It's 11 pm. Do you know where your data is?

Don't want to see Ads? Register for your free dotSUB account here!

Duration: 1 hour, 16 minutes and 6 seconds

Country: United States

Language: English

License: CC - Attribution Non-commercial No Derivatives

Genre: Instructional

Views: 269 (166 embedded)

Posted by: undsoft on Jun 18, 2009

Steve Reily speaks on BitLocker, RMS and EFS. Interesting.

Report this video as offensive

Translate and Transcribe

Embed Video
Embed normal player
Embed a smaller player
Advanced Embedding Options
Embedding Options

Size:

Language:

Embed Code
Invite a user to dotSUB

Your invitation to join dotSUB was successful

There was an error inviting that user to dotSUB

Video Transcription

Show in new window

В последнее время судя по всему становится популярным использовать страх в качестве мотивации
являетесь ли вы президентом страны
или выступающим на конференции
я подумал, что последую этому же принципу
Позвольте мне объяснить, откуда появились эти заголовки
Около 20 лет назад
была популярная социальная реклама,
которая выходила на американском ТВ.
Ее показывали в 11 вечера
Зернистое черно-белое видео,
камера на плече оператора, темные аллеи
движущиеся тени на стенах.
Ничего на самом деле ясно не было видно.
И потом диктор низким голосом в стиле старого радио говорил:
"Сейчас 11 вечера.
Вы знаете, где находятся ваши дети?"
Идея в том, чтобы заставить вас бояться изгоев общества, так?
Так что я подумал, что сделаю тоже самое здесь
и попробовать напугать вас
вопросом "Где находятся ваши данные?"
Сколько здесь из вас знает, где находятся все ваши корпоративные данные сейчас?
Кто-нибудь?
Что вы говорите?
В памяти?
На компьютере плохих парней, да?
Данные ведь всегда в памяти,
но можем ли мы сохранить контроль над ними?
Сегодня я хочу поговорить немного о
защите данных и о том, как ее организовать,
но прежде чем мы поговорим о том, как,
я хочу поговорить о том, зачем.
Так мы знаем, что существуют плохие парни.
Раньше мы обсуждали о том, кто они такие и что ими движет.
Если вы слушали мои выступления в течении некоторого времени,
вы знаете, что я стал большим поклонником
персональных файрволлов на портативных компьютерах.
Это не опция, это не что-то за что нужно дополнительно платить.
Суть в том, что вы выбираете, когда лучший момент включить встроенный в Windows файрволл
и забываете о проблеме.
Это единственный способ контролировать, что проходит через сетевую карту вашего компьютера.
У меня есть два требования к портативным компьютерам.
О файрволле я уже сказал.
Второе - шифрование данных.
Подумайте об утечках данных.
Во многих случаях они включают...что?
Украденные портативные компьютеры.
Если бы эти данные были зашифрованы,
значительно менее вероятно,
что плохой парень сумел бы причинить вам вред.
Давайте посмотрим на некоторые свидетельства подтверждающие это.
Каждый год австралийская Computer Emergency Response Team
проводит опрос компаний и клиентов в Австралии.
Ничего такого особенного,
мне просто нравятся отчет, который они используют.
Один из вопросов, который они задают в опросе -
Какой тип электронной атаки вы обнаруживали за последние 12 месяцев?
Тут много вариантов (вы могли просмотреть их, пока я говорил)
внутренние злоупотребления, вирусы,
сетевые черви и трояны,
дефейс сайтов, саботаж
но обратите внимание на четвертый пункт.
Кража ноутбука.
Более 50% людей, отвечавших на вопросы каждый год
(мы смотрим данные за 4 года)
сообщают о краже ноутбука.
Окей, это интересно.
Почему бы нам не посмотреть на следующий вопрос
который гласит: Какая из приведенных электронных атак привела к финансовым потерям?
И посмотрите на размер столбца "кража ноутбука".
Кроме вирусов и сетевых червей, в 2004
этот тип атак приводит к наибольшим финансовым потерям, с которыми вы сталкиваетесь.
И нет, это не цена замены ноутбука.
Речь идет об украденных,
неправомерно используемых, неверно изменненных данных.
Обдумайте это.
Вы делаете что-нибудь в вашей организации, чтобы уменьшить эти потери?
Помните то, о чем мы говорили вчера?
Роль эксперта по безопасности не в том, чтобы стоять и говорить "Нет, вам нельзя этого делать",
а в том, чтобы искать пути, как ваша компания может заработать или сохранить деньги.
Это - то, как вы можете помочь вашей компании сохранить деньги.
Если честно, нас волнует, каким ПО для шифрования вы пользуетесь.
Windows поставляется с несколькими неплохими встроенными технологиями.
Я собираюсь рассказать вам о них,
и если они подходят вам,
используйте их.
Если они не подходят вам,
найдите что-нибудь, что подходит, но отправьте мне email и скажите, почему вы не смогли использовать то,
то, что мы предложили вам в ОС.
В следующий раз мы попробуем сделать лучше.
Существует диллема, которую мы попробуем здесь решить.
Дилемма между двумя типами людей, которые населяют наши сети.
Первые - администраторы по безопасности.
Возможно, тут есть кто-то, кто выглядит как раз так.
И единственное, что они умеют говорить это
Доступ запрещен!
У нас был парень в Microsoft, его звали Майкл Ховардж.
Он подписывал свои email так:
Доступ запрещен? Хорошо.
Система безопасности работает.
Как нам совместить их требования
с потребностями других людей в компании,
которые хотят иметь свободный доступ ко всем данным в любое время.
Как нам это сделать?
Это и есть та дилемма, которую мы, возможно, начнем решать сейчас,
разговаривая о защите переносимых данных.
Позвольте мне предоставить вам некоторые цифры,
которые могут помочь вам в вашей организации.
Privacy Rights Clearing House в январе 2005 года начал
собирать данные об утечках данных.
Данные об украденных данных.
По состоянию на май того года,
(я просто не обновлял с тех пор)
накопилось 155 миллионов украденных записей.
Там была одна длинная веб-страница,
я решил скопировать ее в Word
чтобы узнать, насколько она велика.
Оказалось - 126 страниц.
InformationWeek.com провел опрос,
чтобы узнать, во сколько обходится кража данных
и их оценка лежит между 90 и 350 $ за запись.
Давайте посмотрим с консервативной точки зрения -
умножим 90 на 155 миллионов.
Большое число, да.
Но знаете что?
Это никого не гребет!
Никого, похоже, не заботит.
Мы не можем заставить людей беспокоиться об этом.
Согласно опросу на TechTarget.com
даже после атаки,
из 85%, которые сообщили об атаке,
46% пострадавших все равно решили не шифровать данные,
а у 57% не было разработано никакого плана реагирования.
Я не знаю, как решить эту проблему,
кроме того, как проводить подобные конференции.
По всему миру, так же, как я с вами сейчас говорю.
Дать вам инструменты и аргументы,
чтобы убедить тех, кто принимает решения в вашей организации.
Когда я начал планировать эту презентацию,
это было в марте - апреле, когда мы начали планировать TechEd
(первый TechEd в США в июне)
и я фактически заново использовал те же материалы,
что и с восьми TechEd или около того, на которых я выступал.
Одна из вещей, которая сразу стала очевидна
Один из вопросов, которая я сразу себе задал.
Нужно ли нам шифровать все данные?
Нет.
Так, а как мы знаем, что нужно шифровать, а что - нет?
Хм, ладно, нам придется потратить некоторую часть нашего времени,
обсуждая классификацию данных,
что поможет нам ответить на вопрос
шифровать это или нет.
Я начал изучать этот вопрос
и подумал: "О нет,
это займет 55 из 75 минут, что у нас есть".
И знаете что? Это скучно.
Классификация данных - это неинтересно.
Она имеет мало общего с безопасностью,
и, поверьте мне,
это то, что позволит вам избавиться от всех снотворных в вашем доме.
Они вам больше не понадобятся.
Но потом я нашел кое-что удивительно простое.
Нет, это не я придумал,
я нашел это в серьезных статьях о компьютерах.
Вам не нужно записывать или запоминать это
у нас есть DVD
Оператор ненавидит меня, потому что я не стою на месте
Если вы займетесь поиском статей о классификации данных,
