Приховані можливості Windows

приховані

На думку фахівців, саме крадіжка ноутбука є однією з основних проблем у сфері інформаційної безпеки (ІБ).

На відміну від інших загроз ІБ, природа проблем вкрадений ноутбук або вкрадена флешка досить примітивна. І якщо вартість зниклих пристроїв рідко перевищує позначку кілька тисяч американських доларів, то цінність збереженої на них інформації найчастіше вимірюється в мільйонах.

За даними Dell та Ponemon Institute, тільки в американських аеропортах щорічно пропадає 637 тисяч ноутбуків. А уявіть скільки пропадає флешок, адже вони набагато менше, і випустити флешку випадково простіше простого.

Коли пропадає ноутбук, що належить топ-менеджеру великої компанії, збитки від однієї такої крадіжки можуть становити десятки мільйонів доларів.

приховані

Як захистити себе та свою компанію?

Ми продовжуємо цикл статей про безпеку Windows домену. У першій статті з циклу ми розповіли про налаштування безпечного входу в домен, а в другій про налаштування безпечної передачі даних у поштовому клієнті:

У цій статті ми розповімо про налаштування шифрування інформації, що зберігається на жорсткому диску. Ви зрозумієте, як зробити так, щоб ніхто, крім вас, не зміг прочитати інформацію, що зберігається на вашому комп'ютері.

Мало хто знає, що Windows має вбудовані інструменти, які допомагають безпечно зберігати інформацію. Розглянемо один із них.

Напевно, хтось із вас чув слово «BitLocker». Давайте розберемося, що це таке.

Що таке BitLocker?

BitLocker (точна назва BitLocker Drive Encryption) – це технологія шифрування вмісту дисків комп'ютера, розроблена компанієюMicrosoft. Вона вперше з'явилася у Windows Vista.

За допомогою BitLocker можна було шифрувати томи жорстких дисків, але пізніше вже в Windows 7 з'явилася схожа технологія BitLocker To Go, яка призначена для шифрування знімних дисків і флешок.

BitLocker є стандартним компонентом Windows Professional і серверних версій Windows, а значить, у більшості випадків корпоративного використання він вже доступний. В іншому випадку вам доведеться оновити ліцензію Windows до Professional.

Як працює BitLocker?

Ця технологія ґрунтується на повному шифруванні тома, який виконується з використанням алгоритму AES (Advanced Encryption Standard). Ключі шифрування повинні зберігатися безпечно і для цього BitLocker є кілька механізмів.

Найпростіший, але водночас і найнебезпечніший метод – це пароль. Ключ виходить із пароля щоразу однаковим чином, і відповідно, якщо хтось дізнається ваш пароль, то й ключ шифрування стане відомим.

TPM – мікросхема, призначена для реалізації основних функцій, пов'язаних із забезпеченням безпеки, головним чином із використанням ключів шифрування.

Модуль TPM, як правило, встановлений на материнській платі комп'ютера, однак, придбати в Україні комп'ютер із вбудованим модулем TPM дуже важко, тому що ввезення пристроїв без нотифікації ФСБ в нашу країну заборонено.

Схема роботи BitLocker:

При запуску із зашифрованого завантажувального диска система опитує всі можливі сховища ключів - перевіряє наявність TPM, перевіряє USB-порти або, якщо необхідно, запитує користувача (що називається відновленням). Виявлення сховища ключа дозволяє Windows розшифрувати ключ VMK, яким розшифровується ключ FVEK, вже яким розшифровуються даніна диску.

windows

Кожен сектор тому шифрується окремо, причому частина ключа шифрування визначається номером цього сектора. В результаті два сектори, що містять однакові незашифровані дані, будуть у зашифрованому вигляді виглядати по-різному, що дуже ускладнить процес визначення ключів шифрування шляхом запису та розшифрування заздалегідь відомих даних.

Крім FVEK, VMK і SRK, у BitLocker використовується ще один тип ключів, створюваний "про всяк випадок". Це ключі відновлення.

Для аварійних випадків (користувач втратив токен, забув PIN-код і т.д.) BitLocker на останньому кроці пропонує створити ключ відновлення. Відмову від його створення в системі не передбачено.

Як увімкнути шифрування даних на жорсткому диску?

Перш ніж розпочати процес шифрування томів на жорсткому диску, важливо врахувати, що ця процедура займе якийсь час. Її тривалість залежатиме від кількості інформації на жорсткому диску.

Якщо в процесі шифрування або розшифровки комп'ютер вимкнеться або перейде в режим глибокого сну, то ці процеси відновляться з місця зупинки при наступному запуску Windows.

Навіть у процесі шифрування системою Windows можна буде користуватися, але навряд чи вона зможе порадувати вас своєю продуктивністю. У результаті після шифрування продуктивність дисків знижується приблизно на 10%.

Якщо BitLocker доступний у вашій системі, то при натисканні правою кнопкою на назві диска, який необхідно зашифрувати, у меню з'явиться пунктTurn on BitLocker.

На серверних версіях Windows необхідно додати рольBitLocker Drive Encryption.

Приступимо до налаштування шифрування несистемного тома та захистимо ключ шифрування за допомогою криптографічного токена.

Ми використовуватимемо токен виробництва компанії «Актив». Зокрема, токен Рутокен ЕЦП PKI.

можливості

I. Підготуємо Рутокен ЕЦП PKI до роботи.

У більшості нормально налаштованих системах Windows після першого підключення Рутокен ЕЦП PKI автоматично завантажується та встановлюється спеціальна бібліотека для роботи з токенами виробництва компанії «Актив» - Aktiv Rutoken minidriver.

Процес встановлення такої бібліотеки виглядає так.

BitLocker

Наявність бібліотеки Aktiv Rutoken minidriver можна перевірити за допомогоюДиспетчер пристроїв.

BitLocker

Якщо завантаження та встановлення бібліотеки з якихось причин не відбулося, слід встановити комплект Драйвери Рутокен для Windows.

II. Зашифруємо дані на диску за допомогою BitLocker.

Клацніть по назві диска і виберіть пунктTurn on BitLocker.

windows

Якщо ви використовуєте службу Certificate Authority в домені Windows, то в шаблоні сертифіката має бути сфера застосування сертифіката «Disk Encryption» (докладніше про налаштування Certificate Authority в першій частині нашого циклу статей про безпеку Windows домену).

Якщо у вас немає домену або ви не можете змінити політику видачі сертифікатів, то можна скористатися запасним шляхом, за допомогою самопідписаного сертифіката, детально про те, як виписати самому собі підписаний сертифікат, описано тут. Тепер встановимо відповідний прапорець.

windows

На наступному кроці виберемо спосіб збереження ключа відновлення (рекомендуємо вибратиPrint the recovery key).

можливості

Папірець із надрукованим ключем відновлення необхідно зберігати в безпечному місці, краще в сейфі.

windows

Далі виберемо,який режим шифрування буде використовуватися, для дисків, які вже містять якісь цінні дані (рекомендується вибрати другий варіант).

можливості

На наступному етапі запустимо процес шифрування диска. Після завершення цього процесу може знадобитися перезавантажити систему.

Коли шифрування увімкнено, значок зашифрованого диска зміниться.

І тепер, коли ми спробуємо відкрити диск, система попросить вставити токен і ввести його PIN-код.

windows

Розгортання та налаштування BitLocker та довіреного платформного модуля можна автоматизувати за допомогою інструмента WMI або сценаріїв Windows PowerShell. Спосіб реалізації сценаріїв залежатиме від середовища. Команди для BitLocker у Windows PowerShell описані у статті.

Як відновити дані, зашифровані BitLocker, якщо токен втратили?

Якщо ви хочете відкрити зашифровані дані у Windows

Для цього знадобиться ключ відновлення, який ми надрукували раніше. Просто вводимо його у відповідне поле та зашифрований розділ відкриється.

BitLocker

Якщо ви хочете відкрити зашифровані дані в системах GNU/Linux та Mac OS X

Для цього потрібна утиліта DisLocker та ключ відновлення.

Утиліта DisLocker працює у двох режимах:

  • FILE – весь розділ, зашифрований BitLocker, розшифровується у файл.
  • FUSE – розшифровується лише той блок, до якого звертається система.

Для прикладу ми будемо використовувати операційну систему Linux та режим утиліти FUSE.

В останніх версіях поширених дистрибутивів Linux пакет dislocker вже входить до складу дистрибутива, наприклад, в Ubuntu, починаючи з версії 16.10.

Якщо пакет dislocker з якихось причин не виявилося, тоді потрібнозавантажити утиліту DisLocker та скомпілювати її:

Відкриємо файл INSTALL.TXT та перевіримо, які пакети нам необхідно доустановити.

У нашому випадку необхідно доустановити пакет libfuse-dev:

Приступимо до збирання пакета. Перейдемо в папку src і скористаємося командами make та make install:

Коли все скомпілювалося (або ви встановили пакет) приступимо до налаштування.

Перейдемо в папку mnt і створимо в ній дві папки:

  • Encrypted-partition - для зашифрованого розділу;
  • Decrypted-partition – для розшифрованого розділу.

Знайдемо зашифрований розділ. Розшифруємо його за допомогою утиліти та перемістимо його до папки Encrypted-partition:

Виведемо на екран список файлів, що знаходяться в папці Encrypted-partition:

Введемо команду для монтування розділу:

Резюмуємо

Увімкнути шифрування тома за допомогою BitLocker дуже просто. Все це робиться без особливих зусиль і безкоштовно (за наявності професійної або серверної версії Windows, звичайно).