Windows Server 2008

Postępy w technologii szyfrowania dysków funkcją BitLocker Udostępnij na: Facebook

Autor: Byron Hynes

Opublikowano: 18 sierpnia 2008

Zawartość strony
 Co nowego   Co nowego
 Woluminy danych   Woluminy danych
 TPM+USB+PIN   TPM+USB+PIN
 Wsparcie dla interfejsu UEFI   Wsparcie dla interfejsu UEFI
 Zwiększona ochrona   Zwiększona ochrona
 Szersze zastosowanie modułu TPM   Szersze zastosowanie modułu TPM
 BitLocker w systemie Windows Server 2008   BitLocker w systemie Windows Server 2008
 Pozyskiwanie i instalacja funkcji BitLocker   Pozyskiwanie i instalacja funkcji BitLocker
 Scenariusze związane z serwerem   Scenariusze związane z serwerem
 Najnowsze wieści   Najnowsze wieści
 Podsumowanie   Podsumowanie

W zeszłorocznym odcinku TechNet Magazine poświęconym bezpieczeństwu zaprezentowane zostało krótkie omówienie wybranych cech technologii szyfrowania dysków funkcją BitLocker, które miało na celu pokazanie jej implementacji w początkowej wersji systemu Windows Vista. Teraz po opublikowaniu dodatku Service Pack 1 dla systemu Windows Vista® oraz nowego systemu operacyjnego Windows Server® 2008 nadeszła pora, aby ponownie zająć się funkcją BitLocker®.

W tym artykule omówione zostaną pewne zmiany wprowadzone w najnowszej wersji, przedstawiony zostanie przegląd procesu instalacji i stosowania funkcji BitLocker na serwerze, poruszony zostanie temat ostatnio zaraportowanych czynników, które warto wziąć pod uwagę (zeszłoroczny artykuł "Keys to Protecting Data with BitLocker Drive Encryption" znajduje się pod adresem technet.microsoft.com/magazine/cc138009.aspx).

Co nowego

Zmiany wprowadzone wraz z nową wersją BitLocker oferują nowe elastyczne możliwości, bez modyfikowania podstawowych operacji. Innowacje, które zostaną omówione, to: wsparcie dla woluminów danych, zapewnienie trzyetapowego procesu uwierzytelnianie dostępu do maszyny, wsparcie dla interfejsu Unified Extensible Firmware Interface (UEFI), nowe przemysłowe oprogramowanie układowe dla systemów 64-bitowych, lepsza ochrona przed atakami kryptograficznymi na metadane woluminu i zwiększone wykorzystanie modułu Trusted Platform Module (TPM).

 Do początku strony Do początku strony

Woluminy danych

Gdy system Windows Vista został po raz pierwszy opublikowany, panel kontrolny funkcji BitLocker zezwalał jedynie na włączenie szyfrowania dla woluminu systemu operacyjnego Windows® (zwykle dysku C:). Wielu klientów uznało to rozwiązanie za wystarczające, ponieważ domowe komputery zwykle są skonfigurowane tak, że wszystkie dane i programy użytkowników znajdują się na tym samym woluminie co system operacyjny. Jednak w przypadku środowisk biznesowych, a w szczególności serwerów, sytuacja wygląda często inaczej. W konsekwencji jednym z najczęściej powtarzanych wymagań klientów była możliwość szyfrowania woluminów danych, czyli zainstalowanych na komputerze woluminów innych niż wolumin systemu operacyjnego (funkcja BitLocker nie służy do szyfrowania nośników wymiennych).

Jak widać na Rysunku 1 , na przykładowym komputerze znajdują się trzy woluminy (a właściwie cztery, jeśli uwzględnimy małą aktywną partycję służącą do uruchamiania). System operacyjny jest zainstalowany na dysku C: (na co wskazuje "flaga" systemu Windows na ikonie) i dostępne są dwa woluminy danych E: oraz P:. Wolumin P: został już zaszyfrowany funkcją BitLocker i aktualnie jest zablokowany. Wolumin E: nie został jeszcze zaszyfrowany. W systemach Windows Vista SP1 oraz Windows Server 2008 można zaszyfrować i odblokować te woluminy danych za pośrednictwem apletu panelu sterowania funkcją BitLocker.

