1 / 55

Déploiement automatique de BitLocker et BitLocker To Go! (SEC2301)

Déploiement automatique de BitLocker et BitLocker To Go! (SEC2301). Arnaud JUMELET – CISSP Consultant Sécurité, Microsoft France. http://blogs.technet.com/arnaud_jumelet/. Microsoft Services: Un accompagnement global de nos clients. Architecture & Planning Planification. Conseil et Projets

ronna
Download Presentation

Déploiement automatique de BitLocker et BitLocker To Go! (SEC2301)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Déploiement automatique de BitLocker et BitLocker To Go!(SEC2301) Arnaud JUMELET – CISSP Consultant Sécurité, Microsoft France http://blogs.technet.com/arnaud_jumelet/

  2. Microsoft Services:Un accompagnement global de nos clients Architecture & Planning Planification Conseil et Projets Déploiement et adoption Support Optimisation et Opération Support Premier Consulting Services Enterprise Strategy • Division Services France 2010 • 180 Consultants • 125 Technical Account Managers • 190 Ingénieurs Support • 17 Responsables de Mission • 41 Partenaires référencés • Division Services Monde 2010 • 82 pays couverts • 18 000 employés • 35 000 partenaires • 44 langues parlées par nos ingénieurs Evaluation Développement Stabilisation Support Planification Opérations Déploiement www.microsoft.fr/services

  3. Notre positionnement est d’intervenir sur les projets critiques et les technologies récentes Criticité du projet • Notre engagement auprès de nos partenaires est : • De leur assurer un transfert d’expertise, • De leur apporter notre support sur les dernières technologies, • De leur donner accès aux meilleures pratiques de mise en œuvre et de support. Partenaires Maturité de la technologie • Nos clients et partenaires sont particulièrement satisfaits par… • Le niveau d’engagement des consultants : 94% • La gestion de l’équipe de projet : 92% • Les compétences techniques des consultants : 91% • La relation avec les équipes du client : 90%

  4. Objectifs de cette session • Partager, avec vous, mon expérience • Connaître les bonnes pratiques • Faciliter votre déploiement

  5. Agenda • Introduction • Fondamentaux • Démarche projet • Intégration au master … et 4 Démonstrations !

  6. BitLocker « Protection des données lorsque le système est électriquement éteint. »

  7. Scénarios adressés par BitLocker • N° 1 : solution face aux vols de portables – réduire le coût à celui de la machine • N° 2 : Simplifier la fin de vie des ordinateurs « Forget the Key and Everything is gone » • N° 3 : Protéger les disques de données amovibles • Quand cette politique est rendue obligatoire, tous les disques amovibles nécessitent la protection BitLocker pour bénéficier de l’accès en écriture !

  8. BitLocker et BitLocker to Go • Facile à utiliser • IntégrationWindows 7 Entreprise • Aucun coût supplémentaire • Contrôle centralisé • GPO • WMI • Sécurité & Performance • Algorithmes et taille de clefs(AES, RSA) • Transparent, sans impact pour l’utilisateur • Récupération des données • DRA : certificat et carte à puce • Recovery Password 2èmegénération

  9. Fondamentaux

  10. Puce TPM ISO/IEC 11889 2048 bits EK SRK v1.2 3 flags Enabled 24 PCR Activated Owned 160 bits

  11. Activation TPM Validation : Présence physique

  12. Etats d’une puce TPM

  13. Clefs dans une puce TPM Signature Chiffrement

  14. Démo Activation de la puce TPM Affichage des PCR

  15. BitLocker & BitLocker To Go Protecteurs Identifiant Volume Déverrouiller OS GPO Fixe Amovible Suspendre Reprendre

  16. Clefs • Clef par secteur • FVEK (AES) • Clef diffuseur (Elephant) • Clef par volume • VMK (AES) • Protecteurs de VMK • TPM (RSA) • Recovery Password (AES) • External USB Key (AES) • DRA (RSA ou ECC) • …

  17. Protecteurs BitLocker et BTG! TPM TPM+ PIN TPM+ USB RecoveryPassword VMK DRA …. Passphrase Auto-Unlock SmartCard

  18. Choix des Protecteurs BitLocker

  19. BitLocker et puce TPM : 3 étapes Protecteurs OS TPM Recovery Password Agent de récupération Recovery Password 1 1 Agent de récupération 3 2 FVEK VMK SRK+PCR 1 Operating System Volume System TPM

