Microsoft esitteli aiemmin tänään Windows 11 -käyttöjärjestelmän, mutta moni seikka jäi itse julkaisuesityksessä vielä auki. Nyt moniin kysymyksiin on saatu myös vastauksia.
Windows 11 on ilmainen päivitys Windows 10 -käyttäjille, ja koska Windows 7- ja 8(.1) -lisenssit ovat edelleen päivitettävissä 10:iin, on myös vanhemmille Windowseille ilmainen päivitysreitti. Päivittäjien lisenssit pysyvät versionsa osalta ennallaan, eli Home-versiosta tulee Home, Prosta Pro ja niin edelleen. Tämä voi aiheuttaa ongelmia Home-käyttäjille, joilla on paikallinen tili, sillä Windows 11 Home tulee vaatimaan sekä Microsoft-tilin ja aktiivisen nettiyhteyden asennuksen aikana. Käyttöjärjestelmän päivityksen jälkeen käyttäjällä on 10 päivää aikaa perua päivitys ja palata Windows 10:n käyttäjäksi.
Käyttöjärjestelmä tulee saataville tämän vuoden joulukaudeksi, mutta tietokoneesta riippuen porrastetut päivitykset voivat merkitä päivityksen löytyvän monille vasta vuoden 2022 puolella. Microsoft hylkää myös puolivuosittaiset versiopäivitykset ja jatkossa vuodessa on luvassa vain yksi isompi päivitys. Toisaalta Microsoft tulee jatkossa julkaisemaan aiemmin isoihin päivityksiin upotettuja ominaisuuksia myös irrallisina pienempinä päivityksinä. Windowsin päivitysten ylipäätään kerrotaan olevan jatkossa jopa 40 % aiempaa pienempiä ja niiden asentuminen taustalla vie entistä vähemmän resursseja.
Itse käyttöjärjestelmän laitteistovaatimukset ovat raudan osalta muutoin perinteisen maltillisia päällisin puolin: vähintään kaksi 1 GHz:n 64-bittistä prosessoriydintä, 4 Gt muistia, 64 Gt tallennustilaa, DirectX 12 -yhteensopiva näytönohjain, 9” tai suurempi vähintään 720p-resoluution näyttö ja jo edellä mainittu nettiyhteys ja MS-tili, jos asennuksessa on Windows 11:n Home-versio. Uusia ja potentiaalisesti harmaampia hiuksia harrastajille aiheuttavat vaatimukset ovat UEFI-BIOS Secure Boot -tuella sekä Trust Platform Module 2.0 (TPM 2.0). Etenkin jälkimmäinen voi puuttua joistain kotikäyttäjille jälleenmyyntiin suunnatuista emolevyistä täysin tai se on ostettava erillisenä lisälaitteena. Toisissa emolevyissä ominaisuus on tuettuna suoraan, mutta se on erikseen aktivoitava BIOSista.
Vaikka prosessorivaatimukset ovat päällisin puolin yksinkertaisia, on tilanne taustalla toinen. Prosessorin on löydyttävä ainakin virallisen tiedon mukaan Microsoftin yhteensopivien prosessoreiden listalta, mikä tarkoittaa AMD:n kohdalla tukea vain Zen-arkkitehtuuriin perustuvista prosessoreista lähtien, Intelillä Core-sarjassa 8. sukupolvesta lähtien, Pentium- ja Celeron-puolella 4000-sarjasta lähtien ja kourallisella uusimpia Atom-prosessoreita, sekä lopulta Qualcommilla Snapdragon 850:tä ja sitä uudempia Windows-käyttöön tarkoitettuja järjestelmäpiirejä. Toistaiseksi ei ole tiedossa, pakotetaanko virallista yhteensopivuuslistaa myös käytännössä.
