Configura, administra y gestiona:

Bitlocker en tu Organización(MBAM)

Fernando Guillot

IT Pro Evangelistfernando.guillot@microsoft.comhttp://blogs.technet.com/b/guillot@fggimeno

Windows 7 BitLocker™ & BitLocker To Go™ Resumen

Diseñada parautilizar Trusted Platform Module (TPM) v1.2

o Almacenamiento de

claves segura

o Integridad en el

arranque

Protectores de Claveso TPM

o TPM+PIN

o Data Recovery Agent

(DRA)

o Recovery Key

Similar a los discos

fijos

El disco tiene que

tener al menos 64Mb

de espacio libre.

Sólo lectura para

máquinas con

Windows Vista y

Windows XP

Volumen del SO Discos y dispositivosexternos

Volumenes Fijos

El Sistema de archivos

debe estar formateado

en exFAT, FAT16, FAT32

o NTFS.

Se puede desbloquear

de forma automática

siempre que el S.O esté

cifrado.

FEEDBACK RECIBIDO

Si un dispositivo se pierdedebemos tener una manerade chequear si el contenidoestabao no cifrado.Una manera simple de chequearlo

El proceso de cifrado de los recursos puede ser difícil.

Necesitamos una forma mássencilla de que esto ocurra.

Determinar si nuestras máquinascumplen los requerimientos. Necesitamos una manera fácilde determinar si cumplimoslos requisitos de la organización

Cuando los usuarios pierden lasclaves de sus volumenescifrados, su productividad se veafectada. Necesitamos un procesosencillo de recuperación de claves

Existen muchas opciones en laspolíticas para configurar BitlockerNecesitamos una forma sencilla de tomar las decisionescorrectas

¿Qué es “Microsoft BitLocker Administration and Monitoring (MBAM)?

Es una solución que permite a profesionales de TI, desplegar, monitorizar y recuperar las claves de Bitlocker.

Estará disponible en el tercer cuarto del 2011 cómo parte de Microsoft Desktop Optimization Pack (MDOP)

Objetivos son:

1Simplificar el despliegue y el aprovisionamiento

2Mejorar los reportesy la comprobaciónde cumplimientosde la organización

3 Reducir gastos de soporte

Simplificar el despliegue de Bitlocker

Cifrar una máquina antes de que el usuario la recibao Microsoft Deployment Toolkit (MDT)o System Center Configuration Manager

Permite que los usuarios cifren sus máquinas al aplicarsela políticao Simplificar la inicilización del TPMo Por políticaso Permitir excluir determinado HW

Política

Compatibilidad del HW

Cifrar antes de que el usuario reciba la máquina

Funciona con las herramientas de despliegue de Windows 7

Flexibilidad en el proceso

o Administrar cuando rebotamos el TPMo Reduce la complejidad:

– Uso de TPM sólo en el proceso de staging

– PIN obtenido en el primer contacto con el cliente

o Se puede saltar la escritura de la clave de recuperación– Clave de recuperación se actualizará la primera vez que el usuario entre en la máquina

Cifrar DESPUÉS de que el usuario reciba la máquina

Permite a los usuarios cifrar sus máquinaso Usuarios normales pueden cifrar la máquinao La gestión del TPM se simplifica y se integra en el proceso

o Usuario puede posponer temporalmente el cifrado

Experiencia basada en políticas

Configuración de politicas MBAM

Políticas añadidas sobre las de Bitlocker

Nuevas políticaso Policy para desbloqueo automático de FDVo Chequeo de Hardware antes del cifradoo Permitir al usuario que pida una prologao Verificación automática de cumplimiento de laspolíticas (default = 90 min)

Las Políticas: o Computer Configuration > Administrative Templates > Windows Components > BitLocker Management Solution

Administración de Capacidades HW

Algunas máquinas antiguas puede que no soporten TPM

Para asegurarnos de que esas máquinas no son cifradas necesitamos un procedimiento que nos separe las máquinas capaces de las que no los on

