cifrado de discos de equipos corporativos con bitlocher
DESCRIPTION
Charla impartida por Fernando Guillot en el IV Curso de Verano de Seguridad Informática de la Universidad Europea de Madrid.TRANSCRIPT
Configura, administra y gestiona:
Bitlocker en tu Organización(MBAM)
Fernando Guillot
IT Pro [email protected]://blogs.technet.com/b/guillot@fggimeno
Windows 7 BitLocker™ & BitLocker To Go™ Resumen
Diseñada parautilizar Trusted Platform Module (TPM) v1.2
o Almacenamiento de
claves segura
o Integridad en el
arranque
Protectores de Claveso TPM
o TPM+PIN
o Data Recovery Agent
(DRA)
o Recovery Key
Similar a los discos
fijos
El disco tiene que
tener al menos 64Mb
de espacio libre.
Sólo lectura para
máquinas con
Windows Vista y
Windows XP
Volumen del SO Discos y dispositivosexternos
Volumenes Fijos
El Sistema de archivos
debe estar formateado
en exFAT, FAT16, FAT32
o NTFS.
Se puede desbloquear
de forma automática
siempre que el S.O esté
cifrado.
FEEDBACK RECIBIDO
Si un dispositivo se pierdedebemos tener una manerade chequear si el contenidoestabao no cifrado.Una manera simple de chequearlo
El proceso de cifrado de los recursos puede ser difícil.
Necesitamos una forma mássencilla de que esto ocurra.
Determinar si nuestras máquinascumplen los requerimientos. Necesitamos una manera fácilde determinar si cumplimoslos requisitos de la organización
Cuando los usuarios pierden lasclaves de sus volumenescifrados, su productividad se veafectada. Necesitamos un procesosencillo de recuperación de claves
Existen muchas opciones en laspolíticas para configurar BitlockerNecesitamos una forma sencilla de tomar las decisionescorrectas
¿Qué es “Microsoft BitLocker Administration and Monitoring (MBAM)?
Es una solución que permite a profesionales de TI, desplegar, monitorizar y recuperar las claves de Bitlocker.
Estará disponible en el tercer cuarto del 2011 cómo parte de Microsoft Desktop Optimization Pack (MDOP)
Objetivos son:
1Simplificar el despliegue y el aprovisionamiento
2Mejorar los reportesy la comprobaciónde cumplimientosde la organización
3 Reducir gastos de soporte
Simplificar el despliegue de Bitlocker
Cifrar una máquina antes de que el usuario la recibao Microsoft Deployment Toolkit (MDT)o System Center Configuration Manager
Permite que los usuarios cifren sus máquinas al aplicarsela políticao Simplificar la inicilización del TPMo Por políticaso Permitir excluir determinado HW
Política
Compatibilidad del HW
Cifrar antes de que el usuario reciba la máquina
Funciona con las herramientas de despliegue de Windows 7
Flexibilidad en el proceso
o Administrar cuando rebotamos el TPMo Reduce la complejidad:
– Uso de TPM sólo en el proceso de staging
– PIN obtenido en el primer contacto con el cliente
o Se puede saltar la escritura de la clave de recuperación– Clave de recuperación se actualizará la primera vez que el usuario entre en la máquina
Cifrar DESPUÉS de que el usuario reciba la máquina
Permite a los usuarios cifrar sus máquinaso Usuarios normales pueden cifrar la máquinao La gestión del TPM se simplifica y se integra en el proceso
o Usuario puede posponer temporalmente el cifrado
Experiencia basada en políticas
Configuración de politicas MBAM
Políticas añadidas sobre las de Bitlocker
Nuevas políticaso Policy para desbloqueo automático de FDVo Chequeo de Hardware antes del cifradoo Permitir al usuario que pida una prologao Verificación automática de cumplimiento de laspolíticas (default = 90 min)
Las Políticas: o Computer Configuration > Administrative Templates > Windows Components > BitLocker Management Solution
Administración de Capacidades HW
