Windows 7 BitLocker или шифрование данных. Часть 3 – шифрование USB-накопителей

Введение

Windows 7 BitLocker либо шифрование данных. Часть 3 – шифрование USB-накопителейВ нескольких прошлых статьях данного маленького цикла было описано о том, как устроена разработка BitLocker, также вы могли выяснить о шифровании системных разделов средствами графического интерфейса. Другими словами, на данном шаге есть ноутбук, у которого зашифрован системный раздел с запросом ключа пуска при загрузке операционной системы. Другими словами, в этом случае, если ноутбук будет украден, ваш юзер может не волноваться за то, что какая-то принципиальная информация будет украдена.

Ну а сейчас, в качестве примера, представим такую ситуацию, что мы зашифровали все диски на пользовательских ноутбуках, также на контроллерах домена. Другими словами, это уже, по последней мере, хорошо. Если у ваших юзеров украдут кое-где ноутбуки либо в компанию вломятся похитители и украдут у вас контроллеры домена, никакого вреда, не считая как вещественного, вам не нанесут. Но, не следует забывать, что у ваших юзеров есть такие примечательные аксессуары как USB-накопители. Они, другими словами юзеры, могут ходить с этими накопителями на работу, носить их домой, даже приходить с ними к друзьям, чтоб поделиться новейшей серей собственного возлюбленного телесериала либо напротив, скачать на нее что-то для себя.

Допустим, что можно исключить тот вариант, когда юзеры выносят секретную информацию из компании, потому что никаких скрытых данных у вас нет. А на данном шаге просто представим, что юзер носится с флэшкой на работу и с работы. Что может получиться, в конечном счете. После еще одного похода в гости юзер может схватить у собственных товарищей некий вирус, который обыденно ваши корпоративные антивирусные продукты не сумеют отследить. Может ведь быть такое? Почему бы и нет. В конечном счете, у вас пострадает весь парк компов из-за 1-го архаровца с флэшкой.

Потому, я безотступно рекомендую шифровать к тому же USB-накопители собственных юзеров, о чем, фактически, и речь пойдет в последующем подразделе.

Шифрование USB-накопителей средствами групповой политики

Из последующей, легкой процедуры, вы узнаете о том, какие же деяния следует делать для того, чтоб малость повысить безопасность вашего парка компов от халатного дела юзеров к своим съемным устройствам. Другими словами, в данном разделе будут описаны деяния, после которых будет выполнено шифрование BitLocker для USB-накопителей, которыми могут воспользоваться ваши юзеры. Опции шифрования USB-накопителей можно задать как для отдельного юзера на локальном компьютере из рабочей группы, так и для подразделений либо всех компов домена с помощью многофункциональных способностей групповой политики. Соответственно, чтоб зашифровать USB-накопитель, требуется выполнить последующие деяния:

Для начала откройте оснастку «Управление групповой политикой». В дереве оснастки разверните узел «Лес: %имя леса%», узел «Домены», потом узел с именованием вашего домена, а после чего перейдите к контейнеру «Объекты групповой политики». В избранном контейнере «Объекты групповой политики» сделайте объект групповой политики, к примеру, «Политика для шифрования съемных дисков компании». После чего изберите сделанный только-только объект GPO, нажмите на нем правой кнопкой мыши и из контекстного меню изберите команду «Изменить»;
В отобразившейся оснастке «Редактор управления групповой политики» перейдите к узлу Конфигурация компьютераПолитикиАдминистративные шаблоныКомпоненты WindowsШифрование диска BitLocker и изберите узел «Съемные диски с данными». Перейдя к данному узлу, тут можно найти 6 характеристик политики. Потому что их мало, в этой статье подвергнется рассмотрению каждый параметр, который тут размещен. 1-ый параметр, рассматриваемый в текущей статье, предназначен для управления возможностью опции BitLocker юзерами, соответственно для собственных USB-накопителей на собственных компьютерах,. Для этого следует открыть диалоговое окно параметров параметра политики «Управление внедрением BitLocker для съемных носителей». Тут, как вы видите на последующей иллюстрации, кроме функции «Включить», тумблер на которую непременно будет установлен, еще находятся два управляющих элемента. 1-ый контрол, у которого вы сможете установить флаг, именуется «Разрешить юзерам использовать защиту BitLocker для съемных дисков с данными» позволяет юзерам без помощи других запускать мастер шифрования BitLocker и зашифровывать свои съемные носители. Ну а если вы установите флаг на функции «Разрешить юзерам временно приостанавливать защиту BitLocker и расшифровывать съемные диски с данными», вы тем разрешите юзерам отключать шифрование для собственных накопителей. В принципе, я предлагаю установить только 1-ый флаг и сохранить выполненные конфигурации;

