les nouveautés de bitlocker sous windows 8 et mbam 2.0
DESCRIPTION
MBAM 2.0 est la nouvelle version de la solution d'administration et de supervision pour BitLocker : portail libre-service, intégration SCCM et support de Windows 8. BitLocker sous Windows 8 est amélioré : processus de déploiement simplifié, support des tablettes, déverrouillage par le réseau, etc. Au cours de cette session, nous vous proposons, par l’intermédiaire de démonstrations concrètes, de vous faire découvrir les nouveautés MBAM 2.0 ainsi que les nouveautés BitLocker avec Windows 8.TRANSCRIPT
Les nouveautés de BitLocker sous Windows 8 et MBAM 2.0
Guillaume Aubert,Arnaud Jumelet,Microsoft France
Sécurité
#BitLocker, #MBAM
SEC304
Donnez votre avis !
Depuis votre smartphone, sur : http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
• Les améliorations BitLocker dans Windows 8
• Les nouveautés de MBAM 2.0
Notre agenda pour la session
• Sessions complémentaires
– CLI301 Mécanismes internes de la sécurité de Windows 8 – SEC302 Windows 8 et la sécurité
LES AMÉLIORATIONS BITLOCKER DANS WINDOWS 8
Les technologies de chiffrement
Matériel Logiciel Disque auto-chiffrant eDrives Via un circuit intégré UEFI avec Secure boot
Avant démarrage de l’OS Via le processeur du device Via TPM et/ou UEFI Secure Boot
Après démarrage de l’OS Chiffrement sélective dossier/fichier
Bit
Lock
er
EFS
RM
SB
itLo
cker
• La mise en service est l’étape la plus importante, mais :• L’activation du TPM est complexe pour les IT et les utilisateurs finaux• Le chiffrement initial prend du temps
• Les solutions dans Windows 8 font de BitLocker le meilleur choix:• Auto Provisioning résout la plupart des difficultés liées à l'activation du
TPM• Protection BitLocker instantanée avec les eDrives : Encrypted Hard Drives• Chiffrement rapide des disques durs avec l'option Used Disk Space Only
Encryption
Windows 8 - Améliorations du provisioning
• Windows 8 améliore les performances de BitLocker et supporte les eDrives– Le traitement du chiffrement est déporté vers le hardware– Suppression du temps initial de chiffrement des volumes– Amélioration des performances sur les disques SSD– BitLocker gère les clés – Les systèmes sans Self Encrypting Drives utilisent un
chiffrement logiciel
• Quelques constructeurs: Seagate, Samsung, Crucial, etc.
Support des Self Encrypting Drives (eDrives)
7
• Améliorer l'expérience utilisateur sous Windows 8• Élimine le besoin de posséder ou connaître un secret pour déverrouiller un lecteur
(Connected Standby devices)• Le mode récupération BitLocker est moins fréquent sur les appareils certifiés
Windows 8 (UEFI 2.3.1)• Les appareils sous Windows RT sont automatiquement chiffrés en usine• Les utilisateurs et l'IT ne sont plus mis à contribution lors de l'activation du TPM
(TPM 2.0)
• Sécurité améliorée avec Windows BitLocker• Amélioration anti-hammering de l'ouverture de session Windows sur les appareils
protégés par BitLocker (applicable par GPO et EAS)• Reprise automatique de la protection BitLocker lorsque l'appareil est laissé en
mode de suspension• Utiliser EAS pour contrôler la protection BitLocker (hors domaine et scénario BYOD)
Windows 8 - Expérience améliorée et sécurité
• Manage-bde.exe• De nouvelles options :
-SID, -KeyPackage, -UsedSpaceOnly, -WipeFreeSpace, Synchronous
• L’option TPM n’est plus disponible, il faut passer par PowerShell
• Nouveaux modules PowerShell pour BitLocker et TPM :
Utiliser BitLocker en ligne de commande
• Supporte les serveurs et les scénarios "Server Class Storage"• Support des Storage Area Networks (SAN)• Support des Clusters Windows Server
• Se base sur le protecteur de type SID
• Authentification multi-facteurs pour les serveurs (Windows Server 2012)• Permet l'authentification avec un 2e facteur sur les serveurs• Le protecteur Network s'appuie sur WDS pour fournir ce 2e facteur• Simplifie le processus de mise à jour sur les serveurs
BitLocker- Amélioration pour les serveurs
• Les possibilités et le comportement du Network Protector– Utilise en combinaison avec TPM + PIN– PIN non nécessaire si le boot a lieu quand on est connecté au réseau d’entreprise– PIN nécessaire si le boot a lieu quand on n’est pas connecté au réseau d’entreprise
• Exigences– Client – TPM, UEFI 2.3.1 avec support pour DHCPv4 et DHCPv6 (exigence pour le logon Windows
8), port LAN connecté– Serveur – Windows Server 2012 avec Windows Deployment Services (WDS)
• Processus de boot réseau– Le PC boote et utilise DHCP pour contacter un serveur WDS si une connexion cablée existe– Si le serveur WDS est disponible, le client requiert une clé depuis le serveur WDS ; si non un code
PIN est nécessaire– Le serveur WDS valide le client et envoie une clé de déverrouillage au client à travers le réseau– Le client reçoit la clé et déverrouille le volume de l’OS Windows. Le système boote
• Démo dans la session SEC303 « Windows 8 et la sécurité - Demo Extravaganza »
Nouveau protecteur : Network Protector
11
• Pour le protecteur SID, au moins un contrôleur de domaine sous Windows Server 2012 et une version du schéma 56 (Windows Server 2012)
• Mise à jour du schéma à prévoir pour accueillir les informations de récupération du TPM
• objectClass: msTPM-InformationObject (CN=TPM Devices, DC=…) – msTPM-OwnerInformation– msTPM-SrkPubThumbprint– msTPM-OwnerInformationTemp
• Computer– msTPM-TpmInformationForComputer
Intégration dans Active Directory
Understand and Troubleshoot BitLocker in Windows Server "8" Beta
Pour aller plus loin sur BitLocker
http://www.microsoft.com/en-us/download/confirmation.aspx?id=29032
LES NOUVEAUTÉS DE MBAM 2.0
• Objectifs de MBAM 1.0 :
Qu’est ce que MBAM ?
Simplifier la configuration et le
déploiement
Fournir des rapports
(i.e. audit et conformité)
Réduire les coûts du support
• Objectifs de MBAM 1.0 :
• MBAM 2.0 améliore les fonctionnalités de MBAM 1.0 :
Qu’est ce que MBAM ?
Simplifier la configuration et le
déploiement
Fournir des rapports
(i.e. audit et conformité)
Réduire les coûts du support
Amélioration de la conformité et de la
sécurité
Intégration avec les systèmes existants
(i.e. SCCM)
Réduction des coûts(i.e. portail Self
Service, déploiement
simplifié)
Mode autonome
Active Directory Domain Services &
Group Policy Infrastructure
GPO RecoveryWeb Service
Reporting Web Service
Services Web
Audit & Complianc
e
Bases de données SQL
Reporting Web Site
SSRS
Rapports de
conformité
HelpDesk Portal
Ordinateur client
Self-service Portal
Portails
Self-service Web Service
Recovery
Client MBAM et BitLocker
Admin Web ServicePortails
Services Web
Bases de données
SQL
Rapports de
conformité
Mode intégrée à Configuration Manager
Configuration Manager
Active Directory Domain Services &
Group Policy Infrastructure
GPO RecoveryWeb Service
Services Web
Audit
Base de données SQL
Management Console
SSRS
HelpDesk Portal
Ordinateur client
Self-service Portal
Portails
Self-service Web Service
Recovery
Client MBAM et BitLocker
Admin Web Service
ConfigMgrDatabase
Compliance
Agent ConfigMg
r
• Améliorations de MBAM 2.0– L’architecture recommandée pour MBAM 1.0 varie de 1 à 5 serveurs– L’amélioration des performances et de la montée en charge de
MBAM 2.0 permet une simplification de l’architecture :• Une architecture à 2 serveurs (avec les spécifications recommandées) peut
supporter un environnement de plus de 200 000 clients (MSIT utilise aujourd’hui cette architecture pour tout Microsoft)
• Restrictions restantes– Pas de support de SQL en mode cluster ou d’équilibrage de charge
• Amélioration de VSSWriter : la nouvelle implémentation permet d’effectuer des sauvegardes sans impacter la disponibilité
Options d’architecture
Options d’architecture• 2 serveurs en mode autonome (200 000
clients)
• 3 serveurs en mode intégré à CM (200 000 clients)
Matériel Minimum
Recommandé
Processeur 2,33 GHz
2, 33 GHz ou plus
Mémoire 8 Go 12 Go
Espace disque libre
1 Go 2 Go
Matériel Minimum
Recommandé
Processeur 2,33 GHz
2, 33 GHz ou plus
Mémoire 8 Go 12 Go
Espace disque libre
5 Go 5 Go ou plus
Serveur Web
Serveur SQL
Matériel Minimum
Recommandé
Processeur 2,33 GHz
2, 33 GHz ou plus
Mémoire 4 Go 8 Go
Espace disque libre
1 Go 2 Go
Matériel Minimum
Recommandé
Processeur 2,33 GHz
2, 33 GHz ou plus
Mémoire 4 Go 8 Go
Espace disque libre
5 Go 5 Go ou plus
Serveur Web
Serveur SQL
• Mode autonome et intégré à Configuration Manager– OS Client :
• Windows 7 SP1 Ultimate/Enterprise (x86/x64)• Windows 8 Enterprise (x86/x64)• Windows 8 Windows to Go
– OS Serveur :• Windows Server 2008 R2 SP1 Standard/Enterprise/Data Center• Windows Server 2012 Standard/Enterprise/Data Center
Logiciels supportés
• Mode autonome et intégré à Configuration Manager– Serveur SQL :
• SQL 2008 R2 Standard ou supérieure• SQL 2012 Standard ou supérieure
– System Center Configuration Manager:• Configuration Manager 2007 SP2• Configuration Manager 2012 SP1
Logiciels supportés
DÉMO – PORTAIL SELF-SERVICE
• Estimation de la conformité– MBAM fait respecter les « exigences minimums »– Les composants WMI permettent de faciliter le « debug »
• Flux de chiffrement– MBAM chiffre un volume à la fois– Les lettres de volume sont affichées avant le chiffrement
• Ordinateur Windows 8 sans puce TPM– MBAM permet l’utilisation du protecteur « Mot de passe » pour ces
machines– Support de Windows To Go
Changements du client MBAM
• MBAM v1 (RTM, R1 avec correctifs) vers 2.0– Beta 2 vers 2.0 fonctionne mais nécessite des modifications
manuelles
• Mode autonome vers mode autonome– Mise à niveau sans perte de données : les clés de récupération et
les informations de conformité sont conservées
• Mode autonome vers mode intégré à CM– La mise à niveau conserve les clés de récupération– Les informations de conformité sont conservées mais elles ne sont
pas portées sur Configuration Manager
Mise à jour de MBAM 1.0 vers 2.0 – 3 Options
MBAM 1.0 vers 2.0 – déploiementMise à jour des serveurs• Désinstaller la partie serveur et conserver les bases de
données• Installer la partie serveur et pointer vers les bases de
données existantes• Pour le mode intégré à CM cela inclut l’import des fichiers
MOF
Mise à jour des GPO• Choisir les protecteurs et les options
relatives aux modèles MBAM• Définir les points de connexion, l’intervalle
et la politique d’exception
Déploiement du nouvel agent• Pour le mode intégré à CM cela inclut de
déployer DCM• La conformité utilise la logique « exigences
minimums »
Pas de date exacte mais…
Disponibilité de MBAM 2.0 ?
BitLocker Protection étendue
Intégration dans Windows 8 Pro et Entreprise
Intégration dans Windows To Go, Windows RT et Windows Phone 8
Support des TPM discrets (1.2 et 2.0) et ceux basés sur le firmware (ARM TrustZone; Intel PTT)
Performance Activation de BitLocker avant l’installation de Windows
Support des disques auto-chiffrant (eDrives)
Mise en service rapide avec le chiffrement de l’espace disque utilisé uniquement
Expérience améliorée Déverrouillage par le réseau (améliorer le processus de patching lorsqu’un 2nd facteur est requis)
Modification du mot de passe et du code PIN par un utilisateur standard
Module PowerShell pour administrer BitLocker
Option de récupération en ligne avec SkyDrive (Windows 8 et Windows RT)
3ème génération
MBAM 2.0Intégration
Configuration Manager
Support Windows 8
Self Service
Customer Feedback
Support de Windows 8 EnterpriseSupport de Non-TPM / Windows To GoSupport du « Pre-Provisioning » BitLocker
Utilisateurs sont en mesure de récupérer les clés de récupération depuis un portail (protection par control d’accès)Audit de tous les accès aux clés de récupérationPlus de flexibilité par rapport au prérequis (TDE, SQL Server, …)Amélioration du flux de chiffrement Amélioration des performances et de la montée en charge
Rapports de conformité intégrés à l’environnement CMCompatibilité matériel et sélection via les collections de CMLe client de CM prend en charge la partie « Reporting »
4 ouvrages écrits par 13 Microsoftees
http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
Formez-vous en ligne
Retrouvez nos évènements
Faites-vous accompagner gratuitement
Essayer gratuitement nos solutions IT
Retrouver nos experts Microsoft
Pros de l’ITDéveloppeurs
www.microsoftvirtualacademy.com
http://aka.ms/generation-app
http://aka.ms/evenements-developpeurs http://aka.ms/itcamps-france
Les accélérateursWindows Azure, Windows Phone,
Windows 8
http://aka.ms/telechargements
La Dev’Team sur MSDNhttp://aka.ms/devteam
L’IT Team sur TechNethttp://aka.ms/itteam