BitLocker-Bereitstellung
Schwierigkeitsgrad: Mittelstufe, Fortgeschrittene
Umriss
- Voraussetzungen
- Hintergrund
- Vokabular
- Active Directory-Funktionsebene für Wiederherstellungsschlüssel
- Computer mit TPM Installiert und Aktiviert.
- Gruppenrichtlinieneinstellungen
- PCR-Einstellungen
- Befehle zum Verwalten von BitLocker
- Systemlaufwerkpartition
- Erstellen des Wiederherstellungsschlüssels
- Erstellen des TPM-Schlüssels
- Aktivieren der Verschlüsselung
- Anhalten der BitLocker-Verschlüsselung
- BitLocker-Status überprüfen
- Lebenszyklusverwaltung mit Beispielskripts
- Bereitstellung
- Problembehandlung
- Re-Imaging-Re-Provisioning
- Wiederherstellung aus dem Wiederherstellungsmodus
- Stilllegung
- Vorbehalte
- Auswirkungen auf die Sicherheit
- Schlussfolgerung
Voraussetzungen- und Anforderungen:
Server-Ende:
- Windows Server 2008-Domänenfunktionsebene oder höher
- Jeder Endpoint Management Server – SCCM, Kace, LanDesk, etc...
Client-Ende:
- Os:
- Windows 7 Enterprise oder höher
- Windows 8.1 Professional oder höher
- Windows 10 Professional oder höher
- TPM 1.2 oder höher – Erforderlich, keine Chance auf Automatisierung ohne diese.
- Lenovo-Dell-alle großen Namen Box-Systeme mit Remote-Bios-Verwaltbarkeit – Nicht erforderlich, aber nützlich
- "Physische Präsenz für die Bereitstellung" ist deaktiviert – In Bios-Firmware
- CSM-Legacy-Bios
Hintergrund:
BitLocker ist eine kostenlose Verschlüsselungsfunktion in Windows, die bei den meisten Windows-Versionen Standard ist (spezifische Anforderungen, die oben aufgeführt sind). BitLocker ermöglicht die Verschlüsselung von Laufwerken auf dem System als Sicherheitsebene.
Mit traditionell nichtverschlüsselten Datenträgern (der überwiegenden Mehrheit der Computer der Welt) konnten die Täter alle auf der lokalen Festplatte verfügbaren Daten extrahieren. Dies kann durch einfaches Andocken der Festplatte des Systems auf einen anderen Computer erfolgen, um das Dateisystem zu durchsuchen. Oder indem Sie eine Live-Distribution von Linux-WinPE ausführen, wo die Daten im Klartext sein würden.
Nicht nur die lokalen Daten auf einer unverschlüsselten Festplatte sind gefährdet, sondern auch andere sensible Daten wie Kennworthashes könnten wiederhergestellt und für andere böswillige Zwecke verwendet werden.
Daher ist die Laufwerkverschlüsselung ein integraler Bestandteil guter Sicherheit. Mit der Verschlüsselung an Ort und Stelle, Hacker müssten extra hart arbeiten, um die Verschlüsselung zu entwaffnen, um alle nützlichen Informationen wiederherzustellen.
Das Problem bei der Aktivierung von BitLocker oder einer anderen Sicherheitsfunktion besteht darin, dass es eine erhebliche Belastung für Administratoren in Bezug auf: Verwaltbarkeit, Zuverlässigkeit und erforderliche Kenntnisse darstellt. Daher gibt es eine große Barriere für den Eintritt für die meisten Administratoren, die keine Zeit oder die Fähigkeiten haben, BitLocker zu verwalten, auch wenn die Umgebung es unterstützt.
In diesem Artikel schreibe ich fragmentierte Informationen aus dem gesamten Internet zusammen, um eine wirklich berührungsechte, transparente Verschlüsselungsbereitstellung zu beschreiben. Es ist remote administrierbar mit voller Cradle-to-Grave-Lebenszyklus-Verwaltbarkeit. Dies geschieht, ohne MBAM oder Produkte von Drittanbietern implementieren zu müssen. Die einzigen Anforderungen sind die oben aufgeführten, am Anfang dieses Artikels.
Mit all dem, was gesagt wird, ist diese Form der Umsetzung die am wenigsten sichere verfügbare. Es wird keinen PIN-Code für Benutzer zu erinnern, wird es nicht einen USB-Schlüssel bei der Anmeldung erforderlich sein, es wird 100% transparent sein, was Benutzer betrifft. Daher keine mehrstufige Authentifizierung.
Stattdessen ist das Ziel, "besser als nichts" Verschlüsselung zu bieten, die weit besser ist, um die Festplatten im Klartext zu verlassen. Und da der Prozess vollständig automatisiert ist, entstehen für diese Implementierung keine nennenswerten Kosten, abgesehen von den anfänglichen Kosten für die Einrichtung der Richtlinien-Skripte. Dies ist auf so viele Systeme wie unterstützt durchsetzbar. Und kann über Skript in bereits vorhandene Workflow-Task-Sequenzen integriert werden.
Wenn Sie also die Anforderungen erfüllen (und Die Zeit haben), sollten Sie dies implementieren.