Ihan yhtä houkuttelevia ne kotikäyttäjienkin koneet voivat olla. Yksittäistä käyttäjää on yhtä mahdollista kiristää kuin jotain yritystäkin. Koneet ovat jatkuvasti muutumassa yhtä henkilökohtaisemmiksi laitteiksi, joten tälläiset suojat ovat massojen kannalta varmasti tervetulleita. Tämän lisäksi yhä enemmän töitä on mahdollista tehdä "laitteella kuin laitteella", joten perinteinen kotikone voi sisältää myös yritysten omistamaa dataa.
Oletusasetuksilla pyritään vaikuttamaan niihin satoihin miljooniin käyttäjiin, joita Bitlockerin opiskeleminen ei kiinnosta edes termin googletuksen verran.
Kotikäytön ja yrityskäytön välillä on kaksi merkittävää eroa. Kokolevysalaus toimii yleensä vain offline. Eli kun levy on avattu, levyä voi käsitellä kuin siinä ei olisi kryptausta ollenkaan. Tällaisen krypton isoin etu on suojata sammutettuja koneita matkoilla. Kodin tietokoneita tyypillisesti kuskataan vähemmän paikasta toiseen, mutta poikkeuksia on ja tietenkin koteihinkin murtaudutaan. Joka tapauksessa riskit ovat hiukan erilaisia.
Uskalttaisin väittää että todella iso osa kotikoneista on nimenomaan markettiläppäreitä. Perinteiset PC:t ovat kyllä suosittuja, mutta ne eivät kuitenkaan ole minkälaisia itsestäänselvyyksiä. Se kuinka moni liikuttaa kotikoneita ja kuinka usein, on taas käyttäjästä itsestään kiinni. Tällä hetkellä varmasti suurin osa liikuttajista ei välttämättä käytä minkälaista levyn salausta.
Satojen miljoonien käyttäjien joukkoon mahtuu taatusti monenlaista riskiä ja kuviota.
Ei muuta sitä että en halua että tuon 20 kiloisen pöytäkonejärkäleen levyjä alettaisiin mahdollisesti joskus tulevaisuudessa kryptaamaan ilman minun lupaa. Ransomwareksi luokittelen siinä kohtaa sovelluksen/käyttiksen.
Sinä kuten moni muukin tekniikasta kiinnostunut taitaa kuulua siihen erittäin pieneen vähemmistöön kun ajatellaan kenelle kaikille työpöytä-Windows on tarkoitettu. Edelleen massojen käyttäytyminen määrä sen millaisia oletusasetuksia käyttöjärjestelmiin määritetään.
Moni muista vielä ajan kun Windowsissa ei ollut esim. edes softapalomuuria asennettuna. Näin ne ajat muuttuvat.
Onhan ne läppäreitä, mutta ei se tarkoita, että niitä siirreltäisiin korkeariskisessä ympäristössä. Ei pitäisi olla mitenkään epäselvää, että kotikäyttäjien tiedot ovat paljon matalariskisempiä ihan lähtökohtaisesti ja tilastoista näkee, että aika harva kotikäyttäjä esim. tekee kymmeniä tai satoja päiviä lentäen matkoja kotitietokoneen kanssa.
Suosittelen kyllä levysalausta kaikille nykyään – AES256 ei juurikaan hidasta käyttöä ja se johtuu ihan siitä, että se kuorma on suhteessa käsiteltyyn dataan. Kotikäyttäjien levyille ei kirjoiteta paljonkaan, mistä kertoo sekin, että SSD-asemista myydään "EVO-malleja" kotikäyttäjille. Kuitenkin jos mietitään uhkakuvia, kotikäyttäjillä tuo offline-levysalaus ei ratkaise isoimpia tietoturvaongelmia paitsi silloin kun vanhoista koneista ollaan luopumassa ja dban unohtuu.
Ei tietenkään tarkoita. Kuten aikaisemmin sanoin tuollaiseen käyttäjäjoukkoon mahtuu monenlaista käyttäjää ja kuviota. Jatkuva liikuttaminen toki lisää riskiä, mutta se yksittäinenkin liikuttaminen ei ole täysin riskitön. Microsoftilla luultavasti ajatellaan asiaa myös senkin kannalta, millaisessa maailmassa eletään koko Windows 11 elinkaaren ajan.
Bitlockerin salausasetusten osalta XTS-AES 128-bit (oletus) on jo riittävän kevyt ja ainakin toistaiseksi täysin turvallinen.
Juu, toimi minullakin nyt kun ajoin uusiksi. Myös WhyNotWin11 näyttää kaikille vihreää kun pistin TPM:n päälle.
Toisaalta, ihme olisi jos ei R5 3600/B550 olisi kelvollinen.
Ainakin vielä omasta E540:sta sai nollattua sillä kun oikosulki siitä piiristä ne kaksi jalkaa. Tuossa 4th gen Intelin prossu, uudemmista en tiedä.
Massat ei myöskään asenna käyttöjärjestelmää itse vaan se tulee esiasennettuna joten käyttöjärjestelmän asennuksessa voisi hyvin olla Advanced-napin takana valinta tuolle salaukselle.
Kyse olikin käyttäjärjestelmän oletusasetuksista yleisesti. Muokattavuusmahdollisuudet ovat kokonaan oma aiheensa.
Heille jotka hoitavat asennuksia, tämä uudistus tuskin tulee aiheuttamaan murheita muutenkaan.
Yksi selkeä hyöty on ainakin se että riittää että sinulla on se sähköposti muistissa (yleensä on) ja pin / salasana. Sitten otat ns. "minkä tahansa" uuden koneen, annat sen asentua (muistat valita oikean kielen alussa) ja laitat siihen oman sähköpostin sekä sen tunnuksen ja saat suoraan sieltä netistä sen aktivoinnin (sekä päivityksen esim. siitä home versiosta suoraan Enterpriseen) + saat ne omat etusi sieltä, esim. officen latailtua, näet mihin saakka on X-box game passia makseltu, mitä pelejä ja softia olet ostellut Mikkisoftalta ja voit asentaa ne jne jne.
Tässä vähän huokuu semmoinen viimeinen rypistys tuohon Microsoftin omaan storeen jota kukaan ei käytä. Chrome muistaa mulla salasanat, selaimella se Office kuitenkin tulee ladattua.
Ainakin kaikki asetukset tallentuu jotka olet käyttikseen laittanut, monesti jopa taustakuvaa myöten. Ainakin itse koen aikaasäästäväksi kun ei tarvi erikseen roplata noita puhtaan käyttiksen kanssa joka kerta.
Eli ei tuo tarjoa mitään "hyötyä mitä ei mitenkään muuten saisi".
Eli jos on normaalisti varmuuskopiot kunnossa silläkin selviää, mutta tuo "nopeuttaa ja helpottaa" sitä ainakin itselleni noin viikonlopun urakkaa kun asentelen koneen uusiksi (etsien sopivaa taustakuvaa, etsien jokaista softaa ja siihen päivityksiä, luoden sopivat kansiot eri tarkoituksiin työpöydälle, siirtäen niihin ja muihin C:n kansioihin ne jutut mitä haluan jne)
Edit: tietysti myös se että jos kone varastetaan / hajoaa ne tiedot saa palautettua helposti ja "automaattisesti". Tietysti kuten ylempänä sanoin jos varmuuskopiot ovat jatkuvasti kunnossa ei ongelmia pitäisi teoriassa päästä syntymään.
Se varmaan riippuu versiosta? Enterprise, Pro, Home, Student, education, mobile ja mitä niitä nyt onkaan.
Esim. voin 100% varmuudella sanoa että jos yrityksissä oikeasti tarvisi jokainen käyttöjärjestelmä aktivoida omalla erillisellä koodillaan sitä käyttöjärjestelmää ei otettaisi käyttöön. Toisaalta taitaa se halvin (onkohan home) versio olla sellainen että siinä voit pahimmillaan joutua ostamaan uuden version vaikka vaihdat vaan emo+prosessori+muistit ja näytönohjain combon.
katso liitettä 635801
Saa sen MS-tunnukseenkin linkitettyä.
