Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
BitLocker w Twoim Windows 8
i w Twoim przedsiębiorstwie w oparciu
o Server Windows 2012
Krzysztof Bińkowski
Security/Foren...
• Co to jest Bitlocker i dlaczego warto stosować BitLocker?
• Co nowego w funkcjonalności BitLocker w Windows 8
• BitLocke...
Dlaczego warto stosować funkcję BitLocker ?
Głównym zagrożeniem bezpieczeństwa jest utrata danych z komputerów przenośnych...
Szyfrowanie BitLocker – dla przypomnienia
Szyfrowanie dysków funkcją BitLocker jest mechanizmem szyfrowania
całych wolumin...
Funkcjonalność BitLocker
BitLocker zapewnia :
 Szyfrowanie
 Dysków z systemem operacyjnym
 Stałych dysków danych
 Wymi...
Trusted Platform Module
Volume Blob of Target OS
unlocked
All Boot Blobs
unlocked
Static OS
BootSector
BootManager
Start
O...
• Tylko moduł TPM. Używanie weryfikacji Tylko moduł TPM nie wymaga żadnej interakcji z
użytkownikiem w celu odszyfrowania ...
BitLocker Keys
SRK (Storage Root Key) contained in TPM. SRK encrypts the VMK (Volume Master Key).
Volume Master Key (VMK)
...
• BitLocker do celów testowych można uruchomić w wirtualnej maszynie Hyper-V, Vmware, VirtualBox
• Korzystamy z trybu Tryb...
• Szyfrowanie tylko zajętego miejsce na dysku
• Obsługa BitLocker - (ang. BitLocker provisioning)
• Odblokowywanie funkcją...
• w systemie Windows 8, użytkownik może dokonać
wyboru czy szyfrować tylko zajęte miejsce na dysku
czy cały wolumin.
• Szy...
• włączenie usługi BitLocker przed instalacją systemu. Wymaga włączenia manage-bde –on
<drive letter>:
• W przypadku wykor...
Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock)
• włączona funkcja BitLocker w systemie Windows 8 wykorz...
How network unlock works
• The client computer's boot manager detects the network unlock key protector.
Key protectors are...
• w systemie Windows 8, Bitlocker dostarcza wsparcia dla mechanizmu Full Disk Encryption (FDE)
wykorzystującego specjalne ...
• w systemie Windows 8 użytkownik
nieposiadający uprawnień
administracyjnych nie może wykonywać
konfiguracji funkcji BitLo...
• Wdrożenie BitLocker na stacjach klienckich
• Centralne zarządzanie kluczami BitLocker (Recovery keys) -
przygotowanie do...
Wdrożenie BitLocker na stacjach klienckich:
• Podczas wdrożenia Windows 8 (deployment) kilka scenariuszy
• Po wdrożeniu
R...
Centralne zarządzanie kluczami BitLocker - przygotowanie domeny:
• DC oparty - Windows Server 2012 - gotowy 
• Windows Se...
BitLocker Recovery Keys in AD - BitLocker Recovery Password Viewer
The following recovery data will be saved for each comp...
Zarządzanie:
• Za pomocą skryptów
• Active Directory User And Computer
• ADSI Edit
• Brak informacji zwrotnych na temat wł...
• Bitlocker w VM
• Szyfrowanie tylko zajętego miejsca
• BitLocker Recovery Password Viewer - ADUC
Demo
DEMO
Microsoft BitLocker Administration and Monitoring (MBAM)
• provides an administrative interface to manage BitLocker drive ...
• BitLocker z MBAM 1.0 i 2.0
BitLocker z MBAM
1
Simplify provisioning
and deployment 2
Improve compliance and
reporting 3 ...
MBAM jest elementem MDOP 2012/2013
MBAM
Recovery Password Data
Compliance Data
HTTPS
MBAM Client
Group Policy:
AD, AGPM
Key Recovery
Service
Helpdesk UX
for ...
