Разделы презентаций


BitLocker в Windows Server 2008 и Windows Vista SP1

Содержание

СодержаниеНазначение и особенности технологии BitLockerАрхитектура и принципы работыНастройка и восстановление системы

Слайды и текст этой презентации

Слайд 1BitLocker в Windows Server 2008 и Windows Vista SP1: архитектура

и варианты применения
Александр Шаповал

BitLocker в Windows Server 2008 и Windows Vista SP1: архитектура и варианты примененияАлександр Шаповал

Слайд 2Содержание
Назначение и особенности технологии BitLocker
Архитектура и принципы работы
Настройка и восстановление

системы

СодержаниеНазначение и особенности технологии BitLockerАрхитектура и принципы работыНастройка и восстановление системы

Слайд 3Назначение и особенности
Предотвращает несанкционированный доступ к данным
Обеспечивает полное шифрование

всего тома, включая:
Файл подкачки, временные файлы и пр.
Использует Trusted

Platform Module (TPM) v1.2 для хранения ключа и проверки целостности системы на этапе загрузки
Поддерживает защиту нескольких томов/устройств
Windows Vista SP1, Windows Server 2008
Назначение и особенности Предотвращает несанкционированный доступ к даннымОбеспечивает полное шифрование всего тома, включая:Файл подкачки, временные файлы и

Слайд 4Trusted Platform Module
Аппаратный модуль (чип) для выполнения криптографических операций
Создание,

хранение, управление ключами
Шифрование, цифровая подпись
RSA, SHA-1, RNG
Проверяет целостность критически

важных компонент системы на этапе загрузки

Спецификация версии 1.2: www.trustedcomputinggroup.org

Trusted Platform Module Аппаратный модуль (чип) для выполнения криптографических операцийСоздание, хранение, управление ключамиШифрование, цифровая подписьRSA, SHA-1, RNG

Слайд 5TPM и загрузка ОС

TPM и загрузка ОС

Слайд 6Архитектура TMP
Регистры хранят хэши различных компонент системы
Перед выполнением любой код

сначала хэшируется с помощью SHA-1, затем результат сверяется со значением

соответствующего регистра
Назначение регистров
PCR[0], PCR[1] – BIOS и расширения
PCR[2], PCR[3] – дополнительные носители
PCR[4] – Master Boot Record (MBR)
PCR[5] – Partition Table
PCR[8] – Boot Sector
PCR[9] – Boot Block
PCR[10] – Boot Manager
PCR[11] – ключ BitLocker

PCR[0]

PCR[1]

PCR[2]

PCR[3]

PCR[4]

PCR[5]

PCR[6]

PCR[7]

PCR[8]

PCR[9]

PCR[10]

PCR[11]

PCR[12]

PCR[13]

PCR[14]

PCR[15]

PCR (Platform Configuration Registers) – регистры конфигурации платформы

Архитектура TMPРегистры хранят хэши различных компонент системыПеред выполнением любой код сначала хэшируется с помощью SHA-1, затем результат

Слайд 7Архитектура TMP
Любые дополнительные загрузчики должны запускаться с зашифрованного тома
По умолчанию

BitLocker использует регистры: 4,8,9,10,11
Включение дополнительных регистров влияет на возможность конфигурации

системы
Регистры 2 и 3
Любые изменения, включая добавление устройств для чтения смарт-карт или USB-устройств
Регистры 0 и 1
Обновление BIOS

PCR[0]

PCR[1]

PCR[2]

PCR[3]

PCR[4]

PCR[5]

PCR[6]

PCR[7]

PCR[8]

PCR[9]

PCR[10]

PCR[11]

PCR[12]

PCR[13]

PCR[14]

PCR[15]

Архитектура TMPЛюбые дополнительные загрузчики должны запускаться с зашифрованного томаПо умолчанию BitLocker использует регистры: 4,8,9,10,11Включение дополнительных регистров влияет

Слайд 8Шифрование тома
Создается ключ, Full-Volume Encryption Key (FVEK), с помощью которого

производится шифрование всего тома
Разовая длительная операция
В дальнейшем нагрузка на систему

минимальна
FVEK шифруется с помощью Volume Master Key (VMK)
VMK защищается способом, определенным настройками и режимом работы системы
Шифрование томаСоздается ключ, Full-Volume Encryption Key (FVEK), с помощью которого производится шифрование всего томаРазовая длительная операцияВ дальнейшем

Слайд 9Шифрование тома
Hello, World! (Открытый текст)
Full-Volume Encryption Key (FVEK)

Шифрование томаHello, World!  (Открытый текст)Full-Volume Encryption Key (FVEK)

Слайд 10Структура тома BitLocker
В полях метаданных в том числе хранятся FVEK

и VMK

Структура тома BitLockerВ полях метаданных в том числе хранятся FVEK и VMK

Слайд 11Режимы работы
Временное отключение BitLocker
Изменение конфигурации системы
Перенос жесткого диска, обновление BIOS

