Шифрование сетевых папок

Слои защиты. Три уровня шифрования в сетевых хранилищах QNAP

Шифрование сетевых папок

В прош­лом году я про­вел под­робное иссле­дова­ние тех­нологии шиф­рования, исполь­зующей­ся в сетевых хра­нили­щах Synology.

Единс­твен­ный слой защиты в виде шиф­рования сетевых папок не устро­ил меня ни пред­лага­емым уров­нем ком­форта, ни обес­печива­емым уров­нем безопас­ности.

«Хорошо бы, — думал я, — если бы в NAS мож­но было вклю­чить шиф­рование дис­ков на аппа­рат­ном уров­не, а поверх соз­дать зашиф­рован­ный том, а пап­ки, так и быть, зашиф­ровать тем, что есть». Похоже, меч­ты сбы­вают­ся — но не сов­сем так, как хотелось бы.

Ры­нок «домаш­них» сетевых хра­нилищ насыщен пред­ложени­ями.

Для тех, кого пуга­ет само сло­во NAS, — линей­ка WD My Cloud Home, фай­лы в которой хра­нят­ся в виде порезан­ных на кусоч­ки бло­бов в базе дан­ных, а соз­дать сетевую пап­ку и орга­низо­вать стри­минг на умный телеви­зор — задача, штат­ными спо­соба­ми не реша­емая. Более кон­серва­тив­ные поль­зовате­ли, энту­зиас­ты и сег­мент SOHO могут выбирать из пред­ложений Synology, QNAP и Asustor.

В моделях всех про­изво­дите­лей, за исклю­чени­ем «домаш­них» устрой­ств Western Digital, под­держи­вает­ся шиф­рование дан­ных по алго­рит­му AES-256.

Нес­мотря на исполь­зование одно­го и того же алго­рит­ма, детали реали­зации у раз­ных про­изво­дите­лей могут отли­чать­ся нас­толь­ко, что даже срав­нивать меж­ду собой раз­личные схе­мы получа­ется с боль­шим тру­дом.

Так, в ком­пании Synology сде­лали став­ку на шиф­рование сетевых папок — eCryptFS. В QNAP пош­ли дру­гим путем.

В сов­ремен­ных моделях QNAP, работа­ющих под управле­нием акту­аль­ных вер­сий QTS, может исполь­зовать­ся не один, а целых три вари­анта шиф­рования, из которых мож­но при­менить хоть любой на выбор, хоть все вмес­те в любых ком­бинаци­ях. Перечис­лю дос­тупные методы:
  1. Self-encrypting drive (SED). Шиф­рование SED выпол­няет непос­редс­твен­но кон­трол­лер жес­тко­го дис­ка — при усло­вии под­дер­жки со сто­роны про­шив­ки.

    Далеко не все модели дис­ков под­держи­вают SED; про­ще все­го получить такой диск, разоб­рав внеш­ний накопи­тель WD My Book (толь­ко одно­дис­ковые модели; в двух­диско­вых шиф­рование реали­зова­но на уров­не кон­трол­лера USB).

    В NAS от QNAP, в тех моделях, где под­держи­вает­ся SED, вклю­чить защиту мож­но как для отдель­ного дис­ка, так и для все­го пула — орга­низо­вав, таким обра­зом, пол­ностью зашиф­рован­ный SED пул хра­нения. Шиф­рование SED — отличный «нулевой» слой шиф­рования, защища­ющий дан­ные, нап­ример при отправ­ке дис­ков в гаран­тий­ный сер­вис.

  2. Шиф­рование тома. Тра­дици­онно имен­но этот тип шиф­рования исполь­зовал­ся во всех устрой­ствах QNAP. Дан­ный тип шиф­рования — прог­рам­мный; его вклю­чение нес­коль­ко сни­жает про­изво­дитель­ность дис­ковой под­систе­мы.

    Впро­чем, раз­ница не кри­тич­на. Шиф­рование тома может защищать как тома, рас­положен­ные на кон­крет­ном дис­ке, так и мно­годис­ковые тома, рас­положен­ные в прос­транс­тве хра­нения объ­еди­нения физичес­ких жес­тких дис­ков.

  3. Шиф­рование сетевых папок. Этот тип шиф­рования нам уже зна­ком по иссле­дова­нию шиф­рования Synology.

    В NAS от QNAP дан­ный тип защиты появил­ся срав­нитель­но недав­но, а соз­давать зашиф­рован­ные пап­ки на зашиф­рован­ных томах ста­ло воз­можно и вов­се бук­валь­но на днях.

    Неуди­витель­но, что реали­зация от QNAP отста­ет от ана­лога в Synology DSM по час­ти хра­нения, управле­ния и защиты депони­рован­ных клю­чей.

