Шифрование дисков BitLocker в ОС Windows 7 было улучшено и теперь позволяет защищать данных на всех жестких дисках клиентского компьютера, в том числе съемных, например USB-накопителях и приводах IEEE 1394.
Если шифрование BitLocker включено на дисках операционной системы, обычная загрузочная последовательность может быть приостановлена, пока не будут предоставлены необходимые учетные данные. Хотя допускается использовать USB-накопитель для хранения ключей расшифровки, с точки зрения безопасности лучше всего использовать доверенный платформенный модуль (TPM 1.2) для хранения ключей шифрования и предотвращения программных атак на целостность системы или хранящиеся на дисках данные. Этот модуль может перед загрузкой проверять, что загрузочные компоненты жесткого диска не были изменены. Если такого модуля в системе нет, BitLocker будет обеспечивать защиту данных, но проверка целостности системы проводиться не будет.
Технология BitLocker включена в состав корпоративной (Enterprise) и максимальной (Ultimate) редакций клиентской ОС Windows 7.
Предлагаемые технологией BitLocker возможности отвечают следующим потребностям:
- защита системных дисков операционной системы;
- защита данных на несъемных дисках;
- защита данных на съемных дисках.
Защита операционной системы и несъемных жестких дисков. В рамках этого сценария BitLocker используется для защиты всех несъемных дисков компьютера, как системных, так и содержащих другие данные. Это рекомендуемая конфигурация, поскольку она обеспечивает защиту всех данных.
Один из главных рисков, для устранения которых была создана технология BitLocker, — риск утечки данных с утерянных или украденных компьютеров. Если злоумышленник получает физический доступ к компьютеру, он может:
- войти в систему Windows 7 и скопировать файлы;
- перезагрузить клиентский компьютер под управлением другой ОС, после чего:
- просмотреть имена файлов;
- скопировать файлы;
- считать содержимое файла гибернации или файла подкачки, где обнаружить открытый текст документов, с которыми велась работа;
- считать содержимое файла гибернации, где обнаружить открытую текстовую копию закрытых программных ключей.
Даже если файлы зашифрованы файловой системой EFS, небрежный пользователь может переместить или скопировать файл из защищенного расположения в незащищенное, так что данные будут представлены открытым текстом. Несведущий ИТ-персонал может забыть установить шифрование для скрытых папок, в которых приложения хранят резервные копии файлов, с которыми идет работа. Есть и операционные риски, например злонамеренное изменение системных и загрузочных файлов, которое может особым образом отразиться на функционировании системы.
В целях смягчения указанных рисков следует включить шифрование BitLocker, а также требовать проверки целостности загрузочных компонентов и предзагрузочную проверку подлинности перед предоставлением доступа к зашифрованному системному диску. Помимо этого, следует защитить файлы операционной системы и данных.
Перед включением этой технологии защиты данных стоит изучить следующие требования и рекомендации.
- Для оптимального уровня защиты материнская плата компьютера должна содержать чип TMP 1.2, чья версия BIOS отвечает требованиям Trusted Computing Group. Для разблокирования системы рекомендуется использовать выбираемый пользователем ПИН-код. В качестве варианта, можно также использовать USB-накопитель с ключом запуска в машинном формате.
- Жесткий диск должен содержать как минимум два раздела — раздел операционной системы и активный системный раздел. Раздел операционной системы предназначен для зашифрованных файлов установленной ОС Windows. Активный системный раздел должен оставаться незашифрованным, чтобы компьютер мог начать загрузку. Этот раздел должен быть не менее 100 МБ в размере. По умолчанию в Windows 7 системный раздел создается автоматически. Ему не назначается буква диска и он скрывается от пользователей. Если на диске нет отдельного активного системного раздела, BitLocker внесет в разделы требуемые изменения при своей настройке.
- Если технология BitLocker используется с USB-накопителями или ПИН-кодами, необходимо предусмотреть действия на случай утерянного накопителя и забытого ПИН-кода.
- Технология BitLocker оказывает небольшое влияние на производительность, но оно, как правило, незаметно. Если уровень производительности системы чрезвычайно важен, стоит провести предварительное тестирование степени влияния BitLocker на работу пользователей.
- В зависимости от изготовителя, средства управления доверенными платформенными модулями могут предусматривать выполняемые вручную шаги по конфигурированию модуля и требовать введения пароля администратора в BIOS при построении, что может не позволить осуществлять полностью автоматическое развертывание и обновление.
