Cifrado de discos de equipos corporativos con Bitlocher
1. Configura, administra y gestiona:
Bitlocker en tu Organización(MBAM)
Fernando Guillot
IT Pro Evangelist
fernando.guillot@microsoft.com
http://blogs.technet.com/b/guillot
@fggimeno
2. Windows 7
BitLocker™ & BitLocker To Go™ Resumen
Volumen del SO Volumenes Fijos Discos y
dispositivos
externos
Diseñada para
El Sistema de archivos Similar a los discos
utilizar Trusted
debe estar formateado fijos
Platform Module
en exFAT, FAT16, FAT32 El disco tiene que
(TPM) v1.2
o NTFS. tener al menos 64Mb
o Almacenamiento de
Se puede desbloquear de espacio libre.
claves segura
de forma automática Sólo lectura para
o Integridad en el siempre que el S.O esté máquinas con
arranque cifrado. Windows Vista y
Protectores de Windows XP
Claves
o TPM
o TPM+PIN
o Data Recovery Agent
(DRA)
o Recovery Key
3. FEEDBACK RECIBIDO
Existen muchas opciones en las
políticas para configurar Bitlocker
Necesitamos una forma
sencilla de tomar las decisiones
correctas
Determinar si nuestras máquinas
cumplen los requerimientos.
Necesitamos una manera fácil
de determinar si cumplimos
los requisitos de la Cuando los usuarios pierden las
organización claves de sus volumenes
cifrados, su productividad se ve
afectada.
Necesitamos un proceso
sencillo de recuperación de
claves
Si un dispositivo se pierde
debemos tener una manera
de chequear si el contenido El proceso de cifrado de los
estabao no cifrado. recursos puede ser difícil.
Una manera simple de
chequearlo Necesitamos una forma más
sencilla de que esto ocurra.
4. ¿Qué es “Microsoft BitLocker Administration
and Monitoring (MBAM)?
Es una solución que permite a profesionales de TI, desplegar,
monitorizar y recuperar las claves de Bitlocker.
Estará disponible en el tercer cuarto del 2011 cómo parte de Microsoft
Desktop Optimization Pack (MDOP)
Objetivos son:
Simplificar el Mejorar los reportes
1 despliegue y el 2 y la comprobación 3 Reducir gastos de
aprovisionamiento de cumplimientos soporte
de la organización
5. Simplificar el despliegue de Bitlocker
Cifrar una máquina antes de que el usuario la reciba
o Microsoft Deployment Toolkit (MDT)
o System Center Configuration Manager
Permite que los usuarios cifren sus máquinas al aplicarse
la política
o Simplificar la inicilización del TPM
o Por políticas
o Permitir excluir determinado HW
Política
Compatibilidad del HW
6. Cifrar antes de que el usuario reciba la máquina
Funciona con las herramientas de despliegue de
Windows 7
Flexibilidad en el proceso
o Administrar cuando rebotamos el TPM
o Reduce la complejidad:
– Uso de TPM sólo en el proceso de staging
– PIN obtenido en el primer contacto con el cliente
o Se puede saltar la escritura de la clave de recuperación
– Clave de recuperación se actualizará la primera vez que el
usuario entre en la máquina
7. Cifrar DESPUÉS de que el usuario reciba la máquina
Permite a los usuarios cifrar sus máquinas
o Usuarios normales pueden cifrar la máquina
o La gestión del TPM se simplifica y se integra en el
proceso
o Usuario puede posponer temporalmente el cifrado
Experiencia basada en políticas
8. Configuración de politicas MBAM
Políticas añadidas sobre las de Bitlocker
Nuevas políticas
o Policy para desbloqueo automático de FDV
o Chequeo de Hardware antes del cifrado
o Permitir al usuario que pida una prologa
o Verificación automática de cumplimiento de las
políticas (default = 90 min)
Las Políticas:
o Computer Configuration > Administrative Templates >
Windows Components > BitLocker Management
Solution
9. Administración de Capacidades HW
Algunas máquinas antiguas puede que no soporten TPM
Para asegurarnos de que esas máquinas no son cifradas necesitamos un
procedimiento que nos separe las máquinas capaces de las que no los on
Cómo habilitarlo:
o Política de grupo que fuerza al cliente a chequear antes del cifrado
o Desde la consola central podemos definir máquinas que cumplen los requisitos y las que no
Cómo Funciona:
1 2 3 4
A medida que añadimos El sitio web permite a los Cuando esta Antes de empezar a cifrar
nuevas máquinas a ITPROS mover máquinas característica está MBAM verifica que la
nuestra organización, se de la lista de máquinas habilitada , sólo se cifra máquina es capaz
añaden a la lista en los capaces a desconocidas las máquinas catalogadas (marca/modelo)
servidores MBAM o no capaces cómo capaces
12. Reporting
¿Necesitas saber cuan Cuando y quien ha
Necesitas saber el accedido a las claves
estado último de una de efectivos han sido
tus despliegues? de recuperación. Y
máquina? cuando se ha añadido
O ¿si tu empresa
cumple con la política? nuevo HW.