Rysunek 1: Interfejs BitLocker.

Jeśli wolumin systemu operacyjnego jest zaszyfrowany funkcją BitLocker, w domyślnej konfiguracji zaszyfrowane woluminy danych są odblokowywane za każdym razem, gdy odblokowywany jest wolumin systemu operacyjnego. W przypadku odblokowywania woluminu danych przy użyciu panelu sterowania można zobaczyć opcję zaprezentowaną w postaci pola wyboru, jak na Rysunku 2 .

Rysunek 2: Zapisywanie kluczy do automatycznego odblokowywania.

Do przełączania trybu automatycznego odblokowywania woluminów służy narzędzie wiersza polecenia manage-bde.wsf. Manage-bde.wsf to skrypt o ogromnych możliwościach, który wchodzi w skład systemu Windows i wykorzystuje wewnętrznych dostawców Instrumentacji zarządzania Windows (WMI) zainstalowanych wraz z funkcją BitLocker.

Na przykład, aby oznaczyć wolumin danych P: tak, aby musiał być on ręcznie odblokowywany, należy użyć następującego polecenia:

manage-bde.wsf –autounlock –disable P:

Aby z powrotem włączyć automatyczne odblokowywanie dla woluminu P: należy użyć polecenia:

manage-bde.wsf –autounlock –enable P:

Panel sterowania funkcją BitLocker nie odzwierciedla całego potencjału funkcji BitLocker i woluminów danych, dlatego warto użyć opcji -? w celu zbadania poleceń manage-bde.wsf. Składnia skryptu manage-bde.wsf została opisana również w dokumentach "Windows BitLocker Drive Encryption Design Guide" oraz "Windows BitLocker Deployment Guide". które są dostępne w Centrum pobierania firmy Microsoft pod adresem go.microsoft.com/fwlink/?LinkId=115215.

 Do początku strony Do początku strony

TPM+USB+PIN

Klienci chcieli również mieć możliwość dodawania innych elementów uwierzytelniania do infrastruktury BitLocker. Funkcja BitLocker wykorzystuje moduł TPM komputera do weryfikowania integralności platformy, innymi słowy do sprawdzania, czy elementy systemu wykorzystywane podczas uruchamiania, takie jak np. BIOS, nie zostały zmodyfikowane lub uszkodzone. Jednak począwszy od wersji Windows Vista możemy wymagać również numeru PIN lub obecności dysku flash USB, ma którym znajduje się klucz stworzony podczas włączania funkcji BitLocker.

W systemach Windows Server 2008 oraz Windows Vista SP1 możemy połączyć wszystkie trzy elementy wymagane podczas uwierzytelniania. Moduł TPM nadal weryfikuje integralność platformy, klucz USB reprezentuje "coś co posiadamy", a PIN reprezentuje "coś co wiemy". Ta konfiguracja zapewnia bardzo silną ochronę, która uniemożliwia nieautoryzowanym użytkownikom uruchamianie komputera i odblokowywania dysków chronionych funkcją BitLocker.

Jednak podobnie jak w przypadku wielu innych kwestii związanych z bezpieczeństwem, rozwiązanie to pociąga za sobą pewne negatywne konsekwencje. Taka konfiguracja funkcji BitLocker powoduje, że komputer nie może zostać automatycznie zrestartowany. A zatem w przypadku serwera musimy zadecydować, co jest ważniejsze: wygodne ponowne uruchamianie czy wyższy poziom zabezpieczeń.

 Do początku strony Do początku strony

Wsparcie dla interfejsu UEFI

W systemach Windows Server 2008 oraz Windows Vista SP1 wsparcie objęło również komputery wyposażone w interfejs Unified Extensible Firmware Interface (UEFI). UEFI to specyfikacja, która reprezentuje modernizację tradycyjnego BIOS’u wykorzystywanego przez większość komputerów do uruchamiania. W poszukiwaniu dodatkowych informacji na temat specyfikacji UEFI warto udać się na stronę www.uefi.org.

 Do początku strony Do początku strony

Zwiększona ochrona

Gdy funkcja BitLocker wykrywa, że system został zmieniony lub wymagany kod PIN bądź klucz USB nie jest dostępny w czasie uruchamiania, funkcja BitLocker wchodzi w stan odzyskiwania. W stanie odzyskiwania woluminy z obsługą funkcji BitLocker pozostają zablokowane, a użytkownikowi zostaje zaprezentowane tekstowe okno dialogowe konsoli odzyskiwania.

Aby odblokować dysk, użytkownik musi wprowadzić hasło odzyskiwania (48-cyfrową liczbę) z klawiatury lub dysku flash USB (hasło przechowywane na dysku flash USB jest czasem nazywane kluczem odzyskiwania, ponieważ jest przechowywane w formacie binarnym zamiast tekstowym).

BitLocker wykorzystuje hasło odzyskiwania do deszyfrowania kluczy składowanych w metadanych woluminu - Volume Master Key (VMK), a następnie Full Volume Encryption Key (FVEK) – w celu odblokowania dysku. Aby operacja pełnego odzyskiwania mogła zakończyć się pomyślnie, dostępna musi być kopia hasła odzyskiwania.

Z tego względu autor artykułu zaleca, aby hasła odzyskiwania było przechowywane nie tylko przez użytkowników (np. na dysku flash USB), ale również gromadzone w sposób centralny. System operacyjny zawiera funkcjonalność służąca do składowania haseł odzyskiwania w usługach domenowych usługi Active Directory® (ADDS).

Sekretne dane przechowywane w metadanych woluminu, takie jak VMK, są zaszyfrowane, a integralność wszystkich metadanych woluminu jest chroniona kryptograficznie. Jeśli funkcja BitLocker wykryje, że ktoś majstrował przy metadanych woluminu, odmówi wykorzystania tych metadanych i nie odblokuje żadnych chronionych woluminów. Warto mieć świadomość, że samo hasło odzyskiwania nie spowoduje odblokowania dysku w takim stanie.

Należy podkreślić, że sytuacja ta pojawia się tylko w wyniku celowego ataku zabezpieczeń komputera. W przypadku jej wystąpienia istnieje duże ryzyko, że komputer znajduje się już w rękach złoczyńców poza naszą kontrolą. Sytuacja ta nie pojawia się w wyniku prostej, nieplanowanej modyfikacji platformy lub niezapamiętania kodu PIN.

Do odblokowania woluminu potrzebne są następujące trzy elementy:

  •  Hasło odzyskiwania (w postaci tekstu do wpisania lub przechowywane na dysku flash USB)

  •  Binarny pakiet klucza, który zawiera zaszyfrowane wersje kluczy FVEK oraz VMK

  •  Narzędzie BitLocker Repair Tool

A zatem należy się upewnić, czy korporacja posiada dostęp do wszystkich trzech elementów.

Można stworzyć kopię zapasową hasła odzyskiwania w sposób własnoręczny lub automatyczny. Warto użyć ustawienia Zasad grupy do automatycznego tworzenia kopii zapasowej hasła odzyskiwania w usługach domenowych usługi Active Directory.

Podczas konfigurowania tego ustawienia, w sposób pokazany na Rysunku 3 , należy zaznaczyć opcję tworzenia kopii zapasowej binarnego pakietu klucza. Binarny pakiet klucza zawiera zaszyfrowane wersje kluczy VMK oraz FVEK umożliwiające zastosowanie narzędzia BitLocker Repair Tool, jeśli okaże się to konieczne.