Шиф­рование по методу self-encrypting drive — SED — воз­можно при исполь­зовании спе­цифи­чес­ких моделей дис­ков, шиф­рование которых реали­зова­но аппа­рат­но в рам­ках кон­трол­лера и под­держи­вает­ся про­шив­кой.

Пос­ледняя ремар­ка име­ет зна­чение: подав­ляющее боль­шинс­тво сов­ремен­ных кон­трол­леров обла­дает воз­можностью аппа­рат­ного шиф­рования, но воз­можность эта акти­виру­ется лишь в моделях, пред­назна­чен­ных для спе­цифи­чес­ких при­мене­ний. Эти при­мене­ния далеко не всег­да под­разуме­вают исполь­зование в дата‑цен­трах.

К при­меру, популяр­ные внеш­ние дис­ки WD My Cloud пос­тавля­ются с дис­ками, в которых фун­кция SED акти­виро­вана.

К сожале­нию, сво­бод­ного дис­ка с SED для экспе­римен­тов у меня не наш­лось, поэто­му про­тес­тировать работу фун­кции в NAS от QNAP я не смог.

Ин­терес­ный момент: шиф­рование SED в NAS от QNAP мож­но исполь­зовать для соз­дания пол­ностью зашиф­рован­ных мно­годис­ковых пулов хра­нения. На таком зашиф­рован­ном пуле хра­нения мож­но затем соз­дать обыч­ный или зашиф­рован­ный логичес­кий раз­дел.

Сог­ласно докумен­тации, в QTS сущес­тву­ет воз­можность сох­ранить ключ шиф­рования для авто­мати­чес­кого мон­тирова­ния пула SED при заг­рузке устрой­ства. При сох­ранении клю­ча необ­ходимо понимать, что оно гро­зит несан­кци­они­рован­ным дос­тупом к дан­ным, если у зло­умыш­ленни­ка будет физичес­кий дос­туп к NAS.

В QNAP впер­вые была реали­зова­на имен­но защита на уров­не тома. Этот тип защиты дос­тупен для боль­шинс­тва накопи­телей QNAP, как тех, что осна­щены про­цес­сорами Intel, так и осно­ван­ных на архи­тек­туре ARM.

За­шиф­рован­ный том мож­но соз­дать в виде ста­тич­ного раз­дела или в виде раз­дела поверх пула хра­нения (в том чис­ле зашиф­рован­ного SED).

Шиф­рование тома — прек­расный пер­вый слой шиф­рования, который работа­ет на любых дис­ках, даже тех, которые не под­держи­вают SED.

Обратная сто­рона — ско­рость: при исполь­зовании шиф­рования тома наб­люда­ется неболь­шая потеря про­изво­дитель­нос­ти, а вре­мя, тре­бующееся накопи­телю для любых опе­раций с зашиф­рован­ным раз­делом, исчисля­ется в минутах.

Шиф­рование тома реали­зова­но на осно­ве шиф­ра AES-256 при помощи стан­дар­тно­го механиз­ма cryptsetup (LUKS) с одним исклю­чени­ем: пароль поль­зовате­ля пре­обра­зует­ся в крип­тогра­фичес­кий ключ ути­литой storage_util собс­твен­ной раз­работ­ки QNAP.

Соот­ветс­твен­но, что­бы смон­тировать зашиф­рован­ный раз­дел за пре­дела­ми NAS от QNAP, необ­ходимо про­вес­ти пре­обра­зова­ние, вос­поль­зовав­шись сов­мести­мым NAS от QNAP (это не обя­затель­но дол­жно быть то же устрой­ство, на котором был соз­дан том).

Нас­коль­ко мне извес­тно, экви­вален­та этой ути­лите в Linux не сущес­тву­ет.

  • Ре­али­зация: cryptsetup (LUKS); ути­лита собс­твен­ной раз­работ­ки (storage_util) для пре­обра­зова­ния пароля в ключ.
  • Шиф­рование тома с дан­ными: нет. Зашиф­ровать мож­но толь­ко новый том при его соз­дании.
  • Рас­шифров­ка тома с дан­ными: нет. Мож­но лишь уда­лить том и соз­дать его заново.
  • Сме­на или отзыв ском­про­мети­рован­ного пароля: да. Пароль мож­но сме­нить в любой момент. Это дол­го (минут пять), но воз­можно.
  • Ключ шиф­рования: пароль (пре­обра­зовы­вает­ся собс­твен­ной ути­литой от QNAP) или файл с клю­чом раз­мером 256 байт.
  • По­тен­циаль­ные уяз­вимос­ти: см. раз­дел «Сох­ранение клю­чей».

За­шиф­рован­ный том мож­но заб­локиро­вать, в резуль­тате чего том будет раз­монти­рован. Это тоже занима­ет доволь­но мно­го вре­мени (при­мер­но пять минут на нашей тес­товой сис­теме QNAP TS-453Be). Веро­ятно, с точ­ки зре­ния раз­работ­чиков бло­киров­ка зашиф­рован­ного тома не счи­тает­ся рутин­ной опе­раци­ей и, соот­ветс­твен­но, не нуж­дает­ся в опти­миза­ции.