How to link Windows 10 product key to a Microsoft account?
http://www.auslogics.com
Pro mulla on ollut aina, mitä lie nuo sitten ovat tarkalleen joita saa netistä kympillä..
Riittävän suuren laitteistoremontin (yleensä juurikin emolevy) jälkeen Windows pitää aktivoida uudelleen uudella kokoonpanolla, mutta ei uutta lisenssiä tarvitse ainakaan Pro:n tapauksessa hankkia
Reactivating Windows 10 after a hardware change
support.microsoft.com
Hm, pitää jatkossa ihmetellä tarkemmin. Välillä mennyt samalla lisenssillä emonvaihdon jälkeen ja välillä taas ei.
edit: Välillä taas kun olen käytetyn emon ostanut niin sillä on aktivoitunut suoraan koska sitä emoa käyttäessä on aktivoitu winkkari aiemmin.
Mutta kun samoja koneita ne on ja sama Windows 11 niissä tulee pyörimään.
Minusta näitä tietoturvakeskusteluja vaivaa vähän ajatus, että on olemassa vain pihtiputaanmummoja joilla ei ole koneella mitään kiinnostavaa ja joiden pöytäkone on köytettynä työpöytään, ja pörssiyritysten pukumiehiä, joiden läppäreitä hallinnoi ammattitaitoinen IT-osasto. Kun todellisuudessa on kaikkea tuolta väliltä, ja pienet ja osa isommistakin yrityksistä vetää ihan samalla tavalla bulkkimikroilla oletusasetuksilla. Kyllähän se kryptaus myös pienentää tietoturvariskiä sitten hävitysvaiheessa, veikkaan että aika monesta SER-koneesta saisi käyttäjän tiedot ja salasanat pöllittyä todella helposti. Parhaillaan jengi ei edes näennäisesti tyhjennä laitteitaan tai massamuistejaan joita myy tai hävittää, saati sittten että oikeasti ylikirjoittaisi sen datan tai tekisi secure-erasen.
Ei se siitä versiosta (Pro/Home) ole kiinni vaan lisenssistä. Retail toimii yhdessä koneessa kerrallaan, OEM yhdessä koneessa (piste). Retail on kalliimpi, mutta tarvii ostaa vain kerran eikä joka emopäivityksen yhteydessä.
Kyllä yritysmaailmassakin yleisesti OEM-lisenssejä käytetään normi toimistokoneissa ja läppäreissä. Siellähän ne toimivat hyvin, kun käytännössä ikinä niitä koneita ei päivitellä, vaan vaihdetaan kerralla uuteen. Valmiskoneissa ei mitään koodeja syötellä, vaan lisenssi on valmiina koneessa kuten Windows muutenkin.
Ja eikös noi läppäreissä ole biosissa valmiina?
Olen tainnut olla vain väärässä käsityksessä.
Mulla aktivoitui suoraan tuolla mun Thinkpadilla, pohjassa "Windows 8 Pro" joten oletan että se sillä biosiin naitetulla lisenssillä aktivoitui.
Joistain yritystason suojauksista on hyötyä kotona, toisista vähemmän. Voisi kotona olla hyödyllistä säätää LDAP myös ja SSO ja vaikka mitä, mutta se ei silti ratkaise niitä ongelmia, jotka eniten uhkaavat näitä käyttäjäryhmiä.
Jos huomasit, en sinänsä argumentoinut kryptausta vastaan. Se on ihan kannatettava asia, mutta siinäkin auttaa paljon, jos ymmärtää, mitä se tekee ja mitä ei. Jos käyttäjä antaa admin-oikeudet ja etäpääsyn esim. scammerille netin yli, kokolevysalaus ei välttämättä auta mitään. Samoin jos joku murtautuu taloon ja uhkaa henkeä, moni varmaan antaa avaimet mieluummin kuin henkensä. Jos kone katoaa matkalla, kryptaus on kätevä oikein käytettynä, mutta ilman vahvoja avaimia sen saa auki. Jos on muistisairas, avaimet voi unohtaa. Lisäksi jos varmuuskopiointia ei ole, rikkinäisestä kryptatusta levystä on paljon hankalampi onkia kalliita datan palautuspalveluja käyttäen dataa ulos kuin suojaamattomasta. Aina voi jälkiviisastella, mikset varmuuskopioinut, mutta jos katotaan, miten asiat ovat, kryptaus ei automaattisesti paranna kaikkien elämää.
