Недавно у меня была встреча с представителем одного крупного вендора. На этой встрече очень много было сказано на тему новой программно-аппаратной технологии защиты данных Bitlocker. Мой собеседник развеял многие заблуждения о технологии. Поэтому я не могу не привести часть нашего диалога для тех, у кого имеются подобные заблуждения, какие были у меня...
Bitlocker не будет работать на большинстве существующего аппаратного обеспечения (технология требует не только обновления ОС до Windows Vista, но также покупку нового аппаратного обеспечения).
Как правило, пользователи меняют свою ОС на новую одновременно с приобретением нового компьютера. Тем не менее, покупка материнской платы с TPM-чипом не является обязательным условием использования Bitlocker. Альтернативой использованию спецификации TPM 1.2 (Trusted Platform Module) для хранения ключа может стать использование USB-драйва. По-моему скромному мнению, встроенный TPM более удобен и не требует дополнительных манипуляций.
Нет информации о том, как будет реагировать система на различные обновления и патчи.
Простите, разве не Microsoft разработала данную технологию? Кто лучше нее знает о возможном влиянии технологии на работу системы в целом? Только обновление BIOS может сказаться на проверке BitLocker, но вендоры уже знают, как справиться с такой неприятностью.
Технология не сможет обеспечить защиту каждого компьютера сети, работающего под управлением Windows Vista.
Пока о внедрении BitLocker говорить рано, но многие компании перейдут к его использованию достаточно быстро, так как влияние технологии на совместную работу и затраты на использование технологии сведены к минимуму.
BitLocker - более масштабируемая и автоматизированная технология по сравнению с предлагаемыми сегодня решениями. Все Vista-TPM системы легко шифруются, а информация для восстановления может автоматически сохраняться и храниться в Active Directory. Другие решения требуют отдельной инфраструктуры или совместного использования файлов.
Безопасность технологии не подтверждена сторонними компаниями и поэтому может быть с легкостью обойдена.
В качестве одного из важнейших компонентов защиты Windows Vista технология BitLocker прошла официальное и неофициальное тестирование многими компаниями, правительствами и специальными структурами различных стран.
Отсутствуют сертификаты безопасности (FIPS, Common Criteria).
BitLocker в данный момент тестируется на соответствие стандартам FIPS 140-2 и Common Criteria EAL-4.
Пользователь с привилегиями Администратора может отключить шифрование.
Весьма логично, что локальный администратор ДОЛЖЕН иметь возможность управления статусом BitLocker на конкретном локальном компьютере. Единственное решение в такой ситуации – убедиться, что пользователи локального компьютера имеют стандартную учетную запись. Как вариант, можно запретить доступ к всем, кроме себя, в панели управления, позволяющей включать или отключать BitLocker.
Защищена только сама ОС – оставшиеся разделы диска не шифруются.
Защищена не только ОС, но и весь жесткий диск. BitLocker осуществляет на уровне сектора шифрование всего диска, включая ОС, файл подкачки, временные файлы, пользовательские данные, и т.д. Даже свободные сектора шифруются. Это значит, что никто, кроме владельца, не сможет считать важную информацию с жесткого диска.
Верно, что по умолчанию с помощью графического интерфейса Windows Vista не удастся защитить разделы, расположенные вне основного раздела с ОС, но ведь можно сделать это с помощью скриптов через консоль. Но делайте это только в случае, если вы действительно знаете, что делать.
Longhorn Server включает полную поддержку шифрования нескольких разделов, а после появления RTM поддержка мульти-разделов переберется в Enterprise и Ultimate SKU.
Требуется модификация BIOS компьютера.
Новый BIOS нужен тем, кто желает пользоваться преимуществами TPM. Любая система, использующая TPM, требует некоторой модификации BIOS, но тоже самое касается и видеокарт, контроллеров жестких дисков и любого другого компонента компьютера. Каждый человек, более-менее разбирающийся в компьютерном железе, остерегается возможных последствий, но каждый компьютер с логотипом Windows Vista гарантирует поддержку TPM и BitLocker.
У пользователя более не будет возможности загрузиться с CD или иного внешнего устройства.
Неправда, можно загружаться с любого желаемого устройства. Если вы хотите воспользоваться информацией на зашифрованном диске, используя при этом загрузочный диск, вам потребуется Vista-версия известной утилиты WINPE. Это позволит вам получить доступ к информации на жестком диске, конечно же, после того как система получит от вас ключ.
Утилиты типа Bart PE и ERD commander будет невозможно использовать.
Снова неправда, просто потребуется, скажем так, VistaPE. Логично, что нужна более новая версия.
Отсутствует возможность подключения slave-драйва.
Возможность подключения жесткого диска в режиме «slave» никуда не делась, просто для этого дополнительные действия: подключаете диск и выполняете команду на монтирование диска, подтвердив свои намерения имеющимся ключом.
На жестком диске должен присутствовать 1.5Гб раздел (с буквой диска “x”) для системных файлов Bitlocker.
Это правда, что BitLocker требует для своей работы два раздела, размер одного из которых должен составлять 1.5Гб. Данному разделу можно присвоить любую букву и он может быть настроен в соответствии с нуждами пользователя. Чтобы обеспечить необходимое количество свободного места при обновлении Windows, при работе с системными утилитами WinRE и OEM, и с целью избежать потенциальные проблемы с совместимостью с другими приложениями, Microsoft решила обезопасить себя и сделать размер в 1.5Гб рекомендуемым (читай обязательным).
Сложно настроить, особенно удаленно.