вы найдете эту статью.
Она предельно проста.
Три аспекта для эффективной классификации данных.
Аспект номер 1 - Конфиденциальность.
Насколько это секретно?
Ваш публичный веб-сервер
По определению у него нет секретов.
И если кто-то запускает маленькую утилиту,
которая скачивает все содержимое вашего публичного веб сервера
то что?
Кого это волнует?
Тем не менее, у вас могут быть данные, которые по-настоящему довольно приватны.
И есть некий механизм, с помощью которого, если атакующий взломает ваш публичный сервер
то он потом может устроить атаку на какое-то другое устройство
и взломать вашу базу данных.
Хм, это проблема. И если он доберется до этих данных, возможно, будет лучше, если данные будут зашифрованы.
Аспект номер 1 - Конфиденциальность
помогает вам понять, насколько быстро вы должны отреагировать
и какой должна быть реакция.
Аспект номер 2 - Сохранение.
Сколько мы должны хранить данные?
Если это с вами еще не произошло, то скоро произойдет.
Кто-нибудь вызовет вас в суд.
По одной или по другой причине вы получите иск.
И человек, который подает на вас в суд,
начинает процедуру называемую Discovery (Нахождение документов и доказательств).
Они будут читать все ваши документы, все ваши письма, все хистори IM мессанджеров
Все, что как они считают, хоть немного относится к делу.
Так что
Чем меньше всего у вас есть,
тем меньше информации они получат о вас.
Так?
Если вы уже получили вызов в суд, нельзя взять и начать удалять все.
Этого нельзя делать.
Это выглядит очень-очень плохо.
Но если у вас разработана политика, согласно которой вы удаляете документы старше года
Возьмите и начните автоматически удалять электронные письма сотрудников
и скажите им о том, что будете это делать.
Так что, когда неминуемый день настанет и вы предстанете перед судом,
будет значительно меньше улик для другой стороны.
Это хорошая вещь.
Третий аспект - Восстановление.
Насколько быстро вы должны отреагировать в случае повреждения данных?
В примерах тут: немедленно, в течении 72-х часов или 30-ти дней.
На этих трех слайдах я показал примеры каждого из аспектов.
Возможно, это примеры не подходят вам - ничего, подберите свои собственные.
Но эти аспекты - все что вам нужно для классификации данных.
Конфиденциальность.
Сохранение
и Восстановление.
3 минуты - на классификацию данных.
Все остальное - слишком сложное и не даст вам ничего лучшего.
Используйте это и все будет хорошо.
Теперь мы можем вернутся к крутым вещам, из-за которых вы тут здесь.
Хм. Пока еще нет.
Надо еще поговорить о теории.
И для этого мы вернемся в школу.
Мальчики и девочки, это треугольник.
Вы могли узнать его.
Вобще-то у него есть свое имя. Это особенный треугольник.
Что это за треугольник?
Нет, это треугольник по информационной безопасности!
Вы же знаете эти слова!
Дело в том, что он не описывает всю картину.
У каждой из этих концепций - Конфиденциальности, Целостности и Доступности - есть следствие
Опять же, это пример вещей, которые мы знаем, но не осознаем.
Например
если Конфиденциальность это о том, как сохранить приватные данные приватными,
Обладание - это для начала обеспечение того, что данные не попадут в руки плохих парней.
Это следствие.
Если Целостность - это обеспечение того, что данные, которые Элис послала Бобу, не будут изменены по дороге
то Аутентичность - это гарантия, что данные пришли таки от Элис
а не от кого-то, что выдает себя за Элис.
Если Доступность - это обеспечение того, что система и данные доступны, когда они нужны
Полезность - это собственно показатель того, насколько полезные эти данные и система.
Интересная вещь - атаки на Доступность, например Denial-of-Service атаки
мгновенно уменьшают Полезность до нуля.
Мы будем рассматривать защиту данных, это вот эта ось с Конфиденциальностью и Обладанием
на которую мы потратим наше время.
И я собраюсь сравнить эти два аспекта.
Также, пожалуйте, понимайте, нет способа избежать этого.
Хорошие системы обеспечивающие Конфиденциальность и Обладание
требуют хороших систем Идентификации и Аутентификации.
Еще одна история, которая случилась со мной в Тайване.
Я рассказывал ее вчера.
Ранее в этом году я провел несколько часов, разговаривая с министром обороны Тайваня
У них есть несколько очень интересных требований к безопасности.
Вы можете себе представить, учитывая их местонахождение и политику, что там происходит.
Они искали способ внедрить RMS или что-то в этом роде
без Active Directory
Что?
Вы хотите защитить данные, но в то же время не иметь никакой информации о том, кто использует данные?
- О, да, пожалуй, это то, что нам надо.
Нельзя такое сделать.
И мы потратили полчаса, пытаясь понять,
что если у вас нет никакой информации о том, кто пытается открыть файл или вобще что-то сделать,
вы не можете защитить их.
По-моему я смог убедить их.
И потом я вспомнил, выходя из здания, что у меня был такой же разговор с ними год назад.
Я просто забыл о нем.
У некоторых людей есть свое видение в голове, как они хотят, чтобы было,
и они не понимают, что в компьютерных науках есть фундаментальные требования, которые определяют, как происходят вещи.
Мы говорим немного больше об этом.
Вы могли читать определения на экране, пока я говорил.
Идентификация - это публичное заявления "Я - Стив".
Какое подтверждение этому у вас есть?
Какие свидетельства для подтверждения предположения, что я тот, за кого себя выдаю?
Ну, во-первых, я думаю, что меня несколько сложно копировать.
Но знаете, единственный способ, как бы я мог подтвердить это, это пойти к сумке и достать свой паспорт,
в котором есть мое имя и моя фотография.
как метод Аутентификации меня вами.
И вы поверили бы этому, потому что
предположительно, вы доверяете правительству США.
Я не знаю.
Это не работает с компьютерами, верно?
Для того, чтобы подвердить вашу личность, вы должны
показать знание секрета
который только вы знаете
и который компьютер может проверить.
Только вы знаете, и компьютер может проверить.
Ну, мы все понимаем это определение Авторизации.
Опасность состоит в том, что люди (или люди, которые пытаюся продать вам что-то)
начинают размывать границы между понятиями Идентификации и Аутентификации.
Некоторые из вас, возможно, видели это раньше.
Я использовал это раньше.
Но, как всегда, в зале есть новые люди,
поэтому мы поиграем в эту маленькую игру снова.
Я буду спрашивать вас
к какой категории что относится.
Что такое ID пользователей?
Ладно, это простое. Идентификация.
Чем являются пароли?
Аутентификацией. Это секрет, который вы знаете.
Маркеры и мандаты?
Авторизация.
Чем являются цифровые сертификаты?
Цифровой сертификат можно отправлять другим людям.
Идентификация.
И в цифровых сертификатах есть публичные ключи.
Так что это тоже используется для
Идентификации.
Приватный ключ используется для?
Аутентификации.
Помните как работает инфраструктура открытых ключей?
Когда вы хотите получить сертификат, ваш компьютер генерирует два очень больших числа
отправляет одно в сертификационное агенство. Это публичный ключ.
Ключ вставляется в сертификат и сертификат возвращается вам.
Другое число, которое сгенерировал ваш компьютер - это приватный ключ.
Он никогда не покидает ваш компьютер.
Это, по определению, делает его приватным.
Он используется только для защищенных разговоров. Во многих случаях, чтобы защитить канал.
Вот самое веселое.
Сколько из вас в этой комнате верит, что биометрия - это способ Идентификации?
Заявлением о том, кто вы есть?
Сколько из вас верит, что биометрия - способ Аутентификации?
Доказательством того, кто вы есть?
Хорошо. Теперь меняйте свою точку зрения.
Вот пульт
Его использовали как минимум три дня
Дело в том, что на нем полно отпечатков.
Включая мои.
Если бы я положил пульт на пол здесь
и ушел
кто-нибудь мог бы поднять его.
И что этот кто-нибудь мог бы сделать с отпечатками на нем?
