Bitlocker mit Server 2008 in Enterprise Umgebungen Frank Solinske

Senior ConsultantTELTA Citynetz Eberswalde GmbHMVP Windows Server Security

Inhalte

Einführung in BitlockerBitlocker mit TPM Chip, USB und PINBitlocker ohne TPM ChipBitlocker + DiffuserUnterschiede zu Windows VistaBitlocker und EFSGruppenrichtlinien für BitlockerDemo

Was ist Bitlocker?

Security out of the BoxErnsthafte SicherheitsfunktionKomplette FestplattenverschlüsselungTransparent für den AnwenderPerfekter Schutz gegen DiebstahlResistent gegen fremdes BootenKeine „Allzweckwaffe“

BitLocker

Funktionsweise - Allgemein

Optimal: TPM Chips ab Version 1.2Optional: Funktion auch ohne TPM ChipBenötigt eine spezielle PartitionKann (fast) jederzeit nachinstalliert werden.Mehrstufiges AutorisierungskonzeptKann über GPOs verwaltet werden.Verschlüsselt den BootvorgangBei PIN- oder TPM-Verlust „recoverbar“!

Funktionsweise - Allgemein

Recoverypasscode per F-Tasten eingebenPagefile.sys wird verschlüsseltHibernate File wird verschlüsseltKeine Interaktion zur VerschlüsselungSchutz gegen unberechtigte AnmeldungOnline Angriffe möglich!

Bitlocker mit TPM

Bitlocker mit TPM & USB

Erhöht die Sicherheit USB Stick enthält denBitlocker SchlüsselReaktivierung und Neuanmeldung mit USB StickUSB Stick darf nicht verloren werdenUSB Stick enthält Infos im Klartext

Bitlocker mit TPM & Pin

Erhöht die SicherheitPIN wird vor dem Booten abgefragtPIN wird über die F-Tasten eingegebenZusätzlicher Schutz gegen Diebstahl oder Verlust des USB SticksPIN sollte min. 7 Stellen besitzenAnti Hammering Schutz gegen Brute Force-Angriffe in der TPM-Spezifikation

Bitlocker mit USB

Bitlocker mit Diffuser

Erhöhung der SicherheitArbeitet unabhängig zum BitlockerMehrstufige VerschlüsselungTransparent für den AnwenderKaum GeschwindigkeitsverlustKein Bekannter Fall von „Hacking“Kleine Einschränkung:Nicht endgültig geprüftes Verfahren

Bitlocker + Diffuser

Hello, World! (Klartext)

Full-VolumeEncryption Key

(FVEK)

Derive Sector Key

Diffuser (“Elephant”)

AES

Uryyb, Jbeyq!(Verschlüselter

Sektor)

Unterschiede zu Vista

Verschlüsselt alle Partitionen (ohne SP1)Verschlüsselungsalgorithmus wählbarBitlocker frühzeitig planenVerschlüsselung kann erzwungen werdenUnterschiedliche Verschlüsselung möglich

Bitlocker und EFS

Ist möglich!EFS Verschlüsselt auf

DateiebeneBitlocker verschlüsselt

auf SektorenebeneKann per GPO initiiert werdenKann auch vom User initiiert werdenSecurity extrem = Bitlocker + TPM

+ PIN + EFS + SmartcardEine PKI sollte zwingend eingesetzt werden

GPO für Bitlocker

{ Bitlocker 2008 }

Frank Solinske

Demo

Weitere Informationen

Gebundene Ausgabe: 1400 Seiten Verlag: Microsoft PressAuflage: 1 (22. April 2008) Sprache: Deutsch ISBN-10: 3866451202 ISBN-13: 978-3866451209

{ Fragen und Antworten}

?Vielen Dank für Ihre Aufmerksamkeit!

© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Weitere Ressourcen

Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspxWindows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx Windows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspxMicrosoft Virtualization:http://www.microsoft.com/virtualization/default.mspx

Ask the ExpertsWir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.