Download - WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o Server Windows 2012
BitLocker w Twoim Windows 8 i w Twoim przedsiębiorstwie w oparciu o Server Windows 2012
Krzysztof BińkowskiSecurity/Forensics Trainer and Consultant
MCT, CEH, MCSA, MCITP EA, MCSE Security, ACE
• Co to jest Bitlocker i dlaczego warto stosować BitLocker?
• Co nowego w funkcjonalności BitLocker w Windows 8
• BitLocker bez MBAM
• BitLocker z MBAM
• Rekomendowane ustawienia dla BitLocker – Security ComplianceManager
Agenda
Dlaczego warto stosować funkcję BitLocker ?
Głównym zagrożeniem bezpieczeństwa jest utrata danych z komputerów przenośnych, którezostały utracone lub skradzione. Sytuacja ta ma miejsce wtedy, kiedy atakujący uzyska fizycznydostęp do niezabezpieczonego komputera, potencjalne konsekwencje takiego czynu obejmująnastępujące działania:
• Atakujący może się zalogować do komputera z systemem Windows 8 i skopiować dane• Atakujący może uruchomić komputer z alternatywnego systemu operacyjnego w celu:
Przejrzenia listy plików Skopiowania plików Odczytu danych z plików hibernacji lub pliku stronicowania w celu odczytu informacji
przechowywanych jawnym tekstem lub dokumentów związanych z uruchomionym procesem. Odczytu danych z pliku hibernacji w celu ujawnienia i pozyskania kopii kluczy prywatnych
przechowywanych w postaci tekstowej.
Szyfrowanie BitLocker – dla przypomnienia
Szyfrowanie dysków funkcją BitLocker jest mechanizmem szyfrowania
całych woluminów, a nie tylko poszczególnych plików, zapewniając
ochronę danych przechowywanych na dyskach pracujących pod kontrolą
systemu Windows 8.
Mechanizm ten zapewnia bezpieczeństwo danych również w przypadku,
kiedy dysk zostanie wymontowany i zainstalowany w innym komputerze.
Technologia BitLocker w systemie Windows 8 zapewnia ochronę danych
znajdujących się na dyskach twardych komputerów użytkowników,
włączając w to ochronę dysków wymiennych, pamięci przenośnych USB
oraz dysków podłączonych poprzez interfejs IEEE 1394.
Funkcjonalność BitLocker
BitLocker zapewnia :
Szyfrowanie
Dysków z systemem operacyjnym
Stałych dysków danych
Wymiennych dysków danych (BitLocker To Go )
Sprawdza zmiany wprowadzone w :
BIOS’ie
Plikach startowych/systemowych systemu
Windows
Trusted Platform ModuleVolume Blob of Target OS
unlocked
All Boot Blobs
unlocked
Static OS
BootSector
BootManager
Start
OSOS Loader
BootBlock
PreOS
BIOS
MBR
TPM Init
• Protects secrets
• Performs cryptographic functions
– RSA, SHA-1, RNG
– Meets encryption export requirements
• Can create, store and manage keys
– Provides a unique Endorsement Key (EK)
– Provides a unique Storage Root Key (SRK)
• Performs digital signature operations
• Holds Platform Measurements (hashes)
• Anchors chain of trust for keys and credentials
• Protects itself against attacks
It’s a Smartcard-like module on the motherboard
• Tylko moduł TPM. Używanie weryfikacji Tylko moduł TPM nie wymaga żadnej interakcji zużytkownikiem w celu odszyfrowania i udostępnienia dysku, do startu systemu nie jest potrzebne hasło,numer PIN lub klucz uruchomienia
• Moduł TPM z kluczem uruchomienia (USB). Oprócz ochrony zapewnianej przezmoduł TPM część klucza szyfrowania jest przechowywana na dysku flash USB. Dostępu do danych nazaszyfrowanym woluminie nie można uzyskać bez klucza uruchomienia
• Moduł TPM z kodem PIN. Oprócz ochrony zapewnianej przez moduł TPM funkcjaBitLocker wymaga od użytkownika wprowadzenia osobistego numeru identyfikacyjnego (PIN). Dostępudo danych na zaszyfrowanym woluminie nie można uzyskać bez podania kodu PIN.
