Инструментальное средство BitLocker Drive Encryption (BDE), или просто BitLocker, обеспечивает шифрование данных на уровне томов, которые хранятся на клиентских системах и серверах Windows. BitLocker защищает эти данные при отключении систем Windows от сети (например, при завершении работы операционной системы) и может предотвращать компрометацию данных, к примеру, в случае кражи ноутбуков.
В первой версии BitLocker, поставлявшейся в комплекте с Windows Vista, продукт предусматривал защиту только одного тома — а именно, диска операционной системы. В системах Windows Server 2008 SP1 и Vista SP1 специалисты Microsoft реализовали возможность защиты средствами BitLocker различных томов, включая тома с локальными данными. В продуктах Server 2008 R2 и Windows 7 разработчики Microsoft наделили BitLocker средствами для работы со съемными томами данных, флэш-картами и внешними томами данных. Эта функция называется BitLocker To Go (BTG).
.
Выбираем корректный метод разблокирования
Уровень защиты, обеспечиваемый средством BitLocker, в значительной степени зависит от механизма аутентификации, который используется для разблокирования доступа к защищаемому средствами BitLocker накопителю. В соответствии с терминологией, применяемой разработчиками BitLocker, этот механизм аутентификации именуется методом разблокирования.
Перед тем как открыть доступ к накопителю BitLocker, пакет BitLocker осуществляет аутентификацию этого тома с использованием данных идентификации, которые предоставляются пользователем или операционной системой и дают средству BitLocker санкцию на разблокирование доступа к упомянутому накопителю. BitLocker позволяет применять различные методы разблокирования — основанные на том, что пользователю известен некий секрет, на наличии в системе определенного аппаратного компонента или программных ключей — либо комбинацию этих методов. Нужный метод разблокирования можно выбрать при установке пакета BitLocker.
При работе с томами операционной системы, а также со стационарными или съемными томами данных используются различные методы разблокирования. Так, с помощью модуля Trusted Platform Module (TPM), специальной микросхемы защиты, размещаемой на системных платах почти всех современных компьютеров, можно защищать только тома операционной системы. Для тома операционной системы пользователь может выбрать один из следующих методов разблокирования:
- только TPM;
- только ключ запуска;
- TPM плюс PIN-код;
- TPM плюс ключ запуска;
- TPM плюс PIN-код плюс ключ запуска.
Последние три метода разблокирования обеспечивают наилучшую защиту. При использовании методов, связанных с применением личного идентификатора PIN, пользователь должен ввести PIN-код в момент запуска системы. Если же предусмотрено применение ключа запуска, в момент запуска пользователь должен установить USB-устройство, содержащее ключ запуска.
При работе со стационарными или съемными томами данных пользователю предоставляется выбор из следующих трех методов разблокирования: с использованием пароля, с применением смарт-карты плюс PIN-кода или автоматический метод. Для томов данных самый высокий уровень защиты обеспечивает метод «смарт-карта плюс PIN-код».
При использовании метода разблокирования на основе TPM для организации защиты тома операционной системы, наряду с шифрованием данных, BitLocker осуществляет в период начальной загрузки проверку целостности важнейших системных файлов. Однако в случае применения TPM возрастает сложность установки и управления, а также увеличиваются накладные расходы. Проиллюстрируем сказанное примером. Модуль TPM должен активироваться в системе BIOS. В большинстве случаев это можно сделать только после назначения пароля для BIOS. Кроме того, архитектура TPM предполагает, что пароль владельца должен быть назначен еще до того, как появится возможность использования TPM. Пароли владельца, позволяющие осуществлять очистку и отключение TPM, обычно предоставляются системным администраторам. Если вы хотите рассмотреть возможность развертывания инструментов BitLocker с модулем TPM, первым делом проследите за тем, чтобы ваши компьютеры были оснащены микросхемой TPM 1.2 и системами BIOS, совместимыми с версией TPM 1.2 или более новыми версиями. Чтобы определить, установлена ли в компьютере микросхема TPM, способная взаимодействовать с BitLocker, воспользуйтесь оснасткой tpm.msc консоли Microsoft Management Console (MMC).
Поскольку во многих организациях до сих пор эксплуатируются относительно старые модели компьютеров, не оснащенные модулями TPM (причем вы не можете просто взять и установить в системе модуль TPM), корпорация Microsoft предусмотрела для работы с томами операционной системы метод разблокирования с использованием только ключа запуска. Чтобы воспользоваться этим методом, необходимо снабдить пользователей устройствами USB и позаботиться о том, чтобы системы BIOS всех компьютеров обеспечивали возможность считывания содержимого устройств USB во время первоначальной загрузки системы. Более подробные сведения можно найти в статье «Работа с инструментом BitLocker без модуля доверия TPM», опубликованной в Windows IT Pro/RE № 3 за 2011 год.
