Улучшения BitLocker в Windows Server 2012 и Windows 8 (часть 1) — поддержка SED и сетевая разблокировка

• Улучшения BitLocker в Windows Server 2012 и Windows 8 (часть 3) — поддержка общего тома кластера

Шифрование диска BitLocker прошло долгий путь, детка, с момента его появления в Windows Vista в 2006 году. Каждая итерация предлагала улучшения, а версия BitLocker в Windows Server 2012 и клиенте Windows 8 — это надежный и полнофункциональный вариант для защиты компьютеров от атаки, для которых система уязвима, когда злоумышленник имеет физическое владение. Это особенно важно для мобильных устройств, которые стали предпочтительным вычислительным оружием для многих сегодняшних мобильных бизнес-пользователей.

Вот в чем проблема: если ноутбук, содержащий конфиденциальную информацию, и/или удаленные подключения (например, VPN-подключения) к корпоративной сети утерян или украден, постороннее лицо может получить доступ к информации на диске, даже не зная и не взломав пароль для входа. Этого можно добиться с помощью когда злоумышленник загружается в другой экземпляр операционной системы. Он может удалить жесткий диск из системы и вставить его в другой компьютер, на котором уже установлена ОС, установить другую ОС в конфигурации с двойной загрузкой или использовать ОС, которая может загружаться с оптического привода или USB-накопителя.

Для защиты от доступа к данным посторонних лиц, получивших физический доступ к компьютеру, вы можете зашифровать данные. Пойдя дальше и зашифровав также файлы операционной системы, вы гарантируете, что неавторизованный человек не сможет загрузить систему и таким образом получить доступ. Шифрование на уровне файлов, такое как шифрованная файловая система Microsoft (EFS), может использоваться для шифрования данных, но не для шифрования файлов ОС. Важно отметить, что шифрование файла данных с помощью EFS не шифрует копии этих данных, которые могут храниться в файле гибернации, временном файле, созданном приложением, или файле подкачки, когда данные были выгружены из памяти. Данные в этих скрытых местах могут быть легко восстановлены опытным злоумышленником.

Решение состоит в том, чтобы зашифровать весь диск или том. На рынке существует ряд полномасштабных программ шифрования, некоторые из которых существуют уже давно и включают в себя некоторые сложные функции, такие как TrueCrypt, решение с открытым исходным кодом для Windows, Linux и Mac OS X, которое позволяет создавать зашифрованные контейнеры фиксированного размера или созданные зашифрованные загрузочные разделы, которые скрыты.

Решение Майкрософт

Ответ Microsoft на полное шифрование диска — BitLocker. Когда он был первоначально выпущен как часть Windows Vista, его можно было использовать для шифрования только раздела, на котором была установлена операционная система. Пакет обновления 1 для Vista добавил возможность шифрования других томов на фиксированных жестких дисках компьютера. SP1 дополнительно улучшил BitLocker, добавив дополнительный метод многофакторной аутентификации (TPM+USB+PIN).

Windows 7 вывела BitLocker на новый уровень благодаря новой функции BitLocker To Go, которая добавила возможность использовать шифрование BitLocker на съемных дисках, включая USB-накопители, флэш-карты и жесткие USB-диски. Windows 7 также упростила развертывание BitLocker при чистой установке Windows, поскольку установщик ОС автоматически подготавливает системный том для шифрования BitLocker. Как и в Vista, BitLocker в Windows 7 доступен, только если у вас есть редакция Enterprise или Ultimate. К сожалению, его не было в Windows 7 Professional. BitLocker также был включен в серверные операционные системы, начиная с Windows Server 2008.

В Windows 8 и Windows Server 2012 BitLocker действительно проявил себя. Microsoft добавила ряд важных улучшений, которые упрощают развертывание и использование BitLocker в большем количестве случаев, чем когда-либо прежде. Кроме того, теперь, когда количество клиентских выпусков Windows сократилось до трех (Windows 8, Windows 8 Pro и Windows 8 RT), версия Pro включает BitLocker и BitLocker To Go.

Новые функции: поддержка SED

В предыдущих версиях BitLocker технология не поддерживала использование жесткого диска с аппаратным шифрованием в качестве загрузочного диска. Это изменилось, и теперь вы можете использовать диски со встроенным аппаратным шифрованием (часто называемые дисками с самошифрованием или SED). Поддерживается широкий спектр типов дисков, включая IDE, ATA, SATA, eSATA, SAS и SCSI, а также IEEE 1394 и USB. Windows Server 2012 делает еще один шаг вперед и поддерживает BitLocker на дисках Fibre Channel и iSCSI. Вы также можете использовать BitLocker с аппаратными массивами RAID (но программными RAID).

Новые функции: разблокировка по сети.

Еще одна новая функция в версии BitLocker для Windows 8 и Server 2012 — разблокировка по сети. Эта функция предназначена для корпоративных сред, особенно для систем, принадлежащих домену Windows. Что он делает, так это автоматически разблокирует диски, защищенные BitLocker, при перезагрузке компьютера, если он подключен к корпоративной сети (это должно быть проводное подключение, а не Wi-Fi или удаленное подключение).

