teched 2009: Windows 7 Bitlocker: Configuration and Deployment
Paul A. Cooke – CISSP
Director Microsoft
Die Erklärung, was Bitlocker ist, erspare ich mir an dieser Stelle….
Zuerst ein paar Erklärungen zu den Bitlocker-Mythen:
Bitlocker hilft mir nicht, wenn meine Maschine nur schläft – Richtig – in dem Moment ist der Key im Memory und das OS hat vollen Zugriff auf die Platte
Da ist eine unverschlüsselte Partition meiner Platte – Richtig – das braucht das Bios, um zu starten – wird nach dem Starten versteckt
Bitlocker macht nicht nur Plattenverschlüsselung, sondern auch Integritätscheck – Bootsektor, OS Folder – wenn das verändert ist, bootet die Maschine nicht
Was ist in Win 7 neu ?
automatisch eine 100 MB hidden boot partition, wenn Bare Metall installiert
Neue Key Protectors
Domain Recovery Agent (DRA)
Passwords (nur für Data-volumes, nicht für OS Volumes)
Smart Card (nur für Data-volumes, nicht für OS Volumes)
Auto-Unlock
Bitlocker To Go
Support für FAT
Schutz: DRA, passphrase, smart card und/oder auto-unlock
Management: Protector Configuration, encryption enforcement
Read-Only access für Vista & Xp
Architektur-Übersicht
SRK (Storage Root Key) ist im TPM
SRK entschlüsselt den VMK (Volume Master Key)
VMK entschlüsselt den FVEK (Full Volume Encryption Key) – dieser wird für die tatsächliche Verschlüsselung verwendet – ist für jedes Volume einzigartig
FVEK und VMK sind verschlüsselt auf der OS Partition gespeichert
System Volume enthält:
Master Boot Record, Boot Manager und Boot Utilities
4 Möglichkeiten des Schutzes (von “unsicherst” bis sicherst)
Nur TPM – Schützt gegen SW only-attacks – wenn ich die Maschine aufdrehe, hat der Angreifer ein laufendes OS – und damit Zugriff auf ev. Sicherheitslücken – besse als nix.
Dongle Only – schützt gegen alle HW Attacks – aber meistens ist der Dongle in der Laptop-Tasche….
TPM+PIN – Schützt gegen viele HW Attacks – offfen für TPM breaking atttacks
TPM+Dongle – schützt noch besser
TPM+Dongle+PIN – sehr secure, aber sehr umständlich, weil ich Dongle + Pin brauche
in Win 7 kann ich die Pin Länge definieren und ich kann auch alphanumerische Pins verwenden (geht ev. auf älterer HW nicht, weil das Keyboard nicht voll verfügbar ist in dieser Bootphase)
Bitlocker Metadaten sind mehrfach auf der Disk verteilt, damit bei Sektorenfehler Bitlocker trotzdem noch funktioniert
In Win 7 kann ich eine Policy setzten: Wenn eine User ein removabel Drive ansteckt, muss er es Bitlocker aktivieren, bevor er Daten SPEICHERN kann (lesen geht)
Voraussetzungen für Bitlocker:
TPM v 1.2 und TPM compatibles Bios (Achtung: bei vielen Maschinen ist das per Default im Bios abgeschalten – Consumer Maschinen haben es oft nicht)
System Bios muss das lesen und schreiben von kleinen Dateien auf ein USB Flash Device im pre-operating system environment unterstützen (wenn ich keinen TPM Chip habe)
Disk Partitioning – wichtig, dass die 100 MB Partition da ist – Achtung, wenn ich mit MDT oder SCCM oder anderen Tools Win7 deploye !
das hat beim internen Deployment bei MS einiges Kopfzerbrechen gekostet !
Beispiele für Diskpartition: 250 MB Windows RE, 100 MB System Partition, OS als Rest..
EMPFEHLUNGEN HARDWARE:
Standardiziere die Hardware
Hardware per-build configuration: BIOS Settings, Enable and activate TPM und BIOS Password
Minimize the number of reboots for user (im Schlimmsten Fall 4 reboots, im besten Fall 1 Reboot)
Was benötigt Reboot ? Repartitiong, TPM Initialization, TPM Ownership, BitLocker SystemCheck
Was sollte ich tun: Deploy Windows mit der empfohlenen Partition, ask the OEM to enable TPM
Management and Recovery Aspects
Bitlocker Group Policy können:
- Bitlocker Backup in AD enablen
- advanced startup options, recovery options konfiurieren
- encryption methode definieren
- Minimum Pin Länge definieren
- Schreibzugriff auf nonBitlocker-Drives verbieten
- Schreibzugriff auf Bitlocker-Protected Drives, die nicht von meiner Firma sind, verbieten
- usw
Develop a Recovery Strategie !
Das letze, was Du willst, ist KEINE Recovery Strategy zu haben !
Wenn der User den Pin vergisst, die Platte defekt ist, TPM Chip defekt ist, Bios Updates usw… brauche ich unbedingt vorher einen Recovery-Plan ! (getestet !)
BEI DEFAULT ist KEIN AD RECOVERY ENABLED !
- Admin muss das im AD enablen
- Schema Erweiterung dafür notwendig (gleiche Erweiterung für Vista und Win7)
- Alle Domaincontroller müssen zumindest Win 2003 SP1 sein
- Recovery Data ist im Computer Object gespeichert – Achtung: Gilt auch für USB Sticks – für jeden USB Stick wird die Recoveryinfo auf dem Computerobjekt gespeichert, wo der Stick verschlüsselt wird ! Vorsicht, wenn ich eine neue Maschine bekomme….
Data Recovery Agent
- Zertifikatbasierender KEY protector
- Ein Public Key ist über Group Policy verteilt und damit wird
Group Policies: Computer Config, Admin Templates, Windows Components, Bitlocker Drive Encryption
Computer Config, WIndows Settings, Security Settings, Public Key…
WIndows Recovery Umgebung
In Win Re kann ich auf Bitlocker-verschlüsselte Platten zugreifen (bei Mitbewerbern oft nicht möglich)
WIn Re hat alle Tools, die dazu notwendig sind
Win RE muss auf der unverschlüsselten Partition liegen
Manage-BDE und REPAIR-BDE sind die Tools dazu
Empfehlungen:
Group Policies – stell sicher, dass die Group Policies gesetzt sind, BEVOR du Bitlocker rausrollst
TPM+PIN ist die beste Balance zwischen Sicherheit und Bequemlichkeit
WINRE sollte auf einer eigenen Partition deployed werden
Teste alle Recovery optionen !
Verwende AD, wenn du deine eigene Recovery Lösung bauen willst
Achtung: Wenn du den Recovery Key im AD gespeichert haben willst, muss die Maschine VORHER AD-joined sein ! (Eh klar, aber…)
Starte die Verschlüsselung nachdem der Installationsprozess abgeschlossen ist, nicht während du noch Apps/Updates installierst
Manage-BDE ist ein commandline Tool, um Bitlocker auf der Maschine zu aktivieren/konfigurieren
Example Skript: %systemdrive%\WIndows\Sytsem32\Manage-bde.wsf
MDT und SCCM kennen Bitlocker und unterstützen es beim Deployment Prozess
Christian – live aus Berlin von der teched