Backup, DR e business continuity

L’uso di BitLocker con BackupAssist come alternativa a TrueCrypt

14 Gennaio 2015

Hai probabilmente sentito la notizia secondo la quale gli sviluppatori di TrueCrypt, il cui codice è attualmente integrato all'interno di BackupAssist, hanno deciso di interrompere lo sviluppo del loro software.
Uno dei siti che riporta la notizie è questo: http://www.chimerarevo.com/windows/addio-truecrypt-insicuro-dischi-cifrati-rischio-168800/
Per contro, una recente ricerca indipendente pubblicata da iSEC non ha identificato alcuna vulnerabilità di sicurezza all'interno di TrueCrypt, anche se è possibile che prima o poi ne possa emergere qualcuna in futuro.

ATTENZIONE: Non ti sto dicendo che devi immediatamente abbandonare TrueCrypt, ma in futuro potrai aspettarti di vedere integrata in BackupAssist una nuova applicazione crittografica.

Però visto che siamo tecnici informatici e ci piace sperimentare proviamo a vedere qualche alternativa.



Crittografare con BitLocker

BitLocker Drive Encryption (BDE)

BitLocker Drive Encryption è una funzione per la cifratura integrale dei dischi presente nelle versioni Ultimate ed Enterprise di Microsoft Windows Vista e Windows 7, e nelle versioni Pro ed Enterprise di Windows 8 per desktop, oltre che nelle versioni server Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Server-core

Prima le cattive notizie…
Il limite più grande con cui ci siamo scontrati usando BitLocker con l'interfaccia grafica di Windows è la scarsa praticità per gli amministratori poiché per cifrare e decifrare i dischi richiede di essere loggati permanentemente.

Una soluzione: la linea di comando…
Nei test abbiamo cercato un modo per sbloccare automaticamente il disco cifrato ogni volta che viene lanciato il job, e di bloccarlo nuovamente una volta terminato quest'ultimo.
Con un piccolo aiuto da parte del comando manage-bde di BitLocker e degli script pre- e post-job di BackupAssist, sembra che questo si possa fare.

Attenzione però che quello riportato di seguito è frutto di test che non hanno la pretesa di essere definitivi e non possono sostituirsi ai test che farà il produttore di BackupAssist.

I test eseguiti fino ad ora contemplano:

  • test eseguito con job di tipo File Protection;
  • test eseguito con job di tipo System Protection usando l'opzione Data Container;
  • test eseguito solamente con drive di destinazione USB formattato NTFS;
  • test eseguito solamente con un'unica destinazione (per ora niente rotazione di dischi*).

In questo esempio è descritto il processo necessario per creare un job File Protection di BackupAssist su un singolo drive USB cifrato con BitLocker.

Passo 1 Installare BitLocker

Prima di poter usare BitLocker occorre naturalmente installarlo su Windows.
1.      Aprire Server Manager.
2.      Selezionare l'opzione Add features dal menu Features Summary Help.
3.      Spuntare il box BitLocker Drive Encryption e quindi selezionare Install.




BitLocker è preinstallato su Windows 7 e 8/8.1 (solo versione Enterprise) ed è raggiungibile via Control PanelSystem and Security.

Passo 2 Cifrare il disco di destinazione

Prima di cifrare il drive USB di destinazione accertarsi che sia stato appena formattato con NTFS.
Perché un disco di destinazione possa funzionare con BitLocker, deve prima essere cifrato. Si consiglia di ricorrere ai tool per linea di comando perché, stranamente, il normale metodo tramite l'interfaccia grafica di Windows sembra che renda poi impossibile decifrare il disco mediante linea di comando.
La prima cosa da fare è creare una cartella nella radice del drive C: per memorizzare le chiavi crittografiche che BitLocker genera al momento di cifrare un nuovo disco. Abbiamo chiamato questa cartella C:bitlocker-keys

Apriamo un prompt e digitiamo il seguente comando:
manage-bde -on H: -RecoveryPassword -RecoveryKey C:bitlocker-keys

“H:” è la lettera del drive di destinazione, mentre “C:bitlocker-keys” è la cartella nella quale memorizzare una copia della chiave di cifratura.

Nota:
Le chiavi crittografiche che create sono importanti e ne avrete bisogno per cifrare e decifrare il disco: per questo conservatene una copia al sicuro.

 



 

Quando si esegue questo comando il drive di destinazione viene cifrato e una nuova chiave crittografica viene salvata nella cartella C:bitlocker-keys con un nome simile a questo:
BE2EC191-47EF-44EC-9D37-202B10B4747B.BEK

Per rendere più facili le cose in seguito, si consiglia di rinominare questo file con la stessa etichetta del drive di destinazione, per esempio “Daily 1.BEK“. Attenzione: i contenuti del file devono rimanere esattamente gli stessi!

Dal momento che abbiamo usato l'opzione ’ -RecoveryPassword’ ci verrà mostrata anche una password numerica che potremo usare come alternativa per decifrare il drive:
293953-325534-629442-033297-235224-174900-574134-367873

Non useremo ora questa password perché viene mostrata in chiaro e non è sicura, ma si deve prenderne nota e conservata in un luogo sicuro dal momento che potrà servire per sbloccare facilmente un disco con qualunque server dotato di BitLocker, senza bisogno di disporre del file contenente la chiave crittografica.

Passo 3 Montare manualmente il drive cifrato da BitLocker

Per poter utilizzare il drive con BackupAssist e prepararlo dobbiamo prima montare manualmente il disco cifrato via linea di comando (occorre farlo una sola volta). Al prompt digitiamo quanto segue:
manage-bde -unlock -recoverykey “C:Daily 1.BEK” H:

Questo comando sbloccherà il drive usando la chiave crittografica creata e rinominata prima. In questo esempio il nostro drive cifrato è H:. A questo punto si nota l'aggiunta di un drive cifrato all'interno di Windows Explorer, pronto a essere utilizzato come qualsiasi altro disco normale.



Passo 4 Configurare il job di BackupAssist

Ora che abbiamo un drive H: operativo possiamo procedere al backup, non prima però di aver configurato BackupAssist affinché prepari questo drive e aver aggiunto alcuni script custom per montare e smontare automaticamente il volume cifrato ogni volta che viene eseguito il job.

1. Creare un nuovo job File Protection e procedere con il setup wizard come sempre; quando si arriva alla scelta della destinazione indicare un disco esterno.




2. Scegliere lo schema di rotazione come al solito (come una rotazione quotidiana completa)




3.Ora indicare la lettera del drive o rilevare il drive associato al nostro disco sbloccato (in questo esempio è il drive H:)




4. Accertarsi di cambiare il numero di dischi usati per il backup quotidiano specificando 1 (in questo esempio usiamo un solo disco USB)

5. Nella sezione ‘Prepare media’ accertarsi di preparare il disco “Daily 1″.




6. Proseguire fino alla fine del job e salvare.

7. Ora editare il job appena creato e aprire la sezione degli script.




È qui che occorre inserire gli script che sbloccano e bloccano il drive cifrato prima e dopo il job. Nella sezione “Run before each backup” inserire questo script:
manage-bde -unlock -recoverykey “C:bitlocker-keysDaily 1.BEK” H:

Nella sezione “Run after each backup” digitare invece quest'altro:
manage-bde -lock -forcedismount H:

Selezionare ‘Apply changes‘
8. Prima di collaudare questo job si deve provvedere al lock manuale del drive cifrato (lo avevamo sbloccato in precedenza).

Si può farlo ricorrendo allo stesso script appena inserito digitandolo nuovamente al prompt della linea di comando:
manage-bde -lock -forcedismount H:

Passo 5 Collaudare il job

Lanciare il job all'interno di BackupAssist e tenere sott'occhio la finestra di Windows Explorer. Prima che il job parta si deve vedere il drive cifrato indicato dall'icona di un lucchetto giallo chiuso…




…mentre all'avvio del job l'icona dovrebbe trasformarsi in un lucchetto aperto di colore grigio durante tutta la procedura di backup…




…per poi ritornare finalmente al lucchetto chiuso giallo al termine del job.

*Un metodo avanzato che utilizza più drive di destinazione

Abbiamo cercato di mantenere questa guida più semplice possibile, e per questo ho scelto uno scenario con un unico disco di destinazione. Mi rendo però conto che è prassi comune eseguire i backup su un pool di dischi in rotazione, e in questo caso si può procedere come segue.

Quando si usano più dischi di destinazione per un backup, ciascuno di essi dovrà essere cifrato con il metodo indicato sopra e di conseguenza avrà un proprio file contenente una chiave crittografica univoca. Questo è molto importante, dato che è possibile sbloccare un disco solamente con la chiave generata al momento della prima cifratura.

Questa è una delle principali ragioni per cui come prima cosa abbiamo rinominato il file della chiave crittografica!
La procedura ora è quella di lavorare su un disco per volta e rinominare la chiave in base al disco stesso.

Presumendo di avere 5 dischi (Daily 1, Daily 2, Daily 3, Daily 4, Daily 5), nella cartella C:bitlocker-keys si deve ottenere alla fine 5 file ‘.BEK’ rinominati Daily 1.Bek , Daily 2.BEK ecc.

Il passo successivo è quello di sbloccare manualmente e preparare ciascun disco come descritto sopra.
Infine occorre modificare lo script che sblocca i dischi affinché, anziché puntare a uno specifico file .BEK, utilizzi la variabile ‘%MEDIA_LABEL%’ per recuperare la chiave corrispondente al disco di destinazione collegato in quel momento.

Ecco dunque che lo script ‘Run before backup’ dovrebbe diventare così:
manage-bde -unlock -recoverykey “C:bitlocker-keys%MEDIA_LABEL%.BEK” H:
 
(Tratto da Zensoftware)

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per restare aggiornato su tutte le nostre iniziative