Набор средств шифрования данных для
мобильных ПК — анализ безопасности
Обзор
Всего несколько лет назад переносные
компьютеры относительно редко использовались в большинстве организаций. Они
выдавались, как правило, только сотрудникам, проводившим много времени в
разъездах, и управленческому персоналу. Сегодня переносные компьютеры не только
обладают большей мощностью, чем когда-либо, но и распространены практически
повсеместно. Переносные компьютеры больше не принадлежат избранным — в
некоторых организациях их даже больше, чем настольных компьютеров. А по мере
увеличения емкости дисков повышается их ценность с точки зрения хранения всех
видов конфиденциальных данных.
Колоссальное увеличение количества
переносных компьютеров сопровождается увеличением числа их потерь или краж.
Обеспечение безопасности переносных компьютеров является серьезной проблемой
для большинства средних и крупных организаций. Согласно данным недавнего
исследования института Понемона Конфиденциальные данные в опасности, "81
% из 484 опрошенных сообщили, что за последние 12 месяцев их организации
сталкивались с потерей или исчезновением одного или нескольких переносных
компьютеров, содержащих важную или конфиденциальную бизнес-информацию".
Хотя затраты на замену оборудования значительны, они могут быть существенно
ниже прямых и косвенных затрат, вызванных брешью в системе безопасности, в
случае если на жестком диске украденного переносного компьютера хранились
важные или конфиденциальные данные.
Некоторые виды информации защищаются государственными
законами, другие — местными постановлениями, а третьи — промышленными
стандартами. Количество законов, юрисдикций и классификаций, связанных с
конфиденциальностью, растет с увеличением количества переносных компьютеров.
Потеря переносного компьютера может подвергнуть организацию крупным штрафам или
административной ответственности из-за недостаточных превентивных мер,
предпринятых для обеспечения безопасности. Прямые и косвенные затраты после
выявления бреши в системе безопасности могут также быть связаны с трудностью
удержания клиентов и потерей доверия и репутации.
Корпорация Майкрософт предоставляет
средства для обеспечения безопасности переносных компьютеров. Правильное
шифрование данных на переносном компьютере может значительно затруднить получение
конфиденциальных сведений в случае потери или кражи переносного компьютера. При
надлежащем использовании шифрования диска Microsoft® BitLocker™ (BitLocker) и
шифрованной файловой системы (EFS) можно защитить конфиденциальные данные от
распространенных видов атак.
В данном руководстве Анализ безопасности набора средств шифрования данных корпорации
Майкрософт для мобильных ПК содержатся сведения об уровнях
безопасности, обеспечиваемых при использовании технологий BitLocker и EFS.
Выпуски Enterprise и Ultimate системы Windows Vista™ поддерживают все функции
безопасности, описанные в данном руководстве, а значительная часть их доступна
и в Microsoft Windows® XP. Существует несколько уровней защиты, которые зависят
от используемых функций и конфигураций. При использовании наиболее безопасных
конфигураций злоумышленнику потребуется невообразимое количество ресурсов для
расшифровки данных на жестком диске.
Анализ безопасности дает возможность понять, каким образом функции
Windows Vista и Windows XP позволяют снизить конкретные угрозы безопасности в
организации. Данное руководство поможет пользователям:
-
определить распространенные виды угроз и
риски в среде; -
понять, каким образом можно снизить
определенные риски и угрозы с помощью технологий BitLocker и EFS, используемых
как по отдельности, так и совместно; -
подготовиться к снижению угроз, которые
невозможно устранить с помощью технологий BitLocker и EFS; -
изучить некоторые функции и технологии
безопасности, доступные в Windows Vista.
Функции безопасности, описанные в данном
руководстве, были разработаны на основе стандартных технологий. Например,
реализация алгоритмов шифрования корпорации Майкрософт, используемая для
технологий BitLocker и EFS, сертифицирована в соответствии с федеральным
стандартом обработки информации правительства США (FIPS) 140-1, а все
реализованные алгоритмы давно используются на практике. Использование
стандартных технологий важно, поскольку некоторые государственные и местные
законы в области конфиденциальности данных подразумевают исключения или
смягчающие обстоятельства для организаций, которые могут подтвердить, что они
тщательно следовали рекомендациям по обеспечению безопасности данных.
Для кого предназначено это руководство?
Для кого предназначено это руководство?
