Archive for the ‘Vista’ Category.

Vista og Bitlocker

Bitlocker drevkryptering er en ny sikkerheds feature som er integreret i Vista Enterprise og Ultimate.
Den laver en fuld datakryptering af hele disken via en såkaldt TPM hardware Chip, som sidder på bundkortet af alle nye laptops i dag.
Bitlocker kan benyttes i “Transparent operation mode”, hvor brugeren logger normalt på maskinen uden at bemærke noget om selve drevkrypteringen.
Bitlocker beskytter mod såkaldte offline angreb i form af bruteforce angreb og ændring af hardware. Et eksempel kunne være som følger:
En bruger har en bitlocker enabled laptop med fortrolige oplysninger på. Han skal til møde og tager sin laptop med ud i bilen. Undervejs bliver den stjålet.
Tyven kommer hjem og vil prøve at hacke sig vej ind til de fortrolige oplysninger.
Han booter op på en linux CD og vil således prøve at kopiere hele diskindholdet ud på et andet medie.
Men Det vil ikke lykkes idet at bitlocker har krypteret disken og tyven ikke kender recovery passwordet.
Tyven prøver så at tage harddisken over i en anden maskine, men igen vil resultatet være det samme.
Bitlocker vil afkræve et recovery password hvis der sker system ændringer i henhold til nedenstående punkter:

  • Moving the BitLocker-protected drive into a new computer.
  • Installing a new motherboard with a new TPM.
  • Turning off, disabling, or clearing the TPM.
  • Changing the BIOS, master boot record (MBR), boot sector, boot manager, or other early boot components or boot configuration data.

 

Bitlocker og Active Directory:

I et enterprise miljø kan man gemme Bitlocker recovery informationer i Active Directory for de enkelte laptops.
Det betyder også at brugeren ikke behøver at kende Recovery Password for lige netop hans maskine.
Hvis han skulle få brug for det, kan han ringe til helpdesk, som via AD kan frembringe det.
Dette kræver at man min. kører med Windows 2003 SP1, idet man skal lave en Schema udvidelse.
For Windows 2008 er det ikke nødvendigt med denne Schema update.
For mere info se nedenstående link.
http://technet2.microsoft.com/windowsserver2008/en/library/3dbad515-5a32-4330-ad6f-d1fb6dfcdd411033.mspx?mfr=true

Bitlocker integrationen i AD kan styres via Group Policy som vist på nedenstående billeder.


Opsætning af Bitlocker:

Efter jeg har forberedt AD, er jeg nu klar til at aktivere Bitlocker på min laptop. Jeg sikrer mig forinden at min maskine er meldt ind i domænet.
Bitlocker kræver 2 partitioner, i form af et ikke krypteret boot volume. For mere info se nedenstående link.
http://support.microsoft.com/default.aspx/kb/930063

Jeg har kun en partition på min laptop, så jeg må køre nedenstående kommando.
BdeHdCfg.exe -target c: shrink -newdriveletter x: -size 1500 -quiet -restart

Start herefter “BitLocker Drive Encryption” fra Control Panel. Vælg “Turn On BitLocker”.

Jeg gemmer her mit Recovery Password på et netværks-drev (min home folder).



Jeg vælger her ikke at kører et system check. Tryk på knappen Encrypt.

Encryption processen aktivers og man vil stadigvæk kunne arbejde på sin laptop.

 

Efter 1.5 til 2 timer er den færdig.

Nedenstående billede viser den Bitlocker enabled data partition.

 

Hvis en bruger får brug for sit Bitlocker Recovery Password, kan helpdesken frembringe det via “BitLocker Recovery Password Viewer for Active Directory”.
http://support.microsoft.com/default.aspx/kb/928202

Gode links til Bitlocker:

Wikipedia – BitLocker Drive Encryption
http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption

Windows BitLocker Drive Encryption Frequently Asked Questions
http://technet2.microsoft.com/WindowsVista/en/library/58358421-a7f5-4c97-ab41-2bcc61a58a701033.mspx?mfr=true

Windows BitLocker Drive Encryption Design and Deployment Guides
http://www.microsoft.com/downloads/details.aspx?familyid=41ba0cf0-57d6-4c38-9743-b7f4ddbe25cd&displaylang=en&tm

Vista performance


Vista er i forhold til XP et OS der stiller krav til hardwaren. Jeg har tidligere læst på diverse blog site og forums, at man kan øge perfomance
ved at disable Windows Defender, UAC og System Restore.
Men det betyder samtidig at man nedbryder sit såkaldte “Defense Layer” og det er jo ikke ligefrem det jeg ønsker.
Jeg har her prøvet at liste en række punkter som vil give en øget performance generelt. Disse punkter kan også benyttes i et enterprise miljø.

