В прошлогоднем выпуске журнала TechNet Magazine, посвященном безопасности, я предоставил читателям краткий обзор некоторых функций шифрования диска Windows BitLocker, чтобы показать, как оно было применено в первоначальном выпуске Windows Vista. Теперь, с выходом пакета обновления 1 для Windows Vista® и новой операционной системы Windows Server® 2008, настало время вновь рассмотреть BitLocker®.
В этой статье я расскажу о некоторых изменениях в последней версии, дам обзор установки и использования BitLocker на сервере и коснусь ряда недавно замеченных тем, которые стоит иметь в виду. (Кстати, для прочтения прошлогодней статьи «Защита данных с помощью шифрования диска BitLocker» посетите страницу technet.microsoft.com/magazine/cc138009.aspx.)
Новые возможности
Изменения, представленные в этом выпуске BitLocker, приносят повышенную гибкость, не изменяя основных возможностей. Изменения, которые я рассмотрю – это поддержка томов данных; внедрение трехфакторной проверки подлинности для доступа к компьютеру; поддержка объединенного расширяемого интерфейса микропрограмм (Unified Extensible Firmware Interface – UEFI), нового, соответствующего стандартам отрасли, микропрограммного обеспечения для 64-разрядных систем; лучшая защита от криптографических атак на метаданные томов и более активное использование модуля доверенной платформы (Trusted Platform Module – TPM).
Тома данных
После первоначального выпуска Windows Vista панель управления BitLocker позволяла включить шифрование только для тома операционной системы Windows® (обычно это диск С:). Для многих клиентов этого было достаточно, поскольку в домашних компьютерах все данные и программы пользователя обычно хранятся на том же томе, что и операционная система. Однако на предприятиях и тем более на серверах дело часто обстоит иначе. Как следствие, одним из самых частых запросов пользователей была способность шифровать тома данных – иные тома, чем том ОС, установленной на компьютере (обратите внимание, что средство BitLocker не предназначено для шифрования съемных носителей).
Как видно на рис. 1, на этом компьютере есть три полезных тома. (На самом деле я насчитал четыре с учетом маленького активного раздела, используемого для запуска.) Моя операционная система установлена на диске C: (который в действительности отмечен «флагом» Windows на значке), есть также два тома данных, E: и P:. Том Р: уже зашифрован с помощью BitLocker и в настоящий момент заблокирован. Том Е: еще не зашифрован. В Windows Vista с пакетом обновления 1 (SP1) и Windows Server 2008 я могу зашифровать и разблокировать эти тома данных из апплета панели управления BitLocker.
Рис. 1 Интерфейс Bitlocker
Если том операционной системы зашифрован с помощью BitLocker, поведением по умолчанию будет разблокирование зашифрованных томов данных при каждом разблокировании тома операционной системы. Если использовать для разблокирования тома данных панель управления, то этот вариант будет представлен как флажок по образцу рис. 2.
Рис. 2 Сохранение ключей для автоматического разблокирования
Чтобы включить или отключить автоматическое разблокирование тома данных, используйте средство командной строки manage-bde.wsf. Manage-bde.wsf – это сценарий с широкими возможностями, входящий в состав Windows, который использует базовые поставщики инструментария управления Windows (WMI), установленные вместе с BitLocker.
Например, чтобы отметить том данных P: так, чтобы его потребовалось разблокировать вручную, используйте следующую команду:
manage-bde.wsf –autounlock –disable P:
Чтобы снова включить автоматическое разблокирование диска P:, используйте:
manage-bde.wsf –autounlock –enable P:
В панель управления BitLocker не входит все, что можно делать с BitLocker и томами данных, так что следует использовать параметр -? для изучения команд manage-bde.wsf. Синтаксис manage-bde.wsf также рассмотрен в руководствах «Windows BitLocker Drive Encryption Design Guide» («Руководство по проекту шифрования диска с помощью Windows BitLocker») и "Windows BitLocker Deployment Guide" («Руководство по развертыванию Windows BitLocker»), доступных в центре загрузок Майкрософт по адресу go.microsoft.com/fwlink/?LinkId=115215.
TPM+USB+ПИН
Клиентам также требовалась возможность использовать дополнительные факторы проверки подлинности с помощью BitLocker. BitLocker использует микросхему TPM в компьютере, чтобы проверять целостность платформы – иными словами, чтобы убедиться, что ранние компоненты запуска, включая BIOS, не подверглись подмене или повреждению. С выходом же Windows Vista появилась возможность также потребовать либо ПИН-код, либо присутствие флэш-накопителя в порте USB, содержащего ключ, созданный при включении BitLocker.
