Корпоративные сети давно выходят за привычные границы проводного соединения зданий офиса и уже почти каждая организация имеет разного уровню распределенную инфраструктуру. Удаленные сотрудники, рабочие места не привязанные к единой точке все эти группы объединены возможностью использовать ноутбуки, нетбуки, собственные рабочие станции, что порождает ряд новых проблем. Когда пользователи не находятся под единым колпаком появляется новый ряд угроз для которых необходимо искать решение. Несанкционированный доступ, кража или потеря данных могут нанести не малый ущерб информационной системе, да и компании в целом.
Представим, что в аэропорте у инженера ИС или информационных сетей пропал ноутбук, по неизвестным причинам. Самое первоочередное средство, которое поможет не только защитить доступ к информации в корпоративной сети, но и на самом ноутбуке локально это шифрование диска.
Что такое BitLocker?
BitLocker – это технология для преобразования информации криптографическим алгоритмом, основанная на симметричном AES. Доступна для серверных и профессиональных версий ОС семейства Windows. Используется как для шифрования данных на дисках, так и на съемных устройствах, для этого существует технология BitLocker To Go, которая аналогична по использованию. В рамках корпоративных сетей с наличием домена или же использованием технологии AD. Для серверных ОС необходимо добавить компонет, что рассмотрим ниже.
Как работает BitLocker?
Главная проблема любого симметричного алгоритма шифрования это передача и хранение секретного ключа. Разработчики технологии постарались разработать несколько механизмов аутентификации пользователя. Начнем от легких и относительно безопасных способов, это парольная фраза или же обычная флешка. Из пароля ключ генерируется по известному алгоритму, если он будет скомпрометирован, то соответственно и ключ тоже.
Для того чтобы придумать сложный пароль, возьмите за основу два слова, желательно не на английском. Например, толстый и крик, это будет тело пароля от 12 символов, добавьте цифр, заглавных букв, спец.символов, чтобы оно выглядело следующим образом тОлСтыЙ_кРИК:, конечно эту последовательность, желательно написать на латинице. И вместо низкого подчеркивания напишите аббревиатуру сервиса куда вы аутентифицируетесь. Например, для ютуб аккаунта это будет выглядеть в версии открытой тОлСтыЙYTкРИК: и закрытой njkCnsQYTrHBR:, однако, никто не запрещает использовать менеджер паролей. Для которого так же обычно требуется мастер ключ.
Флешка, безопасный аналог который криптографический токен, так же нуждается в базовой защите. Если используя смарт-карту или тот же токен, мы знаем что информация на них шифруется и ограничивает попытки пользователя на ввод пин кода для расшифровки, то флешка этого не делает. И мы можем эмитировать работу крипто токена, при помощи популярных программных средств, отдельно зашифровав флешку с ключом, указав ограничение на кол-во попыток ввода.
Безопасным способом хранения ключа считается использование встроенного TPM в материнскую платку, который обеспечивает безопасное хранение ключей или же крипто-токена. Суть которого в изоляции от ИС, устройство взаимодействует с сервером или ПК только, при проверке ключа и двухфакторной аутентификации.
Активация и настройка BitLocker
Для этого создадим облачный сервер на Serverspace. Перейдем на вкладку левого меню к серверам, предварительно выбрав облачную платформу и нажмем на кнопку Создать сервер.
Выберем версию ОС, местоположения сервера, указав ЦОД и нажмем кнопку Оплатить. После чего произойдет развертка машины, буквально, за несколько минут. Перейдем к настроенной машине и зайдем в Server Manager:
Справа сверху найдем пункт Manage и перейдем к Add Roles and Features, после чего откроется окно, в котором необходимо во вкладке Features найти BitLocker Drive Encryption и добавить функцию, после чего произойдет перезагрузка сервера:
Откроем проводник комбинацией Win + E и выберем необходимый диск для шифрования и включим BitLocker через пункт Turn on Bitlocker:
Если в вашей машине отсутствует TMP микросхема для безопасного хранения ключей, то вы увидите подобное сообщение с ошибкой, где рекомендацией будет включить возможность работы без TMP, если у вас он есть, то пропустите этот пункт.
Для этого перейдем в групповые политики и настроим данную функцию:
Откроем политику, нажав правую кнопку мыши и перейдем к настройке групповых политик -> Computer Configuration – Administrative Templates – Windows Components – Bitlocker – Operating System Drives:
Проверьте соответствие всех выставленных параметров в политике и нажмите ОК для применения настроек. После вернитесь к проводнику комбинацией клавиш Win + E и включите шифрование для диска:
Используем парольную фразу, составленную по методике описанной выше:
BitLocker предложит сохранить ключи восстановления, данную функцию отключить не возможно. Есть опции сохранения в файл, на флешку или же можно распечатать:
После шифрования диска его производительность может быть снижена, примерно, на 10%, однако, повышает конфиденциальность хранимых данных. Управлять BitLocker можно через панель, которую можно найти через стандартный поиск:
Таким образом, BitLocker представляет собой важный инструмент для обеспечения безопасности данных в современных корпоративных сетях, где защита информации становится приоритетом.