Sanoin tämän jo.
Kumpikaan noista ei ole mikään suojausmenetelmä. LDAP on hakemistopalveluprotokolla ja SSO tarkoittaa kertakirjautumista.
– Saa ilmaisen outlook.com sähköpostin, aktivoituu koneella automaattisesti Mail ohjelmaan
– Saa ilmaisen 7Gb Onedrive tilaa, synkkaa automaattisesti Omat Tiedostot ja Kuvat pilveen. Hyvänä tulee automaattinen varmistus ja palautus, huonona kun mennään tuon 7Gb yli pitää maksaa tai säätää
– Kirjautuu Win Storeen ja maksutiedot muistetaan jne => matalampi kynnys ostella softia
– Taustakuvat, salasanat, kieliasetukset ja jotain muita Windows asetuksia synkataan (saa pois päältä)
– Edgen kirjanmerkit ym synkataan
– Hello For Business tai sen kuluttajavastine aktivoituu, PIN kirjautuminen tai biometrinen kirjautuminen
– Bitlockerin salausavaimet varmuuskopioidaan
– Sama tili toimii XBOX tilinä, sen pelitiedot, gamepassit ym synkataan
– Sama tili toimii Skype tilinä, kohta ilmeisesti myös Teams tilinä
– Office aktivoituu, jos se on esiasennettuna koneelle ja tilillä lisenssi
Taitaa aika paljon jo muistuttaa Google ja Apple tilien toimintaa.
Otin tuon MS tilin käyttöön koneella heti kun Windows 10 tuli ja jossain vaiheessa säädin olennaisimmat kansiorakenteet takaisin Winkkarin omat tiedostot ja kuvat kansioihin mitkä menevät Onedriveen. Joka vuosi tulee aina mieluummin maksaneen Onedriven vuodeksi eteenpäin kuin ryhtyisi selvittämään jotain vaihtoehtoa tuolle eikä todellakaan jaksa enää käsin kopioida mitään minnekään, kun tuo on joka laitteella, olkoonkin että on hidas.
LDAP ja SSO toimivat ihan samalla tapaa kotona kuin töissä, kun on moderni koti, missä on älytekniikkaa ja useita päätelaitteita ja paljon hallittavia resursseja. Ja onhan noita suurperheitäkin, joissa on enemmän lapsia kuin pienissä pk-yrityksissä työntekijöitä.
Pikemminkin ohjelmien (niiden tekijöiden) pitäisi tukea käyttöjärjestelmää (Linuxia) eikä toisinpäin. Onhan Wine ja muita ratkaisuja olemassa, mutta paljon kankeampaa ja epävarmempaa se on.
Itsekään en ole oikein vakuuttavaa selitystä kuullut sille, mitä hyötyä rautakiihdytyksestä on yksinkertaisen 2D-grafiikan kanssa. Mutta onhan Windowsin työpöydällä kaikenlaisia efektejä, kai ne sitten menevät rautakiihdytettynä paremmin.
Videonpurku on selkeä juttu videotoistimissa ja esim. selaimissa, mutta se ei ole varsinaisesti työpöytämanagerin juttu.
Selaimissa ja Linuxin työpöydällä on tullut eteen paljon ongelmia rautakiihdytyksen takia.
