Les nouveautés de BitLocker sousWindows 8 et MBAM 2.0Guillaume Aubert,Arnaud Jumelet,Microsoft FranceSécurité#BitLocker, #...
Donnez votre avis !Depuis votre smartphone, sur :http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!!...
• Les améliorations BitLocker dansWindows 8• Les nouveautés de MBAM 2.0Notre agenda pour la session• Sessions complémentai...
LES AMÉLIORATIONS BITLOCKERDANS WINDOWS 8
Les technologies de chiffrementMatériel Logiciel Disque auto-chiffrant eDrives Via un circuit intégré UEFI avec Secure ...
• La mise en service est l’étape la plus importante, mais :• L’activation du TPM est complexe pour les IT et les utilisate...
• Windows 8 améliore les performances de BitLocker etsupporte les eDrives– Le traitement du chiffrement est déporté vers l...
• Améliorer lexpérience utilisateur sous Windows 8• Élimine le besoin de posséder ou connaître un secret pour déverrouille...
• Manage-bde.exe• De nouvelles options :-SID, -KeyPackage, -UsedSpaceOnly, -WipeFreeSpace, Synchronous• L’option TPM n’est...
• Supporte les serveurs et les scénarios"Server Class Storage"• Support des Storage Area Networks (SAN)• Support des Clust...
• Les possibilités et le comportement du Network Protector– Utilise en combinaison avec TPM + PIN– PIN non nécessaire si l...
• Pour le protecteur SID, au moins un contrôleur de domaine sousWindows Server 2012 et une version du schéma 56 (WindowsSe...
 Understand and Troubleshoot BitLocker in Windows Server "8"BetaPour aller plus loin sur BitLockerhttp://www.microsoft.co...
LES NOUVEAUTÉS DE MBAM 2.0
• Objectifs de MBAM 1.0 :Qu’est ce que MBAM ?Simplifier laconfiguration et ledéploiementFournir des rapports(i.e. audit et...
• Objectifs de MBAM 1.0 :• MBAM 2.0 améliore les fonctionnalités de MBAM 1.0:Qu’est ce que MBAM ?Simplifier laconfiguratio...
Mode autonomeServicesWebBases de données SQLRapports deconformitéOrdinateur client Portails
Mode intégrée à Configuration ManagerServicesWebBase de données SQLOrdinateur client Portails
• Améliorations de MBAM 2.0– L’architecture recommandée pour MBAM 1.0 varie de 1 à 5 serveurs– L’amélioration des performa...
Options d’architecture• 2 serveurs en mode autonome (200 000 clients)• 3 serveurs en mode intégré à CM (200 000 clients)Ma...
• Mode autonome et intégré à Configuration Manager– OS Client :• Windows 7 SP1 Ultimate/Enterprise (x86/x64)• Windows 8 En...
• Mode autonome et intégré à Configuration Manager– Serveur SQL :• SQL 2008 R2 Standard ou supérieure• SQL 2012 Standard o...
DÉMO – PORTAIL SELF-SERVICE
• Estimation de la conformité– MBAM fait respecter les « exigences minimums »– Les composants WMI permettent de faciliter ...
• MBAM v1 (RTM, R1 avec correctifs) vers 2.0– Beta 2 vers 2.0 fonctionne mais nécessite des modifications manuelles• Mode ...
MBAM 1.0 vers 2.0 – déploiementMise à jour des serveurs• Désinstaller la partie serveur et conserver les bases de données•...
Pas de date exactemais…Disponibilité de MBAM 2.0 ?
BitLocker Protection étendue Intégration dans Windows 8 Pro et Entreprise Intégration dans Windows To Go, Windows RT et...
MBAM 2.0IntégrationConfigurationManagerSupportWindows 8Self ServiceCustomerFeedbackSupport de Windows 8 EnterpriseSupport ...
4 ouvrages écrits par 13 Microsofteeshttp://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
Formez-vous en ligneRetrouvez nos évènementsFaites-vous accompagnergratuitementEssayer gratuitement nossolutions ITRetrouv...
Prochain SlideShare
Chargement dans…5
×

Les nouveautés de BitLocker sous Windows 8 et MBAM 2.0

2 142 vues

Publié le

MBAM 2.0 est la nouvelle version de la solution d'administration et de supervision pour BitLocker : portail libre-service, intégration SCCM et support de Windows 8. BitLocker sous Windows 8 est amélioré : processus de déploiement simplifié, support des tablettes, déverrouillage par le réseau, etc. Au cours de cette session, nous vous proposons, par l’intermédiaire de démonstrations concrètes, de vous faire découvrir les nouveautés MBAM 2.0 ainsi que les nouveautés BitLocker avec Windows 8.