Architektura MBAM 2.0
System Center Configuration Manager:
Configuration Manager 2007 w/SP2 (x64 OS and SQL)
Configuration Manager 2012 w/SP1
Co...
• Encrypt volumes BEFORE a user receives the computer
• Works with Windows 7/8 deployment tools (MDT/SCCM)
• Client can:
•...
Prezentacja wybranych funkcji MBAM
Wybrane funkcje MBAM
MBAM Policy Settings
Enable Windows Standard Users
MBAM
To reset a TPM lockout
Recover a Drive in Recovery Mode
Enterprise Compliance Report
Computer Compliance Report
Hardware Audit Report
Recovery Key Access Audit Report
• Rekomendowane ustawienia dla BitLocker – Security Compliance
Manager
• Security Compliance Manager (SCM)
• http://techne...
Security Compliance Manager (SCM) 3.0
• Security Compliance Manager (SCM) 3.0
• BitLocker rekomendowane ustawienia
Demo
DEMO
• PRZEWODNIK ZABEZPIECZEŃ SYSTEMU WINDOWS 8 DLA ADMINISTRATORÓW SIECI -
Przewodnik Zabezpieczeń systemu Windows 8 zawiera ...
• http://www.netcomputer.pl/szkolenia/szyfrowanie-i-ochrona-dyskow-z-zastosowaniem-
funkcji-bitlocker-w-systemach-windows-...
Dziękuję za uwagę
Krzysztof.Binkowski@netcomputer.pl
Upcoming SlideShare
Loading in …5
×

WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o Server Windows 2012

2,005 views

Published on

Published in: Technology
  • Be the first to comment

WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o Server Windows 2012

  1. 1. BitLocker w Twoim Windows 8 i w Twoim przedsiębiorstwie w oparciu o Server Windows 2012 Krzysztof Bińkowski Security/Forensics Trainer and Consultant kb@netcomputer.pl MCT, CEH, MCSA, MCITP EA, MCSE Security, ACE
  2. 2. • Co to jest Bitlocker i dlaczego warto stosować BitLocker? • Co nowego w funkcjonalności BitLocker w Windows 8 • BitLocker bez MBAM • BitLocker z MBAM • Rekomendowane ustawienia dla BitLocker – Security Compliance Manager Agenda
  3. 3. Dlaczego warto stosować funkcję BitLocker ? Głównym zagrożeniem bezpieczeństwa jest utrata danych z komputerów przenośnych, które zostały utracone lub skradzione. Sytuacja ta ma miejsce wtedy, kiedy atakujący uzyska fizyczny dostęp do niezabezpieczonego komputera, potencjalne konsekwencje takiego czynu obejmują następujące działania: • Atakujący może się zalogować do komputera z systemem Windows 8 i skopiować dane • Atakujący może uruchomić komputer z alternatywnego systemu operacyjnego w celu:  Przejrzenia listy plików  Skopiowania plików  Odczytu danych z plików hibernacji lub pliku stronicowania w celu odczytu informacji przechowywanych jawnym tekstem lub dokumentów związanych z uruchomionym procesem.  Odczytu danych z pliku hibernacji w celu ujawnienia i pozyskania kopii kluczy prywatnych przechowywanych w postaci tekstowej.
  4. 4. Szyfrowanie BitLocker – dla przypomnienia Szyfrowanie dysków funkcją BitLocker jest mechanizmem szyfrowania całych woluminów, a nie tylko poszczególnych plików, zapewniając ochronę danych przechowywanych na dyskach pracujących pod kontrolą systemu Windows 8. Mechanizm ten zapewnia bezpieczeństwo danych również w przypadku, kiedy dysk zostanie wymontowany i zainstalowany w innym komputerze. Technologia BitLocker w systemie Windows 8 zapewnia ochronę danych znajdujących się na dyskach twardych komputerów użytkowników, włączając w to ochronę dysków wymiennych, pamięci przenośnych USB oraz dysków podłączonych poprzez interfejs IEEE 1394.
