Презентация на тему "BitLocker в Windows Server 2008 и Windows Vista SP1" 11 класс

Содержание

• 
  Слайд 1
  

  BitLocker в Windows Server 2008 и Windows Vista SP1: архитектура и варианты применения

  Александр Шаповал

• 
  Слайд 2

  Содержание

  Назначение и особенности технологии BitLocker Архитектура и принципы работы Настройка и восстановление системы

• 
  Слайд 3

  Назначение и особенности

  Предотвращает несанкционированный доступ к данным Обеспечивает полное шифрование всего тома, включая: Файл подкачки, временные файлы и пр. Использует Trusted Platform Module (TPM) v1.2 для хранения ключа и проверки целостности системы на этапе загрузки Поддерживает защиту нескольких томов/устройств Windows Vista SP1, Windows Server 2008

• 
  Слайд 4

  Trusted Platform Module

  Аппаратный модуль (чип) для выполнения криптографических операций Создание, хранение, управление ключами Шифрование, цифровая подпись RSA, SHA-1, RNG Проверяет целостность критически важных компонент системы на этапе загрузки Спецификация версии 1.2: www.trustedcomputinggroup.org

• 
  Слайд 5

  TPM и загрузка ОС

• 
  Слайд 6

  Архитектура TMP

  Регистры хранят хэши различных компонент системы Перед выполнением любой код сначала хэшируется с помощью SHA-1, затем результат сверяется со значением соответствующего регистра Назначение регистров PCR[0], PCR[1] – BIOS и расширения PCR[2], PCR[3] – дополнительные носители PCR[4] – Master Boot Record (MBR) PCR[5] – Partition Table PCR[8] – Boot Sector PCR[9] – Boot Block PCR[10] – Boot Manager PCR[11] – ключ BitLocker PCR[0] PCR[1] PCR[2] PCR[3] PCR[4] PCR[5] PCR[6] PCR[7] PCR[8] PCR[9] PCR[10] PCR[11] PCR[12] PCR[13] PCR[14] PCR[15] PCR (Platform Configuration Registers) – регистры конфигурации платформы

• 
  Слайд 7
  

  Любые дополнительные загрузчики должны запускаться с зашифрованного тома По умолчанию BitLocker использует регистры: 4,8,9,10,11 Включение дополнительных регистров влияет на возможность конфигурации системы Регистры 2 и 3 Любые изменения, включая добавление устройств для чтения смарт-карт или USB-устройств Регистры 0 и 1 Обновление BIOS PCR[0] PCR[1] PCR[2] PCR[3] PCR[4] PCR[5] PCR[6] PCR[7] PCR[8] PCR[9] PCR[10] PCR[11] PCR[12] PCR[13] PCR[14] PCR[15]

• 
  Слайд 8

  Шифрование тома

  Создается ключ, Full-Volume Encryption Key (FVEK), с помощью которого производится шифрование всего тома Разовая длительная операция В дальнейшем нагрузка на систему минимальна FVEK шифруется с помощью Volume Master Key (VMK) VMK защищается способом, определенным настройками и режимом работы системы

• 
  Слайд 9
  

  Hello, World! (Открытый текст) Full-VolumeEncryption Key (FVEK) Производный ключ сектора Диффузор(“Elephant”) Алгоритм AES Uryyb, Jbeyq!(Шифрованный сектор)

• 
  Слайд 10

  Структура тома BitLocker

  В полях метаданных в том числе хранятся FVEK и VMK BitLocker Boot Sector BitLocker Boot Sector’ Шифрованные данные Копии метаданных BitLocker Указатели на основную копию метаданных Указатели на другие копии метаданных

• 
  Слайд 11

  Режимы работы

  Временное отключение BitLocker Изменение конфигурации системы Перенос жесткого диска, обновление BIOS и пр. Том остается зашифрованным Незашифрованный ключ (Clear Key) для доступа к VMK Аутентификация Только TPM TPM + ключ запуска (Startup Key) TPM + PIN Только ключ запуска Проверка целостности системы при загрузке отсутствует ! Восстановление Пароль восстановления (Recovery Password) Ключ восстановления (Recovery Key)

• 
  Слайд 12

  Поиск ключей при старте

  Clear key Recovery Key или Startup Key TPM TPM + Startup Key TPM + PIN Recovery Password Recovery Key

• 
  Слайд 13

  Защита ключей

• 
  Слайд 14

  Системные требования

  BIOS должен поддерживать USB-устройства Наличие в системе TPM v1.2 Если нет TPM, обязательно использование ключа запуска на съемном USB-устройстве Операционная система Windows Vista Ultimate Windows Vista Enterprise Windows Server 2008 Жесткий диск Минимум два раздела Раздел с ОС (Boot Volume), NTFS Активный раздел загрузки (System Volume), NTFS, >= 1.5 ГБ

• 
  Слайд 15

  Шифрование нескольких томов

  Доступно в Windows Vista SP1 и Windows Server 2008 Поддерживается произвольное количество любых томов за исключением: Активного раздела Раздела запущенной в настоящий момент ОС Возможно автоматическое монтирование томов с данными VMK каждого тома защищается незашифрованным ключом (auto-unlock key, AUK) AUK хранятся в реестре (на зашифрованном томе) Том ОС должен быть зашифрован

• 
  Слайд 16

  Настройки BitLocker

  Панель управления Инициализация BitLocker Управление ключами Сценарии WMI Manage-bde.wsf Групповые политики

• 
  Слайд 17

  Настройка технологии BitLocker

  demo

• 
  Слайд 18

  Восстановление системы

  Когда может потребоваться восстановление: Замена материнской платы Обновление BIOS Перенос жесткого диска на другой компьютер Пользователь забыл PIN-код … При инициализациитребуется включить как минимум одну опцию восстановления Данные восстановления можно сохранить в AD Опции восстановления Пароль восстановления (Recovery Password) 48 цифр, при восстановлении набираются с помощью функциональных клавиш (F0 – F9) Ключ восстановления (Recovery Key) Сохраняется на USB-устройстве

• 
  Слайд 19

  Защита данных в Windows

  IPSec BitLocker S/MIME EFS RMS-IRM

• 
  Слайд 20

  Дополнительная информация

  BitLocker FAQ Windows BitLocker Drive Encryption step-by-step guide Windows Vista Trusted Platform Module Services step-by-step guide Windows BitLocker Drive Encryption Design and Deployment Guides Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information Deploying BitLocker with the Data Encryption Toolkit for Mobile PCs BitLocker Drive Encryption Technical Overview Implementing BitLocker on Servers http://www.microsoft.com/Rus/events/Webcasts/OnDemand.mspx

• 
  Слайд 21

  Вопросы

  http://blogs.technet.com/ashapo http://www.microsoft.com/Rus/events