Главная Security, Новое Security
  • Усиление безопасности вашего ноутбука при переездах

    • Рубрика: Security,Новое
    • Автор: Владимир Безмалый
    • Дата: Tuesday 01 Dec 2009

    20090525173735207 Использование ноутбука для работы вне офиса или в дороге в последнее время становится все более распространенным. Однако это же способствует тому, что мобильные компьютеры все чаще и чаще становятся лакомой целью для злоумышленников. Нередко их просто воруют. Если ноутбук украден, то вполне возможно что ваша личная, как впрочем и конфиденциальная информация вашей компании может стать общедоступной. Что делать? Постараюсь привести краткий перечень тех мероприятий, которые смогут вам помочь в усилении безопасности вашего ноутбука.

  • Главная Security, Новое Security, Видео, Родительский контроль
    • Видео. Родительский контроль на коммуникаторе или смартфоне? А почему бы и нет!

      • Рубрика: Security,Новое
      • Автор: Владимир Безмалый
      • Дата: Monday 17 Aug 2009
      Сегодня проблемы нашей детворы все больше и больше занимают нас с вами. Что может быть дороже судьбы собственного ребенка? НИЧЕГО!
      Сегодня многие из нас используют функцию «Родительский контроль» на домашних ПК. Правильно ли это? На мой взгляд – да. Однако давайте посмотрим немного в другую сторону.
      Смартфоны и коммуникаторы сегодня уже давно никого не удивляют. Более того, в последнее время все больше детей используют данные устройства.
      Какие проблемы могут возникнуть у вас и вашего ребенка при использовании мобильной связи?

      Безмалый В.Ф.
      MVP Consumer Security

      • Внедряем DLP?

        1-Data-Leak-Prevention-services Сегодня модно говорить о необходимости внедрения DLP (Data Leak Prevention) систем.

        Все верно. Внедрение таких систем давно стало уже не просто модой, а необходимостью, ведь утечка конфиденциальных данных может привести к огромному ущербу для компании, а главное оказать не одномоментное, а длительное влияние на бизнес компании. При этом ущерб может носить не только прямой, но и косвенный характер. Потому что помимо основного ущерба, особенно в случае разглашения сведений об инциденте, ваша компания «теряет лицо». Ущерб от потери репутации оценить в деньгах весьма и весьма сложно!

      • Главная Security, Новое Kaspersky, Mobile, Security
        • Kaspersky Mobile Security 8.0 Первые впечатления

          • Рубрика: Security,Новое
          • Автор: Владимир Безмалый
          • Дата: Friday 10 Jul 2009

          windows-mobile-virus Об угрозах, связанных с мобильными устройствами, сегодня говорят много и долго. Однако угроз от этого меньше не становится, увы. А будет еще больше! Появляется все новое и новое ПО для снижения уровня угроз. Вчера мне в руки попал образец подобного ПО. Вернее, не попал, а я целенаправленно установил его на свой коммуникатор. Это Kaspersky Mobile Security 8.0 (KMS 8.0), о котором хотелось бы рассказать немного подробнее.

        • Главная Security, Новое Security
          • Мошенничество в Интернет

            • Рубрика: Security,Новое
            • Автор: Владимир Безмалый
            • Дата: Tuesday 07 Jul 2009

            f2c74ee1e1c9da4fe76f853f3af1f800 Наиболее развитой формой мошенничества в Интернет, без сомнения, является кража персональных данных пользователей (пароли, номера кредитных карт и тп.) именуемая фишинг.

            Типичными инструментами фишинга являются почтовые сообщения (использующие методы социальной инженерии) и специально разработанные web-сайты.

            Бурное развитие IT-технологий, к сожалению, влечет за собой и прогресс интернет- мошенничества, методы атак становятся все изощреннее, повышается уровень подготовленности атак с целью кражи номеров кредитных карт, банковских счетов и прочей конфиденциальной информации.

