Шифрування в Windows Server 2008 R2

1. починаємо шифрувати
2. Локальна групова політика шифрування BitLocker
3. Параметри шифрування дисків з даними
4. Параметри управління шифруванням знімні носії з даними

З появою Windows Server 2008, а тепер і Windows Server 2008 R2 можливість шифрування стала вже вбудованою функцією операційної системи. У даній статті я спробую описати процес шифрування за допомогою функції BitLocker в новій версії Windows Server 2008 R2.

починаємо шифрувати

Перш ніж приступати до шифрування, необхідно відкрити «Завдання початкової настройки» і додати компонент «Шифрування BitLocker» (екран 1).

Після цього доведеться перезавантажити сервер, і можна починати шифрування.

Важливо врахувати, що в Windows Server 2008 R2, на відміну від Windows 7 і старіших версій, за замовчуванням вважається, що система обладнана модулем Trusted Platform Module (ТРМ). Якщо ваш сервер не обладнаний відповідним модулем, то вам до початку шифрування необхідно звернутися до редактора локальних групових політик, запустивши файл gpedit.msc. У редакторі локальних групових політик в розділі «Конфігурація комп'ютера» розкрийте контейнер «Адміністративні шаблони», потім «Компоненти Windows» і виберіть об'єкт «Шифрування диска BitLocker» (екран 2).

В цьому контейнері GPO слід знайти параметр «Обов'язкова перевірка справжності при запуску». За замовчуванням він має значення «Не задано».

Увімкніть цей параметр і обов'язково залиште прапорець для параметра «Дозволити використовувати BitLocker без сумісного ТРМ». Не забудьте, що при цьому буде потрібно флеш-накопичувач USB для зберігання ключа. Застосуйте дану політику, і ви зможете шифрувати свої жорсткі диски. Для цього необхідно перейти в панель управління, запустити модуль «Шифрування диска BitLocker» і вказати той диск, який належить шифрувати.

Ви, природно, можете зашифрувати лише диск даних або тільки системний диск, однак я рекомендую шифрувати обидва. Природно, послідовно. Можна і одночасно, але це буде довше.

Зверніть увагу! У переліку дисків, доступних для шифрування, перераховані не тільки жорсткі диски, але і зовнішній жорсткий диск і навіть флеш-накопичувач USB. Втім, ті з читачів, хто вже тестував шифрування в Windows 7, швидше за все, знають про дану можливості.

Після того як ви вказали на необхідність шифрування конкретного диска, BitLocker проведе його ініціалізацію. Раджу звернути увагу на те, що в період, коли ви будете шифрувати диск, продуктивність сервера знизиться. Після закінчення процесу ініціалізації операційна система запропонує вибрати місце для зберігання ключа шифрування.

Так як в даній статті розглядається шифрування без модуля ТРМ, параметри, які стосуються ТРМ, відповідно недоступні (виділені сірим кольором на екрані 3).

Після вибору «Запитувати ключ запуску при запуску» необхідно зберегти ключ на USB-носії, в нашому випадку на флеш-накопичувачі USB. Далі майстром буде запропоновано зберегти ключ відновлення на інший USB-носій або в текстовий файл або роздрукувати його. Врахуйте, що на флеш-накопичувач USB, на який ви зберегли ключ шифрування, буде скопійований і текстовий файл для розшифрування вашого диска, і в цьому файлі буде зберігатися 48-значний цифровий ключ для розшифрування.

Після цього система запропонує зашифрувати диск. У разі шифрування диска даних (не системний) ви побачите дещо інший варіант (екран 4).

Ви можете використовувати:

• пароль для зняття блокування диска;
• смарт-карту для зняття блокування диска, при цьому ви повинні будете ввести PIN-код відповідної карти;
• комбінацію перших двох способів;
• автоматичне зняття блокування диска цього комп'ютера.

Останній пункт має сенс використовувати тільки в тому випадку, якщо ви попередньо зашифрували системний диск.

Далі вам знову буде запропоновано зберегти ключ шифрування. Цей процес нічим не відрізняється від описаного вище для системного диска.

Локальна групова політика шифрування BitLocker

Розглянемо деякі параметри локальної групової політики, які стосуються шифрування BitLocker в версії Windows Server 2008 R2.

Обов'язкова перевірка справжності при запуску. Даний параметр дозволяє вказати, чи буде BitLocker вимагати додаткової перевірки автентичності при кожному запуску ПК, а також чи використовуєте ви ТРМ. Якщо сервер не оснащений ТРМ, слід встановити прапорець «Дозволити використання BitLocker, без сумісного ТРМ». В цьому випадку при запуску ключ шифрування буде зчитуватися з USB-пристрою. Якщо пристрій недоступний (не працює), необхідно скористатися одним із способів відновлення BitLocker.

Дозволити використання вдосконалених PIN-кодів при запуску. Цей параметр політики дозволяє налаштовувати використання вдосконалених PIN-кодів з програмою шифрування BitLocker. При цьому в PIN-коді можна застосовувати літери обох регістрів, цифри, символи та пробіли.

