BitLocker Drive Encryption - Technischer Überblick Michael Kalbe Technologieberater IT Sicherheit Microsoft Deutschland GmbH http://blogs.technet.com/mkalbe
Das Webcast-Team Michael Kalbe Technologieberater Microsoft Deutschland GmbH Silke-Christina Roesner Marketing Manager Assistant IT Pro Microsoft Deutschland GmbH
Agenda Warum Laufwerksverschlüsselung? BitLocker Drive Encryption (BDE) Überblick BitLocker Voraussetzungen & Deployment BitLocker Administration & Wiederherstellung
Informationsverlust ist Kostspielig Finanziell Rechtlich Image & Glaubwürdig keit Laut einer amerikanischen Studie kostete Informationsverlust Unternehmen im Jahr 2004 $250 Milliarden Umsatzverlust, Markt Kapitalisierung und Vorteile gegenüber Mitbewerbern Erhöhte Regulierung: SOX, HIPAA, GLBA Anpassung an die Regularien kann komplex und kostenintensiv sein Zuwiderhandlungen werden rechtlich verfolgt und geahndet Weiterleitung von vertraulichen Informationen unbeabsichtigte Veröffentlichung von Informationen
Informationssicherheit Business Need! Informationen sollten immer geschützt werden Informationen/Daten auf file shares müssen verschlüsselt werden und gegen unautorisiertem Zugriff geschützt werden Schutz der Vermögenswerte des Unternehmens wie beispielsweise Laptops oder Niederlassungsserver vor physikalischen Angriffen Lösung = RMS, EFS, BitLocker Richtlinien Definition und Durchsetzung durch die Plattform User-Basierende Dateisystemverschlüsselung Hardware-Basierende Festplatten Verschlüsselung
BitLocker Laufwerksverschlüsselung Überblick
BitLocker Laufwerksverschlüsselung Schützt bei Diebstahl oder Verlust, wenn der PC mit einem anderen Betriebssystem gestartet wird oder ein Hacking-Tool zur Umgehung der Windows- Sicherheit eingesetzt wird Bietet Schutz der Daten auf einem Windows-Client - selbst wenn sich der PC in falschen Händen befindet oder ein anderes Betriebssystem ausgeführt wird Verwendet ein v1.2 TPM oder USB Flashdrive zur Schlüsselablage BitLocker
Spektrum der Absicherung BDE bietet ein Spektrum der Absicherung, dass den Kunden die Abwägung zwischen Ease-of-use und Systemsicherheit ermöglicht Einfache Nutzung TPM Only What it is. Protects against: SW-only attacks Vulnerable to: HW attacks (including potentially easy HW attacks) Dongle Only What you have. Protects against: All HW attacks Vulnerable to: Losing dongle Pre-OS attacks ******* TPM + PIN What you know. Protects against: Many HW attacks Vulnerable to: TPM breaking attacks TPM + Dongle Two what I have s. Protects against: Many HW attacks Vulnerable to: HW attacks Sicherheit
Was ist ein Trusted Platform Module? Smartcard-artiges Modul, welches: Geheimnisse schützt Cryptografische Funktionen durchführen kann RSA, SHA-1, RNG Kann Schlüssel erstellen, speichern und verwalten Stellt einen unique Endorsement Key (EK) Stellt einen unique Storage Root Key (SRK) Kann Digital signieren Verankert chain of trust für Schlüssel und Credentials Schützt sich selbst gegen Angriffe TPM 1.2 spec: www.trustedcomputinggroup.org
Disk Layout & Key Storage Windows Partition > Encrypted OS > Encrypted Page File > Encrypted Temp Files > Encrypted Data > Encrypted Hibernation File Wo ist der verschlüsselungs- Schlüssel? 1. SRK (Storage Root Key) im TPM 2. SRK verschlüsselt VEK (Volume Encryption Key) geschützt durch TPM/PIN/Dongle 3. VEK gespeichert (verschlüsselt durch SRK) auf der Festplatte in der Boot Partition VEK 2 1 SRK Windows Boot 3 Boot Partition: MBR, Loader, Boot Utilities (Unverschlüsselt, klein)
BitLocker Business Value Die Laufwerksverschlüsselung erhöht die Sicherheit von Registrierung, Konfigurationsdateien, Auslagerungsdateien, und hibernation files welche auf dem verschlüsselten Laufwerk abgelegt sind Zerstören des root key erlaubt eine sichere Wiederverwendung von Hardware, die ursprünglichen Datene sind nicht mehr lesbar
BitLocker Voraussetzungen und Deployment
BitLocker Hardware Voraussetzungen Hardware Vorausetzungen Trusted Platform Module (TPM) v1.2 Firmware (Conventional or EFI BIOS) TCG compliant Zusätzliche Funktionalität durch USB Dongle Festplatte muss aus mindestens 2 Partitionen bestehen. Partitionen im NTFS Format.
