Embed Size (px)
DESCRIPTION
MBAM est la nouvelle solution d’administration et de supervision pour BitLocker. Au cours de cette session, vous apprendrez qu’il est possible de réduire les coûts d’administration grâce à la nouvelle console Web et à la fonctionnalité de mot de passe à usage unique. De plus, vous verrez comment simplifier votre processus de déploiement tout en améliorant la supervision grâce aux rapports de conformité.
Citation preview
palais des
congrès
Paris
7, 8 et 9
février 2012
07/02/2012 Arnaud JUMELET Consultant sécurité - CISSP Microsoft France
Gérer le chiffrement de vos
disques en entreprise avec
MBAM (CLI302)
Le poste de travail en 2012
Fixe / Portable / Virtuel / Tablette Connecté : Wifi, 3G,... Avec du stockage local / dans le SI / dans le Nuage Avec des applications locales / distantes / virtualisées Avec des périphériques complémentaires
Protéger les données stockées lorsque le
poste est éteint
BitLocker et BitLocker to Go
2ème génération
Facile à utiliser
Intégration dans Windows 7 Entreprise
Mode maintenance
Configuration centralisé
GPO
Sécurité & Performance
Certifié EAL 4+ et FIPS 140-2
Contrôle d’intégrité pré-boot : TPM
Transparent, sans impact pour l’utilisateur
Récupération des données
Mot de passe de récupération
(Déplacement du disque, code PIN oublié)
Agent de récupération des données
Chiffrement initial lors de l’activation de BitLocker
Cela prend du temps, mais seulement lors de l’activation de BitLocker
Processus en tâche de fond : support des arrêts machines.
Touche chaque secteur d'un volume de stockage
Prend environ 1 min pour chiffrer 1 Go
Lors du primo-chiffrement, la mise en veille et l’hibernation automatique du plan d’alimentation sont désactivées.
Scénario : banc d’installation.
Primo-chiffrement BitLocker
BitLocker et puce TPM : 3 étapes
Operating System Volume
System
Mot de passe de récupération
Agent de récupération
TPM Agent de
récupération Mot de passe
de récupération
SRK +
PCR
VMK FVEK
Protecteurs OS
1 1
1
2 3
TPM
Les lecteurs (OS) et (DATA) sont protégés par BitLocker.
L’ordinateur démarre.
Le lecteur (OS) se déverrouille :
automatiquement (mode TPM)
ou bien manuellement après la saisie d’un code PIN (mode TPM + PIN).
Le lecteur (DATA) est configuré pour un déverrouillage automatique.
De ce fait le fait de déverrouiller (OS) entraine le déverrouillage automatique du lecteur (DATA).
Volume de données
auto-unlock
TPM BIOS MBR, Boot
Sector, Boot Block
Boot Manager
Os Loader Windows 7
Détection des attaques pre-boot:
bootkits
BitLocker, par défaut, utilise les mesures des PCR : 0,2,4,5,8,9,10,11
TPM BIOS MBR, Boot
Sector, Boot Block
Live CD Os Loader
Lors d’une opération non planifiée, écran mode de récupération
Déplacement du disque dur
Composant pre-boot modifié (sans faire Suspend & Resume)
Code PIN oublié
Mot de passe de récupération 48 chiffres : 8 blocs de 6 chiffres
Lors de la saisie, chaque bloc doit être validé avant de passer au suivant.
Pratique!
Mode de récupération
BitLocker & BitLocker To Go
Volume
Protecteurs
Reprendre Suspendre
Déverrouiller OS
Fixe Amovible
Identifiant
GPO
Ce que les entreprises pensent de BitLocker
Microsoft BitLocker Administration and
Monitoring
Composants MBAM
Serveur MBAM
MBAM Web Services
MBAM Client
Jusqu’à 21,000 clients sur 1 seul serveur MBAM IIS + SQL Two Dual Core XEON 2.40 GHz | 12 GB Ram
Archi. 2 serveurs : jusqu’à 55,00 clients Archi. 3 serveurs : jusqu’à 110,00 clients Archi. 4 serveurs : jusqu’à 135,00 clients
Qu’est ce que MBAM ?
Réduit la complexité du déploiement de BitLocker lors ou indépendamment du déploiement de Windows 7 et vous permet de contrôler quels postes sont chiffrés
L’assistance peut accéder à une page web sécurisée pour facilement obtenir les clés de recouvrement et les utilisateurs standards peuvent facilement commencer un processus de chiffrement ou changer leur code PIN sans appeler le support
Des rapports prêts à l’emploi permettent de connaitre la conformité de votre organisation avec vos politiques de chiffrement BitLocker
Des stratégies de groupe supplémentaires pour configurer et
activer BitLocker et BitLocker To Go
L’agent MBAM vérifie toutes les 90 minutes les paramètres de la
politique; les modifications sont appliquées immédiatement.
Les organisations peuvent cibler un matériel spécifique ou bien un
groupe de machines
Utilise Active Directory (conteneur OU) pour cibler via GPO les
machines cibles qui doivent être chiffrées
Simplifie le déploiement de BitLocker
Aucune extension de schéma Active Directory requise
Activation via GPO
Simplifie l’activation de la TPM et la saisie du code PIN
Simplifie le déploiement
Les rapports indiquent l'état de
conformité d'une organisation, d’un
groupe de machines ou bien d’un
ordinateur
D’autres rapports de conformité
personnalisés peuvent être
créés via SQL Server Reporting
Les clés de récupération BitLocker
sont stockées dans une base de
données chiffrée
Audite les personnes qui
accèdent aux informations de
récupération BitLocker
Améliore la conformité et le
reporting
Site Web pour le support téléphonique
Des services Web sont disponibles pour créer ou s’intégrer dans un autre portail.
Rotation du mot de passe de récupération
Simplifie l’étape d’activation de la puce TPM
Les utilisateurs peuvent effectuer des tâches de base sans avoir les droits d'administrateur
Modifier le code PIN, Activer BitLocker
Réduit les coûts de support
Expérience Utilisateur
Utilisateur standard
Activation automatique du chiffrement
L’agent MBAM envoie automatiquement au serveur MBAM
les informations de récupération BitLocker
Il suffit de paramétrer l’agent MBAM par GPO
La politique est prise en compte dynamiquement
Activation du chiffrement
Prise en compte des protecteurs comme TPM +PIN.
L’utilisateur est invité à choisir un code PIN
respectant certains critères
Migration vers MBAM
Protection dynamique
Point de vue Administrateur
Mot de passe de récupération
55BC686B
55BC686B
55BC686B
Gestion du matériel
4 types de rapports
Rapports
Rapports
Synthèse
MBAM est la nouvelle solution d'administration et de supervision pour BitLocker.
Au cours de cette session, nous avons montré :
qu'il est possible de réduire les coûts d'administration grâce à la nouvelle console Web, à l’agent MBAM et à la fonctionnalité de mot de passe à usage unique.
que le processus de déploiement est simplifié : aucune extension de schéma requise sur Active Directory, activation automatique par GPO.
Enfin, la supervision est amélioré grâce aux rapports de conformité.
Microsoft BitLocker Administration and Monitoring
Questions ?
Mot de passe TPM
MBAM est un module de MDOP 2011R2.
Microsoft Desktop Optimization Pack
