Microsoft zet 'kluis' voor gevoelige gegevens in OneDrive

Microsoft heeft een 'kluis' voor OneDrive gepresenteerd, waarin gebruikers gevoelige gegevens kunnen zetten die de dienst extra beveiligt. Zo vereist het altijd een extra beveiliging als gebruikers de gegevens willen bekijken.

Gebruikers moeten een pincode of sms-code invoeren, maar kunnen er ook voor kiezen om de kluis biometrisch te ontgrendelen met bijvoorbeeld een vingerafdrukscanner, zegt Microsoft. Bestanden in de Personal Vault staan in Windows 10 in een BitLocker-omgeving, ook als gebruikers geen BitLocker gebruiken om bestanden te versleutelen.

Ook is het mogelijk om foto's te maken die rechtstreeks in de Personal Vault komen, zoals scans van paspoorten. Die belanden dan niet in de Foto's-app op Android of de Camera Roll op iOS, aldus Microsoft.

De functie komt als eerst uit in Nieuw-Zeeland, Australië en Canada, zo laat Microsoft weten. Voor het einde van het jaar moeten alle gebruikers de Personal Vault kunnen gebruiken in de webopslagdienst. In de gratis versie is Personal Vault beperkt tot een bepaald aantal bestanden, maar Microsoft zegt niet hoeveel dat er zijn. Ook vergroot Microsoft de opslag in de goedkoopste variant in de betaalde versie van 50GB naar 100GB.

Reacties (127)

walteij 26 juni 2019 07:44

Dus nu kan ik mijn KeePass database (met 20+ karakter passphrase en keyfile die uiteraard niet in OneDrive staat) die op mijn OneDrive staat waar ik alleen met MFA toegang tot kan krijgen, ook nog eens in een OneDrive personal vault opslaan, waar ik dan vervolgens nog eens moet authenticeren.

Mag ik dat een klein beetje overkill vinden

Magic @walteij • 26 juni 2019 07:48

keranoz

@Magic • 26 juni 2019 09:24

Uit de bron van het artikel:

Personal Vault uses more than just two-step verification to help keep your files safe and private. On Windows 10 PCs, OneDrive syncs your Personal Vault files to a BitLocker-encrypted area of your local hard drive. And like all files in OneDrive, the contents of your Personal Vault are encrypted at-rest in the Microsoft cloud and in-transit to your device

Ik vraag me af of dit dan ook op Home edititions van Windows 10 werkt waar geen BitLocker op staat. Zoals ik het lees maakt het dus alleen een verschil op jouw apparaat want in de cloud is het allemaal encrypted.

SSH @keranoz • 26 juni 2019 17:01

Op de Home edition staat wel BitLocker, het is alleen niet aan te zetten tenzij je je Windows doet geloven dat het minimaal de Pro versie is.

Dus MS kan het hier wel makkelijk voor aanzetten. Anders dan dat, wel een terechte vraag natuurlijk. Als Home deze functie niet gaat ondersteunen, dan is dat voor de meeste mensen een beetje zuur.

walteij @Magic • 26 juni 2019 07:54

OneDrive is in de kern niets meer of minder dan My-SharePoint. Dus je persoonlijke pagina binnen een SharePoint farm. De bestanden staan dan dus volgens mij ook 'gewoon' als blob in een content database.

jsiegmund @walteij • 26 juni 2019 08:44

OneDrive is begonnen als een evolutie van de MySite in SharePoint, maar dat is het al lang niet meer. En dan heb je 't ook nog specifieker over OneDrive for Business, de consumentenversie van OneDrive is vanaf het begin af aan een ander product geweest wat niets met SharePoint te maken had (behalve dan misschien een paar engineers uit hetzelfde team, dat zou kunnen).

De business versie is juist langzaam aan verschoven naar de consumenten versie en hoewel ik ook niet achter de schermen kan kijken weet ik redelijk zeker dat ook OneDrive for business nu niet meer hard aan SharePoint (Online) vast hangt. Kortom: dit statement was vroeger deels waar, vandaag de dag klopt het niet.

Anoniem: 1322 @jsiegmund • 26 juni 2019 09:40

Nog niet lang geleden een grote hoeveelheid OneDrive gebruikers gemigreerd en het is nog gewoon My Sharepoint. Geloof je mij niet, kijk dan maar eens gewoon bij Microsoft:
https://docs.microsoft.com/en-us/onedrive/list-onedrive-urls

Niets bijzonders dus.

jsiegmund @Anoniem: 1322 • 26 juni 2019 10:11

Nogmaals; dat is het verschil tussen de consumenten OneDrive en OneDrive for Business. Het artikel wat je linkt geeft ook netjes aan links bovenin dat het gaat over OneDrive for Business.

Voorheen waren er zelfs twee aparte sync clients voor de ene dienst en voor de andere dienst, dat kwam dus niet omdat het achter de schermen gewoon dezelfde dienst is

Anoniem: 1322 @jsiegmund • 26 juni 2019 10:45

Weet ik, maar je reactie geeft ook ODfB aan:
De business versie is juist langzaam aan verschoven naar de consumenten versie en hoewel ik ook niet achter de schermen kan kijken weet ik redelijk zeker dat ook OneDrive for business nu niet meer hard aan SharePoint (Online) vast hangt. Kortom: dit statement was vroeger deels waar, vandaag de dag klopt het niet.

De statement is dus gewoon nog waar.

Sebazzz

@jsiegmund • 26 juni 2019 09:16

OneDrive personal is begonnen als Windows Live Mesh.

segil @jsiegmund • 26 juni 2019 09:27

OfB is nog steeds een SP site, met alle SP mogelijkheden. URL:
https://<tenant>-my.sharepoint.com/personal/<user><tenant>/_layouts/15/onedrive.aspx

Yaz @walteij • 26 juni 2019 08:30

Ik kan het niet meer vinden maar er was ooit een whitepaper over hoe Onedrive werkt. En hier wordt verteld dat het juist niet in sharepoint zit. Dit was al enige jaren geleden en misschien dat daar wel wat veranderd is in de loop der jaren.