Windows 7 BitLocker либо шифрование данных. Часть 3 – шифрование USB-накопителей
Прирастить набросок

Рис. 1. Диалоговое окно параметров параметра политики «Управление внедрением BitLocker для съемных носителей»

Сейчас, после того как юзеры сумеют без помощи других шифровать свои USB-накопители, мы можем им запретить на собственных компьютерах использовать флэшки в качестве устройств, созданных для записи, которые еще не были зашифрованы с помощью технологии BitLocker. Другими словами, используя способности параметра политики «Запретить запись на съемные диски, не защищенные BitLocker», USB-накопители, которые не были зашифрованы, могут употребляться только в качестве устройства, предназначенного только для чтения. Другими словами, можно сделать из флэшек, так именуемые, огромные DVD-R диски. В этом случае, если вы установите флаг на функции «Запретить запись на устройства, настроенные в другой организации», запись на USB-накопитель будет разрешена только в этом случае, если поля идентификации на дисках совпадают с полями идентификации компьютера юзера. Что это значит? Это значит, что если вы настроили уникальные идентификаторы для устройств организации, все устройства, которые не будут заходить в спектр таких идентификаторов, также будут употребляться в качестве устройств только для чтения. Идентификаторы можно настраивать для устройства с помощью утилиты командной строчки Manage-bde. Кстати, эти идентификаторы могут включать в себя до 260 знаков. В данном примере не будет устанавливаться этот флаг, а просто сохраним конфигурации с установленным тумблером на функции «Включить»;

Windows 7 BitLocker либо шифрование данных. Часть 3 – шифрование USB-накопителей
Прирастить набросок

Рис. 2. Воспрещение записи на незашифрованные USB-накопители

Какова возможность, что юзер со собственной флэшкой придет домой, а у него там установлена операционная система Windows 7? Может у юзера очень старенькый компьютер и там установлена система Windows XP. В таком случае, чтоб юзер сумел там использовать собственный USB-накопитель, следует настроить BitLocker To Go. Используя параметр политики «Разрешить доступ к съемным дискам с данными, защищенным при помощи BitLocker, из более ранешних версий Windows» вы сможете указать, что съемные накопители, которые отформатированы в файловой системе FAT можно будет использовать в устаревших операционных системах. Если параметр политики включен, и вы не установили флаг на функции «Не устанавливать BitLocker To Go Reader на съемных дисках, отформатированных с системой FAT», то на клиентские компы при установке флэшки будет устанавливаться программка bitlockertogo.exe. При установленном флаге вы тем подразумеваете, что на компьютерах с устаревшими операционными системами данное приложение уже установлено. В принципе, в этом случае установим только только тумблер на опцию «Включить» и сохранить внесенные конфигурации, как показано на последующей иллюстрации;

Windows 7 BitLocker либо шифрование данных. Часть 3 – шифрование USB-накопителей
Прирастить набросок