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 142
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
36
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Les nouveautés de BitLocker sous Windows 8 et MBAM 2.0

  1. 1. Les nouveautés de BitLocker sousWindows 8 et MBAM 2.0Guillaume Aubert,Arnaud Jumelet,Microsoft FranceSécurité#BitLocker, #MBAMSEC304
  2. 2. Donnez votre avis !Depuis votre smartphone, sur :http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!!Claviers, souris et jeux Microsoft…Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
  3. 3. • Les améliorations BitLocker dansWindows 8• Les nouveautés de MBAM 2.0Notre agenda pour la session• Sessions complémentaires– CLI301 Mécanismes internes de la sécurité de Windows 8– SEC302 Windows 8 et la sécurité
  4. 4. LES AMÉLIORATIONS BITLOCKERDANS WINDOWS 8
  5. 5. Les technologies de chiffrementMatériel Logiciel Disque auto-chiffrant eDrives Via un circuit intégré UEFI avec Secure boot Avant démarrage de l’OS Via le processeur du device Via TPM et/ou UEFI Secure Boot Après démarrage de l’OS Chiffrement sélective dossier/fichierBitLockerEFSRMSBitLocker
  6. 6. • La mise en service est l’étape la plus importante, mais :• L’activation du TPM est complexe pour les IT et les utilisateurs finaux• Le chiffrement initial prend du temps• Les solutions dans Windows 8 font de BitLocker lemeilleur choix:• Auto Provisioning résout la plupart des difficultés liées à lactivation du TPM• Protection BitLocker instantanée avec les eDrives : Encrypted Hard Drives• Chiffrement rapide des disques durs avec loption Used Disk Space OnlyEncryptionWindows 8 - Améliorations du provisioning
  7. 7. • Windows 8 améliore les performances de BitLocker etsupporte les eDrives– Le traitement du chiffrement est déporté vers le hardware– Suppression du temps initial de chiffrement des volumes– Amélioration des performances sur les disques SSD– BitLocker gère les clés– Les systèmes sans Self Encrypting Drives utilisent un chiffrementlogiciel• Quelques constructeurs: Seagate, Samsung, Crucial, etc.Support des Self Encrypting Drives(eDrives)7
  8. 8. • Améliorer lexpérience utilisateur sous Windows 8• Élimine le besoin de posséder ou connaître un secret pour déverrouiller un lecteur(Connected Standby devices)• Le mode récupération BitLocker est moins fréquent sur ​​les appareils certifiésWindows 8 (UEFI 2.3.1)• Les appareils sous Windows RT sont automatiquement chiffrés en usine• Les utilisateurs et lIT ne sont plus mis à contribution lors de lactivation du TPM(TPM 2.0)• Sécurité améliorée avec Windows BitLocker• Amélioration anti-hammering de louverture de session Windows sur les appareilsprotégés par BitLocker (applicable par GPO et EAS)• Reprise automatique de la protection BitLocker lorsque lappareil est laissé enmode de suspension• Utiliser EAS pour contrôler la protection BitLocker (hors domaine et scénario BYOD)Windows 8 - Expérience améliorée etsécurité
  9. 9. • Manage-bde.exe• De nouvelles options :-SID, -KeyPackage, -UsedSpaceOnly, -WipeFreeSpace, Synchronous• L’option TPM n’est plus disponible, il faut passer par PowerShell• Nouveaux modules PowerShell pour BitLocker et TPM :Utiliser BitLocker en ligne de commande
  10. 10. • Supporte les serveurs et les scénarios"Server Class Storage"• Support des Storage Area Networks (SAN)• Support des Clusters Windows Server• Se base sur le protecteur de type SID• Authentification multi-facteurs pour les serveurs(Windows Server 2012)• Permet lauthentification avec un 2e facteur sur les serveurs• Le protecteur Network sappuie sur WDS pour fournir ce 2e facteur• Simplifie le processus de mise à jour sur les serveursBitLocker- Amélioration pour les serveurs
