Шифрование в Windows 7. Шаг за шагом

Сегодня мы с вами все чаще и чаще используем ноутбуки и нетбуки и дома и на работе. Это неудивительно, так как это просто удобно, как в работе, так и дома.

Однако не стоит забывать, что именно мобильная техника все чаще и чаще приводит к утечкам конфиденциальной информации или персональных данных. Таким образом мобильность это не только достоинство, но и недостаток. В связи с этим возникает проблема защиты хранимой на портативных устройствах информации.

Приведем примеры.

Не так давно было проведено исследование Ponemon Institute, которое показало, что в аэропортах США ежегодно теряется около 637 тыся ноутбуков

Чаще всего, согласно отчету Ponemon Institute, ноутбуки теряются при проверке на контрольно-пропускных пунктах. В 69 случаях из ста владельцы не заявляют о пропаже. 77% опрошенных заявили, что не надеются найти свой ноутбук в случае пропажи, 16% заявили, что не предприняли бы никаких действий. Около 53 % участников опроса сообщили, что потерянные компьютеры содержат конфиденциальные данные, принадлежащие работодателю, 65% из них не предпринимали никаких мер по защите информации. (http://www.securitylab.ru/news/355447.php)

В большинстве стран ноутбуки чаще всего оставляют в номерах гостиниц. Потеря ноутбука в арендованной машине или в зале ожидания аэропорта занимает 2 и 3 места в списке самых частых причин утраты служебного ПК в США, Германии, Франции и Великобритании. Напротив, в Бразилии и Мексике чаще всего ноутбуки пропадают в результате квартирной кражи – их воруют прямо из дома владельца.

Опрошенные респонденты сообщили, что в их организациях ноутбук в качестве основного ПК используют от 23 до 33% сотрудников. В ближайшие

5 лет респонденты ожидают увеличения этой доли до 55% в Мексике (минимальный результат), 64% в США и 65% в Германии (максимальный результат. (http://www.securitylab.ru/news/378016.php)

В распоряжении группы канадских студентов оказался жесткий диск с информацией о многомиллионном контракте, заключенном между министерством обороны США и подрядчиком Northrop Grumman. Студенты приобрели носитель с гостайнами всего за 40 долларов на «блошином» рынке в африканской республике Гана.

(http://www.securitylab.ru/news/381956.php?pagen=1)

Что объединяет все эти происшествия? Да то, что ни в одном случае данные не были зашифрованы! А ведь это решило бы все вышеуказанные проблемы.

О шифровании много говорят и много пишут, однако, как показало исследование, проведенное компанией InfoWatch (рис.1) главной проблемой является не технология шифрования а все же люди.

(http://www.infowatch.ru/press/news/risks/2484/)

 

Причины отказа от внедрения шифрования

Рисунок 1 Причины отказа от внедрения шифрования

И все же шифрование сегодня это необходимость. В данной статье мы с вами рассмотрим шифрование в Windows 7 шаг за шагом.

Естественно, в том случае, если вы все же решите внедрять шифрование, не забудьте о том, что вначале вы должны внедрить шифрование в тестовой среде, а уж потом внедрять его в организации.

Что такое BitLocker?

BitLocker – составная часть системы безопасности Windows 7, предназначенная в качестве последней линии физической обороны, шифрование системного раздела, разделов данных или внешних (съемных) дисков и USB-флеш.

С моей точки зрения, наиболее эффективно применение данной технологии на компьютерах, оборудованных TPM-модулем версии не ниже 1.2.

При использовании данного модуля возможно использование многофакторной аутентификации при шифровании

Подробнее о различиях в аутентификации и хранении ключей шифрования мы поговорим далее в данной статье.

Аппаратно-программные требования, предъявляемые к компьютеру для шифрования BitLocker

  1. Компьютер должен удовлетворять минимальным требованиям для ОС Windows 7
  2. ТРМ-модуль версии 1.2
  3. Trusted Computing Group (TCG) –совместимый BIOS для шифрования раздела операционной системы
  4. В BIOS первым загрузочным устройством установлен жесткий диск

Примечание пункты 2 и 3 являются желательными, но не обязательными. В случае, когда они не выполнимы, ваш BIOS должен поддерживать обращение к USB-флеш диску во время загрузки.

Шифрование системного раздела

Шифрование системного раздела компьютера, оборудованного ТРМ

Доступ к ТРМ без ПИН-кода

Учтите, что для проведения шифрования у вас должны быть права администратора на данном ПК. Кроме того, необходимо заранее сконфигурировать принтер для печати пароля восстановления.

Для шифрования системного раздела необходимо сделать следующее:

  • Пуск – Панель управления – Система и Безопасность – Шифрование диска BitLocker
  • Включить BitLocker на системном разделе (рис.2).

 

Шифрование диска BitLocker

Рисунок 2 Шифрование диска BitLocker

  1. После этого начнется проверка, удовлетворяет ли ваш компьютер системным требованиям.
  2. Если Да, то на следующем шаге начнется подготовка диска, включение ТРМ и шифрование диска[1].
  3. Если ТРМ не будет проинициализирован, мастер установки BitLocker потребует вытащить CD, DVD или USB-диск и перезагрузить компьютер для включения ТРМ.
  4. После подтверждения о наличии ТРМ запустится ОС и произойдет инициализация ТРМ модуля
  5. После окончания процесса инициализации TPM вы должны выбрать метод хранения пароля восстановления. Существуют следующие способы:

Сохранить пароль восстановления на USB-флеш диске

Сохранить пароль восстановления в текстовом файле

Распечатать пароль восстановления

Рекомендуется выбрать несколько вариантов хранения пароля восстановления. Пароль восстановления состоит из 48 символов.

По окончании процедуры шифрования ваш жесткий диск будет зашифрован. При этом ключ шифрования будет храниться в ТРМ.

Недостатком данного метода является то, что если вы выбрали просто пароль для входа в систему, либо вообще ваша учетная запись не имеет пароля, то при хищении вашего ноутбука данные тоже могут быть похищены.

Доступ к ТРМ с ПИН-кодом

Для обеспечения повышенного уровня безопасности необходимо применение многофакторной аутентификации. Для этого необходимо внести изменения на уровне локальных групповых политик, запустив gpedit.msc

В окне Редактора локальной групповой политики выбрать —

Административные шаблоны – Компоненты Windows – Шифрование BitLocker – Диски операционной системы.

Далее выбрать параметр Обязательная дополнительная проверка подлинности при запуске.

Этот параметр политики позволяет указать, требует ли BitLocker дополнительную проверку подлинности при каждом запуске компьютера, а также указать, используется ли BitLocker в сочетании с доверенным платформенным модулем (TPM) либо же без него.

При запуске компьютере, на котором имеется совместимый доверенный платформенный модуль (TPM), могут использоваться четыре метода проверки подлинности, призванные обеспечить дополнительную защиту зашифрованных данных. Для проверки подлинности при запуске компьютера можно использовать только доверенный платформенный модуль (TPM), либо же дополнительно потребовать установить USB-устройство флэш-памяти с ключом запуска, ввести ПИН-код, содержащий от 4 до 20 цифр, либо же сделать и то, и то.

В дальнейшем при запуске шифрования пользователя попросят ввести ПИНкод. Ввод ПИН-кода будет необходим при каждой перезагрузке системы.

Сам процесс шифрования за исключением процедуры ввода ПИН-кода ничем не отличается от приведенной выше.

Для некоторых ПК возможно применение расширенного ПИН-кода (в случае если BIOS позволяет эту процедуру). В таком случае ПИН-код будет включать не только цифры, а и буквы, что, безусловно, делает его еще более устойчивым к подбору.

Шифрование системного раздела на компьютерах, не оборудованных ТРМ

В связи с тем, что согласно законодательства некоторых стран, в том числе

России, в них запрещен ввоз компьютеров, оборудованных ТРМ-модулем, рассмотрим случай, когда необходимо шифровать системный раздел на компьютере, не оборудованном ТРМ.

В этом случае, аналогично приведенному выше сценарию, нам придется вначале изменить правило в локальной групповой политике.

Для этого запускаем gpedit.msc и находим то же самое правило

Обязательная дополнительная проверка подлинности при запуске. Далее нам необходимо включить данное правило (рис.3) и разрешить использование BitLocker без совместимого ТРМ.

 

Обязательная дополнительная проверка подлинности при запуске

Рисунок 3 Обязательная дополнительная проверка подлинности при запуске

Следует учесть, что такое использование шифрования куда менее надежно, чем использование ТРМ, ведь чаще всего пользователь будет хранить USBфлеш диск в той же сумке, в которой он хранит ноутбук, что существенно облегчит работу злоумышленника.

В дальнейшем процесс шифрования производится по описанному выше сценарию.

Шифрование диска данных

Шифрование диска данных проводится

Для шифрования системного раздела необходимо сделать следующее:

  1. Пуск – Панель управления – Система и Безопасность – Шифрование диска BitLocker
  2. Включить BitLocker на диске данных.
  3. Мастер шифрования BitLocker как вы хотите расшифровывать диск. Диск данных может быть расшифрован:

Автоматически (данный вариант рекомендуется в случае если вы зашифровали системный раздел).

После ввода пароля

После того как вставлена смарт-карта

  1. До начала процесса шифрования вы должны сохранить пароль восстановления одним из следующих способов:

Сохранить пароль восстановления на USB-флеш диске

Сохранить пароль восстановления в текстовом файле

Распечатать пароль восстановления

  1. Используя локальные групповые политики вы сможете настроить параметры использования USB-флеш диска, однако, по-моему, это актуально для корпоративной среды. При это можно использовать следующие параметры:

Запретить запись на съемные диски, не защищенные BitLocker. При этом запись разрешается только на диски, чьи поля идентификации совпадают с полями идентификации компьютера. Если выполняется доступ к съемному диску, он проверяется на наличие допустимого поля идентификации и разрешенных полей идентификации. Они задаются параметром политики «Предоставлять уникальные идентификаторы для организации».

