Шифрування дисків BitLocker - одне з нововведень, які з'являться в Windows Server 2008. Ймовірно, більшість адміністраторів ще не зазнали можливості BitLocker в Windows Vista, і в цій статті ми розглянемо, що і як робиться на комп'ютері, обладнаному модулем Trusted Platform Module (ТРМ) під керуванням Windows Server 2008.
Область застосування технології шифрування BitLocker в серверній і клієнтській версіях, Windows Server 2008 і Microsoft Windows Vista, така.
Сервер: фізична безпека даних на сервері - захист даних при фізичному вилучення жорсткого диска і копіюванні даних.
Клієнт: фізична безпека даних, особливо актуально застосування цієї технології шифрування для ноутбуків, які можуть бути втрачені або вкрадені.
Почнемо з короткого опису основ технології BitLocker.
Диски і томи
Перш за все уточнимо деякі терміни, які використовуються під час обговорення теми дисків і томів.
Розділ - секція на фізичному диску. Це логічна структура, яка визначається в таблиці розділів диска.
Том - логічна структура в Windows, що складається з одного або декількох розділів, що визначається диспетчером томів Windows. Всі додатки і всі компоненти операційної системи, крім диспетчера томів і завантажувальних модулів, працюють з томами, а не з розділами. У клієнтських операційних системах Windows, включаючи Windows Vista, один розділ зазвичай відповідає хоча б тому. У серверів тому часто складається з декількох розділів, наприклад при використанні масиву дисків RAID.
Активний розділ - це розділ, що містить завантажувальний сектор, який використовується при запуску операційної системи. Тільки один розділ може бути позначений як активний. Активний розділ також іноді називають системним розділом або системним томом, але ці назви не мають ніякого відношення до системних файлів і папок операційної системи Windows.
BitLocker виконує дві взаємодоповнюючі функції. По-перше, він забезпечує шифрування всього тому з Windows. По-друге, на комп'ютерах з сумісним довіреною апаратно-платформних модулем він дозволяє перевірити цілісність завантажувальних компонентів до запуску Windows Server 2008.
Для повного використання можливостей BitLocker комп'ютер повинен бути оснащений сумісною мікросхемою TPM і BIOS. Під сумісними розуміються TPM версії 1.2 і BIOS, що підтримує TPM і технологію Static Root of Trust Measurement, певну в специфікаціях TCG. Однак варто врахувати, що комп'ютери без сумісних TPM і BIOS теж можуть використовувати шифрування BitLocker, але при цьому надійність зберігання ключів буде знижена.
Спільно з апаратно реалізованої мікросхемою TPM (Trusted Platform Module), яка встановлюється на материнській платі, функція BitLocker здійснює шифрування всіх томів (крім системного) жорсткого диска комп'ютера. При цьому використовується класична модель двофакторної аутентифікації (пароль, що зберігається в ТРМ, і PIN-код для доступу до мікросхеми). Така схема досить стійка до злому, хоча, безсумнівно, можливі атаки на PIN-код шляхом простого перебору (метод «грубої сили», brute force). Хоча ТРМ підтримує багато різних функцій, BitLocker використовує тільки деякі з них.
Захист файлів за допомогою шифрування диска BitLocker
Включення шифрування диска BitLocker допоможе захистити всі томи Windows. Разом з тим слід пам'ятати, що BitLocker не може шифрувати файли на розділах, не визначених в якості томів Windows, а також файли системного розділу (томи).
Потрібно розуміти, що на відміну від EFS (Encrypted File System), що дозволяє шифрувати окремі файли, BitLocker шифрує весь тому Windows цілком, в тому числі і системні файли Windows Server 2008, які необхідні для завантаження комп'ютера та реєстрації в системі. BitLocker автоматично зашифровує всі файли, що додаються в захищений розділ. Природно, файли будуть захищені тільки при зберіганні в захищеному розділі. При копіюванні на інший носій вони будуть розшифровані.
