Використання BitLocker для шифрування знімних носіїв (частина 1)

Користувачі, які працюють за межами організації, завжди становили певні труднощі для співробітників ІТ безпеки. З одного боку, мобільним співробітникам потрібен доступ до корпоративних даних зі своїх ноутбуків чи мобільних пристроїв. З іншого боку, розміщення даних на такі пристрої наражає на ці дані ризику бути викраденими у разі втрати або крадіжки пристрою.

Багато організацій забороняють співробітникам зберігати дані на ноутбуках та мобільних пристроях з цієї причини. Однак такий підхід не завжди застосовується. Заборона користувачам зберігати дані на ноутбуках та мобільних пристроях означає, що користувачам необхідно підключатися до інтернету щоразу, коли їм потрібен доступ до даних, а, як ми всі знаємо, вихід в інтернет не завжди доступний. Наприклад, деякі користувачі намагаються зробити частину роботи під час тривалих перельотів. Однак якщо користувач не має доступу до будь-яких даних без підключення до інтернету, то в даному випадку марнується час, який в іншому випадку міг бути проведений з користю.

Протягом кількох років компанія Microsoft створила низку різних рішень, які призначені для допомоги у захисті даних, що зберігаються на ноутбуках. Наприклад, Windows Vista компанія Microsoft представила функцію шифрування диска BitLocker. Ця функція дозволяє повністю зашифрувати вінчестер ноутбука.

Хоча BitLocker значно краще функції шифрування файлів, яка була в Windows XP, ця функція все ж таки має свої обмеження. Наприклад, у Windows Vista версія BitLocker могла шифрувати лише системний том. Якщо на комп'ютері є інші томи, то потрібно використовувати шифрування EFS або продукти шифрування від сторонніх виробників.

Ще одним значним обмеженням BitLockerбула його нездатність шифрувати знімні носії. Хоча на перший погляд це може здатися незначним, дуже важливо пам'ятати, що USB накопичувачі почали використовувати повсюдно. Більше того, обсяг таких накопичувачів за останні кілька років збільшився у геометричній прогресії. Це означає, що великі обсяги інформації пам'яті можна легко зберігати на невеликих, недорогих пристроях, які дуже легко втратити, і які не володіють власними засобами шифрування. Справжня проблема полягає в тому, що оскільки USB флеш накопичувачі маленькі і недорогі, користувач навіть може не помітити втрати такого пристрою.

Коли компанія Microsoft створювала Windows 7, однією з цілей стало удосконалення BitLocker. Деякі з цих покращень включають таке:

  • BitLocker тепер здатна шифрувати всі томи системи, а не тільки ті, на яких міститься операційна система.
  • Тепер система проводить перевірку цілісності як частину процесу завантаження. Це дозволяє переконатися в тому, що комп'ютер ніхто не втручався, поки він був в автономному режимі, і що зашифрований диск знаходиться у своєму початковому стані.
  • Тепер можна переміщувати зашифрований жорсткий диск на інший комп'ютер або змінювати системну плату на зашифрованій в BitLocker системі без втрати доступу до зашифрованих даних.
  • Windows захищає систему від атак холодного завантаження (cold boot attacks), вимагаючи від користувача або введення PIN-коду, або підключення USB накопичувача, що містить інформацію ключів перед завантаженням або виходом з режиму сну.
  • Ключі відновлення BitLocker зберігаються в Active Directory. Ці ключі можна використовувати для відновлення доступу до BitLocker зашифрованих даних у випадку, якщоКористувач забуде свій PIN-код або втратить USB накопичувач, що містить дані ключів.

BitLocker to Go

Можливо, найзначнішою новою функцією BitLocker є BitLocker to Go. BitLocker to Go дозволяє шифрувати знімні накопичувачі, такі як USB флеш-накопичувачі. У цьому випадку, якщо знімний носій вкрадений або втрачений, дані, що містяться на ньому, не будуть скомпрометовані.

Як ви вже, можливо, здогадалися, шифрування BitLocker не включено за промовчанням для носіїв USB. Однак шифрування BitLocker може бути включене або адміністратором (у налаштуваннях групової політики), або кінцевим користувачем.

Добре, що компанія Microsoft значно спростила завдання включення BitLocker шифрування для кінцевих користувачів. Тепер функція BitLocker вбудована безпосередньо у провідник Windows Explorer. Це означає, що якщо кінцевий користувач захоче увімкнути шифрування BitLocker для USB носія, йому не доведеться возитися з панеллю управління у пошуку відповідних налаштувань.

Щоб зрозуміти, що я маю на увазі, давайте поглянемо на малюнок A. На цьому малюнку я підключив носій USB до комп'ютера під керуванням Windows 7. Коли я натиснув правою клавішею на USB носії, Windows відобразила опцію включення BitLocker.

використання

Рисунок A: Windows Explorer містить опцію включення BitLocker

Після введення пароля, Windows генерує ключ відновлення, і просить вас зберегти його у файл або роздрукувати, як показано на малюнку C. На малюнку зверніть увагу, що кнопка Next неактивна доти, доки ви не виконаєте принаймні одне з цих дій. Microsoft рекомендує зберігати або роздруковувати ключ відновлення як спосіб запобігання втраті даних, якщо пароль буде забутий.

Зображення C: Необхідно зберігати або роздруковувати ключ відновлення

Після збереження або друкування ключа відновлення можна шифрувати диск. Для цього просто натискаєте кнопку Почати шифрування (Start Encrypting), як показано на малюнку D.

Рисунок D: Натисніть кнопку Почати шифрування, щоб зашифрувати диск

Використання зашифрованого накопичувача

Використання зашифрованого накопичувача практично нічим не відрізняється від використання звичайного знімного носія. Якщо ви подивитеся на малюнок E, ви побачите, що коли я вставив флеш накопичувач у порт, система зажадала введення пароля. Ви також помітите, що піктограма диска тепер має піктограму висячого замка.

Рисунок E: При підключенні зашифрованого накопичувача, система вимагає ввести пароль

Після введення пароля значок показує, що диск розблоковано як показано на малюнку F.

bitlocker

Рисунок F: Після введення пароля диск розблоковано

Інші операційні системи

Оскільки BitLocker to Go була вперше представлена ​​в Windows 7, ви можете ставити питання про те, що трапиться, якщо вставити зашифрований накопичувач в порт комп'ютера під керуванням більш старої ОС. На малюнку G показано, що станеться, якщо підключити зашифрований носій до машини під керуванням Windows Vista.

шифрування

Малюнок G: Vista дає можливість встановити BitLocker to Go Reader

Хоча Vista не має підтримки BitLocker to Go, у вас є можливість встановлення BitLocker to Go Reader. Ця утиліта читання зберігається на зашифрованому диску (у незашифрованому форматі), тому її можна встановити навіть якщо у вас немає підключення до інтернету.

використання

Рисунок H: BitLocker to Go Reader зберігається на знімному диску

Висновок

У цій статті я показав вам, як використовувати BitLocker to Go, щоб вручну шифрувати носій USB. У другій частині цього циклу я покажу вам, як використовувати політику груп для автоматизації цього процесу.