Главная Security, Windows, Без рубрики, Новое Microsoft Enhanced Storage
  • Microsoft Enhanced Storage

    iconic-mini-manila-folder-usb-flash-drive Съемные накопители и другие портативные устройства, которые позволяют массовое хранение информации, уже являются неотъемлемой частью нашей личной жизни и работы. Эти устройства удовлетворяют важную потребность – позволяют легко переносить информацию в больших объёмах между компьютерами и между работой и домом. Тем не менее, это удобство приводит к риску кражи информации или утечки данных. Кроме того, эти устройства могут нести дополнительные риски, связанные с внедрением вирусов и вредоносного ПО, как на компьютерах домашних пользователей, так и на компьютерах в корпоративной сети.

    Сегодня компании нуждаются в том, чтобы перед подключением переносных устройств к компьютеру происходила проверка подлинности. Потребителям необходим аналогичный подход, для гарантий, что их личной информацией не воспользуются посторонние люди, а так же, что неавторизованные устройства не смогут быть подключены к их компьютерам.

    На текущий момент на рынке распространены как различные устройства с повышенным уровнем безопасности, например, накопители со сканером отпечатков пальцев или с поддержкой аппаратного шифрования данных, так и ПО для шифрования, которое поддерживает работу с любыми внешними устройствами хранения данных или позволяет использовать шифрованные файл-контейнеры, которые могут храниться на них. Но их использование возможно только с “фирменным” ПО или с предварительной установкой специального драйвера или программного обеспечения на компьютер, к которому будут подключаться устройства с повышенным уровнем безопасности, что не всегда возможно, а это означает ограниченную совместимость. Чтобы решить этот вопрос, необходим единый стандарт.

    По этому не удивительно, что Институт инженеров по электротехнике и электронике (Institute of Electrical and Electronics Engineers – IEEE) взялся за этот вопрос, создав рабочую группу, которая разработала “Стандартный протокол аутентификации при подключении съемных устройств хранения данных” – 1667 (IEEE 1667-“Standard Protocol for Authentication in Host Attachments of Transient Storage Devices”). IEEE 1667 – это платформенно-независимый стандарт, в котором описаны требования взаимной идентификации между устройствами и компьютером для создания безопасной области, что позволяет доверенным устройствам свободно взаимодействовать друг с другом.

    00 IEEE 1667

    01 Enhanced Storage Architecture

    На текущий момент корпорация Microsoft является одним из активных участников по продвижению нового стандарта и уже реализовала его поддержку, определив его Enhanced Storage. Enhanced Storage является встроенной системой безопасности в новых операционных системах Windows 7 и Windows 2008 R2, в которых обеспечивается поддержка функции защиты паролем и проверкой подлинности на основе сертификатов для USB-накопителей, совместимых со стандартом IEEE 1667.

    Существенным отличим работы Enhanced Storage, от технологии BitLocker To Go, которая позволяет защищать съёмные USB-устройства хранения данных с помощью BitLocker, ограничивая доступ по паролю, является то, что она не зависима от версии использования операционной системы Windows 7, будь то Начальная или Профессиональная. Теперь защищенные паролем устройства можно будет просто подключать к любому компьютеру, не заботясь о предварительной установке и настройке чего-либо.

    02 USB Flash Drive support Enhanced Storage

    Если рассмотреть с практической точки зрения работу с Enhanced Storage, в самом востребованном случае, когда нужно установить пароль для доступа к информации на съёмном носителе, то она выглядит следующим образом.

    Тут еще нужно обратить внимание на то, что съемные накопители (будто USB флэш-диск или портативные диск) с поддержкой IEEE 1667 существенным образом не отличается от обычных, их так же можно использовать в открытом состоянии с операционными системами, у которых отсутствует поддержка устройств совместимых с IEEE 1667.

    При подключении устройств Enhanced Storage происходит установка как стандартных драйверов для переносных устройств, так и расширенных: IEEE 1667 ACT, Драйвер пароля Microsoft WPD Enhanced Storage, универсальный приемник команд IEEE 1667.

    03 Driver - Microsoft Enhanced Storage

    После определения устройства Enhanced Storage в системе, будет предложено установить пароль для доступа к съёмному носителю. Если при первом подключении в этом необходимости нет, то это можно будет сделать потом, через контекстное меню подключенного USB-устройства, выбрав нужный пункт. Если пароль не установить, то информация будет доступна на всех системах, включая те, у которых нет поддержки IEEE 1667, как и в случае c использованием обычного съемного устройства.

    04 Enhanced Storage - connected device

    Процедура установки пароля, для каких вещей стандартная: ввести пароль, подтвердить его и, при необходимости, ввести слово или фразу, используемую в качестве подсказки. После этого уже можно использовать съемный носитель, доступ к которому осуществляется по паролю. Тут стоит отметить, что система не требует установки сложного пароля.

    05 Enhanced Storage - set password

    Заблокировать накопитель можно в ручном режиме, выбрав через контекстное меню подключенного USB-устройства нужный пункт, или это произойдет в автоматическом режиме – при выключении ПК, переходе в спящий режим, отключении накопителя от компьютера, а так же при блокировке компьютера по Ctrl+Alt+Delete. В заблокированном состоянии, данные (как то: размер диска, свободное место, тип файловой системы) не отображаются.

    06 Enhanced Storage - enter password

    Для Enhanced Storage предусмотрен механизм зашиты от подбора пароля методом грубой силы. Можно ввести не более 50 неверных паролей, после чего возможен только сброс устройства, в ходе которого происходит удаление всех данных и восстановление установленных производителем параметров по умолчанию (происходит очистка установленного пользователем пароля).

    07 Enhanced Storage - reset settings

    Конечно, использование Enhanced Storage не ограничено схемой по установке пароля на съемные устройства с поддержкой IEEE 1667, различные варианты взаимодействия с компьютером можно задать через свои настройки, используя политики безопасности, настройки которых находятся в Конфигурация компьютера \ Административный шаблоны \ Система \ Доступ к устройствам Enhanced Storage.

    08 Enhanced Storage - group policies

    Хотя стандарт IEEE 1667 являются новым и последняя спецификация – 1.1 была утверждена только в 2009 году, производители съёмных носителей уже предоставляют на рынок продукцию с поддержкой этого стандарта, и по цене она не отличается от обычных съёмных носителей.


Комментарии

  1. Может невнимательно читал, но что будет если использовать защищённый паролем накопитель в системе не поддерживающей IEEE 1667? Хорошая статья.

  2. Похоже на какой-то идиотизм:

    Для Enhanced Storage предусмотрен механизм зашиты от подбора пароля методом грубой силы. Можно ввести не более 50 неверных паролей, после чего возможен только сброс устройства, в ходе которого происходит удаление всех данных.

    …то есть я могу смеха ради убить все данные кому-нибудь просто введя много раз неправильный пароль? Офигенная штука.

  3. лучше бы капчу сделали, чтобы по дурости не убить данные..

    а ограничение на 50 штук сделанно, если вы потеряете эту флешку. то не захотите, чтобы ее смогли прочитать, поэтому и убийство данных

  4. >Может невнимательно читал, но что будет если использовать защищённый
    >паролем накопитель в системе не поддерживающей IEEE 1667?

    Нечего, в такой системе он будут выглядит, как “убитый” накопитель.
    WinXP сообщает о файловой системе – RAW и предлагает отформатировать.

  5. >…то есть я могу смеха ради убить все данные кому-нибудь просто введя
    >много раз неправильный пароль? Офигенная штука.

    Убьете данные только в том случаи, если выберите сброс устройства. Если нет, то можно будет восстановить “забытый” пароль (а потом и получить доступ к даным), если пользователь заранее позаботился о создании пароля для восстановления.

  6. А у стандарта IEEE 1667 есть какое нибудь комерческое название?
    А то я бросился искать накопители поддерживающие его и ничего не нашел.

  7. >А у стандарта IEEE 1667 есть какое нибудь комерческое название?

    Пока вроде нету

    >А то я бросился искать накопители поддерживающие его и ничего не нашел.

    Да, с этим есть определенная проблема, мне пока известна одна флешка, на которой нанесена информация о ieee 1667 – это Netac U800.