Ключ шиф­рования мож­но сох­ранить в файл с рас­ширени­ем .key, раз­мером 256 байт. Спо­соб пре­обра­зова­ния клю­ча LUKS в содер­жимое фай­ла не иссле­довал­ся. Содер­жимое фай­ла меня­ется каж­дый раз при его сох­ранении, поэто­му опре­делить, меня­ется ли ключ пос­ле изме­нения пароля, не уда­лось.

Раз­бло­киро­вать том мож­но, вве­дя пароль или пре­дос­тавив файл с клю­чом.

Раз­бло­киров­ка тома на тес­товом устрой­стве QNAP TS-453Be занима­ет око­ло пяти минут. Это еще одно дей­ствие, которое поль­зовате­ли не будут совер­шать регуляр­но, а посему в опти­миза­ции не нуж­дающееся.

Па­роль шиф­рования мож­но сме­нить через поль­зователь­ский интерфейс. Сме­на пароля так­же отно­сит­ся к заняти­ям ред­ким и потому, оче­вид­но, не нуж­дающим­ся в опти­миза­ции. (В скоб­ках: и заг­рузка NAS тоже отно­сит­ся к таким не нуж­дающим­ся в опти­миза­ции про­цес­сам.

Мне хотелось бы взгля­нуть на пол­ный спи­сок таких вещей, что­бы знать точ­но, что имен­но, с точ­ки зре­ния раз­работ­чиков QTS, я не дол­жен делать регуляр­но.) Сме­на пароля тре­бует раз­монти­рова­ния зашиф­рован­ного тома (пять минут) и его пос­леду­юще­го мон­тирова­ния (еще пять минут).

Ито­го — десять минут на сме­ну пароля.

Как уже было ска­зано, QNAP исполь­зует механизм cryptsetup и шифр AES-256. Под­робные инс­трук­ции по мон­тирова­нию зашиф­рован­ных томов есть на стра­нице Mounting QNAP encrypted volumes; пароль для это­го необ­ходим.

Источник: https://xakep.ru/2020/12/24/qnap-encryption/

Шифрование файлов и папок в Windows: BitLocker и EFS

Шифрование сетевых папок

В этой статье мы расскажем о том, как зашифровать файлы и папки стандартными методами Windows 10, а также рассмотрим две утилиты для шифрования: BitLocker и EFS.

Операционная система Windows имеет встроенные утилиты, предназначенные для шифрования данных. С их помощью можно защитить данные от третьих лиц и скрыть содержимое от тех, кто не знает пароль.

Стоит отметить, что встроенные шифровальщики Windows имеют достаточно простые алгоритмы работы, поэтому при умении и наличии хакерского ПО такое шифрование можно обойти, но для обычных пользователей данные все равно останутся недоступными, что можно применять, к примеру, для компьютеров, которыми пользуется сразу несколько различных пользователей.

Стандартные средства шифрования Windows и их различия

Windows снабжен встроенными средствами для шифрования данных: BitLocker и EFS.

Данные утилиты позволяют быстро провести шифрование данных и устанавливать собственные пароли на файлы.

Шифровальщик BitLocker является узкоспециализированной программой, предназначенной для шифрования дисков. С её помощью можно защитить данные на всем жестком диске или его разделе, без возможности шифрования отдельных каталогов и файлов.

Утилита EFS – заполняет пробел BitLocker и шифрует как отдельные папки, так и всевозможные файлы. Функционал EFS позволяет простым и быстрым способом сделать данные недоступными для других пользователей.

Шифрование при помощи EFS

Сразу стоит отметить, что домашняя версия ОС Windows не подходит для шифрования данных встроенными средствами, поскольку алгоритмы работы утилиты являются неэффективными при данной версии системы. Помимо этого, пользователю следует обзавестись съемным носителем, где можно хранить специальный ключ, способный расшифровать информацию в случае утери доступа к профилю ОС.

Для начала работы с утилитой EFS следует выбрать необходимые для шифрования данные и поместить их в одну папку.

Теперь необходимо выделить папку и нажать по выделенной области правой кнопкой мыши, где следует выбрать пункт «Свойства» и в открывшемся окне перейти во вкладку «Общие». На вкладке общее кликаем по кнопке «Другие», как показано на скриншоте.

В открывшемся окне выбираем самый нижний пункт «Шифровать содержимое для защиты данных» и нажимаем «Ок».

После нажатия кнопки «Применить» пользователю будет предложено два варианта шифрования. Выбираем один из них, нажимаем «Ок».

Теперь папка станет недоступной для других пользователей, использующих иную учетную запись. Стоит отметить, что текущий пользователь сможет открыть данные в любой момент, поэтому для своего профиля Windows следует придумать надежный пароль.

