BitLocker w Twoim Windows 8 i w Twoim przedsiębiorstwie w oparciu o Server Windows 2012

Krzysztof BińkowskiSecurity/Forensics Trainer and Consultant

kb@netcomputer.pl

MCT, CEH, MCSA, MCITP EA, MCSE Security, ACE

• Co to jest Bitlocker i dlaczego warto stosować BitLocker?

• Co nowego w funkcjonalności BitLocker w Windows 8

• BitLocker bez MBAM

• BitLocker z MBAM

• Rekomendowane ustawienia dla BitLocker – Security ComplianceManager

Agenda

Dlaczego warto stosować funkcję BitLocker ?

Głównym zagrożeniem bezpieczeństwa jest utrata danych z komputerów przenośnych, którezostały utracone lub skradzione. Sytuacja ta ma miejsce wtedy, kiedy atakujący uzyska fizycznydostęp do niezabezpieczonego komputera, potencjalne konsekwencje takiego czynu obejmująnastępujące działania:

• Atakujący może się zalogować do komputera z systemem Windows 8 i skopiować dane• Atakujący może uruchomić komputer z alternatywnego systemu operacyjnego w celu:

Przejrzenia listy plików Skopiowania plików Odczytu danych z plików hibernacji lub pliku stronicowania w celu odczytu informacji

przechowywanych jawnym tekstem lub dokumentów związanych z uruchomionym procesem. Odczytu danych z pliku hibernacji w celu ujawnienia i pozyskania kopii kluczy prywatnych

przechowywanych w postaci tekstowej.

Szyfrowanie BitLocker – dla przypomnienia

Szyfrowanie dysków funkcją BitLocker jest mechanizmem szyfrowania

całych woluminów, a nie tylko poszczególnych plików, zapewniając

ochronę danych przechowywanych na dyskach pracujących pod kontrolą

systemu Windows 8.

Mechanizm ten zapewnia bezpieczeństwo danych również w przypadku,

kiedy dysk zostanie wymontowany i zainstalowany w innym komputerze.

Technologia BitLocker w systemie Windows 8 zapewnia ochronę danych

znajdujących się na dyskach twardych komputerów użytkowników,

włączając w to ochronę dysków wymiennych, pamięci przenośnych USB

oraz dysków podłączonych poprzez interfejs IEEE 1394.

Funkcjonalność BitLocker

BitLocker zapewnia :

Szyfrowanie

Dysków z systemem operacyjnym

Stałych dysków danych

Wymiennych dysków danych (BitLocker To Go )

Sprawdza zmiany wprowadzone w :

BIOS’ie

Plikach startowych/systemowych systemu

Windows

Trusted Platform ModuleVolume Blob of Target OS

unlocked

All Boot Blobs

unlocked

Static OS

BootSector

BootManager

Start

OSOS Loader

BootBlock

PreOS

BIOS

MBR

TPM Init

• Protects secrets

• Performs cryptographic functions

– RSA, SHA-1, RNG

– Meets encryption export requirements

• Can create, store and manage keys

– Provides a unique Endorsement Key (EK)

– Provides a unique Storage Root Key (SRK)

• Performs digital signature operations

• Holds Platform Measurements (hashes)

• Anchors chain of trust for keys and credentials

• Protects itself against attacks

It’s a Smartcard-like module on the motherboard

• Tylko moduł TPM. Używanie weryfikacji Tylko moduł TPM nie wymaga żadnej interakcji zużytkownikiem w celu odszyfrowania i udostępnienia dysku, do startu systemu nie jest potrzebne hasło,numer PIN lub klucz uruchomienia

• Moduł TPM z kluczem uruchomienia (USB). Oprócz ochrony zapewnianej przezmoduł TPM część klucza szyfrowania jest przechowywana na dysku flash USB. Dostępu do danych nazaszyfrowanym woluminie nie można uzyskać bez klucza uruchomienia

• Moduł TPM z kodem PIN. Oprócz ochrony zapewnianej przez moduł TPM funkcjaBitLocker wymaga od użytkownika wprowadzenia osobistego numeru identyfikacyjnego (PIN). Dostępudo danych na zaszyfrowanym woluminie nie można uzyskać bez podania kodu PIN.

• Moduł TPM z kluczem uruchomienia i kodem PIN. Opcję tę można skonfigurowaćwyłącznie przy użyciu narzędzia wiersza polecenia Manage-bde.exe oraz zasad grupowych. Opróczochrony podstawowych składników, którą zapewnia sprzętowy moduł TPM, część klucza szyfrowania jestprzechowywana na dysku flash USB, a w celu uwierzytelnienia użytkownika w module TPM jestwymagane podanie kodu PIN

• Tryb pracy funkcji BitLocker bez modułu TPM (USB,FDD). Tryb ten zapewniapełne szyfrowanie całego dysku, ale nie zapewnia ochrony środowiska rozruchowego dla systemuWindows 8. To ustawienie zalecane jest dla komputerów nieposiadających sprzętowego modułu TPM

Tryby pracy BitLocker

BitLocker KeysSRK (Storage Root Key) contained in TPM. SRK encrypts the VMK (Volume Master Key).Volume Master Key (VMK)The Volume Master Key (VMK) is 256-bit of size and is stored in multiple FVE Volume Master Key(VMK) structures. The VMK is stored encrypted with either the recovery key, external key, or theTPM.Full Volume Encryption Key (FVEK)The Full Volume Encryption Key (FVEK) is stored encrypted with the Volume Master Key (VMK).Recovery keyBitLocker provides for a recovery (or numerical) password to unlock the encrypted data. Therecovery password is used to determine a recovery key.Clear keyThe clear key is an unprotected 256-bit key stored on the volume to decrypt the VMK. It is usedwhen the encrypted volume is being decrypted.Startup keyThe startup key (or external key) is stored in a file named {%GUID%}.BEK. The GUID in the filenameequals the key identifier in the BitLocker metadata.User keyBitLocker To Go provides for a user password (or passphrase) to unlock the encrypted data. Theuser password is used to determine a user key.Network unlock key protector - new type of key protector allows for a special network key to beused to unlock and skip the PIN entry prompt in situations where computers are rebooted ontrusted wired networks

• BitLocker do celów testowych można uruchomić w wirtualnej maszynie Hyper-V, Vmware, VirtualBox

• Korzystamy z trybu Tryb pracy funkcji BitLocker bez modułu TPM oraz dyskietki 1.44

1. Ustawiamy GPO „Allow Bitlocker without compatible TPM”

2. Tworzymy obraz wirtualnej dyskietki (floppy disk)

3. manage-bde -on C: -RecoveryPassword -StartupKey A:

(manage-bde -on C: -rp -sk A: )

4. Restartujemy system i szyfrujemy

Jak uruchomić BitLocker w wirtualnej maszynie?

DEMO

• Szyfrowanie tylko zajętego miejsce na dysku

• Obsługa BitLocker - (ang. BitLocker provisioning)

• Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock)

• Wsparcie dla systemu Windows dysków sprzętowo szyfrowanych

• Zmiana kodu PIN lub hasła przez standardowego użytkownika (ang. -Standard user PIN and password change)

Co nowego w funkcjonalności BitLocker w Windows 8

• w systemie Windows 8, użytkownik może dokonać wyboru czy szyfrować tylko zajęte miejsce na dysku czy cały wolumin.

• Szyfrowanie tylko zajętego miejsca na dysku znacznie przyśpiesza proces szyfrowania.

Szyfrowanie tylko zajętego miejsce na dysku

Wymuszanie typu szyfrowanie przez Group Policy:(Computer Configuration | Administrative Templates | Windows Components | BitLocker Drive EncryptionEnforce drive encryption type on <type of drive> )

•Allow the user to choose (which is default if the policy is not configured)•Full encryption•Used disk space only

• włączenie usługi BitLocker przed instalacją systemu. Wymaga włączenia manage-bde –on <drive letter>:

• W przypadku wykorzystania opcji szyfrowania tylko zajętego miejsca na dysku, obsługa BitLocker staje się szybsza i stanowi nieprzerywany proces instalacji nowych komputerów.

• Uwaga WinPE nie zawiera narzędzia Manage-bde(Building a Windows PE Image with Optional Components. - http://technet.microsoft.com/en-us/library/hh824926.aspx)

• Należy pamiętać, że po zakończeniu procesu instalacji nowego systemu bezpieczny klucz zostanie dodany do chronionego wolumenu. Clear key protector zostanie losowo wygenerowany i zastosowany do szyfrowania wolumenu. Należy wybrać odpowiedni tryb pracy BitLocker np. TPM+PIN w zależności od typu szyfrowanego dysku po wdrożeniu systemu.