  5. 5. Funkcjonalność BitLocker BitLocker zapewnia :  Szyfrowanie  Dysków z systemem operacyjnym  Stałych dysków danych  Wymiennych dysków danych (BitLocker To Go )  Sprawdza zmiany wprowadzone w :  BIOS’ie  Plikach startowych/systemowych systemu Windows
  6. 6. Trusted Platform Module Volume Blob of Target OS unlocked All Boot Blobs unlocked Static OS BootSector BootManager Start OSOS Loader BootBlock PreOS BIOS MBR TPM Init • Protects secrets • Performs cryptographic functions – RSA, SHA-1, RNG – Meets encryption export requirements • Can create, store and manage keys – Provides a unique Endorsement Key (EK) – Provides a unique Storage Root Key (SRK) • Performs digital signature operations • Holds Platform Measurements (hashes) • Anchors chain of trust for keys and credentials • Protects itself against attacks It’s a Smartcard-like module on the motherboard
  7. 7. • Tylko moduł TPM. Używanie weryfikacji Tylko moduł TPM nie wymaga żadnej interakcji z użytkownikiem w celu odszyfrowania i udostępnienia dysku, do startu systemu nie jest potrzebne hasło, numer PIN lub klucz uruchomienia • Moduł TPM z kluczem uruchomienia (USB). Oprócz ochrony zapewnianej przez moduł TPM część klucza szyfrowania jest przechowywana na dysku flash USB. Dostępu do danych na zaszyfrowanym woluminie nie można uzyskać bez klucza uruchomienia • Moduł TPM z kodem PIN. Oprócz ochrony zapewnianej przez moduł TPM funkcja BitLocker wymaga od użytkownika wprowadzenia osobistego numeru identyfikacyjnego (PIN). Dostępu do danych na zaszyfrowanym woluminie nie można uzyskać bez podania kodu PIN. • Moduł TPM z kluczem uruchomienia i kodem PIN. Opcję tę można skonfigurować wyłącznie przy użyciu narzędzia wiersza polecenia Manage-bde.exe oraz zasad grupowych. Oprócz ochrony podstawowych składników, którą zapewnia sprzętowy moduł TPM, część klucza szyfrowania jest przechowywana na dysku flash USB, a w celu uwierzytelnienia użytkownika w module TPM jest wymagane podanie kodu PIN • Tryb pracy funkcji BitLocker bez modułu TPM (USB,FDD). Tryb ten zapewnia pełne szyfrowanie całego dysku, ale nie zapewnia ochrony środowiska rozruchowego dla systemu Windows 8. To ustawienie zalecane jest dla komputerów nieposiadających sprzętowego modułu TPM Tryby pracy BitLocker
  8. 8. BitLocker Keys SRK (Storage Root Key) contained in TPM. SRK encrypts the VMK (Volume Master Key). Volume Master Key (VMK) The Volume Master Key (VMK) is 256-bit of size and is stored in multiple FVE Volume Master Key (VMK) structures. The VMK is stored encrypted with either the recovery key, external key, or the TPM. Full Volume Encryption Key (FVEK) The Full Volume Encryption Key (FVEK) is stored encrypted with the Volume Master Key (VMK). Recovery key BitLocker provides for a recovery (or numerical) password to unlock the encrypted data. The recovery password is used to determine a recovery key. Clear key The clear key is an unprotected 256-bit key stored on the volume to decrypt the VMK. It is used when the encrypted volume is being decrypted. Startup key The startup key (or external key) is stored in a file named {%GUID%}.BEK. The GUID in the filename equals the key identifier in the BitLocker metadata. User key BitLocker To Go provides for a user password (or passphrase) to unlock the encrypted data. The user password is used to determine a user key. Network unlock key protector - new type of key protector allows for a special network key to be used to unlock and skip the PIN entry prompt in situations where computers are rebooted on trusted wired networks
