הגדרת Bitlocker עם Intune

המאמר מתמקד בהגדרת Bitlocker על גבי תחנות מבוססות Windows 10 באמצעות Intune ועם תרחיש ספציפי של הצפנה מבוססת XTS ואימות אמצעות TPM וסיסמה.

המאמר הקןדם של BitLocker הצפנות ובינהם התמקד בסוגי הצפנות, דגשים חשובים להגדרת Bitlocker ומידע חיוני בעת ביצוע הצפנות מול תחנות קצה, ולכן טרם ביצוע היישום מומלץ לדעת מהם הדרישות לביצוע הצפנה ואיך הסביבה בנויה, ומומלץ לדעת את מצב תחנות הקצה והאפשרויות העומדות בפנינו בכדי ליישם הצפנה הנכונה ואת סוג האימות הנכון.

תכנון הגדרות, יישום ושחזור של הצפנה באמצעות ביטלוקר צריכה להיעשות בקפדנות ועם המון  בדיקות, ולכן טרם היישום צריך לשאול את השאלות הבאות, בין היתר:

  • אילו תנות יוצפנו עם ביטלוקר? רק ניידים או שכלל התחנות בארגון?
  • מה עושים במצבי שחזור? האם מאפשרים למשתמש לבצע שחזור עם Recovery Key או שבמצבים כאלה המשתמש צריך את התמיכה?
  • האם התחנות בארגון תוכמות בהצפנה הבסיסית של TPM 1.2 עם XtsAes128?
  • איפה יישמרו מפתחות ההצפנה? ומי מורשי גישה למפתחות הצפנה?
  • האם כוננים חיצוניים (USB Device) יוצפנו? או רק המידע שייכתב אליהם יוצפן?
  • האם תהיה למשתמש מעורבות בהצפנה? או שמדובר על יישום שקט?

כל אלה ושאלות רבות צריכות לקבל תשובה מפני שבהצפנה לא נכונה אנו יכולים לגרום נזק לתחנות הקצה ובמקרי קצה לאיבוד מידע.

הגדרת BitLocker פוליסי באמצעות Intune

הגדרת ביטלוקר על תחנות קצה מבוססות Windows 10 באמצעות Intune הוא תהליך יחסית פשוט ומובן עם אפשרויות רבות להצפנה, האפשרויות נעות החל משיטת הצפנה ועד איזה מהו סוג הכונן אשר יוצפן.

בכדי להגדיר ביטלוקר ניגש לממשק (Intune בלייד) הניהול Intune Device Configuration, ולאחר מכן נתחיל ביצירת פרופיל והגדרות.

יצירת פרופיל לתחנות Windows 10 ועם פרופיל Endpoint Protection

לאחר יצירת הפרופיל ובחירת Endpoint Protection נתחיל בהגדרות עצמן

אפשרות Encrypt Device במצב Require מחייבת את התחנה לבצע הצפנה, ובמידה ויישום ההצפנה אינו במצב שקט המשתמש יקבל פרומפט שיבקש ממנו לבצע הצפנה ולאשר את התהליך.

חשוב להדגיש שאם הופעל ביטלוקר על תחנה שמוגדרת כבר עם מנגנון הצפנה אחר הדבר עלול לגרום, כלומר, בסיום הצפנת ביטלוקר הכונן יכול לצאת מכלל שימוש והמידע לא יהיה זמין יותר.

הגדרת Bitlocker base settings היא הגדרה כללית ורוחבית (Universal) על יתר הגדרות ביטלוקר הקיימות

הגדרת Warning for other disk encryption במצב Block הינה חשובה מאוד ומטרתה העיקרית היא למנוע פרומפטים של הודעות שונות בצד המשתמש, כלומר יישום והצפנה שקטה.

הגדרת Allow standard users to enable encryption during Azure AD Join במצב  Alllow באה לסייע שהצפנה ומאפשרת למשתמשים שאינם בעלי הרשאות בתחנת הקצה מוגדרים במצב Azure AD Join להפעיל את ההצפנה. הגדרה זאת מתאימה בעיקר למנהלי סיסטם ללא הרשאות אדמין על התחנה, אך חשוב להגדיש כי הגדרה זאת אינה מאפשרת לבטל הצפנת ביטלוקר.

הגדרת Configure encryption methods במצב  Enable למעשה מאפשרת את הצפנת הכוננים, ובין אם מדובר על כוננן מערכת, כונן Fixed וכוננים נתיקים, ולכן הגדרה זאת רוחבית ונאכפת על כלל ההגדרות של ביטלוקר.

כאשר מפעילים הצפנה באמצעות ביטלוקר ישנם 2 מצבים עיקריים של XTS ושל CBC והטוב מבינהם הוא XTS.

