|
Защита операционной системы и несъемных жестких дисков
|
| bet | 59/91 | | Sana | 18.02.2022 | | Hajmi | 1,32 Mb. | | #15622 | | Turi | Руководство |
В рамках этого сценария BitLocker используется для защиты всех несъемных дисков компьютера, как системных, так и содержащих другие данные. Это рекомендуемая конфигурация, поскольку она обеспечивает защиту всех данных.
Оценка рисков
Один из главных рисков, для устранения которых была создана технология BitLocker, — риск утечки данных с утерянных или украденных компьютеров. Если злоумышленник получает физический доступ к компьютеру, он может:
войти в систему Windows 7 и скопировать файлы;
перезагрузить клиентский компьютер под управлением другой ОС, после чего:
просмотреть имена файлов;
скопировать файлы;
считать содержимое файла гибернации или файла подкачки, где обнаружить открытый текст документов, с которыми велась работа;
считать содержимое файла гибернации, где обнаружить открытую текстовую копию закрытых программных ключей.
Даже если файлы зашифрованы файловой системой EFS, небрежный пользователь может переместить или скопировать файл из защищенного расположения в незащищенное, так что данные будут представлены открытым текстом. Несведущий ИТ-персонал может забыть установить шифрование для скрытых папок, в которых приложения хранят резервные копии файлов, с которыми идет работа. Есть и операционные риски, например злонамеренное изменение системных и загрузочных файлов, которое может особым образом отразиться на функционировании системы.
Снижение риска
В целях смягчения указанных рисков следует включить шифрование BitLocker, а также требовать проверки целостности загрузочных компонентов и предзагрузочную проверку подлинности перед предоставлением доступа к зашифрованному системному диску. Помимо этого, следует защитить файлы операционной системы и данных.
Анализ мер по снижению риска
Шифрование BitLocker, используемое на системных и несъемных дисках, позволяет отвечать рискам, описанным в предыдущем разделе, «Оценка рисков». Однако, перед включением этой технологии защиты данных стоит изучить следующие требования и рекомендации.
Для оптимального уровня защиты материнская плата компьютера должна содержать чип TMP 1.2, чья версия BIOS отвечает требованиям Trusted Computing Group. Для разблокирования системы рекомендуется использовать выбираемый пользователем ПИН-код. В качестве варианта, можно также использовать USB-накопитель с ключом запуска в машинном формате.
Жесткий диск должен содержать как минимум два раздела — раздел операционной системы и активный системный раздел. Раздел операционной системы предназначен для зашифрованных файлов установленной ОС Windows. Активный системный раздел должен оставаться незашифрованным, чтобы компьютер мог начать загрузку. Этот раздел должен быть не менее 100 МБ в размере. По умолчанию в Windows 7 системный раздел создается автоматически. Ему не назначается буква диска и он скрывается от пользователей. Если на диске нет отдельного активного системного раздела, BitLocker внесет в разделы требуемые изменения при своей настройке.
Если технология BitLocker используется с USB-накопителями или ПИН-кодами, необходимо предусмотреть действия на случай утерянного накопителя и забытого ПИН-кода.
Технология BitLocker оказывает небольшое влияние на производительность, но оно, как правило, незаметно. Если уровень производительности системы чрезвычайно важен, стоит провести предварительное тестирование степени влияния BitLocker на работу пользователей.
В зависимости от изготовителя, средства управления доверенными платформенными модулями могут предусматривать выполняемые вручную шаги по конфигурированию модуля и требовать введения пароля администратора в BIOS при построении, что может не позволить осуществлять полностью автоматическое развертывание и обновление.
BIOS компьютера должен быть способен считывать информацию с USB-устройств до загрузки системы, иначе не удастся использовать ключ запуска для разблокирования операционной системы.
Технология BitLocker может затруднить процесс распределения ПО, если это ПО или обновления распределяются по ночам, и перезапуск компьютеров происходит без участия пользователей. Например:
если компьютер защищен с помощью TMP и ввода ПИН-кода или с помощью TPM и ключа запуска, и в 2 часа ночи развертывается обновление безопасности, после которого компьютер требуется перезагрузить, без ПИН-кода или ключа запуска компьютер повторно не включится;
если используется функция Wake-on-LAN или возможности BIOS по автоматическому включению компьютера для обслуживания, TPM с вводом ПИН-кода или ключа запуска также не позволит им включиться.
На работе компьютеров с BitLocker может отразиться установка предоставляемых изготовителем обновлений микропрограмм BIOS или TPM. Обновление BIOS может быть определено доверенным платформенным модулем как изменение дозагрузочных компонентов, в результате чего модуль войдет в режим восстановления. Если это представляет проблему, следует приостановить BitLocker до установки обновления и возобновить после.
Маловероятно, но все же обновления приложений могут нарушить работу компьютеров, защищенных BitLocker. Если при установке или обновлении вносятся изменения в диспетчер загрузки или файлы, отслеживаемые BitLocker, система не сможет загрузиться и войдет в режим восстановления. Перед установкой или обновлением приложений, изменяющих загрузочную среду Windows 7, следует проверить их на компьютере с включенной технологией BitLocker.
Все контроллеры домена в домене должны работать под управлением ОС Windows Server® 2003 с пакетом обновления 2 (SP2) или более поздней.
|
| |
