Les nouveautés de BitLocker sous Windows 8 et MBAM 2.0

Guillaume Aubert,Arnaud Jumelet,Microsoft France

Sécurité

#BitLocker, #MBAM

SEC304

Donnez votre avis !

Depuis votre smartphone, sur : http://notes.mstechdays.fr

De nombreux lots à gagner toutes les heures !!!

Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les TechDays

http://notes.mstechdays.fr

• Les améliorations BitLocker dans Windows 8

• Les nouveautés de MBAM 2.0

Notre agenda pour la session

• Sessions complémentaires

– CLI301 Mécanismes internes de la sécurité de Windows 8 – SEC302 Windows 8 et la sécurité

LES AMÉLIORATIONS BITLOCKER DANS WINDOWS 8

Les technologies de chiffrement

Matériel Logiciel Disque auto-chiffrant eDrives Via un circuit intégré UEFI avec Secure boot

Avant démarrage de l’OS Via le processeur du device Via TPM et/ou UEFI Secure Boot

Après démarrage de l’OS Chiffrement sélective dossier/fichier

Bit

Lock

er

EFS

RM

SB

itLo

cker

• La mise en service est l’étape la plus importante, mais :• L’activation du TPM est complexe pour les IT et les utilisateurs finaux• Le chiffrement initial prend du temps

• Les solutions dans Windows 8 font de BitLocker le meilleur choix:• Auto Provisioning résout la plupart des difficultés liées à l'activation du

TPM• Protection BitLocker instantanée avec les eDrives : Encrypted Hard Drives• Chiffrement rapide des disques durs avec l'option Used Disk Space Only

Encryption

Windows 8 - Améliorations du provisioning

• Windows 8 améliore les performances de BitLocker et supporte les eDrives– Le traitement du chiffrement est déporté vers le hardware– Suppression du temps initial de chiffrement des volumes– Amélioration des performances sur les disques SSD– BitLocker gère les clés – Les systèmes sans Self Encrypting Drives utilisent un

chiffrement logiciel

• Quelques constructeurs: Seagate, Samsung, Crucial, etc.

Support des Self Encrypting Drives (eDrives)

7

• Améliorer l'expérience utilisateur sous Windows 8• Élimine le besoin de posséder ou connaître un secret pour déverrouiller un lecteur

(Connected Standby devices)• Le mode récupération BitLocker est moins fréquent sur les appareils certifiés

Windows 8 (UEFI 2.3.1)• Les appareils sous Windows RT sont automatiquement chiffrés en usine• Les utilisateurs et l'IT ne sont plus mis à contribution lors de l'activation du TPM

(TPM 2.0)

• Sécurité améliorée avec Windows BitLocker• Amélioration anti-hammering de l'ouverture de session Windows sur les appareils

protégés par BitLocker (applicable par GPO et EAS)• Reprise automatique de la protection BitLocker lorsque l'appareil est laissé en

mode de suspension• Utiliser EAS pour contrôler la protection BitLocker (hors domaine et scénario BYOD)

Windows 8 - Expérience améliorée et sécurité

• Manage-bde.exe• De nouvelles options :

-SID, -KeyPackage, -UsedSpaceOnly, -WipeFreeSpace, Synchronous

• L’option TPM n’est plus disponible, il faut passer par PowerShell

• Nouveaux modules PowerShell pour BitLocker et TPM :

Utiliser BitLocker en ligne de commande

• Supporte les serveurs et les scénarios "Server Class Storage"• Support des Storage Area Networks (SAN)• Support des Clusters Windows Server

• Se base sur le protecteur de type SID

• Authentification multi-facteurs pour les serveurs (Windows Server 2012)• Permet l'authentification avec un 2e facteur sur les serveurs• Le protecteur Network s'appuie sur WDS pour fournir ce 2e facteur• Simplifie le processus de mise à jour sur les serveurs

BitLocker- Amélioration pour les serveurs

• Les possibilités et le comportement du Network Protector– Utilise en combinaison avec TPM + PIN– PIN non nécessaire si le boot a lieu quand on est connecté au réseau d’entreprise– PIN nécessaire si le boot a lieu quand on n’est pas connecté au réseau d’entreprise

• Exigences– Client – TPM, UEFI 2.3.1 avec support pour DHCPv4 et DHCPv6 (exigence pour le logon Windows

8), port LAN connecté– Serveur – Windows Server 2012 avec Windows Deployment Services (WDS)

• Processus de boot réseau– Le PC boote et utilise DHCP pour contacter un serveur WDS si une connexion cablée existe– Si le serveur WDS est disponible, le client requiert une clé depuis le serveur WDS ; si non un code