- BIOS компьютера должен быть способен считывать информацию с USB-устройств до загрузки системы, иначе не удастся использовать ключ запуска для разблокирования операционной системы.
- Технология BitLocker может затруднить процесс распределения ПО, если это ПО или обновления распределяются по ночам, и перезапуск компьютеров происходит без участия пользователей.
- На работе компьютеров с BitLocker может отразиться установка предоставляемых изготовителем обновлений микропрограмм BIOS или TPM. Обновление BIOS может быть определено доверенным платформенным модулем как изменение дозагрузочных компонентов, в результате чего модуль войдет в режим восстановления. Если это представляет проблему, следует приостановить BitLocker до установки обновления и возобновить после.
- Маловероятно, но все же обновления приложений могут нарушить работу компьютеров, защищенных BitLocker. Если при установке или обновлении вносятся изменения в диспетчер загрузки или файлы, отслеживаемые BitLocker, система не сможет загрузиться и войдет в режим восстановления. Перед установкой или обновлением приложений, изменяющих загрузочную среду Windows 7, следует проверить их на компьютере с включенной технологией BitLocker.
Защита съемных дисков. Технология BitLocker может использоваться для защиты данных на съемных дисках, например внешних приводах IEEE 1394 и USB, SD-картах и USB-накопителях.
Со съемными дисками связан существенный риск для конфиденциальных данных предприятия. Подобные устройства стали настолько общедоступными, что огромные объемы информации можно очень быстро скопировать и унести с собой.
Кроме того, переносные ПК и съемные USB-накопители часто подвержены риску быть потерянными или украденными в дороге. В обоих случаях закрытая информация может попасть не в те руки.
В целях снижения описанного риска компании предпринимают обширные меры, в числе которых запрет на использование устройств, отключение портов USB и IEEE 1394 и включение защиты последовательности запуска, чтобы компьютер мог загрузиться только в надлежащих условиях.
BitLocker To Go — это новая технология, появившаяся в ОС Windows 7. Она обеспечивает защиту данных на съемных дисках даже в том случае, если диск оказывается потерянным или украденным. Защита BitLocker To Go весьма надежна, и даже если у злоумышленника есть физический доступ к диску, это не значит, что у него есть доступ и к данным на этом диске. С помощью групповой политики можно ввести требование включать на съемном диске защиту BitLocker To Go, прежде чем разрешать копирование на него.
Перед включением этой технологии защиты данных на съемных дисках стоит изучить следующие требования и рекомендации.
- Для работы BitLocker To Go не требуется чип TPM.
- Диски, зашифрованные BitLocker To Go, могут требовать для доступа либо пароль, либо смарт-карту. В последнем случае необходимо обеспечить считывателями смарт-карт все компьютеры, где съемный диск будет использоваться.
- Технология BitLocker оказывает небольшое влияние на производительность, но оно, как правило, незаметно. Если уровень производительности системы чрезвычайно важен, стоит провести предварительное тестирование степени влияния BitLocker на работу пользователей.
- Обратите внимание, что из ОС Windows XP или Windows Vista защищенный диск будет доступен только для чтения. В более ранних версиях Windows будет отображаться второй раздел диска, который обычно спрятан в Windows 7. Этот раздел называется разделом обнаружения и содержит приложение BitLocker To Go Reader. Это приложение позволяет разблокировать зашифрованный диск, если известен пароль или пароль восстановления. Параметр групповой политики Allow access to BitLocker-protected removable data drives from earlier versions of Windows (разрешить доступ к съемным дискам с данными, защищенным с помощью BitLocker, из более ранних версий Windows) определяет, будет ли при включении для диска защиты BitLocker создаваться этот дополнительный раздел обнаружения, содержащий приложение BitLocker To Go Reader.
Задание на лабораторную работу:
1. Применить технологию BitLocker к локальному диску с пошаговым описанием всех действий. Указать в отчете заданный пароль.
2. Применить технологию BitLocker To Go к Flash – диску с пошаговым описанием всех действий. Указать в отчете заданный пароль.
3. Дать сравнительную характеристику шифрования жесткого и съемного дисков.
Контрольные вопросы:
- Что такое BitLocker? Принципы работы.
- Что такое BitLocker To Go? Принципы работы.
- Что такое TPM?
- Какие условия должны соблюдаться для работы технологии BitLocker?
- При каких случаях происходит блокировка диска? Как разблокировать диск?