BitLocker Einzelnes System mit TPM Windows Vista Installation 1 2 3 Windows Vista Installation > BDE benötigt eine separate Partition mit mindestens 350MB > Während der Installation wird überprüft auf die korrekte des TPM (v 1.2) und BIOS via Plug and Play > TPM & BDE Treiber sind installiert 6 ******* BDE Installation 1. Start der installation über die Systemsteuerung 2. Installation überprüft Festplatten Layout. Partition muss NTFS sein und eine Windows Vista Installation. 3. Installation aktiviert BDE für das Windows Volume 4. Installation überprüft die Initialisierung des TPM 5. Anwender wählt Recovery Key Backup Methode, und die Installation beginnt mit der Verschlüsselung des Volume 6. Installation zeigt Verschlüsselungsfortschritt im Hintergrund über die Taskleiste an und informiert über deren Fertigstellung 5 4
BitLocker Unternehmes- System mit TPM BDE installation 1. Active Directory ist vorbereitet für die BDE Schlüssel 2. Windows Vista Installation a. BDE benötigt eine separate Partition mit mindestens 350 MB freien Speicherplatz b. Während der Installation wird überprüft auf die korrekte des TPM (v 1.2) und BIOS via Plug and Play c. TPM & BDE Treiber sind installiert 3. BDE Initialisierung a. Geskriptete Initialisierung des TPM b. TPM Ownership Kennwort wird im Active Directory abgelegt 4. Remote ausgeführtes BDE Skript a. Richtlinie speichert Wiederherstellungsschlüssel im AD b. System ist verschlüsselt 5. Überprüfung der Audit Logs 1 Active Directory ist vorbereitet für die BDE Schlüssel Speichert TPM Ownership Password Speichert BDE Wiederherstellungsschlüssel 5 BDE Skript Setup 4 Windows Vista Installation 2 TPM Skript Initialisierung 3
BitLocker Administration und Wiederherstellung
A configuration change was requested to enable, activate, and allow a user to take ownership of this computer s TPM (Trusted Platform Module) NOTE: This action will switch on the TPM Press [F10] to enable, activate, and allow a user to take ownership of the TPM Press ESC to reject this change request and continue BitLocker TPM Administration Storyboard Neues System Windows 1 2 3 INFO: Schritte 1-3 können durch OEM/SP vorkonfiguriert sein User Username name: Password: ********* Log on to: Domain OK Cancel Shut Down... Options << 4 Basic TPM Administration/Deployment 1. System ist in uninitialisiertem Status 2. Aktivierung TPM 3. Überprüfung durch Neustart des Systems 4. Windows Vista Anmeldung 5. Besitzübebernahme TPM 6. Überprüfung der Existens des Endorsement Key (vom OEM) 7. Erstellen des TPM Administrationskennwortes 8. Bestätigung der Änderungen zum TPM und Initialisierung. 9. Veröffentlichung des TPM Administrationskennwortes AD/File 10.TPM Initialisierung abgeschlossen ********* 9 10 ********* 8 7 5 6
BitLocker Wiederherstellungsoptionen BDE Setup hinterlegt automatisch Schlüssel & Passwörter im AD Zentralisierte Ablage/Management- Schlüssel (EA SKU) Setup kann zusätzlich (basierend auf den Richtlinien) Schlüssel & Passwörter auf einen USB dongle oder Filebereiche sichern Standard für nicht-domänen Benutzer (e.g. Ultimate SKU) Wiederherstellungspasswort bekannt (Benutzer/Administrator) Wiederherstellung jederzeit möglich Windows kann wie gewohnt verwendet werden
BitLocker Recovery Storyboard Broken Hardware 1 2 2 1 Wiederherstellungsszenario 1. Funktion aktiviert 2. AD Zugriff via Netzwerk 3. Wiederherstellungsschlüssel im AD und/oder USB Dongle 4. Gerät defekt 5. HD des alten Systems in ein neus System mit aktiviertem BDE. 6. BDE kann nicht auf die HD zugreifen, da der TPM Schlüssel des neuen Systems anders ist 7. Anwender startet BDE Wiederherstellung: A. USB Dongle -oder- B. Anruf Helpdesk C. Admin bekommt den recovery key aus dem AD D.Admin übermittelt Schlüssel via Telefon E. Anwender nutz Schlüssel 8. Wiederherstellung wird gestartet 3 7e 4 5 6 7D 7d 8 7a 7c 7C 7b
BitLocker Laufwerk in Windows XP
BitLocker Laufwerk in Windows Vista (ohne Key)
BitLocker Laufwerk in Linux 1 3 2 Linux Bitlocker volume errors 1.Fdisk reads partition table... thinks fve partition is ntfs 2. wrong fs type, bad option, bad superblock on /dev/sda2, missing codepage or other error 3. Primary boot sector is invalid, Not an NTFS volume
Demo BitLocker
Windows Vista Informationssicherheit Wovor wollen Sie sich schützen? Andere User oder Administratoren am PC? EFS Unauthorisierte User mit physikalischem Zugriff? BitLocker Laptop Server in Niederlassung Szenario BitLocker EFS RMS Lokaler Datei- und Verzeichnis-Schutz (Einzelner Anwender) Lokaler Datei- und Verzeichnis-Schutz (Mehrere Anwender) Remote Datei- und Verzeichnis-Schutz Schutz vor Administrator-Zugriff Richtlinien für Informations-Nutzung
Weitere Informationen Trusted Platform Module Services http://www.microsoft.com/whdc/system/platform/pc design/tpm_secure.mspx Step by Step Guides for BDE and TPM http://www.microsoft.com/downloads/details.aspx? FamilyID=311f4be8-9983-4ab0-9685f1bfec1e7d62&DisplayLang=en What's New in Group Policy in Windows Vista and Windows Server "Longhorn" http://www.microsoft.com/technet/windowsvista/libr ary/gpol/a8366c42-6373-48cd-9d112510580e4817.mspx?mfr=true
2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.