Friday, October 15th, 2010...11:21 pm

Odzyskać klucz

Jump to Comments

Nowe systemy, nowe możliwości, nowe problemy.

Wraz z Vistą pojawiła się w systemie możliwość szyfrowania dysków z użyciem BitLocker. Szyfrowanie jak to szyfrowanie – wymaga klucza, a klucze jak to klucze, potrafią się zgubić, może zajśc potrzeba awaryjnego odblokowania dostępu itp. Dlatego w ramach BitLockera mamy mechanizmy Recovery Key. W przypadku, gdy konieczne jest odblokowanie dostępu do szyfrowanego dysku, do którego z jakiegoś powodu dostać się nie możemy, gdy posiadamy rzeczony klucz odzyskiwania możemy go podać i uzyskać dostęp do danych.  Problem jest z tym jeden – jak zarządzać tymi właśnie kluczami odzyskiwania??

W przypadku organizacji, w której wdrożone zostało Active Directory możliwe jest skonfigurowanie systemu tak, aby przy uruchomieniu BitLocker zachował klucz w ramach katalogu Active Directory. Rzecz przydatna, aczkolwiek ma jedną wadę z punktu widzenia administratora a tym bardziej użytkownika – sposób dostępu do tych informacji.

(ccPaul Watson

Domyślnie nie ma w systemie żadnego narzędzia, które to umożliwia w sposób przyjazny dla użytkownika (zakładam, że linia poleceń czy też narzędzia LDAP nie są takowymi).  Informacje te przechowywane są w ramach obiektu ms-FVE-RecoveryInformation, a sam klucz dokładniej w atrybucie ms-FVE-RecoveryPassword.

Jeżeli ktoś zajrzał w powyższy link do opisu tego atrybuty zauważył może informację dotyczącą wartości searchFlags dla tego atrybutu:

(…) Search-Flags: 0x00000088 (…)

Oznacza to, że atrybut ten oznaczony jest jako confidential attribute i nie wszyscy użytkownicy będą mieli do niego dostęp. A to może trochę skomplikować scenariusze typu helpdesk i czy samodzielna obsługa użytkownika w chwili, gdy dostęp do tych danych jest wymagany.

Pewnym rozwiązaniem jest BitLocker Password Recovery Viewer, dostępny jako dodatkowy komponent narzędzi zarządzających Windows Server. Udostępnia on jednak dostęp do danych, aktualnie przechowywanych w AD i z założenia jest narzędziem dla administratorów. A co gdy potrzebny jest samodzielny dostęp do tych danych użytkownika lub helpdesk lub gdy odszyfrować trzeba dysk, dla którego te informacje w AD już nie są dostępne …

… ufff, dobrneliśmy

Microsoft IT, jak każda tego typu organizacja posiada własne narzędzia, przeznacozne też dla użytkowników wewnętrznie. Jednym z nich jest narzędzie, którego celem jest zachowanie danych dotyczących klucza odzyskiwania BitLocker z Active Directory i  udostępniające mechanizm samodzielnej obsługi w zakresie ich odzyskiwania dla użytkowników. O jego zaletach przekonał się jeden z kolegów, który musiał skorzystać z opcji odzyskania klucza będąc na wysuniętej placówce w kraju wschodnim – dzięki helpdesk i aplikacji dla nich dostępnej zajęło to kilka minut.

Dobra wiadomość jest taka, że zespół MS IT udostępnił właśnie to narzędzie w ramach projektu o nazwie Key Recovery Tool for Bitlocker na Codeplex. Jego krótki opis przedstawia jasno cel narzędzia:

(…)  Key Recovery Tool for Bitlocker® harvests the Bitlocker Recovery information in a single database for long term storage. Its web interface allows end users to view their keys with built-in logging and notification. (…)

Jeżeli więc wdrożyliście BitLocker w swojej organizacji lub planujecie to zrobić może warto się nim zainteresować.

Oczywiście nie rozwiązuje to wszystkich problemów i nie jest rozwiązaniem idealnym (OTP przy boot OS z elementem klucza do OTP podawanym przez helpdesk byłoby pewnie lepszym), ale i tak dobrze że się ukazało.

 

P.S. Tak już całkiem przy okazji mała przypominajka. Jeżeli byłeś na MTS, a już jeżeli byłeś na którejś z moich sesji poświęć kilka minut i wypełnij ankietę po konferencji  i sesji. Linki bezpośrednio do ankiet dotyczących moich sesji (Wymagane logowanie LiveID):

Twój głos się tutaj liczy ;).

1 Comment

  • Ta ostatnia opcja (OTP-OTP, czyli challenge-response) jest od kilku lat tematem mojej walki z grupą produktową. Prawdę mówiąc byłem pewny, że w Windows 7 będzie, ale jak widać nie… Szkoda, bo w “konkurencyjnych” rozwiązaniach to standard.

Leave a Reply