Heb jij toevallig een bron? Ben wel benieuwd naar hoe het nu zit.

Anoniem: 1322 @Yaz • 26 juni 2019 09:40

https://docs.microsoft.com/en-us/onedrive/list-onedrive-urls

Yaz @Anoniem: 1322 • 26 juni 2019 11:01

Dit gaat over Onedrive for Business. Dat is een heel ander product dan Onedrive. Verwarrend, mee eens maar idd, Onedrive for Business is inderdaad onderdeel van je my-sharepoint omgeving.

Onedrive (en daar gaat het in het artikel over) maakt voor zover ik weet geen onderdeel uit van Sharepoint. Dat zou ook wel een leuke farm zijn met hun miljoenen gebruikers.

Armin @walteij • 26 juni 2019 19:50

OneDrive is in de kern niets meer of minder dan My-SharePoint

Dat is OneDrive for Business. Fijn he die verwarrende namen

Carlos0_0 @Magic • 26 juni 2019 08:17

Heb jij je paspoort op je pc staan ?

Magic @Carlos0_0 • 26 juni 2019 08:24

Zoals gezegd versleuteld, maar inderdaad, ik heb alle documenten die ik zou missen als er bijvoorbeeld brand uit zou breken ook digitaal als backup.

Anoniem: 1322 @Magic • 26 juni 2019 09:47

Het is zeer verstandig wat je doet (ik doe het zelf ook

) en de meeste mensen komen hier achter als ze plots een kopie moeten overhandigen en deze thuis hebben liggen / niet bij de hand (bijvoorbeeld op vakantie).

Cryptomator blijven gebruiken is ook een vereiste volgens mij. OneDrive is niet versleuteld en deze update verandert dit niet. Het voegt enkel een authenticatie toe op een map. Zoals MS het aangeeft:
Personal Vault is a protected area in OneDrive that you can only access with a strong authentication method or a second step of identity verification, such as your fingerprint, face, PIN, or a code sent to you via email or SMS

Wat betreft encryptie zegt MS:
OneDrive syncs your Personal Vault files to a BitLocker-encrypted area of your local hard drive. And like all files in OneDrive, the contents of your Personal Vault are encrypted at-rest in the Microsoft cloud and in-transit to your device.
Je data heeft dus lokaal bitlocker versleuteling maar in de MS cloud ben je afhankelijk van MS encryptie (waar je geen invloed op hebt).

SinergyX

Microsoft

@Anoniem: 1322 • 26 juni 2019 11:56

Maar in onedrive wel al bit locker encrypted.

Anoniem: 1322 @SinergyX • 26 juni 2019 14:12

hmhmhmhmhm.... Ja, ik ben er nog niet helemaal over uit wat ik daarvan vind. Bitlocker offload ook de encryptie als deze detecteert dat de hardware dit ondersteund. Wel leuk het slotje maar niet echt beveiliging:
nieuws: Nederlandse onderzoekers vinden kwetsbaarheden in hardwarematige encr...

Ik denk dat je dan beter op 3rd party tools kan vertrouwens als Cryptomator want dan weet je zeker dat de data lokaal en in de cloud versleuteld is.

njitter @Magic • 26 juni 2019 08:31

kende Cryptomater niet. Ziet er veelbelovend uit.

P_Tingen @Magic • 26 juni 2019 15:09

Dat cryptomator ziet er goed uit, dank voor de tip!

Armin @Magic • 26 juni 2019 20:00

Wat ik mij vooral afvraag is hoe het dan op de servers bij microsoft staat. De bulk van mijn gegevens heb ik gewoon los op onedrive, maar voor bepaalde gegeven (bankafschriften, facturen, loonstroken, paspoorten) gebruik ik cryptomator om een extra beveiligingslaag aan te brengen. Is dit een alternatief hiervoor, of is dit enkel een extra authenticatielaag.

Het lijkt er wel op, maar Mirosoft geeft vervelend genoeg niet de exacte gegevens die je nodig hebt om die afweging te maken.
Het lijkt erop dat er aan de bestaande beveiliging drie zaken toegevoegd worden:

1) extra authenticatie. Dus iemand die op wat voor reden dan ook de link krijgt of een soort OneDrive access-cookie/token, kan er nog steeds niet bij want het vereist een extra login.
2) Ook wordt de data niet automatisch op onbeveiligde locaties gezet.
3) Versleuteling "at rest".

Echter over (3) wordt geen informatie gegeven. Wie beheert de sleutel!? Dat is Microsoft, dus het is geen bescherming tégen Microsoft of exacter gesteld bijvoorbeeld de Nederlandse overheid die jouw data opvraagt bij een fiscaal strafrechtelijk onderzoek.

Maar het kan nietemin daarom toch een uitstekende beveiliging zijn tegen andere aanvallen! Juist als de sleutels niet fysiek op de client (jouw PC, etc) staan kan een aanvaller (denk aan malware, maar ook verlies/diefstal van je laptop terwijl die gele post-it er nog op zit

) die de ruwe data te pakken krijgt die niet lezen, want het is versleuteld met een sleutel die men enkel krijgt als men via 2FA bij Microsoft inlogt.