Algunas máquinas antiguas puede que no soporten TPM
Para asegurarnos de que esas máquinas no son cifradas necesitamos un procedimiento que nos separe las máquinas capaces de las que no los on
Cómo habilitarlo:o Política de grupo que fuerza al cliente a chequear antes del cifradoo Desde la consola central podemos definir máquinas que cumplen los requisitos y las que no
Cómo Funciona:
1
A medida que añadimosnuevas máquinas a
nuestra organización, se añaden a la lista en los servidores MBAM
2
El sitio web permite a los ITPROS mover máquinasde la lista de máquinascapaces a desconocidas
o no capaces
3
Cuando estacaracterística está
habilitada , sólo se cifralas máquinas catalogadas
cómo capaces
4
Antes de empezar a cifrarMBAM verifica que la máquina es capaz(marca/modelo)
Las PolíticasDEMO
MBAM Client
Group Policy:
AD, AGPM
Experiencia del Usuario
Reporting
El Agente MBAM collecciona y pasa todos estos datos al Reporting Servero Todos los clientes pasan esta información estén o no cifradoso IT puede clarificar PORQUÉ una máquina no cumple las políticas
Se puede construir sobre SQL Server® Reporting Services (SSRS), nosda flexibilidad y podemos añadir nuestros propios reportes
Necesitas saber el estado último de una
máquina?
Cuando y quien ha accedido a las claves de recuperación. Y
cuando se ha añadidonuevo HW.
¿Necesitas saber cuande efectivos han sidotus despliegues? O ¿si tu empresa
cumple con la política?
Cumplimiento de las políticas Empresariales
Muestra una fotode la organización
Número y porcentajede máquinas quecumplen las políticas
Número total de máquinasgestionadas
Filtrado
Estado
Típo de máquina
Última fecha de contacto
Detalles
Nombre de máquina
Dominio
Estado
Último contacto
Reporting de máquinas
Te deja conocer siuna máquina
cumple o no los requisitos
Busqueda:
Usuario o Máquina
Detalles
Nombre de máquina
Politica OS/FDV/RDV
Estado del cumplimiento
Último contacto
Marca/modelo
Auditoría de HW
Usado cuando se utiliza la política de
gestión de compatibilidad de
HW
Te muestra los cambios que se hanrealizado vía la página de
compatibilidad de HW
Detalles:
Usuario
Día / Fecha
Tipo de Cambio
Valor original y actual
Auditoría de acceso a claves de recuperación
Quíen ha pedidoinformación de recuperación
Details/Filters
Quien tuvoacceso a la clave
Para quien lo pidio
Exito/ Fallo
Qué se pidio
Qué datos se guardan y Reportes personalizados
Qué información guarda MBAM?o HW de máquinas (detalles del TPM, marca, modelo, model, tamaño del disco duro etc…)
o Uso de la máquina (Quien la utilizó, el últimocontacto)
o Información de Bitlocker (Nivel de cifrado, Política de volumenes, capacidad del hw)
o Información de volumenes (Estado de Bitlocker, protectores, etc)
Reportes están construidos sobre SSRS; IT puedeconstruir reportings adicionales.o Exportar a csv, html, pdf
ReportingDEMO
MBAM Client
Group Policy:
AD, AGPM
Compliance Data
HTTPS
Compliance Service
Compliance ReportsCentral Administration
Reducir costes de soporte
Repositorio central de Claves de recuperacióno Todas las claves de recuperación se guardan en una base de datos cifradao Interfaz para helpdesk de claves de recuperación
Interfaz gráfico simplificado para los usuarios al lanzar la políticao Permite que usuarios estandard puedan cifraro Esconde el panel de control de Bitlocker, para evitar que usuarios con
derechos de administrador puedan descifrar las máquinas
Clave de recuperación de un sólo uso
Repositorio central de Claves de recuperación
Claves de recuperacióno Volumen del S.Oo Volumenes fijos de datoso Discos duros extraibleso Se guarda todo fuera del directorio activo
Arquitectura de tres niveleso La base de datos está cifrada usando SQL Server’s
Transparent Data Encryptiono Se puede utilizar las API’s “Web Service” para construir
servicios propios para nuestra organizacióno Todos los logs y autorización se realizan en la capa de web
service para garantizar paridad con las appliacionespersonalizadas
Interfaz de recuperación para el Helpdesk
MBAM genera una página web con funcionalidad para el centro de soporteo Claves de recuperación para usuarios autorizadoso Permitir paquetes de desbloqueo de las TPM’s para usuarios autorizadoso Todas las peticiones son registradas: quien, cuando, y que volumen
Autorización basado en roles para recuperar informacióno Tier 1: Helpdesk necesita conocer la persona e Identificador para poder
recuperar la claveo Tier 2: Con el Identificador es suficiente
Clave de recuperación de un sólo uso
Una vez que la clave de recuperación ha sidoexpuesta, el cliente creará una nuevao Cómo parte de la comunicación entre cliente y servidor, el cliente chequea si la clave ha sido expuesta
o El cliente MBAM creará una nueva clave y la pasará al servidor
o Transparente para el usuario
Las claves de recuperación se crearán una vez el volumen ha sido desprotegido y se garantice quese puede guardar correctamente la nueva clave
Enable Windows Standard Users
Hides BitLocker Control
Panel UI so admins have
a more difficult time:
Decrypting computers
Suspending encryption
Done through policy, so can be
made visible if desired
We cannot stop admins from doing
this—they have Admin rights!
Standard users can:
Encrypt computers
Change PIN or passwords via
MBAM Control Panel
Right-Click access to MBAM
MBAM Helpdesk ToolsDEMO
Recovery Password Data
Compliance Data
HTTPS
Client
Group Policy: AD, AGPM
Compliance Service
Key Recovery Service
Helpdesk UX for Key Recovery
Compliance ReportsCentral Administration
Software and Hardware Requirements
Requisitos del Servidor
Administration Website & Web Services• Windows 2008 Server w/ SP2; Windows 2008 Server
R2; (x64|x86) • Windows SKU’s: Standard, Enterprise, Data Center, or
Web Server• Web Server Role (Internet Information Services
(IIS))• Application Server Role (ASP.NET, etc.)• Microsoft .NET Framework version 3.5 SP1
Database Server• SQL Server 2008; SQL Server 2008 R2 (Standard,
Enterprise, Datacenter)• Encrypted Database (TDE) requires Enterprise
or Datacenter
Hardware Requirements• Min requirements for Windows and SQL Server
will be satisfactory for all components• Disk Foot Print: < 10MB on Server and Client
Roles• Performance: Minimal over time on Server and
Client Roles; + BitLocker• Final hardware requirements to be determined
Requisitos del Cliente
• Windows 7 Enterprise or Ultimate Hardware Requirements• TPM v1.2 for O/S encryption
¿Lo puedo probar?
Descarga la beta aquí
Para poder dar feedback, aquí
Enlaces
Webcast sobre Bitlocker:o https://msevents.microsoft.com/CUI/EventDetail.aspx?cultu
re=es-ES&EventID=1032466928&CountryCode=ES
Cómo usar Bitlocker en máquinas que no tienen TPMo http://blogs.technet.com/b/guillot/archive/2011/01/10/c-
243-mo-usar-bitlocker-en-m-225-quinas-que-no-tienen-tpm.aspx
Cómo recuperar las claves de Bitlocker desde el Directorio Activoo http://blogs.technet.com/b/guillot/archive/2010/11/17/c-
243-mo-recuperar-las-claves-de-bitlocker-desde-el-directorio-activo.aspx
Sigue a TechNet España
http://www.facebook.com/TechNet.Spain
http://www.twitter.com/TechNet_es
Fernando GuillotIT Pro [email protected]://blogs.technet.com/b/guillot@fggimeno
http://technet.microsoft.com/es-es/edge