Rysunek 3: Konfigurowanie Zasad grupy w celu dołączenia pakietów klucza do informacji odzyskiwania.

Narzędzie BitLocker Repair Tool zostało zaprojektowane tak, aby pomóc w odzyskiwaniu danych z uszkodzonych dysków z włączoną funkcją BitLocker. Warto zauważyć, że jest to zaawansowane narzędzie, przeznaczone dla doświadczonych administratorów. Aby zdobyć więcej informacji na temat narzędzia BitLocker Repair Tool, warto przeczytać artykuł bazy wiedzy firmy Microsoft o adresie support.microsoft.com/kb/928201 lub obejrzeć webcast autora: "Microsoft BitLocker in the Enterprise: BitLocker Tools to Make Your Life Easier" (zawierający demonstrację na żywo) o adresie go.microsoft.com/fwlink/?LinkId=114985.

Nadszedł odpowiedni moment, aby zaznaczyć, że funkcja BitLocker nie zastępuje konieczności tworzenia kopii zapasowych danych. Nie istnieje żadna gwarancja, że w przypadku uszkodzenia lub celowego zaatakowania dysku narzędzie BitLocker Repair Tool będzie w stanie odzyskać jakiekolwiek, a co dopiero wszystkie dane.

 Do początku strony Do początku strony

Szersze zastosowanie modułu TPM

Z technicznego punktu widzenia nie jest to modyfikacja funkcji BitLocker, ale warto o niej wspomnieć. Przed opublikowaniem dodatku SP1 jedynym składnikiem systemu operacyjnego Windows, który używał modułu TPM, była funkcja BitLocker. Jednak obecnie moduł TPM jest również wykorzystywany przez inne funkcje, między innymi jako źródło o zwiększonej entropii podczas generowania losowych numerów w systemie Windows, co pozwala poprawić jakość różnych mechanizmów szyfrowania (a nawet gier komputerowych).

Jednakże to oznacza również, iż nie wszystkie zdarzenia związane z modułem TPM prezentowane w Podglądzie Zdarzeń (Event Viewer) muszą być związane z funkcją BitLocker. Specjaliści IT powinni mieć świadomość, że inne składniki systemu, a być może również oprogramowanie pochodzące od innych dostawców, mogą i będą wykorzystywać moduł TPM i w związku z tym będą powodować rejestrowanie zdarzeń.

 Do początku strony Do początku strony

BitLocker w systemie Windows Server 2008

Ze względu na wspólny podstawowy kod systemów Windows Vista oraz Windows Server 2008 zmiany funkcji BitLocker wprowadzone w dodatku SP1 stanowią część systemu Windows Server 2008. Ale jakie może być zastosowanie funkcji BitLocker na serwerze? Przecież zadaniem funkcji BitLocker jest ochrona komputera przed atakami w trybie offline. Innymi słowy, funkcja BitLocker nie oferuje żadnej ochrony działających systemów, a przecież serwery zasadniczo powinny być uruchomione przez cały czas.

Jak się jednak okazuje, zdarzają się sytuacje, w których serwer lub twardy dysk z serwera mogą być narażone na ataki w trybie offline. A nawet jeśli nigdy się to nie przydarzy, BitLocker może znacznie pomóc, gdy nadchodzi pora, aby zlikwidować serwer lub dysk twardy, o czym będziemy się mogli za chwilę przekonać. Jednak najpierw przyjrzyjmy się procesowi instalacji i uruchamiania funkcji BitLocker na serwerze.

