Fresh IT 2019 BitLocker – šifrování disků nejen pro firmy 12. 3. 2019 Petr Bouška

www.samuraj-cz.com Představení Ing. Petr Bouška ČVUT FEL Microsoft – MCSE, MCSA, MCITP, MCTS, MCSE, MCSA, MCP Cisco – CCNP, CCDP, CCNA, CCDA VMware – VCP ITIL IT manager, OKsystem a.s. www.samuraj-cz.com https://www.samuraj-cz.com/kontakt/

Program prezentace Obecně o šifrování TPM – Trusted Platform Module Microsoft BitLocker – úvod a diskové oddíly Zapnutí BitLocker – zašifrování systémového disku BitLocker detailněji – odemykání, šifrovací klíče, ochránci a autentizace Uložení BitLocker klíčů pro obnovu do AD DS Suspend BitLocker - pozastavení Využití obnovy – Recovery BitLocker To Go - šifrování externích disků Praktické ukázky a diskuse https://www.samuraj-cz.com/clanek/bitlocker-sifrovani-systemovych-disku/ https://www.samuraj-cz.com/clanek/bitlocker-sifrovani-externich-disku/

Obecně o šifrování https://www.samuraj-cz.com/clanek/obecny-uvod-do-sifrovani-dat/

Kryptografie a šifrování Kryptografie (Cryptography) – zabezpečení privátních zpráv před třetí osobou, používá se pro dosažení různých cílů Confidentiality - důvěrnost, ochrana proti čtení dat Data integrity - ochrana dat před změnou Authentication - ověření, že data pochází od dané strany Non-repudiation – nepopiratelnost autorství zprávy Šifrování (Encryption) - transformace dat (plaintext) za účelem jejich zabezpečení (ciphertext), takže pouze ten, kdo zná klíč, je může rozšifrovat https://www.samuraj-cz.com/clanek/obecny-uvod-do-sifrovani-dat/ https://www.samuraj-cz.com/clanek/protokol-ssl-tls-slabe-sifry-zranitelnosti-a-jejich-testovani/ https://www.samuraj-cz.com/clanek/kerberos-cast-4-hlavni-terminy-kerberos-protokolu/

Hašování a kódování Hašování (Hashing)- funkce, která z různě dlouhých vstupních dat vytváří kratší výstup pevné délky (hash), stejný vstup má vždy stejný hash, různé vstupy mají různý výstup, z výstupu nelze získat vstupní data, pokud dojde ke změně vstupu, tak se výrazně změní hash (využívá se pro zajištění integrity dat, kdy se k datům vytvoří kontrolní součet), příklad Hash funkcí MD5, SHA, SHA2 Kódování (Encoding) - transformace dat do jiného formátu (aby se mohla lépe zpracovávat), proces je veřejně známý a může být obrácen, třeba uložení binárních dat do textu (Base64) v obou případech se nepoužívá klíč Mimo šifer se využívají také hashovací funkce

Šifry a klíče Šifra (cipher) – kryptografický algoritmus (série jasně definovaných kroků), který provádí šifrování (encryption) nebo dešifrování (decryption) Klíč (key) – tajná informace, bez které nelze zašifrovanou zprávu přečíst sdílený tajný klíč – zná jej více stran, používá se u symetrického šifrování veřejný klíč – pro zašifrování u asymetrického šifrování soukromý klíč - pro dešifrování u asymetrického šifrování Délka klíče – standardně počet bitů, ovlivňuje časovou náročnost při útoku hrubou silou Síla šifry – kryptologové analyzují algoritmy a hodnotí, jaké úsilí je potřeba k jejich prolomení

Kryptografické algoritmy Symetrické algoritmy - využívají pro šifrování a dešifrování stejný tajný klíč, předání klíče druhé straně musí být bezpečné, jsou rychlé, také se označuje šifrování se symetrickým (soukromým) klíčem proudové šifry (stream ciphers) – pracují s nepřetržitým proudem symbolů (po znacích), rychlé, nenáročné, chyba ovlivní jeden znak, náchylnější k útoku, příklady RC4 blokové šifry (block ciphers) – pracují s bloky symbolů pevné délky (64, 128 bit), příklad DES, AES, RC5, BLOWFISH Asymetrické algoritmy – využívají dva klíče, šifrovací klíč je veřejně známý, takže každý může data zašifrovat, ale dešifrovat je může pouze majitel privátního klíče, vhodné pro menší data (používá se pro distribuci klíčů), také se označuje jako šifrování s veřejným klíčem, příklad RSA, Diffie Hellman, DSA, ECC (Elliptic-Curve Cryptography)