  9. 9. • BitLocker do celów testowych można uruchomić w wirtualnej maszynie Hyper-V, Vmware, VirtualBox • Korzystamy z trybu Tryb pracy funkcji BitLocker bez modułu TPM oraz dyskietki 1.44 1. Ustawiamy GPO „Allow Bitlocker without compatible TPM” 2. Tworzymy obraz wirtualnej dyskietki (floppy disk) 3. manage-bde -on C: -RecoveryPassword -StartupKey A: (manage-bde -on C: -rp -sk A: ) 4. Restartujemy system i szyfrujemy Jak uruchomić BitLocker w wirtualnej maszynie? DEMO
  10. 10. • Szyfrowanie tylko zajętego miejsce na dysku • Obsługa BitLocker - (ang. BitLocker provisioning) • Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock) • Wsparcie dla systemu Windows dysków sprzętowo szyfrowanych • Zmiana kodu PIN lub hasła przez standardowego użytkownika (ang. - Standard user PIN and password change) Co nowego w funkcjonalności BitLocker w Windows 8
  11. 11. • w systemie Windows 8, użytkownik może dokonać wyboru czy szyfrować tylko zajęte miejsce na dysku czy cały wolumin. • Szyfrowanie tylko zajętego miejsca na dysku znacznie przyśpiesza proces szyfrowania. Szyfrowanie tylko zajętego miejsce na dysku Wymuszanie typu szyfrowanie przez Group Policy: (Computer Configuration | Administrative Templates | Windows Components | BitLocker Drive EncryptionEnforce drive encryption type on <type of drive> ) •Allow the user to choose (which is default if the policy is not configured) •Full encryption •Used disk space only
  12. 12. • włączenie usługi BitLocker przed instalacją systemu. Wymaga włączenia manage-bde –on <drive letter>: • W przypadku wykorzystania opcji szyfrowania tylko zajętego miejsca na dysku, obsługa BitLocker staje się szybsza i stanowi nieprzerywany proces instalacji nowych komputerów. • Uwaga WinPE nie zawiera narzędzia Manage-bde (Building a Windows PE Image with Optional Components. - http://technet.microsoft.com/en-us/library/hh824926.aspx) • Należy pamiętać, że po zakończeniu procesu instalacji nowego systemu bezpieczny klucz zostanie dodany do chronionego wolumenu. Clear key protector zostanie losowo wygenerowany i zastosowany do szyfrowania wolumenu. Należy wybrać odpowiedni tryb pracy BitLocker np. TPM+PIN w zależności od typu szyfrowanego dysku po wdrożeniu systemu. Obsługa BitLocker - (ang. BitLocker provisioning)
  13. 13. Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock) • włączona funkcja BitLocker w systemie Windows 8 wykorzystująca ochronę poprzez stosowanie modułu TPM+PIN, może uruchomić system w zaufanej sieci komputerowej bez wymagania wprowadzenie kodu PIN przez użytkownika. • Funkcja odblokowywanie funkcją BitLocker przez sieć pozwala administratorom na uruchomienie zaszyfrowanego systemu i chronionego za pomocą modułu TPM+PIN w celu wykonania nienadzorowanego procesu aktualizacji lub zadań konserwacji. • Funkcja ta wymaga, aby sprzęt kliencki zawierał sterownik Dynamic Host Configuration Protocol (DHCP) zaimplementowany w oprogramowaniu UEFI (Unified Extensible Firmware Interface). Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock)
