Подготовка организации к BitLocker: планирование и политики
В этой статье для ИТ-специалистов объясняется, как спланировать развертывание BitLocker.
При определении стратегии развертывания BitLocker определите соответствующие политики и требования к конфигурации на основе бизнес-требований организации. В следующих разделах показано, как собирать сведения. Используйте эти сведения, чтобы помочь в принятии решений о развертывании систем BitLocker и управлении ими.
Аудит среды
Чтобы спланировать развертывание BitLocker, изучите текущую среду. Выполните неофициальный аудит для определения текущих политик, процедур и аппаратной среды. Ознакомьтесь с существующими корпоративными политиками безопасности программного обеспечения для шифрования дисков. Если организация не использует программное обеспечение для шифрования дисков, то ни одна из этих политик не будет существовать. Если используется программное обеспечение для шифрования дисков, может потребоваться изменить политики организации, чтобы использовать функции BitLocker.
Чтобы задокументировать текущие политики безопасности шифрования дисков в организации, ответьте на следующие вопросы:
Существуют ли политики, определяющие, какие компьютеры будут использовать BitLocker, а какие — нет?
Какие политики существуют для управления паролем восстановления и хранилищем ключей восстановления?
Какие политики используются для проверки удостоверений пользователей, которым необходимо выполнить восстановление BitLocker?
Какие политики существуют для управления доступом к данным восстановления в организации?
Какие политики существуют для контроля вывода компьютеров из эксплуатации или вывода из эксплуатации?
Ключи шифрования и проверка подлинности
BitLocker помогает предотвратить несанкционированный доступ к данным на потерянных или украденных компьютерах с помощью:
- Шифрование всего тома операционной системы Windows на жестком диске.
- Проверка целостности процесса загрузки.
Доверенный платформенный модуль (TPM) — это аппаратный компонент, установленный на многих новых компьютерах производителями компьютеров. Он работает с BitLocker для защиты данных пользователей. Кроме того, убедитесь, что компьютер не был подделан, пока система находилась в автономном режиме.
Кроме того, BitLocker может заблокировать обычный процесс запуска до тех пор, пока пользователь не верит личный идентификационный номер (ПИН-код) или не вставляет съемный USB-устройство, содержащее ключ запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности. Они также следят за тем, чтобы компьютер не запускал или возобновлял работу из режима гибернации до тех пор, пока не появится правильный ПИН-код или ключ запуска.
На компьютерах, на которых нет доверенного платформенного модуля версии 1.2 или более поздней, BitLocker по-прежнему можно использовать для шифрования тома операционной системы Windows. В этом случае пользователю потребуется вставлять USB-ключ запуска, чтобы запускать компьютер или пробуждать его из спящего режима. Он не обеспечивает проверку целостности системы перед запуском, предлагаемую BitLocker при работе с доверенным платформенный платформенный модуль.
Защита ключей BitLocker
| Предохранитель ключа | Описание |
|---|---|
| Доверенный платформенный модуль | Аппаратное устройство, используемое для создания защищенного корневого каталога доверия. BitLocker поддерживает только TPM 1.2 или более поздних версий. |
| КОНТАКТНЫЙ | Введенный пользователем предохранитель числового ключа, который можно использовать только в дополнение к доверенному платформенного модуля. |
| Расширенный ПИН-код | Введенный пользователем предохранитель буквенно-цифрового ключа, который можно использовать только в дополнение к доверенному платформенного модуля. |
| Ключ запуска | Ключ шифрования, который может храниться на большинстве съемных носителей. Этот предохранитель ключа можно использовать отдельно на компьютерах, отличных от доверенного платформенного платформенного модуля, или с доверенным платформенный модуль для обеспечения безопасности. |
| Пароль восстановления | 48-значный номер, используемый для разблокировки тома, когда он находится в режиме восстановления. Числа часто можно вводить на обычной клавиатуре. Если числа на обычной клавиатуре не отвечают, для ввода чисел можно использовать функциональные клавиши (F1–F10). |
| Ключ восстановления | Ключ шифрования, хранящийся на съемных носителях, который можно использовать для восстановления данных, зашифрованных на томе BitLocker. |
Методы проверки подлинности BitLocker
| Метод проверки подлинности | Требуется взаимодействие с пользователем | Описание |
|---|---|---|
| Только TPM | Нет | TPM проверяет компоненты ранней загрузки. |
| TPM + PIN-код | Да | TPM проверяет компоненты ранней загрузки. Пользователь должен ввести правильный ПИН-код перед продолжением процесса запуска и перед тем, как диск будет разблокирован. Доверенный платформенный модуль вводит блокировку, если неправильный ПИН-код вводится повторно, чтобы защитить ПИН-код от атак методом подбора. Количество повторных попыток, которые активируют блокировку, является переменным. |
| TPM + сетевой ключ | Нет | TPM успешно проверяет компоненты ранней загрузки, и с сервера WDS предоставлен действительный зашифрованный сетевой ключ. Этот метод проверки подлинности обеспечивает автоматическую разблокировку томов операционной системы при перезагрузке системы, сохраняя при этом многофакторную проверку подлинности. |
| TPM + ключ запуска | Да | TPM успешно проверяет компоненты ранней загрузки, и USB-устройство флэш-памяти, содержащее ключ запуска, вставляется. |
| Только ключ запуска | Да | Пользователю будет предложено ввести USB-устройство флэш-памяти с ключом восстановления и (или) ключом запуска, а затем перезагрузить компьютер. |
Будут ли поддерживаться компьютеры без TPM 1.2 или более поздних версий?
