Набор средств шифрования данных для мобильных ПК — анализ безопасности

Глава 4. Совместное использование BitLocker и файловой системы EFS

Опубликовано 4 апреля 2007

Шифрование диска Microsoft® BitLocker™ (BitLocker) и шифрованная файловая система (EFS) — это две независимые технологии, которые можно использовать совместно для обеспечения высокого уровня безопасности данных. Решение для шифрования данных, использующее технологию BitLocker и файловую систему EFS, обеспечивает стойкое шифрование компьютера целиком (BitLocker) и шифрование данных каждого пользователя в отдельности (EFS).

На этой странице

Выбор сочетания BitLocker и файловой системы EFS

Выбор сочетания BitLocker и файловой системы EFS

Технологию BitLocker и файловую систему EFS можно использовать в организации в различных сочетаниях. Полное описание каждого возможного сочетания выходит за рамки данного документа, хотя существует несколько наиболее распространенных сочетаний BitLocker и файловой системы EFS. В данном разделе рассматриваются некоторые из них и описываются снижаемые ими риски. Это следующие сочетания:

  • BitLocker с доверенным платформенным модулем и файловой системой EFS;

  • BitLocker с доверенным платформенным модулем, персональным идентификационным номером (ПИН) и файловой системой EFS;

  • BitLocker с доверенным платформенным модулем, ПИН и файловой системой EFS с использованием смарт-карт;

BitLocker с доверенным платформенным модулем и файловой системой EFS с использованием программного хранилища ключей

Сочетание BitLocker с доверенным платформенным модулем и файловой системой EFS с программным хранилищем ключей обеспечивает базовый уровень защиты с минимальными накладными расходами и практически не требует обучения пользователей.

Наиболее подходящее решение для организаций, в которых требуется использовать BitLocker с файловой системой EFS, заключается в сочетании BitLocker с доверенным платформенным модулем и файловой системой EFS (без смарт-карт), которые были описаны ранее в этом руководстве. В следующем подразделе приведены характеристики подобного решения.

Снижение рисков: BitLocker с доверенным платформенным модулем и файловой системой EFS с использованием программного хранилища ключей

Совместное использование BitLocker и файловой системы EFS позволяет снизить указанные ниже риски.

  • Сотрудник организации может прочитать зашифрованные данные. Преимущество файловой системы EFS по сравнению с BitLocker заключается в том, что ключи шифрования хранятся в безопасном хранилище ключей, защищенном учетными данными пользователя. В данной конфигурации в качестве учетных данных выступает пароль. Таким образом, другие полномочные пользователи компьютера могут входить в систему как интерактивно, так и по сети, но не будут иметь доступа к конфиденциальным файлам на компьютере, которые пользователь защитил с помощью файловой системы EFS, если он отдельно не предоставит им доступ к этим файлам.

  • Обнаружение ключей с помощью автономной атаки. Основной ключ тома шифруется с помощью ключа в доверенном платформенном модуле в сочетании с ПИН. Если ПИН неизвестен, злоумышленнику потребуется определить значение полного ключа шифрования тома методом перебора.

  • Автономные атаки на операционную систему. Автономные атаки на операционную систему затрудняются в силу того, что злоумышленнику требуется либо восстановить корневой ключ хранилища из доверенного платформенного модуля и затем использовать его для расшифровки основного ключа тома, либо вскрыть полный ключ шифрования тома методом перебора. Кроме того, технология BitLocker, настроенная на использование технологии диффузора (которая включена по умолчанию), позволяет предотвратить целенаправленные атаки подобного рода, поскольку незначительные изменения зашифрованного текста будут распространяться на большие области.

  • Утечка незашифрованных данных через файл гибернации. Главной целью технологии BitLocker является защита данных на томе жесткого диска с операционной системой, когда компьютер отключен или находится в режиме гибернации. Когда служба BitLocker включена, файл гибернации шифруется.

  • Утечка незашифрованных данных через системный файл подкачки. В системе Windows Vista файловую систему EFS можно настроить на шифрование файла подкачки с помощью временного симметричного ключа, который создается во время загрузки, но никогда не записывается на диск. После отключения компьютера этот ключ удаляется, поэтому для восстановления данных из файла подкачки требуется найти симметричный ключ, который использовался для шифрования файла подкачки, методом перебора. Если при этом также включена технология BitLocker, чтобы получить какие-либо полезные данные, злоумышленнику потребуется взломать BitLocker и использовать метод перебора для поиска ключа файла подкачки.

  • Ошибка пользователя. Поскольку BitLocker является технологией шифрования всего тома, она шифрует все файлы, хранящиеся на томе с операционной системой Windows Vista. Это позволяет защититься от ошибок пользователей, которые принимают неверные решения относительного того, следует ли применять шифрование.

Другие риски и их снижение: BitLocker с доверенным платформенным модулем и файловой системой EFS с использованием программного хранилища ключей

Совместное использование BitLocker и файловой системы EFS не позволяет снизить указанные ниже риски без применения дополнительных средств управления и политик. Сведения об этих рисках и способах их снижения см. в разделах, посвященных сценариям, в главах 2 ("Шифрование диска BitLocker") и 3 ("Шифрованная файловая система (EFS)") данного анализа безопасности.

  • Компьютер оставлен в режиме гибернации. Если пользователь не настроил компьютер на запрос пароля при возобновлении работы, операционная система не сможет определить, является ли текущий пользователь полномочным. Если компьютер настроен на запрос учетных данных пользователя при выходе из режима гибернации, этот риск снижается.

  • Компьютер оставлен в спящем (ждущем) режиме. Как и в случае с режимом гибернации, состояние переносного компьютера и ключи шифрования BitLocker не изменяются при переходе переносного компьютера в спящий режим. При выходе из спящего режима полный ключ шифрования тома остается доступным на компьютере. Этот риск можно снизить, включив параметр Запрашивать пароль при выходе из ждущего режима.

  • Пользователь не вышел из системы, компьютер разблокирован. Пользователь, имеющий доступ к рабочему столу компьютера, защищенного с помощью BitLocker и файловой системы EFS, фактически имеет полный доступ к компьютеру. Этот риск можно снизить путем обучения пользователей основам безопасности и использования параметров групповой политики, автоматически блокирующих компьютер после определенного периода бездействия.

  • Обнаружение локального пароля или пароля домена. Ключи файловой системы EFS расшифровываются в последовательности, которая начинается с ключа, полученного на основе пароля пользователя. Таким образом, шифрование EFS вскрывается при разглашении пароля пользователя.

  • Сетевые атаки на операционную систему. Риск сетевых атак на операционную систему не снижается при использовании данного режима. Злоумышленник, которому удастся атаковать работающую операционную систему, сможет выполнить произвольный код для восстановления зашифрованных данных.

  • Атаки на платформу. Ни BitLocker, ни файловая система EFS не обеспечивают полной защиты от атак на платформу.

  • Необходимое средство проверки подлинности оставлено на компьютере или рядом с ним. Если пользователь оставляет свой пароль для входа в систему рядом с компьютером, злоумышленник может войти в систему от имени этого пользователя, получив полный доступ к ресурсам компьютера. Этот риск можно снизить путем обучения пользователей основам безопасности.

BitLocker с доверенным платформенным модулем, ПИН и файловой системой EFS с использованием программного хранилища ключей

Требование ввода ПИН на компьютере с включенной поддержкой BitLocker значительно повышает безопасность технологии BitLocker, но снижает удобство и управляемость. При использовании этого режима пользователю компьютера необходимо ввести два пароля: один для BitLocker (во время загрузки) и один для компьютера или домена при входе в систему. Эти два пароля должны быть различными и чаще всего являются таковыми, поскольку ПИН состоит из цифр, которые вводятся с помощью функциональных клавиш (F0 — F9), а в большинстве случаев политики паролей домена отклоняют пароли, состоящие из одних цифр. В этом сочетании файловая система EFS позволяет снизить угрозу некоторых атак, которые нельзя предотвратить только с помощью BitLocker.

