Cifrado de discos de equipos corporativos con Bitlocher

Configura, administra y gestiona:Bitlocker en tu Organización(MBAM) Fernando Guillot IT Pro Evangelist fernando.guillot@microsoft.com http://blogs.technet.com/b/guillot @fggimeno

Windows 7BitLocker™ & BitLocker To Go™ Resumen Volumen del SO Volumenes Fijos Discos y dispositivos externos Diseñada para El Sistema de archivos Similar a los discos utilizar Trusted debe estar formateado fijos Platform Module en exFAT, FAT16, FAT32 El disco tiene que (TPM) v1.2 o NTFS. tener al menos 64Mb o Almacenamiento de Se puede desbloquear de espacio libre. claves segura de forma automática Sólo lectura para o Integridad en el siempre que el S.O esté máquinas con arranque cifrado. Windows Vista y Protectores de Windows XP Claves o TPM o TPM+PIN o Data Recovery Agent (DRA) o Recovery Key

FEEDBACK RECIBIDO Existen muchas opciones en las políticas para configurar Bitlocker Necesitamos una forma sencilla de tomar las decisiones correctas Determinar si nuestras máquinas cumplen los requerimientos. Necesitamos una manera fácil de determinar si cumplimos los requisitos de la Cuando los usuarios pierden las organización claves de sus volumenes cifrados, su productividad se ve afectada. Necesitamos un proceso sencillo de recuperación de clavesSi un dispositivo se pierdedebemos tener una manerade chequear si el contenido El proceso de cifrado de losestabao no cifrado. recursos puede ser difícil.Una manera simple dechequearlo Necesitamos una forma más sencilla de que esto ocurra.

¿Qué es “Microsoft BitLocker Administrationand Monitoring (MBAM)?Es una solución que permite a profesionales de TI, desplegar,monitorizar y recuperar las claves de Bitlocker.Estará disponible en el tercer cuarto del 2011 cómo parte de MicrosoftDesktop Optimization Pack (MDOP) Objetivos son: Simplificar el Mejorar los reportes 1 despliegue y el 2 y la comprobación 3 Reducir gastos de aprovisionamiento de cumplimientos soporte de la organización

Simplificar el despliegue de Bitlocker Cifrar una máquina antes de que el usuario la reciba o Microsoft Deployment Toolkit (MDT) o System Center Configuration Manager Permite que los usuarios cifren sus máquinas al aplicarse la política o Simplificar la inicilización del TPM o Por políticas o Permitir excluir determinado HW Política Compatibilidad del HW

Cifrar antes de que el usuario reciba la máquina Funciona con las herramientas de despliegue de Windows 7 Flexibilidad en el proceso o Administrar cuando rebotamos el TPM o Reduce la complejidad: – Uso de TPM sólo en el proceso de staging – PIN obtenido en el primer contacto con el cliente o Se puede saltar la escritura de la clave de recuperación – Clave de recuperación se actualizará la primera vez que el usuario entre en la máquina

Cifrar DESPUÉS de que el usuario reciba la máquina Permite a los usuarios cifrar sus máquinas o Usuarios normales pueden cifrar la máquina o La gestión del TPM se simplifica y se integra en el proceso o Usuario puede posponer temporalmente el cifrado Experiencia basada en políticas

Configuración de politicas MBAM Políticas añadidas sobre las de Bitlocker Nuevas políticas o Policy para desbloqueo automático de FDV o Chequeo de Hardware antes del cifrado o Permitir al usuario que pida una prologa o Verificación automática de cumplimiento de las políticas (default = 90 min) Las Políticas: o Computer Configuration > Administrative Templates > Windows Components > BitLocker Management Solution

Administración de Capacidades HW Algunas máquinas antiguas puede que no soporten TPM Para asegurarnos de que esas máquinas no son cifradas necesitamos un procedimiento que nos separe las máquinas capaces de las que no los on Cómo habilitarlo: o Política de grupo que fuerza al cliente a chequear antes del cifrado o Desde la consola central podemos definir máquinas que cumplen los requisitos y las que no Cómo Funciona: 1 2 3 4 A medida que añadimos El sitio web permite a los Cuando esta Antes de empezar a cifrar nuevas máquinas a ITPROS mover máquinas característica está MBAM verifica que la nuestra organización, se de la lista de máquinas habilitada , sólo se cifra máquina es capaz añaden a la lista en los capaces a desconocidas las máquinas catalogadas (marca/modelo) servidores MBAM o no capaces cómo capaces

Las PolíticasDEMO Group Policy: AD, AGPM MBAM Client

Experiencia del Usuario

Reporting ¿Necesitas saber cuan Cuando y quien ha Necesitas saber el accedido a las clavesestado último de una de efectivos han sido tus despliegues? de recuperación. Y máquina? cuando se ha añadido O ¿si tu empresa cumple con la política? nuevo HW. El Agente MBAM collecciona y pasa todos estos datos al Reporting Server o Todos los clientes pasan esta información estén o no cifrados o IT puede clarificar PORQUÉ una máquina no cumple las políticas Se puede construir sobre SQL Server® Reporting Services (SSRS), nos da flexibilidad y podemos añadir nuestros propios reportes

Cumplimiento de las políticas EmpresarialesMuestra una foto Detalles Filtradode la organización Nombre de máquina Estado Número y porcentaje Dominio Típo de máquina de máquinas que Estado Última fecha de cumplen las políticas contacto Último contacto Número total de máquinas gestionadas

Reporting de máquinas Detalles Nombre de máquinaTe deja conocer si Politica OS/FDV/RDV una máquina Estado del Busqueda: cumple o no los cumplimiento Usuario o Máquina requisitos Último contacto Marca/modelo