В Windows Server 2008 и Windows Vista с пакетом обновления 1 можно сочетать все три метода. TPM продолжает подтверждать целостность платформы, ключ для USB представляет «что-то, что есть у пользователя», а ПИН-код – «что-то, что знает пользователь». Такое сочетание предоставляет очень мощную защиту против неавторизованных пользователей, пытающихся запустить компьютер и разблокировать защищенные средством BitLocker диски.
Однако, как и часто в безопасности, у этого есть своя цена. Очевидно, что когда BitLocker настроен таким образом, компьютер не может автоматически перезапуститься. В случае, например, сервера, необходимо решить, что важнее: гладкий перезапуск или более высокий уровень защиты.
Поддержка UEFI
С появлением Windows Server 2008 и Windows Vista с пакетом обновления 1 (SP1) была также добавлена поддержка компьютеров, оснащенных объединенным расширяемым интерфейсом микропрограмм (UEFI). UEFI – это спецификация, представляющая модернизацию традиционного BIOS, используемого большинством компьютеров при запуске. Для получения дополнительной информации о спецификации UEFI, пожалуйста, посетите www.uefi.org.
Повышенная защищенность
Когда BitLocker обнаруживает, что система была изменена, или что требуемый ПИН-код, либо ключ для USB недоступны при запуске, BitLocker входит в режим восстановления. При восстановлении, тома зашифрованные BitLocker остаются заблокированными, а пользователю предлагается диалог в текстовом режиме, именуемый консолью восстановления.
Чтобы разблокировать диск, пользователю необходимо ввести пароль восстановления (48-значное число) либо напрямую с клавиатуры, либо с флэш-накопителя для порта USB. (При хранении на флэш-накопителе для порта USB пароль порой называется ключом восстановления, поскольку он находится в двоичном, а не текстовом формате.)
BitLocker использует пароль восстановления для расшифрования ключей, хранящихся в метаданных тома, – основного ключа тома (Volume Master Key – VMK) и полного ключа шифрования тома (Full Volume Encryption Key – FVEK), чтобы затем разблокировать диск. Чтобы восстановление было успешным, должна быть доступна копия пароля восстановления
В силу этого, я настоятельно рекомендую использовать централизованное хранение пароля восстановления вдобавок к хранению пользователем (скажем, на флэш-накопителе для порта USB). В операционной системе имеется функция хранения паролей восстановления в доменных службах Active Directory® (ADDS).
Секреты, хранящиеся в метаданных тома, такие как VMK, шифруются, и целостность метаданных всего тома защищается криптографически. Если средство BitLocker обнаруживает, что метаданные тома были подменены, оно откажется использовать метаданные и не разблокирует ни одного из защищенных томов. Обратите внимание, что одного пароля восстановления недостаточно для разблокировки диска в таком состоянии.
Важно подчеркнуть, что такая ситуация может возникнуть лишь при намеренной атаке на безопасность компьютера. Если это произошло, с хорошей вероятностью компьютер уже находится в руках злодея, а не под вашим контролем. Она не возникнет, если внести простое незапланированное изменение в платформу или забыть свой ПИН-код.
Для разблокировки тома понадобятся три следующих вещи:
- Пароль восстановления (как текст, который следует ввести, или флэш-накопитель для порта USB)
- Двоичный пакет ключей, включающий зашифрованные версии FVEK и VMK
- Средство восстановления BitLocker
Говоря кратко, необходимо гарантировать постоянное наличие у своего предприятия или организации доступа ко всем этим вещам.
Резервное копирование пароля восстановления можно выполнить вручную или автоматически. Я рекомендую использовать параметр групповой политики, чтобы автоматически сохранить резервную копию пароля в доменных службах Active Directory.
При настройке этого параметра, как показано на рис. 3, включите возможность создания резервной копии двоичного пакета ключей. В двоичный пакет ключей входят зашифрованные версии VMK и FVEK, позволяя при необходимости использовать средство восстановления BitLocker.
Рис. 3 Настройка групповой политики на включение пакетов ключей в информацию для восстановления
Средство восстановления BitLocker было разработано, чтобы помочь в восстановлении данных с поврежденных дисков, использующих BitLocker. Учтите, что это усовершентсованное средство, предназначенное для использования опытными администраторами. Дополнительные сведения о средстве восстановления BitLocker можно найти в статье базы знаний Майкрософт по адресу support.microsoft.com/kb/928201, или в моей веб-трансляции «Microsoft BitLocker in the Enterprise: BitLocker Tools to Make Your Life Easier» («Microsoft BitLocker на предприятии: средства BitLocker, упрощающие жизнь» (включающей практическую демонстрацию) по адресу go.microsoft.com/fwlink/?LinkId=114985.