Рис. 3. Включение BitLocker To Go

Как можно сделать USB-накопитель еще безопаснее? Естественно, для этого следует в дополнение к шифрованию еще задать пароль, созданный для выполнения расшифровки инфы. И эту возможность также вы сможете задать с помощью многофункциональных способностей групповой политики. Для этого откройте диалоговое окно параметров параметра политики «Настроить внедрение паролей для съемных дисков с данными» и установите тумблер на опцию «Включить». Кроме этого, установив флаг около функции «Требовать пароль для съемного диска с данными», вы тем укажите, что это требование является неотклонимым, и вы не можете использовать собственный накопитель, если для него не будет указан пароль. Учтите, что данные характеристики активируются конкретно при включении BitLocker на устройстве, а не во время его разблокировки. Кроме этого, на что, как я считаю, следует непременно направить внимание, так это на тот факт, что тут же вам предоставляется возможность определения малой длины пароля, также уровень его трудности. Также учтите, что если вы активируете требования к трудности пароля, вам необходимо заблаговременно настроить сложность паролей в параметре безопасности. О данных способностях вы сможете почитать в одной из моих статей по характеристикам безопасности либо поглядеть восьмое занятие технического тренинга «Групповая политика в производственной среде», где речь шла о паролях и их трудности. Соответственно, устанавливаем флаг на функции «Требовать пароль для съемного диска с данными», из раскрывающегося перечня «Установить сложность пароля для съемных дисков с данными» избираем значение «Требовать непростой пароль», а наибольшая длина пусть остается 8-ми символьной, как можно увидеть ниже;

Windows 7 BitLocker либо шифрование данных. Часть 3 – шифрование USB-накопителей
Прирастить набросок

Рис. 4. Настройка паролей для съемных накопителей

В данном узле остались два параметра политики, отвечающие за шифрование съемных устройств. Какой-то из них – это параметр политики «Настроить внедрение смарт-карт на съемных дисках с данными». С помощью этого параметра политики вам предоставляется возможность выполнения проверки подлинности юзера, для доступа к собственной флэшке. Другими словами, если установить тумблер на опцию «Включить», также установить флаг напротив соответственной функции, юзеру, грубо говоря, всегда придется использовать смарт-карту. Во-1-х, в этом навряд ли может быть такая острая необходимость, а во-2-х, потому что у меня в моей лабораторной среде нет смарт-карт, потому в диалоговом окне параметров данного параметра политики я на данный момент не вношу никаких конфигураций;

Windows 7 BitLocker либо шифрование данных. Часть 3 – шифрование USB-накопителей
Прирастить набросок

Рис. 5. Параметр политики «Настроить внедрение смарт-карт на съемных дисках с данными»

Ну и последний параметр политики, который вы сможете отыскать в данном узле, предназначен для получения способности использования собственного USB-накопителя в этом случае, если не вы сможете при проверке подлинности на этот момент предоставить свои учетные данные. Для того чтоб пользоваться способностями данного параметра политики, вам предстоит выполнить еще некие подготовительные деяния. Все дело в том, что для восстановления учетных данных употребляется агент восстановления данных, которые вам предстоит добавить в узле «Политики открытого ключа» характеристик безопасности, чему будет посвящена отдельная статья в текущем цикле;
После того как все характеристики будут настроены, думаю, будет справедливо закрыть редактор управления групповыми политиками и привязать настроенный объект групповой политики к тому подразделению, на которое должны распространяться внесенные конфигурации. К примеру, чтоб USB-накопители шифровались на всех компьютерах в организации, можно привязать таковой объект ко всему домену.

Сейчас осталось только проверить, что вышло настроить с помощью выполненной выше процедуры. Соответственно, обновим характеристики конфигурации компьютера на компьютере, который заходит в домен Active Directory и попробуем воткнуть USB-накопитель, чтоб поглядеть, что все-таки будет на данный момент предложено. Итак, как видно на последующей иллюстрации, на данный момент юзер может сходу зашифровать собственный съемный накопитель, что значит, что характеристики политики верно применились.

Windows 7 BitLocker либо шифрование данных. Часть 3 – шифрование USB-накопителей

Рис. 6. Реакция операционной системы на присоединенный USB-накопитель

Заключение

Из этой статьи вы узнали о том, каким образом можно выполнить подготовительные опции, связанные с шифрованием съемных накопителей с помощью многофункциональных способностей групповой политики, как на компьютерах, входящих в рабочую группу, так и для членов домена Active Directory. В последующей статье данного цикла вы узнаете о том, как можно управлять шифрованием дисков средствами соответственной утилиты командной строчки.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.