Dus of het een vervangende beveiliging is, is afhankelijk van tegen wat voor aanvallen jij je momenteel primair verdedigd. Tegen de Nederlandse fiscus die via dwangbevel jou data gaat opvragen of tegen verlies/diefstal van een client (laptop/telefoon) waar een aanvaller niet hoeft in te loggen op je OneDrive client en dus zo de bestanden eraf kan halen. Tegen het eerst is dit geen beveiliging, tegen het tweede wel.

dasiro @walteij • 26 juni 2019 07:54

In netwerken heb je ACL's, firewalls, VLANs, whitelists, VPN's, ...
Fysisch zijn er genoeg bedrijven waar een backup paswoord in een kluis ligt die in een beveiligde ruimte staat in een gebouw dat afgesloten wordt met een badge-systeem en een inbraakalarm, dus zo vreemd is dat in het echte leven ook niet.
Het is niet omdat er nog andere beveilingen zijn dat een extra beveiliging overbodig is

adjep07

26 juni 2019 07:44

Ik beschouwde OneDrive als onderdeel van het Office 365 abonnement al als een kluis, deze extra layer of security wordt dan een kluis in een kluis. Benieuwd wanneer het hier in Nederland voorbij komt. Voor het einde van het jaar is tenslotte nogal ruim...

inorde

@adjep07 • 26 juni 2019 07:48

In principe kan iedereen die je PC jat de gegevens die gesynced zijn met je PC inzien, dat zal hierbij wel niet het geval zijn.

TheSiemNL @inorde • 26 juni 2019 08:13

Bij alle Micosoft Surface modellen staat Bitlocker standaard aan op de gehele schijf. Dan moet je wel een heel gemakkelijk wachtwoord gebruiken wil men er zo bijkomen.

keranoz

@TheSiemNL • 26 juni 2019 09:18

Maar niet iedereen die OneDrive gebruikt heeft een surface of gebruikt BitLocker. Ik heb een Office 365 family abbo en dus 1TB OneDrive opslag. Mijn desktop thuis is niet ge-BitLocker'd. Tot nu toe staan de scans van m'n ID/rijbewijs/paspoort gewoon kant en klaar in de Pictures, die zet ik dan mooi in de vault.

Dostar @keranoz • 26 juni 2019 09:56

Je kan ook een Truecrypt/Veracrypt container maken ongeveer ten grote van de verwachte bestanden. Dat doe ik sowieso altijd voor gevoelige informatie of bijvoorbeeld belangrijke mailtjes.
Bitlocker heb ik ooit geprobeerd op mijn C schijf, maar deze gaf foutmelding na foutmelding. Veracrypt werkt weer wel, maar is lastig als Windows 10 een grote update heeft. Moet je de hele boel decrypten eerst...

Kortom, containers aanmaken is ook een oplossing.

Verder erg tof deze ontwikkeling, heb namelijk zelf ook het family abo en ben zeer tevreden over de grootte van de opslag, Office zie ik als een extraatje die je erbij krijgt.

Anoniem: 420148 @Dostar • 26 juni 2019 10:40

Enkel moet je dan die meuk op al je computers installeren, zijn de files via een browser dus helemaal niet toegankelijk, en moet je alles instellen in een compleet andere GUI. Voor 99.99% van de gebruikers is "ff truecrypt downloaden" niet een haalbare optie. (wat je zelf al zegt, een update en je mag alles weer opnieuw doen) Een knopje aantikken in OneDrive (waarschijnlijk krijg je bij introductie een korte gids) en ook nog functies die gevoelig spul er automatisch inzetten maakt het al een stuk bruikbaarder.

Dostar @Anoniem: 420148 • 26 juni 2019 10:58

Vandaar dat ik aan gaf deze ontwikkeling erg tof te vinden. Vooral betreft gebruiksgemak.
Onedrive was al mijn eerste keuze betreft online opslag, puur omdat de prijs ongeveer gelijk is aan die van de concurrenten, maar je krijgt er gratis Office bij wat een enorm voordeel is.

In het begin werkte OneDrive nog niet helemaal naar wens, maar gelukkig heeft Microsoft steeds meer functionaliteit ingebouwd. Was in het begin nogal erg zoeken hoe je bepaalde instellingen moest aanpassen betreft synchen of juist niet synchen op diverse apparaten.

Wat ik me verder wel af vraag is welke encryptie achter deze vault verschuild.

keranoz

@Dostar • 26 juni 2019 12:29

De vault maakt alleen maar verschil aan jouw kant, in de cloud niet. En ik vertrouw m'n desktop wel en de omgeving waar die staat. M'n laptop heb ik wel encrypted.

Side note:
Foutmelding na foutmelding met BitLocker kwam waarschijnlijk door het missen van een TPM chip. Je kan dat oplossen door je group policy aan te passen en je PC om een wachtwoord te laten vragen:
gpedit.msc -> computer config -> Administrative templates -> Windows components -> BitLocker drive encryption -> Operating system drives -> Require additional authentication at startup (aanzetten -> apply en checken of de setting op 'allow TPM' en niet op 'require TPM' staat).

Dostar @keranoz • 26 juni 2019 12:32

Dat was inderdaad de melding, ik zal er straks eens naar kijken. Een encrypted systeem voelt toch altijd wat veiliger aan. Bedankt voor de handleiding.

Eagle Creek

@keranoz • 26 juni 2019 09:44

Lijkt me heel verstandig. En sowieso zou ik die scans in een password protected zip file zetten.

Palo Alto @Eagle Creek • 26 juni 2019 10:14

En met een watermerk “uniek” maken per gebruik van een kopie ID. Je weet namelijk ook niet hoe de vragende partij je kopie opslaat. Die hebben misschien ook geen BitLocker of versleutelde OneDrive.

Maar de beste “kluis” voor een kopie ID is helemaal niet opslaan.

TheVivaldi @keranoz • 26 juni 2019 11:50

"Maar niet iedereen die OneDrive gebruikt heeft een surface of gebruikt BitLocker. "

Inderdaad. Ik, bijv., ben een Linux-gebruiker van OneDrive.

gabba25 @TheSiemNL • 26 juni 2019 08:28

Er worden tegenwoordig ook surface apparaten verkocht met home licentie, hier kan je helaas geen bitlocker op activeren

RoL0 @gabba25 • 26 juni 2019 09:00

Mijn Surface Pro 6 werd geleverd met home licentie én bitlocker ingeschakeld op de ssd. Ik kon echter geen andere schijven encrypten, zoals dat met pro+ wel kan.

bapemania @RoL0 • 26 juni 2019 09:07

Heb je jouw Surface Pro dan 2e hands gekocht? Vanuit de fabriek worden ze alleen met Windows 10 Pro geleverd.

MZONDERL @bapemania • 26 juni 2019 09:31

Dit klopt niet meer...
Surface Pro 6 wordt ook geleverd met Windows 10 Home...
https://www.microsoft.com...ivetab=pivot:techspecstab

Bitlocker is alleen voor Windows 10 Pro, echter heeft Windows 10 Home wel "device-encryption":
https://support.microsoft...turn-on-device-encryption

W10 Home vs Pro:
Zie hier ook Device Encryption bij Home editie, wel wordt er in kleine lettertjes vermeld dat je hardware hiervoor compatible moet zijn, verwezen wordt naar punt 2 onderaan de pagina:
https://www.microsoft.com...re-windows-10-home-vs-pro

[Reactie gewijzigd door MZONDERL op 23 juli 2024 09:04]

Awesomehobo @bapemania • 26 juni 2019 09:18

Surface Pro 6 wordt vanuit de fabriek wel degelijk met Windows 10 Home geleverd, Microsoft adverteert er zelfs mee. Zie: https://www.microsoft.com...vetab=pivot%3aoverviewtab

RoL0 @bapemania • 26 juni 2019 09:27

Sinds nummer 6 wordt de consumentenversie met home geleverd, de businessesversie heeft nog steeds pro.

DoubleYouPee @gabba25 • 26 juni 2019 09:31

home licenties kunnen in sommige gevallen wel "encrypten". Dit is onderwater gewoon bitlocker.

gabba25 @DoubleYouPee • 26 juni 2019 10:23

"in sommige gevallen"

Ik vind dat iedereen recht moet hebben op drive encryption. Dit zou in mijn ogen ook niet uit moeten maken of je home of pro hebt.

DoubleYouPee @gabba25 • 26 juni 2019 10:27

De meeste mensen a.k.a home users weten geeneens wat encryptie is.

gabba25 @DoubleYouPee • 26 juni 2019 10:32

Mee eens. Op iPhones is het dan ook wel mooi dat het standaard aan staat. Android en Windows moet je het zelf aanzetten, wat dus dan ook vaak niet gebeurd.

Anoniem: 1166176 @gabba25 • 26 juni 2019 11:06

Encryptie staat standaard aan op bijna alle nieuwe Android-toestellen, m.u.v. de allergoedkoopste. Vanaf Android Q moeten zelfs die standaard encrypted zijn.

triflip @gabba25 • 26 juni 2019 11:31

Maar niet elk device beschikt over TPM, dan zit je dus met een extra wachtwoord wat voor veel mensen als lastig word ervaren.

Daarnaast heeft bijvoorbeeld Dell nog heel veel issues met spontaan verdwijnende TPM. Voor een consument is het waarschijnlijk een drama om dan de bitlocker key te achterhalen en data te backuppen zodat Dell een mobo swap kan gaan uitvoeren.

MZONDERL @gabba25 • 26 juni 2019 11:36

"in sommige gevallen" houdt in dat je aan de volgende voorwaarden moet voldoen:

Requires modern hardware (InstantGo/AOAC/HSTI-compliant). Review this doc for more details on Device Encryption.

Bron:https://www.microsoft.com/en-us/windows/compare-windows-10-home-vs-pro
Het betreft "device-encryption", waar naar extra opmerking 2 wordt verwezen, onderaan de pagina.

Awesomehobo @TheSiemNL • 26 juni 2019 08:21

Waar baseer je deze informatie op? Heb je hier een bron van?

Komend uit een organisatie waar letterlijk elke PC een Surface device is (Pro/Laptop/Book, zélfs Studio), heb ik dit persoonlijk nog niet meegemaakt namelijk.
Wij gebruiken wél Bitlocker, echter dient dit handmatig ingesteld te worden, net zoals bij overige Windows 10 Pro/Enterprise devices.

kevlar01 @Awesomehobo • 26 juni 2019 08:23

Gebruikt jullie organisatie een 'custom' installatie? Of de OOB installatie van Microsoft?
Ook kan het zijn dat de Bitlocker instellingen bij jullie bij een GPO geregeld worden, waardoor er bijv. handmatig een pincode aangemaakt moet worden.

[Reactie gewijzigd door kevlar01 op 23 juli 2024 09:04]

Awesomehobo @kevlar01 • 26 juni 2019 08:49

Wij gebruiken de OOB installatie van Microsoft, vervolgens logt de gebruiker in en wordt de laptop voor ze geconfigureerd. Hiermee wordt (middels Azure en GPO) Bitlocker óók ingesteld, en de recovery key opgeslagen onder het cloud domain account van de desbetreffende gebruiker.

Voorheen deden we de geautomatiseerde stappen handmatig, waaronder dus Bitlocker instellen.

Net even een Surface Laptop 1 (Italian keyboard) out-of-box getest:
Manage-bde -status c:
Size: 237.16 GB
Bitlocker version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage encrypted: 100.0%
Encryption Method: XTS-AES 128
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors: None Found

Voor zover ik weet is dit enkel TPM encryptie gebaseerd op de technologie van Bitlocker, en dus géén Bitlocker encryptie an sich.