          • Главная Новое Пятничная тема
            • После очередного ответа на вопросы форума

              • Рубрика: Новое
              • Автор: Владимир Безмалый
              • Дата: Tuesday 07 Jul 2009

              2 В очередной раз на одном из форумов, на котором я имею несчастье быть модератором, убедился, что наиболее популярны две темы:
              1. Где взять (читай украсть) ключи на антивирус
              2. Сравнение антивирусов.
              В связи с этим вспомнилась неизвестно от кого приведенная притча, которую хотел бы привести здесь.

            • Главная Security, Новое Security, Видео
              • Видео – Круглый стол «Внутренние угрозы в условиях кризиса»

                • Рубрика: Security,Новое
                • Автор: Владимир Безмалый
                • Дата: Friday 26 Jun 2009

                Количество всегда перерастает в качество. Применительно к вопросам информационной безопасности, возросшее в последнее время количество уволенных сотрудников, «заточивших зуб» на бывших работодателей, потянуло за собой «воспаление» старой проблемы сохранности корпоративных данных. Разумеется, одной этой проблемой ситуация не ограничивается, поэтому мы решили обсудить актуальные вопросы ИБ в формате круглого стола. В нём приняли участие известные на ИТ-рынке специалисты в области информационной безопасности — Виктор Жора и Владимир Илибман. В качестве модератора круглого стола мы пригласили Владимира Безмалого, MVP в области Consumer Security.

                Безмалый В.Ф.

                MVP Consumer Security

              • Главная Security, Windows, Новое Live, Security, Windows 7, Видео
                • Видео – Обеспечение безопасности детей в Интернет. Windows Live Фильтр семейной безопасности.

                  images Служба Семейная безопасность Windows Live пришла на смену службе «Семейная безопасность Windows Live One Care. Данная служба предназначена для помощи родителям в настройке параметров безопасности детей.

                  С помощью данной службы можно защитить детей от просмотра нежелательного веб- содержимого, управлять списком пользователей, с которыми дети могут обмениваться электронной почтой или мгновенными сообщениями, а также отслеживать посещаемые детьми веб-сайты.

                • Главная Security, Windows, Новое BitLocker, Security, Windows 7, Видео
                  • Видео – BitLocker to GO

                    image0017 января 2009 года компания Microsoft представила для тестирования очередную версию операционной системы для рабочих станций – Windows 7. В данной операционной системе, как уже стало привычным, широко представлены технологии безопасности, в том числе и ранее представленные в Windows Vista. Сегодня речь пойдет о технологии шифрования Windows BitLocker, претерпевшей значительные изменения после своего появления в Windows Vista.

                  • Главная Security, Новое BitLocker, Security, Windows Vista
                    • Шифрование информации на мобильных компьютерах

                      • Рубрика: Security,Новое
                      • Автор: Владимир Безмалый
                      • Дата: Thursday 16 Apr 2009

                      decrypted Сегодня в организациях все чаще применяется шифрование мобильных устройств. Ведь именно эта мера послужит последней линией обороны в случае, если ноутбук попадет в руки злоумышленников. Но при внедрении шифрования в организации возникает масса вопросов, как правильно организовать данный технологический процесс. В предлагаемой статье я остановлюсь на тех процессах, которые необходимо осуществлять для правильного внедрения шифрования с использованием технологии BitLocker, реализованной в некоторых редакциях Windows Vista, как составной части организации защиты информации в компании.

                       

                      Краткий обзор технологии BitLocker

                      BitLocker – важная новая технология защиты информации, появившаяся в операционной системе Windows Vista, обеспечивающая шифрование данных на компьютере. С помощью этой технологии вы сможете зашифровать весь жесткий диск и обеспечить его защиту в случае, если ноутбук попадет в руки злоумышленника. Наиболее эффективно применение данной технологии для портативных компьютеров, оборудованных модулем Trusted Platform Module (TPM) версии 1.2 и выше, так как в таком случае вы получите расширенную поддержку и проверку целостности всей системы при загрузке. Кроме того, в случае если компьютер не оборудован TPM, вы сможете использовать в качестве ключа внешний USB-накопитель в качестве устройства для хранения ключа доступа.

