BitLocker con Windows DPAPI Encryption Key Management

4

Descargo de responsabilidad: Me doy cuenta de que publiqué esta pregunta en ServerFault, pero no he recibido ninguna respuesta allí. Espero que este foro sea un lugar más apropiado para publicar esto para una respuesta. Si soy incorrecto, hágamelo saber y eliminaré esta publicación.

Necesitamos aplicar el cifrado de reposo en un iSCSI LUN al que se puede acceder desde una máquina virtual Hyper-V.

Hemos implementado una solución de trabajo con BitLocker, usando Windows Server 2012 en un servidor virtual Hyper-V que tiene acceso iSCSI a un LUN en nuestra SAN. Pudimos hacerlo con éxito usando el truco de "almacenamiento de claves de disquete" como se define en ESTE POST . Sin embargo, este método me parece "hokey".

En mi investigación continua, descubrí que el equipo de TI corporativo de Amazon publicó WHITEPAPER eso esbozaba exactamente lo que buscaba en una solución más elegante, sin el "truco del disquete". En la página 7 de este documento, afirman que implementaron Administración de claves de cifrado DPAPI de Windows para administrar de forma segura sus claves de BitLocker. Esto es exactamente lo que estoy buscando hacer, pero dijeron que tenían que escribir una secuencia de comandos para hacer esto, sin embargo, no proporcionan la secuencia de comandos o incluso ninguna sugerencia sobre cómo crear una.

¿Alguien tiene detalles sobre cómo crear una secuencia de comandos "junto con un servicio y un archivo de almacenamiento de claves protegido por la clave DPAPI de la cuenta de la máquina del servidor" (como se indica en el documento) para ¿Administrar y desbloquear automáticamente los volúmenes de BitLocker? Cualquier consejo es apreciado.

    
pregunta bigmac 08.07.2013 - 20:10
fuente

1 respuesta

3

DPAPI funciona básicamente de dos maneras: la información que está protegiendo está cifrada a nivel de máquina o a nivel de usuario.

Si está ejecutando como un servicio, debe usar el nivel de máquina. Si se ejecuta bajo un usuario, puede utilizar el nivel de usuario. La diferencia es que para el nivel de usuario, la contraseña del usuario básicamente proporciona el cifrado de los datos que pasa a la API. A nivel de máquina, tiene algo que ver con el hardware o la instalación de Windows (no estoy seguro).

Si alguien tuviera acceso físico a la computadora, no podría descifrar su contraseña de BitLocker sin conocer su contraseña de Windows (o haber iniciado sesión como ya lo hizo). Con el cifrado a nivel de máquina, es un poco más débil. Cualquier persona con acceso físico puede obtener la clave. Pero sí protege contra situaciones en las que el atacante se encuentra en una ubicación remota.

Aquí está su enlace para usar DPAPI con .NET:

enlace

Y aquí hay un enlace para la API de BitLocker Win32:

enlace

Necesitará realizar algún trabajo sobre cómo usar la API de BitLocker, ya que debe llamar a funciones Win32 no administradas desde el .NET Framework administrado.

    
respondido por el John 16.07.2013 - 19:42
fuente

Lea otras preguntas en las etiquetas