Шифрование в Windows Server 2008 R2

Сегодня уже никто не сомневается в необходимости шифрования. Однако я недавних пор люди стали обращать внимание не только не только на шифрование ноутбуков, а и на шифрование серверов и самое главное – на шифрование внешних устройств (жестких дисков, USB-флеш и т.д.).

С появлением вначале Windows Server 2008, а затем и Windows Server 2008 R2 возможность шифрования стала уж встроенной функцией операционной системы. В данной статье я попытаюсь описать процесс шифрования с помощью BitLocker в Windows Server 2008 R2. Стоит сразу же отметить, что в шифровании под управлением Windows Server 2008 R2 появилось много нового, о чем также будет рассказано в данной статье.

Прежде чем вы сможете приступить к шифрованию, вы должны войти в «Задачи начальной настройки (рис.1) и добавить компонент «Шифрование BitLocker» (рис.2).

 

Задачи начальной настройки

Рисунок 1 Задачи начальной настройки

 

Выбор компонента Шифрование диска BitLocker

Рисунок 2 Выбор компонента Шифрование диска BitLocker

 

По окончании добавления данного компонента вам придется перезагрузить сервер.

После перезагрузки вы сможете приступить к шифрованию.

Советую учесть, что в Windows Server 2008 R2, в отличие от Windows 7 и предыдущих версий, по умолчанию принято, что ваша система оборудована ТРМ (Trusted Platform Module). Если ваш сервер не оборудован соответствующим модулем, то вам до начала шифрования необходимо обратиться к Редактору локальных групповых политик, запустив файл gpedit.msc (рис.3). Редактор локальных групповых политик- Конфигурация компьютера-Административные шаблоны – Компоненты Windows- Шифрование диска BitLocker.

 

Редактор локальной групповой политики

Рисунок 3 Редактор локальной групповой политики

 

В этом контейнере GPO вы должны найти параметр «Обязательная проверка подлинности при запуске». По умолчанию он имеет значение «Не задано».

Включите данный параметр и обязательно оставьте галочку возле параметра «Разрешить использовать BitLocker без совместимого ТРМ». Не забудьте, что при этом вам потребуется USBфлеш для хранения ключа.

Примените данную политику. После этого вы, собственно, уже сможете шифровать ваши жесткие диски.

Для этого необходимо войти Панель управления – Шифрование диска BitLocker и выбрать тот диск, который вы хотите шифровать (рис.4).

 

Шифрование диска BitLocker

Рисунок 4 Шифрование диска BitLocker

 

Вы, естественно, можете шифровать только диск данных или только системный диск, однако, я рекомендую шифровать их оба. Естественно, последовательно. Хотя, не спорю, вы сможете запустить шифрование на обоих дисках сразу, однако этот процесс весьма затянется по времени.

Обратите внимание! В перечне дисков, доступных для шифрования, перечислены не только жесткие диски, а и внешний жесткий диск и даже USB-флеш.

Впрочем, те из читателей, кто уже тестировал шифрование в ОС Windows 7, уже обратили внимание на данную возможность.

После того, как вы указали на необходимость шифрования, BitLocker проведет инициализацию диска. Советую обратить внимание на то, что в период, когда вы будете шифровать ваш диск, производительность сервера будет снижена.

После окончания процесса инициализации операционная система предложит вам выбрать место для хранения ключа шифрования (рис.5).

 

Шифрование диска BitLocker

Рисунок 5 Шифрование диска BitLocker

 

Так как в данной статье рассматривается именно шифрование без ТРМ модуля, то параметры, относящиеся к ТРМ соответственно недоступны (выделены серым цветом на рис.5).

После выбора «Запрашивать ключ запуска при запуске» вы должны сохранить ключ на USBносителе, в частности на USB-флеш (рис.6).

 

Выбор места хранения ключа

Рисунок 6 Выбор места хранения ключа

 

Далее вам будет предложено сохранить ключ восстановления на другой USB-носитель или в текстовый файл или распечатать его на бумагу (рис.7).

 

Сохранение ключа восстановления

Рисунок 7 Сохранение ключа восстановления

 

Учтите, что на USB-флеш, на который вы сохранили ключ шифрования (рис.6) будет скопирован и текстовый файл для расшифровывания вашего диска, в котором будет храниться 48 значный цифровой ключ для расшифровывания.

После этого вам будет предложено зашифровать диск.

В случае шифрования диска данных (не системного) вы увидите несколько другой рисунок.

 

Шифрование диска данных

Рисунок 8 Шифрование диска данных

 

Вы сможете использовать:

  1. пароль для снятия блокировки диска;
  2. смарт-карту для снятия блокировки диска, при этом вы должны будете ввести PIN-код соответствующей карты;
  3. комбинацию первых двух способов;
  4. автоматически снимать блокировку диска этого компьютера

Внимание! Пункт 4 имеет смысл использовать только в случае если вы предварительно зашифровали системный диск.

Далее вам снова будет предложено сохранить ключ шифрования. Этот процесс ничем не отличается от описанного выше для системного диска.

Локальная групповая политика шифрования BitLocker

Рассмотрим некоторые параметры локальной групповой политики, относящиеся к шифрованию

Обязательная проверка подлинности при запуске

Данный параметр позволяет указать, требует ли BitLocker дополнительную проверку подлинности при каждом запуске ПК, а также, используете ли вы ТРМ или нет

В случае, если ваш ПК не оснащен ТРМ, следует установить флажок «Разрешить использование

BitLocker, без совместимого ТРМ». В этом случае при запуске ключ шифрования будет считываться с USB-устройства. Если устройство недоступно (не работает) необходимо воспользоваться одним из способов восстановления BitLocker.

Разрешить использование улучшенных ПИН-кодов при запуске

Этот параметр политики позволяет настраивать использование улучшенных ПИН-кодов с программой шифрования BitLocker.

При этом в PIN-коде можно применять буквы обоих регистров, цифры, символы и пробелы.

Установить минимальную длину ПИН-кода для запуска

Данный параметр устанавливает минимальную длину ПИН-кода. Длина ПИН-кода от 4 до 20 разрядов.

Выбор методов восстановления дисков операционной системы, защищенных с помощью BitLocker

Данный параметр позволяет установить методы восстановления BitLocker.

Настройка профиля проверки ТРМ

Этот параметр политики позволяет указать, как оборудование безопасности для доверенного платформенного модуля (TPM) обеспечивает безопасность ключа шифрования BitLocker. Этот параметр неприменим, если на компьютере нет совместимого доверенного платформенного модуля, либо же если BitLocker уже включен и используется защита с помощью доверенного платформенного модуля.

 

Параметры настройки шифрования жестких дисков с данными

Настроить использование смарт-карт на фиксированных дисках с данными

Данный параметр управляет возможностью использования смарт-карт для доступа к шифрованным дискам

Запретить запись на фиксированные диски, не защищенные BitLocker

С помощью данного параметра вы сможете разрешить запись на жесткие диски, не зашифрованные с помощью BitLocker

При включении этого параметра все фиксированные диски, не защищенные BitLocker, подключаются как доступные только для чтения. Если диск защищен с помощью BitLocker, он подключается с доступом для чтения и записи.

Разрешить доступ к фиксированным дискам с данными, защищенными с помощью BitLocker, из более ранних версий Windows

Этот параметр политики определяет, можно ли разблокировать и просматривать фиксированные диски с данными, форматированные с файловой системой FAT, на компьютерах под управлением операционных систем Windows Server 2008, Windows Vista, Windows XP с пакетом обновлений 3 (SP3) и Windows XP с пакетом обновлений 2 (SP2).

У этих операционных систем есть доступ только для чтения к дискам, защищенным с помощью BitLocker.

Внимание! Этот параметр политики не применяется к дискам, отформатированным с файловой системой NTFS.

Настроить использование паролей для фиксированных дисков с данными

С помощью данного параметра вы сможете определить, требуется ли пароль для разблокировки фиксированных дисков данных, шифрованных с помощью BitLocker.

Если разрешить использование пароля, можно сделать его обязательным, установить требования к сложности и задать минимальную длину. Для активации параметра требований к сложности следует включить параметр групповой политики “Пароли должны соответствовать требованиям к сложности”, размещенный в разделе Конфигурация компьютераПараметры WindowsПараметры безопасностиПолитики учетной записиПолитика паролей.

Выбор методов восстановления жестких дисков, защищенных с помощью BitLocker

Этот параметр политики позволяет управлять восстановлением жестких дисков с данными, защищенных с помощью BitLocker.

 

Параметры управления шифрованием съемных дисков с данными

Управление использованием BitLocker для съемных дисков

При включении этого параметра можно устанавливать значения свойств, управляющие тем, как пользователи могут настраивать BitLocker. Установите флажок “Разрешить пользователям применять защиту с помощью BitLocker на съемных дисках с данными”, чтобы разрешить пользователю запускать мастер установки BitLocker на съемном диске с данными. Установите флажок “Разрешить пользователям отключать и использовать BitLocker для шифрования съемных дисков с данными”, чтобы разрешить пользователям удалять шифрование диска BitLocker или временно отключать шифрование во время обслуживания.  

Настроить использование смарт-карт на съемных дисках с данными

Этот параметр политики позволяет определять возможность использования смарт-карт для проверки подлинности доступа пользователей к съемным дискам с данными, защищенными с помощью BitLocker на компьютере.

Запретить запись на съемные диски, не защищенные BitLocker

При включении этого параметра все съемные диски, не защищенные BitLocker, подключаются как доступные только для чтения. Если диск защищен с помощью BitLocker, он подключается с доступом для чтения и записи.

Если выбран параметр “Запретить запись на устройства, настроенных в другой организации”, то запись разрешается только на диски, чьи поля идентификации совпадают с полями идентификации компьютера.

Разрешить доступ к съемным дискам с данными, защищенным с помощью BitLocker из более ранних версий Windows

Этот параметр политики определяет, можно ли разблокировать и просматривать съемные диски с данными, форматированные с файловой системой FAT, на компьютерах под управлением операционных систем Windows Server 2008, Windows Vista, Windows XP с пакетом обновлений 3 (SP3) и Windows XP с пакетом обновлений 2 (SP2).

Настроить использование паролей для съемных дисков с данными

Данный параметр определяет, требуется ли пароль для разблокирования съемных дисков, шифрованных BitLocker.

Естественно в одной статье невозможно рассмотреть все тонкости шифрования и все параметры локальной групповой политики, но я надеюсь что все же вам пригодятся приведенные здесь сведения.

Leave a Reply

Your email address will not be published. Required fields are marked *