Снижение рисков: BitLocker с доверенным платформенным модулем, ПИН и файловой системой EFS с использованием программного хранилища ключей

  • Компьютер оставлен в режиме гибернации. BitLocker с доверенным платформенным модулем и ПИН снижает этот риск, поскольку при выходе переносного компьютера из режима гибернации пользователю предлагается ввести ПИН.

  • Обнаружение локального пароля или пароля домена. Основное преимущество режима BitLocker с доверенным платформенным модулем и ПИН заключается в том, что в этом решении используется дополнительный фактор (учетные данные), необходимый для загрузки компьютера или выхода из режима гибернации. Это преимущество очень важно для пользователей, которые могут подвергаться атакам на основе социотехники или которые халатно относятся к паролям, например используют их на ненадежных компьютерах.

  • Сотрудник организации может прочитать зашифрованные данные. Преимущество файловой системы EFS по сравнению с BitLocker заключается в том, что ключи шифрования хранятся в безопасном хранилище ключей, защищенном учетными данными пользователя. В данной конфигурации в качестве учетных данных выступает пароль. Таким образом, другие полномочные пользователи компьютера могут входить в систему как интерактивно, так и по сети, но не будут иметь доступа к конфиденциальным файлам на компьютере, которые пользователь защитил с помощью файловой системы EFS, если он отдельно не предоставит им доступ к этим файлам.

  • Обнаружение ключей с помощью автономной атаки. Основной ключ тома шифруется с помощью ключа в доверенном платформенном модуле в сочетании с ПИН. Если ПИН неизвестен, злоумышленнику потребуется определить значение полного ключа шифрования тома методом перебора.

  • Автономные атаки на операционную систему. Автономные атаки на операционную систему затрудняются в силу того, что злоумышленнику требуется либо восстановить корневой ключ хранилища из доверенного платформенного модуля и затем использовать его для расшифровки основного ключа тома, либо вскрыть полный ключ шифрования тома методом перебора. Кроме того, технология BitLocker, настроенная на использование технологии диффузора (которая включена по умолчанию), позволяет предотвратить целенаправленные атаки подобного рода, поскольку незначительные изменения зашифрованного текста будут распространяться на большие области.

  • Утечка незашифрованных данных через файл гибернации. Главной целью технологии BitLocker является защита данных на томе жесткого диска с операционной системой, когда компьютер отключен или находится в режиме гибернации. Когда служба BitLocker включена, файл гибернации шифруется.

  • Утечка незашифрованных данных через системный файл подкачки. В системе Windows Vista файловую систему EFS можно настроить на шифрование файла подкачки с помощью временного симметричного ключа, который создается во время загрузки, но никогда не записывается на диск. После отключения компьютера этот ключ удаляется, поэтому для восстановления данных из файла подкачки требуется найти симметричный ключ, который использовался для шифрования файла подкачки, методом перебора. Если при этом также включена технология BitLocker, чтобы получить какие-либо полезные данные, злоумышленнику потребуется взломать BitLocker и использовать метод перебора для поиска ключа файла подкачки.

  • Необходимое средство проверки подлинности оставлено на компьютере или рядом с ним. ПИН является дополнительным нефизическим фактором проверки подлинности, который невозможно потерять с компьютером, если только он не указан на листке бумаге или записан в очевидном месте.

  • Ошибка пользователя. Поскольку BitLocker является технологией шифрования всего тома, она шифрует все файлы, хранящиеся на томе с операционной системой Windows Vista. Это позволяет защититься от ошибок пользователей, которые принимают неверные решения относительного того, следует ли применять шифрование.

Другие риски и их снижение: BitLocker с доверенным платформенным модулем, ПИН и файловой системой EFS с использованием программного хранилища ключей

Совместное использование BitLocker и файловой системы EFS не позволяет снизить указанные ниже риски без применения дополнительных средств управления и политик. Сведения об этих рисках и способах их снижения см. в разделах, посвященных сценариям, в главах 2 ("Шифрование диска BitLocker") и 3 ("Шифрованная файловая система (EFS)") данного анализа безопасности.

  • Компьютер оставлен в спящем (ждущем) режиме. Состояние переносного компьютера и ключи шифрования BitLocker не изменяются при переходе переносного компьютера в спящий режим. При выходе из спящего режима полный ключ шифрования тома остается доступным на компьютере. Этот риск можно снизить, включив параметр Запрашивать пароль при выходе из ждущего режима.

  • Пользователь не вышел из системы, компьютер разблокирован. Пользователь, имеющий доступ к рабочему столу компьютера, защищенного с помощью BitLocker и файловой системы EFS, фактически имеет полный доступ к компьютеру. Этот риск можно снизить путем обучения пользователей основам безопасности и использования параметров групповой политики, автоматически блокирующих компьютер после определенного периода бездействия.

  • Сетевые атаки на операционную систему. Риск сетевых атак на операционную систему не снижается при использовании данного режима. Злоумышленник, которому удастся атаковать работающую операционную систему, сможет выполнить произвольный код для восстановления зашифрованных данных.

  • Атаки на платформу. Ни BitLocker, ни файловая система EFS не обеспечивают полной защиты от атак на платформу.

BitLocker с доверенным платформенным модулем, ПИН и файловой системой EFS с использованием смарт-карт (в режиме кэширования ключей)

Совместное использование BitLocker с доверенным платформенным модулем и ПИН и файловой системы EFS с использованием смарт-карт в режиме кэширования ключей позволяет снизить практически все существенные риски, описанные в данном руководстве. Однако для этого требуются значительные вложения в создание инфраструктуры смарт-карт, поэтому это способ преимущественно предназначен для организаций, которым чрезвычайно важен такой уровень безопасности.

Снижение рисков: BitLocker с доверенным платформенным модулем, ПИН и файловой системой EFS с использованием смарт-карт

  • Компьютер оставлен в режиме гибернации. BitLocker с доверенным платформенным модулем и ПИН снижает этот риск, поскольку при выходе переносного компьютера из режима гибернации пользователю предлагается ввести ПИН.

  • Обнаружение локального пароля или пароля домена. Основное преимущество режима BitLocker с доверенным платформенным модулем и ПИН заключается в том, что в этом решении используется дополнительный фактор (учетные данные), необходимый для загрузки компьютера или выхода из режима гибернации. Это преимущество очень важно для пользователей, которые могут подвергаться атакам на основе социотехники или которые халатно относятся к паролям, например используют их на ненадежных компьютерах.

  • Сотрудник организации может прочитать зашифрованные данные. Преимущество файловой системы EFS по сравнению с BitLocker заключается в том, что ключи шифрования хранятся в безопасном хранилище ключей, защищенном учетными данными пользователя. В данной конфигурации в качестве учетных данных выступает пароль. Таким образом, другие полномочные пользователи компьютера могут входить в систему как интерактивно, так и по сети, но не будут иметь доступа к конфиденциальным файлам на компьютере, которые пользователь защитил с помощью файловой системы EFS, если он отдельно не предоставит им доступ к этим файлам.

  • Обнаружение ключей с помощью автономной атаки. Основной ключ тома шифруется с помощью ключа в доверенном платформенном модуле в сочетании с ПИН. Если ПИН неизвестен, злоумышленнику потребуется определить значение полного ключа шифрования тома методом перебора.

  • Автономные атаки на операционную систему. Автономные атаки на операционную систему затрудняются в силу того, что злоумышленнику требуется либо восстановить корневой ключ хранилища из доверенного платформенного модуля и затем использовать его для расшифровки основного ключа тома, либо вскрыть полный ключ шифрования тома методом перебора. Кроме того, технология BitLocker, настроенная на использование технологии диффузора (которая включена по умолчанию), позволяет предотвратить целенаправленные атаки подобного рода, поскольку незначительные изменения зашифрованного текста будут распространяться на большие области.

