Wdrożenie szyfrowania dysków funkcją BitLocker w środowisku Active Directory
Funkcja BitLocker zapewnia obsługę szyfrowania urządzeń na komputerach z procesorami x86 i x64 z modułem TPM obsługującym tryb gotowości. Wbudowana jest ona w systemy Windows 7 (Ultimate, Enterprise),
Windows 8 (Pro, Enterprise) oraz Windows 10 (Pro, Enterprise).
Szyfrowanie urządzeń pomaga chronić dysk systemu operacyjnego i wszelkie stałe napędy danych w systemie przy użyciu 128 lub 256-bitowego szyfrowania AES. Obciążenie systemu związane funkcjonowaniem BitLockera
jest bardzo małe i wynosi około 2-4%. Szyfrowanie urządzenia może być używane z kontem Microsoft lub kontem domeny Active Directory. Aby obsługiwać szyfrowanie urządzeń, system musi obsługiwać tryb gotowości
i spełniać wymagania zestawu Windows Hardware Certification Kit (HCK) dla modułu TPM i SecureBoot w systemach ConnectedStandby.
W przeciwieństwie do standardowej implementacji funkcji BitLocker szyfrowanie urządzenia jest włączane automatycznie, dzięki czemu urządzenie jest zawsze chronione. Poniższa lista przedstawia sposób, w jaki jest to realizowane:
- po zakończeniu czystej instalacji systemu Windows komputer jest gotowy do pierwszego użycia. W ramach tego przygotowania szyfrowanie urządzeń jest inicjowane na dysku systemu operacyjnego i na stałych dyskach danych na komputerze za pomocą czystego klucza (jest to odpowiednik standardowego stanu zawieszania funkcji BitLocker).
- jeśli urządzenie nie jest połączone z domeną, wymagane jest konto Microsoft, które posiada uprawnienia administracyjne na urządzeniu. Kiedy administrator korzysta z konta Microsoft do logowania, czysty klucz jest usuwany, klucz odzyskiwania jest przesyłany do internetowego konta Microsoft i tworzony jest protektor TPM. Jeśli urządzenie wymaga klucza odzyskiwania, użytkownik zostanie poproszony o użycie alternatywnego urządzenia i przejście do adresu URL dostępu do klucza odzyskiwania w celu pobrania klucza odzyskiwania przy użyciu danych logowania do konta Microsoft.
- Jeśli użytkownik zaloguje się przy użyciu konta domeny Active Directory, czysty klucz nie zostanie usunięty, dopóki użytkownik nie połączy się z urządzeniem do domeny (na platformach x86/x64), a klucz odzyskiwania zostanie pomyślnie utworzony w usłudze Active Directory. Ustawienia zasad grupy Computer Configuration/Administrative Templates/Windows Components/BitLocker Drive Encryption/Operating System Drives muszą być włączone i należy wybrać opcję "Do not enable BitLocker until recovery information is stored in AD DS for operating system drives", dopóki informacje o odzyskiwaniu nie zostaną zapisane w usługach AD DS dla dysków systemu operacyjnego. W przypadku tej konfiguracji hasło odzyskiwania zostanie utworzone automatycznie po dołączeniu komputera do domeny, a następnie skopiowanie klucza odzyskiwania do usług AD DS, protokół TPM zostanie utworzony, a czysty klucz zostanie usunięty.
Wdrożenie funkcji Bitlocker.
W celu kompleksowego wdrożenia szyfrowania dysków stacji roboczych podłączonych do domeny Active Directory wymagane są następujące komponenty:
- domena Active Direcroty zarządzana przez serwer pełniący rolę kontrolera domeny,
- serwer plików do przechowywania plików z kluczem odzyskiwania funkcji BitLocker,
- serwer z rolą Urzędu Certyfikacji (Certificate Authority) pozwalający wygenerować certyfikat odzyskiwania zaszyfrowanych dysków dla konta użytkownika
  pełniącego rolę Agenta Odzyskiwania (BitLocker Data Recovery Agent). Wdrożenie Agenta Odzyskiwania jest opcjonalne i zapewnia dodatkową metodę
  odzyskiwania zaszyfrowanych nośników.
Środowisko testowe, w którym przeprowadzone zostanie wzdrożenie Bitlockera składa się z następujących komponentów:
- domena Active Directory: msa.domena.pl
- kontroler domeny: dc.msa.domena.pl. Zarządzanie politykami GPO odbywa się także z poziomu kontrolera domeny.
