За последний год ничего не подозревающие компании всех отраслей не раз оказывались жертвой целенаправленных атак. В большинстве случаев результатом были значительные нарушения безопасности данных, конфиденциальных для клиентов и сотрудников. Шифрование данных — исчерпывающий метод, который позволяет защитить данные от многих внутренних и внешних угроз через управление ключами и защиту конечных точек. Как и со всеми решениями, относящимися к безопасности, дело здесь не в эффективности, а в возможных способах управления.

Компания Microsoft предлагает программный метод шифрования BitLocker. Это хороший, надежный механизм шифрования, и он бесплатно поставляется вместе с операционной системой, что существенно расширяет аудиторию пользователей. Однако используется модель распространения, в рамках которой требуется доплата за компонент Microsoft BitLocker Administration and Monitoring (MBAM), необходимый для эффективного управления BitLocker на предприятии.

ИТ-специалисты предупреждают, что MBAM приносит очень много хлопот, и количество времени, которое придется потратить на подготовку и обучение, заметно влияет на совокупную стоимость владения. Так, для работы с MBAM требуется знание многочисленных сопутствующих программ, в том числе SQL Server, System Center Configuration Manager, Active Directory, Group Policy Object и Internet Information Services.

MBAM свойственны три основных ограничения, о которых следует знать ИТ-специалистам, планирующим развертывание компонента для управления шифрованием BitLocker.

1. Управление ключами

Главный недостаток MBAM — отсутствие возможностей управления ключами. Управление ключами MBAM выполняется на уровне устройств и обходится без общей центральной консоли для всех зашифрованных конечных точек. Это отражается на возможностях извлечения паролей и управления политикой для сменных носителей, папок и файлов.

Кроме того, MBAM не обеспечивает предзагрузочную проверку подлинности на уровне пользователей, а это приводит не только к уязвимости данных, но и отражается на удаленном управлении.

2. Проверка подлинности

MBAM обеспечивает безопасную автоматическую разблокировку сети для механизма шифрования; однако это не полная защита, так как в нее не входит одно- и многофакторная проверка подлинности на уровне пользователей на основе таких средств проверки подлинности, как токены, смарт-карты и биометрия.

В более эффективных решениях управления администраторы могут назначать и применять политики независимо от конкретного механизма на конечной точке. В частности, они охватывают подготовку пользовательского доступа и помощь пользователям в восстановлении забытых паролей.

При необходимости подключаются дополнительные возможности, от отправки устройству учетных данных (или ключей) до автоматического разблокирования без вмешательства пользователя, отключения устройства и запуска операции уничтожения всех данных с жесткого диска с затиранием. Чаще, если назначена политика, разрешающая доступ определенному пользователю, центральный диспетчер ключей отправляет учетные данные (или ключи), необходимые для дешифрации или разблокирования накопителя, защищенного паролем или смарткартой. Затем проверка подлинности пользователя осуществляется локально.

Чтобы выполнить все эти действия, можно воспользоваться средством управления, в котором используется предзагрузочная проверка подлинности на уровне сети для связи с центральным диспетчером ключей или Active Directory, и проверить подлинность ключей и хранимых учетных данных как локально, так и дистанционно.

3. Сфера применения

Наконец, MBAM работает исключительно с операционными системами Microsoft и несовместим с другими системами. Он непригоден для управления Apple FileVault2, Linux и не работает даже с накопителями с самошифрованием в Windows 7.

В целом Microsoft BitLocker — хороший, надежный механизм шифрования для Windows, но средство управления Microsoft для BitLocker, MBAM, может принести больше хлопот, чем пользы. Если по прочтении этой статьи вы задумались об изъянах и ограничениях MBAM, учитывайте сказанное выше при поиске решения для управления шифрованием, чтобы задействовать все возможности BitLocker при наименьшей совокупной стоимости владения.

Гарри Маккрекен (Garry.mccracken@winmagic.com) — специалист по вопросам безопасности информации и передачи данных, опыт работы более 30 лет.