Post on 05-Apr-2015
Bitlocker mit Server 2008 in Enterprise Umgebungen Frank Solinske
Senior ConsultantTELTA Citynetz Eberswalde GmbHMVP Windows Server Security
Inhalte
Einführung in BitlockerBitlocker mit TPM Chip, USB und PINBitlocker ohne TPM ChipBitlocker + DiffuserUnterschiede zu Windows VistaBitlocker und EFSGruppenrichtlinien für BitlockerDemo
Was ist Bitlocker?
Security out of the BoxErnsthafte SicherheitsfunktionKomplette FestplattenverschlüsselungTransparent für den AnwenderPerfekter Schutz gegen DiebstahlResistent gegen fremdes BootenKeine „Allzweckwaffe“
BitLocker
Funktionsweise - Allgemein
Optimal: TPM Chips ab Version 1.2Optional: Funktion auch ohne TPM ChipBenötigt eine spezielle PartitionKann (fast) jederzeit nachinstalliert werden.Mehrstufiges AutorisierungskonzeptKann über GPOs verwaltet werden.Verschlüsselt den BootvorgangBei PIN- oder TPM-Verlust „recoverbar“!
Funktionsweise - Allgemein
Recoverypasscode per F-Tasten eingebenPagefile.sys wird verschlüsseltHibernate File wird verschlüsseltKeine Interaktion zur VerschlüsselungSchutz gegen unberechtigte AnmeldungOnline Angriffe möglich!
Bitlocker mit TPM
Bitlocker mit TPM & USB
Erhöht die Sicherheit USB Stick enthält denBitlocker SchlüsselReaktivierung und Neuanmeldung mit USB StickUSB Stick darf nicht verloren werdenUSB Stick enthält Infos im Klartext
Bitlocker mit TPM & Pin
Erhöht die SicherheitPIN wird vor dem Booten abgefragtPIN wird über die F-Tasten eingegebenZusätzlicher Schutz gegen Diebstahl oder Verlust des USB SticksPIN sollte min. 7 Stellen besitzenAnti Hammering Schutz gegen Brute Force-Angriffe in der TPM-Spezifikation
Bitlocker mit USB
Bitlocker mit Diffuser
Erhöhung der SicherheitArbeitet unabhängig zum BitlockerMehrstufige VerschlüsselungTransparent für den AnwenderKaum GeschwindigkeitsverlustKein Bekannter Fall von „Hacking“Kleine Einschränkung:Nicht endgültig geprüftes Verfahren
Bitlocker + Diffuser
Hello, World! (Klartext)
Full-VolumeEncryption Key
(FVEK)
Derive Sector Key
Diffuser (“Elephant”)
AES
Uryyb, Jbeyq!(Verschlüselter
Sektor)
Unterschiede zu Vista
Verschlüsselt alle Partitionen (ohne SP1)Verschlüsselungsalgorithmus wählbarBitlocker frühzeitig planenVerschlüsselung kann erzwungen werdenUnterschiedliche Verschlüsselung möglich
Bitlocker und EFS
Ist möglich!EFS Verschlüsselt auf
DateiebeneBitlocker verschlüsselt
auf SektorenebeneKann per GPO initiiert werdenKann auch vom User initiiert werdenSecurity extrem = Bitlocker + TPM
+ PIN + EFS + SmartcardEine PKI sollte zwingend eingesetzt werden
GPO für Bitlocker
{ Bitlocker 2008 }
Frank Solinske
Demo
Weitere Informationen
Gebundene Ausgabe: 1400 Seiten Verlag: Microsoft PressAuflage: 1 (22. April 2008) Sprache: Deutsch ISBN-10: 3866451202 ISBN-13: 978-3866451209
{ Fragen und Antworten}
?Vielen Dank für Ihre Aufmerksamkeit!
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after
the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Weitere Ressourcen
Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspxWindows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx Windows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspxMicrosoft Virtualization:http://www.microsoft.com/virtualization/default.mspx
Ask the ExpertsWir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.