Bitlocker (policies) i Windows 7

  • Article

I Windows 7 har det jo vært flere endringer i Bitlocker. Den kanskje viktigste er støtten for Removable drives, dvs USB minnepinner og USB/firewire harddisker. (se tidligere poster om emnet)

Dette har vært den mest etterlyste endringen fra Windows Vistas Bitlocker fra kundene våre og hovedgrunnen til det er nok hvor mye USB minnepinner brukes, hvor små men fortsatt store de er og hvor liten kontroll brukerne egentlig har på hvor alle deres minnepinner befinner seg. (Vet ikke selv hvor alle mine er lenger, har sikkert kjøpt mange nok opp gjennom til å fylle hele pulten her, men ser bare en her nå)

 

Bitlocker To Go

Det er det Bitlocker for removable media kalles.  I all enkelhet fungerer den som Bitlocker ellers og styres f.eks med Group Policy. Du kan kreve kryptering eller la brukeren velge selv. Backup av recovery-passord tas til AD her og dersom du ønsker det. De er dermed lette å få tak på dersom brukeren glemmer passordet.

En minnepinne f.eks med Bitlocker To Go kan beskyttes med enten passord eller smartcard. Du kan også sette den opp slik at det er mulig å lese på eldre OS dersom man har passordet. Dette gjøres da ved at det legges ved en liten exe fil, en reader, på en ukryptert partisjon på minnepinnen.

 

Policies

Disse er nå delt inn i flere kataloger, som bildet under viser. Du har egne regler for OS/system disk, andre interne disker og til slutt for Removable data drives, minnepinner og annen lagring som kan plugges fra.

 

image Første innstillingen her er viktig. Den angir hvorvidt du vil lagre recovery informasjon i AD for OS eller andre interne disker. Der kan du også slå på krav om vellykket backup for disker kan krypteres. Her kan du også velge mellom krypteringsmetode, AES med eller uten diffuser, samt antall bits, 128 eller 256.
image Fixed Data Drives Fixed Drives kan settes opp til å kreve Smart Card for å “låse opp”. Praktisk dersom du har skilt ut egen partisjon for brukerfiler og data. Du nekte tilgang på maskinen til alle drives som ikke er beskyttet med Bitlocker også. Du kan også la tidligere OS få tilgang til å lese fra disken selvom den er kryptert. Da vil filen bitlockertogo.exe bli kopiert inn ukryptert. Du kan sette opp bruk av passord for å beskytte disken også, istedet for Smartcard. Her kan du også sette opp slik at de samme kompleksitetskravene som gjelder for brukerpassord i domenet blir gjeldende. Til sist, men ikke minst, kan du konfigurere hvordan recovery kan gjennomføres. Dette inkluderer oppsett av recovery key, recovery agent (sertifikat) eller recovery passord. Du kan også kreve at backup av recovery info skal være vellykket før det er lov å skru på bitlocker. Den nye funksjonen med bruk av sertifikat åpner for å lage en nøkkel som gjelder på alle maskiner i bedriften om ønskelig.
image OS Drives De første innstillingene lar deg velge om PIN eller Key på usb stick skal kreves ved hver oppstart av maskinen for å låse den opp. (anbefales) ”enhanced pins” dreier seg om pin koder som inneholder bokstaver også. Sjekk at maskina supporterer dette så tidlig i oppstart. Minimum pin lengde sier vel seg selv. Recovery innstillingene her er samme som beskrevet tidligere. TPM platform validering dreier seg om integritetsjekken som gjøres under oppstart.
image Removable Data Drives Få forskjeller her, det eneste er vel at for Removable data disks er jo innstillingen med å kreve kryptering langt mer interessant, ettersom den her treffer minnepinner. Resultatet vil bli at brukeren får opp en melding om at minnepinnen må krypteres før han kan skrive til den. fram til dette er gjort vil kun lesetilgang bli gitt.

 

 

Bookmark and Share