Жан де Клерк (jan.declercq@hp.com) — сотрудник Security Office компании HP. Специализируется на управлении идентификационными параметрами и безопасностью в продуктах Microsoft

Windows BitLocker Drive Encryption — компонент, предназначенный для защиты данных и впервые реализованный в Windows Vista. Шифрование данных, сохраненных на клиентской и серверной платформах Windows, выполняется на уровне томов. Данные защищены, когда компьютер Windows находится в автономном режиме (например, при отключенной операционной системе) и, например, в случае кражи ноутбука.

В последующих версиях Windows усовершенствованная функциональность BitLocker распространилась на разнообразные типы носителей и устройств. В первой версии BitLocker в составе Vista и Windows Server 2008 можно было защитить только один том, содержащий операционную систему. В Vista SP1 и Server 2008 появилась возможность защитить различные тома, в том числе локальные тома данных. Windows 7 и Server 2008 R2 дополнены функциями BitLocker для съемных томов данных (карт памяти и внешних накопителей); в Microsoft эту функцию называют BitLocker To Go. В следующей версии Windows с условным названием Windows 8 защита BitLocker охватит тома в отказоустойчивых кластерах и сети хранения данных SAN.

.

Предварительная подготовка BitLocker

Администраторы Windows 8 могут задействовать BitLocker до установки операционной системы. Специалисты Microsoft называют эту процедуру предварительной подготовкой BitLocker.

Благодаря предварительной подготовке пользователи могут быстро защитить свои данные с помощью BitLocker. Включая BitLocker после установки Windows, они не будут ждать окончания процесса шифрования. В Vista и Windows 7 приходилось дожидаться, пока завершится установка Windows, будет включен BitLocker и пройдет весь процесс шифрования.

В ходе предварительной подготовки Windows формирует случайный ключ шифрования, который используется BitLocker для шифрования тома. Специалисты Microsoft назвали случайный ключ шифрования clear protector, так как он хранится на диске незащищенным. После установки Windows пользователи смогут полностью защитить ключ шифрования для предварительно подготовленного тома, включив BitLocker на томе и выбрав метод разблокирования BitLocker.

Администраторы могут включить предварительную подготовку BitLocker из среды Windows Preinstallation Environment (WinPE) с помощью запускаемой из командной строки утилиты Manage-bde. WinPE представляет собой упрощенную среду Windows, используемую для установки операционной системы Windows. Например, чтобы подготовить BitLocker к работе с диском F, введите следующую команду в строке WinPE:

manage-bde -on f:

Обратите внимание, что для работы Manage-bde в WinPE требуется специализированный образ WinPE. По умолчанию WinPE не содержит инструмента Manage-bde или объектов WMI, необходимых для Manage-bde. Чтобы создать специальный образ WinPE, необходимо добавить компоненты WinPE-WMI и WinPE-SecureStartup, как описано в статье Microsoft «Building a Windows PE Image with Optional Components» (http://technet.microsoft.com/en-us/library/hh824926.aspx).

В целях предварительной подготовки разработчики Microsoft вводят новое состояние BitLocker для томов: BitLocker Waiting for Activation. Когда том подготовлен, он отображается вместе с состоянием и желтым восклицательным знаком в разделе BitLocker Drive Encryption панели управления, как показано на экране 1 для диска F. Восклицательный знак напоминает, что ключ шифрования пока не защищен.

 

Коды состояния Windows 8 BitLocker
Экран 1. Коды состояния Windows 8 BitLocker

Как и при обычной активизации BitLocker, можно использовать программу BitLocker Drive Encryption, инструмент командной строки Manage-bde или команды Windows PowerShell BitLocker, чтобы включить BitLocker после завершения предварительной подготовки. В зависимости от защищаемого тома, можно применить один из следующих методов включения BitLocker.

* Пять вариантов для дисков операционной системы:

— только Trusted Platform Module (TPM);

— TPM и PIN;

— TPM и ключ запуска;

— TPM, PIN и ключ запуска;

— только ключ запуска.

* Три варианта для фиксированных и сменных дисков данных:

— пароль;

— смарт-карта;

— автоматическое разблокирование.

В статье Microsoft «How Strong Do You Want the BitLocker Protection?» (http://technet.microsoft.com/en-us/library/ee706531%28v=ws.10%29.aspx) приводится хорошее сравнение методов разблокирования, их преимуществ и недостатков.

Шифрование только используемого пространства диска

Новый режим Windows 8 BitLocker позволяет шифровать исключительно используемое пространство на зашифрованном томе. В результате значительно ускоряется шифрование пустых или частично заполненных томов. В предыдущих версиях Windows существовал единственный режим шифрования: как данных, так и пустого пространства.

