MBAM 2.0 est la nouvelle version de la solution d'administration et de supervision pour BitLocker : portail libre-service, intégration SCCM et support de Windows 8. BitLocker sous Windows 8 est amélioré : processus de déploiement simplifié, support des tablettes, déverrouillage par le réseau, etc. Au cours de cette session, nous vous proposons, par l’intermédiaire de démonstrations concrètes, de vous faire découvrir les nouveautés MBAM 2.0 ainsi que les nouveautés BitLocker avec Windows 8.
Les nouveautés de BitLocker sous Windows 8 et MBAM 2.0
1. Les nouveautés de BitLocker sous
Windows 8 et MBAM 2.0
Guillaume Aubert,
Arnaud Jumelet,
Microsoft France
Sécurité
#BitLocker, #MBAM
SEC304
2. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
3. • Les améliorations BitLocker dans
Windows 8
• Les nouveautés de MBAM 2.0
Notre agenda pour la session
• Sessions complémentaires
– CLI301 Mécanismes internes de la sécurité de Windows 8
– SEC302 Windows 8 et la sécurité
5. Les technologies de chiffrement
Matériel Logiciel
Disque auto-chiffrant eDrives
Via un circuit intégré
UEFI avec Secure boot
Avant démarrage de l’OS
Via le processeur du device
Via TPM et/ou UEFI Secure Boot
Après démarrage de l’OS
Chiffrement sélective dossier/fichier
BitLocker
EFS
RMS
BitLocker
6. • La mise en service est l’étape la plus importante, mais :
• L’activation du TPM est complexe pour les IT et les utilisateurs finaux
• Le chiffrement initial prend du temps
• Les solutions dans Windows 8 font de BitLocker le
meilleur choix:
• Auto Provisioning résout la plupart des difficultés liées à l'activation du TPM
• Protection BitLocker instantanée avec les eDrives : Encrypted Hard Drives
• Chiffrement rapide des disques durs avec l'option Used Disk Space Only
Encryption
Windows 8 - Améliorations du provisioning
7. • Windows 8 améliore les performances de BitLocker et
supporte les eDrives
– Le traitement du chiffrement est déporté vers le hardware
– Suppression du temps initial de chiffrement des volumes
– Amélioration des performances sur les disques SSD
– BitLocker gère les clés
– Les systèmes sans Self Encrypting Drives utilisent un chiffrement
logiciel
• Quelques constructeurs: Seagate, Samsung, Crucial, etc.
Support des Self Encrypting Drives
(eDrives)
7
8. • Améliorer l'expérience utilisateur sous Windows 8
• Élimine le besoin de posséder ou connaître un secret pour déverrouiller un lecteur
(Connected Standby devices)
• Le mode récupération BitLocker est moins fréquent sur les appareils certifiés
Windows 8 (UEFI 2.3.1)
• Les appareils sous Windows RT sont automatiquement chiffrés en usine
• Les utilisateurs et l'IT ne sont plus mis à contribution lors de l'activation du TPM
(TPM 2.0)
• Sécurité améliorée avec Windows BitLocker
• Amélioration anti-hammering de l'ouverture de session Windows sur les appareils
protégés par BitLocker (applicable par GPO et EAS)
• Reprise automatique de la protection BitLocker lorsque l'appareil est laissé en
mode de suspension
• Utiliser EAS pour contrôler la protection BitLocker (hors domaine et scénario BYOD)
Windows 8 - Expérience améliorée et
sécurité
9. • Manage-bde.exe
• De nouvelles options :
-SID, -KeyPackage, -UsedSpaceOnly, -WipeFreeSpace, Synchronous
• L’option TPM n’est plus disponible, il faut passer par PowerShell
• Nouveaux modules PowerShell pour BitLocker et TPM :
Utiliser BitLocker en ligne de commande
10. • Supporte les serveurs et les scénarios
"Server Class Storage"
• Support des Storage Area Networks (SAN)
• Support des Clusters Windows Server
• Se base sur le protecteur de type SID
• Authentification multi-facteurs pour les serveurs
(Windows Server 2012)
• Permet l'authentification avec un 2e facteur sur les serveurs
• Le protecteur Network s'appuie sur WDS pour fournir ce 2e facteur
• Simplifie le processus de mise à jour sur les serveurs
BitLocker- Amélioration pour les serveurs