Данное руководство предназначено для
специалистов в области безопасности, ответственных за принятие решений или
рекомендаций в области политик и технологий, в организациях, насчитывающих от
нескольких десятков до нескольких тысяч клиентских компьютеров (особенно
переносных). Описанные здесь технологии и угрозы, как правило, не применимы к
домашним пользователям и домашним сетям. Следует изучить данное руководство,
если в круг ваших обязанностей входят:
-
принятие решений или рекомендации в
области политики безопасности и технологий; -
реализация политики безопасности серверов
или клиентов; - оценка технологии безопасности;
-
интеграция политики безопасности с другими
политиками или технологиями управления компьютерами.
В данном руководстве представлены
подробные сведения для специалистов. Оно не является учебником по безопасности,
шифрованию, файловым системам и другим фундаментальным темам из области
безопасности и системного администрирования.
Содержание глав
В данном разделе приведен обзор глав
руководства.
Глава 1 ("Обсуждение рисков")
содержит общие сведения об угрозах безопасности, которые можно снизить с
помощью технологий BitLocker и EFS. В этой главе также описаны ситуации,
используемые в качестве примера в остальных главах Анализа безопасности,
что позволяет конкретизировать обсуждение рисков и преимуществ.
Глава 2 ("Шифрование диска BitLocker")
посвящена описанию технологии шифрования диска BitLocker, представленной в
системе Windows Vista. В данной главе описывается использование технологии
BitLocker для защиты от конкретных угроз безопасности, рассмотренных в главе 1,
а также приведены примеры конфигураций, которые можно использовать в качестве
отправной точки для разработки надежной реализации BitLocker в организации.
В главе 3 ("Шифрованная файловая система
(EFS)") описываются принципы работы файловой системы EFS и ее
использование для снижения конкретных угроз в среде.
В главе 4 ("Совместное использование BitLocker и
файловой системы EFS") объясняется, как совместное
использование BitLocker и EFS обеспечивает более эффективное снижение угроз,
чем каждая из этих технологии в отдельности.
Глава 5 ("Выбор подходящего решения")
посвящена рекомендациям и средствам, позволяющим специалистам по безопасности
выбрать наиболее подходящее сочетание функций и параметров для конкретной
организации.
Условные обозначения
Условные обозначения, принятые в данном
руководстве, описаны в приведенной ниже таблице.
Элемент |
Значение |
Полужирный шрифт | Обозначает текст, который отображается точно так, как показано, включая команды, параметры и имена файлов. Полужирным шрифтом также выделяются элементы интерфейса пользователя. |
Курсив | Курсивом выделены названия книг и других важных публикаций. |
<Курсив> | Текст, выделенный курсивом и заключенный в угловые скобки, обозначает переменные: <имя_файла>. |
Моноширинный шрифт | Обозначает примеры кода и сценариев. |
Примечание. | Указывает на дополнительные сведения. |
Важно! | Указывает на важные дополнительные сведения. |
Дополнительные сведения
Кроме документа Анализ
безопасности, Набор средств шифрования данных для
мобильных ПК включает перечисленные ниже полезные документы и
средства.
-
В Руководстве по планированию и
реализации описан процесс планирования и реализации технологий
BitLocker и EFS для защиты мобильных ПК. -
Средство Microsoft Encrypting File System
Assistant (EFS Assistant) позволяет автоматизировать поиск и шифрование
конфиденциальных файлов на компьютерах с Windows XP и Windows Vista. -
В Руководстве администратора EFS
Assistant показано, каким образом администраторы могут разворачивать
средство EFS Assistant и управлять им на компьютерах, входящих в домен, для
обеспечения надежной защиты в подразделениях или во всей организации.
Также доступно множество полезных
ресурсов, позволяющих лицам, принимающим решения, лучше изучить и глубже понять
проблемы, связанные с безопасностью сетей Microsoft Windows. Прекрасным
отправным пунктом является страница Руководство по безопасности
веб-узла Microsoft TechNet.
Конкретные советы в области требований к
безопасности при управлении доменами можно найти в Руководстве по обеспечению
безопасности Active Directory в Windows Server.
Поддержка и обратная связь
Группа Solution Accelerators — Security
and Compliance (SASC) будет рада узнать ваше мнение об этом и других решениях.
Комментарии и предложения отправляйте по адресу secwish@microsoft.com. Мы ценим ваши отзывы.
Решения Solution Accelerator содержат
конкретные рекомендации и позволяют автоматизировать интеграцию продуктов. В
этих решениях предлагаются проверенные средства и материалы, благодаря которым
можно уверенно планировать, создавать, разворачивать и использовать
ИТ-средства. Весь спектр решений Solution Accelerator и дополнительные сведения
см. на странице Решения Solution Accelerator
веб-узла Microsoft TechNet.