  • Утечка незашифрованных данных через файл гибернации. Главной целью технологии BitLocker является защита данных на томе жесткого диска с операционной системой, когда компьютер отключен или находится в режиме гибернации. Когда служба BitLocker включена, файл гибернации шифруется.

  • Утечка незашифрованных данных через системный файл подкачки. В системе Windows Vista файловую систему EFS можно настроить на шифрование файла подкачки с помощью временного симметричного ключа, который создается во время загрузки, но никогда не записывается на диск. После отключения компьютера этот ключ удаляется, поэтому для восстановления данных из файла подкачки требуется найти симметричный ключ, который использовался для шифрования файла подкачки, методом перебора. Если при этом также включена технология BitLocker, чтобы получить какие-либо полезные данные, злоумышленнику потребуется взломать BitLocker и использовать метод перебора для поиска ключа файла подкачки.

  • Необходимое средство проверки подлинности оставлено на компьютере или рядом с ним. ПИН является дополнительным нефизическим фактором проверки подлинности, который невозможно потерять с компьютером, если только он не указан на листке бумаге или записан в очевидном месте.

  • Ошибка пользователя. Поскольку BitLocker является технологией шифрования всего тома, она шифрует все файлы, хранящиеся на томе с операционной системой Windows Vista. Это позволяет защититься от ошибок пользователей, которые принимают неверные решения относительного того, следует ли применять шифрование.

Другие риски и их снижение: BitLocker с доверенным платформенным модулем, ПИН и файловой системой EFS с использованием смарт-карт

  • Компьютер оставлен в спящем (ждущем) режиме. Ни Bitlocker, ни файловая система EFS с использованием смарт-карт в режиме кэширования ключей не позволяют снизить этот риск. Злоумышленник, получивший доступ к компьютеру, находящемуся в спящем режиме, может вывести компьютер из этого режима и получить доступ ко всем данным, на которые у пользователя есть права.

  • Пользователь не вышел из системы, компьютер разблокирован. При использовании смарт-карт в режиме кэширования ключей этот риск снизить нельзя. Злоумышленник, получивший доступ к незаблокированному рабочему столу, может действовать от имени законного пользователя и получить доступ ко всем данным, на которые у этого пользователя есть права.

  • Сетевые атаки на операционную систему. Ни BitLocker, ни файловая система EFS не снижают риск сетевой атаки на операционную систему. Злоумышленник, которому удастся атаковать работающую операционную систему, сможет выполнить произвольный код для восстановления зашифрованных данных. Однако файловая система EFS с использованием смарт-карт без кэширования ключей позволяет эффективно защититься от сетевых атак, целью которых является восстановление ключей шифрования.

  • Атаки на платформу. В кэшированном режиме компьютер, на котором используется файловая система EFS с хранилищем ключей на смарт-карте, хранит ключи EFS в памяти, поэтому ключи можно восстановить при атаке на платформу. Bitlocker не обеспечивает защиты от атак на платформу.

Сводный анализ рисков

В приведенной ниже таблице описаны риски и показано, как различные сочетания BitLocker с доверенным платформенным модулем и ПИН и файловой системы EFS с программным хранилищем ключей позволяют снизить каждый из них. Риски, которые можно снизить при использовании определенных сочетаний, помечены словом Да. Тире () обозначают риски, которые нельзя существенно снизить с помощью соответствующего сочетания.

Таблица 4.1. Снижение рисков при совместном использовании Bitlocker и файловой системы EFS

Файлы для загрузки

Загрузите набор средств шифрования данных для мобильных ПК

Регистрация

Зарегистрируйтесь в программе тестирования бета-версии набора средств шифрования данных

Уведомления об обновлениях

Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках

Отзывы и предложения

Присылайте свои комментарии и предложения

К началу страницы

  • Last updated on