Включение в Windows Vista™ эффективных технологий и служб, которые устраняют риск разглашения или кражи данных, было одним из основных требований клиентов к корпорации Майкрософт. Причина этого отчасти в том, что злоумышленники могут использовать альтернативную операционную систему на клиентском компьютере, перенести его диск на другой компьютер или использовать иные способы автономной атаки для просмотра данных на потерянных или похищенных компьютерах. Во многих случаях последние законодательные и государственные нормы, направленные на защиту информации и конфиденциальности, также требуют защиты данных.

По этим причинам корпорация Майкрософт разработала новые и улучшила существующие возможности и службы, чтобы помочь организациям лучше защищать данные на клиентских компьютерах. Возможности и службы, которые рассматриваются в этой главе, предназначены для защиты данных на клиентских компьютерах под управлением Windows Vista в среде Enterprise Client. Конфигурация этих возможностей зависит от конкретных требований и среды. В главе описан процесс определения необходимой настройки следующих возможностей и служб для повышения соответствия требованиям к защите данных:

• шифрование диска BitLocker™;
• шифрованная файловая система (EFS);
• служба управления правами (RMS);
• управление устройствами.

Шифрование диска BitLocker позволяет защитить данные на клиентском компьютере. Весь том Windows шифруется для предотвращения нарушения защиты файлов Windows и системы, а также автономного просмотра злоумышленниками информации на защищенном диске. В самом начале загрузки BitLocker проверяет целостность системы и оборудования клиентского компьютера. При обнаружении попытки несанкционированного доступа к любым системным файлам или данным загрузка клиентского компьютера прекратится.

BitLocker не позволяет злоумышленникам, которые используют другую операционную систему или запускают средства для атаки, обходить защиту файлов и системы Windows Vista или автономно просматривать файлы, хранящиеся на защищенном диске.

Шифрование диска BitLocker позволяет заблокировать нормальную последовательность загрузки до ввода пользователем персонального идентификационного номера (ПИН) или вставки флэш-накопителя USB с соответствующими ключами дешифрования. Максимальная защита обеспечивается при наличии на компьютере доверенного платформенного модуля 1.2, защищающего данные пользователей и предотвращающего несанкционированный доступ к автономному клиентскому компьютеру под управлением Windows Vista. Спецификации и материалы о технологии доверенного платформенного модуля см. на веб-узле группы Trusted Computing Group (на английском языке). Если доверенный платформенный модуль недоступен, BitLocker защищает данные, но проверка целостности системы не выполняется.

Технология BitLocker доступна в выпусках Windows Vista Enterprise Edition и Ultimate Edition для клиентских компьютеров.

Примечание.   Технология BitLocker обеспечивает защиту раздела Windows и не заменяет файловую систему EFS. Она не шифрует данные, которые не хранятся в разделе Windows, но обеспечивает дополнительный уровень защиты для файловой системы EFS благодаря шифрованию ключей EFS в разделе Windows.
Оценка риска

Мобильные компьютеры обычно используются в незащищенных средах, в которых существует высокий риск их хищения или потери. Если злоумышленники получат физический контроль над системой, они могут обойти многие из мер безопасности, предназначенных для защиты системы и данных. Настольные компьютеры с общим доступом также подвержены значительному риску. Технология BitLocker прежде всего предназначена для снижения риска хищения данных с утерянных или похищенных компьютеров.

Если злоумышленник получит физический доступ к компьютеру, это может иметь следующие последствия.
• Злоумышленник может войти в систему Windows Vista и скопировать файлы.
• Злоумышленник может запустить на клиентском компьютере другую операционную систему, чтобы:
• посмотреть имена файлов;
• скопировать файлы;
• прочитать содержимое файла спящего режима или файла подкачки для обнаружения копий    обрабатываемых документов в виде открытого текста;
• прочитать содержимое файла спящего режима для обнаружения копий закрытых ключей программного обеспечения в виде открытого текста.

Даже если файлы зашифрованы с помощью EFS, невнимательный пользователь может переместить или скопировать файл из зашифрованного расположения в незашифрованное, что приведет к тому, что информация в файле будет иметь формат открытого текста. Кроме того, ИТ-персонал, не знающий о требованиях, может не зашифровать скрытые папки, в которых приложения хранят резервные копии обрабатываемых файлов. Существуют также эксплуатационные риски, такие как получение доступа неавторизованными сотрудниками или изменение системных и корневых файлов, которое может препятствовать нормальной работе системы.
Снижение рисков

Чтобы снизить эти риски, необходимо защитить последовательность загрузки компьютера так, чтобы система запускалась только тогда, когда это разрешено. Кроме того, следует защитить операционную систему и файлы данных.
Сведения о снижении рисков

