Post on 24-Feb-2016
description
Déploiement automatique de BitLocker et BitLocker To Go!(SEC2301)
Arnaud JUMELET – CISSPConsultant Sécurité, Microsoft France
http://blogs.technet.com/arnaud_jumelet/
Microsoft Services:Un accompagnement global de nos clients
Architecture & PlanningPlanification
Conseil et ProjetsDéploiement et adoption
SupportOptimisation et Opération
EvaluationPlanification
DéveloppementDéploiement
StabilisationOpérations
Support
Support Premier
Enterprise StrategyConsulting Services
Division Services France 2010
• 180 Consultants• 125 Technical Account
Managers • 190 Ingénieurs Support• 17 Responsables de Mission• 41 Partenaires référencés
www.microsoft.fr/services
Division Services Monde 2010
• 82 pays couverts• 18 000 employés• 35 000 partenaires• 44 langues parlées par nos
ingénieurs
Criticité du projet
Maturité de la technologie
Partenaires
Notre engagement auprès de nos partenaires est : • De leur assurer un transfert
d’expertise,• De leur apporter notre support sur
les dernières technologies, • De leur donner accès aux
meilleures pratiques de mise en œuvre et de support.
Nos clients et partenaires sont particulièrement satisfaits par…
• Le niveau d’engagement des consultants : 94%• La gestion de l’équipe de projet : 92%• Les compétences techniques des consultants :
91%• La relation avec les équipes du client : 90%
Notre positionnement est d’intervenir sur les projets critiques et les technologies récentes
Objectifs de cette session• Partager, avec vous, mon expérience
• Connaître les bonnes pratiques
• Faciliter votre déploiement
Agenda• Introduction•Fondamentaux•Démarche projet• Intégration au master
… et 4 Démonstrations !
BitLocker« Protection des données lorsque le système
est électriquement éteint. »
Scénarios adressés par BitLocker• N° 1 : solution face aux vols de portables – réduire
le coût à celui de la machine
• N° 2 : Simplifier la fin de vie des ordinateurs« Forget the Key and Everything is gone »
• N° 3 : Protéger les disques de données amovibles• Quand cette politique est rendue obligatoire,
tous les disques amovibles nécessitent la protection BitLocker pour bénéficier de l’accès en écriture !
BitLocker et BitLocker to Go
2ème génération
Facile à utiliser Intégration Windows 7 Entreprise
Aucun coût supplémentaire
Contrôle centralisé GPO
WMI
Sécurité & Performance Algorithmes et taille de clefs
(AES, RSA)
Transparent, sans impact pour l’utilisateur
Récupération des données DRA : certificat et carte à puce
Recovery Password
Fondamentaux
Puce TPM
160 bits
ISO/IEC 11889
24 PCR
2048 bitsSRKEK
EnabledActivated
Owned
3 flags
v1.2
Activation TPM
Validation : Présence physique
Etats d’une puce TPM
State 7 (Enabled,Activated,Owned)
State 3 (Enabled, Activated and Not owned)
State 6 (Disabled, Activated and Owned)
State 2 (Disabled, Activated and Not owned)
/ Initialize
State 5 (Enabled, Deactivated and Owned)
State 4 (Disabled, Deactivated and Owned) State 1 (Enabled, Deactivated and Not owned)
State 0 (Disabled, Deactivated and Not Owned)
/ Initialize/ Initialize
/ TurnOn / TurnOn
/ TurnOn
/ TurnOff
/ ChangeOwnerPassword
/ Clear
/ Initialize
Clefs dans une puce TPMSignature Chiffrement
EK(Endorsement Key)
SRK(Storage Root Key)
AIK(Attestation Identity Key)
Secret
Seal (PCR0, PCR1, …)
DémoActivation de la puce TPMAffichage des PCR
BitLocker & BitLocker To Go
Volume
Protecteurs
SuspendreReprendre
DéverrouillerOS
FixeAmovible
Identifiant
GPO
Clefs• Clef par secteur
• FVEK (AES)• Clef diffuseur (Elephant)
• Clef par volume• VMK (AES)
• Protecteurs de VMK• TPM (RSA)• Recovery Password (AES)• External USB Key (AES)• DRA (RSA ou ECC)• …
VMK
TPM TPM+
PINRecoveryPasswordDRA
TPM+
USB
Protecteurs BitLocker et BTG!
PassphraseAuto-UnlockSmartCard
….
