Bitlocker på Windows klienter

 

Windows 10

Windows 10 bærbare leveres med kryptert disk. Kryptering av stasjonære rulles automatisk ut vinteren 18/19.

IT annsvarlige finner gjennomprettelses nøkkelen i maskinens AD objekt.

Kryptering med Bitlocker via gammel PXE (Windows 7)

Dette dokumentet er myntet på Lokal-IT ansvarlige som ønsker å installere Bitlocker via PXE. Det inneholder nødvendig informasjon man trenger å vite for å kunne installere Bitlocker via PXE.

Bitlocker er Microsoft sitt produkt og den brukes for kryptering av hard-disker og flyttbar media (USB-pinner). Den er gratis og bygd inn i Windows OS. På klient operativsystemer, er Bitlocker inkludert fra og med Windows Vista, mens på server OSer, fra og med Windows Server 2008.

Noen viktige momenter rundt Bitlocker installasjon via PXE:

  • kun klienter, og fra klienter, kun Windows7
  • valgt krypteringsmekanismen er: AES 128 med Diffuser
  • valgt "Key Protector" er: TPM + PIN 
  • for gjenoppretting bruker vi Recovery Password
  • gjenoppretting informasjon lagres i AD og i tillegg til en fil (på \\win-sftp.uio.no\bitlocker)

Maskin som skal krypteres i løpet av PXE installasjon med Bitlocker må ha TPM. Hva er TPM? TPM er et sikkerhetsutstyr som ligger "limt" inn på maskins hovedkortet. Den brukes for forskkjellige sikkerhets operasjoner, bl.a kryptering av nøkler. I tillegg til kryptering, forsegler TPM krypteringsnøkler til maskins Software og Hardware konfigurasjon også. Hva betyr det? Det betyr at ved første gang vi krypterer en hard disk med Bitlocker, kjører TPM flere målinger av systemets ulike hardware og software komponenter. Etter det, hver gang maskin starter, kjører TPM samme målinger igjen og sammenligner dem med målinger fra da Bitlocker ble slått på, for første gang. Hvis disse resultatene ikke stemmer overens, vil TPM ikke dekryptere Bitlocker nøkler, og systemet kan ikke starte. Dermed, når vi sier at vi har "TPM+PIN" Key Protector på en Bitlocker kryptert Volume, betyr det at TPM må godkjenne systemets konfigurasjon (at den ikke ble endret pga. virus, malisiøs software e.l) og at bruker må angi PIN kode, for at maskin kan startes.

Hvordan kan jeg vite om maskinen min har TPM?

Det finnes to måter å gjøre dette på. Først og fremst, kan man sjekke i BIOS. På Dell sine maskiner, TPM konfigurasjon ligger under "Security" taben (Secutiry -> TPM Security eller Security -> TPM Activation). Der kan man sjekke status og innstillingene TPM har. HP maskiner har en veldig lik struktur, men det kan hende at noen av disse maskinene krever at bruker setter BIOS passord før den kan få tilgang til TPM innstillingene.

Andre måte å sjekke status til TPM på er fra OSet selv. For å gjøre det fra Windows 7, må man gjøre følgende: klikke på "Start knappen", og i "Search Programs and Files" feltet skrive tpm.msc. Da åpnes det TPM Microsoft Management Console, som brukes til TPM styring fra OSet. På høyre side kan man sjekke status til TPM, om den er på eller ikke, eller hvis maskin ikke har TPM, få lese en passende beskjed. Det er viktig å understreke her at tpm.msc kan vise at TPM ikke eksisterer på systemet, selv om den gjør det. Grunnen til det er at på noen systemer TPM først må være slått på i BIOS før OS'et kan oppdage at den eksisterer.

Hvordan forbereder jeg TPM for Bitlocker kryptering?

Som sagt, man kan inisialisere TPM både i BIOS og i OSet (gjennom tpm.msc). Kanskje den beste måten å gjøre dette på er fra BIOS. Man bør boot'e maskin, gå inn i BIOS og velge "Security" tab'en. Under "Security" taben, vanligvis, ligger det to valg: "TPM Security" og "TPM Activation". 

Under "TPM Security" tab'en velger man "On" og det betyr at TPM, som hardware, er slått på, og at OSet kan se den. Dette første skrittet er nødvendig for at en harddisk (Volume) skal kunne krypteres med Bitlocker, men er ikke nok. Vi må også aktivere TPM. Det kan vi gjøre under "TPM Activation" tab'en, ved å velge "Activate". Dette andre skkrittet er ikke nødvendig (det første var det), fordi selve PXE-koden kan gjøre det istedet, men det er best at det gjøres i BIOS i forkant av installasjon, slik at vi sparer et par reboot'er (mao. tid). Etter det kan man kjøre tpm.msc igjen, fra OSet, for å sjekke om TPM er aktivert/synlig.

Bitlocker fane i pxe-meny'en

Når TPM er klargjort, kan vi begynne med Bitlocker kryptering. For Bitlocker kryptering har vi lagt til en ekstra fane i pxe menyen (se bildet under). 

 

Under Bitlocker fanen ligger det noen innstillinger for Bitlocker installasjon. Kryss av for Bitlocker checkbox'en for å kryptere harddisk med Bitlocker i løpet av PXE installasjon. Under chekbox'en ligger det to "select" felter hvor man kan velge: 

  1. Nøkkel beskyttelse modus (Key Protector). Foreløpig, eneste valg her er TPM + PIN (som det ble tidligere forklart, kreves det både godkjenning av systemets konfigurasjon av TPM og PIN kode fra bruker for å boote maskin)
  2. Krypterings mekanisme. Foreløpig, eneste valg her er AES 128 + Diffuser 

Partisjonering ved Bitlocker kryptering via PXE

Det er veldig viktig at hele disken som installeres blir "dekket" (kryptert)  i løpet av Bitlocker kryptering via PXE, slik at det ikke finnes mer plass på disken hvor "ubeskyttet" data kan ligge. Derfor, har vi ordnet det slik at for Bitlocker krypptering får man et begrenset valg av partisjonering. Nemlig, man kan velge enten å kryptere hele disken med bare en partisjon (System Volume C:) eller kryptere hele disken med to partisjoner (Data partisjon D: i tillegg). Partisjoneringsvalg hvor delen av disken forblir upartisjonert er ikke tillatt. Neste bildet ilustrerer dette.

 

Formatering er også noe som ble endret ved Bitlocker kryptering via PXE. For å ha en vellykket og pålitelig kryptering med Bitlocker, er det veldig viktig  å ha en vanlig (ikke "quick") format i forkant av kryptering. Derfor kan formatering av disk ta noe lengre tid, opptil 40 minutter, avhengig av harddisk størrelse (kontra 2-5 minutter ved en vanlig PXE installasjon som ikke inkluderer kryptering med Bitlocker).    

Bitlocker kryptering i postfasen

Postfase er den biten av PXE installasjon hvor OS blir installert og PXE script begynner med bl.a innstilling av sistemet og programvare installasjon. Disken krypteres i postfasen. Hele krypteringsprossesen består av:

  1. hvis det er "hjemmemaskin" som installeres - > midlertidig innmelding i domenet. Hjemmemaskiner skal ikke ligge på UiO nettet og derfor meldes de ikke inn i domenet. Men for å ha gjenoppretting informasjon lagret i AD (gjenoppretting informasjon brukes for å låse opp kryptert disk i tilfelle av primær metode feiler - f.eks bruker glemmer PIN kode), melder vi maskin midlertidig inn i domenet. Straks kryptering er ferdig, melder vi maskin ut. I dette tilfelle havner maskin i følgende OU (klienter:pxe-inst:Bitlocker_Hjemmemaskiner). Som følge av midlertidig domenet innmelding, forblir noen av GPO'er fra toppnivå (de som er "enforced") igjen på maskin etter utmelding. Vi har ikke opplevd noen problemer på hjemmemaskiner pga. dette, men vi skal sette i gang aktivitetene for å prøve gradvis å annulere disse på OU nivå. 
  2. hvis det er "kontormaskin" som installeres -> flytting av maskinobjekt til et "staging" OU. Altså, maskinobjekt tas fra OU som ble definert av bruker i begynnelsen av installasjon og flyttes til et Bitlocker "staging" OU (klienter:pxe-inst:Bitlocker_Domenemaskiner). Maskin blir liggende der mens installasjon pågår, og helt til slutt, før siste reboot, flyttes maskinobjekt tilbake til det opprinnelige OUet som var definert i pxe meny'en. Grunnen til at vi må flytte "Bitlocker" maskiner til et "staging" OU er at Bitlocker installasjon avhenger av noen innstillinger som kjøres inn via GPO. Så, for å begrense disse innstillingene til kun maskiner som holder på å bli kryptert med Bitlocker, flytter vi dem til et eget OU. Etter at GPO innstillingene er kjørt inn, flyttes maskin tilbake. For at dette skal være mulig, må brukeren uioadd (pxe-inst), ha "Create Computer Object" og "Delete Computer Object" rettighetene på ditt OU. Bruker uioadd er en PXE-installasjon bruker som anvendes ved alle AD operasjoner i løpet av PXE installasjon.   
  3. kjøring av Bitlocker Preparation Tool  - Bitlocker opsett krever en ekstra partisjon på 300 MB (som ikke er kryptert, og som ikke har drive bokstav), og som skal brukes til å boot'e maskin fra. Verktøyet lager en slik partisjon og flytter nødvendige boot fileer der.
  4. Sjekk av TPM oppsett. Man  slå på TPM i BIOS, på forhånd (før PXE instrallasjon), og BØR aktivere den. Hvis man ikke aktiverer TPM på forhånd (merk at TPM i alle fall må være "enabled"), da skal kode prøve å gjøre dette selv. I så fall kan det hende at man får et par ekstra boot, og et par ekstra spørsmål :-) Hva betyr det? Vel, hvis man ønsker å kjøre noen kommandoer mot TPM som endrer dens status (f.eks aktivere den), vil TPM ikke tillatte det fra OSet, men heller kjøre kommando ved neste reboot, tidlig, før OS startes. Før selve kommando kjøres, TPM spør bruker om å godkjenne den. Hvis bruker godkjenner den, endringen kjøres (dette her kalles "Physical Presence Requirement" - dvs. TPM skal at bruker hver gang godkjenner endringer som endrer dens status, og at alle slike endringene skal kjøres før OS boot'er. På den måten, kan den være sikker på at et virus e.l ikke skal kunne styre TPM fra OS'et, og dermed kompromiterre systemets sikkerhet). Tilbake til kode, hvis kode prøver å aktivere TPM selv, vil bruker etter neste reboot få et spørsmål fra TPM, og da bør den svare med "Modify" for å fortsette videre. I tillegg til aktivering finnes det også en del TPM sjekk (f.eks TPM versjon må være >= 1,2), og et slikt scenario er illustrert på bildet under.   

 

    5. kjøre bitlocker sjekk og kryptere disken - her kjører vi en del sjekk for å sørge for at alt nødvendig er på plass før Bitlocker kryptering. Et eksempel er en sjekk som sørger for at alle de nødvendige GPO instillingene er på plass. Neste bildet viser et utdrag fra en installasjon.

 Bytt default PIN kode etter ferdig kryptering

Etter at maskin er ferdig installert, og harddisk kryptert med Bitlocker, blir bruker nødt til å skrive inn PIN kode for hver gang maskin starter. Default verdi, satt i løpet av PXE-installasjon, er "1111", men bruker bør endre den straks den logger seg på maskin for første gang. PIN kode endres under "Control Panel->Security->Bitlocker Drive Encryption->Manage Bitlocker (Volume C:)" slik som det er illustrert på bildet under:

 

 Sjekk om Recovery informasjon ble lagret

 Gjenoppretting informasjon er veldig viktig for ethvert krypteringsystem, fordi den gjør det mulig å låse opp data fra disken i tilfelle av primær metode feiler. I løpet av kryptering via PXE, lagres gjenoppretting informasjon (passord) i AD, under maskinobjekktet, og inn i en tekst fil på \\win-sftp.uio.no\bitlocker. Siden det er velldig viktig å ha denne informasjonen, anbefales det at bruker sjekker om den er riktig lagret før maskin utplasseres hos sluttbruker. Man kan sjekke det på en av følgende måter:

  1. Sjekk logg: C:\etc\uio\logs\bitlocker.log. Der på slutten av krypteringsprossesen vises det informasjon lest fra "Event Viewer", som viser om backup til AD var vellykket. I samme loggen kan man se om samme informasjon ble lagret til en fil, og kopiert til SSH server.
  2. Sjekk i AD. Under "Properties" for maskinobjekt i AD (Active Directory Users and Computers, MMC-snap in), ligger det "Bitlocker Recovery" taben, og under denne taben vises det noen oppføringer. Når man klikker på en av disse oppføringene, nederst på feltet dukker det opp noen informasjon bl.a  "Recovery Password" og "Password ID" . De to verdiene brukes for å kjøre "Recovery" på en maskin. Det er også godt å nevne at enhver oppføring som finnes under "Bitlocker Recovery" taben tilhører vanligvis én Volume som ble kryptert med Bitlocker på den maskinen. Ettersom en Volume kan ha flere "Recovery Passwords", kan flere oppføringer (passord) også høre til samme Volume. 
  3. Hvis noen av informasjon ikke er tilgjengelig til deg, ta gjerne kontakt med USIT/SAS/LIPK, og vi skal prøve å finne ut av det.

 Foreløpig eneste anbefalt metode for Bitlocker kryptering

 Foreløpig er kryptering via PXE den eneste anbefalt metoden for kryptering med Bitlocker. Grunnen til det er at vi kun i løpet av PXE installasjon sørger for at gjenoppretting informasjon lagres til flere steder, slik at den blir lett tilgjengelig, ved behov for "Recovery". Hvis du vil kryptere en maskin som også ble installert med PXE, men før Bitlocker ble tilgjengeliggjort i PXE, da anbefales det at du kjører installasjon på nytt, men denne gangen med Bitlocker krysset av for under "Bitlocker" taben i PXE. Samme gjelder for maskiner som av én eller annen grunn må bytte ut gjenoppretting passord eller dekryptere/kryptere på nytt. I mellomtiden kommer vi til å vurdere en løsning som skulle gjøre det mulig å kryptere en ferdig installert maskin manuelt (eller bytte ut passord på en ferdig kryptert maskin), og samtidig få all nødvendig gjenoppretting informasjon på et sikkert og lett tilgjengelig sted. 

Emneord: Bitlocker, Kryptering, Bitlocker kryptering via PXE Av Tor Fuglerud, Marko Andjik
Publisert 12. mai 2010 12:44 - Sist endret 23. okt. 2018 10:05