Siis moderneilla alustoilla, joissa on erikseen videoprosessoria ja GPU:ta ja sulautettuja kameraväyliä, työpöydän grafiikkaengine on ihan keskiössä asioiden orkestroinnissa ja erilaisten puskurien välittämisessä oikein. Tästä saa hyvän käsityksen kun katsot esim. tubesta Bootlin-firman esityksiä ja vastaavasti Wayland-puolen vastineita korkean tason tekniikoista. Videotoistossa on vielä lisähaasteita kun halutaan ajastaa studiotason tekniikoilla framet tarkalleen oikein ja otetaan huomioon adaptive sync ja muut tällaiset nykyaikaiset tekniikat.
Joo, ei muuta kuin joka jampalle Active Directory -palvelin kotiin, että voi käyttää LDAPia ja viritellä sitä kautta ADFS:n ja sen Single-Sign-Onin. Tai sitten ihan minkä tahansa muun LDAPia tukevan hakemistopalvelun, mutta mitään "tietoturvaominaisuuksia" nämä eivät siltikään ole, varsinkaan kun perustallaaja ei osaa niitä ylläpitää ainakaan niin että ne olisivat turvallisia.
Juu ei auta sepelvaltimotautiin eikä tyypin 2 diabetekseen
.
En nyt vaan miksi joltain uhalta suojautuminen kannattaisi jättää tekemättä siksi, että se ei ole suurin uhka? Ja toisekseen, ihan samoja Windowseja käytetään kotikäytössä ja yrityskäytössä ja samoilla oletusasetuksilla ne isolta osin menee. Kuten sanottu, on olemassa muutakin kuin pihtiputaanmummoja ja suuryrityksiä.
Kyllä, on olemassa tilanteista joissa levyn salaus auttaa, ja tilanteista joissa se ei auta, kukaan ei ole siitä eri mieltä. Mutta jos puhutaan käyttöjärjestelmän oletusasetusten valinnasta, niin kysymys ei ole se onko joku joka ei asetuksesta hyödy tai parantaako se _kaikkien_ elämää, vaan että onko parempi että se on suurimmalla osalla pois vain suurimmalla osalla päällä.
Toki keskustelu on siinä mielessä hyvinkin sivuraiteilla, että ei edes tiedetä onko Bitlocker oletuksena tai edes saatavilla 11 Home versiossa. 10:ssahän sitä ei muistaakseni ole edes tarjolla Home käyttäjille, kun tämä on yksi hyvä ominaisuus jolla luodaan pienemmillekin yrityksille tarvetta Pro:lle. Ainakin se jos tämä tulee Homeen saatavilla on hyvä asia.
Eipä toi asetusten synkka kovin luotettavasti ole toiminut. Ei ole tainnut mitään asetuksia itsellä koskaan synkata. Taustakuvan on kyllä välillä synkannut mutta se toiminnallisuus poistuu Win11 myötä.
Eipä siitä rikkinäisestä mobiililaitteesta sitä muistipiiriä irti kotikonsteilla muutenkaan saa joten vessasta alas se data on mennyt siltikin. Tietokoneesta (yleensä) saa levyn irti ja toiseen koneeseen tai usb-koteloon.
Varmaan tuurista kiinni, sanoisin että suht hyvin noi on toiminut noi synkkaukset. Toivotaan että W11 kohdalla käy samat, että kerralla kun laitat niin jää accountiin talteen ja osaa ottaa nuo asetukset heti asennuksen jälkeen.
Minähän siis olen Win10:aa käyttänyt heti julkaisusta asti ja huomannut nämä pienet kehitysaskeleet, joskaan mitään erikoista en muista siltikään. Siltikin selvitty ongelmitta vaikka isot päivityksetkin asennettu aina heti.
Eipä sitä omaa SSO:ta saa yleensä muihin kuin yritysten käyttämiin saas palveluihin ja siitäkin yleensä peritään tonni pari lisämaksua. Legacy LDAP tai AD toimii vaan tietokoneilla, ainakin omat mukulat käyttää 90% ajasta puhelinta tai tablettia. Xbox tiliä ei saa federoitua minnekään SSO palvelimeen ja koulun Teams on jo federoitu kaupungin SSO:on.