El Agente MBAM collecciona y pasa todos estos datos al Reporting
Server
o Todos los clientes pasan esta información estén o no cifrados
o IT puede clarificar PORQUÉ una máquina no cumple las políticas
Se puede construir sobre SQL Server® Reporting Services (SSRS), nos
da flexibilidad y podemos añadir nuestros propios reportes
13. Cumplimiento de las políticas Empresariales
Muestra una foto Detalles Filtrado
de la organización Nombre de máquina Estado
Número y porcentaje Dominio Típo de máquina
de máquinas que Estado Última fecha de
cumplen las políticas contacto
Último contacto
Número total de
máquinas
gestionadas
14. Reporting de máquinas
Detalles
Nombre de máquina
Te deja conocer si Politica OS/FDV/RDV
una máquina Estado del Busqueda:
cumple o no los cumplimiento Usuario o Máquina
requisitos Último contacto
Marca/modelo
15. Auditoría de HW
Te muestra los Detalles:
Usado cuando se cambios que se han Usuario
utiliza la política de realizado vía la
gestión de Día / Fecha
página de Tipo de Cambio
compatibilidad de compatibilidad de
HW Valor original y
HW
actual
16. Auditoría de acceso a claves de recuperación
Details/Filters
Quien tuvo
acceso a la clave
Quíen ha pedido
información de Para quien lo
recuperación pidio
Exito/ Fallo
Qué se pidio
17. Qué datos se guardan y Reportes personalizados
Qué información guarda MBAM?
o HW de máquinas (detalles del TPM, marca, modelo,
model, tamaño del disco duro etc…)
o Uso de la máquina (Quien la utilizó, el último
contacto)
o Información de Bitlocker (Nivel de cifrado, Política de
volumenes, capacidad del hw)
o Información de volumenes (Estado de Bitlocker,
protectores, etc)
Reportes están construidos sobre SSRS; IT puede
construir reportings adicionales.