Bezpečnost šifer Když chceme zašifrovat nějaká dat, tak nás zajímá, jak bezpečné to bude. To je ovlivněno řadou faktorů. bezpečnostní úroveň (security level) – měřítko síly, kterou šifra dosahuje, běžně se vyjadřuje v bitech (n bitů znamená 2n operací k prolomení/možných klíčů) délka klíče je horní hranice bezpečnosti šifry, protože každý veřejný algoritmus lze prolomit hrubou silou (měří se použití nejrychlejšího známého algoritmu), záleží na aktuálně dostupném výpočetním výkonu a typu šifry (symetrické, asymetrické, eliptické) – mají různé úrovně kryptografické složitosti (mají různou velikost klíče pro stejný stupeň bezpečnosti, třeba bezpečnost 128 bitů má AES-128 a RSA s 3072 bitovým klíčem) dolní hranice bezpečnosti šifry může být nižší (snažíme se, aby byla stejná) díky různým útokům, zranitelnostem nebo nedostatkům v algoritmu (3DES byl navržen s možností klíče 168b, ale známý útok snižuje na 112b), pro asymetrické šifry existují vždy útoky rychlejší než hledání hrubou silou šifrovací algoritmy mají dánu pevnou délku klíče – DES 56b, 3DES 112b, AES 128, 196 nebo 256b, RSA 1024, 2048b

Bezpečnost zašifrovaných dat při šifrování využijeme nějakou aplikaci, která podporuje určitou šifru a velikost klíče pro zašifrování/rozšifrování většinou nezadáváme tento (třeba 256 bitový) šifrovací klíč, který je určený pro SW a tedy nemusí být čitelný pro člověka volíme heslo (či PIN), které je určeno pro použití člověkem (často jde o čitelný text, tedy má nižší bezpečnost), většinou má jinou délku než klíč pomocí hesla je chráněn vlastní vygenerovaný klíč, který je použit k šifrování nebo se z hesla odvozuje klíč pomocí Key Derivation Function (KDF) – generuje klíč dané délky, může přidat sůl, řešit sílu, často se využívají hash funkce ve výsledku tedy může záviset na zvoleném hesle, pokud na něj lze použít útok hrubou silou doporučení - komplexní heslo min 10 znaků, slovní heslo min 15 až 20 znaků

Doporučené kryptografické algoritmy existuje řada norem, nařízení a doporučení, kde jsou definovány možné kryptografické algoritmy můžeme vyjít ze statistik a odhadů bezpečnosti šifer a délek klíčů Vyhláška č. 316/2014 Sb., příloha č. 3 - Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) https://www.zakonyprolidi.cz/cs/2014-316#prilohy nejběžněji se jedná o symetrické algoritmy AES (Advanced Encryption Standard) s délkou klíčů minimálně 128 bitů asymetrické algoritmy DSA (Digital Signature Algorithm), RSA (Rivest-Shamir-Adleman), DH (Diffie-Hellman) s délkou klíčů minimálně 2048 bitů, EC-DSA (Elliptic Curve Digital Signature Algorithm) a ECDH (Elliptic Curve Diffie-Hellman) s délkou klíčů minimálně 224 bitů hashovací funkce SHA-2 a SHA-3

Kdy a jak použít šifrování co šifrovat – klasifikace informací (standardní, chráněné, přísně chráněné), osobní údaje (GDPR), cenné informace uchovávání informací uložení na elektronické datové médium (pevný disk v počítači nebo na diskovém poli, výměnné datové médium) informace v síti jsou většinou chráněny pomocí řízení přístupu, výrazně bezpečnější je zároveň využít ochranu šifrováním může se použít šifrování disku či šifrování souborů (třeba šifrovaný archiv pomocí aplikace 7- Zip) výměnné datové médium může být šifrováno pomocí BitLocker To Go přenos informací kdy potřebujeme informace přenést na jiné místo či jiné osobě, běžně jde o přenos v síti, ale třeba také na výměnném médiu elektronická pošta, můžeme využít S/MIME pro šifrování a podepisování certifikátem (veřejným klíčem) nebo zasílat informace jako šifrovanou přílohu (soubor) specializované aplikace pro komunikaci (Babelnet) online souborové úložiště, kde jsou data při přenosu chráněna pomocí TLS

Zajímavé odkazy https://howsecureismypassword.net/ - pro zadané heslo určuje, jak dlouho by trvalo jeho prolomení (běžné slovníky, hrubou silou) https://www.betterbuys.com/estimating-password-cracking-times/ - další výpočet doby prolomení hesla https://haveibeenpwned.com/ - hledá email ve známých únicích dat https://www.keylength.com/ - síla klíčů

TPM – Trusted Platform Module https://www.samuraj-cz.com/clanek/bitlocker-sifrovani-systemovych-disku/