Как использовать ключи шифровальщика?

После проведенного шифрования система автоматически предупредит о создании специального ключа, при помощи которого можно расшифровать указанную папку в экстренной ситуации.

Как правило, оповещение будет показано в правом нижнем углу, где зачастую находятся настройки громкости.

Нажимаем по оповещению и видим окно с возможными действиями с ключом. Если необходимо создать резервную копию ключа, нажимаем по пункту «Архивировать сейчас».

После этого откроется окно мастера экспорта сертификатов. Нажимаем «Далее» и переходим к окну с установками. Указываем необходимые или оставляем текущие параметры и нажимаем «Далее».

В открывшемся окне указываем метод создания с паролем и устанавливаем собственный пароль.

Следующим шагом будет сохранение ключа на любой внешний накопитель. При создании ключа появляется гарантия того, что необходимую папку можно будет открыть и просмотреть даже в случае утери доступа к своей учетной записи.

Шифрование диска при помощи BitLocker

При необходимости шифрования дисков или съемных накопителей следует воспользоваться встроенной утилитой BitLocker, которая позволит провести шифрование большого объема данных. Чтобы начать работу с BitLocker, необходима максимальная, профессиональная или корпоративная версия Windows.

Для доступа к BitLocker следует нажать ПКМ по кнопке «Пуск», выбрать пункт «Панель управления» и зайти в первый раздел «Система и безопасность».

В открывшемся окне переходим к пункту «Шифрование диска Bitlocker».

Теперь необходимо активировать утилиту напротив системного диска или необходимого тома.

Программа автоматически проведет анализ диска и предложит выбрать способ разблокировки.

Если материнская плата обладает модулем TPM, можно выбрать дополнительные способы разблокировки. Также в утилите доступна возможность защитить диск паролем или создать специальную флешку с ключом, который сможет разблокировать диск при подключении.

Независимо от выбора способа разблокировки, программа BitLocker предоставит специальный ключ для разблокировки диска. Им можно воспользоваться при утере флешки или пароля.

Данный ключ можно распечатать, сохранить в виде документа на съемный носитель или сохранить на сервере Microsoft. Стоит отметить, что этот этап является очень важным, поскольку без экстренного ключа и при утере других средств разблокировки диск останется заблокированным.

После выполнения всех действий утилита предложит выбрать метод шифрования, из которых следует выбрать предпочтительный.

После этого компьютер будет перезагружен, а при новой загрузке в системе будет присутствовать указатель процесса шифрования.

Источник: https://recovery-software.ru/blog/encrypt-files-and-folders-windows.html

Купить SafeGuard Encryption у мастер-дистрибьютора и импортера – ООО

Шифрование сетевых папок

Благодаря развитию мобильных технологий пользователи могут получать доступ к корпоративным данным отовсюду – с мобильных устройств, домашних компьютеров, переносных носителей информации и через облачные сервисы. Решения Sophos позволяют защитить корпоративные данные вне зависимости от их местоположения и способа доступа.

Шифрование, дешифрование и доступ к информации будут автоматическими и незаметными для конечного пользователя. Поэтому хранение данных в безопасном (зашифрованном) состоянии не будет мешать обычному ходу работы.

Защита данных повсюду и автоматически

Sophos SafeGuard шифрует контент сразу после его создания. С всегда включенным шифрованием пользователь может получить “бесшовную” безопасность своих данных в работе другими людьми.

Синхронизированное шифрование активно защищает данные, постоянно проверяя их целостность, а также самого пользователя, безопасность приложения и устройства, прежде чем разрешать доступ к зашифрованным данным.

SafeGuard предлагает синхронизированное шифрование через подключение к Sophos Endpoint Protection и Sophos Mobile Control. Местный агент SafeGuard следит за безопасностью на конечной точке благодаря технологии Heartbeat, обеспечивает автоматическую и проактивную защиту.

С помощью Sophos Mobile Control пользователь может хранить свои файлы в безопасности на платформах Windows, iOS и Android.

Предотвращение потери данных

Защищайте свои данные от краж, взлома с помощью вредоносного ПО и случайных потерь с умом. Решение Sophos SafeGuard автоматически шифрует контент и он остается зашифрованным даже при утечке или при загрузке в облачную систему обмена файлами.

Полное шифрование диска

Решение обеспечивает централизованное управление полным шифрованием диска с помощью Windows BitLocker и Mac FileVault, используя технологию, встроенную в операционные системы.

Это позволяет легко управлять ключами и функциями восстановления из “Центра управления SafeGuard”.

Чтобы еще больше упростить рабочий процесс в Sophos Central была реализована возможность управлять шифрованием на платформах Windows и MacOS.

Шифрование файлов

Решение позволяет шифровать файлы по отдельности. Они будут зашифрованы даже при передаче в общую папку, съемный USB-накопитель или облако.