o Exportar a csv, html, pdf
18. Reporting
DEMO
Group
Policy:
AD, AGPM
Compliance Service
Compliance Data
HTTPS
MBAM
Client
Central Administration Compliance Reports
19. Reducir costes de soporte
Repositorio central de Claves de recuperación
o Todas las claves de recuperación se guardan en una base de datos cifrada
o Interfaz para helpdesk de claves de recuperación
Interfaz gráfico simplificado para los usuarios al lanzar la
política
o Permite que usuarios estandard puedan cifrar
o Esconde el panel de control de Bitlocker, para evitar que usuarios con
derechos de administrador puedan descifrar las máquinas
Clave de recuperación de un sólo uso
20. Repositorio central de Claves de recuperación
Claves de recuperación
o Volumen del S.O
o Volumenes fijos de datos
o Discos duros extraibles
o Se guarda todo fuera del directorio activo
Arquitectura de tres niveles
o La base de datos está cifrada usando SQL Server’s
Transparent Data Encryption
o Se puede utilizar las API’s “Web Service” para construir
servicios propios para nuestra organización
o Todos los logs y autorización se realizan en la capa de web
service para garantizar paridad con las appliaciones
personalizadas
21. Interfaz de recuperación para el Helpdesk
MBAM genera una página web con funcionalidad para el
centro de soporte
o Claves de recuperación para usuarios autorizados
o Permitir paquetes de desbloqueo de las TPM’s para usuarios autorizados
o Todas las peticiones son registradas: quien, cuando, y que volumen
Autorización basado en roles para recuperar información
o Tier 1: Helpdesk necesita conocer la persona e Identificador para poder
recuperar la clave
o Tier 2: Con el Identificador es suficiente
22. Clave de recuperación de un sólo uso
Una vez que la clave de recuperación ha sido
expuesta, el cliente creará una nueva
o Cómo parte de la comunicación entre cliente y servidor,
el cliente chequea si la clave ha sido expuesta
o El cliente MBAM creará una nueva clave y la pasará al
servidor
o Transparente para el usuario
Las claves de recuperación se crearán una vez el
volumen ha sido desprotegido y se garantice que
se puede guardar correctamente la nueva clave
23. Enable Windows Standard Users
Standard users can: Hides BitLocker Control
Encrypt computers Panel UI so admins have
Change PIN or passwords via
a more difficult time:
MBAM Control Panel Decrypting computers
Right-Click access to MBAM Suspending encryption
Done through policy, so can be
made visible if desired
We cannot stop admins from doing
this—they have Admin rights!
24. MBAM Helpdesk Tools
DEMO
Helpdesk
Recovery Password Data Key Recovery UX for Key
Service Recovery
Group Policy:
AD, AGPM
Compliance Service
Compliance Data
HTTPS
Client
Central Administration Compliance Reports
25. Software and Hardware Requirements
Requisitos del Servidor
Administration Website & Web Services Hardware Requirements
• Windows 2008 Server w/ SP2; Windows 2008 Server • Min requirements for Windows and SQL Server
R2; (x64|x86) will be satisfactory for all components
• Windows SKU’s: Standard, Enterprise, Data Center, or • Disk Foot Print: < 10MB on Server and Client
Web Server Roles
• Web Server Role (Internet Information Services • Performance: Minimal over time on Server and
(IIS)) Client Roles; + BitLocker
• Application Server Role (ASP.NET, etc.) • Final hardware requirements to be determined
• Microsoft .NET Framework version 3.5 SP1
Database Server
• SQL Server 2008; SQL Server 2008 R2 (Standard,
Enterprise, Datacenter)
• Encrypted Database (TDE) requires Enterprise
or Datacenter
Requisitos del Cliente
• Windows 7 Enterprise or Ultimate Hardware Requirements
• TPM v1.2 for O/S encryption
26. ¿Lo puedo probar?
Descarga la beta aquí
Para poder dar feedback, aquí
27. Enlaces
Webcast sobre Bitlocker:
o https://msevents.microsoft.com/CUI/EventDetail.aspx?cultu
re=es-ES&EventID=1032466928&CountryCode=ES
Cómo usar Bitlocker en máquinas que no tienen
TPM
o http://blogs.technet.com/b/guillot/archive/2011/01/10/c-
243-mo-usar-bitlocker-en-m-225-quinas-que-no-tienen-
tpm.aspx
Cómo recuperar las claves de Bitlocker desde el
Directorio Activo
o http://blogs.technet.com/b/guillot/archive/2010/11/17/c-
243-mo-recuperar-las-claves-de-bitlocker-desde-el-
directorio-activo.aspx
28.
29. Sigue a TechNet España
http://www.facebook.com/TechNet.Spain
http://www.twitter.com/TechNet_es
http://technet.microsoft.com/es-es/edge
Fernando Guillot
IT Pro Evangelist
Microsoft
fernando.guillot@microsoft.com
http://blogs.technet.com/b/guillot
@fggimeno