bitlocker, full volume drive encryption - forsiden · usit/sas/lipk, marko andjic, overingeniør...

USIT/SAS/LIPK, Marko Andjic, Overingeniør

Bitlocker, Full Volume Drive

Encryption


• Hva er Bitlocker og hvordan den fungerer?

• Installasjon og styring

• Bitlocker Recovery

• Integrering av Bitlocker inn i PXE

• Nødvendige betingelser

• Bitlocker installasjon via PXE


Bitlocker

• Full Volume Drive Encryption

• EFS – Encrypted File System

• Bitlocker består av: driver, API, FVE og WMI

• Formålet er å løse laptop sikkerhetsproblem

• Helt transparent til bruker

Aktiv

Partisjon

300 MB

System Drive

C:

Data Drive

D:

Hard disk

Volume Metadata


Bitlocker - styring

• WMI provider, anbefalt for store miljøer

• Kommandolinje:

C:\Windows\System32\manage-bde.exe –status

• GPO

- Recovery (Recovery Password, DRA)

- Additional Authentication on Startup

- PIN Options

- Encryption method

- Memory Overwrite on startup

- TPM Platform Validation Profile


Bitlocker - styring

• Bruker grensesnitt

• Kryptering prosessen er transparent for brukeren


Bitlocker – Key Protectors

• TPM

• TPM + PIN

• TPM + PIN + USB

• TPM +USB

• USB

• Recovery Password

• Passphrase

• Certificate

Aktiv

Partisjon

300 MB

System Partisjon

C:

Data Drive

D:


Bitlocker - Recovery


• Recovery Password lagres i AD

• Passphrase

• DRA – Data Recovery Agent


• Kun klienter, og kun Windows7

• TPM + PIN (TPM må slås på i BIOS)


• GPO – Lagre gjenoppretting informasjon til AD

– Ikke start Bitlocker kryptering før passord er lagret i AD

– Lagre ”Gjenoppretting pakke”

• Gjenoppretting informasjon lagres også i en fil

• AES 128 + Diffuser

• Hele disk 0 krypteres (C: eller C: og D:)

Bitlocker – PXE installasjon



Default PIN: 1111



• Hjemmemaskiner meldes midlertidig inn i domenet

• Bitlocker Preparation Tool

• TPM sjekk før kryptering


Spørsmål?

bitlocker, full volume drive encryption - forsiden · usit/sas/lipk, marko andjic, overingeniør...

Documents