Říjen - měsíc notebooků

Novinky v Bitlockeru - Windows Server 2012

Technologie Bitlocker přišla s vydáním operačního systému Windows Vista/Windows Server 2008, a od té doby je nedílnou bezpečností součástí operačních systémů Microsoft

Technologie Bitlocker spatřila světlo světa s vydáním operačního systému Windows Vista/Windows Server 2008, a od té doby je nedílnou bezpečností součástí operačních systémů Microsoft. Postupem času (Windows Vista SP1, Windows 7) se tato velmi oblíbená technologie dále rozšiřovala a přidávaly se její další součásti až do podoby, kterou známe dnes v rámci operačního systému Windows 8, respektive Windows Server 2012.

Obecně technologie Bitlocker slouží k šifrování pevných disků, a to ne na úrovni souborového systému, ale na úrovni diskových sektorů. Princip Bitlocker spočívá v šifrování celého pevného disku, zejména pak systémového oddílu, kdy je znemožněn přístup k datům bez znalosti klíčů. Ochrana Bitlocker pomáhá chránit data v okamžiku, kde je počítač vypnutý, respektive operační systém offline, tedy ve chvíli, kdy ostatní „bezpečnostní“ mechanismy operačního systému, které kontrolují přístup k datům (např.: NTFS oprávnění), nemají kýžený efekt.

Bitlocker novinky

Ve Windows 8, resp. Windows Server 2012, můžeme v rámci technologie Bitlocker nalézt mnoho příjemných změn a novinek. V tomto článku si všechny tyto novinky popíšeme a vysvětlíme si princip jejich fungování.

Šifrování pouze využitého místa na disku

Jednou z velmi příjemných změn v rámci operačního systému Windows 8/Windows Server 2012 je šifrování pouze využitého místa na disku. Dřívější verze Bitlocker (Vista, Windows 7) totiž umožňovaly šifrovat „pouze“ celý disk. Šifrování pevného disku může být časově náročný proces, který záleží na zvoleném typu šifrování a zejména na velikosti šifrovaného disku. A v tom je právě ta potíž – pokud jste ve dřívějších verzí Windows šifrovali disk Bitlockerem, šifrování trvalo stejně dlouho, nezávisle na tom, zda byl disk obsazen daty pouze z části, nebo zda byl zaplněn kompletně. Bitlocker totiž šifruje sektor po sektoru pevného disku nezávisle na tom, zda je plný nebo prázdný. Možnost šifrování pouze využitého místa na disku tedy umožňuje šifrovat pouze tu část disku, kde se nachází data, a výrazně tak snižuje délku procesu šifrování. V rámci průvodce zapnutí technologie Bitlocker si můžete jednoduše vybrat, která z metod bude použita. Možnost šifrování pouze využitého místa na disku se doporučuje zejména u nových disků, již použitý disk totiž většinou obsahuje data i na neobsazeném prostoru disku.

Obr1.jpg

Obrázek 1 – Volba výběru typu šifrování

Změna PIN/hesla

Bitlocker ve výchozím nastavení počítá s přítomností TPM čipu, tedy hardwarové komponenty, která provádí kryptografické operace a kontroluje konzistenci hardwarových a softwarových součástí při spuštění operačního systému. O TPM čipu bude řeč ještě dále, co je však aktuálně podstatné je to, že TPM čip při startu operačního systému zkontroluje stav vybraných hardwarových a softwarových komponent, a pokud vše sedí se vzorem uloženým v TPM čipu, umožní start operačního systému. Tuto výchozí úroveň zabezpečení můžete povýšit a používat Bitlocker v režimu TPM + PIN. PIN v rámci Bitlockeru si můžeme představit jako PIN ke kreditní kartě, tedy 4místné číslo, které je nutné zadat při vložení karty do bankomatu, v paralele s technologií Bitlocker při startu operačního systému. Při startu operačního systému tedy musí TPM zkontrolovat stav hardwarových a softwarových komponent, ale zároveň musí uživatel zadat 4místný PIN. V dřívějších verzích Bitlocker si však běžný uživatel tento PIN nemohl změnit. Ke změně PINu byla zapotřebí administrátorská práva. Ve Windows 8/Windows Server 2012 tato podmínka odpadá a PIN si tak může změnit uživatel sám. Podobné je to se změnou hesla. Další novinkou v Bitlocker je totiž možnost odemčení disku a umožnění startu OS zadáním hesla. Toto heslo si taktéž může změnit i „běžný“ uživatel. Při zadání 5x špatného PINu/hesla se změny uzamknou a odemčení může následně provést jen administrátor resetem PINu/hesla.