Vokabular:
Tpm
Das "Trusted Protection Module" ist ein Mikrochip, der in einigen Laptops und Desktops integriert ist, die heute bestellt werden. Es bietet eine Möglichkeit zum Erstellen und Verschlüsseln von Schlüsseln, die für BitLocker und andere sicherheitsrelevante Funktionen verwendet werden könnten. Mit TPM & BitLocker würde das System den PC beim Start automatisch entschlüsseln, ohne dass ein Pin, USB oder eine andere Form der Authentifizierung erforderlich ist.
Besitzer-Passwort
Wenn TPM aktiviert ist, wird ein Besitzerkennwort verwendet, um gottähnliche Rechte über den Chip zu authentifizieren. Dieses Kennwort kann automatisch generiert und gespeichert werden. Aber in den letzten Versionen von Windows, es wird automatisch generiert und hingeschliffen. Weitere Informationen dazu später.
FVEK
Der "Full Volume Encryption Key" ist ein Schlüssel, der von BitLocker verwendet wird, um das gesamte Laufwerk C: zu verschlüsseln. Der FVEK wird in Metadaten gespeichert, die selbst vom VMK verschlüsselt werden, wie unten erläutert.
Vmk
Der "Volume Master Key" entsperrt den FVEK, der wiederum das Laufwerk C: entschlüsselt. Dies wird automatisch von BitLocker generiert und verwaltet.
Das VMK selbst wird weiter von "Key Protectors" verschlüsselt. Kenntnisse der VMK und FVEK sind für die BitLocker-Implementierung nicht erforderlich, aber Kenntnisse der Schlüsselschützer sind erforderlich (wie unten erläutert).
Schlüsselprotektoren
Ein Schlüsselschutz ist ein weiterer Schlüssel, der den VMK schützt, was wiederum den FVEK schützt, was wiederum die Daten schützt. Der Schlüsselschutz gibt es in vielen Formen:
Eine. Ein USB-Laufwerk könnte als sogenannter "Schlüsselschutz" konfiguriert werden. Wenn dies geschehen ist, muss dieses Flash-Laufwerk beim Booten in den PC gesteckt werden, um das Laufwerk zu entsperren und das System zu booten.
B. Ein Passcode (kurz oder lang, numerisch, alphabetisch oder alphanumerisch) kann als Protektor verwendet werden. Wenn dies als Schlüsselschutz vorhanden ist, muss der Endbenutzer den Passcode bei jedem
c. Ein Wiederherstellungsschlüssel kann erstellt und in Active Directory gespeichert werden. Dies ist ein Muss für die Datenwiederherstellung im Notfall. -Dies ist erforderlich.
d. Schließlich kann das TPM zum Schutz des FVEK verwendet werden. Wenn dies verwendet wird, sind keine Informationen seitens des Benutzers erforderlich. Das System entschlüsselt das Laufwerk beim Booten automatisch. – Dies ist notwendig.
Darüber hinaus können Sie eine beliebige Kombination dieser Verschlüsselungsmethoden zusammen verwenden, um die Sicherheit weiter zu erhöhen. Ein mehrstufiger Authentifizierungsansatz muss jedoch manuell konfiguriert werden, sodass es sich nicht um eine Zero-Touch-Bereitstellung handelt und nicht in diesem Artikel behandelt wird.
Active Directory-Funktionsebene
Beim Vorbereiten einer Zero-Touch-Bereitstellung von BitLocker müssen Sie zunächst berücksichtigen, wie die Wiederherstellungsinformationen gespeichert werden. Standardmäßig sichert BitLocker keinen Wiederherstellungsschlüssel. Es ist sehr wichtig, eine Kopie des Wiederherstellungsschlüssels für jeden PC zu behalten.
Der Wiederherstellungsschlüssel gewährt Ihnen Zugriff auf die Festplatte in einem Offline-Out-of-Band-Szenario, es wird auch das Laufwerk entsperren, wenn der Wiederherstellungsmodus ausgelöst wurde. Microsoft ermöglicht das Speichern dieser Schlüssel in Active Directory. Dazu ist die Funktionsebene der Windows Server 2008-Domäne oder höher erforderlich.
Unter jedem Computerobjekt sollte eine Registerkarte in Active Directory-Benutzer & -Computer vorhanden sein. Auf der Registerkarte BitLocker Recovery werden alle pro Computer verfügbaren Wiederherstellungsschlüssel auflisten. Jedem Schlüssel werden eine GUID und ein Zeitstempel zugewiesen, um den Schlüssel des Interesses besser zu identifizieren.