Определите, будут ли поддерживаться компьютеры, не имеющие TPM 1.2 или более поздних версий в среде. Если решено поддерживать компьютеры с TPM 1.2 или более поздней версии, пользователь должен использовать usb-ключ запуска для загрузки системы. Для этого ключа запуска требуются дополнительные процессы поддержки, аналогичные многофакторной проверке подлинности.
В каких областях организации требуется базовый уровень защиты данных?
Метод проверки подлинности только доверенного платформенного модуля обеспечивает наиболее прозрачный пользовательский интерфейс для организаций, которым требуется базовый уровень защиты данных для соблюдения политик безопасности. Он имеет самую низкую общую стоимость владения. Только TPM также может быть более подходящим для компьютеров, которые являются автоматическими или которые должны автоматически перезагружаться.
Однако метод проверки подлинности только доверенного платформенного модуля обеспечивает самый низкий уровень защиты данных. Этот метод проверки подлинности защищает от атак, которые изменяют компоненты ранней загрузки. Но на уровень защиты могут повлиять потенциальные недостатки оборудования или компонентов ранней загрузки. Методы многофакторной проверки подлинности BitLocker значительно повышают общий уровень защиты данных.
В каких областях организации требуется более безопасный уровень защиты данных?
Если есть компьютеры пользователей с высоко конфиденциальными данными, разверните BitLocker с многофакторной проверкой подлинности в этих системах. Требование ввода ПИН-кода пользователем значительно повышает уровень защиты системы. Сетевая разблокировка BitLocker также может использоваться для автоматической разблокировки этих компьютеров при подключении к доверенной проводной сети, которая может предоставить ключ сетевой разблокировки.
Какой метод многофакторной проверки подлинности предпочитает организация?
Различия в защите, предоставляемые методами многофакторной проверки подлинности, невозможно легко определить. Рассмотрите влияние каждого метода проверки подлинности на поддержку службы поддержки, обучение пользователей, производительность пользователей и любые автоматизированные процессы управления системами.
Конфигурации оборудования доверенного платформенного модуля
В плане развертывания определите, какие аппаратные платформы на основе TPM будут поддерживаться. Задокументируйте модели оборудования от изготовителя оборудования, используемого организацией, чтобы их конфигурации можно было протестировать и поддерживать. Оборудование доверенного платформенного модуля требует особого внимания во всех аспектах планирования и развертывания.
Состояния и инициализация TPM 1.2
Для TPM 1.2 существует несколько возможных состояний. Windows автоматически инициализирует TPM, что приводит его к включенной, активированной и принадлежащей ему состоянию. Это состояние, которое требуется BitLocker, прежде чем он сможет использовать TPM.
Ключи подтверждения
Чтобы доверенный платформенный модуль был доступен BitLocker, он должен содержать ключ подтверждения, который является парой ключей RSA. Закрытая половина пары ключей хранится внутри доверенного платформенного модуля и никогда не отображается и не доступна за пределами доверенного платформенного модуля. Если TPM не имеет ключа подтверждения, BitLocker принудит TPM автоматически создать его в рамках настройки BitLocker.
Ключ подтверждения можно создать в различных точках жизненного цикла доверенного платформенного модуля, но его необходимо создать только один раз на протяжении всего времени существования доверенного платформенного модуля. Если ключ подтверждения не существует для доверенного платформенного модуля, он должен быть создан, прежде чем можно будет взять на себя ответственность доверенного платформенного модуля.
Дополнительные сведения о доверенном модуле и TCG см. в разделе Trusted Computing Group: Trusted Platform Module (TPM) Specification (https://go.microsoft.com/fwlink/p/?linkid=69584).
Конфигурации оборудования, не относящиеся к TPM
Устройства, не включающие TPM, по-прежнему можно защитить с помощью шифрования диска. Рабочие области Windows To Go можно защитить BitLocker с помощью пароля запуска, а компьютеры без доверенного платформенного модуля могут использовать ключ запуска.
Используйте следующие вопросы, чтобы определить проблемы, которые могут повлиять на развертывание в конфигурации, отличной от доверенного платформенного платформенного модуля:
- Существуют ли правила сложности паролей?
- Есть ли бюджет для USB-устройств флэш-памяти для каждого из этих компьютеров?
- Поддерживают ли существующие устройства, не поддерживая TPM, USB-устройства во время загрузки?
Протестируйте отдельные аппаратные платформы с помощью параметра Проверка системы BitLocker при включении BitLocker. Системный проверка гарантирует, что BitLocker может правильно считывать сведения о восстановлении с USB-устройства и ключей шифрования, прежде чем зашифровать том. Cd и DVD-диски не могут выступать в качестве блочного запоминающих устройств и не могут использоваться для хранения материалов восстановления BitLocker.
Рекомендации по настройке диска
Для правильной работы BitLocker требуется определенная конфигурация диска. Для BitLocker требуются две секции, которые соответствуют следующим требованиям:
- Раздел операционной системы содержит операционную систему и ее файлы поддержки; он должен быть отформатирован с помощью файловой системы NTFS.
- Системный раздел (или загрузочный раздел) содержит файлы, необходимые для загрузки Windows после того, как встроенное ПО BIOS или UEFI подготовит системное оборудование. BitLocker не включен в этом разделе. Для работы BitLocker системный раздел не должен быть зашифрован и находиться в разделе, отличном от операционной системы. На платформах UEFI системный раздел должен быть отформатирован с помощью файловой системы FAT 32. На платформах BIOS системный раздел должен быть отформатирован с помощью файловой системы NTFS. Размер должен быть не менее 350 МБ.
Программа установки Windows автоматически настраивает диски компьютеров для поддержки шифрования BitLocker.
Среда восстановления Windows (Windows RE) — это расширяемая платформа восстановления, основанная на среде перед установкой Windows (Windows PE). Если компьютер не запускается, Windows автоматически переходит в эту среду, а средство восстановления при запуске в среде восстановления Windows автоматизирует диагностику и восстановление незагрузочной установки Windows. Windows RE также содержит драйверы и средства, необходимые для разблокировки тома, защищенного BitLocker, путем предоставления ключа восстановления или пароля восстановления. Чтобы использовать Windows RE с BitLocker, загрузочный образ windows RE должен находиться на томе, который не защищен BitLocker.
Windows RE также можно использовать с загрузочного носителя, отличного от локального жесткого диска. Если среда восстановления Windows не установлена на локальном жестком диске компьютеров с поддержкой BitLocker, для загрузки среды восстановления Windows можно использовать различные методы. Например, для восстановления можно использовать службы развертывания Windows (WDS), компакт-диск или USB-устройство флэш-памяти.
Подготовка BitLocker
В Windows Vista и Windows 7 BitLocker был подготовлен после установки для системных томов и томов данных. Он использовал интерфейс командной manage-bde строки или пользовательский интерфейс панель управления. В новых операционных системах BitLocker можно подготовить перед установкой операционной системы. Для предварительной подготовки требуется, чтобы на компьютере был TPM.
Чтобы проверка состояние BitLocker определенного тома, администраторы могут просмотреть состояние диска в апплете панели управления BitLocker или windows Обозреватель. Состояние "Ожидание активации" с желтым восклицательным значком означает, что диск был предварительно подготовлен для BitLocker. Это состояние означает, что при шифровании тома использовался только явный предохранитель. В этом случае том не защищен и должен добавить в том защищенный ключ, прежде чем диск будет считаться полностью защищенным. Администраторы могут использовать параметры панели управления, средство manage-bde или API WMI, чтобы добавить соответствующий предохранитель ключа. Состояние тома будет обновлено.
При использовании параметров панели управления администраторы могут включить BitLocker и выполнить действия, описанные в мастере, чтобы добавить предохранитель, например ПИН-код для тома операционной системы (или пароль, если TPM не существует), пароль или интеллектуальный карта предохранитель для тома данных. Затем перед изменением состояния тома отображается окно безопасности диска.
Администраторы могут включить BitLocker перед развертыванием операционной системы из среды предварительной установки Windows (WinPE). Этот шаг выполняется с помощью случайно созданного прозрачного предохранителя ключа, применяемого к форматированным томам. Он шифрует том перед запуском процесса установки Windows. Если для шифрования используется параметр "Только используемое место на диске", этот шаг занимает всего несколько секунд. Кроме того, он включается в обычные процессы развертывания.
Шифрование только занятого места на диске
Мастер установки BitLocker предоставляет администраторам возможность выбрать метод шифрования "Только используемое дисковое пространство" или "Полное" при включении BitLocker для тома. Администраторы могут использовать новый параметр групповой политики BitLocker для принудительного применения шифрования только используемого места на диске или полного шифрования диска.