У тому випадку якщо при завантаженні комп'ютера BitLocker виявить можливі загрози безпеки (помилки диска, зміни BIOS, зміни файлів завантаження), розділ буде заблокований і для його розблокування потрібно пароль відновлення BitLocker. Не забудьте створити цей пароль при першому запуску BitLocker.
Варто згадати, що шифрування BitLocker можна відключити на короткий час або зовсім розшифрувати диск.
Що таке модуль ТРМ?
TPM (Trusted Platform Module) - це мікросхема, призначена для реалізації основних функцій, пов'язаних із забезпеченням безпеки, головним чином з використанням ключів шифрування. Модуль ТРМ, як правило, встановлюється на материнській платі сервера, настільного або мобільного комп'ютера і пов'язаний з іншими компонентами за допомогою системної шини.
Комп'ютери, обладнані модулем ТРМ, можуть створювати криптографічні ключі та зашифровувати їх таким чином, що вони можуть бути розшифровані тільки за допомогою модуля ТРМ. Даний процес, який часто називають «приховуванням» ключа (wrapping key) або «прив'язкою» ключа (binding key), допомагає захистити ключ від розкриття. У кожному модулі TPM є головний прихований ключ, званий ключем кореневого сховища Storage Root Key (SRK), який зберігається в самому модулі TPM. Закрита частина ключа, створена в TPM, ніколи не стане доступна будь-якого компонента системи, програмного забезпечення, процесу або користувачеві.
Крім того, є можливість робити ключі не тільки зашифрованими, а й прив'язаними до певної системної конфігурації. Таким чином, в поєднанні з BitLocker Drive Encryption ви зможете гарантувати захищеність корпоративних даних. При цьому, оскільки для роботи ТРМ використовується вбудоване програмне забезпечення та логічні алгоритми, його робота не залежить від операційної системи, що забезпечує захист від можливих помилок самої операційної системи.
Принцип дії BitLocker Drive Encryption заснований на механізмі шифрування з використанням алгоритму Advanced Encryption Standard (AES) з 128 або 256-розрядним ключем. Це програмне забезпечення може бути використане з мікросхемою ТРМ версії 1.2 або вище. Разом з тим його можна застосовувати і на комп'ютерах, не оснащених ТРМ, однак для доступу до системи необхідно задіяти накопичувачі USB або пароль відновлення. Але в такому випадку ступінь захищеності залежатиме насамперед від самого користувача, вірніше від того, наскільки уважно він буде ставитися до зберігання USB-накопичувача з ключем шифрування.
Далі ми розглянемо застосування BitLocker Drive Encryption на комп'ютерах, обладнаних мікросхемою ТРМ.
Використання BitLocker Drive Encryption на комп'ютерах без встановленої мікросхеми ТРМ раніше розглядалося мною в статті «BitLocker Drive Encryption» ( http://www.osp.ru/win2000/2007/02/4102348/ ).
підготовка
Для установки BitLocker нам необхідно розмітити жорсткий диск згідно заданим вимогам, а саме:
Створити новий первинний розділ обсягом 1,5 Гбайт.
Зробити цей розділ активним.
Створити інший первинний розділ на жорсткому диску.
Відформатувати обидва розділу, використовуючи NTFS.
Встановити Windows Server 2008 на більший з розділів.
Щоб виконати всі ці кроки, для початку необхідно завантажити комп'ютер, використовуючи інсталяційний DVD з файлами Windows Server 2008. На екрані установки потрібно вибрати мову і натиснути System Recovery Options. У вікні System Recovery Options слід переконатися, що прапорець для вказівки операційної системи не обраний. Необхідно вибрати порожню область в списку операційних систем і натиснути Next. Далі потрібно запустити командний рядок і задіяти утиліту diskpart для створення розділу. Для цього в командному рядку треба набрати diskpart, вибрати disk 0 (select disk0) і ввести команду clean для видалення існуючих розділів на диску. Потім вказуються такі настройки:
create partition primary size = 1500. Створюємо перший розділ на диску і призначаємо його первинним;
assign letter = D. Надаємо цього розділу букву D;
active. Робимо даний розділ активним;
create partition primary. Створюємо другий розділ на диску і призначаємо його первинним;
assign letter = C. Призначаємо цього розділу букву C;
list volume. Перевіряємо всі розділи на диску.