Ausführliche Informationen finden Sie hier: https://technet.microsoft.com/en-us/library/dd875529(v=ws.10).aspx
Maschinen mit installiertem und aktiviertem TPM
TPM ist eine Anforderung für BitLocker-Bereitstellungen mit Null-Touch-Zugriff. Ohne TPM müsste ein Benutzer einen PIN-Code, USB oder eine Kombination aus beidem einrichten, um beim Booten auf den Computer zuzugreifen. Mit TPM kann der Computer automatisch in Windows gestartet werden, ohne dass ein Benutzer mitwechselt. Dies funktioniert, da TPM eine Art von Verschlüsselung auf Hardwareebene verwendet, um die BitLocker-Schlüssel zu speichern. TPM überprüft den Computer beim Start auf Anzeichen von Beschädigung.-Kompromiss. Wenn der PC die Tests besteht (PCR-Einstellungen), wird Windows automatisch entsperrt. An diesem Punkt wären die mindesten Komplexitätsanforderungen für Benutzerkontenkennwörter auf dem Computer das schwächste Glied in Ihrer Sicherheit. Dies ist weniger sicher als eine Multi-Faktor-Authentifizierung, die einen Pin oder USB beim Start erfordert, aber TPM bietet unvergleichlichen Komfort.
Das Trusted Protection Module ist ein Chip, und so ist es etwas, das entweder mit der Maschine kommt oder nicht. Sie können die Computer in Ihrer Umgebung auf das Vorhandensein und Aktivieren von TPM überprüfen, indem Sie diese WMI-Abfrage in PowerShell ausführen:
(Get-WmiObject win32_tpm -Namespace root\cimv2\Security\MicrosoftTPM).isenabled() | Select-Object -ExpandProperty IsEnabled
WMI-Filter:
Select * from win32_tpm Where IsEnabled_Initialvalue='True'
HINWEIS: Es ist möglich, dass sich der TPM-Wert ändert, nachdem das WMI-Objekt instanziiert wurde. Das Ausführen der IsEnabled()-Methode würde also ein aktuelleres Ergebnis ergeben. Aber die IsEnabled_InitialValue sollte unter normalen Umständen ausreichen.
Es ist am besten, Maschinen mit dem TPM Aktiviert aus dem Kasten zu kaufen, weniger Arbeit für Sie. Wenn die Maschine(en) eine Art von Konfiguration für TPM benötigen, befolgen Sie die vom Hersteller angegebenen Anweisungen, die eine manuelle Konfiguration erfordern können. Viele neuere Maschinen sind mit TPM voraktiviert in der Bios-Firmware.
Gruppenpolitik
Es gibt eine Vielzahl von verschiedenen Richtlinien für BitLocker. Wie sich BitLocker in Ihrer Umgebung verhält, hängt von den hier konfigurierten Einstellungen ab. Für anständige Sicherheit und Null-Touch beachten Sie die folgenden Einstellungen:
Richtlinien > Verwaltungsvorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung:
- Wählen Sie Die Verschlüsselungsmethode und die Verschlüsselungsstärke – AES 256-Bit
- Speichern von BitLocker-Wiederherstellungsinformationen in Active Directory-Domäne – Aktiviert
- Dienste (Windows Server 2008 und Windows Vista): BitLocker-Sicherung in AD DS – Enabled erforderlich
- BitLocker-Wiederherstellungsinformationen zum Speichern auswählen – Alles (Wiederherstellungskennwörter und Schlüsselpakete)
Erstellen Sie ein Gruppenrichtlinienobjekt mit diesen Einstellungen, und legen Sie es in eine Organisationseinheit ein, die die Ziel-PCs enthält. Diese Einstellungen müssen vor der Aktivierung von BitLocker angewendet werden. Diese Einstellungen sind ziemlich sicher und haben keine negativen Auswirkungen, wenn sie auf alle Maschinen angewendet werden.
PCR-Einstellungen
Dies ist eigentlich eine Einstellung, die über Gruppenrichtlinien oder Registrierung erzwungen würde. Aber ich werde einen ganzen Abschnitt ausschließlich dieser Konfiguration widmen, da dies der Ort ist, an dem Die meiste Zeit mit Testing-Konfiguration verbracht werden sollte. Das Ziel hier ist es, das Auslösen des Wiederherstellungsmodus unter normalen Verwendungsszenarien zu vermeiden.
PCR steht für Plattformkonfigurationsregister. Im Großen und Ganzen stellen die für BitLocker konfigurierten PCR-Einstellungen die erforderlichen Integritätsprüfungen fest, die ein Booting-Computer vor der Freigabe von in TPM gespeicherten Schlüsseln bestehen muss (denken Sie an FVEK, VMK usw.). Dies soll vor Manipulationen oder Hacking-Versuchen schützen. Wenn das Gerät diese Prüfungen besteht, gibt das TPM eine Reihe von Schlüsseln frei, die von BitLocker verwendet werden können, um das Betriebssystem zu entsperren.
Wenn die Integritätsprüfungen fehlschlagen, wechselt der Computer in den gefürchteten BitLocker-Wiederherstellungsmodus. In diesem Zustand erfordert der Computer manuelle Eingriffe von jemandem, um es entweder neu zu starten oder das Wiederherstellungskennwort einzugeben und den Startvorgang fortzusetzen.
Die PCR speichert eine Signatur der Startkonfiguration und des Systemstatus zum Zeitpunkt der Verschlüsselung. Zum Beispiel die Bios-Version, Bios-Einstellungen, die Boot-Konfiguration, der MBR-Status, BCD-Einstellungen, DEP-Einstellungen, etc. Alle diese Umgebungsbedingungen werden vom Computer zum Zeitpunkt der Verschlüsselung notiert und gelten als vertrauenswürdiger Zustand des Computers. Nachdem ein Computer verschlüsselt wurde, wird, wenn sich etwas so Einfaches wie die Bootreihenfolge ändert (auch wenn F12 on the fly verwendet wird), der Wiederherstellungsmodus ausgelöst und das Wiederherstellungskennwort angewendet werden muss, um den Bootvorgang fortzusetzen. Sobald das Wiederherstellungskennwort eingegeben wurde, wird der beim letzten Startversuch berechnete Startkonfigurationsstatus zum neuen PcRs-Satz für Benchmarks. Zukünftige Stiefel mit den neuen Bios-Umgebungseinstellungen sollten also nicht mehr den Wiederherstellungsmodus auslösen.
Wie Sie sich vorstellen können, wäre dies sehr schwierig zu bewältigen, wenn eine Flotte von Maschinen aus der Ferne konfiguriert wäre, um eine dieser sensiblen Einstellungen zu ändern. Jede Maschine würde manuelle Eingriffe durch einen Techniker erfordern, der physisch anwesend ist.
Um dieses Alptraumszenario zu vermeiden, schlage ich vor, die Standard-PCR-Einstellungen für das TPM zu ändern. In Gruppenrichtlinien gibt es Einstellungen, um den Typ von PCRs einzuschränken, die für TPM zum Freigeben der Schlüssel erforderlich sind.
Diese Einstellungen finden Sie in der ADMX-Vorlage für BitLocker:
Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke > Konfigurieren des TPM-Plattformvalidierungsprofils für Bios-basierte Firmware-Konfigurationen
Die aufgeführten PCR-Indizes sind wie folgt:
PCR 0: Core Root of Trust Measurement (CRTM), Bios und Plattformerweiterungen
Diese PCR ist die wichtigste, da sie die Kernwurzel des Vertrauens ist und die Gültigkeit aller anderen PCRs festlegt. Wenn möglich, sollte dies belassen werden.
PCR1: Hostplattformkonfiguration
Diese PCR erkennt nicht autorisierte Änderungen an der Bios-Konfiguration. Dazu gehören Dinge wie SMBios Strukturen, CMOS-Daten, Passwörter, etc... Standardmäßig wird dies von BitLocker nicht verwendet. Sie können dies mit einem Bios-Passwort verwenden, das implementiert wurde, um den Computer weiter vor Manipulationen zu schützen. Wenn Bios-Passwörter in Ihrer Umgebung nicht verwendet werden, kann diese Integritätsprüfung für Ihre Bios-Sicherheitsanforderungen ausreichen. Da die Maschine das Betriebssystem nicht booten würde, wenn das Bios mit irgendwelchen Mitteln geändert worden wäre. So konnte ein Täter das Bios untersuchen, konnte es aber nicht mit der Erwartung begutachten, in Windows zu booten.
In Bezug auf die Lebenszyklusverwaltung, Sie müssen daran denken, BitLocker Verschlüsselung auf Computern, die diese PCR als Anforderung, wenn eine Änderung an der Bios vorgenommen wird auszusetzen. Dies würde alle Einstellungen in der Bios und aktuelle Bios Firmware-Upgrades umfassen. Wenn Sie BitLocker nicht anhalten, bevor Sie eine der oben genannten Änderungen vornehmen, lösen Sie den Wiederherstellungsmodus aus. Bitlocker kann mithilfe eines einfachen Befehls in einem Skript aus der Ferne angehalten werden, während der Computer in Windows geladen wird, mehr dazu später.
PCR 2, 3: Option ROM-Code
Diese PCR überprüft alle Options-ROMs auf Änderungen.
PCR 4 & 5: IPL-Code- und Konfigurationsdaten
Diese sind für die Überprüfung des anfänglichen Programmladecodes verantwortlich. Dadurch wird die Übergabe vom Bios an das Betriebssystem misst. Diese PCR ist am schwierigsten zu behandeln, da sie bei jedem Start einen Digest für das Bootgerät erstellt. Wenn der Digest nicht mit dem übereinstimmt, was zuletzt gemessen wurde, haben Sie die Integritätsprüfung nicht bestanden. In der Praxis macht dies eine gemischte Umgebung mit verschiedenen Bootmethoden, PXE-Bootoptionen, die für den versehentlichen Wiederherstellungsmodus sehr anfällig sind. Ich schlage vor, dass Sie dies nicht verwenden, da die Vorscheine der Aktivierung dieser 2 PCRs durch die Verbreitung von Wiederherstellungsmodus-Vorkommen auf der ganzen Linie stark überwiegen. Aber es gibt Sicherheitsauswirkungen zu berücksichtigen, wenn dies wie bei jeder anderen PCR deaktivieren.
PCR 6: Maßnahmen Machtzustandsübergänge
Ich habe mich nicht darum gekümmert, dies zu aktivieren, da dies nicht zu den standardmäßig aktivierten PCRs gehört, die von Microsoft empfohlen werden. Wenn eine Maschine aus irgendeinem Grund nicht aus einem der Ruhezustande wieder aufgenommen wird, kann es zu einer Kette von Vertrauensverletzungen, d. h. dem Wiederherstellungsmodus, ergehen.