  14. 14. How network unlock works • The client computer's boot manager detects the network unlock key protector. Key protectors are the means by which BitLocker keys are protected, such as a password or PIN, a key file, a smart card, certificate, etc. • When the client detects this protector, it uses DHCP (hence the requirement for a DHCP drive in UEFI) to get an IPv4 IP address. Then it sends out a DHCP request with the encrypted network key and session key. • The server has to have a 2048 bit RSA key pair and the clients need to have the public key. The certificate is deployed through the Group Policy Editor on the domain controller. The WDS server decrypts the request with the RSA private key. Then it sends the network key back, encrypted with the session key (also using DHCP). Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock)
  15. 15. • w systemie Windows 8, Bitlocker dostarcza wsparcia dla mechanizmu Full Disk Encryption (FDE) wykorzystującego specjalne dyski zapewniające sprzętowe szyfrowanie dysków (Encrypted Hard Drive). Szyfrowane dyski sprzętowo mogą być wykorzystane do przeprowadzenia szyfrowania na poziomie bloków dysków. • Operacje szyfrowania i deszyfrowania są przeprowadzane przez kontroler dysków, zmniejszając w ten sposób obciążenie procesora komputera. • Self-encrypting drives: SED • eDrive (Embedded MultiMediaCard, solid-state drive, hard disk drive) Wsparcie dla systemu Windows 8 dysków sprzętowo szyfrowanych
  16. 16. • w systemie Windows 8 użytkownik nieposiadający uprawnień administracyjnych nie może wykonywać konfiguracji funkcji BitLocker. • wprowadzona możliwość zmiany kodu PIN lub hasła dla wolumenów zawierających system operacyjny lub dysków stałych. Funkcja ta włącza możliwość standardowym użytkownikom wyboru własnego kodu PIN lub hasła w celu łatwiejszego zapamiętania. Zmiana kodu PIN lub hasła przez standardowego użytkownika (ang. - Standard user PIN and password change)
  17. 17. • Wdrożenie BitLocker na stacjach klienckich • Centralne zarządzanie kluczami BitLocker (Recovery keys) - przygotowanie domeny • Zarządzanie BitLocker BitLocker bez MBAM
  18. 18. Wdrożenie BitLocker na stacjach klienckich: • Podczas wdrożenia Windows 8 (deployment) kilka scenariuszy • Po wdrożeniu Ręcznie Za pomocą skryptów (manage-BDE, PowerShell) BitLocker dostępny jest w edycjach: Windows 8 PRO/ENTERPRISE BitLocker bez MBAM
  19. 19. Centralne zarządzanie kluczami BitLocker - przygotowanie domeny: • DC oparty - Windows Server 2012 - gotowy  • Windows Server 2003/2008 – wymaga dodania 2 rozszerzeń schemy:  TpmSchemaExtension.ldf  TpmSchemaExtensionACLChanges.ldf • Automatycznie zapisywanie kopii zapasowej (Recovery key) kluczy BitLocker w AD w obu przypadkach należy włączyć odpowiednie GPO BitLocker bez MBAM BitLocker Group Policy setting Configuration BitLocker Drive Encryption: Turn on BitLocker backup to Active Directory Domain Services Require BitLocker backup to AD DS (Passwords and key packages) Trusted Platform Module Services: Turn on TPM backup to Active Directory Domain Services Require TPM backup to AD DS
  20. 20. BitLocker Recovery Keys in AD - BitLocker Recovery Password Viewer The following recovery data will be saved for each computer object: •Recovery password •Key package data (REPAIR-BDE) export required scripts •TPM owner authorization password hash BitLocker bez MBAM
  21. 21. Zarządzanie: • Za pomocą skryptów • Active Directory User And Computer • ADSI Edit • Brak informacji zwrotnych na temat włączenia funkcji BitLocker • Brak raportowania o działających systemach z funkcją BitLocker BitLocker bez MBAM
  22. 22. • Bitlocker w VM • Szyfrowanie tylko zajętego miejsca • BitLocker Recovery Password Viewer - ADUC Demo DEMO