Администраторы могут совмещать шифрование только используемого пространства диска с предварительной подготовкой BitLocker. Время шифрования в основном пустых дисков измеряется секундами, и процесс легко запустить автоматически, с помощью Manage-bde или команды BitLocker PowerShell.

Чтобы включить режим шифрования только занятого пространства диска или полного шифрования на клиентских компьютерах, входящих в состав домена, администраторы могут воспользоваться новым набором настроек объекта групповой политики (GPO) в контейнере Computer Configuration\Administrative Templates\Windows Components\ Bitlocker Drive Encryption. Новый параметр Enforce drive encryption type применяется к дискам с операционной системой, фиксированным дискам и сменным дискам, содержащим данные.

Естественно, эти настройки не действуют при предварительной подготовке: объекты GPO нельзя применить до того как будет установлена Windows. Если администраторы не задают параметры GPO или назначают типовой режим Allow user to choose («Разрешить пользователю сделать выбор»), то пользователи могут выбрать режим шифрования в мастере BitLocker Setup Wizard при включении защиты BitLocker для тома из интерфейса Windows, как показано на экране 2.

 

Экран выбора шифруемой части диска
Экран 2. Экран выбора шифруемой части диска

Специалисты Microsoft рекомендуют шифровать только используемое пространство диска исключительно на новых компьютерах и томах. Полное шифрование — предпочтительный вариант для уже используемых томов. Дело в том, что свободное пространство на используемом томе может содержать ценные и извлекаемые данные, и только полное шифрование гарантирует полную защиту.

При запуске BitLocker из командной строки с использованием Manage-bde и ключа -on, применяется полное шифрование. Если нужно шифровать только используемое пространство, необходимо указать ключ -usedspaceonly после ключа -on, как показано на экране 3.

 

Использование инструмента командной строки Manage-bde
Экран 3. Использование инструмента командной строки Manage-bde

Изменение PIN-кода и пароля пользователя

Особенность BitLocker, благодаря которой существенно сокращается и упрощается развертывание в Windows 8 — предоставление обычному пользователю (не администратору) возможности изменить PIN-код BitLocker (для дисков с операционной системой) или пароль (для фиксированных дисков с данными). Таким образом, ИТ-персонал может включить BitLocker и установить один и тот же PIN-код и пароль на всех образах операционной системы компьютера в ходе автоматизированного процесса развертывания Windows. Затем пользователи могут изменить первоначальный PIN-код и пароль.

В Windows 8 обычным пользователям по умолчанию разрешается изменить PIN-код и пароль тома для BitLocker. В программе BitLocker Drive Encryption действия Change PIN и Change password не отмечены пиктограммой щита, как показано на экране 1. Изменить этот режим можно с помощью параметра Disallow standard users from changing the PIN or password в GPO-контейнере Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives. Хотя этот параметр отображается только в контейнере Operating System Drives, он действует как на тома с операционной системой, так и на фиксированные тома данных.

Обычные пользователи могут изменить пароль или PIN-код, только если им известны текущие пароль и PIN-код. После того, как число попыток исчерпано, пользователю запрещается изменять PIN-код или пароль. Значение счетчика попыток можно сбросить в ноль, когда администратор изменяет PIN-код или пароль тома, либо компьютер перезагружается.

Кроме того, эта функция позволяет пользователям менять свои PIN-коды и пароли. Часто такая возможность отрицательно сказывается на безопасности: пользователи имеют склонность выбирать простые пароли и PIN-коды. Поэтому нужно всегда использовать параметры GPO для назначения пароля и правил сложности BitLocker. Контролировать сложность паролей можно с помощью GPO-параметра Configure use of passwords for, доступного для каждого из трех защищаемых типов дисков (операционная система, фиксированный диск с данными, съемный диск с данными) в GPO-контейнере Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption, как показано на экране 4 для фиксированных дисков с данными. Чтобы применить требования к сложности пароля, необходимо убедиться, что включен GPO-параметр Password must meet complexity requirements («Пароль должен отвечать требованиям сложности») в разделе Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy. В Windows 8 этот параметр активен по умолчанию.

 

Настройка использования паролей для?фиксированных дисков с данными
Экран 4. Настройка использования паролей для?фиксированных дисков с данными

Network Unlock

Network Unlock — новый метод разблокирования для защищенных BitLocker томов с операционной системой. Network Unlock обеспечивает автоматическое (без участия пользователя) разблокирование томов с операционной системой, когда происходит загрузка настольного компьютера или сервера Windows, входящего в состав домена. В прежних версиях Windows для защищенных томов с операционной системой, разблокируемых с помощью комбинации TPM-секрета и PIN-кода, администратору приходилось вводить PIN-код каждый раз при загрузке или выходе компьютера из состояния гибернации. Из-за этого требования трудно автоматически устанавливать программные продукты и обновления на таких компьютерах.

Network Unlock использует метод разблокирования TPM и ключ запуска. Вместо чтения ключа запуска с USB-носителя, Network Unlock использует ключ разблокирования. Этот ключ состоит из ключа, сохраненного в локальном модуле TPM компьютера, и ключа, полученного Network Unlock от сервера Windows Deployment Services (WDS) Windows 8 в доверенной сети. Если сервер WDS недоступен, то BitLocker отображает типовой экран разблокирования ключа запуска.

Администраторы могут использовать новый GPO-параметр Allow Network Unlock at startup для выбора клиентских компьютеров, на которых можно задействовать Network Unlock. Этот параметр находится в GPO-контейнере Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives.

Для обмена ключами между защищенным клиентом и WDS-сервером используется протокол DHCP. Для роли WDS-сервера Windows 8 необходимо установить дополнительную функцию BitLocker Network Unlock, которая позволит WDS-серверу обрабатывать и отвечать на входящие DHCP-запросы Network Unlock. На экране 5 показано, как установить функцию BitLocker Network Unlock для роли WDS-сервера в мастере Windows 8 Add Roles and Features Wizard.

 

Добавление функции BitLocker Network Unlock для роли WDS-сервера
Экран 5. Добавление функции BitLocker Network Unlock для роли WDS-сервера

На клиентской стороне необходимо наличие драйвера DHCP в интерфейсе Unified Extensible Firmware Interface. UEFI — отраслевая спецификация, которая определяет программный интерфейс между операционной системой и микропрограммами платформы.

Для WDS-сервера также требуется специальный сертификат X.509, сопровождающий частный ключ; сертификат должен присутствовать на всех клиентах, использующих Network Unlock. Более подробные сведения о требованиях сертификата X.509, способах его создания и рассылки клиентам можно найти в руководстве Microsoft «Understand and Troubleshoot BitLocker in Windows Server '8' Beta"(http://www.microsoft.com/en-us/download/details.aspx?id=29032).

Расширенная поддержка хранения данных

Область применения BitLocker в Windows 8 расширена и охватывает данные на томах отказоустойчивого кластера и в сетях SAN. Windows Server 8 BitLocker позволяет создавать зашифрованные тома в отказоустойчивом кластере Windows. Это относится как к физическим дисковым ресурсам, единовременно доступным только по одному кластерному узлу, так и к общим томам кластера (CSV), доступным сразу из нескольких узлов. Для работы с CSV требуется версия 2.0 (CSv2.0), реализованная в Windows Server 2012.

Кроме того, теперь BitLocker защищает тома с операционной системой и данными, сохраненные в сетях SAN и доступные через интерфейсы iSCSI и Fibre Channel. BitLocker для хранилищ SAN обеспечивает шифрование только используемого пространства на диске, что важно для больших томов данных.

И наконец, Windows 8 BitLocker совместим с новым типом дисков, обеспечивающих аппаратное шифрование: Encrypted Hard Drives (EHD). Компания Microsoft предоставляет встроенный интерфейс для управления дисками EHD и BitLocker; в сущности, этот интерфейс представляет собой расширение программы BitLocker Drive Encryption. В EHD и BitLocker используются различные подходы к шифрованию. BitLocker защищает тома с системой и данными на уровне томов программными методами.

Метод EHD обеспечивает полное аппаратное шифрование диска Full Disk Encryption (FDE). FDE выполняется на уровне диска (то есть для каждого блока физического диска). Аппаратное шифрование, выполняемое контроллером диска, отличается высокой эффективностью.

В Windows 8 диспетчер устройств обнаруживает EHD-диски и интегрирует их с операционной системой. EHD-диски для Windows 8 должны соответствовать определенным стандартам Trusted Computing Group (TCG) и IEEE 1667. Дополнительные сведения о EHD и поддержке хранилищ SAN и отказоустойчивых кластеров со стороны BitLocker можно найти в материале "Understand and Troubleshoot BitLocker in Windows Server '8' Beta».

BitLocker был заметно усовершенствован со времени реализации в Vista. Благодаря добавлению новых и оптимизации существующих функций возможности применения BitLocker стали значительно шире. Компания Microsoft приложила огромные усилия, чтобы упростить и сделать более удобной документацию по BitLocker. Хороший пример — недавно выпущенные вопросы и ответы по BitLocker. Не забудем и об инструменте Microsoft BitLocker Administration and Monitoring (MBAM). Несомненно, BitLocker теперь гораздо эффективней и удобней для использования в компаниях, чем раньше.