  • Forøg memory i dit system. Min bedste oplevelse med Vista har været på en laptop med min. 2 GB memory.
  • Sikre dig, at du kører med den nyeste bios opdatering.
  • Sørg for at du kører med de nyeste system drivere.
  • Kør med en let/enkel antivirus scanner som feks. AVG eller NOD32. (Norton og McAfee er nogle der suger kraften ud af dit system).
  • Afinstaller alle de Vista features du ikke skal benytte (feks. Remote Differential Compression, Tablet PC Optional Components, Windows DFS Replication Service, Windows Fax & Scan, Windows Meeting Space)
  • Afinstaller alle 3 parts programmer du ikke benytter (kan gøres effektivt med Revo Uninstaller).
  • Kør Autoruns fra Microsoft og disable alle de startup features du ikke har brug for. (Undersøg dog først de enkelte programmer før du disabler dem).
  • Disable Windows Sidebar.
  • Disable Vista Aero Themes og skift til Windows Classic.
  • Under Advanced system settings – Advanced Tab – Performance – Visual Effects Tab – Vælg “Adjust for best performance”.
  • Disable unødvendige services (feks. Desktop Window Manager Session Manager, IP Helper, Offline files, Tablet PC Input Service, Themes).

En sidste ting, hvis du oplever at dit Vista system kører langsomt hen over netværket (fil kopiering, Citrix, RDP mfl.), så kan du med fordel afvikle nedenstående kommando linje.
Det Kræver en Runas administrator prompt. “netsh interface tcp set global autotuning=disabled”.
For mere info se dette link.http://www.neoblog.co.uk/?p=13

Vista og logon scripts


Mappet drev og printere via “Group Policy logon scripts” fejler i Vista, hvis man kører som local admin.
Dette skyldes en ny ” privilege model” som kommer med “User Account Control” (UAC).
For mere info se dette link, som også inkluderer Launchapp.wsf.
Der findes forskellige løsninger på dette problem. Den åbenlyse er ikke at gøre brugerne til local admin på deres Vista Workstations.
Hvis dette ikke er en mulighed, er en anden løsning at afvikle et script, som kalder ens nuværende logon scripts.

‘System Logon Scripts

Dim wshShell
Set wshShell = CreateObject(“WScript.Shell”)
If IsVista Then
runVistaStyle
Else
runNormalStyle
End If

Sub runVistaStyle()
wshShell.Run(
“cscript \win-dc-001winscript$launchapp.wsf \win-dc-001winscript$WinLogon.vbs”),0,True
End

Sub

Sub runNormalStyle()
wshShell.Run(
“\win-dc-001winscript$WinLogon.vbs”)
End
Sub

Function IsVista()
strComputer =
“.”
Set objWMIService = GetObject(“winmgmts:” & “{impersonationLevel=impersonate}!\” & strComputer & “rootcimv2″)
Set colOSes = objWMIService.ExecQuery(“Select * from Win32_OperatingSystem”)
For
Each objOS in colOSes
BuildNumber = objOS.BuildNumber
Next
If
BuildNumber >= 6000
Then
IsVista = True
Else
IsVista = False
End If
End

Function

Det skal tilføjes at der er en fejl i det originale Launchapp.wsf fra Microsoft. De sidste 3 linjer skal der ikke være linjeafstand.

call rootFolder.RegisterTaskDefinition( _
strTaskName, taskDefinition, FlagTaskCreate, _
,, LogonTypeInteractive)

For mere info omkring Vista og logon scripts se dette link.
http://blog.stealthpuppy.com/group-policy/group-policy-scripts-can-fail-due-to-uac