TPM – Trusted Platform Module zabezpečený kryptoprocesor, který podporuje bezpečné generování a uložení kryptografických klíčů má svůj unikátní RSA klíč vytváří si kontrolní hashe o HW a SW konfiguraci, takže rozezná, pokud došlo ke změně BitLocker jej používá k ochraně klíčů používaných k zašifrování pevných disků a poskytuje ověření integrity pro důvěryhodnou zaváděcí cestu (boot systému) poskytne šifrovací klíče pouze pro zavaděč operačního systému, pokud nejsou modifikovány jeho soubory aktuální verze 2.0 (podpora od Windows 8.1, Win7SP1 hotfix), starší 1.2 (od Windows Vista) či 1.3

Identifikace TPM a verze je počítač vybaven TPM čipem? vidíme v BIOS / UEFI správce zařízení, musí být zapnutý průvodce zapnutí BitLocker aplikace pro správu TPM čipu tpm.msc Compatible TPM cannot be found The TPM is not ready for use. The TPM is ready for use, with reduced functionality. The TPM is ready for use. TPM Cmdlets in Windows PowerShell

TPM a BIOS vs. UEFI BIOS - Basic Input/Output System - Legacy BIOS, inicializace HW komponent, nahrání boot loader – zavedení OS, 1975 UEFI - Unified Extensible Firmware Interface – SW rozhraní mezi OS a firmware, Intel EFI 2005 BIOS vyžaduje systémový disk MBR (Master Boot Record) UEFI vyžaduje systémový disk GPT (GUID Partition Table), podporováno od Windows 8 (64 bit Windows Vista) TPM 2.0 vyžaduje UEFI (a zapnutý TPM a Secure Boot) a tedy GPT disk běžně je možné převádět TPM 1.2 na TPM 2.0, a opačně, přehráním firmwaru přepnout BIOS na UEFI a opačně, ale pak je třeba převést MBR na GPT od Windows 10 verze 1703 je k dispozici MBR2GPT.EXE msinfo32.exe nám zobrazí BIOS Mode buď UEFI nebo Legacy

Microsoft BitLocker https://www.samuraj-cz.com/clanek/bitlocker-sifrovani-systemovych-disku/

Microsoft BitLocker úvod technologie pro šifrování disků (po sektorech), dokumentace BitLocker od Windows Vista a Windows Server 2008 u serverových OS je součástí všech edicí Windows 7 a 8 jde o edice Enterprise a Ultimate Windows 10 edice Pro a Enterprise umožňuje šifrovat celé disky (Full Disk Encryption) BitLocker Drive Encryption systémové oddíly - Operating System Drives nesystémové oddíly - Fixed Data Drives BitLocker To Go výměnná datová média - Removable Data Drives šifrovací algoritmus Advanced Encryption Standard (AES) s délkou klíče 128 nebo 256 bitů, od Windows 10 verze 1511 XTS-AES doporučeno Windows 10, SSD disk, TPM čip 2.0, UEFI

Nástroje pro správu BitLocker BitLocker Drive Encryption - grafický nástroj pro zapnutí/vypnutí šifrování disku a základní nastavení, nalezneme jej pod Control Panel manage-bde - řádkový příkaz, který nabízí více možností než grafické rozhraní repair-bde - řádkový příkaz, který slouží k obnově zašifrovaných dat na poškozeném disku (používá Key Packages) BitLocker Module - řada PowerShell cmdletů, například Enable-BitLocker a Get-BitLockerVolume

Požadavky pro BitLocker doporučuje se mít TPM čip, ale alternativně můžeme použít USB Flash disk (povoluje se pomocí Group Policy) nebo heslo BitLocker nepodporuje dynamické disky (Dynamic Disk), ale pouze základní disky (Basic Disk) na disku musí být speciální oddíl System Partition (viz. dále), musíme tedy mít minimálně dva oddíly systémový oddíl (OS a active system partition) musí být formátovaný s NTFS (ostatní mohou být FAT) musíme mít administrátorská oprávnění (běžní uživatelé mohou šifrovat pouze výměnná média)

Diskové oddíly - Partition / Volume EFI System Partition (ESP) - systémový oddíl pro bootování, pokud používáme UEFI a GPT, minimálně 100 MB, FAT32, obsahuje NTLDR, HAL, Boot.txt a další soubory pro zavedení systému System Reserved (Active System Partition) - systémový oddíl pro bootování, pokud používáme Legacy BIOS s MBR, minimálně 100 MB, NTFS, obsahuje Boot Manager (bootmgr), Boot Configuration Data (BCD) a startovací soubory Microsoft Reserved Partition (MSR) - MS ji doporučuje pro každý GPT disk kvůli správě disku, na Windows 10 má velikost 16 MB, není vidět ve správě disku (pouze pomocí diskpart) Recovery Partition (WinRE Partition) - zde je uložen obraz Windows Recovery Environment tools (winre.wim, využívá WinPE), který se spouští, pokud kvůli chybě nemůže naběhnout OS, obsahuje nástroje pro práci s šifrovanými BitLocker disky, oddíl nesmí být šifrovaný, jeho velikost je minimálně 300 MB (standardně 450 MB) OS Partition (Windows Partition) - obsahuje operační systém (standardně složka Windows), minimálně 20 GB, NTFS Data Partition - volitelné další oddíly pro data Speciální oddíly (jako System a Recovery) nemají přiřazeno písmenko disku, ale pomocí diskpart a příkazu assign jej můžeme přiřadit a podívat se na jejich obsah.

WinRE - Windows Recovery Environment nástroje mohou být umístěny speciální Recovery Partition systémový oddíl System Reserved nebo EFI System Partition OS oddíl s Windows, složka C:\Recovery nebo C:\Windows\System32\Recovery zabírají aktuálně 350 až 500 MB informace o stavu reagentc /info při zapnutí BitLocker se WinRE vypne (nejprve se pokusí o přesun), pokud se nachází na systémovém disku

Zapnutí BitLocker zašifrování systémového disku https://www.samuraj-cz.com/clanek/bitlocker-sifrovani-systemovych-disku/ zašifrování systémového disku

BitLocker Drive Encryption spustíme grafický nástroj BitLocker Drive Encryption vedle disku, který chceme šifrovat (zde řešíme systémový disk C), klikneme na Turn on BitLocker (můžeme také ve File Explorer kliknout pravým tlačítkem na disk a zvolit Turn on BitLocker)

Průvodce – kontrola a inicializace spustí se průvodce, který nejprve kontroluje, zda systém splňuje dané požadavky (a případně provede určité potřebné akce, jako zapnutí TPM - ukazuje druhý obrázek)

Zjištěn vypnutý TPM

Příprava disku jiná možnost je, že zjistí problém s diskem. V tomto případě není WinRE umístěn na speciálním oddíle, ale nachází se na OS disku C (takže po zašifrování by Recovery Environment tools nebyly dostupné). Průvodce se chce pokusit přesunout WinRE do System Reserved oddílu, ale to se mu nepovede (není tam volných potřebných 350 MB). Automaticky WinRE vypne a pouze nás informuje

WinRE na systémovém disku jiná možnost je, že zjistí problém s diskem. V tomto případě není WinRE umístěn na speciálním oddíle, ale nachází se na OS disku C (takže po zašifrování by Recovery Environment tools nebyly dostupné). Průvodce se chce pokusit přesunout WinRE do System Reserved oddílu, ale to se mu nepovede (není tam volných potřebných 350 MB). Automaticky WinRE vypne a pouze nás informuje

WinRE se nepovedl přesunout, vypne se

Volba odemykání disku, záleží na Group Policy následující krok se zobrazí pouze, pokud upravíme nastavení Group Policy a jednotlivé položky se odvíjí od nastavených hodnot (podrobně popsáno dále v kapitole Povolené autentizační metody). Volíme metodu odemknutí disku (autentizaci). První obrázek ukazuje možnosti s TPM čipem, druhý bez TPM.

Volba odemykání disku bez TPM

Kam se uloží klíč pro obnovu Recovery Password print save to a file Recovery Key i Password USB flash disk volíme, kam se uloží klíč pro obnovu (Recovery Key), který můžeme použít v případě problémů, třeba pokud bychom museli připojit disk k jinému počítači (a neměli tedy k dispozici klíče v TPM), nabízené možnosti záleží na různých okolnostech (třeba pokud není počítač v doméně, tak se nabízí uložení do Microsoft účtu) Nějakou dobu jsem byl dost zmatený z určitého chování, které jsem nenalezl nikde popsané. Patrně to celé bude z toho, že v různých dialozích MS používá pouze termín Recovery Key (a nerozlišuje Recovery Password od Recovery Key). Pokud zvolíme tisk nebo uložení do souboru, tak se použije textové Recovery Password. Pokud zvolíme USB flash disk, tak se na něj uloží oboje do dvou souborů.

Šifrujeme celý disk? volíme, zda se má zašifrovat celý disk (včetně prázdného místa, kde mohou být nějaká smazaná data) nebo pouze aktuálně používaná část (zbytek se šifruje při ukládání nových dat) Šifrování celého 250 GB SSD disku na novém výkonném notebooku trvalo 1:24 hod. Šifrování pouze využité části disku (nově instalovaný OS) trvalo 8 minut.

Chceme použít XTS-AES? od Windows 10 verze 1511 volíme, zda chceme použít nový šifrovací algoritmus XTS-AES

Před zahájením šifrování provést kontrolu v posledním kroku je dobré zvolit, aby se provedla systémová kontrola (testuje se práce s klíči v TPM a další), jinak se hned spustí šifrování disku a při nějakých komplikacích ho již nemusíme rozšifrovat

Dojde k restartu a testům Pokud je vše v pořádku, tak se po restartu nezobrazí žádná informace a na pozadí začne probíhat šifrování disku. S počítačem můžeme standardně pracovat. Abychom viděli, jak probíhá šifrování, tak můžeme použít řádkový příkaz či PowerShell cmdlet (příkazy musíme spouštět jako administrátor). V některých případech se mi v notifikační oblasti zobrazila ikona, která po rozklinutí ukazovala průběh šifrování.

BitLocker Drive Encryption Můžeme se také podívat do BitLocker Drive Encryption, kde vidíme, zda šifrování probíhá či bylo dokončeno. Také se zde objeví různé konfigurační možnosti (záleží na mnoha okolnostech).

Chyby zapnutí BitLocker problém komunikace s TPM kontrola stavu tpm.msc The TPM is ready for use, with reduced functionality doporučeno upgrade BIOS upgrade TPM vymazání klíčů v TPM TPM 1.2 a 1.3 podporuje Legacy BIOS TPM 2.0 pouze UEFI a zapnutý Secure Boot

BitLocker detailněji https://www.samuraj-cz.com/clanek/bitlocker-sifrovani-systemovych-disku/ odemykání, šifrovací klíče, ochránci a autentizace

Odemykání BitLockeru zapnutý BitLocker = šifrovaný (encrypted) disk pro práci s daty musíme dešifrovat (decrypt) provedeme odemknutí (unlock) BitLocker svazku používá se určitá forma autentizace (BitLocker Authentication Method) řada vzájemně navázaných šifrovacích klíčů Full Volume Encryption Key (FVEK) - šifruje vlastní data na disku Volume Master Key (VMK) - šifruje FVEK BitLocker Key Protectors – metoda pro ochranu šifrovacích klíčů, chrání (šifruje) VMK FVEK i VMK jsou uloženy na zašifrovaném disku na dvou místech, vždy jsou uloženy zašifrovaně, může je číst boot manager můžeme měnit ochránce (přístup k disku), aniž bychom museli znovu zašifrovat data

Ochránci klíčů - BitLocker key protectors TPM (Trusted Platform Module) - hardware zařízení pro uložení šifrovacích klíčů PIN (Personal Identification Number) - číselný kód (4, nově 6, až 20 číslic), může se použít pouze dohromady s TPM Enhanced PIN - alfanumerický kód, může se použít pouze dohromady s TPM Startup key - šifrovací klíč uložený na výměnném médiu, může se použít samostatně či dohromady s TPM Recovery password - 48-číselný kód, který se může použít k odemčení svazku v Recovery módu (pokud se nedaří zadat pomocí číslic, tak se mohou využít klávesy F1-F10) Recovery key - šifrovací klíč uložený na výměnném médiu, který je možno použít k odemčení disku Key Package - nejde o Key Protector, ale o balík klíčů, které můžeme použít pro rozšifrování dat na poškozeném disku, je chráněno pomocí Recovery password Toto jsou možnosti, které se týkají systémového disku. Pro ostatní pevné disky nebo výměnná média platí jiné možnosti. Můžeme třeba použít odemčení certifikátem na čipové kartě (smartcard).

Ochránci klíčů pokračování k šifrovanému disku můžeme nastavit jeden nebo více Key Protector (povolené jsou pouze určité kombinace) a kdykoliv můžeme měnit každý z nich pak odemkne svazek každý Key Protector přiřazený disku má unikátní ID Recovery Password - v manage-bde označovaný Numerical Password, tiskne se nebo uloží do souboru BitLocker Recovery Key B36838F0-D01B- 4427-8607-D438FB725BB5.TXT Startup Key - ukládá se do skrytého binárního souboru BitLocker-ID.BEK, někde se označuje External Key protector for startup Recovery Key - ukládá se do stejného souboru jako Startup Key, někde se označuje External Key protector for recovery

Autentizační metody TPM - nejjednodušší možnost, umožňuje vzdálený restart (nevyžaduje uživatelskou interakci při startu), klíče jsou uloženy v počítači v TPM čipu, takže automaticky nastartuje TPM + PIN - uživatel musí při startu zadat PIN, aby došlo k přístupu ke klíčům v TPM , při opakovaném zadání chybného PINu dojde k zamčení (u TPM 1.2 dáno výrobce, u TPM 2.0 defaultně 32, možno změnit) TPM + Network Key - využívá se síťové odemčení (Network Unlock), pokud je počítač ve firemní síti, tak získá klíč z WDS serveru a automaticky odemkne disk a nastartuje, využívá certifikáty a DHCP (vyžaduje řadu nastavení) TPM + Startup Key - při startu musí být vložen USB Flashdisk, který obsahuje Startup Key TPM + PIN + Startup Key - při startu musíme vložit USB Flashdisk a zadat PIN Startup Key - pokud nemáme TPM čip, tak můžeme použít USB Flashdisk, který obsahuje Startup Key Password - MS tuto možnost neuvádí v seznamu autentizačních metod, ale pokud nemáme TPM čip, tak máme na výběr mezi USB Flashdisk (Startup Key) a heslem, které zadáváme při startu Pokud je použito více možností než jedna, tak jde o vícefaktorovou autentizaci (Multifactor Authentication) Aby mělo používání Startup Key smysl, tak nesmíme USB Flashdisk nechávat stále zapojený v počítači. Stejně tak Recovery password a key bychom neměli uchovávat u počítače, ale na jiném místě.

Povolené autentizační metody ve výchozím stavu pouze TPM only bez TPM nezapneme BitLocker This device can’t use a Trusted Platform Module. Your administrator must set the "Allow BitLocker without a compatible TPM" option in the "Require additional authentication at startup" policy for OS volumes. nastavení pomocí Group Policy Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Operating System Drives položka Require additional authentication at startup volíme povolené metody, případně můžeme nějakou vyžadovat možno povolit BitLocker bez TPM

Zapnutí BitLocker - metody pro odemčení disku pokud vše povolíme, tak se při šifrování disku v GUI nabízí pokud máme zapnutý TPM čip Enter a PIN - autentizace TPM + PIN Insert a USB flash drive - autentizace TPM + Startup Key Let BitLocker automatically unlock my drive - autentizace TPM bez TPM čipu Insert a USB flash drive - autentizace Startup Key Enter a password - autentizace Password

Změna autentizační metody na šifrovaném disku můžeme měnit metodu odemčení BitLocker Drive Encryption – Change how drive is unlocked at startup řádkový příkaz manage-bde PowerShell cmdlety kombinace více metod (TPM + PIN + Startup Key) několik alternativních možností vypsání použité autentizační metody manage-bde -protectors -get C: (Get-BitLockerVolume -MountPoint C:).KeyProtector nastavení TPM + PIN manage-bde -protectors -add C: -tpmandpin Add-BitLockerProtector -MountPoint C: -TPMandPinProtector Více možností nám poskytne řádkový příkaz manage-bde nebo PowerShell cmdlety. Zde můžeme nastavit i kombinace více metod (TPM + PIN + Startup Key) nebo několik alternativních možností (každá sama odemkne disk, s TPM může být pouze jedna, k ní můžeme přidat další bez TPM). Základní použití je následující (vždy můžeme za příkaz zadat -? a dostaneme nápovědu).

Nastavení pomocí skupinových politik dokumentace BitLocker Group Policy settings Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption Fixed Data Drives - další pevné disky (přesněji svazky/oddíly) v počítači Operating System Drives - systémové disky Removable Data Drives - výměnné disky (externí USB disky, Flash disky, apod.), tedy BitLocker To Go

Příklady politik Allow enhanced PINs for startup Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Operating System Drives Allow enhanced PINs for startup Configure minimum PIN length for startup Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption Choose drive encryption method and cipher strength (Windows 10 [Version 1511] and later) Computer Configuration - Administrative Templates - System - Trusted Platform Module Services Standard User Lockout Duration Standard User Individual Lockout Threshold Standard User Total Lockout Threshold

Uložení BitLocker klíčů v AD DS https://www.samuraj-cz.com/clanek/bitlocker-sifrovani-systemovych-disku/ Uložení BitLocker klíčů pro obnovu do Active Directory Domain Services (AD DS)

Uložení BitLocker klíčů pro obnovu v AD klíče pro obnovu - Recovery Keys – umožní přístup k zašifrovaným datům centralizované úložiště – AD DS u účtu počítače ukládá se 48-číselný Recovery password případně Key Package, umožní získat data z poškozeného disku nastavení pomocí Group Policy pro větší firmy je nástroj Microsoft BitLocker Administration and Monitoring (MBAM), součást Microsoft Desktop Optimization Pack (MDOP), info o BIOS a TPM, reporty, web portál pro recovery, správa BitLocker Recovery Key a TPM Owner Password

Nastavení pomocí Group Policy Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Operating System Drives Choose how BitLocker-protected operating system drives can be recovered volba Save BitLocker recovery information to AD DS for operating system drives ukládání Recovery Password, Key Package volitelně Do not enable BitLocker until recovery information is stored in AD DS for operating system drives BitLocker Data Recovery Agents – účty, jejichž PKI certifikát je použit globálně jako Key Protector hodnota Allow data recovery agent pokud nepoužíváme, tak nezaškrtávat

Politika nepovolit uživatelům Recovery nastavení funguje pro systémové disky, ale ne pro jiné BitLocker Drive Encryption cannot be applied to this drive because there are conflicting Group Policy settings for recovery options on operating system drives. Storing recovery information to Active Directory Domain Services cannot be required when the generation of recovery password is not permitted. položka Omit recovery options from the BitLocker setup wizard zamezí uložení klíče v průvodci v GUI i příkazové řádce můžeme klíče uložit - Back up your recovery key

Co a jak se v AD ukládá BitLocker informace se ukládají v AD DS jako objekt jsou zařazeny pod účtem daného počítače objekt msFVE-RecoveryInformation, atributy ms-FVE-RecoveryPassword - 48-číselný kód používaný v Recovery módu ms-FVE-RecoveryGuid - GUID přiřazené k Recovery Password pro jeho identifikace ms-FVE-VolumeGuid - GUID šifrovaného disku ms-FVE-KeyPackage - obsahuje šifrovací klíč zabezpečený pomocí Recovery Password, je možno použít pro obnovu části dat při poruše disku BitLocker Password Recovery Viewer – součást RSAT pro prohlížení informací, pouze rozšíření ADUC o záložku BitLocker Recovery ADUC - menu View zatrhneme Users, Contacts, Groups, and Computers as containers, pak můžeme rozkliknout objekt počítače

ADUC BitLocker Recovery informace

Dodatečné uložení informací do AD DS zjistíme ID pro Protector (Recovery Password / Numerical Password), který chceme zálohovat C:\>manage-bde -protectors -get C: BitLocker Drive Encryption: Configuration Tool version 10.0.10011 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume C: [] All Key Protectors Numerical Password: ID: {BB30F4FB-9263-45D2-B227-799E22582B20} Password: 079552-555544-716221-392788-505340-245069-453937-232727 PS C:\> (Get-BitLockerVolume -MountPoint c:).KeyProtector KeyProtectorId : {BB30F4FB-9263-45D2-B227-799E22582B20} AutoUnlockProtector : KeyProtectorType : RecoveryPassword KeyFileName : RecoveryPassword : 079552-555544-716221-392788-505340-245069-453937-232727 KeyCertificateType : Thumbprint : údaje se ukládají při zašifrování disku dodatečně pomocí PowerShell nebo manage-bde

Dodatečné uložení informací do AD DS provedeme zálohu C:\>manage-bde -protectors -adbackup C: -id {BB30F4FB-9263-45D2-B227-799E22582B20} BitLocker Drive Encryption: Configuration Tool version 10.0.10011 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Recovery information was successfully backed up to Active Directory. PS C:\> Backup-BitLockerKeyProtector -MountPoint C: -KeyProtectorId "{BB30F4FB-9263-45D2-B227- 799E22582B20}„ ComputerName: BITLOCKER-TEST VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection Point Percentage Enabled Status ---------- ----- ---------- ------------ ---------- ------------ ---------- ---------- OperatingSystem C: 237,92 FullyEncrypted 100 {RecoveryPassword, Tpm... On

Suspend BitLocker pozastavení BitLocker https://www.samuraj-cz.com/clanek/bitlocker-sifrovani-systemovych-disku/ pozastavení BitLocker

Pozastavení BitLocker existuje řada situací, které se berou jako možné narušení (útok) a proto vyvolají BitLocker recovery třeba upgrade BIOS/UEFI/TPM firmware, změna rozložení disku (oddílů) či zaváděcí oblasti, zásadní upgrade Windows (Feature Update) pokud tyto operace děláme cíleně, tak se má provést pozastavení BitLockeru pak vše proběhne, disk se chová jako nešifrovaný, standardně se po restartu BitLocker automaticky zapne některé nástroje provedou pozastavení automaticky při pozastavení nedojde k rozšifrování disku, ale použije se Clear Key, kterým se zašifruje Volume Master Key, a ten se uloží nešifrovaně na disk po obnovení se změní VMK, aktualizují protektory, smaže Clear Key

Suspend Protection GUI BitLocker Drive Encryption - Suspend protection příkazový řádek manage-bde –pause C: PowerShell Suspend-BitLocker -MountPoint "C:" -RebootCount 1

Využití obnovy - Recovery https://www.samuraj-cz.com/clanek/bitlocker-sifrovani-systemovych-disku/ Obnova, aneb nouzové situace

Nouzové situace pokud se potřebujeme dostat k datům na disku bez autentizačních údajů při startu se počítač přepne do BitLocker Recovery (třeba kvůli TPM) můžeme použít Recovery Key nebo Recovery Password (MS nerozlišuje a používá termín Recovery Key) Recovery Key – chce vložit USB disk a hledá klíč Recovery Password – chce zadat 48-číselný kód oficiální informace BitLocker recovery guide – seznam důvodů, kdy je vynuceno BitLocker Recovery Existuje mnoho situací, kdy počítač při startu spustí BitLocker Recovery a my musíme, pro start operačního systému, zadat Recovery Key. Nejvíce situací je v souvislosti s TPM čipem, který chrání integritu hardwarových a softwarových komponent. Pak třeba, pokud dojde k upgradu BIOSu (doporučeno je předem pozastavit BitLocker), změně partition tabulky, zapnutí bootování z USB, přidání HW komponenty nebo také opakovanému zadání chybného PINu, tak systém nenastartuje a musíme tuto operaci autorizovat pomocí Recovery Key. Samozřejmě je to ochrana před různými útoky.

Ochrana TPM + PIN Pokud máme nastaveno odemykání systémového disku pomocí PINu, tak se před startem OS zobrazuje dialog na zadání tohoto PINu.

Zapomenutý PIN a Recovery Key Pokud bychom PIN zapomněli, tak můžeme stisknout klávesu ESC a provést BitLocker recovery. Pokud máme nastavený Recovery Key, tak se dozvíme, že máme vložit odpovídající USB flash disk a restartovat. Systém naběhne bez dotazu na PIN.

Zapomenutý PIN a Recovery Password Pokud nastavený Recovery Password, tak můžeme stisknout ESC pro další možnosti a zobrazí se políčko na zadání číselného kódu. Po jeho správném zadání systém nastartuje.

Změna PINu v BitLocker Drive Encryption

Připojení disku k jinému počítači disk připojíme k jinému počítači s OS podporujícím BitLocker zadáme Recovery Password nebo načteme soubor s Recovery Key disk se odemkne

BitLocker To Go šifrování externích disků https://www.samuraj-cz.com/clanek/bitlocker-sifrovani-externich-disku/ šifrování externích disků

BitLocker To Go BitLocker Drive Encryption pro výměnná média (Removable Data Drives) USB flash disky, externí hard disky, SD karty a jiné disky, které jsou formátované pomocí NTFS, FAT16, FAT32 nebo exFAT stejná technologie jako BitLocker pro pevné disky (Fixed Data Drives) BitLocker To Go Reader – pouze čtení dat na podporovaném OS bez BitLocker odemčení (unlock) – heslo, certifikát na čipové kartě (smart card), doménový účet nebo skupina (SID protector), automatické odemčení pomocí účtu na určitém počítači (, klíč pro obnovu) nastavení pomocí skupinových politik Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Removable Data Drives Deny write access to removable drives not protected by BitLocker

Odemykání čipovou kartou certifikát musí splňovat podmínky atribut Key Usage (pokud existuje) Data Encipherment Key Agreement Key Encipherment atribut Enhanced Key Usage (EKU) OID 1.3.6.1.4.1.311.67.1.1 nebo určit pomocí politiky Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption Validate smart card certificate usage rule compliance

BitLocker Drive Encryption - šifrování připojíme disk spustíme grafický nástroj BitLocker Drive Encryption (nalezneme jej třeba pod Control Panel) rozklikneme daný externí disk klikneme na Turn on BitLocker (případně můžeme rovnou použít File Explorer a volba se nachází v kontextovém menu)

Metoda pro odemčení spustí se průvodce, kde v prvním kroku volíme metodu, jakou budeme disk odemykat Jistější je použít heslo. Druhá možnost je využít certifikát na čipové kartě. Ale je třeba myslet na to, kde všude budeme potřebovat externí disk použít.

Zahájení šifrování poslední krok již pouze potvrdíme zahájení šifrování šifrování určitou dobu trvá a průběh vidíme v okně

Odemknutí disku Když následně připojíme disk do libovolného počítače (který podporuje BitLocker), tak jej vidíme jako zamčený a musíme zadat zvolené heslo.

Nastavení automatického odemykání BitLocker Drive Encryption – možnost nastavit Auto-unlock pak se uloží údaje na tomto počítači v profilu přihlášeného uživatele při připojení disku se automaticky odemkne

Děkuji za pozornost Petr Bouška bouska@oksystem.cz