Администрирование и TPM и BitLocker может осуществляться удаленно и автоматически. BitLocker создавался с целью обеспечить простую, мощную, масштабируемую безопасность как домашним пользователям, так и сотням тысяч корпоративных пользователей.
Восстановление невозможно, если пользователь потеряет ключи или с ними что-либо произойдет.
Нет, BitLocker обеспечивает множество опций для восстановления, включая тесную интеграцию с Active Directory. Жесткие диски могут перемещаться в другие системы, TPM-чип может быть поврежден, но у пользователей все еще останется возможность восстановления информации. Даже с сотнями тысячами пользователей администраторы IT-отделов с легкостью могут идентифицировать и получать информацию для восстановления для конкретного компьютера, соответственно восстановить работоспособность, что позволит пользователям быстренько вернуться к работе. Active Directory может также хранить информацию о ключе, что позволит восстановить информацию даже на сильно поврежденных дисках.
Пользователя попросят распечатать пароль (рекомендуется распечатать пароль и сохранить в нескольких местах).
Если вы пользуетесь графическим интерфейсом, то на 99% вы – домашний пользователь. Домашним пользователям представляется множество вариантов хранения информации для восстановления, включая хранение на медиа-носителях, печать пароля и бесплатный веб-сервис для хранения ключа, предоставляемый пользователям Windows Vista Ultimate Edition.
Если же вы являетесь администратором компьютерной сети какой-либо компании, вам будет доступен скриптовый интерфейс и пример для включения/отключения BDE. Это позволит пропустит шаги, предложенные домашним пользователям.
Заявлена поддержка пользовательского или мастер-пароля для диска.
Не стоит думать, что BitLocker является идентификатором пользователя. BitLocker «закрывает» информацию намертво так, что даже если у атакующего есть физический доступ к компьютеру, он не сможет получить доступ к информации, имеющейся на компьютере. Множественные уровни защиты ключей могут быть установлены для каждого компьютера, позволяя многочисленным пользователям использовать TPM-защиту в дополнение к индивидуальным USB-ключам. Если корпоративным пользователям требуется более высокий уровень защиты, они могут использовать BitLocker для аутентификации на уровне компьютера и смарт-карты для аутентификации пользователя при входе в Windows.
На этапе загрузки доступ к системе возможен только с помощью клавиш F (F1-F10), что не очень удобно.
BitLocker обеспечивает защиту компьютера непосредственно с момента включения, то есть до того, как любое приложение может загрузиться. Информация для восстановления (в случае необходимости) также запрашивается в начале процесса загрузки, что лишает атакующего шансов внедрить свой вредоносный код. Так как клавиатуры отличаются, а многие системы даже не распознают нажатия цифровых клавиш практически до завершения процесса загрузки, то для того, чтобы пользователи могли получить доступ к своим компьютерам на раннем этапе загрузки, Microsoft решила использовать клавиши F (F1-F10). Кроме того, у атакующего снова нет тех возможностей, что были бы доступны используй Microsoft иной способ доступа.
Пока Bitlocker не готов и в его работе есть еще много неизвестных.
Это правда, технология пока недоступна, но если Microsoft будет идти намеченным курсом, то BitLocker будет готов через пару месяцев.
По правде говоря, в сети достаточно много информации по технологии BitLocker и ее можно отыскать по следующим адресам:
Официальная информация по технологии
Пошаговый гид Windows BitLocker Drive Encryption
Пошаговый гид Windows Vista Trusted Platform Module Services
Обзор BitLocker
Технический обзор BitLocker Drive Encryption
Практикум по управлению Trusted Platform Module
Глоссарий BitLocker и TPM Services
Требования к Windows Vista BitLocker Client Platform
FAQ по BitLocker Drive Encryption
BitLocker Drive Encryption: возможности расширения
Аппаратные требования к BitLocker Drive Encryption
BitLocker Drive Encryption: сценарии и взаимодействие
Алгоритм шифрования диска, используемый в Windows Vista
А также есть блог
Надеюсь, что это поможет ответить на некоторые вопросы о работе технологии Bitlocker.
Источник:
Перевод: deeper2k
Комментарии
Это правда, технология пока недоступна, но если Microsoft будет идти намеченным курсом, то BitLocker будет готов через пару месяцев.
Тогда что это :;)
Неправда, технология доступна, у меня у самого начиная с 5600 RC1 два компьютера защищены BitLocker. Причём оба без чипа TPM и запускаю я их с помощью USB-брелка (страшно тащусь от этого - без меня никто не имеет возможности ни запустить, ни взломать операционку и вытащить данные). Просто через графический интерфейс невозможно конфигурировать BitLocker (может так сделано специально), а вот админ через скрипты может запустить BitLocker элементарно. Если надо могу сделать мануал как это делать.
А где можно будет прочитать этот мануал. Мне очень интересно. Сейчас использую GnuPG и свои скрипты для защиты данных.
По теме
- Windows Vista официально "мертва"
- Завтра прекращается поддержка Windows Vista
- Остался последний месяц поддержки Windows Vista
- 11 апреля Microsoft прекратит поддержку Windows Vista
- Через год прекращается поддержка Windows Vista
- Microsoft открыла исходный код Open XML SDK
- Баллмер: Longhorn/Vista - моя самая серьезная ошибка
- Сегодня заканчивается бесплатная фаза поддержки Windows Vista и Office 2007
- Microsoft продлила срок поддержки Windows Vista и Windows 7
- Практики обеспечения безопасности Microsoft - лучшие в мире