 Do początku strony Do początku strony

Pozyskiwanie i instalacja funkcji BitLocker

Funkcja BitLocker jest dołączona do wszystkich edycji systemu Windows Server 2008, lecz stanowi opcjonalny składnik, a właściwie funkcję która może być zainstalowana za pośrednictwem Menedżera serwera (Server Manager) lub wiersza polecenia. Funkcja BitLocker jest zainstalowana, po części, jako sterownik filtrowania systemu plików NTFS. Zainstalowanie tego sterownika filtrowania wymaga ponownego uruchomienia komputera, a zatem należy mieć świadomość, że aktywacja funkcji BitLocker na serwerze wiąże się z koniecznością restartu. Ponadto w systemie Windows Vista funkcja BitLocker wymaga konfiguracji z podziałem obciążenia, w której aktywna partycja służąca do uruchamiania komputera pozostaje niezaszyfrowana. Dostępne jest narzędzie BitLocker Drive Preparation, które pomaga w odpowiednim skonfigurowaniu twardego dysku tak, aby wspierał on funkcję BitLocker, gdy serwer nie został odpowiednio prekonfigurowany przez producenta. Jednak osoby, które mają doświadczenie w partycjonowaniu dysku twardego, mogą oczywiście dokonać konfiguracji ręcznie.

Do zainstalowania funkcji BitLocker w systemie Windows Server 2008 można użyć graficznego interfejsu Menedżera serwera, zaznaczając BitLocker na liście funkcji, jak pokazano na Rysunku 4 . Można także użyć interfejsu wiersza polecenia Menedżera serwera, wywołując polecenie:

Rysunek 4: Zaznaczanie funkcji BitLocker w Menedżerze serwera.

ServerManagerCmd –install BitLocker –restart

Menedżer serwera instaluje funkcję BitLocker i narzędzia do zarządzania funkcją BitLocker. Można również zainstalować składniki do zarządzania bez zainstalowania samej funkcji BitLocker. To pozwoli uniknąć konieczności restartu, ponieważ sterownik filtrowania nie zostanie dołączony. Nazwa tego komponentu to "RSAT-BitLocker."

Funkcja BitLocker działa prawidłowo również w instalacji Server Core, ale konfiguracja ta nie umożliwia wykorzystania Menedżera serwera do instalowania funkcji BitLocker na serwerze Server Core ani stosowania graficznego interfejsu użytkownika do zarządzania funkcją BitLocker. Do zainstalowania składników trzeba użyć narzędzi wiersza polecenia pkgmgr lub ocsetup.

Po zainstalowaniu funkcji BitLocker i skonfigurowaniu dysków zgodnie z wymogami podziału obciążenia można włączyć funkcję BitLocker na woluminie systemu operacyjnego. Aplet panelu sterowania funkcją BitLocker w systemie Windows Server 2008 posiada te same ikony i opcje co w systemie Windows Vista SP1. Aby włączyć zaawansowany tryb funkcji BitLocker, należy dostosować domyślne ustawienia przy pomocy edytora zasad lokalnych lub obiektu zasad grupy związanego z serwerem.

W instalacji Server Core lub gdy po prostu nie chce się używać panelu sterowania, można włączyć funkcję BitLocker przy pomocy polecenia manage-bde.wsf. Aby włączyć funkcję BitLocker na dysku C:, należy wpisać:

manage-bde.wsf –on C: -RecoveryPassword –RecoveryKey F:\

gdzie C: to wolumin do zaszyfrowania, a F:\ to klucz USB lub inny wolumin, na którym ma zostać umieszczona kopia klucza odzyskiwania (w formacie binarnym). Można również użyć ścieżki UNC do zapisania klucza odzyskiwania na dysku sieciowym. Wygenerowane i wyświetlone zostanie również hasło odzyskiwania (w numerycznym formacie tekstowym). Gdy posiada się pewność, że platforma sprzętowa spełnia wszystkie wymagania funkcji BitLocker, można dodać parametr –skiphardwaretest. To pozwoli pominąć jeden restart.

 Do początku strony Do początku strony

Scenariusze związane z serwerem

A teraz zajmiemy się omówieniem pewnych szczególnych scenariuszy, w których warto zastosować funkcję BitLocker na serwerze. Należy pamiętać, że jak już wspominaliśmy, funkcja BitLocker została zaprojektowana z myślą o ochronie przed atakami w trybie offline, czyli atakami przeprowadzanymi gdy system Windows nie jest uruchomiony.