Если вы планируете снимать блокировку защищенных средствами BitLocker томов данных с помощью смарт-карты, вам необходимо проследить за тем, чтобы на смарт-карты пользователей были загружены сертификаты, совместимые с BitLocker. Для создания таких сертификатов можно использовать удостоверяющий центр (certification authority, CA), сформировать сертификат с собственной подписью или настроить существующий сертификат EFS для применения совместно с BitLocker. При использовании смарт-карт рекомендуется также иметь под рукой программные средства для управления смарт-картами. К примеру, вы можете задействовать функции управления смарт-карты, которые реализованы в приложении Microsoft ForeFront Identity Manager (FIM). Тем, кто подумывает об использовании смарт-карт, я рекомендую внимательно проштудировать размещенные на интернет-ресурсе Microsoft TechNet статьи «Using Certificates with BitLocker» по адресу technet.microsoft.com/en-us/library/dd875548(WS.10).aspx и «Using Smart Cards with Bit-Locker» по адресу technet.microsoft.com/en-us/library/dd875530(WS. 10).aspx.
Надежная стратегия восстановления
При работе со средствами шифрования, такими как BitLocker, необходимо руководствоваться надежной стратегией восстановления, и пользователям BitLocker приходится задавать метод восстановления в процессе установки. Это дает им возможность вновь обретать доступ к данным на зашифрованном томе в ситуации, когда накопитель оказывается недоступным (то есть когда изложенные в предыдущем разделе статьи методы разблокирования не дают результата).
В ходе работы с томом операционной системы метод восстановления понадобится вам в случае, когда пользователь забудет PIN-код или потеряет устройство USB, содержащее ключ запуска, либо когда модуль TPM зафиксирует нарушение целостности системных файлов. При работе с томами данных необходимость в применении метода восстановления возникает, когда пользователь забывает пароль или теряет смарт-карту. Кроме того, если настройка защищенного тома данных предусматривает автоматическое снятие блокировки, метод восстановления понадобится вам в случае непредумышленной потери ключа автоматического разблокирования, который хранится на компьютере, — например, после отказа жесткого диска или после повторной установки. Разработчики BitLocker предусмотрели три метода восстановления: с использованием пароля восстановления, ключа восстановления и агента восстановления данных data recovery agent (DRA).
Пароль восстановления представляет собой 48-разрядный численный пароль. Он генерируется в ходе установки пакета BitLocker. Пароль восстановления можно сохранить в файле, который лучше всего записать на съемном устройстве. Кроме того, этот пароль можно распечатать или сохранить в автоматическом режиме в каталоге Active Directory (AD). Если вы хотите автоматически сохранить пароль восстановления в AD, позаботьтесь о том, чтобы все компьютеры могли подключаться к AD в момент активации BitLocker. Функция хранения восстановительных данных BitLocker в каталоге AD базируется на расширении схемы AD, которая формирует дополнительные атрибуты, обеспечивающие присоединение восстановительных данных BitLocker к компьютерным объектам AD. В контроллерах доменов Server 2008 R2 и Server 2008 упомянутое расширение установлено по умолчанию. В системах Windows Server 2003 обеспечивающее использование BitLocker расширение схемы необходимо устанавливать дополнительно. Его можно загрузить из Интернета по адресу www.microsoft.com/downloads/en/details.aspx?FamilyID=3a207915-dfc34579-90cd-86ac666f61d4.
Для облегчения просмотра и извлечения паролей восстановления BitLocker из каталога AD можно использовать разработанную Microsoft оснастку MMC Active Directory Users and Computers. В этой оснастке объект-компьютер получает вкладку BitLocker Recovery в окне свойств компьютера — объекта AD. На вкладке отображаются все пароли восстановления BitLocker, ассоциированные с тем или иным компьютером-объектом. В качестве факультативного компонента систем Server 2008 R2 изготовитель поставляет инструмент BitLocker Active Directory Recovery Password Viewer, входящий в набор средств удаленного администрирования сервера Microsoft Remote Server Administration Tools (RSAT). Для операционной системы Server 2008 данное расширение можно загрузить со страницы www.microsoft.com/downloads/en/details.aspx?FamilyID=2786fde9-5986-4ed6-8fe4f88e2492a5bd.
Второй метод восстановления предполагает использование 256-разрядного ключа восстановления, который можно сохранить на USB-устройстве или на другом носителе. Как и пароль восстановления, ключ восстановления дает пользователям возможность вновь получать доступ к защищенным томам без вмешательства со стороны администраторов. При использовании ключа восстановления пользователи должны в процессе восстановления установить USB-устройство или представить указатель на другое место хранения ключа.
Третий метод восстановления (с использованием агента восстановления данных DRA) всегда предполагает участие сотрудника ИТ-департамента. Отличительной особенностью метода является особый сертификат, выписываемый на имя администратора организации, занимающегося агентами DRA. С помощью настроек объекта групповой политики Group Policy Object (GPO) отпечаток сертификата DRA передается на все защищаемые средствами BitLocker устройства. В результате возможность восстановления данных предоставляется только администратору, располагающему соответствующим сертификатом DRA и закрытым ключом.
С помощью настроек GPO администраторы могут указывать, какие методы восстановления требуются в том или ином случае, какие методы не могут быть применены и какие применяются по желанию пользователя. Так, используя GPO, администраторы могут поставить условие, чтобы пароль восстановления тома операционной системы хранился в каталоге AD. Кроме того, администраторы могут при помощи настроек GPO определить, можно ли сохранять пароль восстановления в файле на диске, распечатывать его или просматривать в текстовом формате.
Выбираем простой способ развертывания
В крупных ИТ-хозяйствах администраторы могут автоматизировать процесс развертывания и настройки пакета BitLocker с помощью разработанного специалистами Microsoft сценария EnableBitLocker.vbs. Для администрирования с помощью пакета BitLocker и модуля TPM этот сценарий обращается к ресурсам провайдера Windows Management Instrumentation (WMI). Сценарий можно использовать без внесения в него каких-либо изменений, но вы можете и оптимизировать его в соответствии с потребностями своей организации.
Для выполнения данного сценария можно воспользоваться сценарием запуска, который применяется с помощью настроек GPO либо с использованием средства развертывания программного обеспечения, такого как Microsoft Systems Management Server (SMS) или System Center Configuration Manager (SCCM). Образец сценария развертывания EnableBitLocker.vbs с использованием WMI можно загрузить со страницы MSDN BitLocker Deployment Sample Resources по адресу code.msdn.microsoft.com/bdedeploy/Release/ProjectReleases.aspx?ReleaseId=3205.
Перед началом развертывания BitLocker для защиты тома операционной системы вам, возможно, потребуется проверить правильность выделения разделов на дисках целевых систем. Для успешной работы BitLocker на томе операционной системы необходимо выделять специальный активный системный раздел. Это нешифруемый раздел, который содержит файлы, необходимые для запуска операционной системы. В среде Windows 7 отдельный активный системный раздел формируется автоматически в процессе установки Windows. В системах, которые были обновлены с уровня предыдущей версии Windows, а также в системах, которые были предварительно настроены с формированием единственного раздела, мастер установки BitLocker осуществляет автоматическую перенастройку целевого тома для взаимодействия со средством BitLocker, то есть формирует на диске отдельный активный системный раздел.
Если в вашей организации эксплуатируются сотни или даже тысячи компьютеров с одним разделом на диске, применять мастер BitLocker для подготовки всех этих систем к установке пакета BitLocker нецелесообразно. В таких ситуациях для активации BitLocker лучше запустить подготовленный корпорацией Microsoft сценарий WMI. Но перед этим вы можете также подготовить тома системы к взаимодействию с BitLocker, воспользовавшись разработанным Microsoft специальным средством BitLocker Drive Preparation Tool (BdeHdCfg.exe). Более подробные сведения о нем можно найти на странице BdeHdCfg.exe Parameter Reference page по адресу technet.microsoft.com/nl-be/library/ee732026%28en-us,WS.10%29.aspx.
Тем, кто планирует устанавливать BitLocker на небольшом числе компьютеров, я рекомендую настраивать BitLocker с помощью средства командной строки BitLocker Manage-bde.exe. Эта программа предназначена для последовательной активации BitLocker на компьютерах один за другим и содействия администрированию после активации BitLocker. И опять-таки перед запуском программы Managebde.exe с целью активации BitLocker на томе операционной системы вам, возможно, придется подготовить жесткий диск к взаимодействию с BitLocker с помощью средства BitLocker Drive Preparation Tool.
Жан де Клерк (jan.declercq@hp.com) — сотрудник Security Office компании HP. Специализируется на управлении идентификационными параметрами и безопасностью в продуктах Microsoft