Използване на BitLocker за шифроване на сменяем носител (част 1)

Потребителите извън организацията винаги са представяли някои предизвикателства пред персонала по ИТ сигурност. От една страна, мобилните работници се нуждаят от достъп до корпоративни данни от своите лаптопи или мобилни устройства. От друга страна, поставянето на данни на такива устройства излага тези данни на риск да бъдат откраднати, ако устройството бъде загубено или откраднато.

Много организации забраняват на служителите да съхраняват данни на лаптопи и мобилни устройства точно поради тази причина. Този подход обаче не винаги е приложим. Забраната на потребителите да съхраняват данни на лаптопи и мобилни устройства означава, че потребителите трябва да се свързват с интернет, когато се нуждаят от достъп до данни, и както всички знаем, достъпът до интернет не винаги е достъпен. Например някои потребители се опитват да свършат част от работата при дълги полети. Ако обаче потребителят няма достъп до никакви данни без интернет връзка, тогава в този случай се губи време, което в противен случай би могло да бъде изразходвано полезно.

През годините Microsoft създаде редица различни решения, които са предназначени да помогнат за защита на данните, съхранявани на лаптопи. Например в Windows Vista Microsoft въведе BitLocker Drive Encryption. Тази функция ви позволява напълно да шифровате твърдия диск на вашия лаптоп.

Въпреки че BitLocker е значително по-добър от функцията за криптиране на файлове, намерена в Windows XP, тази функция все още има своите ограничения. Например в Windows Vista BitLocker може да шифрова само системния том. Ако компютърът има други томове, трябва да използвате EFS криптиране или продукти за криптиране на трети страни.

Друго съществено ограничение на BitLocker беше неспособността му да криптира сменяеми носители. Въпреки че на пръв поглед това може да изглежда незначително, много е важно да запомните, че USB устройствата са станали повсеместни. Освен това обемът на такива устройства за съхранение се е увеличил експоненциално през последните няколко години. Това означава, че големи количества информация за паметта могат лесно да се съхраняват на малки, евтини устройства, които много лесно се губят и които нямат собствено криптиране. Истинският проблем е, че тъй като USB флаш устройствата са малки и евтини, потребителят може дори да не забележи загубата на такова устройство.

Когато Microsoft създаде Windows 7, една от целите им беше да подобрят BitLocker. Някои от тези подобрения включват следното:

  • BitLocker вече е в състояние да шифрова всички системни томове, не само тези, съдържащи операционната система.
  • Сега системата извършва проверка на целостта като част от процеса на зареждане. Това ви позволява да се уверите, че никой не е подправял компютъра, докато е бил офлайн и че криптираното устройство е в първоначалното си състояние.
  • Сега можете да преместите кодирания твърд диск на друг компютър или да промените дънната платка в криптирана с BitLocker система, без да губите достъп до криптираните данни.
  • Windows защитава системата от атаки със студено зареждане, като изисква от потребителя да въведе ПИН или да включи USB устройство, съдържащо ключова информация, преди да стартира или да се събуди от сън.
  • Ключовете за възстановяване на BitLocker вече се съхраняват в Active Directory. Тези ключове могат да се използват за възстановяване на достъпа до криптирани данни на BitLocker, в случай че потребителят забрави своя ПИН или загуби USB устройството, съдържащо ключовите данни.