Дополнительные возможности шифрования

  • Шифрование переносных носителей информации (USB, Memory card, CD/DVD).
  • Шифрование данных в облаке, включая поддержку таких популярных сервисов, как Dropbox, SkyDrive и Egnyte.
  • Шифрование сетевых папок.

Соответствие требованиям, отчетность и управление

Упрощенный центр управления помогает пользователям соблюдать правила защиты данных и предотвращает нарушения данных.

  • Мгновенные подробные отчеты и аудиты.
  • Управление на основе ролей, для разделения уровней авторизации.
  • Двойная авторизация для офицера, отвечающего за мониторинг критических задач.
  • Безопасное хранение, обмен и восстановление ключей на разных устройствах.
  • Настройка политик для групп и устройств из централизованной консоли.

Состав решения Sophos SafeGuard Enterprise

  • Центр управления (Management Center) – средство управления корпоративными политиками безопасности в области защиты данных.
  • Система шифрования (Device Encryption), предназначенная для шифрования данных на ноутбуках и стационарных рабочих станциях, переносных носителях информации, защиты от потери целостности данных и неавторизованного доступа.
  • Средство обмена данными (Data Exchange), предназначенное для организации обмена информацией ограниченного доступа с бизнес-партнерами и клиентами, посредством переносных носителей информации.
  • Средство шифрования в облаке (Encryption for Cloud Storage), предназначенное для шифрования данных, передаваемых с защищенного компьютера в сетевые хранилища. Включает также средство просмотра шифрованных данных для мобильных платформ (iOS, Android).
  • Средство интеграции (Native Device Encryption), предназначенное для интеграции с приложениями шифрования от сторонних производителей, таких как Windows BitLocker или Mac FileVault 2 и т.д.
  • Средство шифрования для сетевых папок (Encryption for File Shares), предназначенное для защиты данных, размещаемых в сетевых хранилищах и файлообменниках.

Консоль управления SafeGuard Management Center

Пользователь этого решения может создавать и управлять политиками безопасности в области защиты данных на всех платформах и устройствах из одной консоли.

  • Управление всеми модулями Sophos SafeGuard Enterprise.
  • Управление политиками безопасности для всех устройств и пользователей.
  • Защищенное хранение, обмен и восстановление ключей шифрования.
  • Развитая система отчетности с поддержкой платформ Windows и MacOS.
  • Интеграция с Active Directory для получения информации о пользователях и группах, синхронизации задач и политик.

Получить дополнительную информацию и задать интересующие вопросы Вы можете у наших специалистов, обратившись по почте или по телефонам:

Тел.1: +7 (495) 280-33-80

Тел.2: +7 (495) 780-76-70

Источник: https://www.fgts.ru/collection/safeguard-encryption

Шифрование жесткого диска в Windows 10: зачем это нужно и как сделать

Шифрование сетевых папок

Безопасность данных на компьютере — одна из главных прерогатив для многих пользователей. Комплексный подход — это защитить от стороннего вмешательства весь жесткий диск.  Сделать это можно с помощью стандартного средства шифрования в Windows 10.

Зачем выполнять шифрование данных, если есть учетная запись пользователя с паролем? На самом деле это самая простая защита, которую могут сломать даже новички, четко выполняя действия определенной инструкции.

Проблема заключается в том, что злоумышленник может использовать загрузочную флешку и получить доступ к файлам и реестру операционной системы. Далее всего в несколько действий  легко узнать введенный пароль или просто отключить его и получить доступ к рабочему столу. 

Вопрос защиты файлов будет особенно важен для корпоративного сектора. Например, только в США ежегодно в аэропортах  теряются больше 600 тысяч ноутбуков.

Стоит отметить, что с помощью встроенного средства BitLocker шифруются даже флеш-накопители, поскольку они распознаются системой как отдельные тома. При необходимости можно создать виртуальный диск VHD с важными данными и шифровать его, а сам файл хранить на обычной флешке.

Шифрование всего диска действительно скажется на производительности системы, в частности, на скорости чтения/записи данных. Тесты различных пользователей показывают, что на относительно современном железе  падение скорости на SSD — не более 10%, у жестких дисков падения могут быть больше.

Например, на ноутбуке Dell Inspiron 15 7577 с процессором i7-7700HQ  и накопителем Samsung 950 Pro с 256 ГБ разница в ежедневном использовании будет практически незаметна.

Средство BitLocker использует шифрование AES 128/256. Соответственно, задействуются вычислительные ресурсы процессора. Если вы используете старые модели на 1-2 ядра, то BitLocker или аналогичный софт может ухудшить производительность.

Чип TPM (Trusted Platform Module) — это специальный модуль, в котором хранятся криптографические ключи для защиты информации. Обычно он располагается на материнской плате, но далеко не каждая модель оснащается TPM. Ключ для расшифровки логического тома выдается только  в коде загрузчика ОС, поэтому злоумышленникине смогут достать его непосредственно из жесткого диска. 

Чтобы проверить, есть ли на вашем компьютере или ноутбуке модуль TPM, в окне «Выполнить» введите команду «tpm.msc».

При наличии чипа вы увидите окно с основной информацией, включая состояние модуля и версию.

Перед использованием системы шифрования TPM модуль необходимо инициализировать по следующей инструкции:

1.  В панели управления зайдите в раздел «Шифрование диска BitLocker».

2. Напротив системного диска кликните по строке «Включить BitLocker». Система начнет проверку на соответствие конфигурации компьютера.

3. В следующем окне система предупредит пользователя, что для продолжения процесса будут выполнены два действия: активация оборудования безопасности и последующий запуск шифрования. Необходимо нажать «Далее».

4. Для включения TPM система попросит перезагрузить компьютер, поэтому нажмите соответствующую кнопку.

5. При следующей загрузке перед пользователями появится окно активации чипа TPM. Нажмите соответствующую клавишу для подтверждения (в данном случае F1).

6. Как только Windows прогрузится, мастер шифрования продолжит свою работу и предложит следующее меню с выбором места сохранения ключа восстановления.  

Данные логического тома будут зашифрованы, а для разблокировки вам придется ввести пароль от учетной записи.  При попытке войти в систему через загрузочную флешку или путем перемещения HDD в другой компьютер посторонние не смогут получить доступ к вашим данным. Ключ доступа будет надежно спрятан в TPM модуле.

Преимущество TPM заключается в простоте настройки и высокой безопасности — ключи хранятся в отдельной микросхеме. С другой стороны, если злоумышленники каким-либо образом узнают пароль от учетной записи, то без проблем смогут зайти в нее даже с шифрованием. 

Что делать, если при вводе команды «tpm.msc» TPM модуль не был найден? Использовать BitLocker вы сможете по-прежнему, но теперь ключ вам придется сохранять в другом месте. 

Для активации BitLocker следуйте инструкции:

1. Перейдите в меню групповых политик. В окне выполнить введите «gpedit.msc» и нажмите Enter. Необходимо открыть раздел «Конфигурация компьютера», а в нем перейти по «Административные шаблоны» и далее открыть «Компоненты Windows».

2. В компонентах найдите папку «Шифрование диска» и выберите подпункт «Диски операционной системы». Перейдите на вкладку «Стандартный» и дважды кликните ЛКМ по строке «Этот параметр позволяет настроить требования дополнительной проверки подлинности» (выделен на скриншоте).

3. Параметр необходимо перевести в состояние «Включено», а также поставить галочку в строке «Использовать BitLocker без совместимого TPM». Для сохранения изменений нажмите кнопку «Применить» и OK.

На этом настройка групповой политики завершена, и пользователи могут защититься стандартным средством шифрования BitLocker. Как и в предыдущей инструкции, вам необходимо перейти в раздел шифрования и включить BitLocker для системного или другого диска, на котором вы собираетесь зашифровать данные.

Меню настройки будет немного отличаться от вышеописанного:

1. Уже на первом окне вас попросят выбрать способ разблокировки диска. Пароль аналогичен предыдущей защите, вам будет достаточно ввести его при входе в учетную запись. Более надежный способ — флешка + PIN. Для входа в систему вам придется также вставить накопитель в USB-порт, после чего ввести  пароль.  

2. Если вы указали flash-накопитель, то система предложит выбрать его. В случае с паролем вам достаточно дважды ввести его и перейти в следующее окно.

3. Пользователь должен выбрать, куда сохранить ключ восстановления. Поскольку на шифруемый диск его записать нельзя, то доступны 4 варианта: учетная запись Майкрософт, флеш-накопитель, в качестве отдельного файла на другом диске или просто распечатать.

4. Выберем «Сохранить в файл». В этом случае достаточно указать место и убедиться, что соответствующий txt файл появился по указанному пути.

5. Выберите, как будет шифроваться диск — полностью или только занятая информацией часть. Второй вариант  оптимален для новых ПК, на которых только недавно был установлен весь необходимый софт.

6. Выбор режима шифрования. Для несъемных накопителей укажите «новый», но для флешек или переносимых HDD лучше выбрать «Режим совместимости», чтобы при необходимости получить доступ к файлам на другом компьютере.

7. После завершения настроек в трее появится иконка BitLocker. Кликните по ней и подтвердите перезагрузку компьютера.

8. После перезагрузки начнется процесс шифрования, а его прогресс можно узнать из соответствующего значка в трее.

Теперь диск зашифрован и при каждом включении Windows будет просить ввести пароль BitLocker. Это относится и к съемным накопителям, если они были зашифрованы таким способом.

В разделе шифрования также появятся подробные настройки, где вы сможете удалить или сменить пароль, приостановить защиту, архивировать ключ восстановления или отключить шифрование.

Неправильный ввод пароля несколько раз приведет к блокировке, и получить доступ к диску можно будет только с помощью ключа восстановления

Самыми надежными считаются специальные смарт-карты, которые визуально выглядят как обычные флешки. Однако они имеют специальные библиотеки и отображаются отдельными устройствами в диспетчере задач. Соответственно, воспроизвести смарт-карту намного сложнее в отличие от обычной флешки-ключа. 

Если по каким-либо причинам стандартная система шифрования вас не устраивает или в вашей редакции Windows ее просто нет, то можно воспользоваться сторонним софтом.

Однако будьте осторожны. Во-первых, сторонние программы в отличие от системных средств могут ощутимо сказываться на производительности компьютера, особенно, если они не оптимизированы под конкретные ОС. Во-вторых, нет гарантий, что такой софт не имеет уязвимостей, которыми могут воспользоваться злоумышленники или даже разработчики.

BitLocker Anywhere

Популярный софт для шифрования дисков, работающий под операционными системами Windows 7/8/10 различных редакций.  У софта есть пробная версия на 15 суток, однако в ней запрещено шифровать системный раздел, поэтому пользователи смогут защитить только флешки и другие логические тома жесткого диска.

Базовая версия стоит 14,99$, а профессиональная с возможностью шифровать тома больше 2 ТБ — 19,99$.

В функционал BitLocker Anywhere входит шифрование и дешифрование дисков, создание ключей восстановления с их экспортом.

По сути, это аналог стандартному BitLocker с технической поддержкой со стороны разработчиков. Очевидный минус — в качестве защиты доступен только пароль, никаких смарт-карт или USB Flash здесь нет.  

Для шифрования достаточно выбрать диск, указать пароль, место для сохранения ключа восстановления и дождаться окончания процесса. Интерфейс на английском языке, но программой можно пользоваться даже с минимальными знаниями иностранного.

7 zip

Если вы предпочитаете создавать VHD-образы  и при необходимости подключать их к системе, то для шифрования вполне подойдет обычный архиватор 7zip.

Выберите виртуальный образ жесткого диска (формат VHD/VHDX) и нажмите «Добавить в архив». Далее в окне настроек укажите имя, пароль для шифрования и метод (желательно, AES-256).

Теперь для дешифровки вам придется ввести пароль и только потом монтировать VHD файл.

Что делать, если Windows с зашифрованным логическим диском не запускается? Это не проблема, если у вас есть необходимые данные доступа. Чтобы снять блокировку BitLocker, вам следует иметь хотя бы один из следующих элементов:

  • пароль шифрования BitLocker, который вы вводили в самом начале;
  • ключ восстановления (его предлагали сохранить на флешке, в учетной записи или распечатать);
  • USB-ключ запуска системы, если вы использовали флешку.

Если ничего этого у вас нет, то про данные можно забыть и единственный способ вернуть диск — отформатировать его. Конечно, есть специфические способы «выловить» ключ среди метаданных или дампа оперативной памяти, но и они не дают стопроцентной гарантии успеха, не говоря о сложности реализации. К этим методикам могут прибегать специализированные сервисы. 

Если Windows не прогружается, то вам необходимо запустить среду восстановления, или воспользоваться установочным диском. Если  это возможно, запустите командную строку (для стандартных средств Windows это команда Shift+F10). Теперь выполните следующие действия:

  1. Проверьте состояние зашифрованных дисков командой «manage-bde –status». Если все хорошо, то должна появиться надпись с BitLocker Drive Encryption: Volume X, где вместо Х буква зашифрованного тома. 
  2. Далее разблокируйте диск командой «manage-bde -unlock D: -pw». Вас попросят ввести пароль. 
  3. После успешной дешифровки появится соответствующее окно и можно приступить к восстановлению. 

Если пароль не известен, то можно использовать ключ восстановления, напечатав в командной строке:

repair-bde F: G: -rp 481385-559146-955173-133053-357710-316682-137633-983682 –Force

В этом случае поврежденные данные с диска F будут перекопированы на диск G, при этом последний должен быть по объему больше диска F. Ключ восстановления — это 48-цифровой код, который и печатается в этой команде.

Для flash-ключа формата «.bek», который в данном примере находится на флешке I, используется следующая строка:

repair-bde F: G: -rk I:\3F449834-943D-5677-1596-62C36BA53564.BEK –Force

Перед открытием расшифрованного диска обязательно выполните проверку на ошибки стандартной командой Chkdsk.

Источник: https://club.dns-shop.ru/blog/t-107-jestkie-diski/36971-shifrovanie-jestkogo-diska-v-windows-10-zachem-eto-nujno-i-kak-sd/

Прозрачное шифрование сетевых папок в корпоративном пространстве

Шифрование сетевых папок
Широкое распространение сетевых технологий (LAN, CAN, VPN) позволяет компаниям организовать быстрый и удобный обмен информацией на различных расстояниях.