שיטת הצפנה של XTS המבוססת על XOR/ENCRYPTION/XOR כאשר ההצפנה מתבססת על EAS המיועד להצפנה על מדיות גדולות ומדיות מגוונות במטרה להצפין סקטורים נרחבים, והשיטה להצפנה נקראת Tweakable בגדול 128 סיביות כאשר כל בלוק מוצפן פעמיים ולכן המפתח מחולק לשניים

במצב כזה כל בלוק מוצפן פעמיים, תחילה מוצפן וקטור האתחול עם המפתח הראשון, ולאחר מכן מוצפנת התוצאה של הבלוק עם הטקסט הקריא ועם המפתח השני.

הגדרת הצפנה מתוך Intune מאפשרת בחירת אחד מתוך ארבעה הצפנות של CBC ושל XTS ולכל חאת מהן ישנה הצפנה באמצעות 128 סיביות או 256 סיביות.

אפשרות Encryption for operating system drives להצפנה של מערכת הפעלה

אפשרות Encryption for fixed data-drives להצפנת כוננים נוספים

הגדרות BitLocker OS drive settings מיועדות רק לטובת כונן מערכת הפעלה ולכן יוגדרו במצב Require

הגדרת Additional authentication at startup מאפשר להגדיר מהם סוגי האוטנטיקציות שיוגדרו במהלך לוגין של תחנה באמצעות Pin או TPM ולכן יוגדר במצב Require

הגדרת BitLocker with non-compatible TPM chip היא חשובה מאוד ומטרתה למנוע חוסר תאימות ובעיות מול תחנות קצה שאינן מותאמות מול TPM ולכן יוגדר במצב Block

הגדרת Compatible TPM startup היא קצת טריקית בגלל שהגדרות אלה מופיעות מספר פעמים וכאן אנו קובעים מה יקרה בזמן שהתחנה עולה, כלומר הדרישה שלנו בזמן שהתחנה עולה יכולה להיות TPM + מספר בין כמה תווים.

במצב כזה נגדיר את Compatible TPM startup במצב Allow ולאחר מכן נגדיר את Compatible TPM startup PIN Require startup PIN with TPM במצב Require, יתר הגדרות Compatible TPM startup יכולות להישאר במצב דיפולטי של Allow.

טיפ: ניתן להקשיח את הגדרות הדרישה במצב שהתחנה עולה גם לאימות עם USB Device.

אפשרות OS drive recovery מאפשרת את לבצע שחזור בגלל מצבים שונים, למשל, במידה ומשתמש טעה מספר פעמים או אינו זוכר את הקוד שלו או במצבים בהם נעשה שינוי בדיסק.

ההגדרות המומלצות של של שחזור הם:

אפשרות Certificate-based data recovery agent אשר נועדה לשחזורים של כונן מערכת הפעלה באמצעות Data Recovery Agent, ולכן הגדרה זאת תהיה במצב Block בכדי למנוע מצבים של שחזור ע"י גורם לא מורשה.

אפשרות User creation of recovery password ואפשרות User creation of recovery key מספקות למשתמש למשתמש ליצור סיסמה ארוכה לשחזור

אפשרות Recovery options in the BitLocker setup wizard מונעת המשתמש לבחור את סוגי השחזור בעת הפעלת ביטלוקר

אפשרות Save BitLocker recovery information to Azure Active Directory ואפשרות BitLocker recovery Information stored to Azure Active Directory הם החשובות ומטרתן היא לשמור את כל המידע על גבי Azure AD של ביטלוקר ברמת תחנה ווהמידע הקשור והמשיוך של ביטלוקר מול אותו משתמש

טיפ: במצב של ביטלוקר מופעל אין למחוק את התחנה מתוך ממשק Intune שכן אין אפשרות לשחזר את המידע לאחר מכן

גם כוננים מסוג fixed נדרשים להיות מוצפנים ולכן גם להם ניתן לבצע הגדרות מסוימות שיכולות להיות שונות מהגדרות של כוננים אחרים, ולכן בהגדרת BitLocker fixed data-drive settings נבצע את ההגדרות הבאות:

אפשרות Write access to fixed data-drive not protected by BitLocker מונעת כתיבה אל כונן fixed שאינו מוצפן, אך עדיין מאפשרת קריאה של נתונים מתוך אותו כונן.

ברגע שמפעילים את האפשרות של Fixed drive recovery נפתחות בפנינו אפשרויות נוספות ולכן הגדרת זאת מומלצת במצב Enable

אפשרות Data recovery agent מאפשרת לבצע שחזור של המידע באמצעות מנגנון DRA ולכן נחסום את האפשרות הזאת בכדי לא לאפשר לגורם לא מורשה לעקוף את המנגנון כאשר יש ברשותו את כל הכלים

יתר ההגדרות דומות להגדרות של כונן OS ולכן נגדיר את אותן הגדרות במטרה לנהל את ההצפנה והשחזור באופן אחיד.

בהגדרות של כוננים ניידים ונתיקים מומלץ להחמיר ולכן באפשרות Write access to removable data-drive not protected by BitLocker וכן באפשרות של Write access to devices configured in another organization נבצע חסימה לכל מידע אשר נכתב את אותו כונן נייד

לסיום נגדיר קבוצת פילוט שתוכל לקבל את כלל ההגדרות מתוך Assignment

 

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.