MBAM est la nouvelle solution d’administration et de supervision pour BitLocker. Au cours de cette session, vous apprendrez qu’il est possible de réduire les coûts d’administration grâce à la nouvelle console Web et à la fonctionnalité de mot de passe à usage unique. De plus, vous verrez comment simplifier votre processus de déploiement tout en améliorant la supervision grâce aux rapports de conformité.
2. Gérer le chiffrement de vos
disques en entreprise avec
MBAM (CLI302)
07/02/2012
Arnaud JUMELET
Consultant sécurité - CISSP
Microsoft France
3. Le poste de travail en 2012
Fixe / Portable / Virtuel / Tablette
Connecté : Wifi, 3G,...
Avec du stockage local / dans le SI / dans
le Nuage
Avec des applications locales / distantes /
virtualisées
Avec des périphériques complémentaires
5. BitLocker et BitLocker to Go
Facile à utiliser
Intégration dans Windows 7 Entreprise
Mode maintenance
Configuration centralisé
2ème génération
GPO
Sécurité & Performance
Certifié EAL 4+ et FIPS 140-2
Contrôle d’intégrité pré-boot : TPM
Transparent, sans impact pour l’utilisateur
Récupération des données
Mot de passe de récupération
(Déplacement du disque, code PIN oublié)
Agent de récupération des données
6. Primo-chiffrement BitLocker
Chiffrement initial lors de l’activation de BitLocker
Cela prend du temps, mais seulement lors de l’activation
de BitLocker
Processus en tâche de fond : support des arrêts machines.
Touche chaque secteur d'un volume de stockage
Prend environ 1 min pour chiffrer 1 Go
Lors du primo-chiffrement, la mise en veille et
l’hibernation automatique du plan d’alimentation sont
désactivées.
Scénario : banc d’installation.
7. BitLocker et puce TPM : 3 étapes
Protecteurs OS
TPM
Mot de passe Agent de
Mot de passe de récupération récupération
de récupération 1 1
Agent de
récupération
3 2
FVEK VMK
SRK
1 +
PCR
Operating
System
System
Volume
TPM
8. Volume de données
auto-unlock
Les lecteurs (OS) et (DATA) sont protégés par BitLocker.
L’ordinateur démarre.
Le lecteur (OS) se déverrouille :
automatiquement (mode TPM)
ou bien manuellement après la saisie d’un code PIN
(mode TPM + PIN).
Le lecteur (DATA) est configuré pour un déverrouillage
automatique.
De ce fait le fait de déverrouiller (OS) entraine le
déverrouillage automatique du lecteur (DATA).
9. Détection des attaques pre-boot:
bootkits
MBR, Boot
MBR, Boot
Boot
TPM
TPM BIOS
BIOS Sector, Boot
Sector, Boot Live CD Os Loader
Os Loader Windows 7
Manager
Block
Block
BitLocker, par défaut, utilise les mesures des PCR : 0,2,4,5,8,9,10,11
10. Mode de récupération
Lors d’une opération non planifiée, écran mode de récupération
Déplacement du disque dur
Composant pre-boot modifié (sans faire Suspend & Resume)
Code PIN oublié
Mot de passe de récupération 48 chiffres : 8 blocs de 6 chiffres
Lors de la saisie, chaque bloc doit être validé avant de passer au
suivant.
Pratique!
11. BitLocker & BitLocker To Go
Protecteurs
Identifiant
Déverrouiller Volume
OS
Fixe GPO
Amovible
Reprendre
Suspendre
15. Qu’est ce que MBAM ?
Réduit la complexité du déploiement de BitLocker lors ou indépendamment du
déploiement de Windows 7 et vous permet de contrôler quels postes sont
chiffrés
Des rapports prêts à l’emploi permettent de connaitre la conformité de votre
organisation avec vos politiques de chiffrement BitLocker
L’assistance peut accéder à une page web sécurisée pour facilement obtenir les clés
de recouvrement et les utilisateurs standards peuvent facilement commencer un
processus de chiffrement ou changer leur code PIN sans appeler le support
16. Simplifie le déploiement
Des stratégies de groupe supplémentaires pour configurer et
activer BitLocker et BitLocker To Go
L’agent MBAM vérifie toutes les 90 minutes les paramètres de la
politique; les modifications sont appliquées immédiatement.
Les organisations peuvent cibler un matériel spécifique ou bien un
groupe de machines
Utilise Active Directory (conteneur OU) pour cibler via GPO les
machines cibles qui doivent être chiffrées
Simplifie le déploiement de BitLocker
Aucune extension de schéma Active Directory requise
Activation via GPO
Simplifie l’activation de la TPM et la saisie du code PIN
17. Améliore la conformité et le
reporting
Les rapports indiquent l'état de
conformité d'une organisation, d’un
groupe de machines ou bien d’un
ordinateur
D’autres rapports de conformité
personnalisés peuvent être
créés via SQL Server Reporting
Les clés de récupération BitLocker
sont stockées dans une base de
données chiffrée
Audite les personnes qui
accèdent aux informations de
récupération BitLocker
18. Réduit les coûts de support
Site Web pour le support téléphonique
Des services Web sont disponibles pour créer ou
s’intégrer dans un autre portail.
Rotation du mot de passe de récupération
Simplifie l’étape d’activation de la puce TPM
Les utilisateurs peuvent effectuer des tâches de base sans
avoir les droits d'administrateur
Modifier le code PIN, Activer BitLocker
22. Migration vers MBAM
L’agent MBAM envoie automatiquement au serveur MBAM
les informations de récupération BitLocker
Il suffit de paramétrer l’agent MBAM par GPO
La politique est prise en compte dynamiquement
Activation du chiffrement
Prise en compte des protecteurs comme TPM +PIN.
L’utilisateur est invité à choisir un code PIN
respectant certains critères
31. Microsoft BitLocker Administration and Monitoring
MBAM est la nouvelle solution d'administration et de
supervision pour BitLocker.
Au cours de cette session, nous avons montré :
qu'il est possible de réduire les coûts d'administration
grâce à la nouvelle console Web, à l’agent MBAM et à la
fonctionnalité de mot de passe à usage unique.
que le processus de déploiement est simplifié :
aucune extension de schéma requise sur Active Directory,
activation automatique par GPO.
Enfin, la supervision est amélioré grâce aux rapports de
conformité.