Enemmän tietoturvaa saa jos ostaa koko rahalla vaikka omenalaitteita koko perheelle..
Linkin sivujen alaraunasta löytyy ohje kuina TPM 2.0 kytketään päällsse Asus-biosista.
The Windows 11-compatible ASUS motherboards and processors are listed below:
Supported ASUS motherboards
Et voi laskea sen varaan, että levyn hajotessa se vain siirrettään toiseen koneeseen ja pelastetaan data. Suosittelen varmuuskopiointia. Kryptaus ei myöskään estä pääsyä omaan dataan, koska sinulla on kryptauksen avaava salasana tai palautusavain tallessa – vaatii toki inasen extranäppäilyä levyä siirrettäessä. Hajonnut kryptattu levy voi olla kinkkisempi pähkinä kuin kryptaamaton, mutta tässä palataan taas varmuuskopiointiin. Toisaalta en usko, että Windows kryptaisi automaattisesti mitään muuta, kuin käyttislevyn. Tätäkään se tuskin tekee muulloin kuin uusissa asennuksissa, ts. W10 -> W11 -päivitys tuskin tekee mitään kryptauksia omatoimisesti. Aika näyttää.
Myös puhdas W10-asennus voi nakata Bitlockerin päälle ilman erillistä komentoa. En ole päässyt jyvälle milloin ja miksi tuo tapahtuu, mutta homma on tullut monta kertaa vastaan. Jo Windows 8 saattoi kryptata levyn automaattisesti, kunhan laitteistossa oli tietyt asiat tuettuna Windows 8.1 Will Start Encrypting Hard Drives By Default: Everything You Need to Know Tuo toimi jopa Home-versiossa. Eli oma veikkaus on se, että jatkossa kaikki laitteet ovat oletusarvoisesti kryptattuja. Tämä on pelkästään hyvä asia, jos ihmisille vain saadaan tehtyä tarpeeksi selväksi, mihin palautusavain tallentuu. Yrityspuolella tämä tuskin on ongelma kun IT-osasto hoitaa homman hallitusti, kotikäyttäjille nyt saattaa olla ties mitä random-humpuuki MS-tilejä, joille ei ole edes määritetty palautusvaihtoehtoja unohtuneen salasanan varalta. Sitten onkin kiva kun laite yhtäkkiä pyytää palautusavainta ja käyttäjä ei tiedä mitä MS-tiliä on käyttänyt tai mikä sen salasana on, hän muistaa ainoastaan Windows Hellon PIN-koodin tjms.
Ne palautusavaimet ovat käyttäjän Microsoft-tilillä, yrityspuolella Azuressa tai AD-palvelimella. Se ei toimi, että vain ja ainoastaan TPM voisi avata kryptauksen, koska TPM voi hajota tai tulla moka/bugi firmispäivitysten kanssa. En osaa sanoa onko TPM-sirun sisältöä mahdollista varastaa esim. käyttiksen puolelta, epäilen että ei. TPM:ään tallennetun avaimen vaihto toiseksi ei ymmärtääkseni myöskään toimi kuten sanoit, koska levyn data olisi tällöin kryptattava uudelleen. Lisäksi jälleen kerran: varmuuskopiointi.
Mitenköhän tuon saa poispäältä ja vielä siten, että ei myöskään vahingossakaan menisi itsestään päälle?
Pitänee tehdä USB tikulle batti, joka poistaa salauksen, kun nappaa sen koneeseen ja suorittaa batin.
Varmuuskopiointiakaan porukat eivät yleensä harrasta. Onneksi kuitenkin kryptaamatonta dataa on pystytty palauttamaan melko suurella prosentilla.
Ikävin yllätys taisi joskus olla kaverilla, kun levynsalaus oli kryptannut varmuuskopiotkin. En muista, oliko syynä koneen vaihto vai mikä, mutta kone ei sitten ollut enää olemassa ja varmuuskopioissakin oli salaus ja palautusavainta ei ollut.