• Moduł TPM z kluczem uruchomienia i kodem PIN. Opcję tę można skonfigurowaćwyłącznie przy użyciu narzędzia wiersza polecenia Manage-bde.exe oraz zasad grupowych. Opróczochrony podstawowych składników, którą zapewnia sprzętowy moduł TPM, część klucza szyfrowania jestprzechowywana na dysku flash USB, a w celu uwierzytelnienia użytkownika w module TPM jestwymagane podanie kodu PIN
• Tryb pracy funkcji BitLocker bez modułu TPM (USB,FDD). Tryb ten zapewniapełne szyfrowanie całego dysku, ale nie zapewnia ochrony środowiska rozruchowego dla systemuWindows 8. To ustawienie zalecane jest dla komputerów nieposiadających sprzętowego modułu TPM
Tryby pracy BitLocker
BitLocker KeysSRK (Storage Root Key) contained in TPM. SRK encrypts the VMK (Volume Master Key).Volume Master Key (VMK)The Volume Master Key (VMK) is 256-bit of size and is stored in multiple FVE Volume Master Key(VMK) structures. The VMK is stored encrypted with either the recovery key, external key, or theTPM.Full Volume Encryption Key (FVEK)The Full Volume Encryption Key (FVEK) is stored encrypted with the Volume Master Key (VMK).Recovery keyBitLocker provides for a recovery (or numerical) password to unlock the encrypted data. Therecovery password is used to determine a recovery key.Clear keyThe clear key is an unprotected 256-bit key stored on the volume to decrypt the VMK. It is usedwhen the encrypted volume is being decrypted.Startup keyThe startup key (or external key) is stored in a file named {%GUID%}.BEK. The GUID in the filenameequals the key identifier in the BitLocker metadata.User keyBitLocker To Go provides for a user password (or passphrase) to unlock the encrypted data. Theuser password is used to determine a user key.Network unlock key protector - new type of key protector allows for a special network key to beused to unlock and skip the PIN entry prompt in situations where computers are rebooted ontrusted wired networks
• BitLocker do celów testowych można uruchomić w wirtualnej maszynie Hyper-V, Vmware, VirtualBox
• Korzystamy z trybu Tryb pracy funkcji BitLocker bez modułu TPM oraz dyskietki 1.44
1. Ustawiamy GPO „Allow Bitlocker without compatible TPM”
2. Tworzymy obraz wirtualnej dyskietki (floppy disk)
3. manage-bde -on C: -RecoveryPassword -StartupKey A:
(manage-bde -on C: -rp -sk A: )
4. Restartujemy system i szyfrujemy
Jak uruchomić BitLocker w wirtualnej maszynie?
DEMO
• Szyfrowanie tylko zajętego miejsce na dysku
• Obsługa BitLocker - (ang. BitLocker provisioning)
• Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock)
• Wsparcie dla systemu Windows dysków sprzętowo szyfrowanych
• Zmiana kodu PIN lub hasła przez standardowego użytkownika (ang. -Standard user PIN and password change)
Co nowego w funkcjonalności BitLocker w Windows 8
• w systemie Windows 8, użytkownik może dokonać wyboru czy szyfrować tylko zajęte miejsce na dysku czy cały wolumin.
• Szyfrowanie tylko zajętego miejsca na dysku znacznie przyśpiesza proces szyfrowania.
Szyfrowanie tylko zajętego miejsce na dysku
Wymuszanie typu szyfrowanie przez Group Policy:(Computer Configuration | Administrative Templates | Windows Components | BitLocker Drive EncryptionEnforce drive encryption type on <type of drive> )
•Allow the user to choose (which is default if the policy is not configured)•Full encryption•Used disk space only
• włączenie usługi BitLocker przed instalacją systemu. Wymaga włączenia manage-bde –on <drive letter>:
• W przypadku wykorzystania opcji szyfrowania tylko zajętego miejsca na dysku, obsługa BitLocker staje się szybsza i stanowi nieprzerywany proces instalacji nowych komputerów.
• Uwaga WinPE nie zawiera narzędzia Manage-bde(Building a Windows PE Image with Optional Components. - http://technet.microsoft.com/en-us/library/hh824926.aspx)
• Należy pamiętać, że po zakończeniu procesu instalacji nowego systemu bezpieczny klucz zostanie dodany do chronionego wolumenu. Clear key protector zostanie losowo wygenerowany i zastosowany do szyfrowania wolumenu. Należy wybrać odpowiedni tryb pracy BitLocker np. TPM+PIN w zależności od typu szyfrowanego dysku po wdrożeniu systemu.