- serwer plików: fs.msa.domena.pl. Tą rolę może także pełnić kontroler domeny, który ma domyślnie uruchominę rolę serwera plików.
- serwer z rolą Urzędu Certyfikacji: ca.msa.domena.pl.
Przy zakupie nowej stacji roboczej z preinstalowanym systemem Windows 10 (np. od firmy Dell), funkcja Bitlocler będzie zainicjowana na dysku systemu operacyjnego za pomoca czystego klucza (stan zawieszenia funkcji Bitlocker).
Po podłączeniu komputera do domeny AD, nastąpi automatyczne zaszyfrowaie owego dysku oraz umieszczenie klucza odzyskiwania w ustawieniach konta komputera w usłudze A.D. Za takie zachowanie będą odpowiadać ustawinia
polityki GPO: MSA-BitLocker opisane w dalszej części artykułu. Jedynym krokiem jaki będzie musiał wykonać administrator posługujący sie kontem z uprawnieniami lokalnego administratora na stacji roboczej, będzie
określenie wartości PIN umożliwiającej dostęp do zaszyfrowanego dysku i zainicjowanie ładowania systemu operacyjnego podczas uruchomienia komputera. Dane odzyskiwania funkcji BitLocker zostaną dodatkowo zapisane w pliku na
serwerze plików. Wygenrowanie klucza PIN oraz zapis danych odzyskiwania do pliku, odbywa się przez opcje zarządzania funkcją BitLocker dostępną z poziomu Eksploratora plików lub z Panelu sterowania.
W przypadku ręcznej instalacji systemu Windows, funkcja BitLocker będzie zainicjowana dla dysku systemowego, ale po podłączeniu komputera do domeny nie nastąpi automatyczne szyfrowanie. Administrator bedzie musiał przeprowadzić
tą procedurę ręcznie, wybierając dysk systemowy i uruchamiając kreatora szyfrowania dysku. W czasie tego procesu wykonany zostanie test określający czy użycie funkcji BitLocker będzie możliwe. Jeżeli test zakończy się sukcesem kreator
umożliwi określenie wartości PIN oraz zapis danych odzyskiwania do pliku. Na sam koniec uruchomione zostanie szyfrowanie dysku systemowego. Od tego momentu uruchomienie komputera wymagać będzie podania wartości PIN na ekranie
startowym komputera.
Procedura odzyskania danych z zaszyfrowanego dysku, w przypadku awarii komputera, polega na wymontowaniu dysku i podłączenia go do innego komputera z działającą funkcja BitLocker. Po wykryciu dysku przez system operacyjny
i przyznaniu mu litery napędu, będzie można dokonać jego odblokowania lub odszyfrowania przez podanie wartości PIN powiązanej z dyskiem lub przy użyciu certyfikatu Agenta odzyskiwania (BitLocker Data Recovery Agent).
Utworzenie folderu udostępnionego dla plików z kluczami odzyskiwania.
Na serwerze plików należy utworzyć folder udostępniony, w którym zapisywane będą pliki z kluczami odzyskiwania funkcji Bitlocker, podczas tworzenia numeru PIN na stacji roboczej. W środowisku testowym będzie to folder o nazwie
BitLocker znajdujący się na serwerze plików (fs.msa.domena.pl) pod ścieżką bezwzględną c:\BitLocker. Uprawnienia do tego folderu powinny dawać możliwość zapisu danych (plików z kluczem odzyskiwania) przez
administratorów, a dla zwykłych użytkowników tylko możliwość odczytu. Opisana metoda wdrożenia funkcji BitLocker zakałada nadanie możliwości dostępu do plików z kluczami odzyskiwania dla zwykłych użytkowników. W przypadku
zablokowania komputera przez aktualizację BIOSu lub sterowników do modułu TPM, użytkownik korzystając z innego komputera będzie miał dostęp do klucza odzyskiwania. Instrukcja opisująca jak to zrobić będzie dostępna
na ekranie startowym komputera w opcji pomocy funkcji BitLocker.
Uprawnienia dostępu dla folderu BitLocker powinny być następujące:
Zakładka Share Permission:
- Everyone (Wszyscy): grupa powinna zostać usunięta.
- Users (Użytkownicy): lokalna grupa zabezpieczeń na serwerze plików, upraweniania Read.
- Administrators (Administratorzy): lokalna grupa zabezpieczeń na serwerze plików, upraweniania Change.
Zakładka Security:
- Users (Użytkownicy): lokalna grupa zabezpieczeń na serwerze plików, upraweniania Read & Execute.
- Administrators (Administratorzy): lokalna grupa zabezpieczeń na serwerze plików, upraweniania Modify.
Tak skonfigurowany folder BitLocker będzie dostępny pod ścieżką UNC: \\fs.msa.domena.pl\bitlocker.
Utworzenie polityki GPO.
Przed rozpoczęciem korzystania z funkcji szyfrowania dysków należy wdrożyć politykę GPO, która zdefiniuje podstawową konfigurację działania BitLockera na wszystkich komputerach przyłączonych do domeny Active Directory.
Korzystając z konsoli Group Policy Management należy utworzyć nową politykę GPO na poziomie domeny A.D. dedykowaną dla funkcji BitLocker. W środowisku testowym jest to polityka MSA-BitLocker.
Ustawienia dla funkcji BitLocker znajdują się w gałęzi Computer Configuration/Administrative Templates/Windows Components/BitLocker Drive Encryption.
Ustawienia polityki GPO:
-
Choose default folder for recovery password: Enabled
Określenie miejsce zapisu pliku z kluczem odzyskiwania.
Opcje:
Configure the default folder path: \\fs.msa.domena.pl\bitlocker
-
Choose how users can recover BitLocker-protected drives (Windows Server 2008 and Windows Vista): Enabled
Określenie metod odzyskiwania zaszyfrowanych dysków.
Opcje:
Configure 48-digit recovery password: Require recovery password (default)
Configure 256-bit recovery key: Require recovery key (default)
-
Provide the unique identifiers for your organization: Enabled
Identyfikator organizacji. Używany podczas odszyfrowywania dysku przy użyciu certyfikatu Agenta Odzyskiwania. Jest to dowolny ciąg znaków ASCII. Najlepiej aby wartość była związana z nazwą firmy lub domeny A.D.
Opcje:
BitLocker identification field: msa
Allowed BitLocker identification field: msa
-
Store BitLocker recovery information in Active Directory Domain Services (Windows Server 2008 and Windows Vista): Enabled
Określenie metody przechowywania danych odzyskiwania Bitlocker w usłudze Active Directory Domain Services.
Opcje:
Require BitLocker backup to AD DS: Enabled
Select BitLocker recovery information to store: Recovery passwords and key packages
-
Fixed Data Drives/Choose how BitLocker-protected fixed drives can be recovered: Enabled
Określenie metody odzyskiwania funkcji Bitlocker dla dysków twardych, na których nie ma plików systemu operacyjnego.
Opcje:
Allow data recovery agent: Enabled
Configure user storage of BitLocker recovery information: Allow 48-digit recovery password, Allow 256-bit recovery key
Omit recovery options from the BitLocker setup wizard: Disabled
Save BitLocker recovery information to AD DS for fixed data drives: Enabled
Configure storage of BitLocker recovery information to AD DS: Backup recovery passwords and key packages
Do not enable BitLocker until recovery information is stored to AD DS for fixed data drives: Enabled
-
Fixed Data Drives/Enforce drive encryption type on fixed data drives: Enabled
Określenie sposobu szyfrowania dysków, całościowego lub tylko obszaru z zapisanymi danymi.
Opcje:
Select the encryption type: Used Space Only encryption
-
Operating System Drives/Allow Secure Boot for integrity validation: Enabled
Umożliwienie funkcji Secure Boot bycia platformą integracyjną dla funkcji BitLocker przy szyfrowaniu dysku zawierającego pliki systemu operacyjnego.
Opcje:
-
Operating System Drives/Choose how BitLocker-protected operating system drives can be recovered: Enabled
Określenie metody odzyskiwania funkcji Bitlocker dla dysków twardych, na których nie ma plików systemu operacyjnego.
Opcje:
Allow data recovery agent: Enabled
Configure user storage of BitLocker recovery information: Allow 48-digit recovery password, Allow 256-bit recovery key
Omit recovery options from the BitLocker setup wizard: Disabled
Save BitLocker recovery information to AD DS for operating system drives: Enabled
Configure storage of BitLocker recovery information to AD DS: Store recovery passwords and key packages
Do not enable BitLocker until recovery information is stored to AD DS for operating system drives: Enabled
-
Operating System Drives/Configure minimum PIN length for startup: Enabled
Określenie minimalnej długości klucza PIN używanego do zaszyfrowania dysku z plikami systemu operacyjnego.
Opcje:
Minimum characters: 8
-
Operating System Drives/Choose how BitLocker-protected operating system drives can be recovered: Enabled
Określenie metody odzyskiwania funkcji Bitlocker dla dysków twardych, na których nie ma plików systemu operacyjnego.
Opcje:
Allow data recovery agent: Enabled
Configure user storage of BitLocker recovery information: Allow 48-digit recovery password, Allow 256-bit recovery key
Omit recovery options from the BitLocker setup wizard: Disabled
Save BitLocker recovery information to AD DS for operating system drives: Enabled
Configure storage of BitLocker recovery information to AD DS: Store recovery passwords and key packages
Do not enable BitLocker until recovery information is stored to AD DS for operating system drives: Enabled
-
Operating System Drives/Configure minimum PIN length for startup: Enabled
Określenie minimalnej długości klucza PIN używanego do zaszyfrowania dysku z plikami systemu operacyjnego.
Opcje:
Minimum characters: 8
-
Operating System Drives/Configure pre-boot recovery message and URL
Określenie informacji wyświetlającej się w przypadku błędnego podania numeru PIN w oknie startowym.
Opcje:
Select an option for the pre-boot recovery message: Use custom recovery message. Treść: Korzystajac z innego komputera w oddziale firmy przejdz do lokalizacji "\\fs.msa.domena.pl\bitlocker". Odszukaj plik zawierajacy w nazwie Identyfikator klucza odzyskiwania (Recovery Key ID). W pliku tym znajduje sie Klucz odzyskiwania. Jezeli jestes poza firma skontaktuj sie telefonicznie z dzialem.
Custom recovery URL option: \\fs.msa.domena.pl\bitlocker
-
Operating System Drives/Configure use of passwords for operating system drives: Enabled
Określenie obostrzeń dotyczących hasła PIN.
Notatka.
Zakładając, że potencjalnym złodziejem nie będzie nikt z pracowników firmy, można rozważyć użycie jednego numeru PIN dla wszystkich komputerów użytkowników lub osobnego numeru PIN dla pracowników szeregowych i osobnego dla kadry zarządzającej.
Opcje:
Configure password complexity for operating system drives: Do not allow password complexity
Minimum password length for operating system drive: 8
Require ASCII-only passwords for removable OS drives: Enabled
-
Operating System Drives/Disallow standard users from changing the PIN or password: Enabled
-
Operating System Drives/Enforce drive encryption type on operating system drives: Enabled
Określenie sposobu szyfrowania dysków, całościowego lub tylko obszaru z zapisanymi danymi.
Opcje:
Select the encryption type: Used Space Only encryption
-
Operating System Drives/Require additional authentication at startup: Enabled
Określenie metod uwierzytelniania funkcji BitLocker dla dysków systemowych przy starcie komputera.
Opcje:
Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive): Enabled
Configure TPM startup: Allow TPM
Configure TPM startup PIN: Allow startup PIN with TPM
-
Removable Data Drives/Choose how BitLocker-protected removable drives can be recovered: Enabled
Określenie metody odzyskiwania funkcji Bitlocker dla dysków twardych, na których nie ma plików systemu operacyjnego.
Opcje:
Allow data recovery agent: Enabled
Configure user storage of BitLocker recovery information: Allow 48-digit recovery password, Allow 256-bit recovery key
Omit recovery options from the BitLocker setup wizard: Disabled
Save BitLocker recovery information to AD DS for removable data drives: Enabled
Configure storage of BitLocker recovery information to AD DS: Backup recovery passwords and key packages
Do not enable BitLocker until recovery information is stored to AD DS for removable data drives: Enabled
Tak wdrożona polityka GPO zapewnia szyfrowanie dysków funkcją BitLocker. Dostęp do nich następuje przy użyciu numeru PIN, a ich odblokowanie w przypadku utraty numeru PIN, aktualizacji BIOSu lub układu TPM
jest możliwe przy użyciu klucza odzyskiwania zapisanego w usłudze Active Directory i w pliku tekstowym.
Dodatkową opcją odzyskiwania jest wdrożenie agenta odzyskiwania funkcji BitLocker. W tym celu należy utworzyć konto użytkownika w usłudze Active Directory, dla którego następnie wydany zostanie certyfikat
zawierający cel (OID): Key Recovery Agent, BitLocker Drive Encryption i BitLocker Data Recovery Agent.