Archive for January 2009

Windows 7 og Bitlocker

Med Vista Enterprise og Ultimate fik man Bitlocker, som kunne lave en fuld datakryptering af hele disken.
I et enterprise miljø kunne man gemme Bitlocker recovery informationer i Active Directory og søge dem frem.
GPO settings var: "Turn on TPM backup to Active Directory Domain Services" og "Turn on BitLocker backup to Active Directory Domain Services".
Det krævede et Windows 2003 SP1 domain, med tilhørende Schema udvidelse.
For at kunne enable Bitlocker, krævede det, at man manuelt lavede en seperat boot system partition (BitLocker Drive Preparation Tool).
Med Vista SP1 blev det  ligeledes muligt at datakryptere andre drev end C-partitionen (D-E-F drev).
Ovenstående havde begrænset Group Policy support.
De enkelte recovery metoder var som følger:
Recovery password – Recovery key – Active Directory backup af recovery password.

Med Windows 7 (og Windows 2008 R2), får vi nu følgende nye Bitlocker features:
Ved installatioenen af Windows 7 bliver der automatisk oprettet en 200 MB drevløs system partition, som er skjult.

BitLocker Drive Preparation Tool er nu indbygget i Bitlocker setup proceduren. Det betyder at Bitlocker setup, nu er reduceret til et par få museklik.
Management delen er vist, som på nedenstående billede. Dette gælder for Bitlocker To Go.

 
BitLocker To Go. Det er nu muligt at kryptere såkaldte "removable storage", som kunne være diverse usb devices.
Med BitLocker To Go, er der en række features, som følger:
Udvidet Group Policy support (Recovery Metoder – Passwords Complexity – smart card – Support for Vista og XP mfl.).
Smart Cards unlock support.
Data Recovery Agents (DRA) – Cetifikat baseret key protector, som giver IT afdelingen mulighed for at bruge den samme nøgle til at unlocke alle drev.

BitLocker To Go, er for mig at se den mest betydningsfulde feature, som jeg i denne blog-post vil fokusere på.
inden jeg går i gang med at kryptere en given USB-pen. vil jeg forberede managemt delen via en række group policy settings.
De kunne feks være som følger: Computer Configuration – Administrative Templates – Windows Components – BitLocker Drive Encryption.


Jeg Indsætter nu en ny USB og får at vide at der ikke er "write access" før USB devicen bliver krypteret. Dette har jeg sat i en GPO.
 
Jeg vælger her at kryptere den og skal herefter angive password. Jeg har i en GPO valgt complex password, samt min 8 karakter.
 
Jeg bekræfter, at jeg gerne vil kryptere min USB device.
 
 
 
Næste gang jeg anvender min USB-pen, bliver jeg nu promtet for password.

Jeg får herefter adgang.


Hvis en bruger ikke kan huske sit "unlock password", kan man finde det i AD. Denne settings er også sat via en GPO.
Brugeren kan her klikke på linket "I forgot my password". Nedenstående skærmbillede fremkommer:
 
Man kan herefter søge i AD udfra de første 8 cifre af recovery nøglen.
 
En anden mulighed for at unlocke en given USB device, er at benytte Data Recovery Agents (DRA).
For central management kan man vælge at benytte samme nøgle til alle USB devices i virksomheden.
Man opretter således et certifikat bestående af en public key, som distribueres rundt via en GPO.
Forinden skal man vælge den eller de trusted brugere, som skal have rollen som data recovery agent.
De holder den korsponderende private key. Det gøres på følgende måde:
Gå til Computer Configuration – Windows Settings – Security Settings – Public Key Policies – Bitlocker Drive Encrytion.
Vælg " Add Data Recovery Agent" og klik Next. Browse directory for data recovery agent
 
Jeg har i denne test, valgt mig selv.

Wizard afsluttes.

Jeg havde forinden enablet GPO’en "Provide the unique identifiers for your organization", hvor man her skal angive en given streng.
 
Via Manage-BDE kommandoen kan jeg se status på min krypteret USB pen.
Den viser her, at jeg kan unlocke min USB pen via den føroprettede certifikat baseret key protector.
 
Jeg unlocker drevet med nedenstående kommando. DRA.cer indeholder public key.
Jeg har forinden sikret mig at pfx user certifikatet er indeholdt i personal store på den computer jeg unlocker USB drevet fra.
 
Man kan således unlocke alle drev via den samme key protector.
Det sidste jeg testede, var tilslutte USB drevet til en Windows X SP2/3. Her er der således kun read access.

 
Jeg prøvede herefter at kopiere en fil tilbage på USB drevet og fik nedenstående besked, hvilket var forventet.
 

Ovenstående er testet på Windows 7 Build 7000.

Referencer:

Windows 7 for the enterprise:
http://www.microsoft.com/windows/enterprise/products/windows-7-bitlocker.aspx

Protecting data In Windows 7 and Windows Server 2008 R2:
http://download.microsoft.com/download/5/E/6/5E66B27B-988B-4F50-AF3A-C2FF1E62180F/ENT-T561_WH08.pptx