PIN est nécessaire– Le serveur WDS valide le client et envoie une clé de déverrouillage au client à travers le réseau– Le client reçoit la clé et déverrouille le volume de l’OS Windows. Le système boote

• Démo dans la session SEC303 « Windows 8 et la sécurité - Demo Extravaganza »

Nouveau protecteur : Network Protector

11

• Pour le protecteur SID, au moins un contrôleur de domaine sous Windows Server 2012 et une version du schéma 56 (Windows Server 2012)

• Mise à jour du schéma à prévoir pour accueillir les informations de récupération du TPM

• objectClass: msTPM-InformationObject (CN=TPM Devices, DC=…) – msTPM-OwnerInformation– msTPM-SrkPubThumbprint– msTPM-OwnerInformationTemp

• Computer– msTPM-TpmInformationForComputer

Intégration dans Active Directory

Understand and Troubleshoot BitLocker in Windows Server "8" Beta

Pour aller plus loin sur BitLocker

http://www.microsoft.com/en-us/download/confirmation.aspx?id=29032

LES NOUVEAUTÉS DE MBAM 2.0

• Objectifs de MBAM 1.0 :

Qu’est ce que MBAM ?

Simplifier la configuration et le

déploiement

Fournir des rapports

(i.e. audit et conformité)

Réduire les coûts du support

• Objectifs de MBAM 1.0 :

• MBAM 2.0 améliore les fonctionnalités de MBAM 1.0 :

Qu’est ce que MBAM ?

Simplifier la configuration et le

déploiement

Fournir des rapports

(i.e. audit et conformité)

Réduire les coûts du support

Amélioration de la conformité et de la

sécurité

Intégration avec les systèmes existants

(i.e. SCCM)

Réduction des coûts(i.e. portail Self

Service, déploiement

simplifié)

Mode autonome

Active Directory Domain Services &

Group Policy Infrastructure

GPO RecoveryWeb Service

Reporting Web Service

Services Web

Audit & Complianc

e

Bases de données SQL

Reporting Web Site

SSRS

Rapports de

conformité

HelpDesk Portal

Ordinateur client

Self-service Portal

Portails

Self-service Web Service

Recovery

Client MBAM et BitLocker

Admin Web ServicePortails

Services Web

Bases de données

SQL

Rapports de

conformité

Mode intégrée à Configuration Manager

Configuration Manager

Active Directory Domain Services &

Group Policy Infrastructure

GPO RecoveryWeb Service

Services Web

Audit

Base de données SQL

Management Console

SSRS

HelpDesk Portal

Ordinateur client

Self-service Portal

Portails

Self-service Web Service

Recovery

Client MBAM et BitLocker

Admin Web Service

ConfigMgrDatabase

Compliance

Agent ConfigMg

r

• Améliorations de MBAM 2.0– L’architecture recommandée pour MBAM 1.0 varie de 1 à 5 serveurs– L’amélioration des performances et de la montée en charge de

MBAM 2.0 permet une simplification de l’architecture :• Une architecture à 2 serveurs (avec les spécifications recommandées) peut

supporter un environnement de plus de 200 000 clients (MSIT utilise aujourd’hui cette architecture pour tout Microsoft)

• Restrictions restantes– Pas de support de SQL en mode cluster ou d’équilibrage de charge

• Amélioration de VSSWriter : la nouvelle implémentation permet d’effectuer des sauvegardes sans impacter la disponibilité

Options d’architecture

Options d’architecture• 2 serveurs en mode autonome (200 000

clients)

• 3 serveurs en mode intégré à CM (200 000 clients)

Matériel Minimum

Recommandé

Processeur 2,33 GHz

2, 33 GHz ou plus

Mémoire 8 Go 12 Go

Espace disque libre

1 Go 2 Go

Matériel Minimum

Recommandé

Processeur 2,33 GHz

2, 33 GHz ou plus

Mémoire 8 Go 12 Go

Espace disque libre

5 Go 5 Go ou plus

Serveur Web

Serveur SQL

Matériel Minimum

Recommandé

Processeur 2,33 GHz

2, 33 GHz ou plus

Mémoire 4 Go 8 Go

Espace disque libre

1 Go 2 Go

Matériel Minimum

Recommandé

Processeur 2,33 GHz

2, 33 GHz ou plus

Mémoire 4 Go 8 Go

Espace disque libre

5 Go 5 Go ou plus

Serveur Web

Serveur SQL

• Mode autonome et intégré à Configuration Manager– OS Client :

