Novell ZENworks Full Disk Encryption Julita Sobczyk Adam Jeż jsobczyk@novell.pl ajez@novell.pl
Wymogi biznesu: ważne dane muszą być chronione na wypadek zgubienia lub kradzieży komputera przenośnego Problem: użytkownicy mobilni potrzebują ochrony swoich komputerów przenośnych Wymaganie: łatwy sposób na wymuszenie szyfrowania na komputerach wymagających zaszyfrowanych dysków bez potrzeby fizycznej obecności komputera w biurze Korzyść: zwiększone bezpieczeństwo, produktywność użytkowników oraz mniejsze koszty zarządzania 2
Co proponujemy? Rozwiązanie Novell ZENworks Full Disk Encryption (ZFDE)......które jest częścią rodziny Novell ZENworks Suite zawierającej następujące moduły: ZENworks Asset Management ZENworks Application Virtualization ZENworks Configuration Management ZENworks Endpoint Security Management ZENworks Full Disk Encryption ZENworks Patch Management Novell Service Desk, Incident Management edition Dokumentacja produktu: http://www.novell.com/documentation/zenworks113/ 3
ZFDE kluczowe cechy produktu Centralne zarządzanie szyfrowaniem komputerów przez regułę Disk Encryption Policy (strefa->foldery->podfoldery->urządzenia)? Szyfrowanie software'owe za pomocą agenta FDE, będącego jednym z modułów agenta ZENworks (IDE, SATA, PATA, ATAPI, AHCI, typu basic, NTFS, tablica partycji MBR) oraz Preboot Authentication (PBA) Zapewnienie dodatkowej ochrony dla dysków typu self-encrypted Preboot Authentication (PBA) Szyfrowanie software'owe Ochrona dla self-encrypted Novell ZENworks Full Disk Encryption (ZFDE) 4
Centralna konsola Architektura ZFDE zarządzająca ZENworks Control Center (ZCC) Pre-Boot Authentication (PBA) Help Desk dla użytkowników 5 Full Disk Encryption Emergency Recovery CD
Pełne szyfrowanie dysków software'owe Szyfrowanie typu sector based całego dysku/partycji włącznie z plikami tymczasowymi, wymiany, systemowmi i danymi Dostęp do danych na dysku jest możliwy dopiero po zalogowaniu się użytkownika do Windows, niemożliwy jest dostęp do danych przez załadowanie systemu z CD/DVD/USB Minimalny wpływ na wydajność Automatyczne generowanie klucza szyfrującego Nieodczuwalny przez końcowych użytkowników Opcjonalnie uwierzytelnianie przed uruchomieniem systemu -- Pre-boot Authentication Uwierzytelnianie wielopoziomowe Multi-factor Authentication Pomoc HelpDesk w trybie offline Pojedyncze logowanie (Single Sign-On) dla Windows & Novell ZENworks Certyfikacja FIPS 140-2 Poziom 1 Automatyczne deponowanie klucza na potrzeby odzyskiwania danych przy pomocy wtyczek Bart-PE oraz Win-PE plugin 6
Pełne szyfrowanie dysków sprzętowe 7 Wsparcie dla dysków Seagate Momentus FDE.x Klucz szyfrujący nie jest przechowywany w pamięci Dysk twardy jest zawsze zaszyfrowany Natychmiastowe bezpieczne wymazywanie Większa wydajność Brak wstępnego szyfrowania Certyfikat dla FIPS 140-2 Poziom 2
Pełne szyfrowanie dysków sprzętowe Wspierane są dyski typu self-encrypting używające technologii TCG Opal 1.0 lub 2.0 Następujące modele zostały przetestowane przez firmę Novell: 8 Seagate Momentus Thin - ST320LT014 Seagate Momentus Thin - ST320LT025 Seagate Momentus Thin - ST500LT025 Seagate Laptop Ultrathin - ST500LT033 Hitachi - HTS725050A7E635 Micron/Crucial M500 SSD - CT120M500SSD1
Pełne szyfrowanie dysków sprzętowe Seagate Momentus FDE.x Jaką mamy sytuację: Dysk zachowuje się jak standardowy dysk Szyfrowanie na starcie jest włączone Szyfrowanie jest przezroczyste dla systemu AKlucz szyfrujący: 9 Losowo generowany Przechowywany w kontrolerze dysku Algorytm: AES 128 bit Transparentny dostęp
Seagate Momentus FDE.x + Novell ZENworks Full Disc Encryption Dysk z uwierzytelnianiem systemowym: Dysk ma dwa tryby: zablokowany i odblokowany Zablokowany: widoczna jest tylko partycja PBA Odblokowany: widoczna jest partycja użytkownika (tak jak w standardowym dysku) 10 Klucz szyfrujący PBA
ZENworks Full Disc Encryption razem z Seagate FDE Krok 1 Uwierzytelnianie użytkownika w utwardzonym jądrze Linuksa W systemie jest widoczny jedynie obszar uwierzytelnienia na twardym dysku BIOS FDE dcard MBR PBA dcard PreBoot Authenti-cation Partition Table 11 System Data
ZENworks Full Disc Encryption razem z Seagate FDE Krok 2 BIOS Wykonywany jest aktualny MBR Bootowanie systemu operacyjnego Single Sign-on dla Windows MBR PartitionTable 1 - active2-3 -4 - NTLoader ApplicationData OperatingSystem SSO 12
Kolejność wdrożenia FDE 13
Konsola zarządzająca FDE 14
Aktywacja FDE 15
Aktywacja modułu FDE 16
Centralne wymuszenie automatycznej instalacji agenta FDE: 17
