Déploiement automatique de BitLocker et BitLocker To Go!(SEC2301)

Arnaud JUMELET – CISSPConsultant Sécurité, Microsoft France

http://blogs.technet.com/arnaud_jumelet/

Microsoft Services:Un accompagnement global de nos clients

Architecture & PlanningPlanification

Conseil et ProjetsDéploiement et adoption

SupportOptimisation et Opération

EvaluationPlanification

DéveloppementDéploiement

StabilisationOpérations

Support

Support Premier

Enterprise StrategyConsulting Services

Division Services France 2010

• 180 Consultants• 125 Technical Account

Managers • 190 Ingénieurs Support• 17 Responsables de Mission• 41 Partenaires référencés

www.microsoft.fr/services

Division Services Monde 2010

• 82 pays couverts• 18 000 employés• 35 000 partenaires• 44 langues parlées par nos

ingénieurs

Criticité du projet

Maturité de la technologie

Partenaires

Notre engagement auprès de nos partenaires est : • De leur assurer un transfert

d’expertise,• De leur apporter notre support sur

les dernières technologies, • De leur donner accès aux

meilleures pratiques de mise en œuvre et de support.

Nos clients et partenaires sont particulièrement satisfaits par…

• Le niveau d’engagement des consultants : 94%• La gestion de l’équipe de projet : 92%• Les compétences techniques des consultants :

91%• La relation avec les équipes du client : 90%

Notre positionnement est d’intervenir sur les projets critiques et les technologies récentes

Objectifs de cette session• Partager, avec vous, mon expérience

• Connaître les bonnes pratiques

• Faciliter votre déploiement

Agenda• Introduction•Fondamentaux•Démarche projet• Intégration au master

… et 4 Démonstrations !

BitLocker« Protection des données lorsque le système

est électriquement éteint. »

Scénarios adressés par BitLocker• N° 1 : solution face aux vols de portables – réduire

le coût à celui de la machine

• N° 2 : Simplifier la fin de vie des ordinateurs« Forget the Key and Everything is gone »

• N° 3 : Protéger les disques de données amovibles• Quand cette politique est rendue obligatoire,

tous les disques amovibles nécessitent la protection BitLocker pour bénéficier de l’accès en écriture !

BitLocker et BitLocker to Go

2ème génération

Facile à utiliser Intégration Windows 7 Entreprise

Aucun coût supplémentaire

Contrôle centralisé GPO

WMI

Sécurité & Performance Algorithmes et taille de clefs

(AES, RSA)

Transparent, sans impact pour l’utilisateur

Récupération des données DRA : certificat et carte à puce

Recovery Password

Fondamentaux

Puce TPM

160 bits

ISO/IEC 11889

24 PCR

2048 bitsSRKEK

EnabledActivated

Owned

3 flags

v1.2

Activation TPM

Validation : Présence physique

Etats d’une puce TPM

State 7 (Enabled,Activated,Owned)

State 3 (Enabled, Activated and Not owned)

State 6 (Disabled, Activated and Owned)

State 2 (Disabled, Activated and Not owned)

/ Initialize

State 5 (Enabled, Deactivated and Owned)

State 4 (Disabled, Deactivated and Owned) State 1 (Enabled, Deactivated and Not owned)

State 0 (Disabled, Deactivated and Not Owned)

/ Initialize/ Initialize

/ TurnOn / TurnOn

/ TurnOn

/ TurnOff

/ ChangeOwnerPassword

/ Clear

/ Initialize

Clefs dans une puce TPMSignature Chiffrement

EK(Endorsement Key)

SRK(Storage Root Key)

AIK(Attestation Identity Key)

Secret

Seal (PCR0, PCR1, …)

DémoActivation de la puce TPMAffichage des PCR

BitLocker & BitLocker To Go

Volume

Protecteurs

SuspendreReprendre

DéverrouillerOS

FixeAmovible

Identifiant

GPO

Clefs• Clef par secteur

• FVEK (AES)• Clef diffuseur (Elephant)

• Clef par volume• VMK (AES)

• Protecteurs de VMK• TPM (RSA)• Recovery Password (AES)• External USB Key (AES)• DRA (RSA ou ECC)• …

VMK

TPM TPM+

PINRecoveryPasswordDRA

TPM+

USB

Protecteurs BitLocker et BTG!

PassphraseAuto-UnlockSmartCard

….

Choix des Protecteurs BitLocker

Déverrouiller un lecteur Récupérer un lecteur

Mode automatique TPM Clef en clair

(BitLocker en mode suspendu)

Interaction requise USB TPM + PIN TPM + USB TPM + PIN + USB

Mot de passe de récupération

Clef de récupération Agent de récupération

BitLocker et puce TPM : 3 étapes

Operating System Volume

System

RecoveryPasswordAgent de

récupération

TPM Agent de récupération

RecoveryPassword

SRK+

PCR

VMKFVEK

Protecteurs OS

11

1

23

TPM

Architecture Windows 7

DémoArchitecture Windows 7Driver, services, WMI

ExtensibilitéVotre Script :VbScriptJscriptPerlPowershell…

Manage-bde.exe

WMI

root

…

… …

cimv2security

MicrosoftTpm

MicrosoftVolumeEncryption…

… …

Namespace Class Securityroot\CIMV2\Security\MicrosoftTpm win32_tpm Execute Methods:

“Administrators”root\CIMV2\Security\MicrosoftVolumeEncryption

win32_EncryptableVolume Execute Methods:“Administrators”

Classe Win32_Tpm27 méthodes disponibles :http://msdn.microsoft.com/en-us/library/aa376484(v=VS.85).aspx

Classe Win32_EncryptableVolume57 méthodes disponibles :

http://msdn.microsoft.com/en-us/library/aa376483(v=VS.85).aspx

Console Opérateur unifié - (.msc)

cmd /K manage-bde -protectors -get c:

C:\Windows\explorer.exe shell:::{D9EF8727-CAC2-4e60-809E-86F80A666C91}

cmd /K manage-bde -status c:

tpm.msc

MMC

DémoActivation de BitLocker To Go !Visualisation d’un disque

Chiffrer une clef USBBitLocker To GO!

Visualisation d’un disqueEntropie

• Disque USB en clair • Disque USB chiffré

BitLocker « se résume à » :1 puce TPM

11 protecteurs de VMK

2 fournisseurs WMI

Démarche Projet

« Projet type »

Inventaire des ordinateursFabriquant Model # Bios Bios Version # TPM maker TPM version #

F.17 IFX v1.2 6910p HP4 Nov 2008

W500 LENOVO 3.154 Août 2010

INTC v1.2

HP

LENOVO

DELLE6510 DELL A06

12 Février 2010v1.2 INFINEON

… … … … …

DémoInventaire des composants :FabriquantBIOSTPM

Plan de déploiement

Extension de schéma

AD

Délégation des droits (BitLocker et TPM)

Certificat DRA

BitLocker

GPO BitLocker

Outils sur les postes opérateurs

Déploiement du

master Windows 7 compatible BitLocker

Active Directory

Computer object

ms-FVE-RecoveryInformation

ms-FVE-RecoveryPassword

ms-FVE-RecoveryGuid

ms-FVE-VolumeGuid

ms-FVE-KeyPackage

ms-TPE-OwnerInformation

Extension de schéma : 1. Stocker les informations de récupération BitLocker2. Stocker le mot de passe TPM

ACL et délégation :3. Configurer les permissions d’accès

Scripts à télécharger :http://go.microsoft.com/fwlink/?LinkId=78953

Scripts préparation Active Directory

• Add an ACE to write TPM recovery information to AD DS :http://gallery.technet.microsoft.com/scriptcenter/b4dee016-053e-4aa3-a278-3cebf70d1191

• Delegate the ability to read BitLocker recovery passwords to a group of users "BitLocker Recoverers”

http://technet.microsoft.com/en-us/library/cc771778(WS.10).aspx

• Delegate the ability to read TPM owner information to a group of users "TPM Owners“

http://technet.microsoft.com/en-us/library/cc771778(WS.10).aspx

GPO

Emplacement Paramètre ValeurSystem\Power Management\Sleep Settings Allow Standby States (S1-S3) When Sleeping (On Battery) DésactivéSystem\Power Management\Sleep Settings Allow Standby States (S1-S3) When Sleeping (Plugged In) DésactivéSystem\Power Management\Sleep Settings Require a Password When a Computer Wakes (Plugged In) ActivéSystem\Power Management\Sleep Settings Require a Password When a Computer Wakes (On Battery) ActivéSystem\Trusted Platform Module Services Configure the list of blocked TPM commands DésactivéSystem\Trusted Platform Module Services Ignore the default list of blocked TPM commands DésactivéSystem\Trusted Platform Module Services Ignore the local list of blocked TPM commands DésactivéSystem\Trusted Platform Module Services Turn on TPM backup to Active Directory Domain Services Activé

Windows Components\BitLocker Drive Encryption Choose default folder for recovery password Désactivé

Windows Components\BitLocker Drive Encryption Choose drive encryption method and cipher strength Méthode de chiffrement :AES 128 avec Diffuseur Elephant

Windows Components\BitLocker Drive Encryption Prevent memory overwrite on restart Désactivé

Windows Components\BitLocker Drive Encryption Provide the unique identifiers for your organization

Champ d’identification BitLocker : A DEFINIR

Champ d’identification autorisée BitLocker :A DEFINIR

Windows Components\BitLocker Drive Encryption Validate smart card certificate usage rule compliance

Identificateur d’objet :1.3.6.1.4.1.311.67.1.1(Correspond à l’OID BitLocker)

Si TPM + PIN :Il est recommandé de désactiverla mise en veille au profit de l’hibernation.

Préparation du disque

Windows RE250 MB

NTFS

System Partition100 MB

NTFS

OS - EncryptedRemaining Disk

NTFS

System Partition/Windows RE300 MB

NTFS

OS - EncryptedRemaining Disk

NTFS

Intégration de BitLocker au master

Niveau de contrôle

MDT & SCCM CommandeManage-bde

Scripts

Gestion de la conformitéIntégration avec des requêtes WMI !

Intégration avec SCCM 2007

http://blogs.technet.com/b/configurationmgr/

Activation BitLocker

Recommendations• Standardiser le matériel

• Paramètres de configuration en usine (OEM)• Boot Order : Disque dur en premier • Mot de passe sur le BIOS• Puce TPM activée

Activation automatique TPM

Gestion BIOS / TPMFabriquant Nom de l’outil Remarque

Dell CCTK N/AHP Biosconfigutility N/ALenovo SRCMOS Seulement pour OS 32 bits

(Shutdown de la machine pour activer manuellement la TPM)

…

Activation manuelle de la puce TPM

Activer la TPM avec opérateur

Set BIOS Password

Enable and Activate TPM

Restart Computer

9 Grandes Etapes

1. Flasher la CMOS

2. Démarrer le service TBS

3. (Activer TPM si étape 1 non disponible)

4. Configurer Politique de sauvegarde – Base de registre

5. Joindre au domaine

6. Prise de possession TPM

7. Ajouter les 2 protecteurs TPM + RecoveryPassword

8. Activer le chiffrement BitLocker

9. … Ajouter le protecteur TPM + PIN

BitLocker(Protectors :TPM + RP)

Backup To AD

TPM Activation(Enabled, Activated, Unowned)

Format

Setup of Windows7

Disk Partition

TPM (Take Ownership)

Backup To AD

BitLocker(Enable Protection)

Reboot

BitLocker configuration (.Reg file into Registry)

Join to domain

Séquence de construction

DémoActivation de BitLockerPas à pas

Synthèse

En guise de synthèse• En amont, vérifier qu’une puce TPM est bien disponible et demander que la

puce soit activée avec un propriétaire.

• Intégration avec l’existant : inventaire, wakeOnLan, schéma AD, PKI ?

• Stratégie de protection des données : protection de l’OS, des données, des disques amovibles ?

• Stratégie de récupération des données : DRA, mot de passe de récupération ?

• Si utilisation de puce TPM, définir la politique de code PIN(nombre de caractères minimum).

• S’appuyer sur l’équipe déployant les postes : activation de BitLocker à la fin de la construction du poste de travail.

• Formation des techniciens et du Helpdesk.

• Information des utilisateurs.

Questions ?

Liens utiles• How to configure Gpo for Bitlocker :

http://blogs.technet.com/b/askcore/archive/2010/02/16/cannot-save-recovery-information-for-bitlocker-in-windows-7.aspx

 • How to save recovery information in AD using manage-bde command :

http://blogs.technet.com/b/askcore/archive/2010/04/06/how-to-backup-recovery-information-in-ad-after-bitlocker-is-turned-on-in-windows-7.aspx

• Bitlocker Policies for Windows 7 on Windows Server 2003 or Windows Server 2008 :http://blogs.technet.com/b/askcore/archive/2010/07/02/bitlocker-policies-for-windows-7-on-windows-server-2003-or-windows-server-2008.aspx

 • How to use Hash of TPM from AD to reset your TPM password :

http://blogs.technet.com/b/askcore/archive/2010/08/03/how-to-use-hash-of-tpm-from-ad-to-reset-your-tpm-password.aspx

 • Issues Resulting in Bitlocker Recovery Mode and Their Resolution :

http://blogs.technet.com/b/askcore/archive/2010/08/04/issues-resulting-in-bitlocker-recovery-mode-and-their-resolution.aspx

Titre Speakers Date Horaires

Retour d’expérience : Déploiement automatique de BitLocker et BitLocker To Go ! (SEC2301) Arnaud Jumelet (MCS) 09/02 13h-14h

Retours d'expériences : implémentation de DirectAccess (SEC2203)

Benoit Sautière (Exakis - MVP Enterprise Security), Arnaud Lheureux (MS PFE)

09/02 16h-17h

RDI: Windows 7 et la Virtualisation : prouvez la rentabilité du projet à votre directeur financier ! (RDI207)

Mathieu Bourreau (MS BMO), Thierry Rapatout (MCS) 09/02 17h30-18h30

Déploiement et migration automatisés ZTI (Zero Touch Installation) des nouveaux postes de travail Windows 7/Office 2010 avec SCCM 2007 et MDT 2010 (ADM305)

Cyrielle Simeone, Frédéric Cardoso 10/02 11h-12h

Thématique Poste de Travail Optimisé