Он бы мог их снять.
Есть множество методов, с помощью которых можно снять отпечатки с гладких поверхностей
включая даже сканеры отпечатков пальцев.
Теперь, когда у вас есть отпечатки, что вы можете сделать?
Вы можете последовать множеству известных способов (многие из них документированы в вашем любимом поисковике)
которые позволят вам сделать очень тонкий латексный рисунок этого отпечатка
который потом можно одеть на ваш палец
и который вы потом можете использовать вместо чужого отпечатка.
Я уверен, некоторые из вас читали историю о джентельмене
который купил новый Мерседес с возможностью использовать большой палец для открытия дверей.
Все было отлично, пока одним днем он не вышел к своей машине
а там была парочка отморозков, которые решили украсть его машину
Они понимали, что на машине стоит сканер отпечатков
поэтому они отрезали палец владельца.
чтобы открыть дверь.
Вот когда безопасность становится небезопасной.
Биометрия - способ Идентификации.
Вам все еще нужен секрет.
И меня беспокоит
когда люди пытаются продать сканер отпечатков как замену паролю.
Сколько раз вы сможете поменять его?
20
У нас, мужчин, на один раз больше.
но в конце концов разы закончатся.
На самом деле, одна женщина сказала: "Да, но у нас + 2 раза".
Ладно, вернемся к этим двум свойствам.
Конфиденциальность.
Определение: убедитесь, что информация видна только разрешенным людям
Механизм - шифрование
но только этим вы не помешаете плохим парням перехватывать сообщения.
Это хорошая вещь, верно? Элис и Боб хотят поговорить
сеть между ними не может считаться защищенной.
Они не могут помешать плохому парню перехватывать данные,
так что они зашифровали их.
Другое свойство - Обладание
Убедитесь, что информация доступна только людям, которым вы разрешили. И вы обеспечиваете это
с помощью механизма контроля доступа.
Но сам по себе контроль доступа не зашифрует ваши данные.
И, да, мы все это хорошо понимаем
просто хорошо видеть это все разобранным здесь.
Давайте немного поговорим об Обладании.
В реальном мире мы привыкли видеть ворота, охранников и оружие
Вы заметили, что у охранников сегодня дубинки на поясе.
Пистолеты завтра, я полагаю.
Это немного пугает меня
У нас на конференции охранники должны разгуливать с оружием.
В компьютерном мире есть списки и права доступа
Мы говорили об этом немного вчера.
Закрытые системы - один из видов контроля Обладания.
Полезны они или нет в современном бизнесе. Я считаю, что об еще стоит поговорить,
но не здесь, сегодня.
У всех форм контроля Обладания есть один недостаток
Они предполагают, что разрешенный пользователь никогда не будет использовать систему во зло.
Разве это не интересно?
Сколько из вас сегодня могут отверждать, что это так для всех в вашей организации?
Да, обычно у нас есть один или два человека.
Где вы работаете, мой друг?
В очень маленькой организации
Вы работаете с тем, что осталось от правительства Бенжамина [Франклина]?
Из организации одного, верно? Вы работаете на себя?
Два? Три? Ладно.
Позвольте мне задать вам вопрос.
Вы помните его?
Разве это не лучшая клавиатура, что вы видели?
Туц туц туц. Вы знали, что вы работаете.
И в конце дня, когда вы заканчивали работу, вы нажимили этот большой выключатель - тыдыщ.
Это было приятно.
Но знаете что, эти машины имели дополнительное свойство
которое помогало обеспечивать безопасность хранимых данных.
Сколько эта штуковина весила?
30 - 35 килограмм?
Это была не легкая машина
Вы не могли легко засунуть ее себе в карман и выйти через главный вход
оставшись незамеченным.
Мы не задумывались об этом
но из-за того, что в те дни данные не были мобильны,
нам не приходилось задумываться ни о чем, кроме контроля Обладания.
Вес машины служил препятствием перенесения данных,
но ведь это не так сегодня, верно?
Даже, если мы используем такие компьютеры сейчас, существует много способов перенести данные из них
Возможно, у вас есть одна или две таких в вашей сумке.
Хороший старомодный способ - отпечатать все на бумаге и выйти через парадный вход?
Мы говорили вчера об использовании бумаги для сохранения паролей.
Это может быть способом воровства данных
Технологии 13-го столетия, судя по всему, все еще довольно полезны в наши дни.
Отправка по электронной почте.
Насколько велик сейчас аккаунт Gmail?
Я не помню. 2 гб?
Ужасающий размер
Сколько аккаунтов Gmail вы можете зарегистрировать?
Хм. Сколько захотите.
И люди всегда будут придумывать способы обойти системы безопасности.
Мы не можем это предотвратить.
Потому что данные теперь мобильны.
Мы должны подумать о новых способах защиты
- Ты уверен, Стив? Неужели мы никак не можем использовать контроль Обладания?
Чтобы ограничить доступ к данным?
БИОС пароли на ноутбуках могли бы помочь
но вы же помните, как его можно сбросить
Вытащить CMOS батарейку
Плохой парень тоже может это сделать.
Как насчет утилиты SysKey?
Кто из вас не знает, что такое SysKey?
Так, несколько человек. Давайте потратим немного времени и определим, что это.
Когда вы устанавливаете Windows,
создается мастер-ключ
который я покажу вам через минуту.
Мастер-ключ используется для защиты всех остальных ключей, хранимых в системе.
По-умолчанию, в первом режиме
мастер-ключ хранится в реестре
и для подавляющего большинства случаев это приемлимо.
Вы можете изменить режим на второй или на третий,
вы можете хранить ключ на дискете или у себя в голове,
но вы должны подумать о некоторых операционных проблемах, если поступите так.
Например, на серверах изменение дефолтного значения - ужасная идея.
Ну, во-первых у этой машины есть дисковод для дискет, поэтому изменение может и быть полезным
Когда последний раз вы видели floppy-дисковод на ноутбуках?
Но давайте предположим, что вы выбрали режим, в котором мастер-ключ сохраняется на дискету
Ваш сервер перезагружается в 2 ночи по каким-то техническим причинам
Если вас не будет там в 2 утра, чтобы вставить дискету, сервер не загрузится.
Так, что вы оставляете дискету в дисководе все время
Разве это не тоже самое, что и в первом режиме?
Или вы решили, что будете хранить ключ у себя в голове.
Отлично. Опять же. Сервер перезагружается и, если вас не будет там в 2 утра, загрузка не завершится.
Так, что я настоятельно не рекомендую рассматривать изменения настроек SysKey, как способ обеспечения безопасности компьютера.
Я должен рассказать вам кое-что, для тех из вас, кто знаком с SysKey.
Мы недавно нашли баг в утилите.
Когда вы вводите [в консоли] syskey и нажимаете Enter,
появляется маленькое диалоговое окно, в котором написано:
При текущих настройках мастер-ключ хранится в реестре. Хотите ли вы это изменить?
Вы говорите - да.
И потом вы можете выбрать - хранить ключ на дискете или у себя в голове.
И потом вы передумываете и решаете, что не хотите ничего менять.
Что должно происходить в Windows, когда вы нажимаете кнопку "Отмена"?
Она должна отменить то, что вы указали.
Маленький баг в утилите SysKey.
В тот момент, когда вы выбираете, что хотите изменить значение по-умолчанию,
SysKey удаляет мастер-ключ из реестра.
И потом, если вы нажимаете "Отмена", она не помещает новый ключ обратно.
Вы думали, что будете хранить ключ на дискете, но передумали и нажали "Отмена".
Вы думаете, что диалоговое окно сделало то, что вы сказали ему сделать.
Вы заканчиваете свой рабочий день, выключаете компьютер
Идете домой и включаете компьютер
Когда загружается Windows,
она спросит о дискете, которой не существует
и будет ждать, пока вы не вставите дискету в дисковод, которого у вас нет
чтобы предоставить мастер-ключ, которого вы не знаете.
Все, что вы можете сделать - переустановить систему.
Мы знаем об этом баге, мы работаем над его устранением,
но я хочу сказать вам о нем сейчас. Вы знаете меня
я не люблю скрывать вещи от вас
Хорошие пароли - единственная оставшаяся форма старых средств безопасности
Нечто, достаточно длинное, чтобы заставить плохих парней держаться подальше.
Вы слышали, как многие из нас говорили о том, что длина значительно лучше, чем сложность.
Некоторые люди использует, короткие пароли, вроде такого
но они совершенно бесполезны - их легко угадать или взломать перебором
но в этом диалоговом окне значительно больше места. Вы можете ввести до 128 символов, если захотите.
Используйте это преимущество - длина всегда лучше сложности.
Когда-нибудь я предоставлю вам расчеты подтверждающие это - мы сейчас работаем над ними.
Возможно,
Возможно, этот парень прав.
Возможно, нам стоит начать задумыватся над средствами обеспечения Конфиденциальности.
Часть триады, о которой мы постоянно говорим, но вечно игнорируем - К часть [Конфиденциальность]
Размышления о том, как зашифровать данные, если окажется
а оно так и оказывается, что сеть, в которой мы работаем, больше не может считатся защищенной.
Существует много средств обеспечения Конфиденциальности поставляемых с ОС
Мы поговорим о некоторых из них тут, сегодня
Большинство из этих форм всем хорошо известны. Я уделю внимание EFS и Bitlocker
И возможно, я затрону некоторые новые вещи в RMS от наших партнеров
Средства обеспечения Конфиденциальности в отличии от средств обеспечения Обладания - обладают общим преимуществом
которое состоит в том, что они защищают данные
независимо от того, где эти данные находятся.
Нам больше не нужно полагаться на сетевые списки доступа
чтобы убедится, что данные в безопасности.
Вот почему средства Конфиденциальности значительно лучше в мире современных портативных компьютеров.
Средства контроля доступа не работают
когда компьютеры настолько малы
что вы можете положить его себе в карман
и выйти через парадные двери
незамеченным
Несколько примеров
Я не буду останавливаться на S/MIME
S/MIME используется для защиты почты во время передачи и в остальное время.
Мы все это хорошо понимаем.
EFS - механизм шифрования отдельных файлов
который существует с Windows 2000
Несколько изменений в Windows Vista, о которых я с вами поговорю
и для тех, кто не знаком с EFS, я дам короткое описание его работы
Мы потратим значительную часть времени на BitLocker
опять же, я предполагаю, что в общем вы знаете, что он делает
мы рассмотрим, как различные сценарии защиты
избавляют от различных рисков.
И, как я уже говорил - RMS. Мы говорили об этом много раз.
Если у нас останется время мы поговорим о вещах, которые привнесли наши партнеры в RMS,
о которых вы, возможно, не знаете, и которые могут решить некоторые ваши проблемы.
Еще один момент, на который важно обратить внимание
Если сравнивать Конфиденциальность с Обладанием
Средства обеспечения Обладания эффективны
когда есть учет клиентов.
Члены домена
мы знаем имя машины
и имя пользователя
И таким образом мы можем составить списки доступа
На машинах не подключенных к сети это довольно сложно
так как нет никакой учетной записи связанной с компьютером
Средства Кофиденциальности обычно работают в любых условиях
Но, я хочу, чтобы вы понимали кое-что
EFS и BitLocker лучше работают, когда есть учет клиентов
Позвольте я объясню, что значит "лучше работают".
Они, конечно, будут работать на автономных компьютерах
и вполне хорошо будут защищать информацию.
Но подумайте вот о чем.
Если вы начнете шифровать данные в вашем предприятии
станет значительно сложнее восстановить данные
если Элис потеряет ее ключ
или если Элис станет опасной и ее придется уволить
и провести расследование у нее на компьютере.
Все хорошие корпоративные средства шифрования
имеют некий механизм
позволяющий добратся до данных без знания первичного ключа.
И я покажу вам, как это работает и в EFS, и в BitLocker
Об этом важно помнить каждый раз, когда вы оцениваете, подходит ли вам эта технология или нет.
И что я имею ввиду под "лучше работают, когда есть учет клиентов",
так это то, что эти технологии разработаны так, что вы можете автоматизировать
создание и работу запасного пароля
или запасного механизма восстановления данных.
Вам больше не нужно делать это вручную
Опять же - если вам не нравятся эти технологии
используйте то, что подходит вам.
Скажите, почему эти технологии вам не подходят.
Но каждый раз, когда вы выбираете технологию для внедрения,
если эта технология не предоставляет вам никакого механизма восстановления данных
вычеркните эту технологию из списка вариантов.
Вам лучше не смотреть в сторону программного продукта, в котором есть только один ключ
потому что если этот ключ потеряется
все зашифрованные данные потеряны навсегда.
Есть много мест в Windows, где используются ключи для шифрования
Вы можете видеть список здесь
У некоторых людей возникает вопрос: Как все эти ключи защищены?
Давайте разберем схему
которая объяснит вам это.
Людям бывает довольно интересно посмотреть на эту схему
Вы знаете, что в домене, в дополнении к тому, что у вас есть аккаунт, у компьютера тоже есть аккаунт.
Это значит, что у компьютера есть свой идентификатор, у него есть свой профиль
И в некоторых случаях компьютер сам по себе использует ключи
Для таких вещей как SSL и веб-сервисов
или для IPsec, когда два компьютера разговаривают между собой
Все эти ключи защищены с помощью ключа DPAPI, связанного с аккаунтом компьютера
DPAPI ключ генерируется, когда создается аккаунт компьютера
На том же уровне: SAM или базы данных AD, LSA Secrets и пароль администратора безопасного режима
Все это защищено с помощью загрузочного ключа
тем мастер-ключом, SysKey и вы можете видеть три доступных режима его хранения.
На вашем уровне, человеческом уровне, пользовательском уровне
есть другая группа ключей
например для EFS или S/MIME
Она защищена с помощью пользовательского ключа DPAPI
который открывается после того, как пользователь выполнит вход в систему
На этом же уровне - профили пользователей
локальные копии которых защищены тем же загрузочным ключом
на этом компьютере.
Вот такая последовательность
как ключи защищены в операционной системе.
Давайте перейдем к нашим технологиям
EFS будет первой, которую я хочу немного обсудить
Это осмотр основных положений, для тех из вас, кто еще не знаком с EFS
Я делаю некоторые допущения
Используется: учетные записи пользователей домена, корпоративное сертификационное бюро, Windows Server 2003 и Windows Xp
Почему используется именно доменные аккаунты? Это важно
Вы можете зайти в Интернет и найти разные документы, которые объясняют
что EFS - сломан.
И вы не должны использовать его ни для чего.
Но они не говорят вам (или это очень сложно найти)
что в системе, которую они взламывали,
они используют только локальные учетные записи.
Локальные учетные записи уязвимы
некоторым типам атак, которые выполняет утилита Kane and Abel
Если вам это интересно, просто поищите 'Kane and Abel'
надо полагать в хакерском мире есть множество упоминаний об этой утилите.
Если вы возьмете локальный компьютер и эту утилиту,
вы сможете перебором получить пароли локальных аккаунтов.
Это бы сделало EFS бесполезным, если у вас будет пароль
или даже хеш пароля.
Но доменный аккаунт не уязвим для атаки утилиты Kane and Abel.
В нем не хранится весь хеш пароля
Там хранится хеш хеша, другими словами хеш смешанная с вашим ID пользователя.
Недостаточно информации для утилиты, чтобы достать ваш пароль
и добраться к вашим зашифрованным с помощью EFS файлам.
Используйте лишь доменные учетные записи с EFS
и ваши данные - в сохранности.
Итак, Элвис (надо полагать все хакеры или шифровальщики выглядят как Элвис)
хочет зашифровать файл. Он никогда не делал такого в своей жизни.
Только один раз его компьютер найдет сертификационный сервер
и запросит EFS сертификат,
который будет храниться в профиле пользователя.
Но такое происходит только в первый раз.
Теперь, и во все следующий разы, когда Элвис захочет зашифровать файл,
его компьютер сгенерирует ключ для шифрования файла
Да, существует уникальный ключ для каждого файла.
Зашифрует файл ключем.
Затем он сделает две копии ключа
Первая копия будет зашифрована EFS сертификатом пользователя.
Таким образом Элвис сможет добраться к своим файлам.
Вторая копия ключа для шифрования файла будет зашифрована с помощью recovery agent по-умолчанию
Это последний способ добраться к файлам.
По-умолчанию, это первый аккаунт администратора домена.
Пожалуйста, измените это.
Вероятно, на кого-то не из ИТ отдела.
Обладателем этого сертификата будет кто-то в юридическом отделе
или отделе аудита.
Кто-нибудь из этих ребят, которых мы обычно считаем врагами,
но иногда они могут быть вашими друзьями.
Но в любом случае - это должен быть кто-то другой. Вам лучше сменить настройку по-умолчанию.
И потом, если Элвис потеряет свой ключ,
или станет плохим и его придется уволить
обладатель DRA [Data Recovery Agent] сертификата сможет расшифровать файлы.
И в конце концов эти два ключа прикрепляются к файлу и так и хранятся.
Очень просто.
Мне нравится EFS, я довольно много использую ее.
Кроме моего компьютера с Vista, на котором я использую технологию, о которой мы поговорим позже.
Некоторые изменения в Windows Vista
Вы теперь можете хранить пользовательские ключи и RA на смарт карте.
Это значительно облегчает задачу
восстановления файлов.
Теперь человек с DRA
не должен помнить о том, что ему надо удалить DRA с компьютера,
на котором он восстанавливал файлы.
Все значительно проще.
У нас повсюду ридеры смарт карт
Владелец DRA подходит к компьютеру со смарт картой,
вставляет в ридер
расшифровует файлы
и вытаскивает карту. И ключ на самом деле никогда не хранится на этом компьютере.
Это мне нравится.
Мы также теперь шифруем файл подкачки
(и оно выпало за низ слайда). Мы теперь используем пользовательский ключ, а не ключ системы
чтобы шифровать кеш оффлайн файлов.
Существует утилита, которая возможно вас заинтересует,
если вы захотите внедрить EFS на предприятии
EFS - отличная технология.
Но они несколько
не незаметна.
Ну, то есть, она незаметна, но вы должны помнить о том, что ей нужно пользоватся.
Предположим, вы умны
и вы хотите
Вы все тут умные.
Предположим, что вы сделали, как я
и зашифровали всю папку Мои документы
Хорошее начало
Но, если вы как я
то вы используете рабочий стол для файлов, над которыми сейчас работаете.
Рабочий стол заполнен всяким мусором, который лежит там месяцами,
И лучший способ уборки - выбрать все и удалить.
Что-то вроде того, что я делаю со своими электронными письмами периодически.
Кто-нибудь когда-нибудь такое делал?
Мне интересно. Кто-нибудь когда-нибудь нажимал Ctrl+A, закрывал глаза и нажимал кнопку Delete, чтобы удалить все письма?
Разве это не самая очищающая вещь, которую вы делали в своей жизни?
Замечательное чувство!
Три человека.
EFS работает лучше, если у вас одинаковая конфигурация на всех машинах в домене
этого несколько сложно добится
Вышла новая утилита, которая идет в Solution Accelerator для Vista, но так же работает на ХР
которая позволит вам разработать одинаковую политику для EFS на всех ваших компьютеров.
И вы можете просто использовать групповую политику
По-умолчанию вот эти файлы зашифрованы
давайте будем предельно точными
EFS не шифрует папки
Вы можете пометить папку как зашифрованную
но на самом деле это означает
каждый отдельный файл в папке зашифрован.
Просто, чтобы вы понимали, как это работает.
Это папки по-умолчанию
в которых утилита включит EFS.
Вы можете изменить это
настолько, насколько захотите.
Идем дальше - к Bitlocker.
Это, без сомнений,
моя любимая фича связанная с безопасностью в Windows Vista.
Это механизм, который позволит вам уменьшить финансовые потери
связанные с украденными ноутбуками.
Помните опрос, который был вначале презентации?
Я сделаю предположение, что вы знаете, что это такое.
Это способ зашифровать том диска
Он называется BitLocker Drive Encryption, но на самом деле он работает на уровне томов. Диск С, диск D
На самом деле, на Vista, это только диск С,
но через секунду я уточню.
Когда я попробовал запустить BitLocker на своем компьютере,
он пожаловался: "Эй. У тебя не правильно размечен диск",
но более того "У тебя нет TPM"
"Я не буду работать, пока ты не дашь мне TPM".
Что за черт этот TPM?
Почему..
шифрование на DVD дисках - всегда и в любом случае - деньги на ветер?
Где ключ?
Что?
Часть из него - в прошивке проигрывателя
но где другая часть? На самом диске, верно?
Сколько вас тут верит,
что если вы поместите ключ туда же, куда и шифруемую вещь
то это хорошая идея?
Вы можете найти его,
и соответственно, вы можете расшифровать то, что им зашифровано.,
Другая фундаментальная основа компьютерных наук - если хотите зашифровать что-то,
вы должны хранить ключ где-нибудь в другом месте.
BitLocker не будет работать
пока вы не разместите ключ где-нибудь в другом месте.
И у вас есть 4 варианта, где вы можете хранить этот ключ.
Мы взглянем на них через минуту.
Но сначала я хочу поговорить о TPM
Trusted Platform Module
Это микросхема
BitLocker будет требовать версию 1.2
присоединенный к материнской плате
Держитесь подальше от компьютеров, в которых TPM находится на выносной плате, которую нужно вставлять.
Это нарушает спецификации.
TPM должен быть присоединен к материнской плате.
Эта микросхема будет хранить ключ для шифрования, используемый BitLocker
Но так же он делает и кое-что другое.
В TPM есть 16 регистров - Platform Configuration Registers (PCR)
Если у вас будет один такой в вашем компьютере,
то, когда вы включите компьютер,
TPM перехватит процесс загрузки.
Так что ваш компьютер не будет сразу загружать БИОС
вместо этого он загрузит БИОС в TPM
и TPM посчитает SHA-1 хеш кода БИОСа
прежде, чем код запустится.
И потом он сравнит этот хеш с хешем, который он посчитал в прошлый раз.
Если хеши одинаковые, то TPM скажет "Изменений нет"
Если хеши не совпадают (мы не знаем, что там за изменения
это ведь хеши), но TPM скажет "Изменения!"
Итак, а кого это заботит?
BitLocker
BitLocker'у нужны результаты этих измерений кода
и если в любой момент времени
TPM скажет: "Эй! Были изменения".
"Хеши не сопадают"
BitLocker прекратит загрузку операционной системы
Так что, когда вы используете BitLocker вместе с чипом TPM
в дополнении к шифрованию раздела Windows и хранению ключа в TPM
Он так же гарантирует вам целостность процесса загрузки
Вы знаете, что со вчера на сегодня
копия Windows на вашем винчестере
не была изменена.
После БИОСа мы делаем тоже самое с option ROMs
потом с главной загрузочной записью
Что дальше?
Первый сектор активного загрузочного раздела
Remainder, загрузочный код, загрузчик
и в конце концов, если никто из них не сказал "Эй, были изменения"
TPM высвобождает корневой ключ BitLocker'a
из 11-го регистра.
Мне это нравится. Довольно сильно
Мне нравится тот факт, что BitLocker вместе с чипом TPM
обеспечивает меня двумя типами защиты.
Защита раздела Windows
и защита процесса загрузки.
Когда вы используете чип TPM вместе с BitLocker
так выглядит процесс расшифровки:
Шаг 1. БИОС запускается, идет проверка изменений
Шаг 2. TPM высвобождает корневой ключ (SRK) и расшифровует мастер ключ тома (VMK) хранимый на диске.
Мастер ключ тома зашифрован. Вы можете хранить зашифрованные ключи на диске и все будет хорошо.
Вы не можете расшифровать мастер ключ тома без корневого ключа
и корневой ключ не на диске.
Затем мастер ключ тома рашифровует другой ключ, называемый ключом тома (FVEK)
который в конце концов используется для расшифровки данных с винчестера.
Вы, наверно, спрашиваете себя: Ладно, я понял зачем нужен корневой ключ
вне компьютера
вне диска
таким образом нужен еще один зашифрованный ключ на диске
в этом есть логика. Но зачем два?
Почему не переходить сразу от корневого ключа к ключу тома?
Зачем нужен этот отдельный промежуточный ключ?
Мастер ключ тома.
Допустим у вас диск на 100 Гб
Что?