[Reactie gewijzigd door Awesomehobo op 23 juli 2024 09:04]

kevlar01 @Awesomehobo • 26 juni 2019 09:52

De schijf is encrypted zo te zien. Volgens mij kan je de schijf dus niet zonder meer uit de Surface halen en gebruiken in een andere Windows installatie.
Er zit alleen geen opstart pincode op(protection = off), dus als men de Windows credentials heeft kunnen ze wel nog bij de data.

DoubleYouPee @Awesomehobo • 26 juni 2019 10:28

Helaas werkt dat automatisch encrypten lang niet bij alle laptops. Remediation failed etc. etc.

[Reactie gewijzigd door DoubleYouPee op 23 juli 2024 09:04]

MicGlou @Awesomehobo • 26 juni 2019 08:48

Ik mag dan aannemen dat de Surfaces die bij jou in de organisatie worden gebruikt niet worden ingezet met de 'out-of-the-box' Windows installatie... dat is dus een heel ander verhaal.

Anoniem: 1322 @MicGlou • 26 juni 2019 09:37

Met modern beheer is een out-of-the-box installatie prima. Alles wordt gewoon achteraf geconfigureerd via intune of SCCM.

MicGlou @Anoniem: 1322 • 26 juni 2019 09:49

Werkelijk nog nooit gezien en wordt bij ons als ongewenst gezien... alles wordt met een nieuwe image ingedraaid. Sterker nog, onze nieuwe apparaten worden geleverd met een door ons geleverde image.

triflip @MicGlou • 26 juni 2019 11:37

Waar ik werk worden de laptops gewoon met een kaal OOB image direct uit de doos uitgeleverd. Devices worden gemanaged vanuit Intune en dat werkt perfect voor 14.000 mensen.

Eerste app die vanuit intune gepushed wordt is een takenlijst die de mensen helpt met wat standaard settings, office downloaden en drive mappings aanmaken.

MZONDERL @MicGlou • 26 juni 2019 11:38

Kijk naar "Windows AutoPilot", dit betreft het "moderne beheer" waarbij je niet meer met images werkt.
Een "clean install" van Windows 10 media of de OEM voor installatie is voldoende, daar wordt via AutoPilot je systeem verder geconfigureerd in samenwerking met Intune.

kevlar01 @MicGlou • 26 juni 2019 09:55

Ligt er een beetje aan in hoeverre er veel 'bloatware' er in de OOB installatie zit.
Achteraf configureren kan ook prima als de installatie zo goed als 'kaal' is.
Mijn voorkeur zou echter wel altijd uitgaan naar een custom image, omdat je dan de installatie zelf in de hand hebt. De hardware leverancier kan bijv. ineens overstappen naar een andere Windows 10 versie waardoor bepaalde applicaties niet meer werken, of een hoop bloatware toegevoegd hebben, of een trial antivirus die je eerst moet uninstallen etc. etc.

Anoniem: 420148 @kevlar01 • 26 juni 2019 10:43

Dan moet je voor je bedrijf geen consumentenspul kopen. Ik heb nog nooit een enterprise apparaat van Dell in handen gehad waar ook nog even fijn wat 3rd party zooi op stond.

Anoniem: 1322 @MicGlou • 26 juni 2019 10:41

Werkelijk nog nooit gezien en wordt bij ons als ongewenst gezien...
Dan moet je eens beter gaan kijken. Alleen omdat je het niet ziet wil niet zeggen dat het niet bestaat...
Google bijvoorbeeld eens op "Bring your own device (BYOD)"

Kleine landen als Rusland, UAE en Brazilië hebben een zeer grote BYOD acceptatie (meer dan 50%) en in Polen zie ik het ook vaak.

MicGlou @Anoniem: 1322 • 26 juni 2019 11:02

Je kan wat ze in Rusland e.d. doen niet vergelijken met wat we hier doen... en BYOD is weer heel wat anders, die worden in de meeste gevallen op een apart netwerk gezet en moeten inloggen via een afgeschermde omgeving. Iets met security enzo... vreemde apparaten toestaan op je netwerk zoals eigen apparaten toegang hebben is simpelweg not done.

Anoniem: 1322 @MicGlou • 26 juni 2019 14:04

Want hier doen we het allemaal veel beter? Modern beheer (intune) en Office 365 zorgen ervoor dat je overal toegang hebt tot je data. Geen aparte netwerken of inloggen op afgeschermde omgevingen. Dat is de hele ideologie van de moderne werkplek: Open, deel en werk samen aan al je bestanden, vanaf elke locatie om maar even op-topic in onedrive te blijven.. Conditional access zorgt ervoor dat je toegang geeft tot de resources op basis van vele kenmerken, iets met security enz..

vreemde apparaten toestaan op je netwerk zoals eigen apparaten toegang hebben is simpelweg not done.
Want met eigen apparaten gaat nooit iets mis... De hele reden waarom we Office 365 en moderne werkplekken hebben is omdat de oude 'ideeën' niet werken en we 'out-of-the-box' moeten gaan denken. We beschermen tegenwoordig data met rights management en encryptie, geen machines of netwerken... Dat was überhaupt nooit het doel...

MicGlou @Anoniem: 1322 • 26 juni 2019 14:15

Dat je systemen gebruikt zoals sharepoint, office365 etc om makkelijk te kunnen samenwerken, ook met personen buiten je organisatie staat echt geheel los om een 'vreemd' systeem je bedrijfsnetwerk binnen te laten. Ook zijn dergelijke omgevingen zoals Office265 in die zin afgeschermde omgevingen want je staat een ander alleen toegang toe tot locaties die gewenst zijn.

Oftewel, je gaat een beetje kort door de bocht en verwart het ene met het andere.

Ennuh... als je 'out-of-the-box' denkt zit je nog steeds in de doos en wordt je alleen maar uitgepakt

Het is outside-of-the-box...

https://www.focus-lerenen...e-box-of-outside-the-box/

Anoniem: 1322 @MicGlou • 26 juni 2019 14:29

Dat je systemen gebruikt zoals sharepoint, office365 etc om makkelijk te kunnen samenwerken, ook met personen buiten je organisatie staat echt geheel los om een 'vreemd' systeem je bedrijfsnetwerk binnen te laten.

Hebben die personen buiten je organisatie geen vreemde systemen? Die benaderen immers toch dezelfde data als de medewerkers binnen je bedrijfsnetwerk? Of geef je die een eigen systeem om de gedeelde data te benaderen? En waar staat de data eigenlijk in Office 365? Ik weet het niet, ergens in Europa. Dus eigenlijk sla je al data op buiten je afgeschermde bedrijfsnetwerk.

Ik zie heel vaak dat mensen denk dat je cloud en on-premise kunt mixen zonder hier goed over na te denken. Plots staat organisatie data op een privé computer omdat Word standaard wil opslaan naar Onedrive en de medewerker ook inlogt op een 'vreemde' computer.

Ennuh.. Office265 is nog niet uitgebracht door Microsoft

MicGlou @Anoniem: 1322 • 26 juni 2019 14:46

En zeker als diezelfde gebruikers op systemen van buitenaf werken waarop je totaal geen invloed hebt en wat hun definitie van 'security' is. Als ik zie hoe externen vanuit grote bedrijven, of erger nog ZZP-ers hun zaakjes qua beveiliging hebben geregeld, dan schieten daar de tranen van in je ogen.

En excuseer mij een typfoutje... dat kan gebeuren, dat is gelukkig niet hetzelfde als een verkeerde uitdrukking gebruiken om je punt te maken

[Reactie gewijzigd door MicGlou op 23 juli 2024 09:04]

Anoniem: 1322 @MicGlou • 26 juni 2019 17:14

Goed... je kan duidelijk geen onderscheid maken tussen het samenwerken met diensten als Office365 om samen te kunnen werken in wat office documentjes e.d. en het toelaten van 'vreemde systemen' binnen je bedrijfsnetwerk. Dat staat toch echt vrij ver van elkaar. Dat ook nog eens helemaal los van het verhaal mbt licenties, certificaten, policies etc etc.

Tja, agree to disagree denk ik dan maar. Mijn mening is dat je de twee niet gescheiden kan zien. Als je maar 1 dienst van Office 365 in je bedrijfsnetwerk gebruikt dan heb je immers al een potentieel probleem..

Dat er ook met cloud werken zaken mis kunnen gaan is simpelweg uit te leggen; de zwakste schakel binnen computersystemen zit nog altijd tussen het beeldscherm de de stoel En zeker als diezelfde gebruikers op systemen van buitenaf werken waarop je totaal geen invloed hebt en wat hun definitie van 'security' is. Als ik zie hoe externen vanuit grote bedrijven, of erger nog ZZP-ers hun zaakjes qua beveiliging hebben geregeld, dan schieten daar de tranen van in je ogen.

Daar kun je juist wel redelijk goed mee omgaan door modern beheer af te dwingen. Azure rights management, DLP en conditional access helpen daar allemaal mee.. Vroeger werden nog wel eens volledige shares gekopieerd door een oude medewerker. Dat gaat dan niet meer...
Ik ben trouwens zelf ZZP-er maar deel je mening verder wel hoor

Eagle Creek

@Awesomehobo • 26 juni 2019 09:22

Hij heeft gelijk. Als jij als consument een surbook koopt met pro staat bitlocker aan en wordt de key opgeslagen in je MS-account. In een domein- situatie werkt dit uiteraard anders.

Awesomehobo @Eagle Creek • 26 juni 2019 09:29

Dan ga je er dus wél van uit dat de desbetreffende consument inlogt met zijn/haar MS account..

Wanneer ik een OOB Surface Laptop pak en een lokaal account in stel staat Bitlocker protectie uit:
Manage-bde -status c:
Size: 237.16 GB
Bitlocker version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage encrypted: 100.0%
Encryption Method: XTS-AES 128
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors: None Found

Eagle Creek

@Awesomehobo • 26 juni 2019 09:44

Dat klopt want anders kan die z'n key geen backup geven.

TheVMaster Moderator WOS @Awesomehobo • 26 juni 2019 09:51

Bitlocker wordt op Surface device automatisch aangezet, tenzij dit d.m.v. een policy wordt uitgeschakeld (omdat je bv. niet de default instellingen wilt gebruiken). Dan heb ik het natuurlijk over het (voor consumenten) inloggen met je MS account en zakelijk via Intune enrolled (of Domain joined).

[Reactie gewijzigd door TheVMaster op 23 juli 2024 09:04]

inorde

@TheSiemNL • 26 juni 2019 09:23

Maar Surface/Bitlocker gebruikers zijn maar een fractie van alle OneDrive gebruikers lijkt mij.

boratnl @inorde • 26 juni 2019 09:14

Deze nieuwe 'kluis' biedt als extra voordeel dat je bij het unlocken van je pc niet ook deze gevoelige data unlockt. Wellicht handig als je je pc niet altijd meteen lockt als je er even van wegloopt, of als je even iemand anders op je pc laat werken.
Toegegeven, als er zoveel gevoelige info op je pc staat, is het niet handig om een van deze dingen te doen, maar voor mij zou het in de praktijk soms toch wel handig zijn.
Verder lijkt het me bijvoorbeeld handig als ik gevoelige bestanden deel met mensen die de bestanden op hun privé-computer zullen openen.

miknic @inorde • 26 juni 2019 09:43

Ik mag toch aannemen dat je die sync ook kan uitzetten of in de vorm van afmelden op alle apparaten. Zodat wanneer de gejatte pc aangezet wordt, alles gewist wordt. Mits het niet naar je harde schijf wordt gesynced.