Windowksessahan on iät ja ajat ollut mahdollista salata tiedostot.
Toki itsellä on varmuuskopiot koneen sisällöstä mutta valtaosalla ihmisistä ei ole. Ja itsekin sen jo totesit että ei tavallisella tallaajalla välttämättä ole missään tallessa tarvittuja asioita kryptauksen avaamiseen. Ajattelen tätä muutenkin kuin vain tälläisellä tietotekniikkafoorumilla olevien edistyneiden käyttäjien näkökulmasta.
En ole kyllä koskaan tajunnut miksi kotikäytössä pitäisi käyttää levyn kryptausta. Yrityspuolen ymmärtää, mutta mitä niin salaista sinulla kotikäytössä voisi olla, että levy pitäisi kryptata? Ellei sitten puhuta datasta josta poliisi on kiinnostunut ja joka on muutenkin laitonta.
MS tietysti voi laittaa tuohon tarkistukset, että MS-tilillä on varmasti laitettu toimivat palautusvaihtoehdot ennen kuin Bitlocker isketään päälle + isot ukaasit siitä, mitä käy, jos tilinsä säätää lukoon ja TPM losahtaa. Koneen kyrvähtämisen varalta luultavasti mennään sitä kohti, että data tallennetaan/synkataan OneDriveen eikä makuuteta paikallisella levyllä. Microsoft-tili ja siitä huolen pitäminen tulee olemaan keskiössä.
Periaatteessa noin, mutta tykkään ajatuksesta, että jos joku onnistuisi pöllimään tietokoneeni, voin luottaa siihen että varas ei tule mitenkään pääsemään käsiksi dataan. Onhan nykyään puhelimet ja tabletitkin kryptattu by default, miksei sitten tietokoneet?
Pelkkä TPM päälle kytkeminen ei vielä riitä tekemään koneesta Windows 11 yhteensopivaa vaan myös Secure Boot pitää olla enabled ja CSM disabled.
Eikös noi jälkimmäiset ole oletuksena moderneilla lankuilla? Ainakaan itse en ole mitään säätänyt (paitsi se TPM päälle) niin näyttää että on yhteensopiva.
Mielenkiintoista kyllä että jos päivittää biosin tms. niin mahtaako lähteä tulille jos päivityksen jälkeen vaikka TPM mennyt pois päältä.
Ei tarvitse secure boottia päälle.
The Secure Enclave is a system on chip (SoC) that is included on all recent iPhone, iPad, Apple Watch, Apple TV and HomePod devices, and on a Mac with Apple silicon as well as those with the Apple T2 Security Chip.
Hardware security overview
support.apple.com
Googlen Chromebook on kanssa kryptattu tärkeiden datojen osalta.
Data Encryption
When using web apps on a Chromebook, all important data is stored safely in the cloud. Certain kinds of files, like downloads, cookies, and browser cache files, may still be present on the computer. The Chromebook encrypts this data using tamper-resistant hardware, making it very difficult for anyone to access those files.
Chromebook security – Chromebook Help
support.google.com
No kun tarvitsee –>
Windows 11 requirements – What's new in Windows
docs.microsoft.com
Tässä vaiheessa rajoituksia on höllennetty ja tilanne voi muuttua muutenkin, mutta tällä hetkellä vaatimukset ovat tuossa.
Juuh ja eikö siinä lue, että riittää kun ominaisuus löytyy? UEFI, suojatun käynnistyksen tuki. (tai secure boot capable) Ei sitä silti tarvitse päälle laittaa?
Microsoftin virallisen Windows insider blogin mukaan rautatason tuki secure bootille on windows 11 minimivaatimus.
"Security. Windows 11 raises the bar for security by requiring hardware that can enable protections like Windows Hello, Device Encryption, virtualization-based security (VBS), hypervisor-protected code integrity (HVCI) and Secure Boot. "
Update on Windows 11 minimum system requirements
blogs.windows.com