Oddziały Jedno z pierwszych i najbardziej oczywistych zastosowań funkcji BitLocker na serwerze wynika ze strategii wdrażania systemu Windows Server 2008 w oddziałach. Pomiędzy jedną czwartą a jedną trzecią serwerów znajduje się w oddziałach, czyli w pomieszczeniach o słabszych zabezpieczeniach fizycznych, ograniczonej dostępności dla działu wsparcia IT, a czasem także gorszej łączności z centrami danych. Oddziały stanowią również atrakcyjne cele ataków. W połączeniu z innymi funkcjami, takimi jak kontrolery służące tylko do odczytu (RODC), funkcja BitLocker może pomóc w ochronie poufnych danych, które ze względu na przydatność muszą być składowane w oddziałach, ale fizyczne ich zabezpieczenie jest często trudniejsze niż zabezpieczenie danych w centrum danych.

Jest to odpowiednia okazja, aby zastanowić się chwilę nad właściwym poziomem ochrony. Które z wymagań jest ważniejsze: zapobieganie nieautoryzowanemu dostępowi do danych czy natychmiastowe i automatyczne przywrócenie serwera? Zdaniem autora w większości oddziałów rozwiązaniem do zaakceptowania jest wymóg wpisania kodu PIN w celu ponownego uruchomienia serwera, lecz ostateczna decyzja należy do firmy.

Przesyłanie dysków Często zdarza się, że trzeba przesłać twardy dysk do odległej lokalizacji. Czasem przesyłany jest jedynie pojedynczy dysk, a czasem cały, prekonfigurowany serwer. W trakcie transportu dane na tych dyskach znajdują się poza kontrolą i mogą zostać skopiowane, zagubione lub skradzione.

W celu zmniejszenia tego ryzyka warto włączyć funkcję BitLocker w woluminach komputera przed przesyłką, a następnie usunąć wszystkie klucze zabezpieczeń za wyjątkiem klucza lub hasła odzyskiwania. Ten klucz lub hasło powinno być przewożone oddzielnie od serwera, przekazane przez telefon lub zaszyfrowany e-mail obsłudze w punkcie odbioru. Po odebraniu komputera lub dysku hasło odzyskiwania posłuży do odblokowania dysku. W zależności od potrzeb dysk może pozostać zaszyfrowany (należy dodać z powrotem zabezpieczenia klucza) lub zostać w pełni zdeszyfrowany po dostarczeniu.

Jest to szczególnie efektywny sposób przekazywania kontrolerów domeny lub serwerów do oddziałów.

Kradzież serwera Jak wspomniano w poprzedniej sekcji, istnieje bardzo rzeczywiste niebezpieczeństwo kradzieży serwera (w szczególności kontrolera domeny). Złodziej może zabrać laptopa, wykorzystując nadarzającą się okazję, lecz serwer może stanowić świadomie wytypowany cel. Jeśli funkcja BitLocker jest skonfigurowana tak, aby wymagać jedynie kontroli integralności modułu TPM, skradziony serwer może zostać po prostu podłączony do prądu i uruchomiony. Natomiast gdy dyski na serwerze są chronione funkcją BitLocker i skonfigurowany jest tryb zaawansowany (wymagający klucza USB, kodu PIN lub obu), złodzieje będą mieli ogromne trudności z pozyskaniem przydatnych informacji w racjonalnym okresie czasu.

Kradzież dysku Natomiast w przypadku kradzieży dysku, moduł TPM nadal stanowi istotne zabezpieczenie. Tylko moduł TPM pochodzący z oryginalnego serwera może posłużyć do odblokowania dysku chronionego funkcją BitLocker, a zatem nie można po prostu włożyć dysku do innego komputera i odczytać go.