                      Планирование развертывания

                      Для того чтобы грамотно провести развертывание инструментальных средств шифрования в организации, нужно четко представлять себе все потенциальные проблемы, которые могут при этом возникнуть. Для внедрения BitLocker вы должны рассмотреть следующее:

                      1. Оценить готовность аппаратных средств к BitLocker;
                      2. Определить возможность развертывания;
                      3. Выбрать конфигурацию BitLocker;
                      4. Создать план восстановления данных в случае чрезвычайной ситуации.

                      Постараемся рассмотреть эти вопросы подробнее.

                      Оцените готовность аппаратных средств к применению BitLocker

                      Для того чтобы вы могли использовать BitLocker, компьютеры компании должны удовлетворять перечисленным ниже требованиям.

                      • Операционная система Windows Vista Enterprise или Windows Vista Ultimate;
                      • Если вы хотите использовать BitLocker вместе с модулем TPM, материнские платы компьютеров должны быть TPM-совместимы, т.е. оборудованы модулями TPM, соответствующими спецификации Trusted Computing Group TPM v.1.2 или более новыми;
                      • Жесткий диск должен содержать два раздела с файловой системой NTFS. Раздел, на который BitLocker будет записывать загрузочные компоненты, должен быть первым и содержать не менее 1,5 Гбайт чистого пространства. Кроме того, это должен быть активный раздел.

                      Для того чтобы узнать, удовлетворяют ли ваши компьютеры указанным требованиям, можно использовать сценарии Windows Management Instrumentation (WMI) или PowerShell. Однако гораздо предпочтительнее задействовать Microsoft Systems Management Server (SMS) или аналогичные утилиты от независимых производителей.

                      Аппаратные требования BitLocker

                      Фактически аппаратные требования для использования BitLocker аналогичны тем требованиям, которые предъявляются к компьютерам для установки Windows Vista.

                      Однако если вы решите использовать расширенные возможности, связанные с поддержкой ТРМ, потребуются компьютеры, оборудованные TPM-модулем версии 1.2 или более новым. На сегодняшний день уже многие переносные компьютеры оборудованы соответствующими модулями, однако стоит помнить, что установить эти модули на уже имеющиеся компьютеры невозможно.

                      На компьютерах, не оборудованных ТРМ, можно использовать ключи шифрования, размещаемые на USB-дисках. Но такой способ размещения ключей шифрования значительно менее надежен, ведь в данном случае шифрование будет зависеть только от того, как пользователи будут хранить соответствующие USB-устройства. А если учесть, что многие из них будут хранить USB-диски в тех же сумках, в которых хранят ноутбуки, то такой способ хранения ключей шифрования не выдерживает никакой критики.

                      Стоит учесть, что для некоторых компьютеров, уже оборудованных ТРМ версии 1.2 может потребоваться обновление BIOS. Как правило, это в первую очередь актуально для компьютеров, выпущенных до 1 января 2007 года.

                      Стоит обратить внимание на то, что некоторые BIOS могут загружать систему с USB-дисков. Если вы хотите использовать BitLocker, то эту возможность нужно отключить. Жесткий диск должен быть первым устройством в списке загрузки.

                      Каждый компьютер, на котором будет использоваться BitLocker, должен содержать два раздела. Один – для операционной системы и данных, а второй, поменьше, используется только когда компьютер загружен, или для обновлений операционной системы. Оба раздела должны использовать файловую систему NTFS, при этом Microsoft рекомендует, чтобы загрузочный раздел (меньший) содержал не менее 1,5 Гбайт свободного пространства.

                      Пользователи Windows Vista Ultimate могут использовать BitLocker Drive Preparation Tool для создания раздела (чтобы использовать BitLocker). Этот инструмент описан в статье Microsoft Knowledge Base номер 930063 «Description of the BitLocker Drive Preparation Tool» (http://support.microsoft.com/kb/930063). Microsoft не рекомендует вручную создавать или изменять размеры разделов, в соответствии с требованиямя BitLocker, хотя в моей практике пришлось создавать разделы именно вручную при помощи программы fdisk из операционной системы Windows 9x.

