Инструментальное средство BitLocker Drive Encryption (BDE), или просто BitLocker, было реализовано корпорацией Microsoft в системах Windows Server 2008 и Windows Vista. Это средство обеспечивает шифрование данных, хранящихся на клиентских и серверных системах Windows, а также защищает эти данные в то время, когда компьютеры отключены от питания (то есть при выключенной операционной системе). BitLocker позволяет не допускать таких случаев компрометации данных, как кража конфиденциальных корпоративных сведений с портативных компьютеров сотрудников. В предшествующих версиях Windows организовать подобную защиту можно было лишь с использованием решений сторонних производителей. Кроме того, продукт оснащен механизмом проверки целостности данных, благодаря которому повышается устойчивость к атакам собственно на операционную систему. При обработке системного тома с помощью BitLocker пользователь может применить функцию проверки целостности файлов, которая в момент загрузки системы и перед запуском операционной системы в автоматическом режиме оценивает состояние загрузочных файлов, таких как BIOS, главные загрузочные записи Master Boot Records (MBR) и загрузочный сектор NTFS. Если злоумышленники введут в один из загрузочных файлов вредоносный код или модифицируют один из файлов, BitLocker обнаружит это и предотвратит запуск операционной системы.
Первой версии BitLocker был присущ ряд недостатков, исправленных специалистами Microsoft в последующих версиях операционной системы. В первоначальной версии BitLocker обеспечивал защиту только одного тома — диска с операционной системой. В версиях Server 2008 и Vista SP1 Microsoft реализовала средства защиты различных томов, в том числе томов локальных данных. В версиях Server 2008 R2 и Windows 7 разработчиками BitLocker была добавлена поддержка съемных накопителей данных (таких, как флэш-карты и внешние накопители). Эта функция называется BitLocker To Go. С обзором типов дисковых накопителей, поддерживаемых функцией BitLocker, можно ознакомиться в подготовленной специалистами Microsoft статье «BitLocker Drive Encryption in Windows 7: Frequently Asked Questions», опубликованной по адресу technet.microsoft.com/en-us/library/ee449438(WS.10).aspx. Системы Server 2008 R2 и Windows 7 тоже комплектуются расширенным набором настроек объектов групповых политик (GPO) BitLocker, включая новый агент восстановления данных — он дает возможность централизованно восстанавливать защищаемые средствами BitLocker данные, которые хранятся в лесу Active Directory (AD). . Кроме того, как известно, во многих организациях до сих пор эксплуатируются старые компьютеры, не оснащенные модулями TPM. Дело в том, что модуль TPM нельзя просто взять и установить в компьютер; он либо является частью конструкции системы, либо не предусмотрен вовсе.
В BitLocker специалисты Microsoft реализовали несколько настроек конфигурации, позволяющих эксплуатировать его в системах, не оснащенных модулем TPM. Я подробно опишу все действия, которые необходимо выполнить для установки и начала работы с BitLocker на компьютере, не оснащенном модулем TPM. Вы узнаете, какими средствами можно заменить этот модуль, и каким рекомендациям желательно следовать.
Защита диска операционной системой без использования TPM
Средство BitLocker входит в комплект поставки всех редакций Server 2008 R2 и Server 2008 (за исключением редакции для Itanium), кроме того, Windows 7 Ultimate и Enterprise, а также Windows Vista. В версиях Windows 7 и Vista механизм BitLocker загружается в рамках процесса установки операционной системы. В системах Server 2008 R2 и Server 2008 продукт BitLocker реализован как факультативное средство; его необходимо устанавливать отдельно. Для этого нужно воспользоваться пунктом Add Features, который доступен в окне Configuration Tasks или — после установки — в диспетчере Server Manager.
Средство BitLocker можно использовать без модуля TPM для защиты диска операционной системы, а также несъемных или съемных накопителей данных. Если вы намереваетесь использовать BitLocker без модуля TPM для защиты дисков операционной системы, в стандартный процесс установки этого продукта, о котором речь пойдет ниже, вам придется внести несущественные изменения; кроме того, перед тем как приступать к установке BitLocker, нужно будет провести дополнительную подстройку объектов GPO.
Чтобы организовать защиту диска операционной системы средствами BitLocker в отсутствие модуля TPM, вам потребуется съемное накопительное USB-устройство, а также компьютер с системой BIOS, которая позволяет загружаться с этого устройства. Указанное требование является обязательным, поскольку USB-накопитель, содержащий ключ шифрования BitLocker, в момент запуска системы должен быть подключен и доступен для чтения средствами BIOS. Затем пользователь должен установить USB-накопитель в ходе процедуры запуска, с тем чтобы разблокировать зашифрованный диск операционной системы.
Если вы хотите обрабатывать с помощью программы BitLocker содержимое диска операционной системы без использования модуля TPM, вам нужно изменить применяемый по умолчанию режим работы мастера BitLocker Drive Encryption. Дело в том, что в случаях, когда система не оснащена модулем TPM, когда этот модуль отключен или когда в соответствии с настройками BIOS модуль TPM скрыт от операционной системы, мастер BitLocker Drive Encryption в фазе инициализации отображает сообщение об ошибке, показанное на экране 1. Затем мастер предлагает пользователю выйти из процедуры установки BitLocker — нажатие кнопки Cancel является единственным вариантом продолжения, рекомендуемым системой.
Экран 1. Ошибка инициализации в окне мастера BitLocker Drive Encryption при попытке организации защиты диска с операционной системой |
Одна из настроек GPO позволяет внести изменения в этот используемый по умолчанию режим работы. Администраторы могут изменить указанную настройку на глобальном уровне, воспользовавшись GPO на базе домена. Чтобы изменить режим работы мастера BitLocker Drive Encryption на системе Server 2008 R2 или Windows 7, запустите редактор Group Policy Editor (GPE). Выберите пункты Start, Run, введите gpedit.msc и нажмите Enter.
Перейдите в раздел \Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives GPO. Дважды щелкните на элементе Require additional authentication at startup — для настройки систем Server 2008 R2 или Windows 7 — или на элементе Require additional authentication at startup (Windows Server 2008 and Windows Vista) — для настройки систем Server 2008 или Vista. Затем нажмите кнопку Enabled, чтобы изменения, внесенные в политику, вступили в силу, как показано на экране 2.
Экран 2. Настройка BitLocker для функционирования без модуля TPM |
Если параметр Allow BitLocker without a compatible TPM еще не выбран, выберите его. Нажмите кнопку ОК и закройте редактор GPE. В окне командной строки запустите файл gpupdate.exe, дабы обновить настройки GPO на системе.
После того как вы внесете указанное изменение в GPO, мастер BitLocker Drive Encryption не будет генерировать ошибку в связи с отсутствием или неверной настройкой модуля TPM. В качестве единственного предпочтительного варианта при запуске мастер укажет Require a Startup key at every startup. Когда вы выберете этот предпочтительный вариант запуска, мастер предложит установить съемное запоминающее устройство USB для сохранения ключа запуска. После успешного завершения работы мастера BitLocker Drive Encryption система будет всякий раз при загрузке предлагать устанавливать USB-ключ BitLocker.
Аналогичная настройка GPO предусмотрена и в системах Server 2008 и Vista. Эта настройка (Control Panel Setup: Enable Advanced Startup Options) размещается в разделе \Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive EncryptionGPO.
В системах Server 2008 и Vista защищать диск операционной системы с помощью программы BitLocker можно лишь после предварительной подготовки. Чтобы обеспечить нормальное функционирование BitLocker, необходимо выделить на диске особый системный раздел для хранения системных файлов, которые не могут быть зашифрованы и которые нужны для запуска и восстановления операционной системы. Создать такой особый системный раздел можно с помощью инструмента BitLocker Drive Preparation Tool. Сведения об этом средстве, включая инструкции по его установке, можно найти в подготовленной специалистами Microsoft статье «Description of the BitLocker Drive Preparation Tool», опубликованной по адресу support.microsoft.com/kb/933246. В системах Server 2008 R2 и Windows 7 данное средство встроено в мастер BitLocker Drive Encryption.
Процесс шифрования
Благодаря мастеру BitLocker Drive Encryption процесс установки выполняется легко, хотя и не слишком быстро. Мастер может работать длительное время (до нескольких часов), которое определяется размером диска. На шифрование диска данных емкостью 45 Гбайт у программы BitLocker ушло порядка двух часов. Приятно отметить, что процесс шифрования осуществляется в фоновом режиме и на протяжении этого времени с компьютером можно работать. И все же я рекомендую читателям до завершения процесса шифрования не загружать систему другими задачами, ибо это может привести к снижению быстродействия компьютера.
Перед тем как запускать мастер BitLocker Drive Encryption, обязательно снимите полную резервную копию данных, хранящихся на диске, который вы собираетесь защищать с помощью BitLocker. Мастер отличается высокой надежностью, что, однако, не дает полной гарантии от сбоев (возможен, например, отказ аппаратных компонентов диска).