Redukowanie ryzyka Zamówienie serwera zawierającego moduł TPM i zastosowanie kontroli integralności platformy BitLocker pozwala zwiększyć ochronę przed pewnymi formami ataków. Funkcja BitLocker wykryje w szczególności zmiany dokonane wtedy, gdy system Windows znajdował się w trybie offline lub zmiany dokonane w komponentach wykorzystywanych podczas uruchamiania, w szczególności gdy instalacja złośliwego oprogramowania, takiego jak rootkit, wymaga ponownego rozruchu. Zdecydowane nie jest to kompletne rozwiązanie, ale w połączeniu z funkcjami takimi jak integralność kodu systemu Windows oraz produktami takimi jak Microsoft® ForefrontTM Client Security zapewnia kolejną efektywną warstwę wielopoziomowej ochrony.

Bezpieczna likwidacja Jedno z najbardziej przydatnych zastosowań funkcji BitLocker występuje na końcu cyklu życia serwera lub dysku. Jakże często słyszy się o serwerach lub ich dyskach porzuconych bez odpowiedniej likwidacji. Czasem zdarza się nawet, że używane twarde dyski sprzedawane są w witrynach aukcyjnych w wyższej cenie niż nowe, ponieważ pozbawieni skrupułów kupcy mają nadzieję, że uda im się uzyskać z nich jakieś przydatne informacje.

Na szczęście zamiast kosztownego i czasochłonnego procesu oczyszczania dysku wypełnionego poufnymi danymi, funkcja BitLocker oferuje inne podejście. Zasadniczo żadne informacje nie są zapisywane na dysku w użytecznym formacie. Ponieważ zaszyfrowane dane nie mogą zostać wykorzystane, można szybko usunąć wszystkie kluczowe informacje. I nie ważne co stanie się ze sprzętem dyskowym po zakończeniu tego procesu, może on zostać sprzedany, poddany recyklingowi bądź przeznaczony na inny cel, bez obaw że dane dostaną się w nieodpowiednie ręce.

W systemach Windows Vista oraz Windows Server 2008 polecenie format zostało zmodyfikowane tak, aby usuwać klucze BitLocker i wykonywać wielokrotne nadpisywanie. Teraz dostępny jest prosty i efektywny sposób likwidowania dysku.

 Do początku strony Do początku strony

Najnowsze wieści

W momencie powstawania tego artykułu, czyli prawdopodobnie kilkanaście tygodni przed jego opublikowaniem, dostępnych było wiele artykułów, dokumentów i bieżących raportów, które dotyczyły pewnych interesujących charakterystyk sprzętu oraz ich wpływu na funkcję BitLocker, inne funkcje zabezpieczeń systemu Windows oraz inne produkty do szyfrowania oferowane przez różnych dostawców. Autor tego artykułu chciałby pokrótce omówić kilka wybranych odkryć.

Jeden z artykułów został opublikowany przez pracowników naukowych z uniwersytetu Princeton University, którzy zademonstrowali (w bardzo efektywny sposób!) cechę nowoczesnej pamięci komputera nazywaną niekiedy "DRAM Remanence" (citp.princeton.edu/pub/coldboot.pdf). W uproszczeniu chodzi o to, że istnieje możliwość uzyskania dostępu do zawartości pamięci komputera przez pewien czas po usunięciu zasilania pamięci. W czasie działania systemu Windows funkcja BitLocker przechowuje w pamięci klucze służące do deszyfrowania danych i istnieją obawy, że klucze te mogłyby zostać pozyskane przez nieautoryzowanych użytkowników.

Adam Boileau w swoje prezentacji (security-assessment.com/files/presentations/ab_firewire_rux2k6-final.pdf) zademonstrował, w jaki sposób standard IEEE 1394 (często nazywany FireWire) umożliwia bezpośredni dostęp do pamięci (DMA), który może zostać wykorzystany do pozyskania sekretnych danych z systemu Windows, takich jak hasła i klucze deszyfrowania. Szczególnie interesujący jest fakt, iż dostęp DMA stanowi niemalże jedno z założeń standardu 1394. Nie jest to wada, lecz raczej zgodne z projektem działanie standardu Firewire.