  8. Просчитают алгоритм и взломают со временем. Недоброжелатель вряд ли откажет от удовольствия выбрать “Сброс устройства” и накроет одним махом все данные.
    Кроме того 50 попыток для опытного хакера, если он еще владеет наводящей информацией – очень хороший шанс.

  9. Принесли такую флешку, тока купили, не сбрасывает до заводских параметров, не открывает, хотя пароль вроде ставит, блокирует-разблокирует, а использовать ее ну никак ни дает даже на одном компе. для массового потребления флеш накопителей- это фигня ненужная! только ее выкинуть

  10. Купил флешку с этой защитой (на 8 Gb).
    На работе скопировал на нее данные, поставил пароль, заблокировал, выдернул (без безопасного извлечения). Пришел домой, вставил эту флешку в компьютер, выскочило окно “введите пароль” и на заднем фоне пошла автозагрузка..
    ..ржу не могу.

  11. >Купил флешку с этой защитой (на 8 Gb). …..флешку в компьютер, выскочило
    >окно «введите пароль» и на заднем фоне пошла автозагрузка…

    По описанной ситуации, купленная вами флешка не поддерживает официально стандарт IEEE 1667. (к стати не плохо бы привести описание производителя и модели).
    Да она сделана на элементной базе, которая поддерживает этот стандарт, но производитель этот функционал не реализовал в флешке. От части их можно понять, они не хотя создавать шквал звонков в суппорт и уменьшить долю сбыта этих флешек за счет “избирательности” работы на системах.

  12. Купил флешку Silicon Power Ultima II i-series 32Gb. Защита работает как и положено. Скорость чтения/записи с шифрованием и без не меняется.

  13. Купленная мною флешка произведена фирмой Silicon Power. Это не первая флешка данной фирмы которую я покупаю, нареканий к производителю по поводу работоспособности никогда не возникало, поэтому и выбрал ее. О том что на ней существует защита стандарта IEEE 1667 узнал только потом, когда включил. Покупал в одном из известнейших магазинов города и по цене она там была самая дорогая. Именно по этому у меня вызывает смех реализация данного стандарта.

  14. Александр. Во-первых, вы не указали модель флешки. Во-вторых, Silicon Power официально заявлял, на момент написания статья, что ее не одна флешка не поддерживают стандарт IEEE 1667, это из переписки с суппортом, но не официально поддерживается и работает, но не на всех моделях, об этом далее. Соответственно претензии по качеству или работе флешек вы не можете предъявить продавцу/поставщику/производителю, ведь вы можете на них записывать и считывать информацию. В-третьих, в последних моделях от Silicon Power, используется элементная базе с поддержкой IEEE 1667, но не на всех он корректна “активирована”, к примеру на Silicon Power LuxMini 710 4Gb наблюдается такая же ситуация как и у вас, то есть не работает, на Silicon Power Ultima II i-series 4Gb и 8GB (про 32Gb написали выше) работает корректно (то есть возможно, что вся серия Ultima II i работают по стандарту IEEE 1667 корректно). Что же касается цены, неделю назад брал в одном из магазинов Dxx 8GB, мало того что она была самая дешевая среди имеющихся в наличии Silicon Power так и относительно других производителей, делайте выводы сами.

  15. nihilo666, на silicon power ultima 2 i-series не используется шифрование, только аутентификация.

  16. Уважаемый, Azazela, я брал флешку не ради данного стандарта, а как съемный носитель. Она полностью отвечает, необходимым для меня, требованиям. Просто добавление функции которая плохо протестирована считаю излишним, ничего кроме улыбки она вызвать не может. Это вроде двери с замком, но без стены.

  17. Купил вторую флешку silicon power ultima 2 i-series. Купил в другом магазине, т.к. был подарочный сертификат. По виду отличается только отметками на USB разъеме. У первой 32Gb более широкие и ближе к отверстиям USB, у второй соответственно более тонкие и ближе к краю. Также надпись D33B29 находится прямо под отверстиями у первой, а у второй между D33B29 и отверстиями есть 2 глубокие выемки. Итак, зачем я все эти отличия перечислил. Первая купленная флешка поддерживает IEEE 1667 аутентификацию, а вторая нет. Если для вас это важно, рассмотрите сквозь прозрачную упаковку и крышку USB разъем при покупке.

  18. Купил флешку на 4 гига решил изменить пороль и она глюканула ,требует сброса ,как его сделать ?

  19. Флешка silikon power 4Gb и диск не открывается ,вся инфа удалилась ,на хр открывается пустой диск а на 7 ниче сделать не могу ,т.к. не знаю что делать ?

  20. Похожая проблема… Купил флэшку silicon power с поддержкой Storage, поставил пароль (на Windows 7)… Переподключил флэшку… на Windows 7 не дает ввести пароль или форматить устройство… пишет что надо сделать сброс. На XP видит как пустое устройство и при попытке открытия или форматирования пишет что диск не подключен надо вставить диск (что то в этом роде)… Что теперь делать? Подскажите?
    (как делать сброс не знаю).

  21. 2Orki. Если Вы установили пароль на устройство с поддержкой IEE 1667, то работать с ним (разблокировать, удалить пароль, сбросить устройство, форматировать и т.п.) возможно только в Windows 7/Windows 2008 R2 (Windows Vista/Windows 2008 c оговорками), другие операционные системы (в том числе Windows XP)не поддерживают пока это стандарт аутентификации.

    Как разблокировать и снять пароль написано в статье, но если о каким то причинам неясно написано, то метод очень простой, введите хотя бы один раз не правильно пароль, в окне разблокировать устройство появиться кнопка сброс устройства, нажмите ее, только при этом удалиться вся информация на флешке и сброситься пароль.

  22. Большое спасибо, Azazela, за инфу. Сняла этот проклятый пароль, который и защитой то назвать нельзя. Целый час голову ломала, пока не нашла это обсуждение. Вот уж подходит выражение “Вход – рубль, выход – два”. Они бы предупреждали, что ли, что только под семеркой открывается флешка. Остальные компы её просто не видят и даже владелец пароля бессилен её открыть. Неприятно поздно вечером дома обнаружить, что не можешь открыть флешку с информацией, которая нужна именно сейчас, ехать обратно к компу с семеркой и час ломать голову как снять этот пароль.

  23. <>

    Такая же байда!Два раза запустилась на ХР, один раз на 7, потом, после извлечения стала (сама по себе) требовать пароль, который никто не устанавливал,при попытке установить пароль с первого же раза выдала “неверный пароль введён слишком много раз” требует сброс перед использовением, но при попытке сброса или другого вмешательства пишет: “не удалось восстановить параметры изготовителя”. Ни одна утилита не может ни восстановить ни сбросить ни отформатировать. Прога эта гниль и издевательство. На упаковке имеется невзрачная маркировка на наличие этой дряни на флешке. Советую покупать простые флешки , а для защиты в инете есть годами проверенные проги от умельцев ( работают на ура!), стоит погуглить.

  24. Вставил флешку в семерку и стала вот такая защита…
    Как уже было сказано “дверь с замком но без стены” : спрашивает пароль – закрываешь окошко ничего не вводя и открываешь флешку без всяких препятствий.

    Как теперь вернуть флешку в обычное (прошлое) ее состояние? т.е. как отключит эту IEEE 1667 ?

  25. Что значит вернуть флешку в обычное состояние? Если флешка собрана на элементной базе поддерживающие, стандарт IEEE 1667, то в операционной системе она и будет определяться соответствующим образом, тут нельзя отключить или включить IEEE 1667.

    Другое дело, что некоторые производители собирают флешки на элементной базе с поддержкой стандарта IEEE 1667, но при этом не удосужившись, написать нормальное firmware к ним и итоге получаете “дверь с замком но без стены”, то есть установив пароль на устройство, вы все равно можете просмотреть содержимое не водя пароль.

    Как показала практика, на рынке таких флешек полно, хуже того, что данная проблема может проявляться от партии или места выпуска для у одной и той же модели флешки от одного и того же производителя.

  26. Ваш комментарий
    http://ru.intel.com/business/community/index.php?automodule=blog&blogid=1960&showentry=1505
    Вот откуда взята статья