Чтобы запустить мастер BitLocker Drive Encryption, перейдите в оснастку BitLocker Drive Encryption панели управления. Вы увидите список всех томов, доступных для шифрования средствами BitLocker (диск операционной системы, фиксированные и съемные накопители). Если вы увидите предупреждающее сообщение — например, предупреждение об отсутствии модуля TPM, — следует сначала выполнить действия, описанные в предыдущем разделе.
В окне оснастки BitLocker Drive Encryption выберите настройку Turn on BitLocker для диска, который намереваетесь защищать. На экране появится окно мастера BitLocker Drive Encryption. Можно воспользоваться и другим способом запуска мастера: правой кнопкой мыши щелкните на значке накопителя в Windows Explorer и в открывшемся меню выберите пункт Turn on BitLocker.
Чтобы разблокировать накопитель, пользователь должен выбрать одну из предлагаемых мастером BitLocker Drive Encryption настроек, представленных на экране 3. В вашем распоряжении три варианта: Use a password to unlock the drive, Use my smart card to unlock the drive и Automatically unlock this drive on this computer. Если вам не подходит вариант с автоматическим снятием блокировки, при каждой попытке получить доступ к защищенному диску данных вам нужно будет вводить пароль или вставлять смарт-карту, а потом указывать соответствующий PIN-код. Вариант с автоматическим разблокированием применим только к фиксированным дискам данных и в случае, если диск операционной системы тоже защищен средствами BitLocker, — при соблюдении этого условия блокировка диска данных снимается автоматически в момент регистрации пользователя в системе Windows. Если вы хотите отменить блокировку накопителя с помощью смарт-карты, позаботьтесь, чтобы на ней хранился специальный сертификат и закрытый ключ. Сведения о том, как можно получить подобный сертификат во внутреннем удостоверяющем центре Certification Authority (CA) или как создать самостоятельно подписанный сертификат, используемый для выполнения той же задачи, можно найти в статье Microsoft «BitLocker Drive Encryption Step-by-Step Guide for Windows 7», размещенной по адресу technet.microsoft.com/en-us/library/dd835565(WS.10).aspx.
Экран 3. Выбор параметра снятия блокировки в окне мастера BitLocker Drive Encryption |
Мастер предоставляет пользователю на выбор несколько вариантов сохранения пароля восстановления BitLocker: на флэш-накопителе USB, в файле или в виде распечатанного документа. Пароль восстановления BitLocker имеет исключительное значение: он позволяет вновь обретать доступ к данным пользователям, которые забыли пароль для снятия блокировки или потеряли смарт-карту, обеспечивающую выполнение этой операции. Советую вам всегда сохранять по меньшей мере две копии пароля восстановления. Если вы используете накопитель USB, его не следует применять для выполнения каких-либо других задач. Отмечу кстати, что вы можете использовать настройку Manage BitLocker оснастки BitLocker Drive Encryption для снятия большего числа копий ключа восстановления по завершении работы мастера.
На данном этапе на экране отображается окно мастера, где пользователю предлагается ответить на вопрос, следует ли начинать процесс шифрования немедленно. Для продолжения работы нажмите кнопку Start Encrypting.
После начала шифрования Windows отображает индикатор состояния этого процесса. При работе со съемными накопителями данных вы можете приостановить, а затем возобновить процесс шифрования (для приостановки нажмите кнопку Pause). Такая возможность может пригодиться в случае, когда в процессе шифрования возникает необходимость снять соответствующий накопитель. Функция приостановки и возобновления недоступна при шифровании дисков операционной системы или несъемных накопителей. По завершении процесса шифрования нажмите кнопку Close.
Чтобы ответить на вопрос, защищен ли тот или иной накопитель с помощью инструмента BitLocker, достаточно взглянуть на значок накопителя в окне программы Windows Explorer. Когда содержимое накопителя зашифровано, поверх его символа отображается символ замка. Золотой закрытый замок означает, что накопитель заблокирован, серый открытый замок отображается после снятия блокировки накопителя. Для отмены блокировки накопителя, прошедшего процедуру шифрования, щелкните на нем правой кнопкой мыши и в раскрывшемся меню выберите пункт Unlock Drive. Появится экран снятия блокировки; на нем вы сможете ввести пароль снятия блокировки (экран 4). Отмечу, что настройку Automatically unlock on this computer from now on можно использовать лишь в тех случаях, когда диск операционной системы тоже защищен с помощью BitLocker.
