Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor

BitLocker - важная новая технология защиты информации, обеспечивающая шифрование данных на компьютере. С помощью этой технологии вы сможете зашифровать весь жесткий диск и обеспечить его защиту в случае, если ноутбук попадет в руки злоумышленника. Наиболее эффективно применение данной технологии для портативных компьютеров, оборудованных модулем Trusted Platform Module (TPM) версии 1.2 и выше, так как в таком случае вы получите расширенную поддержку и проверку целостности всей системы при загрузке. Кроме того, в случае если компьютер не оборудован TPM, вы сможете использовать в качестве ключа внешний USB- накопитель в качестве устройства для хранения ключа доступа.

Для внедрения BitLocker вы должны рассмотреть следующее : Оценить готовность аппаратных средств к BitLocker; Определить возможность развертывания ; Выбрать конфигурацию BitLocker; Создать план восстановления данных в случае чрезвычайной ситуации.

Операционная система Windows 7 Enterprise или Windows 7 Ultimate; Если вы хотите использовать BitLocker вместе с модулем TPM, материнские платы компьютеров должны быть TPM- совместимы, т. е. оборудованы модулями TPM, соответствующими спецификации Trusted Computing Group TPM v.1.2 или более новыми ; Жесткий диск должен содержать два раздела с файловой системой NTFS. Раздел, на который BitLocker будет записывать загрузочные компоненты, должен быть первым и содержать не менее 100 Mb чистого пространства. Кроме того, это должен быть активный раздел. Для того чтобы узнать, удовлетворяют ли ваши компьютеры указанным требованиям, можно использовать сценарии Windows Management Instrumentation (WMI) или PowerShell. Однако гораздо предпочтительнее задействовать Microsoft Systems Management Server (SMS) или аналогичные утилиты от независимых производителей.

Фактически аппаратные требования для использования BitLocker аналогичны тем требованиям, которые предъявляются к компьютерам для установки Windows 7. Однако если вы решите использовать расширенные возможности, связанные с поддержкой ТРМ, потребуются компьютеры, оборудованные TPM- модулем версии 1.2 или более новым. На компьютерах, не оборудованных ТРМ, можно использовать ключи шифрования, размещаемые на USB- дисках. Но такой способ размещения ключей шифрования значительно менее надежен Жесткий диск должен быть первым устройством в списке загрузки.

Для того чтобы больше узнать о технологии TPM и о самой группе Trusted Computing Group, следует прочесть статью Trusted Platform Module (TPM) Specifications Доверенный платформенный модуль - это микросхема, установленная на материнской плате, предназначенная в первую очередь для хранения ключей шифрования. Фактически компьютеры, на которых установлен ТРМ, создают ключи шифрования таким образом, что они могут быть расшифрованы только с помощью ТРМ. Этот процесс часто называется « сокрытием » (wrapping) или « привязкой » (binding) ключа, что помогает защитить ключ от компрометации. В каждом модуле ТРМ есть так называемый главный ключ (master key), или основной ключ (Storage Root Key, SRK), который никогда не будет доступен другому компоненту системы и который всегда хранится в ТРМ.

Компьютеры, оснащенные ТРМ, также обладают возможностью создавать ключи, которые будут не только зашифрованы, но и привязаны к определенной системной конфигурации. То есть ключи могут быть расшифрованы только в том случае, если платформа, на которой их пытаются расшифровать, будет полностью совпадать с той, на которой эти ключи создавались. Данный процесс называется « запечатыванием » ключа в модуле ТРМ. Так как модуль ТРМ не зависит от операционной системы и имеет собственное программное обеспечение, он фактически защищен от возможных ошибок операционной системы.

После того, как вы определите наличие аппаратных средств и программного обеспечения, которые поддерживают один или более режимов функционирования BitLocker, следующим шагом будет определение тех компьютеров, на которых будет разворачиваться BitLocker. Для этого вам потребуется ответить на следующие вопросы : Какие компьютеры в вашей организации нуждаются в защите ? Нужно ли защищать все ваши мобильные и настольные компьютеры ? Какие данные в вашей организации нуждаются в криптографической защите ?

Windows 7 и BitLocker необходимо устанавливать на компьютеры, которые подвергаются наибольшему риску. Это такие компьютеры, как : компьютеры, используемые топ - менеджерами, работающими с наиболее важной конфиденциальной информацией ; Компьютеры, используемые служащими, которые могут иметь доступ к личным или финансовым данным клиентов, служащих или деловых партнеров ;

Компьютеры, на которых обрабатывается персональная информация клиентов или служащих ; Компьютеры, используемые в тех областях, где они особенно уязвимы ( воровство ); Портативные компьютеры, используемые служащими вне пределов офиса ; Домашние компьютеры служащих, используемые для удаленной работы в сети компании. Наиболее простым способом определения компьютеров, которые нуждаются в шифровании, будет использование базы данных компьютеров.

Конфиденциальная информация, защищаемая законом, включая финансовую, банковскую, кредитную информацию, а также стратегические планы предприятия ; Личные данные служащих, уволенных служащих или клиентов ( информация, отнесенная к категории персональных данных ); Исходные тексты программного обеспечения, базы данных и другая интеллектуальная собственность ; Лицензионные материалы, принадлежащие деловым партнерам или клиентам.