Oba typy ataków mają jednak wspólną cechę, wymagają fizycznego dostępu do działającego (a przynajmniej niedawno działającego) komputera. Funkcja BitLocker nie została zaprojektowana w celu ochrony przed atakami w trybie online i nie eliminuje konieczności stosowania pewnych fizycznych zabezpieczeń. Odpowiednia wielowarstwowa ochrona wymaga wykorzystania wielu narzędzi i funkcji, stworzenia środowiska zabezpieczonego w sposób fizyczny, wyznaczenia nieodzownych zasad działania korporacji i stałego edukowania użytkowników.

Ponadto nie są to nowe odkrycia. Są one znane już od pewnego czasu i zostały omówione w produkcie Microsoft® Data Encryption Toolkit (DET). Analiza ryzyka dostarczona w produkcie DET ma za zadanie pomóc klientom w zbalansowaniu bezpieczeństwa z użytecznością oraz z kosztem implementacji oraz zarządzania. Nie jest to proste zadanie, jednak firma Microsoft wierzy, że dobrze poinformowani klienci najlepiej poradzą sobie z podjęciem decyzji dotyczących kompromisu między bezpieczeństwem, użytecznością i kosztem.

Poza zestawem narzędzi DET kilku specjalistów z firmy Microsoft dostarczyło doskonałe sprawozdania i wskazówki. Russ Humphries omówił koszt zabezpieczeń w kontekście zjawiska „DRAM Remanence” na swoim blogu o adresie go.microsoft.com/fwlink/?LinkId=115217. A Douglas MacIver opisał dodatkowe, określone ustawienia konfiguracyjne oraz środki zapobiegawcze, które można pojąć już dziś w blogu zespołu System Integrity (SI) pod adresem go.microsoft.com/fwlink/?LinkId=115218. Autor tego artykułu gorąco zachęca do przeczytania obu pomocnych wpisów na blogach. Warto również zapoznać się z dokumentacją DET.

Często pojawiającym się kluczowym zaleceniem jest wykorzystanie trybu zaawansowanego (to znaczy trybu wymagającego użycia klucza USB lub kodu PIN) oraz niepozostawianie komputera bez nadzoru w stanie uśpienia (należy zamiast tego użyć hibernacji).

 Do początku strony Do początku strony

Podsumowanie

Funkcja BitLocker pozostaje jedną z najbardziej przydatnych funkcji systemu Windows Vista. W dodatku SP1 została ona ulepszona w bezpośredniej odpowiedzi na uwagi klientów, którzy prosili o wsparcie dla dodatkowych scenariuszy oraz spełnienie szerszego zakresu potrzeb związanych z zabezpieczaniem danych. Wprowadzenie ochrony danych w stanie spoczynku do systemu Windows Server 2008 stworzyło wiele możliwości w zakresie zabezpieczania danych i utrzymywania zgodności - niezależnie od tego, czy dane znajdują się na serwerach czy na klienckich stacjach roboczych, w centrum danych czy w oddziale, a nawet w rękach mobilnego pracownika.

O autorze

Byron Hynes pełni funkcję Enterprise Technology Strategist w grupie Enterprise and Partner Group (EPG)w firmie Microsoft, koncentrując się na funkcjach i produktach związanych z bezpieczeństwem. Przed dołączeniem do grupy EPG pracował w zespole Windows Server Division oraz współpracował z zespołem BitLocker (System Integrity) od roku 2005. Komentarze i pytania czytelników są mile widziane, można zadać je osobiście na konferencji Tech•Ed 2008 lub przesłać w wiadomości e-mail pod adres bhynes@microsoft.com.

 Do początku strony Do początku strony

Windows Server 2008