                      Вы можете использовать чистую установку Windows Vista (ведь создание разделов – это составная часть процедуры установки) или задействовать Drive Preparation Tool.

                      Trusted Platform Module

                      Понимание предназначения этого аппаратного обеспечения является важнейшей частью настройки BitLocker. Для того чтобы больше узнать о технологии TPM и о самой группе Trusted Computing Group, следует прочесть статью Trusted Platform Module (TPM) Specifications https://www.trustedcomputinggroup.org/specs/TPM.

                      Доверенный платформенный модуль, так дословно переводится название ТРМ, – это микросхема, установленная на материнской плате, предназначенная в первую очередь для хранения ключей шифрования.

                      Фактически компьютеры, на которых установлен ТРМ, создают ключи шифрования таким образом, что они могут быть расшифрованы только с помощью ТРМ. Этот процесс часто называется «сокрытием» (wrapping) или «привязкой» (binding) ключа, что помогает защитить ключ от компрометации. В каждом модуле ТРМ есть так называемый главный ключ (master key), или основной ключ (Storage Root Key, SRK), который никогда не будет доступен другому компоненту системы и который всегда хранится в ТРМ.

                      Кроме того, компьютеры, оснащенные ТРМ, также обладают возможностью создавать ключи, которые будут не только зашифрованы, но и привязаны к определенной системной конфигурации. То есть ключи могут быть расшифрованы только в том случае, если платформа, на которой их пытаются расшифровать, будет полностью совпадать с той, на которой эти ключи создавались. Данный процесс называется «запечатыванием» ключа в модуле ТРМ. Т.е. используя такую технологию и BitLocker Drive Encription, можно сделать так, чтобы ваши данные были разблокированы только в том случае, если они будут считываться с компьютера с подходящей аппаратно-программной конфигурацией.

                      Стоит также отметить, что, так как модуль ТРМ не зависит от операционной системы и имеет собственное программное обеспечение, он фактически защищен от возможных ошибок операционной системы.

                      Системные требования для установки BitLocker

                      Windows Vista поставляется в нескольких редакциях, однако только Enterprise и Ultimate поддерживают технологию BitLocker. Вместе с тем стоит помнить, что Microsoft включает средство обновления Windows Anytime Upgrade, описанное в оперативной подсказке к Windows Vista. Например, вы можете обновить Windows Vista Business Edition до Windows Vista Ultimate Edition с помощью средства Anytime Upgrade. Однако в некоторых случаях вам потребуется повторная установка, например, превращение 32-разрядной версии в 64-разрядную потребует повторной установки 64-разрядной версии Windows Vista.

                      Развертывание Windows Vista

                      Программное руководство Solution Accelerator for Business Desktop Deployment http://go.microsoft.com/fwlink/?LinkId=91187 обеспечит всесторонний набор руководств и инструментов для внедрения Windows Vista на предприятии. Если вы планируете развертывание Windows Vista, помните, что BitLocker не может быть установлен и настроен удаленно, так как ТРМ не может быть инициализирован удаленно. А кроме того, может потребоваться обновление системы BIOS для полного удовлетворения требованиям установки BitLocker.

                      Поскольку BitLocker недоступен пока вы не установите Windows Vista, вы должны решить, хотите ли вы обновлять компьютеры с Windows XP до Windows Vista или предпочтете чистую установку новой операционной системы. Для установки BitLocker нужно разметить жесткий диск особым образом (эти требования описаны в Windows BitLocker Drive Encryption Step-by-Step Guide http://go.microsoft.com/fwlink/?LinkId=83223), и если вы планируете обновить существующие операционные системы Windows XP, то должны запланировать изменение логической структуры жестких дисков компьютеров.

                      Вместе с тем инструментальные средства Windows Vista Business Desktop Deployment (BDD) поддерживают автоматическое развертывание BitLocker при некоторых обстоятельствах. В Lite Touch Installation Guide http://go.microsoft.com/fwlink/?LinkId=78607 описано развертывание BitLocker как части операционной системы.

