Практические рекомендации по настройке Vista BitLocker

В первой части этой статьи мы рассмотрели, как вы можете использовать BitLocker, а также некоторые подводные камни, которых следует опасаться, перед тем как воспользоваться его возможностями. Во второй части мы рассмотрим BitLocker с точки зрения Active Directory, а также взглянем на BitLocker и настройку TPM с помощью политики групп Group Policies, а также как осуществлять восстановление ключей.

Ограничения

Я думаю, что можно смело сказать, что в среде, использующей в своей основе Active Directory, BitLocker является наиболее часто используемым сценарием. Благодаря использованию BitLocker в среде Active Directory, вы получаете все преимущества BitLocker вместе с безопасностью, масштабируемостью и работоспособностью, которыми обладает Active Directory.

Но, перед тем, как начать, вы должны знать о некоторых ограничениях:

1. Компания Microsoft еще не выпустила свой комплект BitLocker Deployment Kit, поэтому, к несчастью, мы не можем предоставить вам официальные ссылки на сценарии, которые мы использовали в этой статье
2. Также, мы еще не видели официальный BitLocker, который скоро должен быть выпущен, но используемые нами сценарии были предоставлены компанией Microsoft. Однако, обратите внимание, что названия и номера сценариев, представленных в этой статье, могут измениться к моменту выхода комплекта BitLocker Deployment Kit
3. По мере того, как компания Microsoft выпустит различные сценарии и статьи, в которые мы упомянули в этой статья, информация, содержащаяся в этой статье, будет обновлена в соответствии с появившимися изменениями. Мы уведомим вас об изменениях в этой статье с помощью ваших блогов, поэтому будьте готовы!

Необходимые условия

Перед тем, как мы приступи, давайте также рассмотрим на условия, которые должны быть соблюдены, для подключения контроля над BitLocker из Active Directory.

Вы должны расширить схему в Active Directory

• Если вы хотите контролировать информацию о восстановлении TPM из Active Directory, то вы должны изменить права для объекта Computer class (класс компьютера) в Active Directory
• Расширение схемы Active Directory для BitLocker поддерживается только для контроллеров домена, которые работают под управлением операционных систем Windows Server 2003 с установленным пакетом обновления SP1 или выше, Windows Server 2003 R2 и Windows Server “Longhorn”
• BitLocker можно запустить лишь на Windows Vista Enterprise, Windows Vista Ultimate и Windows “Longhorn” Server

Примечание: Во время написания этой статьи пакет обновления Service Pack 2 для операционной системы Windows Server 2003 внес изменения в RTM. SP2 не включает в себя обновления схемы для BitLocker. Вам по-прежнему необходимо будет запустить сценарий для расширения схемы BitLocker schema extension script, о котором рассказывается в этой статье после того, как вы установите пакет обновления SP2 для вашей операционной системы Windows Server 2003.

Необходимые сценарии

Пришло время приступить к работе, поэтому давайте рассмотрим файлы, которые нам понадобятся для интеграции BitLocker с Active Directory на операционной системе Windows Server 2003:

Следующие сценарии необходимы для того, чтобы ваша Active Directory на операционной системе Windows Server 2003 смогла работать с BitLocker.

1. BitLockerTPMSchemaExtension.ldf
2. Add-TPMSelfWriteACE.vbs

Используйте следующие файлы для проверки конфигурации вашего BitLocker в Active Directory. Один из них мы будем использовать далее в нашей статье в одном из примеров.

1. List-ACEs.vbs
2. Get-BitLockerRecoveryInfo.vbs
3. Get-TPMOwnerInfo.vbs

Расширение схемы в Active Directory

После того, как вы соблюли все необходимые условия и проверили сценарии, вы готовы к расширению вашего Active Directory таким образом, чтобы информация о BitLocker и информация о восстановлении TPM recovery information хранилась в Active Directory.

Это работает таким образом. Информация о восстановлении BitLocker recovery information хранится в дочернем объекте для объекта Computer в Active Directory, что значит, что объект Computer служит в качестве контейнера для одного или нескольких объектов BitLocker, связанных с соответствующим объектом Computer. Причина, по которой я упомянул один или несколько объектов BitLocker, заключается в том, что существует возможность иметь более одного пароля, связанного с компьютером с BitLocker. Например, если вы зашифровали более одного тома на одном компьютере.

Название объекта для BitLocker recovery object имеет фиксированную длину в 63 символа, и содержит следующую информацию:

<Object Creation Date and Time (дата и время создания объекта)><Recovery GUID>

Это важно знать, если у вас с одним компьютером связано более одного ключа восстановления (recovery key), и вы по каким-либо причинам решите удалить один из ключей, например, по причине безопасности.

Но на этом все не заканчивается. В объекте Computer хранится гораздо больше информации. Если вы являетесь счастливым обладателем компьютера с чипом TPM chip (Trusted Platform module) version 1.2, то вы также можете хранить информацию о восстановлении TPM в Active Directory. Однако, обратите внимание, что для одного компьютера можно присвоить только один пароль TPM. Когда происходит инициализация TPM, или когда вы меняете ваш пароль TPM, то он хранится в качестве атрибута того же самого объекта Computer, который используется BitLocker

Давайте приступим к расширению схемы для объектов и атрибутов TPM и BitLocker.

1. Убедитесь, что вы зашли на контроллер домена под именем пользователя, который является членом группы “Schema Admins” в Active Directory. (Обычно, встроенная учетная запись администратора является также по умолчанию членом этой группы)
2. Убедитесь, что вы подключились к контроллеру домена в вашей Active Directory, который содержит роль Schema Master FSMO role
3. В этой статье, я используют домен Active Directory domain под названием domain.local. Помня эту информацию, я запустил следующую команду (смотрите рисунок 1): ldifde -i -v -f BitLockerTPMSchemaExtension.ldf -c "DC=X" "dc=domain,dc=local" -k -j . Использование параметра -k позволит избежать появления сообщения об ошибке "Object Already Exists", если часть схемы уже существует. Использование параметров -j . (да, точка является также частью параметра) позволяет сохранить улучшенный файл журнала в текущей рабочей директории, что в нашем конкретном случае C:\LDIF.LOG

Рисунок 1

4. Убедитесь, что назначены все расширения схемы, для этого вам необходимо проверить файл журнала LDIF перед тем, как вы продолжите.
5. Следующее, что нам необходимо сделать, это задать разрешения для объектов BitLocker и информации о схеме восстановления TPM recovery information schema. На этом этапе мы добавим контрольную точку доступа Access Control Entry (ACE), что позволит нам делать резервные копии TPM recovery information в Active Directory. Запустите следующую команду (смотри Рисунок 2): cscript Add-TPMSelfWriteACE.vbs

Рисунок 2

И что теперь. Теперь вы расширили схему в Active Directory, и теперь она готова к поддержке BitLocker и TPM.

Теперь вы готовы изменить необходимые настройки политики группы для BitLocker и чипа TPM chip (если ваш компьютер поддерживает эту возможность).

Примечание: За более подробной информацией по настройке объектов политики групп Windows Vista Group Policy Objects (GPO) в домене, вы можете обратиться к следующим статьям на нашнем сайте:

• http://www.winsecurity.ru/articles/Managing-Windows-Vista-Group-Policy-Part1.html
• http://www.winsecurity.ru/articles/Managing-Windows-Vista-Group-Policy-Part2.html
• http://www.winsecurity.ru/articles/Managing-Windows-Vista-Group-Policy-Part3.html

1. С компьютера с операционной системой Vista вы входите под учетной записью из домена, у которой есть права на изменение политики группы
2. В командной строке поиска Vista Start | Search наберите GPMC.MSC и нажмите на клавишу Enter
3. Есть несколько настроек политик группы, которые вы можете настроить, что отображено на рисунке 3, но одна из настроек, которую вы точно захотите изменить – это настройка, которая позволяет создавать резервную копию BitLocker в Active Directory:
   • Перейдите к Computer Configuration (конфигурация компьютера)> Administrative Templates (административные шаблоны)> Windows Components (компоненты)> BitLocker Drive Encryption
   • Дважды щелкните на Turn on BitLocker backup to Active Directory Domain Services
   • Выберите радио кнопку Enabled (включено)

Рисунок 3

4. Если компьютеры клиентов поддерживают специальный чип compliant TPM chip, то вы можете захотеть включить настройку политики группы, которая позволяет вашим клиентам делать резервную копию TPM recovery information в Active Directory (смотри Рисунок 4):
   • Перейдите Computer Configuration (конфигурация компьютера)> Administrative Templates (административные шаблоны)> System (система)> Trusted Platform Module Services
   • Дважды щелкните на Turn on TPM backup to Active Directory Domain Services
   • Выберите радио кнопку Enabled (включено)

Рисунок 4

Проверка восстановления ключа в Active Directory

Последнее, что я сделаю – это покажу вам, как осуществлять шифрование централизованно, тогда мы также сможем убедиться, что была создана резервная копия ключа BitLocker recovery key, который используется клиентским компьютером Vista, который храниться в Active Directory. В нашем примере, мы используем утилиту командной строки BitLocker command line utility (manage-bde.wsf).

Необходимо также отметить, что если вы хотите использовать графический интерфейс при настройке BitLocker и чипа TPM chip, то восстановление ключа по-прежнему будет поддерживаться. До тех пор, пока компьютер с операционной системой Vista является членом домена, который удовлетворяет необходимым требованиям, которые мы упоминали ранее, и пользователь, который выполняет работу, является администратором домена, то восстановление ключа пройдет тихо в фоновом режиме без вмешательства пользователя.

Шифрование BitLocker с поддержкой TPM

1. Из меню Пуск Vista Start Menu перейдите к ярлыку командной строки Command Prompt. Щелкните правой кнопкой мыши на иконке и выберите Run as administrator (запустить от имени администратора)
2. Введите следующую команду: cscript manage-bde.wsf –on –recoverypassword C:
3. Следуйте инструкциям на экране для запуска процесса шифрования (смотрите Рисунок 5)

Рисунок 5

5. В то время, как происходит шифрование тома, мы можем проверить, была ли создана резервная копия ключа восстановления BitLocker recovery key во время резервного копирования, набрав следующую команду: cscript GET-BitLockerRecoveryInfo.VBS

Обратите внимание на информация, представленную на рисунке 6 ниже соответствует ключу восстановления, который мы создали на предыдущем этапе, который представлен на рисунке 5.

Рисунок 6

Заключение

В этой статье мы попытались объединить информацию из руководств и статей от компании Microsoft, и показали вам различные подходы для использования основных возможностей BitLocker. Эти две статьи ни в коей мере не покрыли все области. Их очень много. Но мы попытались воодушевить вас на получение информации, которая поможет вам продвинуться дальше и изучить все (а также некоторые скрытые) возможности BitLocker.

BitLocker без сомнения превосходный инструмент для шифрования жесткого диска. У него много недостатков, таких как слабая предварительная аутентификация и недостаточная поддержка для многофакторной аутентификации (multi-factor authentication) (кроме поддержки TPM и USB ключа), а также BitLocker немного сложно настраивать. Если вам нужна лучшая многофакторная поддержка, то операционная система Vista поддерживает даже полное шифрование сервера, и тогда вам лучше использовать такие альтернативные инструменты, как SecureDoc от компании WinMagic. Но BitLocker это по-прежнему большой шаг вперед, по сравнению с тем, что мы видели у компании Microsoft и будет очень интересно увидеть следующую версию BitLocker, которая будет готова к выпуску в конце года.