Auditoría de HW Te muestra los Detalles: Usado cuando se cambios que se han Usuarioutiliza la política de realizado vía la gestión de Día / Fecha página de Tipo de Cambio compatibilidad de compatibilidad de HW Valor original y HW actual

Auditoría de acceso a claves de recuperación Details/Filters Quien tuvo acceso a la clave Quíen ha pedido información de Para quien lo recuperación pidio Exito/ Fallo Qué se pidio

Qué datos se guardan y Reportes personalizados Qué información guarda MBAM? o HW de máquinas (detalles del TPM, marca, modelo, model, tamaño del disco duro etc…) o Uso de la máquina (Quien la utilizó, el último contacto) o Información de Bitlocker (Nivel de cifrado, Política de volumenes, capacidad del hw) o Información de volumenes (Estado de Bitlocker, protectores, etc) Reportes están construidos sobre SSRS; IT puede construir reportings adicionales. o Exportar a csv, html, pdf

ReportingDEMO Group Policy: AD, AGPM Compliance Service Compliance Data HTTPS MBAM Client Central Administration Compliance Reports

Reducir costes de soporte Repositorio central de Claves de recuperación o Todas las claves de recuperación se guardan en una base de datos cifrada o Interfaz para helpdesk de claves de recuperación Interfaz gráfico simplificado para los usuarios al lanzar la política o Permite que usuarios estandard puedan cifrar o Esconde el panel de control de Bitlocker, para evitar que usuarios con derechos de administrador puedan descifrar las máquinas Clave de recuperación de un sólo uso

Repositorio central de Claves de recuperación Claves de recuperación o Volumen del S.O o Volumenes fijos de datos o Discos duros extraibles o Se guarda todo fuera del directorio activo Arquitectura de tres niveles o La base de datos está cifrada usando SQL Server’s Transparent Data Encryption o Se puede utilizar las API’s “Web Service” para construir servicios propios para nuestra organización o Todos los logs y autorización se realizan en la capa de web service para garantizar paridad con las appliaciones personalizadas

Interfaz de recuperación para el Helpdesk MBAM genera una página web con funcionalidad para el centro de soporte o Claves de recuperación para usuarios autorizados o Permitir paquetes de desbloqueo de las TPM’s para usuarios autorizados o Todas las peticiones son registradas: quien, cuando, y que volumen Autorización basado en roles para recuperar información o Tier 1: Helpdesk necesita conocer la persona e Identificador para poder recuperar la clave o Tier 2: Con el Identificador es suficiente

Clave de recuperación de un sólo uso Una vez que la clave de recuperación ha sido expuesta, el cliente creará una nueva o Cómo parte de la comunicación entre cliente y servidor, el cliente chequea si la clave ha sido expuesta o El cliente MBAM creará una nueva clave y la pasará al servidor o Transparente para el usuario Las claves de recuperación se crearán una vez el volumen ha sido desprotegido y se garantice que se puede guardar correctamente la nueva clave

Enable Windows Standard Users Standard users can: Hides BitLocker Control Encrypt computers Panel UI so admins have Change PIN or passwords via a more difficult time: MBAM Control Panel Decrypting computers Right-Click access to MBAM Suspending encryption Done through policy, so can be made visible if desired We cannot stop admins from doing this—they have Admin rights!

MBAM Helpdesk Tools DEMO Helpdesk Recovery Password Data Key Recovery UX for Key Service RecoveryGroup Policy: AD, AGPM Compliance Service Compliance Data HTTPS Client Central Administration Compliance Reports

Software and Hardware Requirements Requisitos del Servidor Administration Website & Web Services Hardware Requirements • Windows 2008 Server w/ SP2; Windows 2008 Server • Min requirements for Windows and SQL Server R2; (x64|x86) will be satisfactory for all components • Windows SKU’s: Standard, Enterprise, Data Center, or • Disk Foot Print: < 10MB on Server and Client Web Server Roles • Web Server Role (Internet Information Services • Performance: Minimal over time on Server and (IIS)) Client Roles; + BitLocker • Application Server Role (ASP.NET, etc.) • Final hardware requirements to be determined • Microsoft .NET Framework version 3.5 SP1 Database Server • SQL Server 2008; SQL Server 2008 R2 (Standard, Enterprise, Datacenter) • Encrypted Database (TDE) requires Enterprise or Datacenter Requisitos del Cliente • Windows 7 Enterprise or Ultimate Hardware Requirements • TPM v1.2 for O/S encryption

¿Lo puedo probar? Descarga la beta aquí Para poder dar feedback, aquí

Enlaces Webcast sobre Bitlocker: o https://msevents.microsoft.com/CUI/EventDetail.aspx?cultu re=es-ES&EventID=1032466928&CountryCode=ES Cómo usar Bitlocker en máquinas que no tienen TPM o http://blogs.technet.com/b/guillot/archive/2011/01/10/c- 243-mo-usar-bitlocker-en-m-225-quinas-que-no-tienen- tpm.aspx Cómo recuperar las claves de Bitlocker desde el Directorio Activo o http://blogs.technet.com/b/guillot/archive/2010/11/17/c- 243-mo-recuperar-las-claves-de-bitlocker-desde-el- directorio-activo.aspx

Sigue a TechNet España http://www.facebook.com/TechNet.Spain http://www.twitter.com/TechNet_es http://technet.microsoft.com/es-es/edge Fernando Guillot IT Pro Evangelist Microsoft fernando.guillot@microsoft.com http://blogs.technet.com/b/guillot @fggimeno

Cifrado de discos de equipos corporativos con Bitlocher

by Eventos Creativos on Jul 14, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

Statistics

Cifrado de discos de equipos corporativos con Bitlocher — Presentation Transcript