Після цього набираємо Exit для виходу з утиліти diskpart і виконуємо форматування розділів С і D:
format c: / y / q / fs: NTFS
format d: / y / q / fs: NTFS
Тепер у вікні System Recovery Options слід натиснути Alt + F4 для повернення в головне вікно програми установки, і залишається тільки встановити Windows Server на більший з розділів. В ході установки свій завантажувач операційна система запише на перший розділ, який менше за розміром.
Після виконання установки Windows Server 2008 етап підготовки до запуску функції шифрування не закінчений, ми підійшли тільки до середини цієї процедури.
Установка BitLocker як доповнення до Windows Server 2008
Після установки Windows Server 2008 варто врахувати, що 35 додаткових можливостей даної версії, в порівнянні з попередньою версією Windows Server, за замовчуванням не встановлюються. Для їх установки потрібно скористатися Control Panel - Administrative Tools - Server Manager - Features - Add Features (екран 1).
У вікні (екран 2) необхідно вибрати BitLocker Drive Encription. Запускається процес установки BitLocker Drive Encription (екран 3). Далі необхідно перейти в панель управління, запустити модуль BitLocker Drive Encription і вибрати Turn on BitLocker, як показано на екрані 4. Після цього з'явиться вікно, зображене на екрані 5.
Якщо ви впевнені в своєму бажанні продовжити шифрування диска, виберіть Continue with BitLocker Drive Encription. Далі вам буде запропоновано вибрати варіант використання шифрування BitLocker (див. Екран 6).
Якщо ви хочете задіяти BitLocker і ТРМ з використанням PIN-коду, виберіть Require PIN at every startup. Даний варіант фактично задає двухфакторную аутентифікацію (у користувача запитується PIN-код доступу до ТРМ, в якому зберігається ключ шифрування). Це підвищує стійкість ключа шифрування.
Після цього від вас буде потрібно задати PIN-код (екран 7). Довжина PIN-коду від 4 до 20 символів. Для завдання PIN-коду можна використовувати тільки цифри.
Після завдання PIN-коду адміністратору потрібно створити резервний пароль відновлення, як зазначено на екрані 8.
Для створення пароля відновлення вам буде запропоновано на вибір створити його на USB-накопичувачі (екран 9), зберегти пароль в папці або роздрукувати пароль.
Слід пам'ятати, що від надійності місця зберігання пароля буде залежати безпеку вашого комп'ютера. Фахівці Microsoft рекомендують мати кілька копій пароля відновлення. Однак при цьому необхідно розуміти, що в такому випадку вам доведеться гарантувати збереження всіх резервних копій пароля відновлення. Після цього потрібно запустити сам процес шифрування томи (екран 10).
До початку шифрування необхідно переконатися, що BitLocker зможе коректно прочитати ключі відновлення і шифрування. Для цього потрібно вставити USB-пристрій з паролем відновлення і виконати перезавантаження комп'ютера (екран 11).
Ознакою успішної перезавантаження буде вимога ввести PIN-код для продовження завантаження. Для введення PIN-коду необхідно користуватися клавішами F1-F10, де цифрам від 1 до 9 відповідатимуть клавіші F1-F9, а цифрі 0 - F10.
Якщо перевірка пройшла нормально, з'явиться рядок стану Encryption in Progress (екран 12). Після закінчення цієї процедури диск буде зашифрований.