PCR 8: NTFS-Bootsektor
Dies hilft, den Osinitialisierungscode zu überprüfen. Dies schützt vor Rootkits und Trojanern.
PCR 9: NTFS-Boot-Block
Diese PCR stellt sicher, dass der NTFS-Startblock nicht manipuliert wurde.
PCR 10: Boot-Manager
Diese PCR stellt sicher, dass der Betriebssystemstart nicht manipuliert wurde.
PCR 11: BitLocker-Zugriffssteuerung
Dies ist erforderlich, um BitLocker mit TPM zu aktivieren.
Standardmäßig wählt Bitlocker automatisch: PCRs: 0, 2, 4, 5, 8, 9, 10 und 11aus. Aber meiner Erfahrung nach sind die 2, 4, & 5 PCRs in einigen komplexen Umgebungen zu problematisch. Zum Beispiel, indem Sie 2, 4, & 5 ausgewählt haben, setzen Sie sich der Möglichkeit aus, den Wiederherstellungsmodus über etwas so Banthees wie das Entfliehen eines USB-Boot-Versuchs beim Start auszulösen.
Schlimmer noch ist der Fall, wenn ein Computer während der Verschlüsselung erfolgreich auf einen PXE-Startserver beim Start bootet. Von da an benötigt der Computer, dass der PXE-Startserver bei jedem Start das PXE-Startmenü zur Verfügung stellt, um das Betriebssystem zu entsperren. Wenn es ein Netzwerkproblem jeglicher Art gibt: ein fehlerhaftes Kabel, ein nicht angeschlossenes Ethernet-Kabel, Probleme mit dem Switch, der NIC oder wenn der Server ausfällt oder Änderungen am Startmenü vorgenommen werden; Alle Computer, die für den Start auf diesem Server konfiguriert wurden, können nicht gestartet werden. Dies könnte ein weit verbreitetes Problem sein. Ein DOS-Angriff kann so einfach sein, wie den TFTP-PXE-Server zu überlasten, um das gesamte BitLocker-fähige Netzwerk herunterzuspielen.
Also wie alle Dinge, die mit Sicherheit zusammenhängen, müssen Sie die Vor- und Nachteile abwägen. In meinen Tests mit Lenovo Systemen, ist es am besten zuverwenden: 0, 1, 8, 9, 10, & 11, wenn das Ziel ist, eine Null-Touch-Konfiguration haben. Mit dieser Konfiguration wird der Wiederherstellungsmodus fast nie versehentlich ausgelöst.
In meinen Tests wird der Wiederherstellungsmodus nur ausgelöst, wenn:
- Das Bios auf dem Gerät wird aktualisiert, oder eine der Einstellungen wurde geändert.
- Die systemweiten DEP/BCD-Einstellungen werden geändert.
- Hardwareänderungen – Ohne Dockingstationen, aber dies variiert je nach Hersteller und muss getestet werden.
Ansonsten ist der Wiederherstellungsmodus kein Problem. Sie müssen ausführliche Artikel zu den Vor-und Weiterinformationen zum Aktivieren und Deaktivieren jeder dieser PCR-Anforderungen lesen.
Letzter Hinweis ist, dass diese Einstellungen nicht auf UEFI-Firmwares übertragbar sind. Diese haben ihre eigenen PCR-Indizes, mit ihrer eigenen Bedeutung. Es gilt jedoch derselbe Grundsatz.
Nützliche Befehle
Um BitLocker automatisiert einzuführen, müssen Skripte verwendet werden. Ich werde nützliche Befehle in CMD und PowerShell auflisten:
Partitions-Festplatte für BitLocker
Bevor BitLocker aktiviert werden kann, muss die Festplatte entsprechend partitioniert werden. Sie können das nützliche BdeHdcfg.exe-Tool ausführen, um die Partition auf dem Laufwerk für BitLocker automatisch zu konfigurieren.
Cmd:BdeHdCfg.exe -target %SystemDrive% shrink -quiet –restart
Erstellen Sie einen Wiederherstellungsschlüssel (nur für den Notfallzugriff, gespeichert in AD):
Cmd:manage-bde.exe -protectors -add c: -recoverypassword
Ps:Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector
Erstellen Sie den TPM-Schlüssel (zum automatischen Starten von verschlüsselten Betriebssystemen):
Cmd:manage-bde.exe -protectors -add %SystemDrive% -tpm
Ps:Add-BitLockerKeyProtector -MountPoint $env:SystemDrive –TpmProtector
Aktivieren der BitLocker-Verschlüsselung
Cmd:manage-bde.exe -on %systemdrive%
Ps:Enable-BitLocker -MountPoint $env:SystemDrive
Die Verschlüsselung beginnt nach einem Neustart. Während dieses Bootens treten die PCRs ein und erstellen einen Überblick über die Umgebungsbedingungen während dieses Bootes. Sobald das Betriebssystem die Verschlüsselung startet, können Sie den PC weiterhin wie gewohnt verwenden. Es würde weiterhin im Hintergrund verschlüsselt, bis abgeschlossen, auch nach mehreren Neustarts.