Franckey @inorde • 26 juni 2019 09:46

In principe kan iedereen die je PC jat de gegevens die gesynced zijn met je PC inzien, dat zal hierbij wel niet het geval zijn.

Dat geldt natuurlijk voor alle lokale data. Dat kan je eenvoudig oplossen door BitLocker aan te zetten en natuurlijk een wachtwoord/pincode/vingerafdruk/etc. te gebruiken voor je Windows account.

turbojet80s @inorde • 26 juni 2019 09:58

Dat klopt inderdaad. Elke keer als je bestanden uit je OneDrive 'kluis' wilt openen via het web, pc of een mobiel apparaat, dan moet je je aanmelden met PIN, fingerprint / facial authentication, of een two-factor authentication (2FA) code.

Prachte feature als je het mij vraagt.

rvanson @adjep07 • 26 juni 2019 07:52

De OneDrive als onderdeel van Office 365 is OneDrive for Business, daar gelden andere beveiligingstoepassingen. Het gaat hier over de consumenten versie van OneDrive.

Wailing_Banshee

@rvanson • 26 juni 2019 08:00

De OneDrive als onderdeel van Office 365 is precies gelijk aan de consumenten versie van OneDrive. Tenzij je natuurlijk Office 365 Business gebruikt, die is inderdaad anders dan de consumenten versie.

MZONDERL @Wailing_Banshee • 26 juni 2019 09:34

Dit klopt gedeeltelijk...

Office 365 Home and Personal:
- OneDrive

Office 365 Business and Enterprise (E1, E3, E5, etc):
- OneDrive for Business

Er zit zeker een verschil in deze 2 varianten.
Bijvoorbeeld is maar 1 OneDrive te koppelen per Windows User sessie, terwijl OneDrive for Business meerdere gekoppeld tegelijk kan worden (bv. verschillende Tenants)

Korvaag

@adjep07 • 26 juni 2019 09:55

Dat is niet correct. Microsoft kan altijd bij je data doordat de key waarmee versleuteld wordt daar bekend is. Pas als de data versleuteld wordt met een key die alleen in jouw bezit is kan je cloudopslag als een kluis beschouwen.

Je zal dan client-side moeten versleutelen en ontsleutelen.

Als je analogie van een kluis wilt gebruiken dan zijn de meeste cloud drives kluizen waarbij er ook een sleutel bij de bankmedewerker ligt (en waarbij die sleutel genoeg is om bij de kluis te komen).

Zyphlan 26 juni 2019 09:09

2FA door middel van SMS

Dat is al bewezen niet veilig te zijn snap dat het beter dan niks is maarja...

For a long time, security experts have warned that text messages are vulnerable to hijacking — and this morning, they showed what it looks like in practice. A demonstration video posted by Positive Technologies (and first reported by Forbes) shows how easy it is to hack into a bitcoin wallet by intercepting text messages in transit.

All the group needed was the name, surname and phone number of the targeted Bitcoin user.

https://www.theverge.com/...ion-hack-password-bitcoin

segil @Zyphlan • 26 juni 2019 09:23

SMS is 1 optie, je hebt natuurlijk ook andere mogelijkheden.

Zyphlan @segil • 26 juni 2019 09:28

Ja uiteraard maar je creëert een stukje schijnveiligheid

segil @Zyphlan • 26 juni 2019 15:14

sms is nog altijd beter dan geen mfa. Maar je hebt gelijk, liever iets anders zoals een token generator.

Anoniem: 316512 @Zyphlan • 26 juni 2019 11:48

Microsoft snapt dat zelf ook wel en raadt vooral hun eigen authenticator aan. Dat kun je overal terug lezen. Punt is dat niet iedereen een smartphone heeft of een andere reden heeft om SMS te gebruiken. 'Zomaar' SMS blokkeren als optie is in hun eigen vingers snijden. Ook al is het een minder ideale oplossing.

Ik raad overigens zelf ook SMS af, daar niet van.

Fireshade @Zyphlan • 26 juni 2019 09:29

Je kan dus niet 'random' gehacked worden. De hacker moet nogal wat informatie over je hebben voordat hij dat kan. M.a.w. je moet echt een specifieke target zijn, waar hij research naar moet doen om die info te achterhalen.

Zyphlan @Fireshade • 26 juni 2019 09:33

Voor / Achternaam + Tel is nou niet wat je noemt bijster moeilijk te bemachtigen

.

Uiteraard is het beter dan niks maar nog steeds beter om het uit te faseren.

Ossebol 26 juni 2019 08:07

Vergis je niet: tot op heden heeft Onedrive geen zero-knowledge-ondersteuning. Dit betekent dat Microsoft in theorie je gegevens kan inzien, en dat je zelf alsnog de boel nog een keer moet versleutelen. Bron: https://www.cloudwards.net/review/onedrive/

Wat betekent deze 'vault' ten aanzien van zero knowledge? Met andere woorden: kunnen Microsoft-medewerkers nog bij de bestanden?

[Reactie gewijzigd door Ossebol op 23 juli 2024 09:04]

Anoniem: 169091 @Ossebol • 26 juni 2019 09:26

Op basis van SMS, eenvoudige pincode of biometrie... antwoord is dus overduidelijk ja, ze kunnen erbij. Geen van deze authenticatie opties ondersteunen private keys die client side blijven.

Deze kluis beschermt alleen tegen mensen die fysieke toegang hebben tot je PC, meer niet.

GekkePrutser @Ossebol • 26 juni 2019 10:39

Ja dit is precies ook het probleem dat ik heb met OneDrive. Ik gebruik het ook (de zakelijke O365 versie op eigen domein) maar dit houdt me tegen om er al teveel gebruik van te maken.