Шифрування з використанням командного рядка
Для будь-якого адміністратора буде корисно знати, що зашифрувати диски можна, використовуючи і командний рядок. Це дає цілий ряд переваг в порівнянні з використанням графічного інтерфейсу.
Шифрування за допомогою BitLocker без підтримки TPM. У меню Start Menu вибираємо ярлик командного рядка. Клацніть правою кнопкою миші на значку і виберіть Run as administrator (запустити від імені адміністратора). Далі введіть наступну команду:
cscript manage-bde.wsf -on -startupkey
: -recoverypassword
-recoverykey:
Де - це назва диска, присвоєне USB-накопичувача з ключем шифрування, який використовується замість мікросхеми TPM. Не забудьте додати двокрапка після імені диска. може бути або жорстким диском, або USB-накопичувачем з ключем шифрування, або мережевим диском. І знову не забудьте поставити двокрапку після назви диска.
Шифрування томів даних за допомогою BitLocker
Ця процедура аналогічна тій, яка приведена в двох попередніх прикладах. Просто замініть назву диска, який хочете зашифрувати. Однак будьте обережні, інакше можете зіткнутися з деякими проблемами. Перша полягає в тому, що весь процес буде працювати, тільки якщо ви зашифрували тому операційної системи також за допомогою утиліти командного рядка. Друга проблема полягає в тому, що після того, як те даних (Data Volume) буде зашифрований, ви не зможете отримати доступ до даних після перезавантаження комп'ютера до тих пір, поки формується розблоковуєте тому даних. Далі показано, як можна уникнути цієї проблеми.
Припустимо, що ви зашифрували тому даних за допомогою одного з наших прикладів або ваших власних уподобань. Перед перезавантаженням комп'ютера введіть наступну команду:
cscript manage-bde.wsf
-autounlock -enable
де - це назва диска, присвоєне тому даних. Не забудьте включити двокрапка після назви диска даних.
Команда, представлена вище, дозволить сформувати зовнішню захист ключа (external key protector) на томі даних, і зберігати криптографічний ключ на томі операційної системи (зазвичай диск C :), який ми зашифрували раніше. Таким чином, ключ шифрування для томи даних буде захищений ключем для томи операційної системи, але буде як і раніше автоматично завантажуватися.
Відновлення доступу до зашифрованих даних
Відновлення доступу до зашифрованих даних може знадобитися в наступних випадках:
сталася помилка читання ТРМ;
завантажувальний запис модифікована, відповідно ТРМ не дозволяє продовжити завантаження;
не маєте доступу до шифрованих даних;
вміст ТРМ стерто.
Якщо операційна система заблокована, то можна відновити пароль, записавши його з іншого носія, на якому він був попередньо збережений, на USB-диск або використовувати клавіші F1-F10, де цифрам від 1 до 9 відповідатимуть клавіші F1-F9, а цифрі 0 - F10.
Послідовність дій для відновлення доступу до даних, зашифрованих за допомогою BitLocker Drive Encryption:
Увімкнути комп'ютер.
Якщо система заблокована, з'явиться вікно BitLocker Drive Encryption Recovery Console. Користувачеві буде запропоновано вставити USB-диск, що містить пароль відновлення.
Якщо є USB-диск, що містить пароль відновлення, потрібно вставити його і натиснути Esc. Комп'ютер буде перезавантажений автоматично і вводити пароль відновлення вручну не буде потрібно.
Якщо USB-диска з паролем відновлення немає, слід натиснути Enter. Система запропонує ввести пароль відновлення вручну.
Якщо ви знаєте пароль відновлення, потрібно ввести його вручну і натиснути Enter.
Якщо ви не знаєте пароля відновлення, слід натиснути Enter двічі і вимкнути комп'ютер.
Якщо пароль відновлення збережений у файлі, який знаходиться в папці на іншому комп'ютері або на змінному носії, можна використовувати інший комп'ютер для прочитання файлу, що містить пароль.