Obsługa BitLocker - (ang. BitLocker provisioning)
Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock)• włączona funkcja BitLocker w systemie Windows 8 wykorzystująca ochronę poprzez
stosowanie modułu TPM+PIN, może uruchomić system w zaufanej sieci komputerowej bez wymagania wprowadzenie kodu PIN przez użytkownika.
• Funkcja odblokowywanie funkcją BitLocker przez sieć pozwala administratorom na uruchomienie zaszyfrowanego systemu i chronionego za pomocą modułu TPM+PIN w celu wykonania nienadzorowanego procesu aktualizacji lub zadań konserwacji.
• Funkcja ta wymaga, aby sprzęt kliencki zawierał sterownik Dynamic Host Configuration Protocol (DHCP) zaimplementowany w oprogramowaniu UEFI (UnifiedExtensible Firmware Interface).
Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock)
How network unlock works• The client computer's boot manager detects the network unlock key protector.
Key protectors are the means by which BitLocker keys are protected, such as a password or PIN, a key file, a smart card, certificate, etc.
• When the client detects this protector, it uses DHCP (hence the requirement for a DHCP drive in UEFI) to get an IPv4 IP address. Then it sends out a DHCP request with the encrypted network key and session key.
• The server has to have a 2048 bit RSA key pair and the clients need to have the public key. The certificate is deployed through the Group Policy Editor on the domain controller. The WDS server decrypts the request with the RSA private key. Then it sends the network key back, encrypted with the session key (also using DHCP).
Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock)
• w systemie Windows 8, Bitlocker dostarcza wsparcia dla mechanizmu Full Disk Encryption (FDE) wykorzystującego specjalne dyski zapewniające sprzętowe szyfrowanie dysków (EncryptedHard Drive). Szyfrowane dyski sprzętowo mogą być wykorzystane do przeprowadzenia szyfrowania na poziomie bloków dysków.
• Operacje szyfrowania i deszyfrowania są przeprowadzane przez kontroler dysków, zmniejszając w ten sposób obciążenie procesora komputera.
• Self-encrypting drives: SED
• eDrive (Embedded MultiMediaCard, solid-state drive, hard disk drive)
Wsparcie dla systemu Windows 8 dysków sprzętowo szyfrowanych
• w systemie Windows 8 użytkownik nieposiadający uprawnień administracyjnych nie może wykonywać konfiguracji funkcji BitLocker.
• wprowadzona możliwość zmiany kodu PIN lub hasła dla wolumenów zawierających system operacyjny lub dysków stałych. Funkcja ta włącza możliwość standardowym użytkownikom wyboru własnego kodu PIN lub hasła w celu łatwiejszego zapamiętania.
Zmiana kodu PIN lub hasła przez standardowego użytkownika (ang. -Standard user PIN and password change)
• Wdrożenie BitLocker na stacjach klienckich
• Centralne zarządzanie kluczami BitLocker (Recovery keys) -przygotowanie domeny
• Zarządzanie BitLocker
BitLocker bez MBAM
Wdrożenie BitLocker na stacjach klienckich:
• Podczas wdrożenia Windows 8 (deployment) kilka scenariuszy
• Po wdrożeniuRęcznie
Za pomocą skryptów (manage-BDE, PowerShell)
BitLocker dostępny jest w edycjach: Windows 8 PRO/ENTERPRISE
BitLocker bez MBAM
Centralne zarządzanie kluczami BitLocker - przygotowanie domeny:
• DC oparty - Windows Server 2012 - gotowy
• Windows Server 2003/2008 – wymaga dodania 2 rozszerzeń schemy: TpmSchemaExtension.ldf
TpmSchemaExtensionACLChanges.ldf
• Automatycznie zapisywanie kopii zapasowej (Recovery key) kluczy BitLocker w AD w obu przypadkach należy włączyć odpowiednie GPO
BitLocker bez MBAM
BitLocker Group Policy setting Configuration
BitLocker Drive Encryption: Turn on BitLocker backup to Active Directory Domain Services
Require BitLocker backup to AD DS (Passwords and key packages)
Trusted Platform Module Services: Turn on TPM backup to Active Directory Domain Services
Require TPM backup to AD DS
BitLocker Recovery Keys in AD - BitLocker Recovery Password ViewerThe following recovery data will be saved for each computer object:
•Recovery password
•Key package data (REPAIR-BDE) export required scripts
•TPM owner authorization password hash
BitLocker bez MBAM
Zarządzanie:
• Za pomocą skryptów
• Active Directory User And Computer
• ADSI Edit
• Brak informacji zwrotnych na temat włączenia funkcji BitLocker
• Brak raportowania o działających systemach z funkcją BitLocker
BitLocker bez MBAM
• Bitlocker w VM
• Szyfrowanie tylko zajętego miejsca
• BitLocker Recovery Password Viewer - ADUC
Demo
DEMO
Microsoft BitLocker Administration and Monitoring (MBAM)
• provides an administrative interface to manage BitLocker drive encryption.