Экран 4. Отмена блокировки диска данных, защищенного с помощью BitLocker |
Проверка целостности файлов средствами BitLocker
Метод защиты диска операционной системой средствами BitLocker с использованием модуля TPM имеет свои достоинства и недостатки. Наряду с шифрованием содержимого на уровне томов BitLocker обеспечивает также проверку целостности файлов. Как я отмечал выше, во время загрузки системы и до запуска операционной системы эта функция автоматически оценивает состояние загрузочных файлов, таких как BIOS, главные загрузочные записи и загрузочный сектор NTFS. Если злоумышленники введут в один из загрузочных файлов вредоносный код или модифицируют один из файлов, BitLocker обнаружит это и предотвратит запуск операционной системы. Затем BitLocker переключится в режим восстановления, и, для того чтобы вновь получить доступ к системе, вам придется воспользоваться паролем или ключом восстановления.
Реализованный в продукте BitLocker механизм проверки целостности файлов весьма полезен, но, с другой стороны, при использовании этого продукта появляются дополнительные сложности, связанные с настройкой модуля TPM и управлением. При обслуживании сетей, где активно используется BitLocker, указанные недостатки нельзя недооценивать — прежде всего, в контексте общей стоимости владения.
Повышение уровня защиты
BitLocker может стать для вас хорошим подспорьем в деле защиты дисков с операционной системой, а также фиксированных и съемных накопителей на платформе Windows — даже без использования модуля TPM. Реализованная в системах Server 2008 R2 и Windows 7 версия BitLocker не уступает средствам шифрования сторонних производителей и даже превосходит их в том, что касается интеграции с операционной системой Windows и встроенными средствами управления.
Жан де Клерк (jan.declercq@hp.com) — сотрудник Security Office компании HP. Специализируется на управлении идентификационными параметрами и безопасностью в продуктах Microsoft
Надежная защита учетных записей служб без ограничения срока действия паролей
Параметр объекта групповой политики (GPO) Deny logon locally следует задействовать для всех учетных записей служб, так как в результате блокируется один из путей для атаки — интерактивная регистрация (например, регистрация с использованием комбинации клавиш Ctrl+Alt+Del) на компьютере с такой учетной записью. Большинство специалистов по безопасности неодобрительно относятся к учетным записям без ограничения срока действия паролей. Однако порой обойтись без такой учетной записи практически невозможно. Особое беспокойство вызывает возможность использования учетной записи из любого места в сети, что может привести к злоупотреблениям. Чтобы умиротворить аудиторов и специалистов по безопасности, я хочу предложить простой способ выполнить правила безопасности и при этом сохранить учетные записи служб с паролями без ограничения срока действия. Выполните следующие действия.
- В домене Active Directory (AD) создайте группу безопасности, например с именем DenyLogonsLocal. В эту группу нужно ввести идентификаторы, с которыми предполагается запускать службу или процесс, но не применяемые для интерактивной регистрации на любом компьютере домена.
- Создайте объект GPO с компьютера с установленной консолью управления групповой политикой (GPMC). Конфигурацию пользователя можно отключить, так как она не потребуется.
- Перейдите в Windows Settings\Security Settings\Local Policies\User Rights Assignments\Deny logon locally. Введите группу безопасности, подготовленную на шаге 1, и сохраните объект GPO.
- Убедитесь, что объект GPO настроен на прошедших проверку пользователей. Поскольку все компьютеры в домене — часть прошедших проверку пользователей, объект применяется ко всем рабочим станциям и серверам.
- Свяжите этот объект GPO на уровне домена без возможности переопределения (это гарантирует, что никто не отменит вашу работу в организационной единице нижнего уровня — OU) и с включенным режимом конфигурации компьютера.
- Подождите, пока новый объект GPO не будет применен на рабочих станциях и серверах, а затем попытайтесь выполнить интерактивную регистрацию с рабочей станции или сервера с использованием одного из идентификаторов, членов группы безопасности, подготовленной на шаге 1. Попытка регистрации завершится неудачей.
- Если имеется два или несколько доменов, можно поместить группы из доверенного домена в объект GPO. Однако полезно подготовить такие объекты GPO на обеих сторонах (в случае двустороннего доверия).
Рекомендуется предоставлять только необходимые учетной записи права доступа, но не назначать автоматически административный доступ, поскольку большинство служб и процессов можно запускать без административных разрешений. Для учетных записей, которым нужен административный доступ, добавьте идентификаторы в локальные административные группы на серверах или рабочих станциях, чтобы обеспечить выполнение процесса и быть уверенным, что идентификатор непригоден для интерактивного входа. В итоге как ИТ-подразделение, так и группы безопасности делают шаг к более безопасной среде.
Кевин Вилленборг — руководитель подразделения Directory Services в крупной международной страховой компании. Специализируется на проектировании Active Directory, групповых политиках, диагностике и управлении безопасностью