Запуск мастера установки BitLocker запрашивает используемый метод проверки подлинности (пароль и смарт-карта доступны для томов данных). После выбора метода и сохранения ключа восстановления мастер предложит выбрать тип шифрования диска. Выберите Только использованное место на диске или Полное шифрование диска.
Если использовать только используемое дисковое пространство, шифруется только часть диска, содержащего данные. Неиспользуемое пространство останется незашифрованным. Это приводит к тому, что процесс шифрования выполняется гораздо быстрее, особенно для новых компьютеров и дисков данных. При включении BitLocker с помощью этого метода при добавлении данных на диск часть используемого диска шифруется. Таким образом, на диске никогда не хранятся незашифрованные данные.
При полном шифровании диска весь диск шифруется независимо от того, хранятся ли на нем данные. Этот параметр полезен для дисков, которые были переназначены и могут содержать остатки данных из предыдущего использования.
рекомендации по доменные службы Active Directory
BitLocker интегрируется с доменные службы Active Directory (AD DS) для обеспечения централизованного управления ключами. По умолчанию в Active Directory не выполняется резервное копирование сведений о восстановлении. Администраторы могут настроить следующий параметр групповой политики для каждого типа диска, чтобы включить резервное копирование сведений о восстановлении BitLocker:
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование >диска BitLockerТип> дискаВыберите способ восстановления дисков, защищенных BitLocker.
По умолчанию доступ к сведениям о восстановлении BitLocker имеют только администраторы домена, но доступ может быть делегирован другим пользователям.
Для каждого объекта компьютера сохраняются следующие данные восстановления:
Пароль восстановления
Пароль восстановления из 48 цифр, используемый для восстановления тома, защищенного BitLocker. Пользователи ввели этот пароль, чтобы разблокировать том, когда BitLocker переходит в режим восстановления.
Данные пакета ключей
С помощью этого пакета ключей и пароля восстановления части тома, защищенного BitLocker, можно расшифровать, если диск серьезно поврежден. Каждый пакет ключей работает только с томом, на котором он был создан, который определяется соответствующим идентификатором тома.
Поддержка FIPS для предохранителя паролем восстановления
Функциональные возможности, представленные в Windows Server 2012 R2 и Windows 8.1, позволяют BitLocker полностью работать в режиме FIPS.
Примечание.
Федеральный стандарт обработки информации (FIPS) США определяет требования к безопасности и взаимодействию для компьютерных систем, используемых федеральным правительством США. Стандарт FIPS-140 определяет утвержденные алгоритмы шифрования. Стандарт FIPS-140 также устанавливает требования к генерации ключей и управлению ключами. Национальный институт стандартов и технологий (NIST) использует программу проверки криптографических модулей (CMVP), чтобы определить, соответствует ли конкретная реализация криптографического алгоритма стандарту FIPS-140. Реализация криптографического алгоритма считается совместимой с FIPS-140 только в том случае, если он был отправлен и прошел проверку NIST. Не отправленный алгоритм не может считаться FIPS-совместимым, даже если реализация создает идентичные данные, как проверенная реализация того же алгоритма.
До этих поддерживаемых версий Windows, когда Windows находилась в режиме FIPS, BitLocker препятствовал созданию или использованию паролей восстановления и вместо этого заставлял пользователя использовать ключи восстановления. Дополнительные сведения об этих проблемах см. в статье о поддержке Пароль восстановления для Windows BitLocker недоступен, если в Windows задана политика, совместимая с FIPS.
Однако на компьютерах под управлением этих поддерживаемых систем с включенным BitLocker:
Если Windows находится в режиме FIPS, можно создать предохранители паролем восстановления, совместимые с FIPS. Эти средства защиты используют алгоритм FIPS-140 NIST SP800-132.
Пароли восстановления, созданные в режиме FIPS на Windows 8.1, можно отличить от паролей восстановления, созданных в других системах.
Разблокировка восстановления с помощью совместимого с FIPS средства защиты паролем восстановления на основе алгоритма работает во всех случаях, которые в настоящее время работают с паролями восстановления.
Когда пароли восстановления, совместимые с FIPS, разблокируют том, чтобы разрешить доступ на чтение и запись, даже в режиме FIPS.
Совместимые с FIPS предохранители паролем восстановления можно экспортировать и хранить в AD некоторое время в режиме FIPS.
Параметры групповая политика BitLocker для паролей восстановления работают одинаково для всех версий Windows, поддерживающих BitLocker, независимо от того, в режиме FIPS или нет.
В Windows Server 2012 R2 и Windows 8.1 и более ранних версиях пароли восстановления, созданные в системе в режиме FIPS, нельзя использовать. Пароли восстановления, созданные в Windows Server 2012 R2 и Windows 8.1, несовместимы с BitLocker в операционных системах старше Windows Server 2012 R2 и Windows 8.1. Поэтому вместо этого следует использовать ключи восстановления.