Нет, на самом деле это операционный вопрос. Я сейчас остановлюсь на этом.
Предположим 100 Гб диск.
Сколько времени займет шифрование диска в первый раз, когда вы включите BitLocker?
Вероятно, от 2-х до 3-х часов.
Теперь, 6 месяцев спустя
нет, 6 недель спустя
ваш производитель ноутбука выпускает обновление для БИОС
Что произойдет, если вы измените БИОС?
Помните, на что TPM обращает внимание?
БИОС теперь не сходится с предыдущим.
Хеши разные.
BitLocker скажет: "Эй, были изменения!"
и Windows больше не загружается.
Наверно не то, на что вы расчитывали.
Вот, что бы вы могли сделать
Вы могли бы отключить BitLocker
А какие у вас остаются варианты?
Иначе вам пришлось бы сначала расшифровать том
(2 - 3 часа потеряно)
сделать обновление БИОС и снова зашифровать том
Вы только что потеряли 6 часов выполняя обновление БИОС!
Так вот, что вы делаете вместо этого.
Вы отключаете BitLocker
Отключение BitLocker удаляет корневой ключ из TPM
и заменяет мастер ключ тома расшифрованным тестовым ключем
Другими словами он виден на диске.
Так что NTFS может сохранять и читать файлы
но защита BitLocker отключена.
Теперь вы можете обновить БИОС
и затем вы заново включаете BitLocker.
Включение BitLocker заменяет открытый текстовый ключ новым мастер ключем тома,
создает новый корневой ключ,
зашифровует мастер ключ тома корневым
и помещает корневой ключ обратно в TPM.
Теперь вы можете обновить БИОС в течение 3-х минут.
а не 3-х часов.
Вот зачем нужен этот дополнительный ключ.
Вот еще одна вещь, которую я люблю делать, когда говорю о BitLocker.
Некоторые люди ошибочно считают эту отдельную технологию решением всех проблем безопасности.
Друзья мои, если была одна такая технология
которая могла бы решить все ваши проблемы безопасности.
Но знаете что? Таких технологий нет
которая смогла бы решить все ваши проблемы по безопасности.
BitLocker разработан для определенных сценариев атак, таких как:
Раскрытие ключа. Мы сделали это очень очень сложным.
Задумайтесь вот над чем на секунду. Предположим у вас есть диск на 100 гб, из которых 99 - свободны
Вы шифруете весь этот диск
В большинстве своем вы зашифровали свободное место
Есть определенные утилиты, которые позволят вам взломать ключ
если шифруемый текст достаточно предсказуем.
Для того, чтобы избежать этого
мы добавили в AES механизм называемый Elephant Diffuser.
Поищите его в Сети, если хотите узнать, как он работает.
Но, если кратко, то он рандомизирует свободное пространство
так что эти утилиты, которые взламывают методом перебора предсказуемый текст
более не будут работать.
Оффлай атаки на Windows. Помните у нас есть TPM,
следящий за процессом загрузки.
Утечки данных с винчестера, списанные компьютеры.
Это интересно.
Что вы делаете с винчестером на старом компьютере, если у вас появляется новый?
Ничего.
Хм, я думаю, я читал о вас раньше. Как, еще раз, ваше имя?
Там нет никаких личных данных? Ничего о чем бы вы беспокоились?
Нет? Ничего?
Ок, это очень интересно.
У большинства из нас есть что-то, что мы хотим скрыть.
Прежде, чем вы отдадите свой старый компьютер кому-нибудь,
что вы сделаете с данными на жестком диске?
Форматирование? Этого достаточно?
Стирание. Этого достаточно?
Нет, вам нужно что-то, что бы стерло все с диска много много раз.
Или вы говорите "Забудь об этом", пусть этот человек покупает новый винчестер, берете свой жеский диск
кладете на землю
и, я не знаю, из дробовика его.
Паяльные лампы на удивление медленно уничтожают жеские диски.
А что если бы он был зашифрован
и вы удалили бы ключ?
Разве это не интересно?
Есть некоторые атаки, которые, можете представить, не предотвращаются BitLocker'ом.
Первая - довольно любопытная
BitLocker защищает процесс загрузки. BitLocker высвобождает корневой ключ из TPM после завершения загрузки
Если вы поместить компьютер в ждущий режим или гибернацию
ОС уже загружена.
BitLocker уже выполнил свою работу.
Так что не забудьте включить настройку групповой политики безопасности, которая требует пользователей вводить пароль
каждый раз когда компьютер возвращается в рабочий режим.
Если бы вы отошли от своего компьютера
и не заблокировали его
как технология шифрования жесткого диска помешает плохому парню прийти и отправить email от вашего лица - боссу?
Мне жаль, но нет никакой заплатки...
У меня были проблемы из-за моих слов раньше, так что лучше я промолчу.
TPM - это не что-то, что можно использовать для входа в систему.
Атаки на апаратную часть. Вам не стоит на самом деле беспокоится об этом
Но через года два
Атаки DMA (атаки прямого доступа к памяти) могут стать тем, о чем придется беспокоится
К счастью, у нас есть парни в Microsoft, которые думают об этом сейчас.
И, конечно, если вы раскроете свой пароль, но это совсем другая проблема
Это не проблема защиты жесткого диска.
Вам нравится идея шифрования томов,
но к сожалению у вас нет бюджета, чтобы купить
новые ноутбуки,
в которых были бы TPM чипы.
Ничего.
Вы все еще можете настроить компьютер использовать BitLocker
и вместо того, чтобы сохранять корневой ключ в TPM
вы можете хранить корневой ключ на USB диске
Если вы захотите сделать это, вам нужно пойти в редактор групповой политики
Local Computer > Configuration > Administrative Templates
Windows Components > Drive Encryption
Затем Startup Options и изменить
с Not Configured на Enabled
Оставьте следующий пункт выбранным.
Allow BitLocker without a compatible TPM.
Оставьте Startup Options как есть по-умолчанию
Require Startup key
это на языке групповой политики "требовать USB диск"
Запретить PIN код при загрузке.
Когда вы сделаете это, первые два шага станут немного другими
Вы включаете компьютер,
он попросит вас вставить USB диск
с корневым ключем
Он прочитает корневой ключ с USB диска,
и проследует той же процедуре, что вы видели до этого.
Теперь наши списки существующих и отсутствующих рисков изменились.
Изменения выделены желтым.
Мы смогли изменить цвет для пункта про гибернацию
так что теперь, когда вы будете выводить компьютер из гибернации, он попросит вас вставить USB диск.
Но опять же, это не так для ждущего режима
так что вам все-таки надо будет включить ту настройку групповой политики.
Или отключить ждущий режим.
Выбор за вами.
Поскольку нам теперь надо кое-что еще кроме доменной учетной записи,
это несколько помогает защитить пароли.
Но мы теперь не защищены от атак на загрузочный процесс.
Помните - это TPM обеспечивал нам целостность загрузки.
И теперь у нас его нет.
И в этом случае, без TPM, но с USB диском, BitLocker выполняет только одну функцию
- шифрование тома.
Для некоторых из вас этого достаточно
Для других в зале - вы будете решать
нужна ли вам целостность загрузочного процесса
И вы таки обновите апаратную часть ваших компьютеров, и они будут с TPM 1.2 чипами
и вы будете использовать BitLocker только на этих машинах
Это нормально.
Тем не менее вы можете задуматься о добавлении третьего способа защиты
поверх TPM.
И один из выборов в этом случае - требовать USB диск вместе с TPM.
В редакторе групповой политики опять же - поменяйте настройку на Enabled.
На этот раз снимите этот флажок.
Мы хотим TPM, поэтому мы не разрешим работу BitLocker без TPM.
Оставьте Startup options как они есть.
Теперь это выглядит так.
Запускается БИОС, TPM производит проверку изменений
Далее ОС просит пользователя вставить USB диск с ключем
Теперь у ОС есть обе части корневого ключа
В этом варианте часть корневого ключа хранится в TPM, другая часть - на USB диске.
Так что вам нужны, как компьютер, так и USB диск, чтобы расшифровать винчестер в компьютере.
Вы украли компьютер, но не украли USB-диск
так что у вас нет полного корневого ключа и компьютер вам бесполезен.
Это значит, что вы не должны носить ваш USB диск в сумке с компьютером
прикрепите его к своей связке ключей, например.
Списки рисков снова немного другие
Атаки на загрузочный процесс снова в списке "предотвращенных рисков".
поскольку у нас есть TPM.
Список непредотвращенных рисков стал меньше.
Обратите внимание на один пункт внизу
Если вы не защитите USB диск
бесполезно затевать все это.
Возможно, только возможно, что лучшим выбором
будет объединение TPM с другим механизмом хранения пароля.
Вашей головой.
В этом случае это PIN код и TPM.
Да, снова, вы меняете с Not Configured на Enabled.
Убираете эту галочку здесь.
И меняете значения в Startup options на противоположные
Disallow startup key, require startup PIN
Помните - в этом случае компьютер будет просить вас ввести вторую часть корневого ключа.
которую он потом объединит с другой частью корневого ключа из TPM.
Все остальное выглядит так же.
Теперь мы можем убрать один риск из "непредотвращенных рисков"
Больше нет никакого USB диска, который нужно защищать
Больше не надо ничего носить с собой
потому что вы носите свою часть корневого ключа у себя в голове.
Вобщем это то, что мы рекомендуем.
Наша рекомендация - PIN, который вводит пользователь, и TPM чип.
Интересное маленькое замечание.
Момент, когда Windows просит вести ваш ключ
вашу часть корневого ключа
происходит до загрузки драйвера клавиатуры.
Как же черт возьми это будет работать?!
Подключаете мышку и клик-клик-клик-клик
Единственное, что работает до загрузки драйвера - это функциональные клавиши сверху.
Они работают.
Вот, что вы используете, чтобы ввести свой PIN
- функциональные клавиши.
Мы подумали, что это будет хорошей идеей - обдумать, насколько длинным должен быть PIN
Мы провели несколько экспериментов
о которых можно прочитать в этой записи в блоге
И на основании экспериментов выясняется,
что наилучшая длина PIN:
7 символов, из которых 4 - уникальных и 2 повторяются.
Это лучше чем F2, 3, 4,5,6,7,
Посетите этот блог, если вам интересны детали.
как мы пришли к этой рекомендации.
Еще кое-что для размышлений
Помните я говорил вам,
что для того, чтобы выполнить обновление БИОС нужно отключить BitLocker и поэтому существует два уровня ключей?
Другим вариантом может быть команда BitLocker'y, не обращать внимание на то, что говорит TPM
касательно проверки изменений кода БИОС
Я не утверждаю, что это лучший вариант настройки
но это тоже вариант.
Помните, TPM только делает измерения и докладывает
а BitLocker принимает решения.
Вы можете поменять то, как он принимает решения
Еще одно, о чем стоит подумать - дополнительное ПЗУ
Я веду презентацию со своего жесткого диска - не люблю доставать ноутбук
Он использует option ROMs, так же как и все другие USB устройства
Предположим, что когда вы настраивали BitLocker,
не было никаких подключенных USB устройств
и однажды вы включаете свой компьютер
и забываете отключить USB устройство.
Option ROM будет другим
хеш будет другим
так что BitLocker не даст операционной системе загрузится.
В этом случае вы можете отключить это устройство,
но сколько из вас поймут, что это из-за подключенного устройства, BitLocker остановил загрузку?
Он не говорит вам. Он просто пишет "Нарушение защиты"
Так, что вы можете захотеть изменить профиль проверки платформы
Если вы зайдете в эту настройку групповой политики
и измените ее с Not Configured на Enabled,
вы увидите небольшое предупреждение
"Мы рекомендуем вам не изменять настройки по-умолчанию:
0, 2, 4, 8, 9, 10 и 11
Но если вы любопытны, как я,
и прокрутите вниз, то увидите, что каждый из пунктов отмечен.
Если вы решите, что BitLocker'y не стоит обращать внимание на проверку выполненную TPM
касательно БИОС
или option ROM
вы измените это и отключите 0 и 1 или 2 и 3
Выбор за вами.
Опять же, я не буду говорить вам, какие настройки лучше или хуже.
Вы сами принимаете это решение о рисках.
Я просто показал вам, как вы можете это сделать.
и объяснил, почему вы можете захотеть это сделать.
Помните разговор о запасных способах добраться к данным?
И у EFS таким механизмом является Recovery Agent.
Механизм у BitLocker называется пароль для восстановления.
Есть три места, где вы можете его хранить:
на листке бумаги
если вы так решите. Это вполне нормальный вариант.
Пожалуйста, не подписывайте его "Мой пароль BitLocker - восстановление" и не кладите его в сумку с ноутбуком.
Опять же. Не слишком хорошая идея.
Вы можете сохранить пароль на USB диске, если захотите.
Наилучшим вариантом все же является автоматизация
- сохранение пароля для восстановления в Active Directory.
Если вы хотите сделать это, понадобится сделать пару вещей
Во-первых, убедитесь, что на вашем контроллере домена стоит Windows Server 2003 SP1 или новее.
Во-вторых вы должны
Расширить свою схему!
Да, я знаю, каждый из вас в этой комнате боится этого процесса
потому, да, вы правы, нет никакого способа вернуть все обратно
Но знаете что?
Никогда в истории Windows
не сообщалось о том, что расширение схемы повреждало лес.
Так что не беспокойтесь об этом.
Затем вы должны изменить ACL объекта домена
И наконец вы можете включить настройку групповой политики, которая гласит "Хранить пароль восстановления
в учетной записи компьютера.
Если вам интересно..
Оу. Посмотрите на предупреждение внизу.
Это не что-то, что можно сделать задним числом.
Если вы уже включили BitLocker на некоторых компьютерах,
все эти шаги не скажут этим компьютерам пересохранить их пароли в Active Directory.
Сначала вы должны сделать это.
И вот статья на TechEd со всеми деталями.
Вот как выглядит расширение схемы. Около 40 байт.
Ничего такого.
Оу, у меня есть компьютер с поврежденным жестким диском. Что мне делать?
Очень просто.
Вот за этим и нужен пароль для восстановления
Вы можете вытащить жесткий диск из компьютера,
вставить его в другую машину
У нас есть утилита для восстановления, которую вы можете использовать. Детальней о ней в это статье.
Мы действительно старались подумать заранее
над способами, как бы вы могли добраться к данным, если данные или жесткий диск повредятся.
Но есть еще кое-что.
И я хочу убедится, что вы поймете это.
Нет никакого
бекдора.
Есть два пути добраться к данным защищенных BitLocker'om:
начиная с корневого ключа
или используя пароль для восстановления.
И все.
Периодически я получаю электронные письма
Пишите мне письма. Пожалуйста, не надо мне звонить.
Я получаю письма от кого-нибудь из правоохранительных органов
которые ищут
Правоохранительный ключ.
Магический пароль, который открывает все защищенные BitLocker'om диски.
Мне жаль, но нет никакого запасного входа.
Да, плохие парни тоже будут использовать это.
У технологии нет морали.
Мораль - это о том, как технологии применяются.
Если бы мы сделали ключ для полиции
в BitLocker,
кто бы первый нашел его?
Плохие парни.
Это бы свело на нет вашу возможно доверять BitLocker'y.
И это было бы причиной для тысяч сотрудников Microsoft включая меня уволится с работы
Его там нет. Не ищите его.
BitLocker - из тех вещей, которые вы можете использовать, не сомневаясь в своих решениях.
Итак, вы найдете эту замечательную маленькую утилиту - manage-bde.wsf
и вы увидите, что ничто не мешает вам написать manage-bde -on D:
Хм. Значит ли это, что BitLocker можно использовать для любого тома?
BitLocker в Windows Vista поддерживает только на системном томе,
томе на который вы устанавливали Windows.
Если вы введете эту команду и зашифруете другие разделы - пожалуйста
Мы не проверяли это.
Я слышал, что там были какие-то странные вещи с выводом компьютера из сна
и несвоевременным удалением ключа из памяти. Я не знаю.
правда это или нет.
Но мы исправили это в SP1. Вы можете использовать BitLocker из графического приложения на любом томе в SP1
Я делаюсь с вами этим сейчас потому что
я не хочу быть ответственным
если вы найдете это и зашифруете.
И будете говорить: "Стив, ты не предупреждал меня об этом
Каждый раз, когда я вывожу компьютер из сна,
он кидается бананами.
Я хочу, чтобы вы знали о том, что такая утилита есть.