Network unlock

Kombinace TPM + PINu se však stala noční můrou správců operačních systémů v okamžiku, kdy potřebovali restartovat počítač, například z důvodů aktualizací operačního systému bez přítomnosti uživatele, a tedy bez znalosti jeho PINu. Bitlocker nově podporuje funkcionalitu Network unlock, která umožňuje odemčení disku a následný start OS bez nutnosti zadávání PINu právě pro potřeby údržby OS (aktualizace, instalace SW). Tato technologie funguje podobně jako kombinace TPM + PIN, pouze se namísto PINu použije tzv. Startup Key, který je sestaven částečně z klíče v TPM čipu a částečně z klíče z WDS serveru. Pokud WDS server není dostupný, zobrazí se při startu OS klasický dotaz na PIN. Tato technologie však kromě operačního systému Windows 8/Windows Server 2012 vyžaduje další předpoklady. Mezi ně patří:

  • WDS server 2012 se zapnutou funkcí Bitlocker Network Unlock
  • UEFI BIOS s ovladačem pro DHCP (UEFI ve verzi 2.3.1 a vyšší), vypnuté CSM (Compatibility Support Module)
  • DHCP server oddělený od WDS serveru (role DHCP tedy nesmí být nainstalovaná na serveru s nainstalovanou rolí WDS)
  • konfigurace certifikátů, konkrétně X.509 certifikát na WDS serveru s veřejnou částí na každém klientovi (distribuce přes skupinové politiky)
  • konfigurace skupinových politik umožňující technologii Network Unlock

Bitlocker provisioning

V předchozích verzí OS bylo možné Bitlocker a tedy šifrování disku zapnout až po instalaci operačního systému, a to buď jako součástí post instalačního procesu, nebo kdykoli později, a to buď pomocí sady příkazů manage-bde z příkazové řádky, nebo pomocí Ovládacích panelů. Bitlocker provisioning umožňuje zapnout Bitlocker ještě před samotnou instalací operačního systému, a to v prostředí Windows Preinstallation Environment (WinPE). Administrátor tak zašifruje pevný disk ještě před instalací operačního systému a před předáním PC uživateli. Uživateli se po přihlášení zobrazí okno Bitlocker „Waiting For Activation“ a uživatel pouze zvolí metodu zamčení disku – TPM čip, heslo či USB klíčenka a další. Celá operace tak uživateli zabere pouze tolik času, než projde volby v průvodci Bitlocker a potvrdí nastavení. Disk už je ale zašifrován předem, uživatel tak není šifrováním nějak omezen. K této funkcionalitě je potřeba úprava prostředí WinPE, konkrétně přidání komponent WinPE-WMI a WinPE-SecureStartup. Na pozadí proces vypadá tak, že se vygeneruje klíč a uloží se na disk nechráněný (clear key, stejné jako při suspend Bitlockeru). Po instalaci operačního systému je Bitlocker na tomto disku ve stavu „Waiting for Activation“. Původně nechráněný klíč se uzamkne až v okamžiku, kdy si sám uživatel zvolí právě metodu uzamčení disku.

Bitlocker provisioning je možný také v kooperaci s System Center Configuration Manager 2012 SP1, kdy je celý proces zautomatizován pomocí speciální Task Sequence, která se o zašifrování disku postará.

Encryted Hard Drive

Jak již bylo zmíněno v úvodu článku, Bitlocker šifruje celý pevný disk (nebo pouze část s daty) a to tak, že šifruje sektor po sektoru pevného disku. Toto šifrování můžeme označit za software-based šifrování se zvýšenými nároky na spotřebu energie a zátěž procesoru. Technologie Encrypted Hard Drive umožňuje přesunout zátěž těchto kryptografických operací na pevný disk a snížit tak spotřebu energie a zároveň ulehčit procesoru. Celá technologie vyžaduje kompatibilitu pevného disku se standardy TCG a IEEE 1667.

Cluster Shared Volumes

Cluster Shared Volumes (CSV) je technologie, která umožňuje v rámci Windows Server 2008 R2 (a vyšší) a rolí Hyper-V přístup k jednomu NTFS oddílu několika cluster nodům zároveň. Bez technologie CSV může k jednomu LUNu v rámci diskového pole přistupovat vždy pouze jeden nod. Na pozadí této technologie se skrývá rozdělení jednoho oddílu na menší samostatné jednotky (shared volumes), ke kterým jednotlivé nody přistupují. Windows Server 2012 podporuje šifrování těchto Cluster Shared Volumes pomocí technologie Bitlocker a výrazně tak napomáhá rozmachu využití technologie Bitlocker v serverovém prostředí. A jak vlastně celá technologie funguje? Zašifrovaný oddíl Bitlockerem je možné v rámci clusteru odemknout něčím, čemu říkáme AD based protector – tedy na základě SIDu účtu nebo skupiny. Pomocí příkazové řádky a sady příkazů manage-bde tedy můžeme nastavit přístup k disku pouze specifickým účtům, v našem případě nodům z clusteru právě na základě jejich SIDu. V jednom okamžiku může samozřejmě ke cluster zdroji přistupovat pouze jeden nod a v okamžiku jeho výpadku začne k disku přistupovat nod druhý. Disk je ale pro přístup z jiného než z prvního nodu uzamčen a druhý nod jej musí nějak odemknout, aby z něj data mohl číst. A to udělá právě pomocí svého SIDu, který jsme na daném disku nastavili jako AD based protector.