Это позволяет избежать проблемы, когда пользователи забывают свои PIN-коды или USB-ключи, когда они подключены к доверенной сети (предполагается, что если они физически находятся в помещении с подключенным Ethernet, они, вероятно, являются авторизованными пользователями). Это также упрощает развертывание исправлений и других обновлений на автоматических рабочих столах, защищенных BitLocker. Конечно, это дополнительная конфигурация; для повышения безопасности организации могут по-прежнему требовать ввода PIN-кода (и/или вставки USB-ключа) для доступа к защищенным дискам, даже если они находятся в корпоративной сети.

Необходимые условия разблокировки сети

Перед тем, как реализовать разблокировку сети, необходимо выполнить некоторые предварительные условия. Система, защищенная с помощью BitLocker, должна использовать встроенное ПО UEFI (а не устаревший BIOS), и в нем должен быть установлен драйвер DHCP. В сети должен быть сервер Windows Server 2012, работающий в роли WDS (службы развертывания Windows), а также DHCP-сервер, отдельный от WDS-сервера (и отдельно от контроллера домена). Групповая политика должна быть настроена на разблокировку по сети, а сама функция разблокировки по сети должна быть установлена на сервере Windows Server 2012. Вы делаете это через диспетчер серверов или с помощью PowerShell; название функции — сетевая разблокировка BitLocker.

Разблокировка по сети использует криптографию с открытым ключом и сетевой ключ, который хранится на системном диске. Он и ключ сеанса, использующий 256-битный AES, хранятся вместе. Ключ зашифрован 2048-битным открытым ключом RSA.

Как работает разблокировка сети

Диспетчер загрузки клиентского компьютера обнаруживает предохранитель ключа разблокировки сети. Предохранители ключей — это средства защиты ключей BitLocker, такие как пароль или ПИН-код, файл ключа, смарт-карта, сертификат и т. д. Когда клиент обнаруживает этот предохранитель, он использует DHCP (отсюда требование наличия диска DHCP в UEFI), чтобы получить IP-адрес IPv4. Затем он отправляет запрос DHCP с зашифрованным сетевым ключом и ключом сеанса.

Сервер должен иметь 2048-битную пару ключей RSA, а клиенты должны иметь открытый ключ. Сертификат развертывается через редактор групповой политики на контроллере домена. Сервер WDS расшифровывает запрос с помощью закрытого ключа RSA. Затем он отправляет обратно сетевой ключ, зашифрованный сеансовым ключом (также с использованием DHCP).

Что произойдет, если сервер WDS недоступен или не возвращает правильный ключ? В этом случае пользователю будет предложено использовать средство защиты, которое настроено для использования вне корпоративной сети (например, TPM + PIN-код). Пользователь сможет разблокировать диск, защищенный BitLocker, стандартным способом.

Развертывание сетевой разблокировки, шаг за шагом

Вот шаги, необходимые для настройки сетевой разблокировки для домена Windows:

1. Установите роль сервера WDS с помощью диспетчера серверов или PowerShell. Команда для PowerShell: Install-WindowsFeature WDS-Deployment.
2. В разделе «Управление службами» или через PowerShell убедитесь, что служба WDS запущена. Команда PowerShell — Get-Service WDSServer.
3. Через диспетчер серверов или PowerShell установите функцию сетевой разблокировки. Команда PowerShell — Install-WindowsFeature BitLocker-NetworkUnlock.
4. Создайте сертификат разблокировки сети с помощью консоли управления сертификатами ( certmgr.msc ).
5. Экспортируйте сертификат открытого ключа в файл.cer.
6. Экспортируйте закрытый ключ в файл.pfx.
7. Разверните закрытый ключ и сертификат на сервере WDS.
8. Скопируйте файл.cer на контроллер домена и создайте новую групповую политику, чтобы включить политику «Разрешить разблокировку сети при запуске».
9. Разверните общедоступный сертификат на клиентских компьютерах с помощью групповой политики.
10. Установите для групповой политики значение «Требовать дополнительную аутентификацию при запуске» и выберите «Требовать ПИН-код при запуске с TPM».
11. Создайте шаблон сертификата для сетевой разблокировки, который центр сертификации Active Directory может использовать для создания и выдачи сертификатов сетевой разблокировки. Это сложный процесс, который мы рассмотрим в следующей статье.

Обратите внимание, что вы можете обеспечить еще большую безопасность, потребовав как PIN-код, так и загрузочный USB-ключ, но эта опция недоступна через графический интерфейс. Вам нужно будет использовать утилиту командной строки Manage-bde, но сначала вы выбираете «Требовать ключ запуска и PIN-код с TPM» в групповой политике. Во второй части мы обсудим, как использовать Manage-bde для создания ключа восстановления и ключа запуска, а также для шифрования диска.

Резюме

В Windows 8 и Windows Server 2012 был внесен ряд улучшений в шифрование диска BitLocker. В части 1 этой статьи мы рассмотрели новую поддержку дисков с самошифрованием (SED) и новую функцию сетевой разблокировки, которая позволяет автоматически разблокировка дисков, защищенных BitLocker, при подключении компьютера к проводной корпоративной сети. Во второй части мы рассмотрим еще одну новую функцию корпоративного уровня: поддержку BitLocker на общих томах кластера.