  20. Architecture Windows 7

  21. Démo Architecture Windows 7 Driver, services, WMI

  22. Extensibilité Votre Script : VbScriptJscript Perl Powershell …

  23. Manage-bde.exe

  24. WMI

  25. Classe Win32_Tpm 27 méthodes disponibles :http://msdn.microsoft.com/en-us/library/aa376484(v=VS.85).aspx

  26. Classe Win32_EncryptableVolume 57 méthodes disponibles :http://msdn.microsoft.com/en-us/library/aa376483(v=VS.85).aspx

  27. Console Opérateur unifié - (.msc) tpm.msc C:\Windows\explorer.exe shell:::{D9EF8727-CAC2-4e60-809E-86F80A666C91} MMC cmd /K manage-bde -protectors -get c: cmd /K manage-bde -status c:

  28. Démo Activation de BitLocker To Go ! Visualisation d’un disque

  29. Chiffrer une clef USBBitLocker To GO!

  30. Visualisation d’un disqueEntropie • Disque USB en clair • Disque USB chiffré

  31. BitLocker « se résume à » : 1 puce TPM 11 protecteurs de VMK 2 fournisseurs WMI

  32. Démarche Projet

  33. « Projet type »

  34. Inventaire des ordinateurs Fabriquant Model # Bios Bios Version # TPM maker • TPM version # 6910p HP F.17 IFX v1.2  HP 4 Nov 2008 W500 LENOVO 3.15 INTC v1.2  LENOVO 4 Août 2010 E6510 DELL A06 INFINEON v1.2  DELL 12 Février 2010 … … … … …

  35. Démo Inventaire des composants : Fabriquant BIOS TPM

  36. Plan de déploiement

  37. Active Directory Extension de schéma : Stocker les informations de récupération BitLocker Stocker le mot de passe TPM ACL et délégation : Configurer les permissions d’accès Computer object Scripts à télécharger : ms-FVE-RecoveryInformation http://go.microsoft.com/fwlink/?LinkId=78953 ms-FVE-RecoveryPassword ms-FVE-RecoveryGuid ms-FVE-VolumeGuid ms-FVE-KeyPackage ms-TPE-OwnerInformation

  38. Scripts préparation Active Directory • Add an ACE to write TPM recovery information to AD DS : http://gallery.technet.microsoft.com/scriptcenter/b4dee016-053e-4aa3-a278-3cebf70d1191 • Delegate the ability to read BitLocker recovery passwords to a group of users "BitLocker Recoverers” http://technet.microsoft.com/en-us/library/cc771778(WS.10).aspx • Delegate the ability to read TPM owner information to a group of users "TPM Owners“ http://technet.microsoft.com/en-us/library/cc771778(WS.10).aspx

  39. GPO Si TPM + PIN : Il est recommandé de désactiver la mise en veille au profit de l’hibernation.

  40. Préparation du disque Windows RE 250 MB NTFS System Partition 100 MB NTFS OS - Encrypted Remaining Disk NTFS System Partition/Windows RE 300 MB NTFS OS - Encrypted Remaining Disk NTFS

  41. Intégration de BitLocker au master Commande MDT & SCCM Scripts Manage-bde Niveau de contrôle

  42. Gestion de la conformité Intégrationavec des requêtes WMI ! Intégration avec SCCM 2007 http://blogs.technet.com/b/configurationmgr/

  43. Activation BitLocker

  44. Recommendations • Standardiser le matériel • Paramètres de configuration en usine (OEM) • Boot Order : Disque dur en premier • Mot de passe sur le BIOS • Puce TPM activée

  45. Activation automatique TPM

  46. Activation manuelle de la puce TPM Activer la TPM avec opérateur Set BIOS Password Enable and Activate TPM Restart Computer

  47. 9 Grandes Etapes • Flasher la CMOS • Démarrer le service TBS • (Activer TPM si étape 1 non disponible) • Configurer Politique de sauvegarde – Base de registre • Joindre au domaine • Prise de possession TPM • Ajouter les 2 protecteurs TPM + RecoveryPassword • Activer le chiffrement BitLocker • … Ajouter le protecteur TPM + PIN

  48. Séquence de construction

  49. Démo Activation de BitLocker Pas à pas

  50. Synthèse

More Related