Choix des Protecteurs BitLocker
Déverrouiller un lecteur Récupérer un lecteur
Mode automatique TPM Clef en clair
(BitLocker en mode suspendu)
Interaction requise USB TPM + PIN TPM + USB TPM + PIN + USB
Mot de passe de récupération
Clef de récupération Agent de récupération
BitLocker et puce TPM : 3 étapes
Operating System Volume
System
RecoveryPasswordAgent de
récupération
TPM Agent de récupération
RecoveryPassword
SRK+
PCR
VMKFVEK
Protecteurs OS
11
1
23
TPM
Architecture Windows 7
DémoArchitecture Windows 7Driver, services, WMI
ExtensibilitéVotre Script :VbScriptJscriptPerlPowershell…
Manage-bde.exe
WMI
root
…
… …
cimv2security
MicrosoftTpm
MicrosoftVolumeEncryption…
… …
Namespace Class Securityroot\CIMV2\Security\MicrosoftTpm win32_tpm Execute Methods:
“Administrators”root\CIMV2\Security\MicrosoftVolumeEncryption
win32_EncryptableVolume Execute Methods:“Administrators”
Classe Win32_Tpm27 méthodes disponibles :http://msdn.microsoft.com/en-us/library/aa376484(v=VS.85).aspx
Classe Win32_EncryptableVolume57 méthodes disponibles :
http://msdn.microsoft.com/en-us/library/aa376483(v=VS.85).aspx
Console Opérateur unifié - (.msc)
cmd /K manage-bde -protectors -get c:
C:\Windows\explorer.exe shell:::{D9EF8727-CAC2-4e60-809E-86F80A666C91}
cmd /K manage-bde -status c:
tpm.msc
MMC
DémoActivation de BitLocker To Go !Visualisation d’un disque
Chiffrer une clef USBBitLocker To GO!
Visualisation d’un disqueEntropie
• Disque USB en clair • Disque USB chiffré
BitLocker « se résume à » :1 puce TPM
11 protecteurs de VMK
2 fournisseurs WMI
Démarche Projet
« Projet type »
Inventaire des ordinateursFabriquant Model # Bios Bios Version # TPM maker TPM version #
F.17 IFX v1.2 6910p HP4 Nov 2008
W500 LENOVO 3.154 Août 2010
INTC v1.2
HP
LENOVO
DELLE6510 DELL A06
12 Février 2010v1.2 INFINEON
… … … … …
DémoInventaire des composants :FabriquantBIOSTPM
Plan de déploiement
Extension de schéma
AD
Délégation des droits (BitLocker et TPM)
Certificat DRA
BitLocker
GPO BitLocker
Outils sur les postes opérateurs
Déploiement du
master Windows 7 compatible BitLocker
Active Directory
Computer object
ms-FVE-RecoveryInformation
ms-FVE-RecoveryPassword
ms-FVE-RecoveryGuid
ms-FVE-VolumeGuid
ms-FVE-KeyPackage
ms-TPE-OwnerInformation
Extension de schéma : 1. Stocker les informations de récupération BitLocker2. Stocker le mot de passe TPM
ACL et délégation :3. Configurer les permissions d’accès
Scripts à télécharger :http://go.microsoft.com/fwlink/?LinkId=78953
Scripts préparation Active Directory
• Add an ACE to write TPM recovery information to AD DS :http://gallery.technet.microsoft.com/scriptcenter/b4dee016-053e-4aa3-a278-3cebf70d1191
• Delegate the ability to read BitLocker recovery passwords to a group of users "BitLocker Recoverers”
http://technet.microsoft.com/en-us/library/cc771778(WS.10).aspx
• Delegate the ability to read TPM owner information to a group of users "TPM Owners“
http://technet.microsoft.com/en-us/library/cc771778(WS.10).aspx
GPO
Emplacement Paramètre ValeurSystem\Power Management\Sleep Settings Allow Standby States (S1-S3) When Sleeping (On Battery) DésactivéSystem\Power Management\Sleep Settings Allow Standby States (S1-S3) When Sleeping (Plugged In) DésactivéSystem\Power Management\Sleep Settings Require a Password When a Computer Wakes (Plugged In) ActivéSystem\Power Management\Sleep Settings Require a Password When a Computer Wakes (On Battery) ActivéSystem\Trusted Platform Module Services Configure the list of blocked TPM commands DésactivéSystem\Trusted Platform Module Services Ignore the default list of blocked TPM commands DésactivéSystem\Trusted Platform Module Services Ignore the local list of blocked TPM commands DésactivéSystem\Trusted Platform Module Services Turn on TPM backup to Active Directory Domain Services Activé
Windows Components\BitLocker Drive Encryption Choose default folder for recovery password Désactivé
Windows Components\BitLocker Drive Encryption Choose drive encryption method and cipher strength Méthode de chiffrement :AES 128 avec Diffuseur Elephant
Windows Components\BitLocker Drive Encryption Prevent memory overwrite on restart Désactivé
Windows Components\BitLocker Drive Encryption Provide the unique identifiers for your organization
Champ d’identification BitLocker : A DEFINIR
Champ d’identification autorisée BitLocker :A DEFINIR
Windows Components\BitLocker Drive Encryption Validate smart card certificate usage rule compliance
Identificateur d’objet :1.3.6.1.4.1.311.67.1.1(Correspond à l’OID BitLocker)
Si TPM + PIN :Il est recommandé de désactiverla mise en veille au profit de l’hibernation.
Préparation du disque
Windows RE250 MB
NTFS
System Partition100 MB
NTFS
OS - EncryptedRemaining Disk
NTFS
System Partition/Windows RE300 MB
NTFS
OS - EncryptedRemaining Disk
NTFS
Intégration de BitLocker au master
Niveau de contrôle
MDT & SCCM CommandeManage-bde
Scripts
Gestion de la conformitéIntégration avec des requêtes WMI !
Intégration avec SCCM 2007
http://blogs.technet.com/b/configurationmgr/
Activation BitLocker
Recommendations• Standardiser le matériel
• Paramètres de configuration en usine (OEM)• Boot Order : Disque dur en premier • Mot de passe sur le BIOS• Puce TPM activée
Activation automatique TPM
Gestion BIOS / TPMFabriquant Nom de l’outil Remarque
Dell CCTK N/AHP Biosconfigutility N/ALenovo SRCMOS Seulement pour OS 32 bits
(Shutdown de la machine pour activer manuellement la TPM)
…
Activation manuelle de la puce TPM
Activer la TPM avec opérateur
Set BIOS Password
Enable and Activate TPM
Restart Computer
9 Grandes Etapes
1. Flasher la CMOS
2. Démarrer le service TBS
3. (Activer TPM si étape 1 non disponible)
4. Configurer Politique de sauvegarde – Base de registre
5. Joindre au domaine
6. Prise de possession TPM
7. Ajouter les 2 protecteurs TPM + RecoveryPassword
8. Activer le chiffrement BitLocker
9. … Ajouter le protecteur TPM + PIN
BitLocker(Protectors :TPM + RP)
Backup To AD
TPM Activation(Enabled, Activated, Unowned)
Format
Setup of Windows7
Disk Partition
TPM (Take Ownership)
Backup To AD
BitLocker(Enable Protection)
Reboot
BitLocker configuration (.Reg file into Registry)
Join to domain
Séquence de construction
DémoActivation de BitLockerPas à pas
Synthèse
En guise de synthèse• En amont, vérifier qu’une puce TPM est bien disponible et demander que la
puce soit activée avec un propriétaire.
• Intégration avec l’existant : inventaire, wakeOnLan, schéma AD, PKI ?
• Stratégie de protection des données : protection de l’OS, des données, des disques amovibles ?
• Stratégie de récupération des données : DRA, mot de passe de récupération ?
• Si utilisation de puce TPM, définir la politique de code PIN(nombre de caractères minimum).
• S’appuyer sur l’équipe déployant les postes : activation de BitLocker à la fin de la construction du poste de travail.
• Formation des techniciens et du Helpdesk.
• Information des utilisateurs.
Questions ?
Liens utiles• How to configure Gpo for Bitlocker :
http://blogs.technet.com/b/askcore/archive/2010/02/16/cannot-save-recovery-information-for-bitlocker-in-windows-7.aspx
• How to save recovery information in AD using manage-bde command :
http://blogs.technet.com/b/askcore/archive/2010/04/06/how-to-backup-recovery-information-in-ad-after-bitlocker-is-turned-on-in-windows-7.aspx
• Bitlocker Policies for Windows 7 on Windows Server 2003 or Windows Server 2008 :http://blogs.technet.com/b/askcore/archive/2010/07/02/bitlocker-policies-for-windows-7-on-windows-server-2003-or-windows-server-2008.aspx
• How to use Hash of TPM from AD to reset your TPM password :
http://blogs.technet.com/b/askcore/archive/2010/08/03/how-to-use-hash-of-tpm-from-ad-to-reset-your-tpm-password.aspx
• Issues Resulting in Bitlocker Recovery Mode and Their Resolution :
http://blogs.technet.com/b/askcore/archive/2010/08/04/issues-resulting-in-bitlocker-recovery-mode-and-their-resolution.aspx
Titre Speakers Date Horaires
Retour d’expérience : Déploiement automatique de BitLocker et BitLocker To Go ! (SEC2301) Arnaud Jumelet (MCS) 09/02 13h-14h
Retours d'expériences : implémentation de DirectAccess (SEC2203)
Benoit Sautière (Exakis - MVP Enterprise Security), Arnaud Lheureux (MS PFE)
09/02 16h-17h
RDI: Windows 7 et la Virtualisation : prouvez la rentabilité du projet à votre directeur financier ! (RDI207)
Mathieu Bourreau (MS BMO), Thierry Rapatout (MCS) 09/02 17h30-18h30
Déploiement et migration automatisés ZTI (Zero Touch Installation) des nouveaux postes de travail Windows 7/Office 2010 avec SCCM 2007 et MDT 2010 (ADM305)
Cyrielle Simeone, Frédéric Cardoso 10/02 11h-12h
Thématique Poste de Travail Optimisé