Pages Menu
Categories Menu

Опубликовано | Нет комментариев

BitLocker шифрование и безопасные пароли

Одно из основных направлений современной вычислительной техники - мобильность устройств. Что отлично подходит для многих задач, но в этом есть и существенный недостаток - увеличение числа оставленных в поезде, украденных или случайно уроненных и повреждённых устройств. За 2013 год в одной только Великобритании их было украдено или потеряно более 880000.

Большинство из потерянных или украденных устройств, потом были перепроданы на чёрном рынке ничего не подозревающим (или нет) покупателям и устройство получило вторую жизнь. Некоторые случаи воровства гораздо серьёзнее, устройства были украдены на заказ, для получения доступа к корпоративной сети или содержащимся на них данным.

Большинство владельцев ноутбуков полностью полагается на введённую в компьютер комбинацию из имени пользователя/пароля, предполагая, что это достаточная защита от несанкционированного доступа к корпоративным данным или (для домашних пользователей) личной информации. Этот процесс для защиты аутентификации использует протокол NTLM и считается отличным, проверенным методом безопасности. Но это не всегда так.

Содержание:

BitLocker шифрование

Большинство пользователей не знают (а узнав испытывают настоящий шок), что простое извлечение жёсткого диска из украденного, потерянного или повреждённого ноутбука и подключение его к другому компьютеру позволяет любому пользователю с правами администратора на локальном компьютере, прочесть и извлечь всю содержащуюся на жёстком диске информацию, без каких-либо специальных навыков, инструментов или паролей, полностью минуя встроенные системы безопасности Windows.

Программное обеспечение от сторонних производителей, для шифрования диска и защиты его от этого метода доступа к данным, применяется уже много лет. В Microsoft инструмент BitLocker Drive Encryption появился ещё в Windows Vista, что позволило пользователям и предприятиям, полностью шифровать жёсткий диск своих ПК, тем самым предотвращая несанкционированный доступ к данным, даже если диск потерян и подвергся только что изложенному процессу. BitLocker основывается на технологии шифрования, которая работает «под капотом» Windows, и гарантирует, что устройство в безопасности.

И тем не менее, несмотря на доступность BitLocker и других подобных инструментов, только незначительная часть устройств зашифрована своими владельцами. В Windows, 8.1 и более поздних версиях ОС, Microsoft дала возможность BitLocker шифрования на всех поставляемых OEM устройствах по умолчанию. После того, как новый владелец вошёл на своё устройство с помощью учётной записи Microsoft, шифрование BitLocker завершено, и ключи восстановления BitLocker автоматически сохраняются в собственном OneDrive хранилище (ранее известном как SkyDrive), которое доступно по подписке на страница onedrive.live.com/recoverykey.

BitLocker чрезвычайно эффективный способ защиты устройств Windows. Он шифрует все ключевые файлы компьютера, включая операционную систему, реестр, спящий режим, файлы подкачки, все пользовательские данные, информационные программы и настройки.

Ключ требуемый BitLocker для предоставления доступа к данным, хранится в специальном микрочипе на материнской плате устройства, и называется Trusted Platform Module (TPM) чип. ТРМ чипы ещё лет пять назад были довольно редки, но теперь они стали обычным делом и применяются как часть официального программного обеспечения для сертификации аппаратных средств. Большинство доступных сегодня систем поддерживают 1,2 или 2 версии TPM.

TPM — это аппаратное устройство, которое BitLocker использует для безопасного хранения 128-битных ключей шифрования AES. Вы можете посмотреть, имеет ли ваше устройство чип TPM и проверить номер его версии с помощью инструмента администрирования TPM на панели управления.

Trusted_Platform_Module

Как определить, есть ли на вашем компьютере TPM чип:

  1. Откройте панель управления, выберите «Система и безопасность» и нажмите кнопку «Шифрование диска BitLocker».
  2. Нажмите «Администрирование ТРМ».
  3. Появится консоль управления TPM на локальном компьютере (MMC).
  4. Обратите внимание на сообщение в центре MMC.
  5. Если ПК не имеет TPM, отображается сообщение «Совместимый модуль TPM не найден».

Но BitLocker можно включить и на устройствах без чипа TPM, а разблокирование этих устройств потребует от пользователя ввести ключ разблокировки, или предоставить содержащий ключ USB носитель.

В этом случае, даже если диск извлечён из устройства, вор получить какие-либо данные не сможет, так как зашифрованный BitLocker носитель должен быть разблокирован с помощью чипа TPM (или ключа). В противном случае привод остаётся полностью зашифрованным.

Если украденное устройство может загружаться, данные по-прежнему остаются защищёнными нормальной авторизацией Windows, имя пользователя/пароль, которая тоже вполне безопасна.

Если вы используете современную операционную систему, увидеть, имеет ли ваше устройство чип TPM и BitLocker шифрование, вы можете с помощью элемента панели управления BitLocker Drive Encryption в секции система и безопасность.

BitLocker

Корпоративными средами Windows 8 Pro и Windows 8 Enterprise Edition, можно управлять с помощью групповой политики, а ключи восстановления BitLocker централизовать в доменных службах Active Directory, используя для этого инструмент администрирования и мониторинга Microsoft BitLocker (MBAM).