Cómo habilitarlo:o Política de grupo que fuerza al cliente a chequear antes del cifradoo Desde la consola central podemos definir máquinas que cumplen los requisitos y las que no

Cómo Funciona:

1

A medida que añadimosnuevas máquinas a

nuestra organización, se añaden a la lista en los servidores MBAM

2

El sitio web permite a los ITPROS mover máquinasde la lista de máquinascapaces a desconocidas

o no capaces

3

Cuando estacaracterística está

habilitada , sólo se cifralas máquinas catalogadas

cómo capaces

4

Antes de empezar a cifrarMBAM verifica que la máquina es capaz(marca/modelo)

Las PolíticasDEMO

MBAM Client

Group Policy:

AD, AGPM

Experiencia del Usuario

Reporting

El Agente MBAM collecciona y pasa todos estos datos al Reporting Servero Todos los clientes pasan esta información estén o no cifradoso IT puede clarificar PORQUÉ una máquina no cumple las políticas

Se puede construir sobre SQL Server® Reporting Services (SSRS), nosda flexibilidad y podemos añadir nuestros propios reportes

Necesitas saber el estado último de una

máquina?

Cuando y quien ha accedido a las claves de recuperación. Y

cuando se ha añadidonuevo HW.

¿Necesitas saber cuande efectivos han sidotus despliegues? O ¿si tu empresa

cumple con la política?

Cumplimiento de las políticas Empresariales

Muestra una fotode la organización

Número y porcentajede máquinas quecumplen las políticas

Número total de máquinasgestionadas

Filtrado

Estado

Típo de máquina

Última fecha de contacto

Detalles

Nombre de máquina

Dominio

Estado

Último contacto

Reporting de máquinas

Te deja conocer siuna máquina

cumple o no los requisitos

Busqueda:

Usuario o Máquina

Detalles

Nombre de máquina

Politica OS/FDV/RDV

Estado del cumplimiento

Último contacto

Marca/modelo

Auditoría de HW

Usado cuando se utiliza la política de

gestión de compatibilidad de

HW

Te muestra los cambios que se hanrealizado vía la página de

compatibilidad de HW

Detalles:

Usuario

Día / Fecha

Tipo de Cambio

Valor original y actual

Auditoría de acceso a claves de recuperación

Quíen ha pedidoinformación de recuperación

Details/Filters

Quien tuvoacceso a la clave

Para quien lo pidio

Exito/ Fallo

Qué se pidio

Qué datos se guardan y Reportes personalizados

Qué información guarda MBAM?o HW de máquinas (detalles del TPM, marca, modelo, model, tamaño del disco duro etc…)

o Uso de la máquina (Quien la utilizó, el últimocontacto)

o Información de Bitlocker (Nivel de cifrado, Política de volumenes, capacidad del hw)

o Información de volumenes (Estado de Bitlocker, protectores, etc)

Reportes están construidos sobre SSRS; IT puedeconstruir reportings adicionales.o Exportar a csv, html, pdf

ReportingDEMO

MBAM Client

Group Policy:

AD, AGPM

Compliance Data

HTTPS

Compliance Service

Compliance ReportsCentral Administration

Reducir costes de soporte

Repositorio central de Claves de recuperacióno Todas las claves de recuperación se guardan en una base de datos cifradao Interfaz para helpdesk de claves de recuperación

Interfaz gráfico simplificado para los usuarios al lanzar la políticao Permite que usuarios estandard puedan cifraro Esconde el panel de control de Bitlocker, para evitar que usuarios con

derechos de administrador puedan descifrar las máquinas

Clave de recuperación de un sólo uso

Repositorio central de Claves de recuperación

Claves de recuperacióno Volumen del S.Oo Volumenes fijos de datoso Discos duros extraibleso Se guarda todo fuera del directorio activo

Arquitectura de tres niveleso La base de datos está cifrada usando SQL Server’s

Transparent Data Encryptiono Se puede utilizar las API’s “Web Service” para construir

servicios propios para nuestra organizacióno Todos los logs y autorización se realizan en la capa de web

service para garantizar paridad con las appliacionespersonalizadas

Interfaz de recuperación para el Helpdesk

MBAM genera una página web con funcionalidad para el centro de soporteo Claves de recuperación para usuarios autorizadoso Permitir paquetes de desbloqueo de las TPM’s para usuarios autorizadoso Todas las peticiones son registradas: quien, cuando, y que volumen

Autorización basado en roles para recuperar informacióno Tier 1: Helpdesk necesita conocer la persona e Identificador para poder

recuperar la claveo Tier 2: Con el Identificador es suficiente

Clave de recuperación de un sólo uso

Una vez que la clave de recuperación ha sidoexpuesta, el cliente creará una nuevao Cómo parte de la comunicación entre cliente y servidor, el cliente chequea si la clave ha sido expuesta

o El cliente MBAM creará una nueva clave y la pasará al servidor

o Transparente para el usuario

Las claves de recuperación se crearán una vez el volumen ha sido desprotegido y se garantice quese puede guardar correctamente la nueva clave

Enable Windows Standard Users

Hides BitLocker Control

Panel UI so admins have

a more difficult time:

Decrypting computers

Suspending encryption

Done through policy, so can be

made visible if desired

We cannot stop admins from doing

this—they have Admin rights!

Standard users can:

Encrypt computers

Change PIN or passwords via

MBAM Control Panel

Right-Click access to MBAM

MBAM Helpdesk ToolsDEMO

Recovery Password Data

Compliance Data

HTTPS

Client

Group Policy: AD, AGPM

Compliance Service

Key Recovery Service

Helpdesk UX for Key Recovery

Compliance ReportsCentral Administration

Software and Hardware Requirements

Requisitos del Servidor

Administration Website & Web Services• Windows 2008 Server w/ SP2; Windows 2008 Server

R2; (x64|x86) • Windows SKU’s: Standard, Enterprise, Data Center, or

Web Server• Web Server Role (Internet Information Services

(IIS))• Application Server Role (ASP.NET, etc.)• Microsoft .NET Framework version 3.5 SP1

Database Server• SQL Server 2008; SQL Server 2008 R2 (Standard,

Enterprise, Datacenter)• Encrypted Database (TDE) requires Enterprise

or Datacenter

Hardware Requirements• Min requirements for Windows and SQL Server

will be satisfactory for all components• Disk Foot Print: < 10MB on Server and Client

Roles• Performance: Minimal over time on Server and

Client Roles; + BitLocker• Final hardware requirements to be determined

Requisitos del Cliente

• Windows 7 Enterprise or Ultimate Hardware Requirements• TPM v1.2 for O/S encryption

¿Lo puedo probar?

Descarga la beta aquí

Para poder dar feedback, aquí

Enlaces

Webcast sobre Bitlocker:o https://msevents.microsoft.com/CUI/EventDetail.aspx?cultu

re=es-ES&EventID=1032466928&CountryCode=ES

Cómo usar Bitlocker en máquinas que no tienen TPMo http://blogs.technet.com/b/guillot/archive/2011/01/10/c-

243-mo-usar-bitlocker-en-m-225-quinas-que-no-tienen-tpm.aspx

Cómo recuperar las claves de Bitlocker desde el Directorio Activoo http://blogs.technet.com/b/guillot/archive/2010/11/17/c-

243-mo-recuperar-las-claves-de-bitlocker-desde-el-directorio-activo.aspx

Sigue a TechNet España

http://www.facebook.com/TechNet.Spain

http://www.twitter.com/TechNet_es

Fernando GuillotIT Pro EvangelistMicrosoftfernando.guillot@microsoft.comhttp://blogs.technet.com/b/guillot@fggimeno

http://technet.microsoft.com/es-es/edge