Разрешить доступ к съемным дискам, защищенным BitLocker из более ранних версий Windows. При этом доступ из более ранних версий будет осуществлен только по чтению.

Настроить использование паролей для съемных дисков с данными. Этот параметр политики определяет, требуется ли пароль для разблокировки съемных дисков с данными, защищенными с помощью Bitlocker. Если разрешить использование пароля, можно сделать его обязательным, установить требования к его сложности и задать минимальную длину пароля.

Обновление компьютера, защищенного шифрованием, под управление Windows Vista до Windows 7

Для обновления шифрования BitLocker вручную вы должны сделать следующее:

  1. Пуск – Панель управления – Безпасность – Шифрование диска BitLocker
  2. Отключите BitLocker и выберите Отключить BitLocker, однако не расшифровывайте диск.
  3. Установите Windows 7
  4. После окончания установки выберите Старт – Панель управления – Система и Безопасность – Шифрование диска BitLocker  — Продолжить шифрование. Обновить мета данные  BitLocker вы сможете с помощью утилиты командной строки Manage-bde.
  5. Для этого выполните вызов окна командной строки с правами

Администратора и в этом окне наберите manage-bde.exe -upgrade

Рекомендуемые настройки правил групповой политики

Категория Наименование правила Рекомендуемое значение
ОбщиеВыберите метод шифрования диска истойкость шифраВключена. Используйте AES 256-бит с диффузором
ОбщиеУкажите уникальные идентификаторы для организацииВключена. Ввести идентификатор организации в поле идентификации
ОбщиеЗапретить перезапись памяти при перезагрузкеНе задана
Диски операционной системыВыбор методов восстановления дисков операционной системы, защищенных спомощьюBitLockerВключена. Для компьютеров включенных в доменв разделе «Сохранить данные восстановления BitLocker в AD DS для дисков операционной системы» следует выбрать, какие данные восстановления BitLocker для дисков операционной системы следует хранить в AD DS. Если выбран вариант «Копировать пароль восстановления и пакет ключей», в AD DS будет сохранен как пароль восстановления BitLocker, так и пакет ключей. Подобный способ хранения пакета ключей обеспечивает поддержку восстановления данных на физически поврежденных дисках.
Диски операционной системыУстановить минимальную длину ПИН-кода для запускаВключена. Минимальная длина ПИН-кода 6 символов

 

Диски операционной системыОбязательная дополнительная проверка подлинности при запускеВключена. Для компьютеров с ТРМ обязательно применение ПИН-кода
Жесткие диски с даннымиВыбор методов восстановления жестких дисков, защищенных спомощьюBitLockerВключена. В разделе «Сохранить данные восстановления BitLocker в AD DS для фиксированных дисков с данными» следует выбрать, какие данные восстановления BitLocker для жестких дисков с данными следует хранить в AD DS. Если выбран вариант «Копировать пароль восстановления и пакет ключей», в AD DS будет сохранен как пароль восстановления BitLocker, так и пакет ключей. Подобный способ хранения пакета ключей обеспечивает поддержку восстановления данных на физически поврежденных дисках. Если выбран вариант «Копировать только пароль восстановления», в AD DS сохраняется только пароль восстановления.Установите флажок «Не включать BitLocker до сохранения данных восстановления в AD DS дляфиксированных дисков с данными», если следует запретить пользователям включать BitLocker в случае, если компьютер не подключен к домену и не было успешно выполнено резервное копирование данных восстановления BitLocker в AD DS.
Жесткие диски с даннымиНастроить использование паролей для фиксированных дисков с даннымиЕсли в организации не используется инфраструктура публичных ключей (PKI), включите и установите требования к сложности пароля
Съемные диски с даннымиВыбор методов восстановления съемных дисков, защищенных спомощьюBitLockerАналогично соответствующему правилу для жестких дисков с данными
Съемные диски с даннымиНастроить использование паролей для съемных дисков с даннымиАналогично соответствующему правилу для жестких дисков с данными
Съемные диски с даннымиЗапретить запись на сменные диски не защищенныеBGitLockerВключено. Запретить запись на съемные диски, сконфигурированные в других организациях

Заключение

Хотелось бы верить, что данные материалы помогут вам в использовании шифрования BitLocker в операционной системе Windows 7. Однако вместе с тем хочу вас предупредить, что использование шифрования это всего лишь один из методов защиты ваших данных и не является своего рода панацеей. Кроме того, неправильное понимание средств и методов использования шифрования может нанести вашей организации непоправимый вред. Так что будьте внимательны.

Pin It

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.