Obsługa BitLocker - (ang. BitLocker provisioning)

Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock)• włączona funkcja BitLocker w systemie Windows 8 wykorzystująca ochronę poprzez

stosowanie modułu TPM+PIN, może uruchomić system w zaufanej sieci komputerowej bez wymagania wprowadzenie kodu PIN przez użytkownika.

• Funkcja odblokowywanie funkcją BitLocker przez sieć pozwala administratorom na uruchomienie zaszyfrowanego systemu i chronionego za pomocą modułu TPM+PIN w celu wykonania nienadzorowanego procesu aktualizacji lub zadań konserwacji.

• Funkcja ta wymaga, aby sprzęt kliencki zawierał sterownik Dynamic Host Configuration Protocol (DHCP) zaimplementowany w oprogramowaniu UEFI (UnifiedExtensible Firmware Interface).

Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock)

How network unlock works• The client computer's boot manager detects the network unlock key protector.

Key protectors are the means by which BitLocker keys are protected, such as a password or PIN, a key file, a smart card, certificate, etc.

• When the client detects this protector, it uses DHCP (hence the requirement for a DHCP drive in UEFI) to get an IPv4 IP address. Then it sends out a DHCP request with the encrypted network key and session key.

• The server has to have a 2048 bit RSA key pair and the clients need to have the public key. The certificate is deployed through the Group Policy Editor on the domain controller. The WDS server decrypts the request with the RSA private key. Then it sends the network key back, encrypted with the session key (also using DHCP).

Odblokowywanie funkcją BitLocker przez sieć (ang. Network unlock)

• w systemie Windows 8, Bitlocker dostarcza wsparcia dla mechanizmu Full Disk Encryption (FDE) wykorzystującego specjalne dyski zapewniające sprzętowe szyfrowanie dysków (EncryptedHard Drive). Szyfrowane dyski sprzętowo mogą być wykorzystane do przeprowadzenia szyfrowania na poziomie bloków dysków.

• Operacje szyfrowania i deszyfrowania są przeprowadzane przez kontroler dysków, zmniejszając w ten sposób obciążenie procesora komputera.

• Self-encrypting drives: SED

• eDrive (Embedded MultiMediaCard, solid-state drive, hard disk drive)

Wsparcie dla systemu Windows 8 dysków sprzętowo szyfrowanych

• w systemie Windows 8 użytkownik nieposiadający uprawnień administracyjnych nie może wykonywać konfiguracji funkcji BitLocker.

• wprowadzona możliwość zmiany kodu PIN lub hasła dla wolumenów zawierających system operacyjny lub dysków stałych. Funkcja ta włącza możliwość standardowym użytkownikom wyboru własnego kodu PIN lub hasła w celu łatwiejszego zapamiętania.

Zmiana kodu PIN lub hasła przez standardowego użytkownika (ang. -Standard user PIN and password change)

• Wdrożenie BitLocker na stacjach klienckich

• Centralne zarządzanie kluczami BitLocker (Recovery keys) -przygotowanie domeny

• Zarządzanie BitLocker

BitLocker bez MBAM

Wdrożenie BitLocker na stacjach klienckich:

• Podczas wdrożenia Windows 8 (deployment) kilka scenariuszy

• Po wdrożeniuRęcznie

Za pomocą skryptów (manage-BDE, PowerShell)

BitLocker dostępny jest w edycjach: Windows 8 PRO/ENTERPRISE

BitLocker bez MBAM

Centralne zarządzanie kluczami BitLocker - przygotowanie domeny:

• DC oparty - Windows Server 2012 - gotowy

• Windows Server 2003/2008 – wymaga dodania 2 rozszerzeń schemy: TpmSchemaExtension.ldf

TpmSchemaExtensionACLChanges.ldf

• Automatycznie zapisywanie kopii zapasowej (Recovery key) kluczy BitLocker w AD w obu przypadkach należy włączyć odpowiednie GPO

BitLocker bez MBAM

BitLocker Group Policy setting Configuration

BitLocker Drive Encryption: Turn on BitLocker backup to Active Directory Domain Services

Require BitLocker backup to AD DS (Passwords and key packages)

Trusted Platform Module Services: Turn on TPM backup to Active Directory Domain Services

Require TPM backup to AD DS

BitLocker Recovery Keys in AD - BitLocker Recovery Password ViewerThe following recovery data will be saved for each computer object:

•Recovery password

•Key package data (REPAIR-BDE) export required scripts

•TPM owner authorization password hash

BitLocker bez MBAM

Zarządzanie:

• Za pomocą skryptów

• Active Directory User And Computer

• ADSI Edit

• Brak informacji zwrotnych na temat włączenia funkcji BitLocker

• Brak raportowania o działających systemach z funkcją BitLocker

BitLocker bez MBAM

• Bitlocker w VM

• Szyfrowanie tylko zajętego miejsca

• BitLocker Recovery Password Viewer - ADUC

Demo

DEMO

Microsoft BitLocker Administration and Monitoring (MBAM)

• provides an administrative interface to manage BitLocker drive encryption.