и пр.
Том остается зашифрованным
Незашифрованный ключ (Clear Key) для доступа к

VMK
Аутентификация
Только TPM
TPM + ключ запуска (Startup Key)
TPM + PIN
Только ключ запуска
Проверка целостности системы при загрузке отсутствует !
Восстановление
Пароль восстановления (Recovery Password)
Ключ восстановления (Recovery Key)
Режимы работыВременное отключение BitLockerИзменение конфигурации системыПеренос жесткого диска, обновление BIOS и пр.Том остается зашифрованнымНезашифрованный ключ (Clear Key)

Слайд 12Поиск ключей при старте
Clear key
Recovery Key или Startup Key
TPM
TPM

+ Startup Key
TPM + PIN
Recovery Password
Recovery Key

Поиск ключей при старте Clear keyRecovery Key или Startup KeyTPMTPM + Startup KeyTPM + PINRecovery PasswordRecovery Key

Слайд 13Защита ключей

Защита ключей

Слайд 14Системные требования
BIOS должен поддерживать USB-устройства
Наличие в системе TPM v1.2
Если нет

TPM, обязательно использование ключа запуска на съемном USB-устройстве
Операционная система
Windows Vista

Ultimate
Windows Vista Enterprise
Windows Server 2008
Жесткий диск
Минимум два раздела
Раздел с ОС (Boot Volume), NTFS
Активный раздел загрузки (System Volume), NTFS, >= 1.5 ГБ
Системные требованияBIOS должен поддерживать USB-устройстваНаличие в системе TPM v1.2Если нет TPM, обязательно использование ключа запуска на съемном

Слайд 15Шифрование нескольких томов
Доступно в Windows Vista SP1 и Windows Server

2008
Поддерживается произвольное количество любых томов за исключением:
Активного раздела
Раздела запущенной в

настоящий момент ОС
Возможно автоматическое монтирование томов с данными
VMK каждого тома защищается незашифрованным ключом (auto-unlock key, AUK)
AUK хранятся в реестре (на зашифрованном томе)
Том ОС должен быть зашифрован
Шифрование нескольких томовДоступно в Windows Vista SP1 и Windows Server 2008Поддерживается произвольное количество любых томов за исключением:Активного

Слайд 16Настройки BitLocker
Панель управления
Инициализация BitLocker
Управление ключами
Сценарии WMI
Manage-bde.wsf
Групповые политики

Настройки BitLockerПанель управленияИнициализация BitLockerУправление ключамиСценарии WMIManage-bde.wsfГрупповые политики

Слайд 17Настройка технологии BitLocker
demo

Настройка технологии BitLockerdemo

Слайд 18Восстановление системы
Когда может потребоваться восстановление:
Замена материнской платы
Обновление BIOS
Перенос жесткого

диска на другой компьютер
Пользователь забыл PIN-код

При инициализации требуется включить как

минимум одну опцию восстановления
Данные восстановления можно сохранить в AD
Опции восстановления
Пароль восстановления (Recovery Password)
48 цифр, при восстановлении набираются с помощью функциональных клавиш (F0 – F9)
Ключ восстановления (Recovery Key)
Сохраняется на USB-устройстве
Восстановление системы Когда может потребоваться восстановление:Замена материнской платыОбновление BIOSПеренос жесткого диска на другой компьютерПользователь забыл PIN-код…При инициализации

Слайд 19Защита данных в Windows
IPSec
BitLocker
S/MIME
EFS
RMS-IRM

Защита данных в WindowsIPSecBitLockerS/MIMEEFSRMS-IRM

Слайд 20Дополнительная информация
BitLocker FAQ
Windows BitLocker Drive Encryption step-by-step guide
Windows Vista Trusted

Platform Module Services step-by-step guide
Windows BitLocker Drive Encryption Design and

Deployment Guides
Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information
Deploying BitLocker with the Data Encryption Toolkit for Mobile PCs
BitLocker Drive Encryption Technical Overview
Implementing BitLocker on Servers
http://www.microsoft.com/Rus/events/Webcasts/OnDemand.mspx

Дополнительная информацияBitLocker FAQ Windows BitLocker Drive Encryption step-by-step guide Windows Vista Trusted Platform Module Services step-by-step guide

Слайд 21Вопросы
http://blogs.technet.com/ashapo

http://www.microsoft.com/Rus/events


Вопросыhttp://blogs.technet.com/ashapohttp://www.microsoft.com/Rus/events

Обратная связь

Если не удалось найти и скачать доклад-презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое TheSlide.ru?

Это сайт презентации, докладов, проектов в PowerPoint. Здесь удобно  хранить и делиться своими презентациями с другими пользователями.


Для правообладателей

Яндекс.Метрика