11. • Les possibilités et le comportement du Network Protector
– Utilise en combinaison avec TPM + PIN
– PIN non nécessaire si le boot a lieu quand on est connecté au réseau d’entreprise
– PIN nécessaire si le boot a lieu quand on n’est pas connecté au réseau d’entreprise
• Exigences
– Client – TPM, UEFI 2.3.1 avec support pour DHCPv4 et DHCPv6 (exigence pour le logon Windows 8),
port LAN connecté
– Serveur – Windows Server 2012 avec Windows Deployment Services (WDS)
• Processus de boot réseau
– Le PC boote et utilise DHCP pour contacter un serveur WDS si une connexion cablée existe
– Si le serveur WDS est disponible, le client requiert une clé depuis le serveur WDS ; si non un code PIN
est nécessaire
– Le serveur WDS valide le client et envoie une clé de déverrouillage au client à travers le réseau
– Le client reçoit la clé et déverrouille le volume de l’OS Windows. Le système boote
• Démo dans la session SEC303 « Windows 8 et la sécurité - Demo Extravaganza »
Nouveau protecteur : Network Protector
11
12. • Pour le protecteur SID, au moins un contrôleur de domaine sous
Windows Server 2012 et une version du schéma 56 (Windows
Server 2012)
• Mise à jour du schéma à prévoir pour accueillir les informations de
récupération du TPM
• objectClass: msTPM-InformationObject (CN=TPM Devices, DC=…)
– msTPM-OwnerInformation
– msTPM-SrkPubThumbprint
– msTPM-OwnerInformationTemp
• Computer
– msTPM-TpmInformationForComputer
Intégration dans Active Directory
13. Understand and Troubleshoot BitLocker in Windows Server "8"
Beta
Pour aller plus loin sur BitLocker
http://www.microsoft.com/en-us/download/confirmation.aspx?id=29032
15. • Objectifs de MBAM 1.0 :
Qu’est ce que MBAM ?
Simplifier la
configuration et le
déploiement
Fournir des rapports
(i.e. audit et
conformité)
Réduire les coûts du
support
16. • Objectifs de MBAM 1.0 :
• MBAM 2.0 améliore les fonctionnalités de MBAM 1.0
:
Qu’est ce que MBAM ?
Simplifier la
configuration et le
déploiement
Fournir des rapports
(i.e. audit et
conformité)
Réduire les coûts du
support
Amélioration de la
conformité et de la
sécurité
Intégration avec les
systèmes existants
(i.e. SCCM)
Réduction des coûts
(i.e. portail Self
Service, déploiement
simplifié)
18. Mode intégrée à Configuration Manager
Services
Web
Base de données SQLOrdinateur client Portails
19. • Améliorations de MBAM 2.0
– L’architecture recommandée pour MBAM 1.0 varie de 1 à 5 serveurs
– L’amélioration des performances et de la montée en charge de MBAM
2.0 permet une simplification de l’architecture :
• Une architecture à 2 serveurs (avec les spécifications recommandées) peut
supporter un environnement de plus de 200 000 clients (MSIT utilise
aujourd’hui cette architecture pour tout Microsoft)
• Restrictions restantes
– Pas de support de SQL en mode cluster ou d’équilibrage de charge
• Amélioration de VSSWriter : la nouvelle implémentation permet d’effectuer
des sauvegardes sans impacter la disponibilité
Options d’architecture
20. Options d’architecture
• 2 serveurs en mode autonome (200 000 clients)
• 3 serveurs en mode intégré à CM (200 000 clients)
Matériel Minimu
m
Recommandé
Processeur 2,33 GHz 2, 33 GHz ou
plus
Mémoire 8 Go 12 Go
Espace disque libre 1 Go 2 Go
Matériel Minimu
m
Recommandé
Processeur 2,33 GHz 2, 33 GHz ou
plus
Mémoire 8 Go 12 Go
Espace disque libre 5 Go 5 Go ou plus
Serveur
Web
Serveur
SQL
Matériel Minimu
m
Recommandé
Processeur 2,33 GHz 2, 33 GHz ou
plus
Mémoire 4 Go 8 Go
Espace disque libre 1 Go 2 Go
Matériel Minimu
m
Recommandé
Processeur 2,33 GHz 2, 33 GHz ou
plus
Mémoire 4 Go 8 Go
Espace disque libre 5 Go 5 Go ou plus
Serveur
Web
Serveur
SQL
21. • Mode autonome et intégré à Configuration Manager
– OS Client :
• Windows 7 SP1 Ultimate/Enterprise (x86/x64)
• Windows 8 Enterprise (x86/x64)
• Windows 8 Windows to Go
– OS Serveur :
• Windows Server 2008 R2 SP1 Standard/Enterprise/Data Center
• Windows Server 2012 Standard/Enterprise/Data Center