                      Определите возможность развертывания BitLocker

                      После того, как вы определите наличие аппаратных средств и программного обеспечения, которые поддерживают один или более режимов функционирования BitLocker, следующим шагом будет определение тех компьютеров, на которых будет разворачиваться BitLocker. Для этого вам потребуется ответить на следующие вопросы:

                      • Какие компьютеры в вашей организации нуждаются в защите?
                      • Нужно ли защищать все ваши мобильные и настольные компьютеры?
                      • Какие данные в вашей организации нуждаются в криптографической защите?

                      Какие компьютеры нуждаются в защите?

                      Как правило, технологии защиты воплощают некий компромисс между защитой и стоимостью, и BitLocker не является исключением. Казалось бы, наилучшее решение – развернуть Windows Vista на предприятии и запустить BitLocker. Однако большинство организаций должно синхронизировать широкое внедрение Windows Vista (и, соответственно, BitLocker) с полным планом развертывания ИТ-технологий.

                      Windows Vista и BitLocker необходимо устанавливать на компьютеры, которые подвергаются наибольшему риску. Это такие компьютеры, как:

                      • компьютеры, используемые топ-менеджерами, работающими с наиболее важной конфиденциальной информацией;
                      • Компьютеры, используемые служащими, которые могут иметь доступ к личным или финансовым данным клиентов, служащих или деловых партнеров;
                      • Компьютеры, на которых обрабатывается персональная информация клиентов или служащих;
                      • Компьютеры, используемые в тех областях, где они особенно уязвимы (воровство);
                      • Портативные компьютеры, используемые служащими вне пределов офиса;
                      • Домашние компьютеры служащих, используемые для удаленной работы в сети компании.

                      Наиболее простым способом определения компьютеров, которые нуждаются в шифровании, будет использование базы данных компьютеров. Не забудьте перепроверить эти данные из разных источников, чтобы быть уверенным в достоверности полученной информации.

                      Какие данные нуждаются в защите с помощью шифрования?

                      Примечательно в данной технологии то, что она позволяет шифровать весь системный том, что дает пользователю возможность без особых затрат и раздумий шифровать все файлы и папки. Тем не менее, весьма важно определить данные, которые нуждаются в шифровании. Зная эти данные намного легче определить те компьютеры и тех пользователей, чья информация нуждается в шифровании. Это позволит сэкономить, поскольку не придется шифровать все системные тома всех пользователей. Давайте приведем пример тех данных, которые, прежде всего, будут нуждаться в защите:

                      • Конфиденциальная информация, защищаемая законом, включая финансовую, банковскую, кредитную информацию, а также стратегические планы предприятия;
                      • Личные данные служащих, уволенных служащих или клиентов (информация, отнесенная к категории персональных данных);
                      • Исходные тексты программного обеспечения, базы данных и другая интеллектуальная собственность;
                      • Лицензионные материалы, принадлежащие деловым партнерам или клиентам.

                      Выбор конфигурации BitLocker

                      На данном этапе планирования вы сможете определить, какие конфигурации наиболее соответствуют вашей организации. Доступны следующие режимы BitLocker:

                      • BitLocker с TPM;
                      • BitLocker с TPM и PIN-кодом;
                      • BitLocker с ТРМ и USB устройством;
                      • BitLocker без ТРМ (с USB устройством).

                      Таблица 1. Конфигурация BitLocker

                      tabl

                      BitLocker с режимом TPM (без PIN-кода).

                      Данный режим обеспечивает защиту без вмешательства пользователя. При загрузке системы все работает автоматически и прозрачно для пользователя. Данный режим не обеспечивает максимальную защищенность, однако может применяться в следующих ситуациях:

                      • В случае если вы не нуждаетесь в мультифакторной аутентификации;
                      • Если данные, хранящиеся на вашем компьютере, не требуют усиленной аутентификации.

                      Внедрение BitLocker с TPM

                      Внедрение данной технологии потребует выполнения следующих действий:

                      • создание перечня компьютеров в организации и оборудованных ТРМ-модулями;
                      • описание цикла обновления (замены) аппаратных средств;
                      • определение, существуют ли в организации компьютеры, требующие автоматического запуска, ведь BitLocker с TPM, в отличие от BitLocker с TPM и PIN-кодом, BitLocker с ТРМ и USB устройством, BitLocker без ТРМ (с USB-устройством), позволяет автоматический запуск, остальные режимы требуют физического присутствия пользователя;
                      • описание процедур замены жесткого диска, ремонта и списания для защищенных ТРМ-систем, при условии, что зашифрованный с помощью BitLocker диск не может использоваться в качестве срочной замены.

                      BitLocker c TPM и PIN-кодом

                      BitLocker c TPM и PIN-кодом является наиболее защищенным, так как использует мультифакторную аутентификацию и по существу является последней линией обороны в случае кражи компьютера. А, кроме того, позволяет предотвратить нападения, возможные в случае загрузки системы и до появления окна регистрации. На стадии планирования необходимо изучить, способны ли ваши пользователи запомнить дополнительный PIN-код.

                      Внедрение BitLocker с TPM и PIN-кодом

                      В случае внедрения этого способа шифрования важно обратить внимание на создание инструкции для пользователей, которая будет предназначена для:

                      • обучения пользователей процедуре выбора устойчивого к взлому PIN-кода, удовлетворяющего требованиям политики безопасности организации;
                      • рассмотрения процедуры доступа к компьютеру и восстановления данных в случае, если пользователь забыл свой PIN-код;
                      • рассмотрения процедуры сброса PIN-кода.

                      BitLocker с USB-устройством

                      Данный режим шифрования может быть внедрен на тех компьютерах, которые не содержат модуль ТРМ. Этот режим поддерживает основные функциональные возможности, однако не обеспечивает разовую начальную проверку целостности и является менее устойчивым к взлому, так как не обеспечивает мультифакторную аутентификацию. Чаще всего при использовании данного режима на ноутбуках пользователи будут носить ключевое USB-устройство в той же самой сумке, что и ноутбук, и в случае хищения ноутбука вместе с сумкой злоумышленник сможет беспрепятственно прочесть данные.

                      Внедрение BitLocker с USB-устройством

                      Если же вы все же планируете использовать BitLocker с USB-ключом, то предусмотрите следующие шаги:

                      • проверьте компьютеры, на которых собираетесь использовать BitLocker с USB-ключом, чтобы убедиться в том, что они могут распознать USB-ключ во время загрузки;
                      • создайте план перемещения данных и приложений с этих компьютеров на компьютеры с поддержкой ТРМ, в случае обновления аппаратного обеспечения.

                      BitLocker с ТРМ и USB-устройством

                      Если вы примете подобный режим работы, то получите гибрид режимов TPM-ONLY и USB-ONLY, в связи с чем вы должны быть уверены, что ваши компьютеры поддерживают оба названных режима.

                      Внедрение BitLocker с ТРМ и USB-устройством

                      Внедрение подобного режима потребует от вас рассмотрения вышеизложенных шагов для обоих названных режимов.

                      Восстановление данных

                      Следует помнить, что шифрование BitLocker является достаточно устойчивым и не имеет никаких «люков». Т.е. нельзя возвратить данные, зашифрованные BitLocker, если не знать пароля восстановления. Это резко усиливает важность планирования процесса восстановления. Стоит помнить, что если у вас нет пароля восстановления, вы не сможете вернуть ваши данные.

                      Существуют следующие методики хранения пароля восстановления:

                      • Хранение пароля в распечатанном на бумаге виде;
                      • Хранение пароля на сменных носителях;
                      • Хранение пароля на сетевом носителе;
                      • Хранение пароля в Active Directory.

                      Не следует останавливаться только на одном методе хранения пароля, так как его утрата повлечет за собой отказ восстановления зашифрованных данных на всех компьютерах.

                      Active Directory

                      Microsoft рекомендует планировать и разворачивать каталог паролей восстановления BitLocker с использованием Active Directory (AD). Данный метод восстановления имеет следующие преимущества:

                      • Процесс хранения автоматизирован и не требует вовлечения пользователя;
                      • Информация, необходимая для восстановления, не может быть утеряна или изменена пользователем;
                      • AD обеспечивает централизованное управление и хранение информации для восстановления;
                      • Информация для восстановления защищена вместе с другими данными AD.

                      Вместе с тем, использование AD для хранения паролей восстановления BitLocker выдвигает новые требования:

                      • Организация должна иметь устойчивую, хорошо управляемую инфраструктуру AD;
                      • AD на базе Windows Server 2003 должна быть расширена для включения атрибутов BitLocker. Подробнее об этом рассказано в статье Extending Your Active Directory Schema in Windows Server 2003 R2;
                      • Необходимо иметь политику безопасности для обеспечения безопасного хранения паролей восстановления в AD.

                      Печать пароля восстановления (сохранение его в текстовом файле)

                      Данный процесс, несмотря на его простоту, имеет важные преимущества:

                      • процесс легко осуществим;
                      • требуется небольшая инфраструктура;
                      • легко осуществим для технически неподготовленных пользователей.

                      Наряду с этим имеется целый ряд недостатков:

                      • процесс создания и хранения пароля восстановления зависит от пользователя;
                      • хранение пароля данным способом не обеспечивает централизованного управления;
                      • не существует гарантированной защиты от компрометации (хищения, несанкционированного ознакомления, утраты или повреждения);

                      Сохранение пароля восстановления на USB-устройстве

                      Данный метод имеет следующие преимущества:

                      • вы можете хранить большое количество паролей восстановления на одном USB-устройстве, так как все они хранятся в виде текстовых файлов;
                      • легче обеспечить физическую защиту устройства, его безопасное хранение.

                      Однако данный способ хранения имеет и недостатки:

                      • далеко не все компьютеры на сегодня поддерживают обращение к USB-устройству в процессе загрузки;
                      • сбор паролей восстановления для последующего хранения – выполняемый вручную процесс, который не может быть автоматизирован;
                      • USB-устройство может быть потеряно или повреждено, и в таком случае все пароли восстановления будут утрачены.

                      Политика восстановления

                      Для безопасного восстановления данных чрезвычайно важно определить, кто именно будет заниматься их восстановлением. Восстановление данных, зашифрованных с помощью BitLocker, будет требовать физического доступа к восстанавливаемому компьютеру для ввода пароля восстановления. Это требование существенно влияет на процесс восстановления, так как вполне вероятно, что восстановление понадобится в случае, когда пользователь находится вне офиса.

                      По умолчанию все администраторы домена могут читать пароли восстановления BitLocker, хранящиеся в AD. Точно так же они могут делегировать эту возможность другим пользователям. Однако порядок этого должен быть описан в политике безопасности.

                      Прежде чем начинать процесс восстановления, необходимо гарантировать, что вы предусмотрели любые неожиданности, которые могут возникнуть. Например:

                      • в случае восстановления с помощью ключа USB вы должны убедиться, что целевая система может читать данные с USB-устройства во время начальной загрузки. Убедитесь, что ваше USB-устройство работает вместе с целевым компьютером;
                      • При использовании дополнительных (сетевых и т.д.) мест хранения паролей восстановления убедитесь до начала процесса восстановления, что они доступны пользователю. Нельзя использовать для восстановления файл, расположенный на жестком диске того же компьютера, так как он будет недоступен пользователю во время загрузки. Не следует использовать сетевые ресурсы, которые вы не можете надежно защитить от доступа ненадежных лиц.
                      • В случае если вы хотите распечатать пароль восстановления, при его генерации убедитесь, что сетевой принтер доступен, и вы знаете, как будете хранить напечатанный пароль.

                      Как мы видим, внедрение процесса шифрования BitLocker в организации – задача, требующая предварительного создания целого набора политик, процедур и инструкций. Надеюсь, что данная статья поможет вам в этом.

                       

                      Владимир Безмалый (Vladimir_Bezmaly@ec.bmsconsulting.com)

                      http://osp.ru/win2000/2008/03/5184328/