Для того щоб дізнатися ім'я файлу, що містить пароль, слід записати ідентифікатор пароля, який буде виведений на моніторі заблокованого комп'ютера (екран 13). Цей ідентифікатор і буде ім'ям файлу, що містить ключ відновлення.
вимкнення BitLocker
Дана процедура однакова як для комп'ютерів, обладнаних ТРМ, так і для комп'ютерів без ТРМ. При виключенні BitLocker можна тимчасово відключити BitLocker або розшифрувати весь диск. Відключення BitLocker дозволяє замінити ТРМ або оновити програмне забезпечення операційної системи. Якщо ж адміністратор вирішить розшифрувати весь диск, то для повторного шифрування буде необхідно згенерувати нові ключі і повторити процес шифрування цілком.
Для виключення BitLocker потрібно виконати наступні дії:
Вибрати в меню Start - Control Panel - Security - BitLocker Drive Encryption.
У вікні BitLocker Drive Encryption вказати те, на якому потрібно відключити функцію BitLocker Drive Encryption, і вибрати Turn Off BitLocker Drive Encryption.
У діалоговому вікні What level of decryption do you want вибрати Disable BitLocker Drive Encryption або Decrypt the volume.
Після закінчення цієї процедури буде або відключена функція BitLocker Drive Encryption, або розшифрований весь тому.
Зберігання ключів BitLocker
Як показало наше невелике дослідження, процедура використання BitLocker проста, однак постає питання про те, як зберігати ключі шифрування. Про це хотілося б розповісти трохи докладніше.
Зберігання ключів з використанням ТРМ. Якщо зі зберіганням ключів шифрування за допомогою ТРМ та PIN-коду все ясно (фактично ми маємо двухфакторную аутентифікацію), то в разі зберігання ключів в ТРМ без PIN-коду виникає питання. Ми завантажуємо систему, яка нічого у нас не питає, т. Е. У разі потрапляння комп'ютера в руки зловмисника він зможе скористатися ним практично так само, як якби він взагалі не був зашифрований. Єдине, від чого в даному випадку зберігання ключів захищає шифрування, так це від несанкціонованого прочитання даних в разі здачі в ремонт жорсткого диска (без самого комп'ютера) і від розкриття інформації в разі крадіжки жорсткого диска (без самого комп'ютера). Зрозуміло, що безпечним такий режим назвати досить складно.
Зберігання ключів на USB-диску
В даному випадку ми маємо USB-диск, що відчужується від власника, а так як він потрібен лише на момент старту системи, на користувача накладається ще більше обов'язків по зберіганню пристрою. У разі якщо користувач в ході описаної вище процедури зберіг запропонований пароль на USB-диск, ми маємо на диску два файли. Один прихований, з розширенням .BEK, а другий - текстовий файл з паролем відновлення. На жаль, більшість користувачів не думають про те, що даний текстовий файл необхідно просто видалити з USB-диска, попередньо роздрукувавши його. Якщо цього не зробити, то, оскільки USB-диск нам потрібен лише на етапі запуску системи, можлива ситуація, коли адміністратор залишить USB-диск в комп'ютері і в якийсь момент покине своє робоче місце. Пароль відновлення в текстовому файлі стане доступний стороннім. Звичайно ж, знати його тільки для злому BitLocker недостатньо, але в даному випадку для забезпечення захищеності пароля відновлення адміністраторам доведеться проводити додаткову роботу.
Звідси, на мій погляд, напрошується висновок, що найбільш прийнятним варіантом використання BitLocker з точки зору захищеності є застосування даної технології на комп'ютерах, обладнаних мікросхемою ТРМ версії не нижче 1.2 в поєднанні з PIN-кодом.
Володимир Безмалий ( [email protected] ) - керівник програми підготовки адміністраторів інформаційної безпеки навчального центру «Академія БМС Консалтинг», MVP по Windows Security
Що таке модуль ТРМ?