Logiciels supportés
22. • Mode autonome et intégré à Configuration Manager
– Serveur SQL :
• SQL 2008 R2 Standard ou supérieure
• SQL 2012 Standard ou supérieure
– System Center Configuration Manager:
• Configuration Manager 2007 SP2
• Configuration Manager 2012 SP1
Logiciels supportés
24. • Estimation de la conformité
– MBAM fait respecter les « exigences minimums »
– Les composants WMI permettent de faciliter le « debug »
• Flux de chiffrement
– MBAM chiffre un volume à la fois
– Les lettres de volume sont affichées avant le chiffrement
• Ordinateur Windows 8 sans puce TPM
– MBAM permet l’utilisation du protecteur « Mot de passe » pour ces
machines
– Support de Windows To Go
Changements du client MBAM
25. • MBAM v1 (RTM, R1 avec correctifs) vers 2.0
– Beta 2 vers 2.0 fonctionne mais nécessite des modifications manuelles
• Mode autonome vers mode autonome
– Mise à niveau sans perte de données : les clés de récupération et les
informations de conformité sont conservées
• Mode autonome vers mode intégré à CM
– La mise à niveau conserve les clés de récupération
– Les informations de conformité sont conservées mais elles ne sont pas
portées sur Configuration Manager
Mise à jour de MBAM 1.0 vers 2.0 – 3
Options
26. MBAM 1.0 vers 2.0 – déploiement
Mise à jour des serveurs
• Désinstaller la partie serveur et conserver les bases de données
• Installer la partie serveur et pointer vers les bases de données
existantes
• Pour le mode intégré à CM cela inclut l’import des fichiers MOF
Mise à jour des GPO
• Choisir les protecteurs et les options relatives aux
modèles MBAM
• Définir les points de connexion, l’intervalle et la
politique d’exception
Déploiement du nouvel agent
• Pour le mode intégré à CM cela inclut de déployer
DCM
• La conformité utilise la logique « exigences
minimums »
27. Pas de date exacte
mais…
Disponibilité de MBAM 2.0 ?
28. BitLocker
Protection étendue
Intégration dans Windows 8 Pro et Entreprise
Intégration dans Windows To Go, Windows RT et Windows Phone 8
Support des TPM discrets (1.2 et 2.0) et ceux basés sur le firmware (ARM TrustZone; Intel PTT)
Performance
Activation de BitLocker avant l’installation de Windows
Support des disques auto-chiffrant (eDrives)
Mise en service rapide avec le chiffrement de l’espace disque utilisé uniquement
Expérience améliorée
Déverrouillage par le réseau (améliorer le processus de patching lorsqu’un 2nd facteur est requis)
Modification du mot de passe et du code PIN par un utilisateur standard
Module PowerShell pour administrer BitLocker
Option de récupération en ligne avec SkyDrive (Windows 8 et Windows RT)
3ème génération
29. MBAM 2.0
Intégration
Configuration
Manager
Support
Windows 8
Self Service
Customer
Feedback
Support de Windows 8 Enterprise
Support de Non-TPM / Windows To Go
Support du « Pre-Provisioning » BitLocker
Utilisateurs sont en mesure de récupérer les clés de
récupération depuis un portail (protection par control d’accès)
Audit de tous les accès aux clés de récupération
Plus de flexibilité par rapport au prérequis (TDE, SQL Server,
…)
Amélioration du flux de chiffrement
Amélioration des performances et de la montée en charge
Rapports de conformité intégrés à l’environnement CM
Compatibilité matériel et sélection via les collections de CM
Le client de CM prend en charge la partie « Reporting »
30. 4 ouvrages écrits par 13 Microsoftees
http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
31. Formez-vous en ligne
Retrouvez nos évènements
Faites-vous accompagner
gratuitement
Essayer gratuitement nos
solutions IT
Retrouver nos experts
Microsoft
Pros de l’ITDéveloppeurs
www.microsoftvirtualacademy.comhttp://aka.ms/generation-app
http://aka.ms/evenements-
developpeurs http://aka.ms/itcamps-france
Les accélérateurs
Windows Azure, Windows Phone,
Windows 8
http://aka.ms/telechargements
La Dev’Team sur MSDN
http://aka.ms/devteam
L’IT Team sur TechNet
http://aka.ms/itteam