MBAM позволяет следующие задачи управления:

  • Развёртывание и восстановление ключей шифрования
  • Централизованный контроль и учёт
  • Инициализация зашифрованных дисков
  • Поддержка зашифрованных дисков, в том числе возможность пользователю восстановить свои ключи
  • Обеспечение соблюдения организационных политик BitLocker.

Шифрование диска BitLocker может быть установлено на различных версиях Windows.

Версия Windows Издание Шифрование
Windows Vista Ultimate и Enterprise Допускается шифрование только системного диска
Windows 7 Ultimate и Enterprise Полное управление GPO, позволяет шифровать все диски
Windows 8 Pro и Enterprise Полное управление GPO, позволяет шифровать все диски
Windows RT RT Шифрование устройства с помощью шифрования BitLocker
Windows 8.1 Все Шифрование устройства с помощью шифрования BitLocker. Нет возможности управления (только вкл/выкл)
Windows 8.1 Pro и Enterprise Полное управление GPO, позволяет шифровать все диски

С помощью функции BitLocker To Go, BitLocker может быть развёрнут и для защиты съёмных носителей, SDHC карты, USB жёсткие диски и флэш-накопители. Предприятия имеют возможность разрешить или запретить пользователям сохранять свои данные на внешние не шифрованные BitLocker накопители, с помощью доступных объектов групповой политики.

Внимание. Если вы хотите для защиты жёсткого диска на компьютере без TPM использовать BitLocker, необходимо при настройке политики запуска в GPO включить параметр «Требовать дополнительную проверку подлинности», а затем здесь же нажать кнопку «Разрешить использование BitLocker без совместимого TPM».

Надеемся, что вы оценили функцию BitLocker Drive Encryption и поняли, что это ценная оборонительная стратегия для защиты данных от кражи. BitLocker шифрует целые тома жёсткого диска, что делает их непригодными для использования, если привод не разблокирован с помощью этой же технологии, тем самым сводя к минимуму риск взлома информации на потерянных или украденных компьютерах.

Безопасность паролей

Пароли были основой безопасности компьютерной системы в течение нескольких десятилетий, и хотя протоколы за это время улучшились, концепция осталась прежней: пользователь для получения доступа к компьютеру, использует имя пользователя и пароль.

Ниже мы рассмотрим бесплатный инструмент от Microsoft, который позволяет пользователям и администраторам установить уровень безопасности для своих машин, а также выделить уязвимые места и зоны для беспокойства. Инструмент, в поисках связанных с безопасностью проблем, сканирует локальный компьютер (или даже целую сеть ПК) и отображает результат в удобном для чтения и понимания отчёте.

Этот инструмент называется Microsoft Baseline Security Analyzer (MBSA) и может быть загружен с microsoft.com/en-gb/download/details.aspx?id=7558~~pobj. Почему мы о нём говорим? Потому что он, в том числе, сканирует систему и сообщает о существовании слабых паролей и совсем не имеющих пароля учётных записей.

Инструмент доступен для скачивания уже более 10 лет, но, как ни странно, редко кто им пользуется. Скачайте MBSA и следуя инструкциям мастера выполните анализ безопасности своего компьютера. Пример отчёта показан на рисунке ниже.

MBSA

MBSA будет проверять следующие моменты:

  • Основные уязвимости
  • Пропущенные патчи обновления Windows
  • Уязвимости Microsoft SQL Server
  • Уязвимости Internet Information Server (IIS)
  • Основные параметры безопасности и слабые стороны
  • Слабые пароли
  • Аккаунты без пароля
  • Состояние встроенной учётной записи гостя.

Внимание. Из-за характера сканирования, MBSA требует административных прав. Вы также можете использовать MBSA для выполнения сканирования на серверах.

Мы особенно заинтересованы в поиске слабых или несуществующих паролей в системах. Чтобы пароли были эффективными, они должны быть сильными и меняться на регулярной основе, например, каждые 60 дней. Определение сильного пароля в политике безопасности Microsoft выглядит следующим образом:

  • Не содержит в имени учётной записи пользователя и полном имени пользователя два одинаковых последовательных символа
  • Имеет не менее шести символов в длину
  • Содержит символы трёх из четырёх следующих категорий:
    1. Заглавные буквы английского алфавита (от А до Z)
    2. Строчные буквы английского алфавита (а до z)
    3. Цифры (от 0 до 9)
    4. Неалфавитные символы (например,!, $, #,%)

Требования к сложности применяются, когда пароли изменяются или создаются.

Политика паролей может быть установлена с помощью GPO или на локальном компьютере с помощью редактора локальной групповой политики. Чтобы открыть редактор локальной групповой политики, введите на стартовом экране Windows 8 или 8.1 secpol.msc, в Windows 7 в окно поиска меню Пуск, и нажмите Enter. Появится MMC.

изменение_политики_паролей

Эти требования к сложности вынуждают пользователей иметь сильные пароли, которые, даже с помощью автоматизированных средств, значительно труднее взломать. Там, где пользователи вынуждены регулярно менять свои пароли, им можно посоветовать, для создания длинных паролей использовать ключевые фразы, которые легче запомнить.

Обеспечение эффективной и надёжной безопасности ПК - наилучший способ обезопасить реестр от атак вредоносных программ, хакеров или просто посторонних людей. Безопасность в наши дни многослойна.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.

↓