Но я не могу предугадать, как будет вести себя ваш компьютер.
Где имеет смысл применять BitLocker? Я думаю - в двух областях
или в трех.
На ноутбуках. Да, определенно.
На компьютерах с плохой физической безопасностью.
Возможно, даже на серверах.
Если вы не можете быть уверены в физической безопасности машины,
возможно, вы сможете сделать сложнее доступ к данным,
если кто-то украдет жесткий диск из компьютера.
Также на контроллерах домена в удаленных офисах
довольно интересная идея
Опять же - это вопрос физической безопасности. Если вы не можете быть уверены в окружении машины,
сделайте так, чтобы машина не была полезной неразрешенным пользователям.
Я упоминал, когда мы говорили о EFS,
что EFS - часть Data Encryption Toolkit
В Data Encryption Toolkit есть раздел, в котором обсуждается и рекомендуется использование как EFS, так и BitLocker на компьютере с Windows Vista.
Я размышлял над этим какое-то время и сделал то, что делаю обычно,
начал задавать докучливые вопросы, которые другие люди не хотели бы слышать.
Я спросил: зачем?
Если мы шифруем том, зачем шифровать дважды файлы на этом томе?
Более того, вот таблица
из этого Toolkit, которая показывает риски предовращенные разными технологиями.
Если вы сравните BitLocker с TPM и PIN
и BitLocker + TPM + PIN + EFS со смарт картой в кешированном режиме,
Вы видите? Они одинаковы
Зачем мне нужно EFS?
Я поспрашивал у людей. Я спрашивал "Зачем? Какая от этого польза?"
И я получил некоторые интересные ответы
от некоторых людей, которые нашли время ответить.
Во-первых, первый ответ, наверно, единственный, в котором действительно есть логика.
Если у вас есть ноутбук с Windows Vista и дисками C и D
и Windows у вас на диске C, технически не поддерживается
шифрование BitLocker'ом диска D.
Вы можете использовать EFS на диске D.
Также выявились некоторые другие любопытные сценарии.
У меня есть сменный диск, который используют несколько людей
Разве не лучше использовать EFS, так как EFS позволяет добавлять нескольких пользователей к файлам?
Я так не думаю.
Я думаю, RMS здесь лучше подходит.
Поскольку вместо владельца диска появляется владелец документа, который и принимает решения.
Третий сценарий вобще-то ошибка.
Человек, который отвечал, сказал: "EFS защищает файл
я отправлю его себе на hotmail,
и когда приду домой, вставлю смарт карту в ридер
на домашнем компьютере и прочитаю вложение.
Не так.
Оно уже будет расшифровано.
EFS самостоятельно расшифрует файл,
чтобы прикрепить его к вашу почтовому сообщению.
EFS так и должен работать.
Тогда человек исправился: "Я хотел сказать
портативный жесткий диск".
Принесу его домой и использую смарт карту, чтобы прочесть его.
Разве не было бы значительно проще иметь сертификат S/MIME
и отправить его себе на hotmail и не возится с жестким диском повсюду?
Так, что я считаю, что если вы используете BitLocker на томе с Windows,
этого достаточно.
Вам не нужна еще и EFS поверх этого.
Такая у меня рекомендация.
Очень кратко
прежде чем я позволю вам уйти отсюда,
я хочу остановится на некоторых вещах о RMS.
Мы говорили об этом ранее
я расчитываю, что вы знаете, что это такое.
Если вы не знаете, зайдите на microsoft.com/rms и узнайте детальней об этой технологии.
Я хочу поговорить о трех вещах.
Номер 1.
RMS хотя и идеально дает пользователям возможность накладывать ограничения доступа прямо на файлы
(Помните RMS также шифрует файлы,
так что они защищены от атак)
RMS требует, чтобы каждый пользователь не забывал накладывать защиту.
У SharePoint 2007 есть механизм, который позволяет накладывать RMS профиль на библиотеку документов.
Что значит, что когда пользователи отправляют документ в библиотеку
этот RMS профиль будет наложен, когда пользователи заберут документ из библиотеки.
Да, они хранятся незашифрованными в библиотеке документов,
но на это есть своя причина.
Первая.
Если вам нужно изменить RMS профиль, придется расшифровать все документы, а потом зашифровать их.
Вторая.
Представьте на секунду, вот есть библиотека документов
Элис может читать документы,
а Боб - нет.
Есть 7 библиотек на сервере Share Point
Если Элис нужно будет произвести поиск
слова "рыба-меч"
и один из этих документов в библиотеке содержит в себе "рыба-меч"
Элис увидит это в своих результатах поиска.
Потому что она числится в профиле библиотеки с правами чтения.
Но Боб нет, так?
Если Боб будет искать "рыба-меч"
он не увидит никаких результатов
потому что у него нет прав чтения библиотеки.
Это круто.
Если смотрите в сторону RMS, я думаю, SharePoint позволит вам облегчить использование RMS
пользователям не надо будет запоминать столько всего
и служба поиска сама знает права пользователей.
Во-вторых.
Вы знаете, что я не говорю много о партнерах,
поскольку считаю, что большинство проблем могут быть решены используя возможности встроенные в ОС.
Два наших партнера предоставляют полезные дополнения к RMS, которые мы вам не даем.
Один из них - Liquid Machines.
Они добавляют значительное количество новых форматов файлов в RMS, включая наши собственные, вроде Visio
также файлы Acrobat и AutoCAD
Liquid Machines позволяют вам использовать BlackBerry, чтобы читать RMS сообщения.
Я полагаю, что это чужое слово для всех в этой комнате.
Вы все используйте Windows Mobile. Я не прав?
Один парень поднял руку с гордостью.
Вот еще один BlackBerry.
Много людей были заинтересованы в поддержке RMS на Blackberry.
Liquid Machines дают вам такую возможность.
Другой партнер, который вас, возможно, заинтересует -
компания, которая называется Titus Labs.
Они возвращают классификацию документов.
Если вам нужен автоматизированный способ
классификации документов
Ну, возможно, не такой уж автоматизированный, но по меньшей мере простой способ
Titus Labs предоставляет механизм
плагин в Office
который требует пользователей классифицировать документ прежде, чем они смогут его сохранить.
Правительство Таиланда очень заинтересовалось этим, когда я с ними говорил.
Так же вы можете настроить плагин автоматически выбирать из предварительно настроенных RMS профилей
если хотите.
Так, важные документы могут оставать в обычном виде,
конфиденциальные документы могут быть зашифрованы
и им будет присвоен RMS профиль. Все, что вы захотите.
Вы заранее настаиваете это
и панель там. Пользователи должны использовать ее
Они не могут сохранить документ, не сделав этого.
Несколько вещей, которые я хотел упомянуть об RMS
чтобы сделать технологию более полезной
и на последок давайте быстро подведем итоги.
Разве все эти технологии - не одно и то же?
Нет, не одно и то же.
Помните, S/MIME это для почты?
EFS и BitLocker
предназначены для защиты данных в остальное время.
Помните неизменный закон номер 3?
Если у плохого парня появился доступ к вашему компьютеру,
это больше не ваш компьютер.
Это устраняет этот закон.
Если у плохого парня есть физический доступ к вашему компьютеру,
данные по-прежднему остаются вашими
до тех пор пока шифр не сломан.
Это дает время
Сколько времени?
Лучшая оценка, которую я нашел -
для 128 битного AES
с Elephant Diffuser
Около 550 000 000 лет.
Вашим секретам нужна такая защита?
Этого времени достаточно для вас?
Вероятно, что да.
И RMS. Контроль доступа основанный на объектах
живет на самом объекте
и который сохраняется вне зависимости от того, где находится объект.
Друзья, я хочу поблагодарить вас за то, что были все это время со мной.
Я знаю, в этой презентации было много информации.
Как технологии, так и теория
Я люблю такие презентации
Посколько у смотрю на ваши лица и вижу,
что вы задумываетесь над тем, как это может решить ваши проблемы.
Вот зачем я здесь
и вот, что доставляет мне удовольствие -
решение ваших проблем.
Будет еще много всего в следующие два дня.
Надеюсь увидеть вас снова. Доброй ночи.
Субтитры - blog.undsoft.com

It's 11 pm. Do you know where your data is?

Translate and Transcribe

Share

Video Transcription