Alle oben aufgeführten Befehle sollten in vollständigen Skripts implementiert werden, in denen Voraussetzungen wie der TPM-Status überprüft werden, bevor der Trigger bei der Verschlüsselung gezogen wird. Beispielskripts werden später bereitgestellt.
Prüfstatus
Um den Status der Verschlüsselung auf einem Computer aus der Ferne (oder lokal) zu überprüfen, können Sie den Befehl manage-bde selbst oder mit psexec verwenden.
Cmd:Manage-bde –status –cn %computername%
Aussetzung
Um BitLocker anzusetzen, führen Sie den folgenden Befehl in PowerShell aus. Dadurch verhält sich der Computer so, als ob er überhaupt nicht verschlüsselt wäre, für eine maximale Anzahl von Neustarts. Dies ist vor Änderungen an den Bios-, Boot-Prozess-, HW-Änderungen oder BCD-DEP-Einstellungen zu verwenden.
Ps:Suspend-BitLocker -MountPoint C: -RebootCount 2
Sie können die Aussetzung überprüfen, indem Sie das C-Laufwerksymbol anzeigen oder das Statusflag auf manage-bde.exe verwenden.
Life Cycle Management
Bereitstellung:
- Führen Sie dieselben Bereitstellungstools aus, die Sie zuvor zum Installieren von Windows hatten.
- Installieren Sie nach der Installation den Computer in eine Organisationseinheit, die die Gruppenrichtlinienobjekteinstellungen für BitLocker enthält.
- Fügen Sie den Computer den entsprechenden Gruppen hinzu, damit die BitLocker-Bereitstellungsskripts ausgeführt werden.
- Alle oben genannten sollten über EMS, WMI-Filter, Gruppenmitgliedschaft, Item Level-Targeting usw. automatisiert werden.
Die Beispielskripts für #3:
Partitionsystemlaufwerk für BitLocker & Neustart
$TPM = Get-WmiObject win32_tpm -Namespace root\cimv2\security\microsofttpm | where {$_.IsEnabled().Isenabled -eq 'True'} -ErrorAction SilentlyContinue
$WindowsVer = Get-WmiObject -Query 'select * from Win32_OperatingSystem where (Version like "6.2%" or Version like "6.3%" or Version like "10.0%") and ProductType = "1"' -ErrorAction SilentlyContinue
$SystemDriveBitLockerRDY = Get-BitLockerVolume -MountPoint $env:SystemDrive -ErrorAction SilentlyContinue
if ($WindowsVer -and $tpm -and !$SystemDriveBitLockerRDY) {
Get-Service -Name defragsvc -ErrorAction SilentlyContinue | Set-Service -Status Running -ErrorAction SilentlyContinue
BdeHdCfg -target $env:SystemDrive shrink -quiet
Restart-Computer}CopyErstellen Sie TPM Protector, erstellen Sie den Wiederherstellungsschlüssel, aktivieren Sie BitLocker, Backup Recovery Key to AD:
$TPM = Get-WmiObject win32_tpm -Namespace root\cimv2\security\microsofttpm | where {$_.IsEnabled().Isenabled -eq 'True'} -ErrorAction SilentlyContinue
$WindowsVer = Get-WmiObject -Query 'select * from Win32_OperatingSystem where (Version like "6.2%" or Version like "6.3%" or Version like "10.0%") and ProductType = "1"' -ErrorAction SilentlyContinue
$BitLockerReadyDrive = Get-BitLockerVolume -MountPoint $env:SystemDrive -ErrorAction SilentlyContinue
#If all of the above prequisites are met, then create the key protectors, then enable BitLocker and backup the Recovery key to AD.
if ($WindowsVer -and $TPM -and $BitLockerReadyDrive) {
#Creating the recovery key
Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector
#Adding TPM key
Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -TpmProtector
sleep -Seconds 15 #This is to give sufficient time for the protectors to fully take effect.
#Enabling Encryption
Start-Process 'manage-bde.exe' -ArgumentList " -on $env:SystemDrive -em aes256" -Verb runas -Wait
#Getting Recovery Key GUID
$RecoveryKeyGUID = (Get-BitLockerVolume -MountPoint $env:SystemDrive).keyprotector | where {$_.Keyprotectortype -eq 'RecoveryPassword'} | Select-Object -ExpandProperty KeyProtectorID
#Backing up the Recovery to AD.
manage-bde.exe -protectors $env:SystemDrive -adbackup -id $RecoveryKeyGUID
#Restarting the computer, to begin the encryption process
Restart-Computer}CopyFehlerbehebung seramieren:
Setzen Sie BitLocker vor Hardware/BCD/DEP/ oder Bios-Änderungen aus. Dies kann aus der Ferne für x Anzahl von Neustarts mit Mange-BDE durchgeführt werden.exe wie bereits erwähnt.
Das Script-Befehl, den Sie benötigen, ist dies:
Ps:Suspend-BitLocker -MountPoint C: -RebootCount 2
Re-Imaging zuvor abgebildete Computer:
Führen Sie die gleichen Schritte für die Bereitstellung aus. Windows stellt das TPM automatisch erneut zur Teil. Sie können BitLocker N-Zeiten ungestraft erneut bereitstellen und wieder aktivieren, so scheint es. Dieeinzige Folge davon ist, dass das AD-Computerobjekt weiterhin Aufzeichnungen über die Wiederherstellungsschlüssel im Laufe der Zeit aufzeichnet, wenn auch keine große Sache und tatsächlich wünschenswert sein kann.
Wiederherstellung aus dem Wiederherstellungsmodus:
Wenn der Wiederherstellungsmodus ausgelöst wird, haben Sie zwei Möglichkeiten:
- Rückgängigmachen der Änderungen, die sie verursacht haben.
- Wechseln Sie zu AD Computer Object, rufen Sie den Wiederherstellungsschlüssel mit dem neuesten Zeitstempel ab, und verwenden Sie ihn, um das System manuell zu entsperren.
Stilllegungsmaschinen:
Wenn das TPM auf einem Computer nur die zufällig generierten Schlüssel enthält, die für BitLocker verwendet werden (was die Standardeinstellung ist), dann ist es in der Regel sicher genug, um das C-Laufwerk lediglich mit einem Durchgang Null-Schreibvorgang (oder sogar einem einfachen Format) zu formatieren.
Vorbehalte
Wenn das TPM in Windows initialisiert wird, wird das Owner-Kennwort generiert und dann hin- und hergeschldert. Es gibt keinen Datensatz darüber, es sei denn, der Computer ist vorkonfiguriert, um den Besitzer PW in MBAM oder AD zu sichern (was eine Schemaänderung erfordert). Eine andere Möglichkeit wäre, das Besitzerkennwort in der Registrierung des lokalen Computers zu sichern. Da die Maschine verschlüsselt würde, ist sie *theoretisch sicher*.
Es ist die beste Methode, dies NICHT zu tun und es als Standard zu belassen, sodass das Kennwort zufällig generiert und gelöscht und nicht weiß, was es ist.
Aus meinen Tests wird der TPM-Chip bei der Neuinstallation von Windows neu verwendet. Wenn Windows installiert ist, wird der TPM-Chip erkannt und automatisch bereitgestellt. Dies widerspricht dem, was häufig online gesagt wird; dass, sobald ein TPM-Chip einen Besitzer hat, keine Software oder benutzer in der Lage ist, das Eigentum außerhalb des manuellen Zurücksetzens des Chips auf Werkseinstellungen zu beanspruchen.
Um dies zu testen, habe ich das Get-TPM-Cmdlet verwendet, um den SHA-1-Hash eines manuell konfigurierten Besitzerkennworts zu notieren. Von dort aus wird Windows erneut bereitgestellt, um das TPM automatisch bereitzustellen. Nach der Installation wird Get-TPM erneut verwendet, um den Hash zu überprüfen. Wenn sich der Hash ändert, ist das Besitzerkennwort zwischen den Installationen nicht identisch. Somit wurde das TPM neu besessen.
Die Ergebnisse ergaben, dass das Kennwort nicht nur zwischen installationen nicht identisch ist, sondern dass das OwnerAuth-Attribut-Objekt bei der automatischen erneuten Bereitstellung keinen Wert enthält. Ich weiß nicht, ob dies zu erwarten ist oder nicht, aber macht Sinn, da Windows keine Aufzeichnungen über den Besitzer pw bei der ersten Bereitstellung hält. Das bedeutet, dass Software, in diesem Fall Windows, den Besitz eines zuvor konfigurierten TPM-Chips übernehmen kann.
Das Datenblatt der Trusted Computer Group für TPM 1.2 sagt:
Beim Löschen des TPM wird das TPM auf Werkseinstellungen zurückgebracht. Es ist möglich, dass sich der Plattformbesitzer ändert, wenn er sich in diesem Zustand befindet.
Die Befehle zum Löschen eines TPM erfordern entweder die TPM-Eigentümerauthentifizierung oder die Behauptung der physischen Präsenz.
Die TPM_ForceClear darf nur möglich sein, wenn der Emittent physischen Zugang zum
Plattform. Der Hersteller einer Plattform bestimmt die genaue Definition des physischen Zugriffs.
Die Befehle zum Löschen eines TPM erfordern entweder die Authentifizierung des TPM-Besitzers, TPM_OwnerClear,
oder die Behauptung der physischen Präsenz, TPM_ForceClear.
TPM- und Plattformhersteller bestimmen den tatsächlichen Implementierungsansatz. Die Stärke der Schutzmechanismen wird durch eine Bewertung der Plattform bestimmt.
Weitere Informationen – https://trustedcomputinggroup.org/wp-content/uploads/mainP1DPrev103.pdf
Basierend auf meinen Erkenntnissen in Windows wird ein neuer Besitzer festgelegt und daher müssen frühere Informationen bei der Installation von Windows gelöscht werden. Dies kann durch eine der folgenden Bedingungen verursacht werden:
- Der Hersteller (in diesem Fall Lenovo) betrachtet die Installation und Konfiguration von Windows als "physischen Zugriff" und "Löschen des TPM" vor der Übernahme des Besitzes ist Teil des TPM-Bereitstellungsprozesses von Windows.