Здесь стоит указать, что BitLocker не устраняет потребность в резервном копировании данных. Если диск был поврежден или подвергся намеренной атаке, нет гарантии, что средство восстановления BitLocker сможет восставить хоть что-то из данных, не говоря уж про все.
Более широкое использование TPM
Технически, это не изменение BitLocker, но оно достаточно интересно, чтобы его стоило упомянуть. До пакета обновления 1 единственной частью ОС Windows, использовавшей TPM, был BitLocker, но теперь TPM используется и для некоторых других функций. Скажем, когда Windows видит, что TPM доступен, она использует TPM как источник увеличенной энтропии при генерации случайных чисел. Это повышает качество всех видов шифрования (и может даже заставить игру работать лучше).
Однако, это значит, что не все относящиеся к TPM события, показываемые в обозревателе событий, обязательно относятся к BitLocker. Специалисту по ИТ следует знать, что другие системные компоненты и, потенциально, программы от других поставщиков могут и будут использовать TPM, приводя тем самым к записи событий в журнал.
BitLocker в Windows Server 2008
Благодаря общей базе кода Windows Vista и Windows Server 2008, изменения BitLocker, появившиеся в пакете обновления 1, являются неотъемлемой частью Windows Server 2008. Но зачем средство BitLocker нужно на сервере? В конце концов, BitLocker, по своему замыслу, защищает от атак против автономного компьютера. Другими словами, BitLocker не защищает работающие системы, а серверы, само собой, обычно должны работать все время.
Как оказывается, бывают случаи, когда сервер или жесткий диск с сервера могут подвергнуться атаке в автономном состоянии. Даже если такого и не произойдет, мы скоро покажем, что BitLocker может сильно помочь, когда наступает время списать жесткий диск. Для начала, взглянем, как BitLocker устанавливается и работает на сервере.
Получение и установка BitLocker
BitLocker включен во все версии Windows Server 2008, но является необязательным компонентом или функцией, которая должна быть установлена из диспетчера серверов или командной строки. BitLocker реализован отчасти как драйвер фильтра NTFS. Установка этого драйвера фильтра требует перезапуска компьютера, так что имейте в виду, что активация BitLocker на сервере потребует перезагрузки. Также, как и в случае с Windows Vista, BitLocker требует настройки отдельной нагрузки, где активный раздел, используемый для запуска компьютера, остается незашифрованным. Для помощи в верной настройке жестких дисков на поддержку BitLocker в случае, если сервер не поставляется уже настроенным, доступно средство подготовки дисков BitLocker. Но те, кто не боится самостоятельного разделения жестких дисков на разделы, определенно могут настроить жесткие диски вручную.
Для установки BitLocker в Windows Server 2008 можно использовать графический интерфейс диспетчера серверов, чтобы выбрать BitLocker из списка компонентов, как показано на рис. 4, либо можно использовать интерфейс командной строки диспетчера серверов, выдав следующую команду:
Рис. 4 Выбор BitLocker в диспетчере серверов
ServerManagerCmd –install BitLocker –restart
При использовании диспетчера серверов он устанавливает BitLocker и средства управления для BitLocker. Компоненты управления можно также установить, не устанавливая само средство BitLocker. Это позволяет избежать потребность в перезапуске, поскольку не включает драйвер фильтра. Имя этого компонента - "RSAT-BitLocker".
BitLocker нормально работает на компьютерах, использующих вариант установки Server Core, но диспетчер серверов нельзя использовать для установки BitLocker на Server Core, также нельзя использовать графический интерфейс для управления BitLocker на Server Core. Вместо этого используйте средства командной строки pkgmgr или ocsetup для установки компонентов.
После того, как двоичные файлы BitLocker установлены, а диски настроены требуемым образом для раздельной нагрузки, средство BitLocker можно включить на томе ОС. Апплет панели управе BitLocker имеет те же значки и параметры в Windows Server 2008, что и в Windows Vista с пакетом обновления 1. Чтобы включить расширенные режимы BitLocker, необходимо подправить параметры по умолчанию, используя редактор локальных политик или объект групповой политики, применимый к серверу.