Компьютер Конфигурация BitLocker Стационарная рабочая станция Стационарная рабочая станция может использовать шифрование BitLocker с использованием ТРМ или с хранением ключа на USB- устройстве, в зависимости от аппаратной конфигурации Стандартный ноутбукВсе новые компьютеры, оборудованные ТРМ, должны использовать конфигурацию BitLocker с TPM и PIN- кодом. Остальные - BitLocker без ТРМ ( с USB- устройством ). Ноутбуки, на которых хранится информация, отнесенная к категории « СТРОГО КОНФИДЕНЦИАЛЬНО » Все должны использовать конфигурацию BitLocker с TPM и PIN- кодом. Ноутбуки, на которых не поддерживается подобная технология, должны быть заменены.

Данный режим не обеспечивает максимальную защищенность, однако может применяться в следующих ситуациях : В случае если вы не нуждаетесь в мультифакторной аутентификации ; Если данные, хранящиеся на вашем компьютере, не требуют усиленной аутентификации.

Внедрение данной технологии потребует выполнения следующих действий : создание перечня компьютеров в организации и оборудованных ТРМ - модулями ; описание цикла обновления ( замены ) аппаратных средств ; определение, существуют ли в организации компьютеры, требующие автоматического запуска ; описание процедур замены жесткого диска, ремонта и списания для защищенных ТРМ - систем, при условии, что зашифрованный с помощью BitLocker диск не может использоваться в качестве срочной замены.

В случае внедрения этого способа шифрования важно обратить внимание на создание инструкции для пользователей, которая будет предназначена для : обучения пользователей процедуре выбора устойчивого к взлому PIN- кода, удовлетворяющего требованиям политики безопасности организации ; рассмотрения процедуры доступа к компьютеру и восстановления данных в случае, если пользователь забыл свой PIN- код ; рассмотрения процедуры сброса PIN- кода.

проверьте компьютеры, на которых собираетесь использовать BitLocker с USB- ключом, чтобы убедиться в том, что они могут распознать USB- ключ во время загрузки ; создайте план перемещения данных и приложений с этих компьютеров на компьютеры с поддержкой ТРМ, в случае обновления аппаратного обеспечения.

Существуют следующие методики хранения пароля восстановления : Хранение пароля в распечатанном на бумаге виде ; Хранение пароля на сменных носителях ; Хранение пароля на сетевом носителе ; Хранение пароля в Active Directory. Не следует останавливаться только на одном методе хранения пароля, так как его утрата повлечет за собой отказ восстановления зашифрованных данных

Процесс хранения автоматизирован и не требует вовлечения пользователя ; Информация, необходимая для восстановления, не может быть утеряна или изменена пользователем ; AD обеспечивает централизованное управление и хранение информации для восстановления ; Информация для восстановления защищена вместе с другими данными AD.

Использование AD для хранения паролей восстановления BitLocker выдвигает новые требования : Организация должна иметь устойчивую, хорошо управляемую инфраструктуру AD; AD на базе Windows Server 2003 должна быть расширена для включения атрибутов BitLocker.; Необходимо иметь политику безопасности для обеспечения безопасного хранения паролей восстановления в AD.

Преимущества : процесс легко осуществим ; требуется небольшая инфраструктура ; легко осуществим для технически неподготовленных пользователей. Недостатки : процесс создания и хранения пароля восстановления зависит от пользователя ; хранение пароля данным способом не обеспечивает централизованного управления ; не существует гарантированной защиты от компрометации ( хищения, несанкционированного ознакомления, утраты или повреждения );

Преимущества : вы можете хранить большое количество паролей восстановления на одном USB- устройстве, так как все они хранятся в виде текстовых файлов ; легче обеспечить физическую защиту устройства, его безопасное хранение. Недостатки : далеко не все компьютеры на сегодня поддерживают обращение к USB- устройству в процессе загрузки ; сбор паролей восстановления для последующего хранения - выполняемый вручную процесс, который не может быть автоматизирован ; USB- устройство может быть потеряно или повреждено, и в таком случае все пароли восстановления будут утрачены.

Восстановление данных, зашифрованных с помощью BitLocker, будет требовать физического доступа к восстанавливаемому компьютеру для ввода пароля восстановления. Это требование существенно влияет на процесс восстановления, так как вполне вероятно, что восстановление понадобится в случае, когда пользователь находится вне офиса. По умолчанию все администраторы домена могут читать пароли восстановления BitLocker, хранящиеся в AD. Точно так же они могут делегировать эту возможность другим пользователям. Однако порядок этого должен быть описан в политике безопасности.

Прежде чем начинать процесс восстановления, необходимо гарантировать, что вы предусмотрели любые неожиданности, которые могут возникнуть. Например : в случае восстановления с помощью ключа USB вы должны убедиться, что целевая система может читать данные с USB- устройства во время начальной загрузки. Убедитесь, что ваше USB- устройство работает вместе с целевым компьютером ; При использовании дополнительных ( сетевых и т. д.) мест хранения паролей восстановления убедитесь до начала процесса восстановления, что они доступны пользователю. В случае если вы хотите распечатать пароль восстановления, при его генерации убедитесь, что сетевой принтер доступен, и вы знаете, как будете хранить напечатанный пароль.

Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor