Microsoft TechDayshttp:// Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor

Microsoft TechDayshttp:// BitLocker - важная новая технология защиты информации, обеспечивающая шифрование данных на компьютере. Наиболее эффективно применение данной технологии для портативных компьютеров, оборудованных модулем Trusted Platform Module (TPM) версии 1.2 и выше, так как в таком случае вы получите расширенную поддержку и проверку целостности всей системы при загрузке. Кроме того, в случае если компьютер не оборудован TPM, вы сможете использовать в качестве ключа внешний USB-накопитель в качестве устройства для хранения ключа доступа.

Microsoft TechDayshttp:// Для внедрения BitLocker вы должны рассмотреть следующее: Оценить готовность аппаратных средств к BitLocker; Определить возможность развертывания; Выбрать конфигурацию BitLocker; Создать план восстановления данных в случае чрезвычайной ситуации.

Microsoft TechDayshttp:// Операционная система Windows 7 Enterprise или Windows 7 Ultimate; Если вы хотите использовать BitLocker вместе с модулем TPM, материнские платы компьютеров должны быть TPM-совместимы, т.е. оборудованы модулями TPM, соответствующими спецификации Trusted Computing Group TPM v.1.2 или более новыми; Жесткий диск должен содержать два раздела с файловой системой NTFS. Раздел, на который BitLocker будет записывать загрузочные компоненты, должен быть первым и содержать не менее 100 Mb чистого пространства. Кроме того, это должен быть активный раздел.

Microsoft TechDayshttp:// Для того чтобы узнать, удовлетворяют ли ваши компьютеры указанным требованиям, можно использовать сценарии Windows Management Instrumentation (WMI) или PowerShell. Однако гораздо предпочтительнее задействовать Microsoft Systems Management Server (SMS) или аналогичные утилиты от независимых производителей.

Microsoft TechDayshttp:// Фактически аппаратные требования для использования BitLocker аналогичны тем требованиям, которые предъявляются к компьютерам для установки Windows 7. Однако если вы решите использовать расширенные возможности, связанные с поддержкой ТРМ, потребуются компьютеры, оборудованные TPM- модулем версии 1.2 или более новым.

Microsoft TechDayshttp:// На компьютерах, не оборудованных ТРМ, можно использовать ключи шифрования, размещаемые на USB- дисках. Но такой способ размещения ключей шифрования значительно менее надежен Жесткий диск должен быть первым устройством в списке загрузки.

Microsoft TechDayshttp:// Для того чтобы больше узнать о технологии TPM и о самой группе Trusted Computing Group, следует прочесть статью Trusted Platform Module (TPM) Specifications cs/TPM. cs/TPM Доверенный платформенный модуль - это микросхема, установленная на материнской плате, предназначенная в первую очередь для хранения ключей шифрования.

Microsoft TechDayshttp:// Фактически компьютеры, на которых установлен ТРМ, создают ключи шифрования таким образом, что они могут быть расшифрованы только с помощью ТРМ. Этот процесс часто называется «сокрытием» (wrapping) или «привязкой» (binding) ключа, что помогает защитить ключ от компрометации. В каждом модуле ТРМ есть так называемый главный ключ (master key), или основной ключ (Storage Root Key, SRK), который никогда не будет доступен другому компоненту системы и который всегда хранится в ТРМ.

Microsoft TechDayshttp:// Компьютеры, оснащенные ТРМ, также обладают возможностью создавать ключи, которые будут не только зашифрованы, но и привязаны к определенной системной конфигурации. То есть ключи могут быть расшифрованы только в том случае, если платформа, на которой их пытаются расшифровать, будет полностью совпадать с той, на которой эти ключи создавались. Данный процесс называется «запечатыванием» ключа в модуле ТРМ. Так как модуль ТРМ не зависит от операционной системы и имеет собственное программное обеспечение, он фактически защищен от возможных ошибок операционной системы.

Microsoft TechDayshttp:// После того, как вы определите наличие аппаратных средств и программного обеспечения, которые поддерживают один или более режимов функционирования BitLocker, следующим шагом будет определение тех компьютеров, на которых будет разворачиваться BitLocker. Для этого вам потребуется ответить на следующие вопросы: Какие компьютеры в вашей организации нуждаются в защите? Нужно ли защищать все ваши мобильные и настольные компьютеры? Какие данные в вашей организации нуждаются в криптографической защите?

Microsoft TechDayshttp:// Windows 7 и BitLocker необходимо устанавливать на компьютеры, которые подвергаются наибольшему риску. Это такие компьютеры, как: компьютеры, используемые топ- менеджерами, работающими с наиболее важной конфиденциальной информацией; Компьютеры, используемые служащими, которые могут иметь доступ к личным или финансовым данным клиентов, служащих или деловых партнеров;

Microsoft TechDayshttp:// Компьютеры, на которых обрабатывается персональная информация клиентов или служащих; Компьютеры, используемые в тех областях, где они особенно уязвимы (воровство); Портативные компьютеры, используемые служащими вне пределов офиса; Домашние компьютеры служащих, используемые для удаленной работы в сети компании. Наиболее простым способом определения компьютеров, которые нуждаются в шифровании, будет использование базы данных компьютеров.

Microsoft TechDayshttp:// Конфиденциальная информация, защищаемая законом, включая финансовую, банковскую, кредитную информацию, а также стратегические планы предприятия; Личные данные служащих, уволенных служащих или клиентов (информация, отнесенная к категории персональных данных); Исходные тексты программного обеспечения, базы данных и другая интеллектуальная собственность; Лицензионные материалы, принадлежащие деловым партнерам или клиентам.

Microsoft TechDayshttp:// КомпьютерКонфигурация BitLocker Стационарная рабочая станция Стационарная рабочая станция может использовать шифрование BitLocker с использованием ТРМ или с хранением ключа на USB-устройстве, в зависимости от аппаратной конфигурации Стандартный ноутбукВсе новые компьютеры, оборудованные ТРМ, должны использовать конфигурацию BitLocker с TPM и PIN-кодом. Остальные - BitLocker без ТРМ (с USB-устройством). Ноутбуки, на которых хранится информация, отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНО » Все должны использовать конфигурацию BitLocker с TPM и PIN-кодом. Ноутбуки, на которых не поддерживается подобная технология, должны быть заменены.

Microsoft TechDayshttp:// Данный режим не обеспечивает максимальную защищенность, однако может применяться в следующих ситуациях: В случае если вы не нуждаетесь в мультифакторной аутентификации; Если данные, хранящиеся на вашем компьютере, не требуют усиленной аутентификации.

Microsoft TechDayshttp:// Внедрение данной технологии потребует выполнения следующих действий: создание перечня компьютеров в организации и оборудованных ТРМ- модулями; описание цикла обновления (замены) аппаратных средств;

Microsoft TechDayshttp:// Внедрение данной технологии потребует выполнения следующих действий: определение, существуют ли в организации компьютеры, требующие автоматического запуска; описание процедур замены жесткого диска, ремонта и списания для защищенных ТРМ- систем, при условии, что зашифрованный с помощью BitLocker диск не может использоваться в качестве срочной замены.

Microsoft TechDayshttp:// В случае внедрения этого способа шифрования важно обратить внимание на создание инструкции для пользователей, которая будет предназначена для: обучения пользователей процедуре выбора устойчивого к взлому PIN-кода, удовлетворяющего требованиям политики безопасности организации; рассмотрения процедуры доступа к компьютеру и восстановления данных в случае, если пользователь забыл свой PIN-код; рассмотрения процедуры сброса PIN-кода.

Microsoft TechDayshttp:// проверьте компьютеры, на которых собираетесь использовать BitLocker с USB-ключом, чтобы убедиться в том, что они могут распознать USB- ключ во время загрузки; создайте план перемещения данных и приложений с этих компьютеров на компьютеры с поддержкой ТРМ, в случае обновления аппаратного обеспечения.

Microsoft TechDayshttp:// Существуют следующие методики хранения пароля восстановления: Хранение пароля в распечатанном на бумаге виде; Хранение пароля на сменных носителях; Хранение пароля на сетевом носителе; Хранение пароля в Active Directory. Не следует останавливаться только на одном методе хранения пароля, так как его утрата повлечет за собой отказ восстановления зашифрованных данных

Microsoft TechDayshttp:// Процесс хранения автоматизирован и не требует вовлечения пользователя; Информация, необходимая для восстановления, не может быть утеряна или изменена пользователем; AD обеспечивает централизованное управление и хранение информации для восстановления; Информация для восстановления защищена вместе с другими данными AD.

Microsoft TechDayshttp:// Использование AD для хранения паролей восстановления BitLocker выдвигает новые требования: Организация должна иметь устойчивую, хорошо управляемую инфраструктуру AD; AD на базе Windows Server 2003 должна быть расширена для включения атрибутов BitLocker.; Необходимо иметь политику безопасности для обеспечения безопасного хранения паролей восстановления в AD.

Microsoft TechDayshttp:// Преимущества: процесс легко осуществим; требуется небольшая инфраструктура; легко осуществим для технически неподготовленных пользователей. Недостатки: процесс создания и хранения пароля восстановления зависит от пользователя; хранение пароля данным способом не обеспечивает централизованного управления; не существует гарантированной защиты от компрометации (хищения, несанкционированного ознакомления, утраты или повреждения);

Microsoft TechDayshttp:// Преимущества: вы можете хранить большое количество паролей восстановления на одном USB-устройстве, так как все они хранятся в виде текстовых файлов; легче обеспечить физическую защиту устройства, его безопасное хранение. Недостатки: далеко не все компьютеры на сегодня поддерживают обращение к USB-устройству в процессе загрузки; сбор паролей восстановления для последующего хранения - выполняемый вручную процесс, который не может быть автоматизирован; USB-устройство может быть потеряно или повреждено, и в таком случае все пароли восстановления будут утрачены.

Microsoft TechDayshttp:// Восстановление данных, зашифрованных с помощью BitLocker, будет требовать физического доступа к восстанавливаемому компьютеру для ввода пароля восстановления. Это требование существенно влияет на процесс восстановления, так как вполне вероятно, что восстановление понадобится в случае, когда пользователь находится вне офиса. По умолчанию все администраторы домена могут читать пароли восстановления BitLocker, хранящиеся в AD. Точно так же они могут делегировать эту возможность другим пользователям. Однако порядок этого должен быть описан в политике безопасности.

Microsoft TechDayshttp:// Прежде чем начинать процесс восстановления, необходимо гарантировать, что вы предусмотрели любые неожиданности, которые могут возникнуть. Например: При использовании дополнительных (сетевых и т.д.) мест хранения паролей восстановления убедитесь до начала процесса восстановления, что они доступны пользователю. В случае если вы хотите распечатать пароль восстановления, при его генерации убедитесь, что сетевой принтер доступен, и вы знаете, как будете хранить напечатанный пароль.

Microsoft TechDayshttp:// Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor

Microsoft TechDayshttp:// © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.