Sommige prive gegevens encrypt ik met GPG maar het is een gedoe om dit steeds apart te moeten doen en het risico dat ik het vergeet. Zero Knowledge is gewoon een must-have. Misschien niet voor alle files, maar wel als optie voor een deel van de files zoals dit nu ook geintroduceerd wordt.

Tools als Boxcryptor zijn voor mij geen optie omdat ik teveel platforms door elkaar gebruik (Mac, Windows, Linux, iOS, Android, alles eigenlijk).

Maar inderdaad wat @Anoniem: 169091 zegt.. Dit gaat het hem ook weer niet worden.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 09:04]

breezie 26 juni 2019 07:51

Was al een tijdje aan het hopen dat de optie van 50GB voor 2€ per maand ging worden uitgebreid. Blij dat het er eindelijk eens van gekomen is

Al zou ik liever eigenlijk nog andere storage opties zien zonder er meteen een Office 365 abonnement te moeten bijnemen.

Bacchus @breezie • 26 juni 2019 09:16

Tsja, wat wil je nog tussen de 2 €/m voor 50 GB en 5,75 €/m voor 1 TB? Voegt bv. 250 GB voor 4 €/m dan nog echt iets toe?

breezie @Bacchus • 26 juni 2019 09:37

Als ik jaarlijks een bedrag kan uitsparen voor iets wat ik toch niet ga gebruiken, waarom niet?
Het komt inderdaad wel "maar" op 21€ neer in dit geval.
Hoe meer opties hoe beter denk ik dan

Caayn 26 juni 2019 08:24

Gebruikers moeten een pincode of sms-code invoeren, maar kunnen er ook voor kiezen om de kluis biometrisch te ontgrendelen met bijvoorbeeld een vingerafdrukscanner,

Microsoft spreekt over 2FA en noemt een paar voorbeelden, niet dat alleen deze methodes worden ondersteunt. Ik verwacht dat de 2FA push notificaties vanuit Microsoft Authenticator ook ondersteunt zullen worden.

geenstijl

@Caayn • 26 juni 2019 08:28

In de oorspronkelijke aankondiging staat inderdaad dat ze Microsoft Authenticator gewoon ondersteunen.

Caayn @geenstijl • 26 juni 2019 08:59

Staat er nog steeds in

Easy to use

Just enter a PIN, or use your fingerprint, face, or a code delivered by email or SMS1 to unlock and access your files—no need to remember multiple passwords. Additionally, Personal Vault can be unlocked with the Microsoft Authenticator app. Whichever way you choose, unlocking is quick, convenient, and helps secure your data.

PearlChoco 26 juni 2019 08:12

Verandert er iets aan de storage opties bij een 365 abbo?

geenstijl

@PearlChoco • 26 juni 2019 08:28

Ja, als je het bronartikel leest zie je dat er opties bijkomen om in stapjes van 200GB tot aan 1 TB extra opslag te verkrijgen.

F-I-X 26 juni 2019 09:44

Dit is nu net een optie die ik zoek voor Google Drive.

Ik vind de verschillende koppelingen van Google handig maar voor je het weet staat voor de handigheid ook alles open en kan je zonder password ook in je mail of drive komen. Voor onbekende PC's is de beveiliging natuurlijk wel goed maar je zal net zien op je eigen, veel gebruikte toestellen waar je net per ongeluk iets eens aangevinkt hebt waardoor het password of die van de password manager standaard lokaal is opgeslagen.

En is het niet dat, dan wil je ook wel eens "onder toezicht" in je drive kunnen bladeren zonder dat nogal prive informatie/plaatjes ook zichtbaar voorbij komen.

Dus een kluis waar een password ALTIJD vereist is, is een mooie optie.

[Reactie gewijzigd door F-I-X op 23 juli 2024 09:04]

Anoniem: 44530 @F-I-X • 26 juni 2019 11:05

is dit wat je zoekt ? pincode sharing
https://support.google.com/a/table/7539891?hl=en

F-I-X @Anoniem: 44530 • 26 juni 2019 16:46

Bedankt voor je reactie en meedenken...
Zover ik het lees niet.
Ik wil gewoon een map (kluis) kunnen aanmaken in de Drive en deze met een extra pincode (of zoiets) beveiligen.
Kan natuurlijk ook als een "echte kluis" zodat er vanuit meerdere google apps een verwijzing kan zijn naar deze kluis.

Anyway toch bedankt...

Franckey 26 juni 2019 09:53

NSA hoeft nu niet meer al je OneDrive files te scannen maar alleen wat in je Personal Vault staat?

Maar serieus, ik heb hier een dubbel gevoel bij. Prima initiatief, maar geeft Microsoft hiermee aan dat je andere bestanden in OneDrive minder veilig zijn? Zou alles niet gewoon goed beveiligd moeten zijn? Dan heb ik liever dat je bijv. per folder kan aangeven dat dat niet gesynct mag worden naar een onveilige (niet door Microsoft te controleren) device/app.

keranoz

@Franckey • 26 juni 2019 11:19

De extra beveiliging is alleen aan jouw kant. Zie keranoz in 'nieuws: Microsoft zet 'kluis' voor gevoelige gegevens in OneDrive'

Scriptkid 26 juni 2019 07:53

Zoals uitgelegtmoet je het niet als een kluis zien maar folders en files met een tag die je alleen kunt inzien als je een extra authenticatie hebt gedaan.

Alsnje bijvoorbeeld nooit herautjeticeerd door de onthoud mijn gegevens zul je dat hier toch nog een keer moeten doen etc.

Op dit item kan niet meer gereageerd worden.

Microsoft zet 'kluis' voor gevoelige gegevens in OneDrive

Lees meer

Reacties (127)

Sorteer op:

Weergave: