how to configure Active Directory to store BitLocker and TPM recovery information (Part I)

Marcelo P. di Iorio — Mon, 08 Dec 2008 09:53:00 GMT

Store recovery passwords for a BitLocker protected volume permit autorized users to recover it if it's protected by this technology. This grants of course, that the encrypted information who belongs to the company always can be accesed by at least someone which may be autorized.

Storing the TPM information of a computer is very useful because for example, if the owner of the computer is sacked and you wish to get access to the content of his hard disk, which is protected with BitLocker.

To be able to store this kind of information in Active Directory, you need Windows Server 2003 with SP1 domain controllers, at least, or Windows Server 2008.

Pre-requisites:

In addition to the above regarding the operating system, the schema must be extended, adding the corresponding extensions for BitLocker. Without this, if BitLocker is enabled before preparing the schema, any kind of recover information will be saved in Active Directory. The name of the BitLocker recovery object adds a GUID and information of date and time with a length of 63 characters:

The common name (cn) for the BitLocker recovery object is ms-FVE-RecoveryInformation. Each of this objects contains the following attributes:

ms-FVE-RecoveryPassword.
ms-FVE-RecoveryGuid.
ms-FVE-VolumeGrid.
ms-FVE-KeyPackage.
GUID added to the global catalog in order to simplify forest-wide searches (isMemberOfPartialAttributeSet).
A bit to confidential use for the GUID attributes (bit 128 of searchFlags).
Size of each attribute restricted to minimize the replication times in case of a flood attack to the Active Directory database (rangeUpper).
Descriptions of attributes updated for clarity (adminDescription).
additional bit defined setted to store values when creates copies of objects ( bit 16 of searchFlags).
An addition bit defined to create indexes per-container of GUID attributes (bit 2 of searchFlags).

Store of recovery information of TPM in Active Directory

Only one TPM recovery password exists per computer. When TPM initializes or the password is changed, a backup of the hash of the TPM ownership password is maded, as an attribute of the computer object.

The cn of this attribute is ms-TPM-OwnerInformation.

In the next part we will see the required steps to make the configuration of Active Directory in order to be able to use BitLocker and TPM. Also, I will continue with the Authotitative Restore in Active Directory post.

More information:

Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information (document that I'm using to write this article) .

Regards.

Marcelo.

Como configurar Active Directory para almacenar información de recuperación de Bitlocker y TPM (Parte I)

Marcelo P. di Iorio — Sat, 06 Dec 2008 21:22:00 GMT

Almacenar recovery passwords para un volumen protegido con BitLocker permite a aquellos usuarios autorizados a recuperar el volumen si está protegido por esta tecnología. Esto permite por supuesto que la información encriptada que pertenezca a la empresa siempre pueda ser accedida por al menos alguna persona autorizada.

Almacenar la información de TPM de un equipo es de suma utilidad por ejemplo si se despide a un empleado y se desea acceder al contenido de su disco que se encuentra encriptado con BitLocker.

Para poder almacenar este tipo de información en Active Directory, es necesario que los controladores de dominio sean Windows Server 2003 con SP1 al menos, o Windows Server 2008.

Pre requisitos:

Ademas del anteriormente mencionado con respecto al sistema operativo, se debe extender el schema agregando las extensiones correspondientes para BitLocker. Sin esto, si se habilita BitLocker en en equipo antes de preparar el Schema, no se almacenará ningún tipo de información de recuperación en Active Directory.

La información de recuperación se almacena en un child object del computer object. Esto significa que el computer object es el contenedor del BitLocker Recovery Object. Vale la pena aclarar que puede existir más de un Recovery Object por Computer Object, ya que puede haber más de una contraseña de recuperación asociada con un volumen BitLocker.

El nombre del BitLocker recovery object incorpora un GUID e información de fecha y hora, con una longitud de 63 caracteres:

<Object Creation Date and Time><Recovery GUID>

El common name (cn) para el BitLocker recovery object es ms-FVE-RecoveryInformation. Cada uno de estos objetos contiene los siguientes atributos:

ms-FVE-RecoveryPassword.
ms-FVE-RecoveryGuid.
ms-FVE-VolumeGrid.
ms-FVE-KeyPackage.
GUID agregado al global catalog para facilitar búsquedas forest-wide (isMemberOfPartialAttributeSet).
Un bit para uso confidencial para los atributos GUID (bit 128 de searchFlags).
Tamaño de cada atributo restringido para minimizar los tiempos de replicación en el caso de un ataque del tipo flood a la base de Active Directory (rangeUpper).
Descripciones de atributos actualizadas para claridad (adminDescription).
Un bit adicional definido seteado para almacenar valores cuando se crean copias de objetos (bit 16 de searchFlags).
Un bit adicional definido para crear índices per-container de atributos GUID (bit 2 de searchFlags).

Almacenamiento de la información de recuperación de TPM en Active Directory

Solo existe una contraseña de recuperación TPM por equipo. Cuando se inicializa TPM o cuando la contraseña es cambiada, se lleva a cabo un backup del hash de la TPM ownership password, como atributo del computer object.

El cn de este atributo es ms-TPM-OwnerInformation.

En la próxima parte veremos concretamente los pasos necesarios para llevar a cabo la configuración de Active Directory para poder utilizar BitLocker y TPM. Además, seguiré adelante con lo que respecta a Authoritative Restore en Active Directory.

Más información:

Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information (documento sobre el cual me estoy basando para desarrollar el artículo).

Saludos.