На Server Core или в случае нежелательности использования панели управления можно использовать manage-bde.wsf для включения BitLocker. Чтобы включить BitLocker на диске C:, введите
manage-bde.wsf –on C: -RecoveryPassword –RecoveryKey F:\
где C: – диск, который следует зашифровать, а F:\ – это ключ для порта USB или другой том, где будет храниться копия ключа восстановления (в двоичном формате). Также можно использовать путь в формате UNC, чтобы сохранить ключ восстановления на сетевом диске. Также будет создан и отображен пароль восстановления (в формате цифрового текста). Можно также добавить параметр skiphardwaretest, если не приходится сомневаться, что оборудование отвечает всем требованиям BitLocker. Это сэкономит одну перезагрузку.
Ситуации использования на сервере
Давайте теперь рассмотрим некоторые конкретные ситуации, в которых средство BitLocker полезно для серверов. Не забывайте, что, как я упоминал, средство BitLocker разработано для помощи в защите против атак на автономное оборудование – рода атак, которые происходят, когда Windows не работает.
Филиалы Один из первых и наиболее очевидных способов использовать средство BitLocker на сервере – как часть стратегии филиалов Windows Server 2008. Где-то между четвертью и третью всех серверов установлены в офисах филиалов – то есть в офисах, где физическая безопасность, доступ к поддержке со стороны отдела ИТ и, возможно, связь с центрами данных могут быть меньше обычного. Филиалы также являются привлекательной целью для атак. В сочетании с такими компонентами, как контролеры доменов только для чтения (read-only domain controller – RODC), средство BitLocker помогает в защите конфиденциальных данных, которые должны храниться в филиале, чтобы быть полезными, и не могут быть так же надежно физически защищены, как в центре данных.
Это хороший шанс продумать нужный уровень защиты. Что важнее – предотвратить несанкционированный доступ к данным или потребовать от сервера возможности возвращаться к работе немедленно и без вмешательства? По моему мнению, во многих филиалах было бы приемлемо требовать ПИН-кода для перезапуска сервера, но каждая компания должна сама решить для себя этот вопрос.
Диски при перевозке Часто возникает необходимость отправки в удаленное место данных на жестком диске. Это может быть отправка одного диска или предварительная настройка и отправка целого сервера. В ходе пересылки данные на этих дисках находятся вне досягаемость владельца и могут быть скопированы, утеряны или украдены.
Чтобы уменьшить этот риск, включите средство BitLocker на томах в компьютере перед отправкой, затем удалите всю защиту ключами, кроме ключа восстановления или пароля восстановления. Этот ключ или пароль затем можно перевезти вручную, отдельно от сервера, или даже передать по телефону либо по зашифрованной электронной почте получающему персоналу. После получения компьютера или диска для разблокирования диска используется пароль восстановления. Диск может быть оставлен зашифрованным (добавьте обратно все прочие формы защиты ключами) или, при желании, полностью дешифрован после доставки.
Это особо эффективная форма предварительной подготовки контроллеров домена или серверов для филиалов.
Кража сервера Как отмечалось в предыдущем разделе, угроза кражи сервера (особенно контроллера домена) весьма реальна. Воры могут прихватить переносной ПК при возможности, но сервер может быть тщательно выбранной целью. Если средство BitLocker настроено на требование только проверки целостности TPM, украденный сервер может быть просто включен и загружен. По контрасту с этим, если диски в сервере защищены с помощью средства BitLocker, и оно настроено в расширенном режиме (требуя ключа для порта USB, ПИН-кода или того и другого), ворам будет очень тяжело извлечь какую-либо полезную информацию за разумный промежуток времени.
Кража диска Но, напротив, если украден только диск, TPM по-прежнему будет серьезной защитой. Только TPM с изначального сервера может быть использован для разблокировки диска, защищенного средством BitLocker, так что диск нельзя будет просто вставить в другой компьютер и прочитать.
Пониженная открытость атакам Заказав оборудование сервера, в которое входит микросхема TPM, и используя проверку целостности платформы BitLocker, можно повысить защиту от некоторых форм вредоносных программ. В частности, средство BitLocker будет обнаруживать изменения, внесенные, когда Windows не работает, или изменения, внесенные в компоненты раннего запуска, особенно если вредоносная программа, такая как комплект для захвата прав администратора, требует перезагрузки для установки. Это не всеобъемлющее решение, но в сочетании с такими функциями, как целостность кода Windows, и продуктами вроде Microsoft® ForefrontTM Client Security, оно становится еще одним эффективным уровнем глубокой защиты.
Безопасное списание Один из случаев, когда средство BitLocker наиболее полезно, возникает в конце жизненного цикла сервера или диска. Как часто вы слышали о дисках или серверах, выкинутых без правильного списания? Знаете ли вы, что использованные жесткие диски порой продаются на аукционе дороже новых, поскольку неразборчивые в средствах покупатели надеются вытянуть с них полезную информацию?
К счастью, средство BitLocker предоставляет альтернативу затратному и требующему массу времени процессу очистки диска от полезных данных. Суть ее в том, что на диск не записывается информации в полезном формате. Зашифрованные данные бесполезны, а удаление всей информации о ключе является быстрым и простым действием. После этого не имеет значения, что произойдет с самим жестким диском – его можно продать, переработать, использовать в другом месте, в общем, сделать что угодно, не опасаясь, что он попадет не в те руки.
В Windows Vista и Windows Server 2008 команда форматирования была обновлена, чтобы уничтожать ключи BitLocker, включая множественные перезаписи. Так что теперь существует простой и эффективный способ списать диск.
Последние новости
В момент написания мною этой статьи, надо признать, за несколько недель до того, как читатели увидят ее опубликованной, ряд недавних статей, документов и новостных сообщений обсуждают некоторые интересные характеристики оборудования и то, как они влияют на BitLocker, другие компоненты безопасности Windows и прочие средства шифрования от различных поставщиков. Я хотел бы уделить немного времени рассмотрению некоторых находок.
Одна из них была опубликована исследователями из Принстонского университета, продемонстрировавшими (и весьма убедительно!) «осадок DRAM» (информация доступна на citp.princeton.edu/pub/coldboot.pdf). Попросту говоря, доступ к содержимому памяти компьютера возможен в течении некоторого периода времени после отключения памяти от питания. Средство BitLocker, само собой, держит ключи в памяти во время работы Windows, и есть опасение, что ключи могут быть добыты неавторизованными пользователями.
Другая демонстрация, от Адама Буало (Adam Boileau) (security-assessment.com/files/presentations/ab_firewire_rux2k6-final.pdf) показывает, как интерфейс IEEE 1394 (часто именуемый FireWire) делает возможным прямой доступ к памяти (direct memory access – DMA), который можно использовать для извлечения из Windows секретов, таких как пароли или ключи дешифрования. Интересно здесь то, что DMA практически является смыслом 1394; это не ошибка, а то, для чего интерфейс Firewire был разработан.
Общая черта этих атак – необходимость доступа к работающему (или очень недавно работавшему) компьютеру. Средство BitLocker не предназначено для защиты от таких атак и не устраняет необходимость в физической безопасности. Адекватная глубокая защита требует использования ряда функций и средств, создания среды физической безопасности, выделения ключевых корпоративных политик и постоянного обучения пользователей.
Эти открытия не так уж новы. Они были известны в течении некоторого времени и даже обсуждаются в наборе средств шифрования данных от Microsoft® (DET). Анализ рисков, предоставляемый в DET, имеет своей основной целью помочь пользователям сбалансировать безопасность с полезностью, а также со стоимостью применения и управления. Это далеко не тривиальный вопрос. Мы верим, что грамотные клиенты наилучшим образом подходят для принятия решений о компромиссах между безопасностью, полезностью и ценой.
Вдобавок к DET, некоторые из моих коллег предоставили превосходные комментарии и руководства. Во-первых, Расс Хамфрис (Russ Humphries) рассказывает о компромиссах в области безопасности, в свете осадка DRAM в своем блоге по адресу go.microsoft.com/fwlink/?LinkId=115217. Далее, Дуглас МакАйвер (Douglas MacIver) написал о дополнительных специальных действиях по настройке и контрмерах, которые можно принять сейчас в блоке группы целостности систем (SI) по адресу go.microsoft.com/fwlink/?LinkId=115218. Я очень рекомендую уделить время чтению обеих этих полезных записей. Стоит также прочесть DET.
Ключевая среди этих рекомендаций заключается в использовании расширенного режима (то есть, требующего ключа для порта USB или ПИН-кода) и предотвращении оставления компьютера без присмотра в режиме сна (используйте вместо этого гибернацию).
Заключение.
Средство BitLocker остается одним из наиболее полезных компонентов Windows Vista. С выходом пакета обновления 1 (SP1) оно было усовершенствовано в порядке прямого ответа на желание пользователей увидеть больше возможных ситуаций использования и соответствие более широкому спектру потребностей защиты данных. Распространение этой защиты статических данных Windows Server 2008 дает больше способов защищать данные и обеспечивать соответствие нормативным требованиям независимо от того, хранятся ли эти данные на серверах или рабочих станциях клиентов, в центре данных, филиале или у мобильного сотрудника.