Выбор подходящей меры противодействия для защиты BitLocker
В этом разделе описываются лучшие меры противодействия для защиты организации от пакетов программ rootkit и bootkit, подбора паролей, а также атак с использованием Hyberfil.sys, остаточной памяти или прямого доступа к памяти (DMA).
С помощью BitLocker можно защитить компьютеры под управлением Windows 10. Независимо от того, какая у вас операционная система, на устройствах, сертифицированных для использования с Windows, а также сертифицированных корпорацией Майкрософт, есть средства противодействия атакам и улучшения защиты данных. В большинстве случаев эту защиту можно реализовать без необходимости применять предзагрузочную проверку подлинности.
На рисунках 2, 3 и 4 показаны рекомендуемые меры защиты от различных типов атак на компьютеры под управлением последних версий Windows. Оранжевые блоки означают, что требуется изменить параметры системы по умолчанию.
.jpg "Выбор лучших мер защиты для Windows 7")
Рисунок 2. Выбор лучших мер защиты для Windows 7
.jpg "Выбор мер защиты для Windows 8")
Рисунок 3. Выбор лучших мер защиты для Windows 8
.jpg "Выбор мер защиты для Windows 8.1")
Рисунок 4. Выбор лучших мер защиты для Windows 8.1
Новейшие устройства с InstantGo, особенно планшеты, по умолчанию защищены от всех атак, которые могут скомпрометировать ключ шифрования BitLocker. Другие устройства с Windows также могут быть защищены. Атаки с использованием DMA-портов — довольно распространенный вид атак. Но они невозможны на устройствах с InstantGo, так корпорация Майкрософт не допускает присутствие DMA-портов на таких устройствах. Даже на устройствах без InstantGo, в особенности мобильных, DMA-порты в последнее время встречаются крайне редко. Ситуация изменится, если интерфейс Thunderbolt получит широкое распространение, поэтому ИТ-специалистам следует учитывать это при покупке новых устройств. В любом случае DMA-порты можно полностью отключить. Так как их редко используют не разработчики, такой способ защиты набирает популярность.
Атаки с использованием остаточной памяти можно предотвратить, выполнив надлежащую настройку. Если системная память несъемная, такие атаки невозможно совершить общеизвестными способами. Даже если злоумышленники смогут извлечь системную память и поместить в другое устройство, они обнаружат, что такой способ атаки крайне ненадежный. Это показал анализ, сделанный группой DRDC Valcartier (см. документ Подробный анализ атаки, которая выполняется методом "холодной" перезагрузки).
Компьютеры под управлением Windows 7 подвергаются тем же угрозам безопасности, что и новые устройства, но гораздо более уязвимы к атакам с использованием DMA и остаточной памяти. Это происходит потому, что многие из устройств с Windows 7 содержат DMA-порты, не поддерживают безопасную загрузку в UEFI и редко имеют фиксированную память. Чтобы избежать необходимости в предзагрузочной проверке подлинности на устройствах с Windows 7, отключите возможность загрузки на внешний носитель, защитите конфигурацию BIOS паролем и отключите DMA-порты. Если вы считаете, что ваши устройства подвергаются атаке с использованием остаточной памяти, в случае которой системная память может быть извлечена и помещена в другой компьютер для доступа к ее содержимому, рекомендуем протестировать свои устройства на предмет уязвимости к таким атакам.
В результате многие пользователи обнаружат, что предзагрузочная проверка подлинности повышает уровень безопасности только для группы устройств в организации, количество которых постоянно сокращается. Корпорация Майкрософт рекомендует внимательно изучить рассмотренные в этом документе способы атак и меры противодействия, а также оценить устройства, прежде чем принимать решение о внедрении предзагрузочной проверки подлинности. Она может не усилить защиту устройств, а лишь усложнить работу пользователей и повысить расходы на техническую поддержку.