunt. Ik verwacht dat de 2FA push notificaties vanuit Microsoft Authenticator ook ondersteunt zullen worden.
In de oorspronkelijke aankondiging staat inderdaad dat ze Microsoft Authenticator gewoon ondersteunen.
Staat er nog steeds in :)
Easy to use

Just enter a PIN, or use your fingerprint, face, or a code delivered by email or SMS1 to unlock and access your files—no need to remember multiple passwords. Additionally, Personal Vault can be unlocked with the Microsoft Authenticator app. Whichever way you choose, unlocking is quick, convenient, and helps secure your data.
Verandert er iets aan de storage opties bij een 365 abbo?
Ja, als je het bronartikel leest zie je dat er opties bijkomen om in stapjes van 200GB tot aan 1 TB extra opslag te verkrijgen.
Dit is nu net een optie die ik zoek voor Google Drive.

Ik vind de verschillende koppelingen van Google handig maar voor je het weet staat voor de handigheid ook alles open en kan je zonder password ook in je mail of drive komen. Voor onbekende PC's is de beveiliging natuurlijk wel goed maar je zal net zien op je eigen, veel gebruikte toestellen waar je net per ongeluk iets eens aangevinkt hebt waardoor het password of die van de password manager standaard lokaal is opgeslagen.

En is het niet dat, dan wil je ook wel eens "onder toezicht" in je drive kunnen bladeren zonder dat nogal prive informatie/plaatjes ook zichtbaar voorbij komen.

Dus een kluis waar een password ALTIJD vereist is, is een mooie optie.

[Reactie gewijzigd door F-I-X op 26 juni 2019 09:45]

Bedankt voor je reactie en meedenken...
Zover ik het lees niet.
Ik wil gewoon een map (kluis) kunnen aanmaken in de Drive en deze met een extra pincode (of zoiets) beveiligen.
Kan natuurlijk ook als een "echte kluis" zodat er vanuit meerdere google apps een verwijzing kan zijn naar deze kluis.

Anyway toch bedankt...
NSA hoeft nu niet meer al je OneDrive files te scannen maar alleen wat in je Personal Vault staat? ;)
Maar serieus, ik heb hier een dubbel gevoel bij. Prima initiatief, maar geeft Microsoft hiermee aan dat je andere bestanden in OneDrive minder veilig zijn? Zou alles niet gewoon goed beveiligd moeten zijn? Dan heb ik liever dat je bijv. per folder kan aangeven dat dat niet gesynct mag worden naar een onveilige (niet door Microsoft te controleren) device/app.
Zoals uitgelegtmoet je het niet als een kluis zien maar folders en files met een tag die je alleen kunt inzien als je een extra authenticatie hebt gedaan.

Alsnje bijvoorbeeld nooit herautjeticeerd door de onthoud mijn gegevens zul je dat hier toch nog een keer moeten doen etc.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Apple

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True