BitLocker och DKM (Distributed Key Manager) för kryptering

Microsoft-servrar använder BitLocker för att kryptera diskenheter som innehåller kunddata i vila på volymnivå. BitLocker-kryptering är en funktion för dataskydd som är inbyggd i Windows. BitLocker är en av de tekniker som används för att skydda mot hot om det skulle upphöra att gälla andra processer eller kontroller (t.ex. åtkomstkontroll eller återanvändning av maskinvara) som kan leda till att någon får fysisk åtkomst till diskar som innehåller kunddata. I det här fallet eliminerar BitLocker risken för datastöld eller exponering på grund av förlorade, stulna eller olämpligt inaktiverade datorer och diskar.

BitLocker distribueras med AES-kryptering (Advanced Encryption Standard) på 256-bitars kryptering på diskar som innehåller kunddata i Exchange Online, SharePoint Online och Skype för företag. Diskarverna krypteras med en FVEK-nyckel (Full Volume Encryption Key), som är krypterad med VMK (Volume Master Key), som i sin tur är bunden till TPM (Trusted Platform Module) på servern. VMK skyddar FVEK direkt och skyddar därför VMK:n kritiskt. Följande bild illustrerar ett exempel på nyckellåskedja för BitLocker för en viss server (i det här fallet en Exchange Online server).

I följande tabell beskrivs nyckellåskedja för BitLocker för en viss server (i det här fallet Exchange Online server).

KEYTANGENTTANGENTEN GRANULARITY HUR GENERERAS DETTA? VAR LAGRAS DEN? PROTECTION
AES 256-bitars extern nyckel Per Server BitLocker-API:er TPM eller Valv Lockbox/åtkomstkontroll
Mailbox Server Registry TPM krypterat
Numeriskt lösenord med 48 siffror Per Disk BitLocker-API:er Active Directory Lockbox/åtkomstkontroll
X.509-certifikat som dataåterställningsagent (DRA) kallas även Public Key Engström Miljö (t.ex. Exchange Online multitenant) Microsoft CA Versionssystem Ingen användare har hela lösenordet till den privata nyckeln. Lösenordet är under fysiskt skydd.

BitLocker-nyckelhantering omfattar hantering av återställningsnycklar som används för att låsa upp/återställa krypterade diskar i ett Microsoft-datacenter. Microsoft 365 lagras huvudnycklarna i en säker delning, endast tillgängliga för personer som har gått igenom och godkänts. Autentiseringsuppgifterna för nycklarna lagras i en säker lagringsplats för åtkomstkontrolldata (det som vi kallar en "hemlig lagring"), vilket kräver en hög nivå av godkännanden för höjd och hantering för åtkomst med ett snabbåtkomstverktyg.

BitLocker stöder nycklar som är indela i två hanteringskategorier:

  • BitLocker-hanterade nycklar, som i allmänhet är kortare och knutna till livslängden för en operativsystemsinstans som är installerad på en server eller på en viss disk. De här nycklarna tas bort och återställs vid serverinstallation eller diskformatering.

  • BitLocker-återställningsnycklar, som hanteras utanför BitLocker men används för diskdekryptering. BitLocker använder återställningsnycklar för det scenario där ett operativsystem installeras om, och krypterade datadiskar finns redan. Återställningsnycklar används också av övervakning av hanterad tillgänglighet i Exchange Online där en svarare kan behöva låsa upp en disk.

BitLocker-skyddade volymer krypteras med en fullständig volymkrypteringsnyckel, som i sin tur krypteras med en volymhanterare. BitLocker använder FIPS-kompatibla algoritmer för att säkerställa att krypteringsnycklar aldrig lagras eller skickas via wire i klar. Implementeringen Microsoft 365 av kundens data-at-rest-skydd avviker inte från standardimplementering av BitLocker.