• MBAM allows you to select BitLocker encryption policy options appropriate to your enterprise

• monitor client compliance with those policies

• report on the encryption status of the enterprise as well as individual computers

• recover lost encryption keys

BitLocker z MBAM 1.0 i 2.0

• BitLocker z MBAM 1.0 i 2.0

BitLocker z MBAM

1Simplify provisioning and deployment 2

Improve compliance and reporting 3 Reduce support costs

MBAM jest elementem MDOP 2012/2013

MBAM

Recovery Password Data

Compliance Data

HTTPS

MBAM Client

Group Policy: AD, AGPM

Key Recovery Service

Helpdesk UX for Key Recovery

Compliance ReportsCentral Administration

Compliance Service

Architektura MBAM 2.0

System Center Configuration Manager:

Configuration Manager 2007 w/SP2 (x64 OS and SQL)

Configuration Manager 2012 w/SP1

Configuration ModeStand Alone Mode

SQL Server (x64):SQL 2008 R2 Standard edition or greater w/SP1

SQL 2012 Standard edition or greater RTM / SP1

Server OS (x64):

Windows Server 2008 SP2 Standard/Enterprise/Datacenter

Windows Server 2008 R2 SP1 Standard/Enterprise/Datacenter

Windows Server 2012 Standard/Enterprise/Datacenter

Client OS:

Windows 7 Ultimate, Enterprise w/SP1 (x86/x64 )

Windows 8 Enterprise (x86/x64 )

Windows 8 Windows to Go

• Encrypt volumes BEFORE a user receives the computer• Works with Windows 7/8 deployment tools (MDT/SCCM)• Client can:• Manage TPM reboot process• Be configured with TPM first and PIN later (e.g.: user provides PIN atfirst logon)

• Encrypt volumes AFTER a user receives a computer• Client is provides a Policy Driven Experience• Client will manage TPM reboot process• Standard or Admin users can encrypt• Only use when unencrypted machines appear on the network

MBAM Client

Prezentacja wybranych funkcji MBAM

Wybrane funkcje MBAM

MBAM Policy Settings

Enable Windows Standard Users

MBAM

To reset a TPM lockout

Recover a Drive in Recovery Mode

Enterprise Compliance Report

Computer Compliance Report

Hardware Audit Report

Recovery Key Access Audit Report

• Rekomendowane ustawienia dla BitLocker – Security ComplianceManager

• Security Compliance Manager (SCM)

• http://technet.microsoft.com/en-us/solutionaccelerators/cc835245

Rekomendowane ustawienia dla BitLocker – Security Compliance Manager

Security Compliance Manager (SCM) 3.0

• Security Compliance Manager (SCM) 3.0

• BitLocker rekomendowane ustawienia

Demo

DEMO

• PRZEWODNIK ZABEZPIECZEŃ SYSTEMU WINDOWS 8 DLA ADMINISTRATORÓW SIECI -Przewodnik Zabezpieczeń systemu Windows 8 zawiera instrukcje i rekomendacje, które pomogą wzmocnić poziom zabezpieczenia komputerów stacjonarnych i komputerów przenośnych pracujących pod kontrolą systemu Windows 8 w domenie Active Directory Domain Services (AD DS).

•

• http://www.cert.gov.pl/download/3/160/Przewodnik_zabezpieczen_systemu_Windows_8.pdf

Przewodnik zabezpieczeń Windows 8

• http://www.netcomputer.pl/szkolenia/szyfrowanie-i-ochrona-dyskow-z-zastosowaniem-funkcji-bitlocker-w-systemach-windows-7-windows-serwer-2008-r2.html

BitLocker Szkolenie - zaproszenie

http://netcomputer.pl

Dziękuję za uwagę

Krzysztof.Binkowski@netcomputer.pl