- Die Bereitstellung des TPM erfordert NICHT "Physischen Zugriff" und "Löschen des TPM" vor der Übernahme des Besitzes ist Teil des TPM-Bereitstellungsprozesses von Windows.
Ich glaube, dass ich den Zustand Nummer 2 erlebe, da die Systeme, mit denen ich es zu tun habe, mit den folgenden TCG Bios-Einstellungen vorkonfiguriert sind:
"Physische Präsenz für die Bereitstellung" ist deaktiviert
"Physical Presence for Clear" ist aktiviert
Der Zustand #2 ist für mich in Ordnung. Ob diese Einstellungen verfügbar sind, hängt vollständig von der TPM-Version und dem Hersteller ab. Die Bios-Einstellungen sollten in WMI remote administrierbar sein. Jeder, der mehr informationen dazu hat, ist willkommen.
Das Endergebnis ist, dass Sie ein BitLocked-System so viel wie Sie möchten neu abbilden und Windows erlauben können, das TPM und anschließend BitLocker automatisch bereitzustellen. Sie müssen dies nicht aktiv verwalten.
Sicherheitsauswirkungen- und Gegenmaßnahmen
Windows OS-Sicherheitsfragen
Implementieren Sie richtlinien für die geringsten Berechtigungen, wenn sie nicht bereits ausgeführt wurden, und erfordern Sie komplexe AD-Kennwörter. Konfigurieren Sie eine Softwarefirewall nach besten Kräften. Verfügen Über einen Antivirus-Aktiven-Scan-Agenten auf dem Betriebssystem. Führen Sie auch EMET aus, um sich gegen Nulltage zu verteidigen. Führen Sie schließlich SCM auf dem Bild aus, um die Angriffsfläche weiter zu reduzieren.
Grundsätzlich tun Sie Best Practices, um Windows so weit wie möglich über GPO oder ein anderes EMS zu härten. Denn obwohl der Computer verschlüsselt ist, wird es immer noch automatisch auf dem Windows-Anmeldebildschirm gestartet.
Besitzerkennwort (wenn in der Registrierung des lokalen Computers gespeichert):
Ein Angreifer könnte es dem Computer ermöglichen, den Anmeldebildschirm automatisch zu entschlüsseln und zu starten. Von dort aus könnte dem Computer Netzwerkzugriff gewährt werden, wo Exploits verwendet werden könnten, um Remote-Registrierungszugriff über SMB-RPC zu erhalten. Wenn das Besitzerkennwort in der Registrierung gespeichert ist, kann der Angreifer damit Zugriff auf das verschlüsselte Laufwerk erhalten.
Eine Gegenmaßnahme hierfür wäre, das Besitzerkennwort als Standard zu belassen: Erlauben Sie Windows, ein komplexes Kennwort automatisch zu generieren und zu löschen. Bewahren Sie es nicht auf.
Implementieren einer Lockout-Richtlinie
Um den Computer vor Brute-Force-Angriffen auf zwischengespeicherte Domänenanmeldeinformationen zu schützen, implementieren Sie eine Sperrrichtlinie für BitLocker. Wenn das System einen Brute-Force-Versuch erkennt, wird die Maschine in den Wiederherstellungsmodus versetzt.
Direkte Speicherzugriffsangriffe
Dagegen ist es schwerer zu verteidigen. DMA kann durchgeführt werden, sobald die Maschine läuft oder schläft. Das bedeutet, dass ein Tool verwendet werden kann, um den Inhalt im Speicher zu lesen, wo der FVEK irgendwo herumschweben könnte.
Dies ist weniger ein Problem für moderne Systeme, insbesondere mobile Systeme, die nicht einmal DMA-Ports zur Verfügung haben.
Aber um sich davor zu schützen:
- Upgrade auf Windows 10, da ich keinen Punkt finden konnte und Drehskripte, die nachweislich für 10 funktionieren, wie es für 8.1 & 7.
- Deaktivieren Sie den SBP-2-Treiber im BitLocker-GPO. https://support.microsoft.com/en-us/kb/2516445
- Erzwingen Sie Maschinen, anstatt zu schlafen. Da der Inhalt im Speicher während S4 auf der Festplatte gespeichert und daher verschlüsselt wird. Ich weiß nicht, ob die PCRs, die ich ausgewählt habe, DMA verhindern würden, wenn sie beim Start erkannt werden oder nicht. Dies erfordert weitere Tests.
- Implementieren Sie die Multi-Faktor-Verschlüsselung. Nicht Null-Touch.
- EMET implementieren:
Die BDESVC.dll wird unter dem svchost-Prozess ausgeführt. Der Schutz des svchost-Prozesses mit so vielen Minderungstechniken wie möglich in EMET kann helfen. Während ich keine Ahnung von der Wirksamkeit der Verwendung von EMET unter diesem Szenario habe, klingt die Idee der Speicher-Randomisierung und Verschleierung so, als ob es nützlich sein könnte, hart codierte DMA-Skripte zu brechen. Jeder, der mehr darüber informiert, ist willkommen.
