Реализация безопастности клиентских систем

Реализация централизованного решения по безопасности клиентских ОС

В отличие от других угроз ИБ, природа проблем «украденный ноутбук» или «украденная флэшка» довольно примитивна. И если стоимость исчезнувших устройств редко превышает отметку в несколько тысяч американских долларов, то ценность сохраненной на них информации зачастую измеряется в миллионах.

В Windows есть встроенные инструменты, которые помогают безопасно хранить информацию. Рассмотрим один из них.

BitLocker (точное название BitLocker Drive Encryption) — это технология шифрования содержимого дисков компьютера, разработанная компанией Microsoft. Она впервые появилась в Windows Vista.

ImageX — используется для захвата и применения образов. Создаёт либо единую структуру WIM, либо для редупликации данных с использованием второго общего ресурса WIM. Не требует сервера развёртывания Windows для захвата или применения образов. Может работать с общей сетевой папкой или с сетевого диска.
WDSUTIL — команда, используется для управления сервером WDS без графического интерфейса пользователя. Возможно использование ПО, таких как Acronis Snap Deploy.

Самый простой, но одновременно и самый небезопасный метод — это пароль. Ключ получается из пароля каждый раз одинаковым образом, и соответственно, если кто-то узнает ваш пароль, то и ключ шифрования станет известен.
Чтобы не хранить ключ в открытом виде, его можно шифровать либо в TPM (Trusted Platform Module), либо на криптографическом токене или смарт-карте, поддерживающей алгоритм RSA 2048.
TPM — микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования.
Модуль TPM, как правило, установлен на материнской плате компьютера, однако, приобрести в России компьютер со встроенным модулем TPM весьма затруднительно, так как ввоз устройств без нотификации ФСБ в нашу страну запрещен.
Использование смарт-карты или токена для снятия блокировки диска является одним из самых безопасных способов, позволяющих контролировать, кто выполнил данный процесс и когда. Для снятия блокировки в таком случае требуется как сама смарт-карта, так и PIN-код к ней.