Configura, administra y gestiona:Bitlocker en tu Organización(MBAM)                           Fernando Guillot            ...
Windows 7BitLocker™ & BitLocker To Go™ Resumen Volumen del SO            Volumenes Fijos               Discos y           ...
FEEDBACK RECIBIDO                                    Existen muchas opciones en las                                    pol...
¿Qué es “Microsoft BitLocker Administrationand Monitoring (MBAM)?Es una solución que permite a profesionales de TI, desple...
Simplificar el despliegue de Bitlocker  Cifrar una máquina antes de que el usuario la reciba  o Microsoft Deployment Toolk...
Cifrar antes de que el usuario reciba la máquina  Funciona con las herramientas de despliegue de  Windows 7  Flexibilidad ...
Cifrar DESPUÉS de que el usuario reciba la máquina  Permite a los usuarios cifrar sus máquinas   o Usuarios normales puede...
Configuración de politicas MBAM Políticas añadidas sobre las de Bitlocker Nuevas políticas  o   Policy para desbloqueo aut...
Administración de Capacidades HW   Algunas máquinas antiguas puede que no soporten TPM   Para asegurarnos de que esas máqu...
Las PolíticasDEMO     Group     Policy: AD, AGPM          MBAM          Client
Experiencia del Usuario
Reporting                         ¿Necesitas saber cuan         Cuando y quien ha  Necesitas saber el                     ...
Cumplimiento de las políticas EmpresarialesMuestra una foto             Detalles             Filtradode la organización   ...
Reporting de máquinas                          Detalles                     Nombre de máquinaTe deja conocer si   Politica...
Auditoría de HW                            Te muestra los        Detalles:  Usado cuando se        cambios que se han   Us...
Auditoría de acceso a claves de recuperación                             Details/Filters                               Qui...
Qué datos se guardan y Reportes personalizados  Qué información guarda MBAM?  o HW de máquinas (detalles del TPM, marca, m...
ReportingDEMO     Group     Policy: AD, AGPM                                                                       Complia...
Reducir costes de soporte  Repositorio central de Claves de recuperación  o Todas las claves de recuperación se guardan en...
Repositorio central de Claves de recuperación  Claves de recuperación  o   Volumen del S.O  o   Volumenes fijos de datos  ...
Interfaz de recuperación para el Helpdesk  MBAM genera una página web con funcionalidad para el  centro de soporte  o Clav...
Clave de recuperación de un sólo uso Una vez que la clave de recuperación ha sido expuesta, el cliente creará una nueva o ...
Enable Windows Standard Users     Standard users can:        Hides BitLocker Control  Encrypt computers             Panel ...
MBAM Helpdesk Tools     DEMO                                                                                        Helpde...
Software and Hardware Requirements Requisitos del Servidor Administration Website & Web Services                    Hardwa...
¿Lo puedo probar? Descarga la beta aquí Para poder dar feedback, aquí
Enlaces Webcast sobre Bitlocker:  o https://msevents.microsoft.com/CUI/EventDetail.aspx?cultu    re=es-ES&EventID=10324669...
Sigue a TechNet España       http://www.facebook.com/TechNet.Spain        http://www.twitter.com/TechNet_es         http:/...
Cifrado de discos de equipos corporativos con Bitlocher
Cifrado de discos de equipos corporativos con Bitlocher
Upcoming SlideShare
Loading in...5
×

Cifrado de discos de equipos corporativos con Bitlocher

1,062
-1

Published on

Charla impartida por Fernando Guillot en el IV Curso de Verano de Seguridad Informática de la Universidad Europea de Madrid.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,062
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
70
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Cifrado de discos de equipos corporativos con Bitlocher

  1. 1. Configura, administra y gestiona:Bitlocker en tu Organización(MBAM) Fernando Guillot IT Pro Evangelist fernando.guillot@microsoft.com http://blogs.technet.com/b/guillot @fggimeno
  2. 2. Windows 7BitLocker™ & BitLocker To Go™ Resumen Volumen del SO Volumenes Fijos Discos y dispositivos externos Diseñada para El Sistema de archivos Similar a los discos utilizar Trusted debe estar formateado fijos Platform Module en exFAT, FAT16, FAT32 El disco tiene que (TPM) v1.2 o NTFS. tener al menos 64Mb o Almacenamiento de Se puede desbloquear de espacio libre. claves segura de forma automática Sólo lectura para o Integridad en el siempre que el S.O esté máquinas con arranque cifrado. Windows Vista y Protectores de Windows XP Claves o TPM o TPM+PIN o Data Recovery Agent (DRA) o Recovery Key
  3. 3. FEEDBACK RECIBIDO Existen muchas opciones en las políticas para configurar Bitlocker Necesitamos una forma sencilla de tomar las decisiones correctas Determinar si nuestras máquinas cumplen los requerimientos. Necesitamos una manera fácil de determinar si cumplimos los requisitos de la Cuando los usuarios pierden las organización claves de sus volumenes cifrados, su productividad se ve afectada. Necesitamos un proceso sencillo de recuperación de clavesSi un dispositivo se pierdedebemos tener una manerade chequear si el contenido El proceso de cifrado de losestabao no cifrado. recursos puede ser difícil.Una manera simple dechequearlo Necesitamos una forma más sencilla de que esto ocurra.
  4. 4. ¿Qué es “Microsoft BitLocker Administrationand Monitoring (MBAM)?Es una solución que permite a profesionales de TI, desplegar,monitorizar y recuperar las claves de Bitlocker.Estará disponible en el tercer cuarto del 2011 cómo parte de MicrosoftDesktop Optimization Pack (MDOP) Objetivos son: Simplificar el Mejorar los reportes 1 despliegue y el 2 y la comprobación 3 Reducir gastos de aprovisionamiento de cumplimientos soporte de la organización
  5. 5. Simplificar el despliegue de Bitlocker Cifrar una máquina antes de que el usuario la reciba o Microsoft Deployment Toolkit (MDT) o System Center Configuration Manager Permite que los usuarios cifren sus máquinas al aplicarse la política o Simplificar la inicilización del TPM o Por políticas o Permitir excluir determinado HW Política Compatibilidad del HW
  6. 6. Cifrar antes de que el usuario reciba la máquina Funciona con las herramientas de despliegue de Windows 7 Flexibilidad en el proceso o Administrar cuando rebotamos el TPM o Reduce la complejidad: – Uso de TPM sólo en el proceso de staging – PIN obtenido en el primer contacto con el cliente o Se puede saltar la escritura de la clave de recuperación – Clave de recuperación se actualizará la primera vez que el usuario entre en la máquina
  7. 7. Cifrar DESPUÉS de que el usuario reciba la máquina Permite a los usuarios cifrar sus máquinas o Usuarios normales pueden cifrar la máquina o La gestión del TPM se simplifica y se integra en el proceso o Usuario puede posponer temporalmente el cifrado Experiencia basada en políticas
  8. 8. Configuración de politicas MBAM Políticas añadidas sobre las de Bitlocker Nuevas políticas o Policy para desbloqueo automático de FDV o Chequeo de Hardware antes del cifrado o Permitir al usuario que pida una prologa o Verificación automática de cumplimiento de las políticas (default = 90 min) Las Políticas: o Computer Configuration > Administrative Templates > Windows Components > BitLocker Management Solution
  9. 9. Administración de Capacidades HW Algunas máquinas antiguas puede que no soporten TPM Para asegurarnos de que esas máquinas no son cifradas necesitamos un procedimiento que nos separe las máquinas capaces de las que no los on Cómo habilitarlo: o Política de grupo que fuerza al cliente a chequear antes del cifrado o Desde la consola central podemos definir máquinas que cumplen los requisitos y las que no Cómo Funciona: 1 2 3 4 A medida que añadimos El sitio web permite a los Cuando esta Antes de empezar a cifrar nuevas máquinas a ITPROS mover máquinas característica está MBAM verifica que la nuestra organización, se de la lista de máquinas habilitada , sólo se cifra máquina es capaz añaden a la lista en los capaces a desconocidas las máquinas catalogadas (marca/modelo) servidores MBAM o no capaces cómo capaces
  10. 10. Las PolíticasDEMO Group Policy: AD, AGPM MBAM Client
  11. 11. Experiencia del Usuario
  12. 12. Reporting ¿Necesitas saber cuan Cuando y quien ha Necesitas saber el accedido a las clavesestado último de una de efectivos han sido tus despliegues? de recuperación. Y máquina? cuando se ha añadido O ¿si tu empresa cumple con la política? nuevo HW. El Agente MBAM collecciona y pasa todos estos datos al Reporting Server o Todos los clientes pasan esta información estén o no cifrados o IT puede clarificar PORQUÉ una máquina no cumple las políticas Se puede construir sobre SQL Server® Reporting Services (SSRS), nos da flexibilidad y podemos añadir nuestros propios reportes
  13. 13. Cumplimiento de las políticas EmpresarialesMuestra una foto Detalles Filtradode la organización Nombre de máquina Estado Número y porcentaje Dominio Típo de máquina de máquinas que Estado Última fecha de cumplen las políticas contacto Último contacto Número total de máquinas gestionadas
  14. 14. Reporting de máquinas Detalles Nombre de máquinaTe deja conocer si Politica OS/FDV/RDV una máquina Estado del Busqueda: cumple o no los cumplimiento Usuario o Máquina requisitos Último contacto Marca/modelo
  15. 15. Auditoría de HW Te muestra los Detalles: Usado cuando se cambios que se han Usuarioutiliza la política de realizado vía la gestión de Día / Fecha página de Tipo de Cambio compatibilidad de compatibilidad de HW Valor original y HW actual
  16. 16. Auditoría de acceso a claves de recuperación Details/Filters Quien tuvo acceso a la clave Quíen ha pedido información de Para quien lo recuperación pidio Exito/ Fallo Qué se pidio
  17. 17. Qué datos se guardan y Reportes personalizados Qué información guarda MBAM? o HW de máquinas (detalles del TPM, marca, modelo, model, tamaño del disco duro etc…) o Uso de la máquina (Quien la utilizó, el último contacto) o Información de Bitlocker (Nivel de cifrado, Política de volumenes, capacidad del hw) o Información de volumenes (Estado de Bitlocker, protectores, etc) Reportes están construidos sobre SSRS; IT puede construir reportings adicionales. o Exportar a csv, html, pdf
  18. 18. ReportingDEMO Group Policy: AD, AGPM Compliance Service Compliance Data HTTPS MBAM Client Central Administration Compliance Reports
  19. 19. Reducir costes de soporte Repositorio central de Claves de recuperación o Todas las claves de recuperación se guardan en una base de datos cifrada o Interfaz para helpdesk de claves de recuperación Interfaz gráfico simplificado para los usuarios al lanzar la política o Permite que usuarios estandard puedan cifrar o Esconde el panel de control de Bitlocker, para evitar que usuarios con derechos de administrador puedan descifrar las máquinas Clave de recuperación de un sólo uso
  20. 20. Repositorio central de Claves de recuperación Claves de recuperación o Volumen del S.O o Volumenes fijos de datos o Discos duros extraibles o Se guarda todo fuera del directorio activo Arquitectura de tres niveles o La base de datos está cifrada usando SQL Server’s Transparent Data Encryption o Se puede utilizar las API’s “Web Service” para construir servicios propios para nuestra organización o Todos los logs y autorización se realizan en la capa de web service para garantizar paridad con las appliaciones personalizadas
  21. 21. Interfaz de recuperación para el Helpdesk MBAM genera una página web con funcionalidad para el centro de soporte o Claves de recuperación para usuarios autorizados o Permitir paquetes de desbloqueo de las TPM’s para usuarios autorizados o Todas las peticiones son registradas: quien, cuando, y que volumen Autorización basado en roles para recuperar información o Tier 1: Helpdesk necesita conocer la persona e Identificador para poder recuperar la clave o Tier 2: Con el Identificador es suficiente
  22. 22. Clave de recuperación de un sólo uso Una vez que la clave de recuperación ha sido expuesta, el cliente creará una nueva o Cómo parte de la comunicación entre cliente y servidor, el cliente chequea si la clave ha sido expuesta o El cliente MBAM creará una nueva clave y la pasará al servidor o Transparente para el usuario Las claves de recuperación se crearán una vez el volumen ha sido desprotegido y se garantice que se puede guardar correctamente la nueva clave
  23. 23. Enable Windows Standard Users Standard users can: Hides BitLocker Control Encrypt computers Panel UI so admins have Change PIN or passwords via a more difficult time: MBAM Control Panel Decrypting computers Right-Click access to MBAM Suspending encryption Done through policy, so can be made visible if desired We cannot stop admins from doing this—they have Admin rights!
  24. 24. MBAM Helpdesk Tools DEMO Helpdesk Recovery Password Data Key Recovery UX for Key Service RecoveryGroup Policy: AD, AGPM Compliance Service Compliance Data HTTPS Client Central Administration Compliance Reports
  25. 25. Software and Hardware Requirements Requisitos del Servidor Administration Website & Web Services Hardware Requirements • Windows 2008 Server w/ SP2; Windows 2008 Server • Min requirements for Windows and SQL Server R2; (x64|x86) will be satisfactory for all components • Windows SKU’s: Standard, Enterprise, Data Center, or • Disk Foot Print: < 10MB on Server and Client Web Server Roles • Web Server Role (Internet Information Services • Performance: Minimal over time on Server and (IIS)) Client Roles; + BitLocker • Application Server Role (ASP.NET, etc.) • Final hardware requirements to be determined • Microsoft .NET Framework version 3.5 SP1 Database Server • SQL Server 2008; SQL Server 2008 R2 (Standard, Enterprise, Datacenter) • Encrypted Database (TDE) requires Enterprise or Datacenter Requisitos del Cliente • Windows 7 Enterprise or Ultimate Hardware Requirements • TPM v1.2 for O/S encryption
  26. 26. ¿Lo puedo probar? Descarga la beta aquí Para poder dar feedback, aquí
  27. 27. Enlaces Webcast sobre Bitlocker: o https://msevents.microsoft.com/CUI/EventDetail.aspx?cultu re=es-ES&EventID=1032466928&CountryCode=ES Cómo usar Bitlocker en máquinas que no tienen TPM o http://blogs.technet.com/b/guillot/archive/2011/01/10/c- 243-mo-usar-bitlocker-en-m-225-quinas-que-no-tienen- tpm.aspx Cómo recuperar las claves de Bitlocker desde el Directorio Activo o http://blogs.technet.com/b/guillot/archive/2010/11/17/c- 243-mo-recuperar-las-claves-de-bitlocker-desde-el- directorio-activo.aspx
  28. 28. Sigue a TechNet España http://www.facebook.com/TechNet.Spain http://www.twitter.com/TechNet_es http://technet.microsoft.com/es-es/edge Fernando Guillot IT Pro Evangelist Microsoft fernando.guillot@microsoft.com http://blogs.technet.com/b/guillot @fggimeno
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×