  11. 11. • Les possibilités et le comportement du Network Protector– Utilise en combinaison avec TPM + PIN– PIN non nécessaire si le boot a lieu quand on est connecté au réseau d’entreprise– PIN nécessaire si le boot a lieu quand on n’est pas connecté au réseau d’entreprise• Exigences– Client – TPM, UEFI 2.3.1 avec support pour DHCPv4 et DHCPv6 (exigence pour le logon Windows 8),port LAN connecté– Serveur – Windows Server 2012 avec Windows Deployment Services (WDS)• Processus de boot réseau– Le PC boote et utilise DHCP pour contacter un serveur WDS si une connexion cablée existe– Si le serveur WDS est disponible, le client requiert une clé depuis le serveur WDS ; si non un code PINest nécessaire– Le serveur WDS valide le client et envoie une clé de déverrouillage au client à travers le réseau– Le client reçoit la clé et déverrouille le volume de l’OS Windows. Le système boote• Démo dans la session SEC303 « Windows 8 et la sécurité - Demo Extravaganza »Nouveau protecteur : Network Protector11
  12. 12. • Pour le protecteur SID, au moins un contrôleur de domaine sousWindows Server 2012 et une version du schéma 56 (WindowsServer 2012)• Mise à jour du schéma à prévoir pour accueillir les informations derécupération du TPM• objectClass: msTPM-InformationObject (CN=TPM Devices, DC=…)– msTPM-OwnerInformation– msTPM-SrkPubThumbprint– msTPM-OwnerInformationTemp• Computer– msTPM-TpmInformationForComputerIntégration dans Active Directory
  13. 13.  Understand and Troubleshoot BitLocker in Windows Server "8"BetaPour aller plus loin sur BitLockerhttp://www.microsoft.com/en-us/download/confirmation.aspx?id=29032
  14. 14. LES NOUVEAUTÉS DE MBAM 2.0
  15. 15. • Objectifs de MBAM 1.0 :Qu’est ce que MBAM ?Simplifier laconfiguration et ledéploiementFournir des rapports(i.e. audit etconformité)Réduire les coûts dusupport
  16. 16. • Objectifs de MBAM 1.0 :• MBAM 2.0 améliore les fonctionnalités de MBAM 1.0:Qu’est ce que MBAM ?Simplifier laconfiguration et ledéploiementFournir des rapports(i.e. audit etconformité)Réduire les coûts dusupportAmélioration de laconformité et de lasécuritéIntégration avec lessystèmes existants(i.e. SCCM)Réduction des coûts(i.e. portail SelfService, déploiementsimplifié)
  17. 17. Mode autonomeServicesWebBases de données SQLRapports deconformitéOrdinateur client Portails
  18. 18. Mode intégrée à Configuration ManagerServicesWebBase de données SQLOrdinateur client Portails
  19. 19. • Améliorations de MBAM 2.0– L’architecture recommandée pour MBAM 1.0 varie de 1 à 5 serveurs– L’amélioration des performances et de la montée en charge de MBAM2.0 permet une simplification de l’architecture :• Une architecture à 2 serveurs (avec les spécifications recommandées) peutsupporter un environnement de plus de 200 000 clients (MSIT utiliseaujourd’hui cette architecture pour tout Microsoft)• Restrictions restantes– Pas de support de SQL en mode cluster ou d’équilibrage de charge• Amélioration de VSSWriter : la nouvelle implémentation permet d’effectuerdes sauvegardes sans impacter la disponibilitéOptions d’architecture
  20. 20. Options d’architecture• 2 serveurs en mode autonome (200 000 clients)• 3 serveurs en mode intégré à CM (200 000 clients)Matériel MinimumRecommandéProcesseur 2,33 GHz 2, 33 GHz ouplusMémoire 8 Go 12 GoEspace disque libre 1 Go 2 GoMatériel MinimumRecommandéProcesseur 2,33 GHz 2, 33 GHz ouplusMémoire 8 Go 12 GoEspace disque libre 5 Go 5 Go ou plusServeurWebServeurSQLMatériel MinimumRecommandéProcesseur 2,33 GHz 2, 33 GHz ouplusMémoire 4 Go 8 GoEspace disque libre 1 Go 2 GoMatériel MinimumRecommandéProcesseur 2,33 GHz 2, 33 GHz ouplusMémoire 4 Go 8 GoEspace disque libre 5 Go 5 Go ou plusServeurWebServeurSQL
  21. 21. • Mode autonome et intégré à Configuration Manager– OS Client :• Windows 7 SP1 Ultimate/Enterprise (x86/x64)• Windows 8 Enterprise (x86/x64)• Windows 8 Windows to Go– OS Serveur :• Windows Server 2008 R2 SP1 Standard/Enterprise/Data Center• Windows Server 2012 Standard/Enterprise/Data CenterLogiciels supportés
  22. 22. • Mode autonome et intégré à Configuration Manager– Serveur SQL :• SQL 2008 R2 Standard ou supérieure• SQL 2012 Standard ou supérieure– System Center Configuration Manager:• Configuration Manager 2007 SP2• Configuration Manager 2012 SP1Logiciels supportés
  23. 23. DÉMO – PORTAIL SELF-SERVICE
  24. 24. • Estimation de la conformité– MBAM fait respecter les « exigences minimums »– Les composants WMI permettent de faciliter le « debug »• Flux de chiffrement– MBAM chiffre un volume à la fois– Les lettres de volume sont affichées avant le chiffrement• Ordinateur Windows 8 sans puce TPM– MBAM permet l’utilisation du protecteur « Mot de passe » pour cesmachines– Support de Windows To GoChangements du client MBAM
  25. 25. • MBAM v1 (RTM, R1 avec correctifs) vers 2.0– Beta 2 vers 2.0 fonctionne mais nécessite des modifications manuelles• Mode autonome vers mode autonome– Mise à niveau sans perte de données : les clés de récupération et lesinformations de conformité sont conservées• Mode autonome vers mode intégré à CM– La mise à niveau conserve les clés de récupération– Les informations de conformité sont conservées mais elles ne sont pasportées sur Configuration ManagerMise à jour de MBAM 1.0 vers 2.0 – 3Options
  26. 26. MBAM 1.0 vers 2.0 – déploiementMise à jour des serveurs• Désinstaller la partie serveur et conserver les bases de données• Installer la partie serveur et pointer vers les bases de donnéesexistantes• Pour le mode intégré à CM cela inclut l’import des fichiers MOFMise à jour des GPO• Choisir les protecteurs et les options relatives auxmodèles MBAM• Définir les points de connexion, l’intervalle et lapolitique d’exceptionDéploiement du nouvel agent• Pour le mode intégré à CM cela inclut de déployerDCM• La conformité utilise la logique « exigencesminimums »
  27. 27. Pas de date exactemais…Disponibilité de MBAM 2.0 ?
  28. 28. BitLocker Protection étendue Intégration dans Windows 8 Pro et Entreprise Intégration dans Windows To Go, Windows RT et Windows Phone 8 Support des TPM discrets (1.2 et 2.0) et ceux basés sur le firmware (ARM TrustZone; Intel PTT) Performance Activation de BitLocker avant l’installation de Windows Support des disques auto-chiffrant (eDrives) Mise en service rapide avec le chiffrement de l’espace disque utilisé uniquement Expérience améliorée Déverrouillage par le réseau (améliorer le processus de patching lorsqu’un 2nd facteur est requis) Modification du mot de passe et du code PIN par un utilisateur standard Module PowerShell pour administrer BitLocker Option de récupération en ligne avec SkyDrive (Windows 8 et Windows RT)3ème génération
  29. 29. MBAM 2.0IntégrationConfigurationManagerSupportWindows 8Self ServiceCustomerFeedbackSupport de Windows 8 EnterpriseSupport de Non-TPM / Windows To GoSupport du « Pre-Provisioning » BitLockerUtilisateurs sont en mesure de récupérer les clés derécupération depuis un portail (protection par control d’accès)Audit de tous les accès aux clés de récupérationPlus de flexibilité par rapport au prérequis (TDE, SQL Server,…)Amélioration du flux de chiffrementAmélioration des performances et de la montée en chargeRapports de conformité intégrés à l’environnement CMCompatibilité matériel et sélection via les collections de CMLe client de CM prend en charge la partie « Reporting »
  30. 30. 4 ouvrages écrits par 13 Microsofteeshttp://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
  31. 31. Formez-vous en ligneRetrouvez nos évènementsFaites-vous accompagnergratuitementEssayer gratuitement nossolutions ITRetrouver nos expertsMicrosoftPros de l’ITDéveloppeurswww.microsoftvirtualacademy.comhttp://aka.ms/generation-apphttp://aka.ms/evenements-developpeurs http://aka.ms/itcamps-franceLes accélérateursWindows Azure, Windows Phone,Windows 8http://aka.ms/telechargementsLa Dev’Team sur MSDNhttp://aka.ms/devteamL’IT Team sur TechNethttp://aka.ms/itteam

×