Встановити мінімальну довжину PIN-коду для запуску. Даний параметр встановлює мінімальну довжину PIN-коду. Довжина PIN-коду становить від 4 до 20 розрядів.

Вибір методів відновлення дисків операційної системи, захищених за допомогою BitLocker. Даний параметр дозволяє встановити методи відновлення BitLocker.

Щоб зробити режим перевірки ТРМ. Цей параметр політики дозволяє вказати, як обладнання безпеки для модуля TPM забезпечує безпеку ключа шифрування BitLocker. Даний параметр непридатний, якщо на комп'ютері немає сумісного модуля або ж якщо BitLocker уже включений і використовується захист за допомогою цього модуля.

Параметри шифрування дисків з даними

Налаштувати використання смарт-карт на фіксованих дисках з даними. Даний параметр управляє можливістю застосування смарт-карт для доступу до зашифрованих дисків.

Заборонити запис на фіксовані диски, не захищені BitLocker. За допомогою даного параметра можна дозволити запис на жорсткі диски, які не зашифровані за допомогою BitLocker. При включенні цього параметра всі фіксовані диски, не захищені BitLocker, підключаються як доступні тільки для читання. Якщо диск захищений за допомогою BitLocker, він підключається з доступом для читання і запису.

Дозволити доступ до фіксованих дискам з даними, захищеними за допомогою BitLocker, з більш ранніх версій Windows. Цей параметр політики визначає, чи можна розблокувати і переглядати фіксовані диски з даними, відформатовані з файлової системою FAT, на комп'ютерах під управлінням операційних систем Windows Server 2008, Windows Vista, Windows XP з пакетом оновлень 3 (SP3) і Windows XP з пакетом оновлень 2 (SP2). У цих операційних систем є доступ тільки для читання до дисків, захищених за допомогою BitLocker. Зверніть увагу, що цей параметр політики не застосовується до дискам, відформатованим з файлової системою NTFS.

Налаштувати використання паролів для фіксованих дисків з даними. За допомогою даного параметра можна визначити, чи потрібно пароль для розблокування фіксованих дисків даних, зашифрованих за допомогою BitLocker. Якщо дозволити використання пароля, можна зробити його обов'язковим, встановити вимоги до складності і задати мінімальну довжину. Для активації параметра вимог до складності слід включити параметр групової політики «Паролі повинні відповідати вимогам до складності», розміщений в розділі Конфігурація комп'ютера \ Параметри Windows \ Параметри безпеки \ Політики облікового запису \ Політика паролів \.

Вибір методів відновлення жорстких дисків, захищених за допомогою BitLocker. Цей параметр політики дозволяє управляти відновленням жорстких дисків з даними, захищених за допомогою BitLocker.

Параметри управління шифруванням знімні носії з даними

Управління використанням BitLocker для знімних дисків. При включенні цього параметра можна встановлювати значення властивостей, керуючі тим, як користувачі можуть налаштовувати BitLocker. Встановіть прапорець «Дозволити користувачам застосовувати захист за допомогою BitLocker на знімних дисках з даними», щоб дозволити користувачеві запускати майстер установки BitLocker на знімному диску з даними. Встановіть прапорець «Дозволити користувачам відключати і використовувати BitLocker для шифрування знімних дисків з даними», щоб дозволити користувачам видаляти шифрування диска BitLocker або тимчасово відключати шифрування на період обслуговування.

Налаштувати використання смарт-карт на знімних дисках з даними. Цей параметр політики дозволяє визначати можливість використання смарт-карт для перевірки автентичності доступу користувачів до знімних дисків з даними, захищеними за допомогою BitLocker на комп'ютері.

Заборонити запис на знімні диски, не захищені BitLocker. При включенні цього параметра всі знімні диски, не захищені BitLocker, підключаються як доступні тільки для читання. Якщо диск захищений за допомогою BitLocker, він підключається з доступом для читання і запису.

Якщо ви обрали «Заборонити запис на пристрої, налаштовані в іншій організації», то запис буде дозволена тільки на диски, чиї поля ідентифікації збігаються з полями ідентифікації комп'ютера.

Дозволити доступ до знімних дисків з даними, захищеним за допомогою BitLocker з більш ранніх версій Windows. Цей параметр політики визначає, чи можна розблокувати і переглядати знімні диски з даними, відформатовані з файлової системою FAT, на комп'ютерах під управлінням Windows Server 2008, Windows Vista, Windows XP з пакетом оновлень 3 (SP3) і Windows XP з пакетом оновлень 2 (SP2 ).

Налаштувати використання паролів для знімних дисків з даними. Даний параметр визначає, чи пароль для розблокування знімних дисків, зашифрованих BitLocker.

Природно, в одній статті неможливо розглянути всі тонкощі шифрування і всі параметри локальної групової політики, але я сподіваюся, що вам знадобляться наведені тут відомості.

Володимир Безмалий ( [email protected] ) - фахівець із забезпечення безпеки, MVP Consumer Security, Microsoft Security Trusted Advisоr