Stal som sa MVP pre oblasť Enterprise Security!

untitled

 

Dear Boris Ulik,
Congratulations! We are pleased to present you with the 2012 Microsoft® MVP Award! This award is given to exceptional technical community leaders who actively share their high quality, real world expertise with others. We appreciate your outstanding contributions in Enterprise Security technical communities during the past year.

 

Tak takýto e-mail som dostal … Je to skvelý pocit a radosť. Smile Jupiiii !!! Smile

A teraz hor sa do ďalšej práce!

 

Boris.

Inštalácia System Center Configuration Manager 2012 (RC)

System Center Configuration Manager je úžasný nástroj. A keďže je tu už Release Candidate pre verziu 2012, poďme sa pozrieť na jeho inštaláciu.

Keďže pôjde o inštaláciu v demo prostredí, všetky komponenty budú nainštalované na jednom počítači. Použitý operačný systém je Windows Server 2008 R2 (Core verzia nie je podporovaná).

 

Prerekvizity

Active Directory doména – System Center Configuration Manager tvorí niekoľko rôznych rolí. Tá primárna, tzv. “Site System” rola, musí bežať na 64bitovom operačnom systéme (Windows Server 2008 R2 napríklad), ktorý je členom domény.

PKI – SCCM servery (teda tie systémy, ktoré prevádzkujú niektorú z možných rolí), ako aj klienti potrebujú certifikát, ktorý je určený pre Server Authentication / Client Authentication. Viac info tu.

 

1. Nainštalujeme doplnky systému:

   – Background Intelligent Transfer Service (BITS) (potvrdíme inštaláciu IIS role)

   – Remote Differential  Compression

features-01

 

V rámci inštalácie IIS servera pridajte k preddefinovaným komponentom tieto:

   – Application Development \ ASP.NET

   – Application Development \ ASP (pre SQL Server Reporting Services)

   – Application Development \ ISAPI Filters

   – Security \ Windows Authentication

   – IIS 6 Management Compatibility \ IIS 6 WMI Compatibility

 

features-02 features-03

 

2. Následne nainštalujeme .NET Framework 3.5.1

   – .NET Framework 3.5.1. Features \ .NET Framework 3.5.1 + WCF Activation

 

features-04

 

3. Z download stránky stiahneme a nainštalujeme .NET Framework 4.0 (dotNetFx40_Full_x86_x64.exe).

 

features-05

 

4. Nainštalovanému webovému serveru priradíme certifikát pre HTTPS:

   – Spustíme IIS Manager konzolu, prejdeme na “Default Web Site” a v pravej časti zvolíme “Bindings..”, “Add”, HTTPS … OK

 

iis-01 iis-02

 

5. Web Server štandardne blokuje niektoré typy prípon či názvy priečinkov, čo by mohlo spôsobovať problémy pri práci so System Center Configuration Manager. Otvoríme preto súbor

%SystemRoot%\System32\inetsrv\config\applicationHost.config

Tu vyhľadáme sekciu <requestFiltering> a tie prípony, ktoré ktoré budeme potrebovať, povolíme –

allowed = “false” zmeníme na allowed = “true”

 

iis-03

 

V sekcii <hiddenSegments> zmažeme tie riadky záznamov, ktoré chceme povoliť.

 

6. Nainštalujeme SQL Server 2008 R2 (nie EXPRESS edíciu!).

   – Windows Firewall nemusím konfigurovať, SQL a SCCM budú oba bežať lokálne.

   – Stačí nainštalovať “Database Engine Services”, “Reporting Services” a “Management Tools”

   – Keďže SQL Server bude slúžiť len SCCM, ponecháme “Default instance”

 

sql-01 sql-02 sql-03

 

7. Povolíme TCP/IP protokol pre MSSQLSERVER:

   – Spustíme SQL Server Configuration Manager – SQL Server Network Configuration – Protocols for MSSQLSERVER – TCP/IP > Enable, a následne reštart SQL Server služby (SQL Server Services – SQL Server).

 

sql-06 sql-07

 

8. Nakonfigurujeme limit pre SQL server pre pamäť RAM. Keďže tento systém nie je dedikovaným SQL serverom, obmedzíme SQL serveru využitie všetkej pamäte.

   – Spustíme SQL Server Management Studio – “Properties” na “localhost” – sekcia “Memory” – Maximum server memory

 

sql-04 sql-05

 

9. Rozšírenie schémy Active Directory (nepovinné, odporúčané).

   – Na doménovom radiči, ktorý je zároveň FSMO Schema Master sa prihlásime ako užívateľ s právami “Schema Admins”, spustíme príkazový riadok s navýšenými právami a z inštalačného média SCCM 2012 z priečinka .\SMSSETUP\BIN\X64 spustíme nástroj “extadsch.exe”.

 

ad-01

 

   – Následne vytvoríme “System Management” kontajner v Active Directory a tomu počítaču, ktorý bude plniť rolu “Site System”, dáme na tento kontajner právo “Full Control”, aby sme zabezpečili publikovanie informácií o SCCM do AD:

ADSIEdit > “Default naming context” – CN=SYSTEM,DC=domain – New Container “System Management” – SCCM Computer Account > “Full Control on this object and all descendant objects”

 

ad-02 ad-03 ad-04 ad-05 ad-06 ad-07 ad-08 ad-09

 

System Center Configuration Manager

Teraz, keď je všetko pripravené, môžeme pristúpiť k samotnej inštalácii SCCM 2012.

 

sccm-01 sccm-02 sccm-03 sccm-04

 

   – Inštalátor vyžaduje aktualizované súbory na inštaláciu. Buď ich necháme stiahnuť teraz, v rámci inštalácie (cca. 250 MB):

 

sccm-05a

sccm-06

 

   – Alebo ich už máme stiahnuté vopred, a stačí na ne odkázať (stiahnuť vopred sa dajú pomocou nástroja “setupdl.exe”, ktorý sa nachádza na inštalačnom médiu SCCM 2012 v priečinku .\SMSSETUP\BIN\X64):

 

sccm-05b

 

   – Pokračujeme v inštalácii:

 

sccm-07 sccm-08  sccm-09 sccm-10 sccm-11 sccm-12 sccm-13 sccm-14 sccm-15 sccm-16

 

   – Pred spustením samotnej inštalácie prebehne ešte kontrola na všetky prerekvizity. Kliknutím na príslušný nález sa v spodnej časti zobrazí popis potenciálneho problému. Ak je všetko ako chceme, spustíme inštaláciu:

 

sccm-17 sccm-18 sccm-19

 

Hotovo! System Center Configuration Manager 2012 Release Candidate je nainštalovaný.

 

Boris.

Creator / Owner vs. Owner Rights

Operačný systém Windows používa pri riadení prístupu k objektom nielen nadefinované oprávnenia, teda záznamy explicitne uvedené na tzv. ACL – Access Control List, ale existuje tu aj inštitút Creator / Owner. Táto špeciálna systémová identita má implicitne nadefinované práva Read Permissions (READ_CONTROL) a Change Permissions (WRITE_DAC). V praxi to potom znamená, že hoci bežnému užívateľovi nadefinujete len obmedzené práva, tento užívateľ, ak je Creator (=autor, teda “vytvoriteľ” daného súboru) alebo Owner (=majiteľ – každý autor je samozrejme aj majiteľ, ale vlastníctvo môže člen lokálnej skupiny Administrators zmeniť), môže on sám, bežný užívateľ, meniť oprávnenia prístupu k danému objektu. Nepomôže ani explicitne pridelené právo DENY na Read Permissions a Change Permissions – Creator / Owner v tejto situácii “prebíja” aj priamo pridelený zákaz. Tento prístup neplatí len pre súborový systém, ale všade tam, kde majú objekty svoj ACL a prístup k nim je riadený prostredníctvom pridelených práv (napríklad aj objekty v Active Directory). Mnohí administrátori sa preto sťažovali, že ak chcú užívateľovi SKUTOČNE odoprieť prístup k objektu, nestačí len odobrať práva, ale je nutné odobrať aj vlastníctvo. To často nie je jednoduchý úkon, a niekedy priam až nežiaduci krok – veď vlastníctvo súboru sa uvažuje aj pri iných službách, napr. pri NTFS kvóte, pri sledovaní pôvodu súborov a pod.

Microsoft na túto problematiku zareagoval vytvorením nového subjektu s názvom OWNER_RIGHTS (SID S-1-3-4). Tento subjekt ale poznajú len operačné systémy Windows Vista a novšie – inými slovami, nie je použiteľný pre Windows XP alebo Windows Server 2003.

V praxi to potom znamená, že ak má objekt vo svojom ACL (presnejšie v svojom DACL, teda v tej časti ACL, ktorú nazývame Discretionary Access Control List) uvedený tento nový SID, a tento objekt (napr. súbor na pevnom disku) sa nachádza v novom operačnom systéme (teda Windows Vista alebo novšom), tento operačný systém ignoruje oprávnenia člena Creator / Owner skupiny a riadi sa právami definovanými pre Owner Rights subjekt.

Ak teda do DACL súboru vložím skupinu Owner Rights a nedám jej žiadne práva (tým nemyslím, že jej definujem práva DENY – to nie, skrátka tomuto SIDu nepridelím žiadne práva, teda ani ALLOW, ani DENY), tak operačný systém bude ignorovať právo člena Creator / Owner skupiny na Read Permissions a Change Permission a namiesto toho odoprie majiteľovi akýkoľvek prístup k objektu.

POZOR – ak má užívateľ práva na objekt prostredníctvom akéhokoľvek iného SIDu uvedeného v DACL objektu, samozrejme tieto práva mu zostávajú – subjekt OWNER_RIGHTS slúži IBA na potlačenie práv toho, kto je autor alebo majiteľ (teda Cretor / Owner) objektu.

Taktiež je potrebné si uvedomiť, že tento nový SID poznajú len nové operačné systémy – teda Windows Vista a novšie. Čiže ak používam napríklad Windows 7 ako klienta a Windows Server 2003 ako súborový server, tak ani priamo na serveri, ani z Windows 7 neviem tento SID subjektu OWNER_RIGHTS zapísať do DACL súborov nachádzajúcich sa na Windows Server 2003 (v zdieľaných priečinkoch). Aj keď by ste ho tam možno preniesli pomocou nástroja robocopy.exe /copy:, alebo nástrojom icacls.exe (icacls.exe /save na export DACL z objektu na Windows 7, na serveri potom icacls.exe /restore na “obnovu” DACL), i tak by nevideli žiadny efekt. Je potrebné si uvedomiť, že tento SID starší operačný systém (konkrétne jeho LSA – Local Security Authority) nepozná a teda nevie uplatniť.

 

Boris.

Konferencia ShowIT

Opäť raz sa blíži koniec roka, opäť je tu ShowIT! 14.11. – 16.11. 2011 sa bude v Bratislave konať najväčšia IT konferencia na Slovensku, kde aj tento krát budem mať tú česť prednášať na rôzne témy … A že tých oblastí, ktoré pokryjeme, bude dosť! Príďte a posúďte sami Smile. Prihlásiť sa môžete na stránke www.showit.sk.

 

showit

 

Boris

BitLocker

BitLocker šifruje obsah diskových oddielov (partícií), pričom jeho primárnym cieľom je šifrovať obsah tej partície, kde sa nachádza operačný systém. Predstavuje  nástroj na ochranu operačného systému v čase, keď je tento operačný systém vypnutý, a teda predstavuje iba “hromadu” súborov na disku. Je tak zaujímavým riešením všade tam, kde existuje reálne riziko, že k danému počítaču môže získať fyzický prístup aj neoprávnená osoba – teda napríklad notebooky alebo servery na pobočkách, kde nie je možné ich fyzicky zabezpečiť vo vyhradenej miestnosti, atď.

 

Dostupnosť

BitLocker je obsiahnutý LEN v edíciách ENTERPRISE a ULTIMATE klientskeho operačného systému Windows 7. Nachádza sa taktiež na serverovom operačnom systéme Windows Server 2008 R2 (plne grafická, ako aj tzv. “core” verzia inštalácie), tu je však v podobe doplnkového komponentu, ktorý je potrebné najprv nainštalovať pomocou grafického správcu “Server Manager” alebo použitím príkazu:

OCSetup.exe BitLocker

 

Pozor, je dôležité dodržať veľké a malé písmená!. Inštalácia môže vyžadovať reštart operačného systému.

 

Prerekvizity

Okrem podporovanej edície / verzie operačného systému je potrebné mať na pevnom disku vytvorené dve partície, resp. mať na pevnom disku dostatok voľného priestoru pre vytvorenie druhej partície.

Keď BIOS skončí POST procesy, zo zoznamu BOOT zariadení načítava informáciu odkiaľ “štartovať” – či z pevného disku alebo z CD a pod. Na tomto zariadení potom musí byť kód, ktorý BIOS dokáže spracovať. Nuž a v prípade, že by mal BIOS príkaz bootovať z pevného disku a ten by bol komplet celý zašifrovaný, nastal by pochopteľne problém.

Operačný systém Microsoft Windows 7 a Microsoft Windows Server 2008 R2 počas inštalácie automaticky vytvoria dve partície – prvá partícia má 100 MB a je označená ako aktívna (v Microsoft terminológii ju voláme SYSTEM partition). Tá druhá partícia potom typicky využíva ostatnú voľnú kapacitu disku a sem sa inštaluje samotný operačný systém (túto partíciu potom voláme BOOT partition).

Systémová partícia (teda tá 100 MB, označená ako aktívna) obsahuje boot sektor a zavádzač OS – v prípade Windows 7 sa nazýva Boot Manager (v prípade Windows XP / 2003 to bol NTLDR). Okrem samotného zavádzača OS tu je aj databáza nainštalovaných OS – v prípade operačného systému Windows 7 je to súbor BCD (Boot Configuration Database); predošlé verzie operačného systému Windows používali súbor BOOT.INI. (Mimochodom, aj preto hovoríme o multi-boot PC, a nie o multi-system PC – pretože boot partícií môže byť viac, kým systémová partícia je zvyčajne len jedna.)

Takže – dve partície. Prvá partícia (SYSTEM) obsahuje zavádzač OS a nie je šifrovaná – aby bolo možné zaviesť operačný systém. Druhá partícia (BOOT) obsahuje zavádzaný operačný systém a táto partícia je šifrovaná pomocou technológie BitLocker.

Dôležitou informáciou zrejme tiež bude, že BitLocker nie je podporovaný na diskoch pripojených pomocou technológie iSCSI alebo Fiber Channel. Taktiež nie sú podporované tzv. “dynamické disky”, ba dokonca ani riešenia využívajúce “Native VHD Boot” – teda bootovanie priamo z VHD súborov. BitLocker nepodporuje ani disky v klaster konfigurácii.

Odporúčaným, i keď nie nevyhnutne nutným hardvérovým vybavením je TPM čip v1.2 (http://en.wikipedia.org/wiki/Trusted_Platform_Module). Prináša ďalšiu vrstvu zabezpečenia celého riešenia (napr. kontrola integrity boot a startup súborov, multifaktorová autentizácia). Tento čip musí byť podporovaný BIOSom a pochopiteľne musí byť v BIOSe aktivovaný.

V prípade nasadenia BitLocker šifrovania na dátové partície (teda partície, ktoré neobsahujú operačný systém) stačí, ak daná partícia používa súborový systém NTFS, FAT alebo exFAT a má veľkosť aspoň 64MB.

 

Šifrovací algoritmus

BitLocker šifruje celú partíciu vrátane voľného miesta ako celok, teda nie po súboroch. Šifrovanie je čisto symetrické, využívajúce AES ako šifrovaciu metódu. Pri šifrovaní je možné určiť silu šifrovacieho algoritmu výberom jednej zo štyroch možností:

  • AES 128-bitový kľúč s použitím difuzéra (predvolená hodnota)
  • AES 128-bitový kľúč
  • AES 256-bitový kľúč s použitím difuzéra
  • AES 256-bitový kľúč

Bližšie informácie o difuzéri je možné nájsť v dokumente AES-CBC + Elephant diffuser.

Tento parameter je možné prednastaviť buď pred spustením šifrovania prostredníctvom skupinových politík – Computer Configuration \ Administrative Templates \ Windows Components \ BitLocker Drive Encryption, položka “Choose drive encryption method and cipher strength”, alebo pri aktivovaní ochrany BitLocker pomocou príkazu:

manage-bde.exe –on DISKnaZAŠIFROVANIE –em aes256_diffuser

 

Šifrovanie Boot partície

V prípade aktivovania BitLocker ochrany na partícii s operačným systémom je vygenerovaný šifrovací kľúč označovaný ako FVEK (Full Volume Encryption Key). Tento šifrovací kľúč je uložený priamo na disku, kde je zašifrovaný iným kľúčom označovaným ako VMK (Volume Master Key). Vďaka tomu, ak dôjde ku kompromitácii VMK, je vygenerovaný nový kľúč a nie je nevyhnutné šifrovať a dešifrovať celú partíciu ešte raz.

Po zapnutí ochrany BitLocker je potrebné reštartovať počítač. V rámci reštartu sú vykonané testy, či systém plne podporuje zvolenú formu ochrany (napríklad podpora BIOSu pre čítanie USB kľúčov pred zavedením OS). Ak nie je zistený problém, po naštartovaní operačného systému sa spustí proces šifrovania boot partície.

Len člen lokálnej skupiny Administrators môže zapnúť alebo vypnúť ochranu BitLocker na pevnom disku, a len člen lokálnej skupiny môže pozastaviť proces šifrovania – kým však tento proces nie je ukončený, dáta na disku nie sú chránené.

Po zapnutí ochrany sú dáta na pevnom disku neustále zašifrované – operačný systém šifruje a dešifruje sektory na disku “za jazdy” pomocou FVEK prostredníctvom FVE Filter Driver (fvevol.sys). Tento filter sa nachádza pod ovládačom súborového systému, preto sa disk aplikáciám a užívateľom javí celkom transparentne, ako nešifrovaný. Samozrejme, takýto mechanizmus má dopad na celkový výkon počítača, najmä na CPU. Táto dodatočná záťaž spôsobená šifrovaním BitLocker by však podľa spoločnosti Microsoft nemala prekročiť jednociferné číslo – teda nemala by byť vyššia než 9%.

Aby bolo možné naštartovať operačný systém, je potrebné získať FVEK. Aby bolo možné získať FVEK, je potrebné získať VMK. A získanie VMK závisí od použitej metódy ochrany:

  • Pomocou výmenného média (Floppy / USB)
  • Pomocou TPM čipu
Výmenné médium

V prípade, že dané PC nemá TPM čip, je možné VMK uložiť na výmenné médium (USB, disketová mechanika). Je nevyhnutné, aby bol BIOS schponý dané zariadenie rozpoznať a umožniť k nemu prístup.

Prvým krokom je vypnutie vynucovania TPM čipu – keďže neprítomnosť TPM čipu oslabuje celé riešenie, operačný systém kontroluje jeho prítomnosť a v prípade, že čip nie je nájdený, zobrazí chybové hlásenie. Je možné túto kontrolu vypnúť, napríklad prostredníctvom skupinových politík :

   1. Prejdite do vetvy Computer Configuration \ Administrative Templates \ Windows Components \ BitLocker Drive Encryption \ Operating System Drives.

   2. Položku “Require additional authentication at startup” nastavte na hodnotu ENABLED a skontrolujte, či je v rámci tejto politiky zaškrtnutá voľba “Allow BitLocker without a compatible TPM”.

   3. Z príkazového riadku zadajte príkaz gpupdate /force.

Pri spustení ochrany BitLocker pre BOOT partíciu je vytvorený Volume Master Key (označovaný tiež ako Startup Key) a tento je zapísaný na príslušné médium v nešifrovanej podobe, ako binárny súbor s príponou .BEK v koreňovom priečinku príslušného média (s atribútmi Hidden, System a Read-Only). Je preto dôležité, aby bolo dané médium dostupné pri každom štarte / preberaní z hibernácie daného počítača.

Zaujímavou možnosťou je spustenie ochrany BitLocker príkazom manage-bde.exe z príkazového riadku, ktorý pomocou prepínača –ComputerName umožní konfigurovať BitLocker ochranu aj na inom ako lokálnom počítači (použite NetBIOS meno vzdialeného počítača alebo jeho IP adresu).

TPM čip

TPM čip je schopný vykonávať kryptografické operácie. Vďaka tomu si sám generuje a ukladá HASH “stavu” oblastí, ako je napríklad BIOS, MBR, boot sektor či zavádzač Boot Manager. V prípade ich zmeny bez toho, aby bol TPM čip vopred “upovedomený” o chystanej zmene, TPM čip vyhodnotí pre-boot prostredie ako neplatné a neuvoľní VMK.

Okrem tejto dodatočnej ochrany BitLockerom nechránených súborov ponúka TPM čip aj možnosť dodatočnej autentizácie, a to buď pomocou PIN kódu (4 až 20 znakov, pričom BitLocker ukladá SHA-256 hash zvoleného PIN kódu), tzv. Startup kľúča na USB (pozor, toto nie je to isté ako v prípade riešenia bez TPM čipu!) alebo ich spojenia, teda PIN + USB (=dvojfaktorová autentizácia voči TPM čipu – užívateľ musí zadať PIN (niečo, čo viem) a vložiť USB kľúč (niečo, čo fyzicky vlastním), aby TPM čip validoval užívateľa a následne kontroloval integritu pre-boot prostredia.

Clear key

Režim tzv. “čistého kľúča” nastáva vtedy, keď je BitLocker “zakázaný” – Key Protector(s), teda úložisko VMK (napr. TPM čip) je prepnuté do stavu “disabled”, resp. “suspended” – neprebieha žiadna autentizácia, neprebieha žiadna kontrola integrity systému. Tento stav je typický pre situácie, keď je potrebné zmeniť niektorú z oblastí chránených TPM čipom, teda napríklad upgrade BIOSu, alebo upgrade operačného systému (Windows Vista na Windows 7).

V tomto prípade je vygenerovaný symetrický šifrovací kľúč CLEAR KEY (AES 128-bit alebo podľa konfigurácie skupinových politík), ktorým je následne zašifrovaný Volume Master Key. CLEAR KEY je však v nezašifrovanej, tzv. “plain-text” podobe uložený na pevnom disku, takže nie je problém dešifrovať VMK. Navyše, VMK je voľne dostupný (bez spomínanej autentizácie, či kontroly integrity príslušných systémových oblastí). Obsah pevného disku však naďalej zostáva zašifrovaný, teda pozastavenie ochrany BitLocker neznamená dešifrovanie obsahu partície.

Po obnovení ochrany BitLocker je CLEAR KEY kľúč odstránený a VMK je opäť zašifrovaný a chránený TPM čipom.

 

Startup proces počítača spolu s BitLockerom

 

   1. V rámci boot fázy vykonáva boot kód a Boot Manager kontrolu integrity systému (zapisujú hodnoty sledovaných oblastí do PCR oblastí TPM čipu – samozrejme len za podmienky, že TPM čip existuje a je aktivovaný).

   2. Boot Manager hľadá Volume Master Key nasledovne:

      a. prítomnosť CLEAR KEY.

      b. prítomnosť Recovery kľúča alebo Startup kľúča (riešenie bez TPM čipu = VMK na USB alebo diskete).

      c. TPM čip

      d. ak prvé tri kroky zlyhajú, Boot Manager vstúpi do BitLocker Recovery režimu a požaduje Recovery Password (48-bitové číslo).

 

   3. Ak TPM čip vyžaduje autentizáciu užívateľa, Boot Manager zapíše do PCR aj tieto hodnoty (PIN a/alebo Startup kľúč z USB).

 

   4. Boot Manager požiada TPM čip o vydanie VMK. Ak hodnoty v PCR súhlasia s tým, čo má uložené TPM čip, VMK je uvoľnený.

 

   5. Boot Manager skontroluje OS Loader (winload.exe – zavádzač OS) a BCD. Kontroluje ich pomocou digitálneho podpisu známeho ako MAC (Message authenticity Check), ktorý je vytvorený pomocou VMK.

 

   6. Ak je kontrola integrity v poriadku a bol uvoľnený VMK, pomocou ktorého je skontrolovaný MAC zavádzača OS a BCD a ten je tiež v poriadku, je možné dešifrovať FVEK.

 

   7. Nastáva korektný proces zavedenia operačného systému Windows.

 

Je zrejmé, že najsilnejšou formou ochrany je BitLocker v spolupráci s TPM čipom, ktorý vyžaduje PIN + USB autentizáciu užívateľa. Je však nevyhnutné zadávať PIN a mať vložený USB kľúč v počítači pri kačdom jednom štarte, preto pozor na situácie, keď pri PC nikto nie je a PC sa reštartuje (unattended inštalácia OS s automatickým aktivovaním BitLocker ochrany, aplikovanie Windows aktualizácií a následný reštart, reštart z dôvodu inštalácie / konfigurácie zadanej cez MS SCCM, a pod.). To samé platí s ešte väčším dôrazom v prípade Server operačného systému – tu bude zrejme postačovať BitLocker s TPM bez autentizácie, kde TPM čip zabezpečuje kontrolu integrity pre-boot systémových oblastí a tým chráni Volume Master Key.

Recovery Password

V prípade, že VMK nie je možné získať, Boot Manager požiada o vloženie 48-bitového čísla, ktoré je vygenerované pri inicializácii BitLocker ochrany. Toto číslo je možné buď vytlačiť, uložiť na USB disk alebo disketu (tzv. Recovery Key) alebo zapísať do Active Directory ako parameter Computer objektu príslušného počítača. V Recovery móde, teda keď Boor Manager požaduje jeho zadanie, vkladáme ho prostredníctvom klávesov F1 až F10 (F1=1, F2=2, … , F10=0).

Okrem obnovy dát pomocou Recovery hesla je v operačnom systéme Windows 7 / Windows Server 2008 R2 dostupný aj nástroj pre príkazový riadok Repair-bde.exe, ktorý slúži na obnovú dát z poškodených partícií chránených technológiou BitLocker. Použitie tohto nástroja popisuje napríklad KB článok 928201, alebo stránka Repair-bde.exe Parameter Reference.

 

Šifrovanie dátovej partície

Pomocou BitLocker šifrovania je možné chrániť nielen boot partíciu (partíciu s OS), ale aj dátové partície. Tu je proces podobný ako v prípade BitLocker To Go.

BitLocker To Go je riešenie pre výmenné médiá (USB kľúče, pamäťové karty a pod.), pričom administrátor môže prostredníctvom skupinových politík zakázať zápis na výmenné médiá, ktoré nie sú chránené šifrovaním BitLocker To Go.

BitLocker To Go sa od BitLocker ochrany pre dátové partície na pevných diskoch líši najmä v tom, že pre aktivovanie BitLocker To Go ochrany výmenných médií užívateľ NEMUSÍ mať práva lokálneho administrátora.

 

V prípade šifrovania dátovej partície je možné nastaviť heslo alebo dokonca certifikát na Smart karte pre získanie prístupu k obsahu partície. Heslo / certifikát na Smart karte nemusia byť zhodné s heslom / certifikátom pre prístup do Active Directory doménového prostredia. V prípade, že je BitLocker šifrovanie použité pre boot partíciu, je možné pre dátové partície na fixných pevných diskoch nastaviť “automatické odomknutie” – teda uloženie dešifrovacích kľúčov na boot partíciu a ich uplatnenie po naštartovaní OS.

 

Záver

BitLocker je veľmi silný nástroj na ochranu dát. Pokiaľ ale nie je zvládnutý jeho celý proces, môže dôjsť ku komplikáciám, dokonca až k strate dát. Ako pri každej technológii, i tu sa predpokladá riadne naštudovanie celej problematiky, riadneho testovania vo všetkých scenároch a taktiež riadne ZDOKUMENTOVANIE postupov pre jednotlivé scenáre.

Takže na záver už len pár drobností:

 

BitLocker nie je podporovaný na dynamických diskoch, dokonca ani na iSCSI alebo VHD (nepodporovaný neznamená nevyhnutne nie funkčný – na prípadné problémy ste ale potom sami).

 

BitLocker podporuje zmenšovanie alebo zväčšovanie šifrovaných partícií, vrátane boot partície.

 

Windows Backup vytvára pomocou Volume Shadow Copy služby VHD súbory, ktoré nie sú ale šifrované.

 

MDOP 2011 R2 (Microsoft Desktop Optimization Pack) prináša Microsoft BitLocker Administration and Monitoring – tieto rozšírenia umožňujú najmä podporu ukladania recovery hesiel počítačov do SQL databázy a podporu jednorazových recovery hesiel, čím posúva celé riešenie o stupienok ďalej.

 

 

V prípade záujmu o ďalšie informácie, prídite na školenie Smile alebo skúste tieto linky:

 

Boris.

Svetový deň IPv6

Dnešný deň, 8. jún 2011, bol vyhlásený za svetový deň IPv6. Viaceré veľké spoločnosti, ako napríklad Facebook alebo Google, budú po celých 24 hodín poskytovať svoj obsah aj prostredníctvom IPv6 protokolu v rámci testovacej prevádzky. Cieľom tejto akcie je zvýšiť záujem o IPv6 protokol a posunúť jeho nasadenie o ďalší krôčik bližšie ku každodennému použitiu …

 

Bližšie informácie o tejto akcii možno nájsť na oficiálnej stránke.

Ak sa chcete dozvedieť viac o IPv6 protokole vo Windows operačnom systéme, ideálnym začiatkom bude stránka IPv6 Learning Roadmap.

Vývojový tým spoločnosti Microsoftu zaoberajúci sa práve týmto protokolom sa na svojom blogu taktiež odkazuje na svetový deň IPv6 a zároveň ponúka testovací nástroj, ktorý vám povie, ako ste na tom s IPv6 konektivitou.

V prípade akýchkoľvek problémov, ktoré by ste mohli v súvislosti s dnešným dňom zaznamenať, vznikol dokonca tiež samostatný KB článok.

 

IPv6 protokol je skrátka tu. Stojí pred našimi firewall bránami a tváriť sa, že "nás sa to netýka" alebo "my IPv6 nepotrebujeme", by sa mohlo už čoskoro ukázať ako chyba.

Nasadenie Windows 7 – časť 2

V predošlej časti som popísal jednu z mnohých metód, ako vytvoriť referenčnú inštaláciu Windows 7. Proces vytvorenia tejto inštalácie skončil nástrojom Sysprep, ktorý počítač vypol, aby bolo možné naštartovať do iného operačného systému ( z CD, USB, zo siete … ) a vytvoriť obraz disku, ktorý následne budeme môcť distribuovať na ostatné počítače v sieti.

Za týmto účelom si vytvoríme bootovateľné médium ( CD alebo USB ) s operačným systémom Windows PE, do ktorého umiestnime nástroj ImageX, ktorý umožňuje vytvárať obrazy pevných diskov do súborov .wim, a ktorý ich dokáže zase zo súborov .wim nahrávať na pevné disky ( čiže duplikovať disky obdobne, ako to umožňujú iné nástroje tretích strán ).

 

Fáza 1 – Vytvorenie Windows PE s nástrojom ImageX

1. Na počítači, kde máme nainštalovaný balík WAIK, spustíme príkazový riadok Start – Windows AIK – Deployment Tools Command Prompt s právami lokálneho administrátora.

 

2. Zadáme príkaz :

copype.cmd amd64 C:\WinPE

 

Tento skript nakopíruje potrebné súbory pre vytvorenie 64bitovej verzie Windows PE do priečinku C:\WinPE ( ak neexistuje, copype.cmd ho vytvorí ). Ak chceme vytvoriť 32bitovú verziu Windows PE, v uvedenom príkaze vymeníme amd64 za x86.

 

3. Zadáme príkaz :

dism /Mount-Wim /WimFile:winpe.wim /Index:1 /MountDir:mount

 

I keď tento krok nie je nevyhnutne nutný v prípade, že výsledkom bude bootovateľné CD alebo USB, v prípade, že sa rozhodneme umiestniť naše výsledné Windows PE na WDS Server a bootovať zo siete, bude lepšie mať nástroj ImageX “po ruke”, teda ako súčasť Windows PE priamo v jeho inštalácii.

 

4. Zadáme príkaz :

copy “C:\Program Files\Windows AIK\Tools\amd64\imagex.exe” “mount\Windows\System32\”

 

5. Ak je to potrebné, zadáme príkaz :

dism /Image:C:\WinPE\mount /Add-Driver /Driver:Cesta-k-ovládačom /recurse

 

ktorým pridáme do Windows PE ovládače k sieťovým kartám alebo radičom pevných diskov, ktoré Windows PE natívne nepodporuje. “Cesta-k-ovládačom” je cesta k preičinku, kde sa nachádza .inf súbor daného ovládača / ovládačov. Ak staviame 64bitové Windows PE, ovládače, ktoré pridávame, sú ovládače pre 64bitové Windows 7, resp. Windows Server 2008 R2. Ak staviame 32bitové Windows PE, ovládače sú pre 32bitové Windows 7.

V prípade, že sme ovládače neumiestnili do Windows PE, je možné ich nainštalovať priamo v prostredí bežiaceho Windows PE príkazom drvload – ovládač ale nesmie vyžadovať reštart.

 

6. Zadáme príkaz :

dism /Unmount-Wim /MountDir:C:\WinPE\mount /commit

 

Tým sme doplnili a aktualizovali Windows PE. Takto zmenený winpe.wim buď umiestnime na Windows Deployment Services server medzi tzv. “Boot Images”, takže bude možné z neho bootovať zo siete. Alternatívne si môžeme vytvoriť bootovateľné výmenné médium :

 

7. Zadáme príkaz :

copy winpe.wim ISO\sources\boot.wim

 

ktorým prekopírujeme a zároveň premenujeme náš upravený winpe.wim na boot.wim.

 

8a. Pre vytvorenie bootovateľného CD zadáme príkaz :

oscdimg –n –bC:\WinPE\etfsboot.com C:\WinPE\ISO C:\WinPE_x64.iso

 

POZOR ! V uvedenom príkaze za prepínačom –b NIE JE MEDZERA. Vytvorený ISO súbor napálime na CD médium.

 

8b. Pre vytvorenie bootovateľného USB kľúča najprv zo zvoleného USB kľúča ( alebo iného pamäťového média ) zazálohujeme dáta a potom postupne zadávame tieto príkazy :

diskpart

list disk ( všimnite si číslo disku predstavujúceho USB kľúč )

select disk X ( kde X je číslo disku zistené v predošlom príkaze )

clean ( DÁTA Z USB KĹÚČA SME ZAZÁLOHOVALI, VŠAKŽE ? )

create partition primary ( vytvoríme primárnu partíciu )

active ( ktorú označíme ako bootovateľnú )

format fs=FAT32 quick ( naformátujeme ju )

assign ( a pridelíme jej voľné písmeno )

exit

xcopy C:\WinPE\ISO\*.* /e Y:\ ( kde Y je písmeno vytvorenej partície na USB kľúči )

 

Tým sme vytvorili bootovateľný USB kľúč / pamäťové médium.

 

Výhoda tohto riešenia spočíva v tom, že na rozdiel od CD / DVD média je takýto USB kľúč editovateľný – kedykoľvek môžeme príkazom dism pripojiť Windows PE ( súbor boot.wim – krok 3 ) a dopĺňať sem ďalšie nástroje a ovládače, resp. editovať vytvorený Autounattend.xml ! Nie je tak potrebné znovu a znovu napaľovať nové CD či DVD !

 

Ďalšie informácie možno nájsť na stránke Windows PE Walkthroughs.

 

Fáza 2 – Vytvorenie obrazu referenčnej inštalácie

V predošlej časti sme vytvorili referenčnú inštaláciu Windows 7, ktorá je nástrojom Sysprep pripravená na klonovanie. Podľa toho, v akej podobe sme si pripravili Windows PE v prvej fáze, naštartujeme referenčné PC do nachystaného Windows PE.

Nástroj ImageX.exe umožňuje vytvárať WIM súbory, ktoré predstavujú obrazy jednotlivých partícií diskov. Keďže WIM súbory sú “File-Based” a nie “Sector-Based” ako niektoré konkurenčné nástroje tretích strán, je možné vytvárať WIM obraz partície C: priamo na túto partíciu C: ( za podmienky, že je tu dostatok voľného miesta, samozrejme ). V tomto prípade však WIM súbor necháme vytvoriť na zdieľanom priečinku na sieti ( môžete tiež použiť pripojený USB disk ).

 

1. Príkazom :

net use I: \\ názov_pc \ názov_priečinku

 

si pod písmenom I ( alebo ľubovoľným iným ) pripojíme zdieľaný sieťový priečinok “názov_priečinku”, ktorý sa nachádza na počítači “názov_pc”.

 

2. Zadáme príkazy :

diskpart

list volume

exit

 

Príkazom list volume nástroja DiskPart sme zistili, aké písmeno Windows PE pridelil tej partícii, ktorej “klon” chceme vytvoriť. V mojom prípade je to písmeno D.

 

winpe_diskpart

Výstup príkazu “list volume” v nástroji DiskPart

 

3. Máme potrebné vstupné informácie, spustíme nástroj ImageX príkazom :

ImageX /check /capture D: I:\ref.wim “Win7Ref” “Reference Windows 7 Image”

 

kde “Win7Ref” je názov obrazu a “Reference Windows 7 Image” je popis vytvoreného obrazu.

 

 

Výsledkom je WIM súbor, ktorý obsahuje partíciu “C:” referenčnej inštalácie Windows. Pomocou nástroja ImageX a prepínača /apply môžeme tento “imidž” distribuovať na klientov – teda klonovať vzorové PC. Postupnosť krokov by bola nasledovná :

1. Nabootovanie inštalovaného PC pomocou nami vytvoreného média s Windows PE.

 

2. Príprava disku pomocou nástroja DiskPart – vytvorenie a naformátovanie partícií, pridelenie písmen jednotlivým partíciám, prípadne len na zistenie aktuálneho pridelenia písmen existujúcim partíciám. WIM obrazy diskov nie sú deštruktívne, prečo to nevyužiť ?

 

3. Primapovanie si zdieľaného priečinku s vytvoreným referenčným WIM súborom.

 

4. Nástrojom ImageX ( ImageX /apply ) nahratie obrazu vzorovej inštalácie na určenú partíciu pevného disku.

 

Tento postup je univerzálne funkčný, na druhú stranu však relatívne pracný najmä v situáciách, ak potrebujem doslova klonovať disk – teda zrušiť existujúce partície, vytvoriť 100 MB aktívnu prvú partíciu ( pre BitLocker ) a na druhú partíciu využívajúcu ostatnú voľnú diskovú kapacitu “nahrať” Windows. Príkazy pre nástroj DiskPart je možné uložiť do skriptu a prácu si tak zjednodušiť. V poslednej, tretej fázi si však ukážeme túto automatizáciu pomocou súboru s odpoveďami.

 

Fáza 3 – Windows PE so súborom Autounattend.xml

Opäť sa presunieme na to PC, kde máme nainštalovaný balík WAIK. Pre automatizovanú inštaláciu nami vytvoreného WIM súboru nemusíme vytvárať nové Windows PE – použijeme to, ktoré sa nachádza na inštalačnom médiu Windows 7. Jedinú úpravu, ktorú by sme možno mohli vykonať, je pridať do tohto Windows PE ovládače tých sieťových kariet a radičov pevných diskov, ktoré toto Windows PE natívne nepodporuje ( postup je obdobný ako pre pôvodné Windows PE vytvárané vo fázi 1 ). Postup vytvorenia bootovateľného CD alebo USB je tiež popísaný vo fázi 1 – v prípade USB alebo WDS vlastne stačí len vymeniť existujúci boot.wim za ten, ktorý sme prevzali z inštalačného média Windows 7 ( kde sa nachádza v priečinku sources ).

 

1. Na počítači, kde máme nainštalovaný balík WAIK, spustíme nástroj Windows SIM.

Pomocou ktorého vytvoríme súbor s odpoveďami Autounattend.xml. Tento XML súbor potom nakopírujeme do koreňového priečinku bootovateľného USB kľúča, alebo do priečinku C:\WinPE\ISO predtým, ako z toho vytvoríme bootovateľný ISO súbor.

 

2. Spôsobom popísaným v predošlej časti vytvoríme súbor s odpoveďami, tentokrát ale vložíme komponenty :

 

amd64_Microsoft-Windows-International-Core-WinPE_6.1.7600.16385_neutral

Pass 1 windowsPE

amd64_Microsoft-Windows-Setup_6.1.7600.16385_neutral

Pass 1 windowsPE

 

Jednotlivé položky nastavíme takto :

  • amd64_Microsoft-Windows-International-Core-WinPE_neutral :

InputLocale = en-US

SystemLocale = en-US

UILanguage = en-US

UILanguageFallback = en-US

UserLocale = en-US

  • amd64_Microsoft-Windows-International-Core-WinPE_neutral \ SetupUILanguage :

UILanguage = en-US

  • amd64_Microsoft-Windows-Setup_neutral \ DiskConfiguration :

WillShowUI = OnError

  • amd64_Microsoft-Windows-Setup_neutral \ DiskConfiguration \ Disk :

DiskID = 0

WillWipeDisk = true

  • amd64_Microsoft-Windows-Setup_neutral \ DiskConfiguration \ Disk[DiskID=”0”] \ CreatePartitions \ CreatePartition :

Order = 1 ( prvá partícia na disku 0, vytvárané pre BitLocker )

Size = 100 ( má veľkosť 100 MB )

Type = Primary

  • amd64_Microsoft-Windows-Setup_neutral \ DiskConfiguration \ Disk[DiskID=”0”] \ CreatePartitions \ CreatePartition :

Extend = true ( druhá partícia využije zostávajúce voľné miesto na disku )

Order = 2

Type = Primary

  • amd64_Microsoft-Windows-Setup_neutral \ DiskConfiguration \ Disk[DiskID=”0”] \ ModifyPartitions \ ModifyPartition :

Active = true ( prvá vytváraná partícia ( PartitionID=1 ) bude aktívna, teda bootovacia )

Format = NTFS

Label = SYSTEM

Order = 1

PartitionID = 1

  • amd64_Microsoft-Windows-Setup_neutral \ DiskConfiguration \ Disk[DiskID=”0”] \ ModifyPartitions \ ModifyPartition :

Format = NTFS

Label = WINDOWS

Letter = C

Order = 2

PartitionID = 2

  • amd64_Microsoft-Windows-Setup_neutral \ UserData :

AcceptEula = true

  • amd64_Microsoft-Windows-Setup_neutral \ UserData \ ProductKey :

WillShowUI = OnError

  • amd64_Microsoft-Windows-Setup_neutral \ ImageInstall \ OSImage :

WillShowUI = OnError

  • amd64_Microsoft-Windows-Setup_neutral \ ImageInstall \ OSImage \ InstallFrom :

Path = \\ názov_pc \ názov_priečinku ( cesta k referenčnému WIM súboru )

  • amd64_Microsoft-Windows-Setup_neutral \ ImageInstall \ OSImage \ InstallFrom \ Credentials :

Domain =

Password =

Username =

Použite užívateľa, ktorý má právo READ na WIM súbor.

  • amd64_Microsoft-Windows-Setup_neutral \ ImageInstall \ OSImage \ InstallTo :

DiskID = 0

PartitionID = 2 ( prvá partícia má 100 MB, preto ID 2 )

 

Súbor s odpoveďami uložíme s názvom Autounattend.xml do koreňového priečinku bootovateľného USB kľúča, alebo do priečinku C:\WinPE\ISO predtým, ako z toho vytvoríme bootovateľný ISO súbor. A to je všetko …