Další novinky

  • Rozšířená podpora úložišť (podpora SAN disků, podpora CSV 2.0 disků)
  • Možnost zálohovat klíč k Bitlockeru na SkyDrive
  • Možnost nastavení kontrolovaných součástí v rámci BCD databáze, které se kontrolují při startu operačního systému oproti předchozímu stavu

MBAM

V tomto článku jsme si prozatím představili novinky technologie Bitlocker v rámci Windows 8 a Windows Server 2012. Jediné, čemu jsme se doposud nevěnovali, je centrální správa Bitlockeru. Samotná technologie Bitlocker totiž žádnou centrální správu ať už klíčů (pomineme-li ukládání klíčů do Active Directory) nebo možnost centrálního vynucení šifrování pevných disků (samozřejmě zde existuje možnost zapnout Bitlocker z příkazové řádky v rámci skriptu distribuovaného přes skupinové politiky) neposkytuje. Pokud tedy toužíte po centrální správě technologie Bitlocker, je nutné sáhnout po nástroji MBAM. Microsoft Bitlocker Administration and Monitoring (MBAM) je tedy nástroj, který výrazně zjednodušuje proces nasazení technologie Bitlocker, a to zejména ve větších prostředích. MBAM dále umožňuje centrální správu Bitlocker klíčů včetně monitoringu a reportingu koncových stanic z pohledu ochrany šifrování. Licence pro MBAM je součástí balíku MDOP.

Architektura MBAM se v zásadě skládá ze dvou částí – z MBAM klienta běžícího v rámci OS a MBAM serveru, který je mozkem architektury a v podstatě řídí Bitlocker infrastrukturu. V rámci serveru je dostupný webový portál, skrze který administrátor MBAM spravuje.

Obr2.jpg.png

Obrázek 2 – webový portál MBAM

Pomocí webového portálu tak může administrátor přistupovat k Bitlocker klíčům, spravovat TPM čipy na koncových stanicích nebo monitorovat stav ochrany Bitlocker na jednotlivých stanicích, či v celkovém přehledu.

Novinky ve verzi 2.0

Aktuálně existuje nástroj MBAM ve verzi 2.0, která se může oproti předchozí verzi pochlubit následujícími vylepšeními:

  • Self-Service Portal, pomocí kterého mohou sami uživatelé přistupovat k Recovery klíčům
  • SCCM integrace (2007 a 2012) umožňující monitorovat Bitlocker infrastrukturu v rámci konzole SCCM
  • Zjednodušená konfigurace TPM = odstraněn největší problém při automatizovaném nasazení BitLockeru – MBAM umožňuje převzít vlastnictví TMP čipu, atp.
  • Vynucení komplexního PINu (nepovolí 1234, 1111, atp..)
  • Podpora FIPS (Bitlocker sice podporuje od Vista, ale MBAM ne)
  • Vynucení šifrování/změny nastavení - pokud uživatel delší dobu odkládá šifrovací dialog nebo pokud je zašifrováno s jiným nastavení

Kam dál?

Cílem tohoto článku bylo seznámit čtenáře se základními principy fungování technologie Bitlocker a následně s novinkami, které se objevily v rámci operačního systému Windows 8 a Windows Server 2012. Na závěr článku jsme se také ve zkratce podívali na možnost centrální správy Bitlockeru pomocí nástroje MBAM.

Lukáš Keicher – KPCS CZ, s.r.o., keicher@kpcs.cz

Živě je díky vašim hlasům ve finále ankety Křišťálová Lupa. Podpořte nás prosím ještě v závěrečném kole. Děkujeme!


Sledujte Živě na Facebooku

celkem 0

Poslední názory Názory



DEJTE NÁM TIP NA ČLÁNEK

Živě je díky vašim hlasům ve finále ankety Křišťálová Lupa. Podpořte nás prosím ještě v závěrečném kole. Děkujeme!



Aktuální číslo časopisu Computer
  • Testy nejnovějších produktů na českém trhu.
  • Informace ze světa internetu i bezpečnosti.
  • Plné verze programů zdarma pro všechny čtenáře.

Partnerská sekce pro IT profesionály
Microsoft TechNet/MSDN