• MBAM allows you to select BitLocker encryption policy options appropriate to your enterprise
• monitor client compliance with those policies
• report on the encryption status of the enterprise as well as individual computers
• recover lost encryption keys
BitLocker z MBAM 1.0 i 2.0
• BitLocker z MBAM 1.0 i 2.0
BitLocker z MBAM
1Simplify provisioning and deployment 2
Improve compliance and reporting 3 Reduce support costs
MBAM jest elementem MDOP 2012/2013
MBAM
Recovery Password Data
Compliance Data
HTTPS
MBAM Client
Group Policy: AD, AGPM
Key Recovery Service
Helpdesk UX for Key Recovery
Compliance ReportsCentral Administration
Compliance Service
Architektura MBAM 2.0
System Center Configuration Manager:
Configuration Manager 2007 w/SP2 (x64 OS and SQL)
Configuration Manager 2012 w/SP1
Configuration ModeStand Alone Mode
SQL Server (x64):SQL 2008 R2 Standard edition or greater w/SP1
SQL 2012 Standard edition or greater RTM / SP1
Server OS (x64):
Windows Server 2008 SP2 Standard/Enterprise/Datacenter
Windows Server 2008 R2 SP1 Standard/Enterprise/Datacenter
Windows Server 2012 Standard/Enterprise/Datacenter
Client OS:
Windows 7 Ultimate, Enterprise w/SP1 (x86/x64 )
Windows 8 Enterprise (x86/x64 )
Windows 8 Windows to Go
• Encrypt volumes BEFORE a user receives the computer• Works with Windows 7/8 deployment tools (MDT/SCCM)• Client can:• Manage TPM reboot process• Be configured with TPM first and PIN later (e.g.: user provides PIN atfirst logon)
• Encrypt volumes AFTER a user receives a computer• Client is provides a Policy Driven Experience• Client will manage TPM reboot process• Standard or Admin users can encrypt• Only use when unencrypted machines appear on the network
MBAM Client
Prezentacja wybranych funkcji MBAM
Wybrane funkcje MBAM
MBAM Policy Settings
Enable Windows Standard Users
MBAM
To reset a TPM lockout
Recover a Drive in Recovery Mode
Enterprise Compliance Report
Computer Compliance Report
Hardware Audit Report
Recovery Key Access Audit Report
• Rekomendowane ustawienia dla BitLocker – Security ComplianceManager
• Security Compliance Manager (SCM)
• http://technet.microsoft.com/en-us/solutionaccelerators/cc835245
Rekomendowane ustawienia dla BitLocker – Security Compliance Manager
Security Compliance Manager (SCM) 3.0
• Security Compliance Manager (SCM) 3.0
• BitLocker rekomendowane ustawienia
Demo
DEMO
• PRZEWODNIK ZABEZPIECZEŃ SYSTEMU WINDOWS 8 DLA ADMINISTRATORÓW SIECI -Przewodnik Zabezpieczeń systemu Windows 8 zawiera instrukcje i rekomendacje, które pomogą wzmocnić poziom zabezpieczenia komputerów stacjonarnych i komputerów przenośnych pracujących pod kontrolą systemu Windows 8 w domenie Active Directory Domain Services (AD DS).
•
• http://www.cert.gov.pl/download/3/160/Przewodnik_zabezpieczen_systemu_Windows_8.pdf
Przewodnik zabezpieczeń Windows 8
• http://www.netcomputer.pl/szkolenia/szyfrowanie-i-ochrona-dyskow-z-zastosowaniem-funkcji-bitlocker-w-systemach-windows-7-windows-serwer-2008-r2.html
BitLocker Szkolenie - zaproszenie
http://netcomputer.pl
Dziękuję za uwagę