• Windows 7 SP1 Ultimate/Enterprise (x86/x64)• Windows 8 Enterprise (x86/x64)• Windows 8 Windows to Go

– OS Serveur :• Windows Server 2008 R2 SP1 Standard/Enterprise/Data Center• Windows Server 2012 Standard/Enterprise/Data Center

Logiciels supportés

• Mode autonome et intégré à Configuration Manager– Serveur SQL :

• SQL 2008 R2 Standard ou supérieure• SQL 2012 Standard ou supérieure

– System Center Configuration Manager:• Configuration Manager 2007 SP2• Configuration Manager 2012 SP1

Logiciels supportés

DÉMO – PORTAIL SELF-SERVICE

• Estimation de la conformité– MBAM fait respecter les « exigences minimums »– Les composants WMI permettent de faciliter le « debug »

• Flux de chiffrement– MBAM chiffre un volume à la fois– Les lettres de volume sont affichées avant le chiffrement

• Ordinateur Windows 8 sans puce TPM– MBAM permet l’utilisation du protecteur « Mot de passe » pour ces

machines– Support de Windows To Go

Changements du client MBAM

• MBAM v1 (RTM, R1 avec correctifs) vers 2.0– Beta 2 vers 2.0 fonctionne mais nécessite des modifications

manuelles

• Mode autonome vers mode autonome– Mise à niveau sans perte de données : les clés de récupération et

les informations de conformité sont conservées

• Mode autonome vers mode intégré à CM– La mise à niveau conserve les clés de récupération– Les informations de conformité sont conservées mais elles ne sont

pas portées sur Configuration Manager

Mise à jour de MBAM 1.0 vers 2.0 – 3 Options

MBAM 1.0 vers 2.0 – déploiementMise à jour des serveurs• Désinstaller la partie serveur et conserver les bases de

données• Installer la partie serveur et pointer vers les bases de

données existantes• Pour le mode intégré à CM cela inclut l’import des fichiers

MOF

Mise à jour des GPO• Choisir les protecteurs et les options

relatives aux modèles MBAM• Définir les points de connexion, l’intervalle

et la politique d’exception

Déploiement du nouvel agent• Pour le mode intégré à CM cela inclut de

déployer DCM• La conformité utilise la logique « exigences

minimums »

Pas de date exacte mais…

Disponibilité de MBAM 2.0 ?

BitLocker Protection étendue

Intégration dans Windows 8 Pro et Entreprise

Intégration dans Windows To Go, Windows RT et Windows Phone 8

Support des TPM discrets (1.2 et 2.0) et ceux basés sur le firmware (ARM TrustZone; Intel PTT)

Performance Activation de BitLocker avant l’installation de Windows

Support des disques auto-chiffrant (eDrives)

Mise en service rapide avec le chiffrement de l’espace disque utilisé uniquement

Expérience améliorée Déverrouillage par le réseau (améliorer le processus de patching lorsqu’un 2nd facteur est requis)

Modification du mot de passe et du code PIN par un utilisateur standard

Module PowerShell pour administrer BitLocker

Option de récupération en ligne avec SkyDrive (Windows 8 et Windows RT)

3ème génération

MBAM 2.0Intégration

Configuration Manager

Support Windows 8

Self Service

Customer Feedback

Support de Windows 8 EnterpriseSupport de Non-TPM / Windows To GoSupport du « Pre-Provisioning » BitLocker

Utilisateurs sont en mesure de récupérer les clés de récupération depuis un portail (protection par control d’accès)Audit de tous les accès aux clés de récupérationPlus de flexibilité par rapport au prérequis (TDE, SQL Server, …)Amélioration du flux de chiffrement Amélioration des performances et de la montée en charge

Rapports de conformité intégrés à l’environnement CMCompatibilité matériel et sélection via les collections de CMLe client de CM prend en charge la partie « Reporting »

4 ouvrages écrits par 13 Microsoftees

http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels

Formez-vous en ligne

Retrouvez nos évènements

Faites-vous accompagner gratuitement

Essayer gratuitement nos solutions IT

Retrouver nos experts Microsoft

Pros de l’ITDéveloppeurs

www.microsoftvirtualacademy.com

http://aka.ms/generation-app

http://aka.ms/evenements-developpeurs http://aka.ms/itcamps-france

Les accélérateursWindows Azure, Windows Phone,

Windows 8

http://aka.ms/telechargements

La Dev’Team sur MSDNhttp://aka.ms/devteam

L’IT Team sur TechNethttp://aka.ms/itteam