Технология BitLocker может снижать риски, определенные в предыдущем разделе "Оценка рисков". Тем не менее перед использованием BitLocker важно рассмотреть следующие требования и лучшие решения для этой возможности защиты данных.
• Чтобы использовать оптимальную конфигурацию BitLocker, на клиентском компьютере должна быть установлена системная плата с микросхемой доверенного платформенного модуля 1.2, а реализация BIOS должна соответствовать требованиям Trusted Computing Group. Кроме того, может требоваться ключ запуска, который является дополнительным уровнем проверки подлинности. Ключ запуска — это либо дополнительный физический ключ (флэш-накопитель USB с записанным ключом, читаемым компьютером) или устанавливаемый пользователем ПИН. Также требуются надежные протоколы входа пользователей и паролей.
• Для использования BitLocker необходимо правильно разбить жесткий диск компьютера на разделы. Для шифрования BitLocker требуются два тома с файловой системой NTFS: системный том и том операционной системы. Раздел системного тома должен иметь объем не менее 1,5 ГБ.
• Конфигурации BitLocker, в которых не используется проверка подлинности с помощью внешнего ключа, могут быть подвержены атакам на базе оборудования.
• Если BitLocker используется с ключом USB или ПИН, необходимо определить действия при потере ключей и ПИН.
• Технология BitLocker оказывает небольшое влияние на производительность системы, которое обычно незаметно. Тем не менее если производительность системы очень важна (как в случае с серверами), необходимо тщательно протестировать конфигурацию, чтобы гарантировать, что использование ресурсов технологией BitLocker не приводит к существенному снижению производительности.
• В зависимости от поставщика компьютера средства управления доверенным платформенным модулем могут требовать настройки вручную состояния устройства с доверенным платформенным модулем и установки пароля администратора в BIOS во время сборки, что сделает невозможным полностью автоматизированное развертывание и обновление системы на основе сценариев.
• Чтобы использовать устройство с доверенным платформенным модулем, к нему должен быть применен ключ подтверждения (EK), который может предоставить поставщик компьютера или продавец, создающий добавочную стоимость товара, а также (после поставки системы) ИТ-персонал. Ключ EK необходимо защищать и отслеживать при использовании компьютера.
• Если на компьютере отсутствует доверенный платформенный модуль, он должен поддерживать использование устройств USB при запуске, что дает возможность применять ключ запуска для разблокировки тома при загрузке.
• BitLocker может влиять на процедуры распространения программного обеспечения, если программное обеспечение и обновления системы распространяются удаленно и в ночное время, а компьютеры перезагружаются без участия пользователей. Пример.
• Если на компьютере в качестве предохранителя используется доверенный платформенный модуль и ПИН или доверенный платформенный модуль и ключ запуска, а в 2:00 производится развертывание обновления программного обеспечения, которое требует перезагрузки компьютера, компьютер не перезагрузится без ввода ПИН или ключа запуска.
• Если для включения компьютеров в целях обслуживания используются функции пробуждения по сети или автоматического включения BIOS, на эти компьютеры будут также влиять доверенный платформенный модуль и ПИН или ключ запуска.
• Обновления микропрограмм BIOS и доверенного платформенного модуля, распространяемые изготовителем оборудования, могут влиять на компьютеры с поддержкой BitLocker. Просмотрите инструкции изготовителя оборудования по установке, чтобы определить, будут ли сохраняться данные для восстановления (пароли и ключи для восстановления) после обновления, а также будут ли сохраняться дополнительные предохранители (ПИН или ключи запуска).
• На компьютеры с поддержкой BitLocker могут влиять обновления приложений. Если во время установки или обновления изменяется диспетчер загрузки или файлы, которые оценивает BitLocker, произойдет сбой при загрузке системы и компьютер перейдет в режим восстановления. Перед установкой или обновлением приложений, которые влияют на среду загрузки Windows Vista, протестируйте их на компьютерах с поддержкой BitLocker.
• На всех контроллерах домена в домене должна быть запущена система Microsoft® Windows Server® 2003 с пакетом обновления 1 (SP1) или более поздней версии.

Примечание.   Windows Server 2003 требует расширить схему для поддержки хранения данных для восстановления BitLocker в службе каталогов Active Directory®.
Процесс снижения рисков

Используйте следующий процесс снижения риска, чтобы определить наилучший способ настройки BitLocker для защиты конфиденциальных данных на клиентских компьютерах.

Чтобы использовать этот процесс снижения риска

1.Изучите технологию и возможности BitLocker.

Примечание.   Дополнительные сведения о BitLocker см. на странице Шифрование диска BitLocker веб-узла Microsoft TechNet® (на английском языке).

2.Оцените потребность в BitLocker в существующей среде.

3.Проверьте, соответствуют ли все микропрограммы, оборудование и программное обеспечение, используемые в организации, требованиям BitLocker.

4.Определите системы в организации, которым требуется защита BitLocker.

5.Определите необходимый уровень защиты. Для запуска операционной системы может требоваться ПИН или ключ USB с ключами шифрования. Операционная система не будет запускаться без этих ключей.

6.Установите необходимые драйверы в тестовой системе.

7.Настройте BitLocker в тестовых системах с помощью объектов групповой политики.

8.После успешного завершения тестирования установите драйверы и настройте BitLocker в рабочих системах.
Использование групповой политики с BitLocker для снижения риска

Корпорация Майкрософт рекомендует использовать два шаблона групповой политики для управления конфигурацией BitLocker. Эти шаблоны позволяют управлять конфигурацией доверенного платформенного модуля отдельно от других параметров BitLocker. В следующей таблице указаны параметры групповой политики для BitLocker, доступные в шаблоне VolumeEncryption.admx. Эти параметры можно настроить в следующем разделе редактора объектов групповой политики: