Нещодавно у мене була зустріч з представником одного великого вендора. На цій зустрічі дуже багато було сказано на тему нової програмно-апаратної технології захисту даних Bitlocker. Мій співрозмовник розвіяв багато оман про технології. Тому я не можу не навести частина нашого діалогу для тих, у кого є подібні помилки, які були у мене. Bitlocker не працюватиме на більшості існуючого апаратного забезпечення (технологія вимагає не тільки оновлення ОС до Windows Vista, але також покупку нового апаратного забезпечення).
Як правило, користувачі змінюють свою ОС на нову одночасно з придбанням нового комп'ютера. Тим не менш, покупка материнської плати з TPM-чіпом не є обов'язковою умовою використання Bitlocker. Альтернативою використанню специфікації TPM 1.2 (Trusted Platform Module) для зберігання ключа може стати використання USB-драйву. По-моєму скромному думку, вбудований TPM більш зручний і не вимагає додаткових маніпуляцій.
Немає інформації про те, як буде реагувати система на різні оновлення та патчі.
Вибачте, хіба не Microsoft розробила дану технологію? Хто краще за неї знає про можливий вплив технології на роботу системи в цілому? Тільки оновлення BIOS може позначитися на перевірці BitLocker, але вендори вже знають, як впоратися з такою неприємністю.
Технологія не зможе забезпечити захист кожного комп'ютера мережі, що працює під управлінням Windows Vista.
Поки про впровадження BitLocker говорити рано, але багато компаній перейдуть до його використання досить швидко, так як вплив технології на спільну роботу і витрати на використання технології зведені до мінімуму.
BitLocker - більш масштабируемая і автоматизована технологія в порівнянні з пропонованими сьогодні рішеннями. Все Vista-TPM системи легко шифруються, а інформація для відновлення може автоматично зберігатися і зберігатися в Active Directory. Інші рішення вимагають окремої інфраструктури або спільного використання файлів.
Безпека технології не підтверджена сторонніми компаніями і тому може бути з легкістю обійшли.
В якості одного з найважливіших компонентів захисту Windows Vista технологія BitLocker пройшла офіційне і неофіційне тестування багатьма компаніями, урядами та спеціальними структурами різних країн.
Відсутні сертифікати безпеки (FIPS, Common Criteria).
BitLocker в даний момент тестується на відповідність стандартам FIPS 140-2 і Common Criteria EAL-4.
Користувач з привілеями адміністратора може відключити шифрування.
Вельми логічно, що локальний адміністратор ПОВИНЕН мати можливість управління статусом BitLocker на конкретному локальному комп'ютері. Єдине рішення в такій ситуації - переконатися, що користувачі локального комп'ютера мають стандартний обліковий запис. Як варіант, можна заборонити доступ до всіх, крім себе, в панелі управління, що дозволяє включати або відключати BitLocker.
Захищена тільки сама ОС - залишилися розділи диска не зашифровано.
Захищена не тільки ОС, але і весь жорсткий диск. BitLocker здійснює на рівні сектора шифрування всього диска, включаючи ОС, файл підкачки, тимчасові файли, призначені для користувача дані, і т.д. Навіть вільні сектори шифруються. Це означає, що ніхто, крім власника, не зможе вважати важливу інформацію з жорсткого диска.
Вірно, що за замовчуванням за допомогою графічного інтерфейсу Windows Vista не вдасться захистити розділи, розташовані поза основним розділу з ОС, але ж можна зробити це за допомогою скриптів через консоль. Але робіть це тільки в разі, якщо ви дійсно знаєте, що робити.
Longhorn Server включає повну підтримку шифрування декількох розділів, а після появи RTM підтримка мульти-розділів перебереться в Enterprise і Ultimate SKU.
У користувача більш не буде можливості завантажитися з CD або іншого зовнішнього пристрою.
Неправда, можна завантажуватися з будь-якого бажаного пристрою. Якщо ви хочете скористатися інформацією на зашифрованому диску, використовуючи при цьому завантажувальний диск, вам буде потрібно Vista-версія відомої утиліти WINPE. Це дозволить вам отримати доступ до інформації на жорсткому диску, звичайно ж, після того як система отримає від вас ключ.
Утиліти типу Bart PE і ERD commander буде неможливо використовувати.
Знову неправда, просто потрібно, скажімо так, VistaPE. Логічно, що потрібна більш нова версія.
Відсутня можливість підключення slave-драйву.
Можливість підключення жорсткого диска в режимі «slave» нікуди не поділася, просто для цього додаткові дії: підключаєте диск і виконуєте команду на монтування диска, підтвердивши свої наміри наявним ключем.
Складно налаштувати, особливо віддалено.
Адміністрування і TPM і BitLocker може здійснюватися віддалено і автоматично. BitLocker створювався з метою забезпечити просту, потужну, масштабовану безпеку як домашнім користувачам, так і сотням тисяч корпоративних користувачів.
Відновлення неможливо, якщо користувач втратить ключі або з ними щось станеться.
Ні, BitLocker забезпечує безліч опцій для відновлення, включаючи тісну інтеграцію з Active Directory. Жорсткі диски можуть переміщатися в інші системи, TPM-чіп може бути пошкоджений, але у користувачів все ще залишиться можливість відновлення інформації. Навіть з сотнями тисячами користувачів адміністратори IT-відділів з легкістю можуть ідентифікувати і отримувати інформацію для відновлення для конкретного комп'ютера, відповідно відновити працездатність, що дозволить користувачам швиденько повернутися до роботи. Active Directory може також зберігати інформацію про ключі, що дозволить відновити інформацію навіть на сильно пошкоджених дисках.
Користувача попросять роздрукувати пароль (рекомендується роздрукувати пароль і зберегти в декількох місцях).
Якщо ви користуєтеся графічним інтерфейсом, то на 99% ви - домашній користувач. Домашнім користувачам представляється безліч варіантів зберігання інформації для відновлення, включаючи зберігання на медіа-носіях, друк пароля і безкоштовний веб-сервіс для зберігання ключа, що надається користувачам Windows Vista Ultimate Edition.
Якщо ж ви є адміністратором комп'ютерної мережі будь-якої компанії, вам буде доступний скриптова інтерфейс і приклад для включення / відключення BDE. Це дозволить пропустить кроки, запропоновані домашнім користувачам.
На етапі завантаження доступ до системи можливий тільки за допомогою клавіш F (F1-F10), що не дуже зручно.
BitLocker забезпечує захист комп'ютера безпосередньо з моменту включення, тобто до того, як будь-який додаток може завантажитися. Інформація для відновлення (в разі необхідності) також запитується на початку процесу завантаження, що позбавляє атакуючого шансів впровадити свій шкідливий код. Так як клавіатури відрізняються, а багато систем навіть не розпізнають натискання цифрових клавіш практично до завершення процесу завантаження, то для того, щоб користувачі могли отримати доступ до своїх комп'ютерів на ранньому етапі завантаження, Microsoft вирішила використовувати клавіші F (F1-F10). Крім того, у атакуючого знову немає тих можливостей, що були б доступні використовуй Microsoft інший спосіб доступу.
Поки Bitlocker не готовий і в його роботі є ще багато невідомих.
Це правда, технологія поки недоступна, але якщо Microsoft буде йти наміченим курсом, то BitLocker буде готовий через пару місяців.
Сподіваюся, що це допоможе відповісти на деякі питання про роботу технології Bitlocker.