Centralne wymuszenie automatycznej instalacji agenta FDE: na poziomie strefy (dla wszystkich urządzeń) lub na poziomie folderów lub indywidualnych stacji automatyczna instalacja agenta FDE przy następnym odświeżeniu agenta ZENworks: 18
Wymuszenie instalacji agenta FDE: całkowity czas instalacji agenta FDE obejmuje czas odświeżenia agenta ZENworks (ok. 2-3 minuty) plus czas restartu komputera bez konieczności przywożenia komputera do biura 19
Centralne wymuszenie szyfrowania stacji przez utworzenie reguły szyfrującej: 20
Utworzenie reguły szyfrującej: 21
Utworzenie reguły szyfrującej: 22
Utworzenie reguły szyfrującej: 23
Utworzenie reguły szyfrującej: DMI settings Dla większości dysków nie trzeba go modyfikować Jeśli zachodzi potrzeba jego modyfikacji to należy postępować zgodnie z dokumentacją w celu ustalenia prawidłowych ustawień Można używać znaków globalnych (*) dla całych rodzin modeli notebooków Ustawienia w sekcji [default] będą użyte do momentu wystąpienia ustawień dla konkretnego modelu sprzętu Jest wymagany tylko wtedy, gdy PBA jest używane (w przeciwnym wypadku nie jest używany) 24
Utworzenie reguły szyfrującej: 25
Centralne wymuszenie uruchomienia reguły szyfrującej na wszystkich lub pojedynczych komputerach: 26
Centralne wymuszenie uruchomienia reguły szyfrującej na wszystkich lub pojedynczych komputerach: Po wymuszeniu odświeżenia agenta ZENworks reguła zostaje ściągnięta na stację roboczą (ok. 1 min.) i konieczny jest jej restart 27
Centralne wymuszenie uruchomienia reguły szyfrującej na wszystkich lub pojedynczych komputerach: Po restarcie stacji rozpoczyna się proces szyfrowania zgodnie z regułą 28
Pre-Boot Authentication (PBA) Komponent instalowany na partycji Linux, chroniony przed modyfikacją przez sumy kontrolne MD5, hasła zabezpieczone mocnymi kluczami, bez komponentów sieciowych 29 Zintegrowane mechanizmy uwierzytelniania Transparent Mode (bez uwierzytelniania) Smartcard/ PKCS#11 token Windows Credentials (nazwa użytk., domena, hasło) Mechanizm Single Sign-On dla Windows i Novella Nazwa użytkownika, domena, hasło certyfikaty X.509 Funkcja kontaktu z HelpDeskiem w okienku logowania Offline challenge/response z HelpDeskiem Odblokowanie Smartcard
ZFDE z mechanizmem Pre-Boot Authentication (PBA) Uwierzytelnianie użytkownika wykonywane w jądrze Linuksa Sterownik szyfrujący działa w obszarze NTLoader i MS Windows Mechanizm Single Sign-On dla środowisk MS Windows i Novell BIOS MBR NTLoader Tabela partycji FDE 1 -active2-3 -4 - Pre Boot Authenti- Boot Code cationsystem 16bit Code Linux Aplikacje/dan System operacyjny FDE Partition 1 30 SSO Partition 2 Partition 3
Włączenie mechanizmu Pre-Boot Authentication (PBA) 31
Włączenie mechanizmu Pre-Boot Authentication (PBA) 32
Okno logowania Pre-Boot Authentication (PBA) 33
Okno logowania Pre-Boot Authentication (PBA) 34
PBA Override Client PBA Help Desk UI ZCC UI 35
Pliki ERI na poziomie urządzenia 36 Pokazuje wszystkie pliki ERI zapisanie dla tego urządzenia
Pliki ERI na poziomie strefy 37 Pokazuje wszystkie pliki ERI, jakie kiedykolwiek były zapisane na serwerze
Likwidacja urządzeń Dostępne opcje likwidacji: Tymczasowa (usuwa wszystkich użytkowników PBA, co wymaga Help Desk Override lub ERD) Uaktualnianie użytkownika PBA: 38 Permanentna (bezpiecznie usuwa wszystkie wcześniej zaszyfrowane woluminy) Dostępne są wszystkie opcje zarządzania użytkownikami PBA
Kluczowe cechy ZFDE Cecha\Funkcja 39 ZFDE Opcjonalne Pre-Boot Authentication (PBA) Tak w oparciu o utwardzone jądro Linuksa Obsługa SmartCard Rozszerzona PBA User Management Tak (rozszerzona i prosta) Single Sign-on do Windows Tak Single Sign do produktów firmy Novell Tak (ZENworks, Novell Client itp.) XP Single Sign-on nie wymaga dodatkowego modułu GINA Tak Logowanie w oparciu o cerfyfikat Tak Obsługa XP, Win7, Win8 Tak Obsługa Seagate SED Tak Obsługa TCG OPAL SED Tak Obsługa Recovery CD Tak Centralne zarządzanie Tak Tryby szyfrowania/opcje FDE/UsedSectors Możliwość dostosowania produktu do sprzętu Tak (poprzez plik DMI.INI) Opcja Challenge Response Help Desku Tak
ZENworks Full Disk Encryption w Twojej organizacji Mamy specjalne ceny dla różnych grup odbiorców (np. administracja, edukacja, szpitale) Pobierz do testów http://download.novell.com/download?buildid=pddxhhjgvae~ Skorzystaj z indywidualnej wyceny i formularza zamówienia oferty: www.novell.pl/formularz.html Więcej informacji o produkcie strona produktu www.novell.com/products/zenworks/full-disk-encryption infolinia 800 22 66 85 40
Pokaz