  23. 23. Microsoft BitLocker Administration and Monitoring (MBAM) • provides an administrative interface to manage BitLocker drive encryption. • MBAM allows you to select BitLocker encryption policy options appropriate to your enterprise • monitor client compliance with those policies • report on the encryption status of the enterprise as well as individual computers • recover lost encryption keys BitLocker z MBAM 1.0 i 2.0
  24. 24. • BitLocker z MBAM 1.0 i 2.0 BitLocker z MBAM 1 Simplify provisioning and deployment 2 Improve compliance and reporting 3 Reduce support costs
  25. 25. MBAM jest elementem MDOP 2012/2013
  26. 26. MBAM Recovery Password Data Compliance Data HTTPS MBAM Client Group Policy: AD, AGPM Key Recovery Service Helpdesk UX for Key Recovery Compliance ReportsCentral Administration Compliance Service
  27. 27. Architektura MBAM 2.0
  28. 28. System Center Configuration Manager: Configuration Manager 2007 w/SP2 (x64 OS and SQL) Configuration Manager 2012 w/SP1 Configuration ModeStand Alone Mode SQL Server (x64): SQL 2008 R2 Standard edition or greater w/SP1 SQL 2012 Standard edition or greater RTM / SP1 Server OS (x64): Windows Server 2008 SP2 Standard/Enterprise/Datacenter Windows Server 2008 R2 SP1 Standard/Enterprise/Datacenter Windows Server 2012 Standard/Enterprise/Datacenter Client OS: Windows 7 Ultimate, Enterprise w/SP1 (x86/x64 ) Windows 8 Enterprise (x86/x64 ) Windows 8 Windows to Go
  29. 29. • Encrypt volumes BEFORE a user receives the computer • Works with Windows 7/8 deployment tools (MDT/SCCM) • Client can: • Manage TPM reboot process • Be configured with TPM first and PIN later (e.g.: user provides PIN at first logon) • Encrypt volumes AFTER a user receives a computer • Client is provides a Policy Driven Experience • Client will manage TPM reboot process • Standard or Admin users can encrypt • Only use when unencrypted machines appear on the network MBAM Client
  30. 30. Prezentacja wybranych funkcji MBAM Wybrane funkcje MBAM
  31. 31. MBAM Policy Settings
  32. 32. Enable Windows Standard Users
  33. 33. MBAM
  34. 34. To reset a TPM lockout
  35. 35. Recover a Drive in Recovery Mode
  36. 36. Enterprise Compliance Report
  37. 37. Computer Compliance Report
  38. 38. Hardware Audit Report
  39. 39. Recovery Key Access Audit Report
  40. 40. • Rekomendowane ustawienia dla BitLocker – Security Compliance Manager • Security Compliance Manager (SCM) • http://technet.microsoft.com/en-us/solutionaccelerators/cc835245 Rekomendowane ustawienia dla BitLocker – Security Compliance Manager
  41. 41. Security Compliance Manager (SCM) 3.0
  42. 42. • Security Compliance Manager (SCM) 3.0 • BitLocker rekomendowane ustawienia Demo DEMO
  43. 43. • PRZEWODNIK ZABEZPIECZEŃ SYSTEMU WINDOWS 8 DLA ADMINISTRATORÓW SIECI - Przewodnik Zabezpieczeń systemu Windows 8 zawiera instrukcje i rekomendacje, które pomogą wzmocnić poziom zabezpieczenia komputerów stacjonarnych i komputerów przenośnych pracujących pod kontrolą systemu Windows 8 w domenie Active Directory Domain Services (AD DS). • • http://www.cert.gov.pl/download/3/160/Przewodnik_zabezpieczen _systemu_Windows_8.pdf Przewodnik zabezpieczeń Windows 8
  44. 44. • http://www.netcomputer.pl/szkolenia/szyfrowanie-i-ochrona-dyskow-z-zastosowaniem- funkcji-bitlocker-w-systemach-windows-7-windows-serwer-2008-r2.html BitLocker Szkolenie - zaproszenie http://netcomputer.pl
  45. 45. Dziękuję za uwagę Krzysztof.Binkowski@netcomputer.pl

×