BitLocker w Twoim Windows 8 i w Twoim przedsiębiorstwie w oparciu o Server Windows 2012 Krzysztof Bińkowski Security/Forensics Trainer and Consultant kb@netcomputer.pl MCT, CEH, MCSA, MCITP EA, MCSE Security, ACE
Agenda Co to jest Bitlocker i dlaczego warto stosować BitLocker? Co nowego w funkcjonalności BitLocker w Windows 8 BitLocker bez MBAM BitLocker z MBAM Rekomendowane ustawienia dla BitLocker Security Compliance Manager
Dlaczego warto stosować funkcję BitLocker? Głównym zagrożeniem bezpieczeństwa jest utrata danych z komputerów przenośnych, które zostały utracone lub skradzione. Sytuacja ta ma miejsce wtedy, kiedy atakujący uzyska fizyczny dostęp do niezabezpieczonego komputera, potencjalne konsekwencje takiego czynu obejmują następujące działania: Atakujący może się zalogować do komputera z systemem Windows 8 i skopiować dane Atakujący może uruchomić komputer z alternatywnego systemu operacyjnego w celu: Przejrzenia listy plików Skopiowania plików Odczytu danych z plików hibernacji lub pliku stronicowania w celu odczytu informacji przechowywanych jawnym tekstem lub dokumentów związanych z uruchomionym procesem. Odczytu danych z pliku hibernacji w celu ujawnienia i pozyskania kopii kluczy prywatnych przechowywanych w postaci tekstowej.
Szyfrowanie BitLocker dla przypomnienia Szyfrowanie dysków funkcją BitLocker jest mechanizmem szyfrowania całych woluminów, a nie tylko poszczególnych plików, zapewniając ochronę danych przechowywanych na dyskach pracujących pod kontrolą systemu Windows 8. Mechanizm ten zapewnia bezpieczeństwo danych również w przypadku, kiedy dysk zostanie wymontowany i zainstalowany w innym komputerze. Technologia BitLocker w systemie Windows 8 zapewnia ochronę danych znajdujących się na dyskach twardych komputerów użytkowników, włączając w to ochronę dysków wymiennych, pamięci przenośnych USB oraz dysków podłączonych poprzez interfejs IEEE 1394.
Funkcjonalność BitLocker BitLocker zapewnia : Szyfrowanie Dysków z systemem operacyjnym Stałych dysków danych Wymiennych dysków danych (BitLocker To Go ) Sprawdza zmiany wprowadzone w : BIOS ie Plikach startowych/systemowych systemu Windows
Trusted Platform Module It s a Smartcard-like module on the motherboard PreOS Static OS All Boot Blobs unlocked Volume Blob of Target OS unlocked Protects secrets Performs cryptographic functions TPM Init BIOS RSA, SHA-1, RNG MBR Meets encryption export requirements BootSector Can create, store and manage keys BootBlock Provides a unique Endorsement Key (EK) Provides a unique Storage Root Key (SRK) Performs digital signature operations BootManager OS Loader Start OS Holds Platform Measurements (hashes) Anchors chain of trust for keys and credentials Protects itself against attacks
Tryby pracy BitLocker Tylko moduł TPM. Używanie weryfikacji Tylko moduł TPM nie wymaga żadnej interakcji z użytkownikiem w celu odszyfrowania i udostępnienia dysku, do startu systemu nie jest potrzebne hasło, numer PIN lub klucz uruchomienia Moduł TPM z kluczem uruchomienia (USB). Oprócz ochrony zapewnianej przez moduł TPM część klucza szyfrowania jest przechowywana na dysku flash USB. Dostępu do danych na zaszyfrowanym woluminie nie można uzyskać bez klucza uruchomienia Moduł TPM z kodem PIN. Oprócz ochrony zapewnianej przez moduł TPM funkcja BitLocker wymaga od użytkownika wprowadzenia osobistego numeru identyfikacyjnego (PIN). Dostępu do danych na zaszyfrowanym woluminie nie można uzyskać bez podania kodu PIN. Moduł TPM z kluczem uruchomienia i kodem PIN. Opcję tę można skonfigurować wyłącznie przy użyciu narzędzia wiersza polecenia Manage-bde.exe oraz zasad grupowych. Oprócz ochrony podstawowych składników, którą zapewnia sprzętowy moduł TPM, część klucza szyfrowania jest przechowywana na dysku flash USB, a w celu uwierzytelnienia użytkownika w module TPM jest wymagane podanie kodu PIN Tryb pracy funkcji BitLocker bez modułu TPM (USB,FDD). Tryb ten zapewnia pełne szyfrowanie całego dysku, ale nie zapewnia ochrony środowiska rozruchowego dla systemu Windows 8. To ustawienie zalecane jest dla komputerów nieposiadających sprzętowego modułu TPM
BitLocker Keys SRK (Storage Root Key) contained in TPM. SRK encrypts the VMK (Volume Master Key). Volume Master Key (VMK) The Volume Master Key (VMK) is 256-bit of size and is stored in multiple FVE Volume Master Key (VMK) structures. The VMK is stored encrypted with either the recovery key, external key, or the TPM. Full Volume Encryption Key (FVEK) The Full Volume Encryption Key (FVEK) is stored encrypted with the Volume Master Key (VMK). Recovery key BitLocker provides for a recovery (or numerical) password to unlock the encrypted data. The recovery password is used to determine a recovery key. Clear key The clear key is an unprotected 256-bit key stored on the volume to decrypt the VMK. It is used when the encrypted volume is being decrypted. Startup key The startup key (or external key) is stored in a file named {%GUID%}.BEK. The GUID in the filename equals the key identifier in the BitLocker metadata. User key BitLocker To Go provides for a user password (or passphrase) to unlock the encrypted data. The user password is used to determine a user key. Network unlock key protector - new type of key protector allows for a special network key to be used to unlock and skip the PIN entry prompt in situations where computers are rebooted on trusted wired networks
Jak uruchomić BitLocker w wirtualnej maszynie? BitLocker do celów testowych można uruchomić w wirtualnej maszynie Hyper-V, Vmware, VirtualBox Korzystamy z trybu Tryb pracy funkcji BitLocker bez modułu TPM oraz dyskietki 1.44 1. Ustawiamy GPO Allow Bitlocker without compatible TPM 2. Tworzymy obraz wirtualnej dyskietki (floppy disk) 3. manage-bde -on C: -RecoveryPassword -StartupKey A: (manage-bde -on C: -rp -sk A: ) 4. Restartujemy system i szyfrujemy DEMO
Co nowego w funkcjonalności BitLocker w Windows 8 Szyfrowanie tylko zajętego miejsce na dysku Obsługa BitLocker - (ang. BitLocker provisioning) Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock) Wsparcie dla systemu Windows dysków sprzętowo szyfrowanych Zmiana kodu PIN lub hasła przez standardowego użytkownika (ang. - Standard user PIN and password change)
Szyfrowanie tylko zajętego miejsce na dysku w systemie Windows 8, użytkownik może dokonać wyboru czy szyfrować tylko zajęte miejsce na dysku czy cały wolumin. Szyfrowanie tylko zajętego miejsca na dysku znacznie przyśpiesza proces szyfrowania. Wymuszanie typu szyfrowanie przez Group Policy: (Computer Configuration Administrative Templates Windows Components BitLocker Drive EncryptionEnforce drive encryption type on <type of drive> ) Allow the user to choose (which is default if the policy is not configured) Full encryption Used disk space only
Obsługa BitLocker - (ang. BitLocker provisioning) włączenie usługi BitLocker przed instalacją systemu. Wymaga włączenia manage-bde on <drive letter>: W przypadku wykorzystania opcji szyfrowania tylko zajętego miejsca na dysku, obsługa BitLocker staje się szybsza i stanowi nieprzerywany proces instalacji nowych komputerów. Uwaga WinPE nie zawiera narzędzia Manage-bde (Building a Windows PE Image with Optional Components. - http://technet.microsoft.com/en-us/library/hh824926.aspx) Należy pamiętać, że po zakończeniu procesu instalacji nowego systemu bezpieczny klucz zostanie dodany do chronionego wolumenu. Clear key protector zostanie losowo wygenerowany i zastosowany do szyfrowania wolumenu. Należy wybrać odpowiedni tryb pracy BitLocker np. TPM+PIN w zależności od typu szyfrowanego dysku po wdrożeniu systemu.
Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock) Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock) włączona funkcja BitLocker w systemie Windows 8 wykorzystująca ochronę poprzez stosowanie modułu TPM+PIN, może uruchomić system w zaufanej sieci komputerowej bez wymagania wprowadzenie kodu PIN przez użytkownika. Funkcja odblokowywanie funkcją BitLocker przez sieć pozwala administratorom na uruchomienie zaszyfrowanego systemu i chronionego za pomocą modułu TPM+PIN w celu wykonania nienadzorowanego procesu aktualizacji lub zadań konserwacji. Funkcja ta wymaga, aby sprzęt kliencki zawierał sterownik Dynamic Host Configuration Protocol (DHCP) zaimplementowany w oprogramowaniu UEFI (Unified Extensible Firmware Interface).
Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock) How network unlock works The client computer's boot manager detects the network unlock key protector. Key protectors are the means by which BitLocker keys are protected, such as a password or PIN, a key file, a smart card, certificate, etc. When the client detects this protector, it uses DHCP (hence the requirement for a DHCP drive in UEFI) to get an IPv4 IP address. Then it sends out a DHCP request with the encrypted network key and session key. The server has to have a 2048 bit RSA key pair and the clients need to have the public key. The certificate is deployed through the Group Policy Editor on the domain controller. The WDS server decrypts the request with the RSA private key. Then it sends the network key back, encrypted with the session key (also using DHCP).
Wsparcie dla systemu Windows 8 dysków sprzętowo szyfrowanych w systemie Windows 8, Bitlocker dostarcza wsparcia dla mechanizmu Full Disk Encryption (FDE) wykorzystującego specjalne dyski zapewniające sprzętowe szyfrowanie dysków (Encrypted Hard Drive). Szyfrowane dyski sprzętowo mogą być wykorzystane do przeprowadzenia szyfrowania na poziomie bloków dysków. Operacje szyfrowania i deszyfrowania są przeprowadzane przez kontroler dysków, zmniejszając w ten sposób obciążenie procesora komputera. Self-encrypting drives: SED edrive (Embedded MultiMediaCard, solid-state drive, hard disk drive)
Zmiana kodu PIN lub hasła przez standardowego użytkownika (ang. - Standard user PIN and password change) w systemie Windows 8 użytkownik nieposiadający uprawnień administracyjnych nie może wykonywać konfiguracji funkcji BitLocker. wprowadzona możliwość zmiany kodu PIN lub hasła dla wolumenów zawierających system operacyjny lub dysków stałych. Funkcja ta włącza możliwość standardowym użytkownikom wyboru własnego kodu PIN lub hasła w celu łatwiejszego zapamiętania.
BitLocker bez MBAM Wdrożenie BitLocker na stacjach klienckich Centralne zarządzanie kluczami BitLocker (Recovery keys) - przygotowanie domeny Zarządzanie BitLocker
BitLocker bez MBAM Wdrożenie BitLocker na stacjach klienckich: Podczas wdrożenia Windows 8 (deployment) kilka scenariuszy Po wdrożeniu Ręcznie Za pomocą skryptów (manage-bde, PowerShell) BitLocker dostępny jest w edycjach: Windows 8 PRO/ENTERPRISE
BitLocker bez MBAM Centralne zarządzanie kluczami BitLocker - przygotowanie domeny: DC oparty - Windows Server 2012 - gotowy Windows Server 2003/2008 wymaga dodania 2 rozszerzeń schemy: TpmSchemaExtension.ldf TpmSchemaExtensionACLChanges.ldf Automatycznie zapisywanie kopii zapasowej (Recovery key) kluczy BitLocker w AD w obu przypadkach należy włączyć odpowiednie GPO BitLocker Group Policy setting BitLocker Drive Encryption: Turn on BitLocker backup to Active Directory Domain Services Trusted Platform Module Services: Turn on TPM backup to Active Directory Domain Services Configuration Require BitLocker backup to AD DS (Passwords and key packages) Require TPM backup to AD DS
BitLocker bez MBAM BitLocker Recovery Keys in AD - BitLocker Recovery Password Viewer The following recovery data will be saved for each computer object: Recovery password Key package data (REPAIR-BDE) export required scripts TPM owner authorization password hash
BitLocker bez MBAM Zarządzanie: Za pomocą skryptów Active Directory User And Computer ADSI Edit Brak informacji zwrotnych na temat włączenia funkcji BitLocker Brak raportowania o działających systemach z funkcją BitLocker
Demo Bitlocker w VM Szyfrowanie tylko zajętego miejsca BitLocker Recovery Password Viewer - ADUC DEMO
BitLocker z MBAM 1.0 i 2.0 Microsoft BitLocker Administration and Monitoring (MBAM) provides an administrative interface to manage BitLocker drive encryption. MBAM allows you to select BitLocker encryption policy options appropriate to your enterprise monitor client compliance with those policies report on the encryption status of the enterprise as well as individual computers recover lost encryption keys
BitLocker z MBAM BitLocker z MBAM 1.0 i 2.0 1 Simplify provisioning and deployment 2 Improve compliance and reporting 3 Reduce support costs
MBAM jest elementem MDOP 2012/2013
MBAM Group Policy: AD, AGPM Recovery Password Data Key Recovery Service Helpdesk UX for Key Recovery Compliance Data Compliance Service HTTPS MBAM Client Central Administration Compliance Reports
Architektura MBAM 2.0
Stand Alone Mode Server OS (x64): Windows Server 2008 SP2 Standard/Enterprise/Datacenter Windows Server 2008 R2 SP1 Standard/Enterprise/Datacenter Windows Server 2012 Standard/Enterprise/Datacenter Client OS: Windows 7 Ultimate, Enterprise w/sp1 (x86/x64 ) Windows 8 Enterprise (x86/x64 ) Windows 8 Windows to Go Configuration Mode System Center Configuration Manager: Configuration Manager 2007 w/sp2 (x64 OS and SQL) Configuration Manager 2012 w/sp1 SQL Server (x64): SQL 2008 R2 Standard edition or greater w/sp1 SQL 2012 Standard edition or greater RTM / SP1
MBAM Client Encrypt volumes BEFORE a user receives the computer Works with Windows 7/8 deployment tools (MDT/SCCM) Client can: Manage TPM reboot process Be configured with TPM first and PIN later (e.g.: user provides PIN at first logon) Encrypt volumes AFTER a user receives a computer Client is provides a Policy Driven Experience Client will manage TPM reboot process Standard or Admin users can encrypt Only use when unencrypted machines appear on the network
Wybrane funkcje MBAM Prezentacja wybranych funkcji MBAM
MBAM Policy Settings
Enable Windows Standard Users
MBAM
To reset a TPM lockout
Recover a Drive in Recovery Mode
Enterprise Compliance Report
Computer Compliance Report
Hardware Audit Report
Recovery Key Access Audit Report
Rekomendowane ustawienia dla BitLocker Security Compliance Manager Rekomendowane ustawienia dla BitLocker Security Compliance Manager Security Compliance Manager (SCM) http://technet.microsoft.com/en-us/solutionaccelerators/cc835245
Security Compliance Manager (SCM) 3.0
Demo Security Compliance Manager (SCM) 3.0 BitLocker rekomendowane ustawienia DEMO
Przewodnik zabezpieczeń Windows 8 PRZEWODNIK ZABEZPIECZEŃ SYSTEMU WINDOWS 8 DLA ADMINISTRATORÓW SIECI - Przewodnik Zabezpieczeń systemu Windows 8 zawiera instrukcje i rekomendacje, które pomogą wzmocnić poziom zabezpieczenia komputerów stacjonarnych i komputerów przenośnych pracujących pod kontrolą systemu Windows 8 w domenie Active Directory Domain Services (AD DS). http://www.cert.gov.pl/download/3/160/przewodnik_zabezpieczen _systemu_windows_8.pdf
BitLocker Szkolenie - zaproszenie http://www.netcomputer.pl/szkolenia/szyfrowanie-i-ochrona-dyskow-z-zastosowaniemfunkcji-bitlocker-w-systemach-windows-7-windows-serwer-2008-r2.html http://netcomputer.pl
Dziękuję za uwagę Krzysztof.Binkowski@netcomputer.pl