Тем не менее, защита информации в корпоративной среде – задача, которая остается актуальной по сегодняшний день и тревожит умы руководителей предприятий малого, среднего и крупного звена самых разнообразных сфер деятельности.

Кроме того, какой бы ни была численность компании, для руководства практически всегда возникает необходимость разграничить права доступа сотрудников к конфиденциальной информации исходя из степени ее важности.

В этой статье мы поговорим о прозрачном шифровании как об одном из наиболее распространенных способов защиты информации в корпоративной среде, рассмотрим общие принципы шифрования для нескольких пользователей (криптография с несколькими открытыми ключами), а также расскажем о том, как настроить прозрачное шифрование сетевых папок при помощи программы CyberSafe Files Encryption.

Использование виртуальных криптодисков либо функции полнодискового шифрования вполне оправдано на локальном компьютере пользователя, однако в корпоративном пространстве более целесообразным подходом является использование прозрачного шифрования, поскольку эта функция обеспечивает быструю и удобную работу с засекреченными файлами одновременно для нескольких пользователей. При создании и редактировании файлов процессы их шифрования и дешифрования происходят автоматически, “на лету”. Для работы с защищенными документами сотрудникам компании не нужно иметь какие-либо навыки в области криптографии, они не должны выполнять какие-либо дополнительные действия для того чтобы расшифровать или зашифровать секретные файлы. Работа с засекреченными документами происходит в привычном режиме при помощи стандартных системных приложений. Все функции по настройке шифрования и разграничению прав доступа могут быть возложены на одного человека, например системного администратора.
Прозрачное шифрование работает следующим образом. Для шифрования файла используется случайно сгенерированный симметричный сеансовый ключ, который в свою очередь защищается при помощи открытого асимметричного ключа пользователя. Если пользователь обращается к файлу для того, чтобы внести в него какие-то изменения, драйвер прозрачного шифрования расшифровывает симметричный ключ при помощи закрытого (приватного) ключа пользователя и далее, при помощи симметричного ключа, расшифровывает сам файл. Подробно о том, как работает прозрачное шифрование, мы рассказали в предыдущем топике. Но как быть в том случае, если пользователей несколько и засекреченные файлы хранятся не на локальном ПК, а в папке на удаленном сервере? Ведь зашифрованный файл — один и тот же, однако у каждого пользователя своя уникальная ключевая пара.

В этом случае используются так называемые цифровые конверты.

Как видно из рисунка, цифровой конверт содержит файл, зашифрованный при помощи случайно сгенерированного симметричного ключа, а также несколько копий этого симметричного ключа, защищенных при помощи открытых асимметричных ключей каждого из пользователей. Копий будет столько, скольким пользователям разрешен доступ к защищенной папке. Драйвер прозрачного шифрования работает по следующей схеме: при обращении пользователя к файлу он проверяет, есть ли его сертификат (открытый ключ) в списке разрешенных. Если да – при помощи закрытого ключа этого пользователя расшифровывается именно та копия симметричного ключа, которая была зашифрована при помощи его открытого ключа. Если в списке сертификата данного пользователя нет, в доступе будет отказано.
Используя CyberSafe, системный администратор сможет настроить прозрачное шифрование сетевой папки без использования дополнительных протоколов защиты данных, таких как IPSec или WebDAV и в дальнейшем управлять доступом пользователей к той или иной зашифрованной папке. Для настройки прозрачного шифрования у каждого из пользователей, которым планируется разрешить доступ к конфиденциальной информации, на компьютере должен быть установлен CyberSafe, создан персональный сертификат, а открытый ключ опубликован на сервере публичных ключей CyberSafe. Далее сисадмин на удаленном сервере создает новую папку, добавляет ее в CyberSafe и назначает ключи тех пользователей, которые в дальнейшем смогут работать с файлами в этой папке. Конечно, можно создавать столько папок, сколько требуется, хранить в них конфиденциальную информацию различной степени важности, а системный администратор в любой момент может удалить пользователя из числа имеющих к доступ к папке, либо добавить нового. Рассмотрим простой пример:

На файловом сервере предприятия ABC хранится 3 базы данных с конфиденциальной информацией различной степени важности – ДСП, Секретно и Совершенно Секретно. Требуется обеспечить доступ: к БД1 пользователей Иванов, Петров, Никифоров, к БД2 Петрова и Смирнова, к БД3 Смирнова и Иванова.

Для этого на файл-севере, в качестве которого может быть любой сетевой ресурс, потребуется создать три отдельных папки для каждой БД и назначить этим папкам сертификаты (ключи) соответствующих пользователей:

Конечно, такую или другую аналогичную задачу с разграничением прав доступа можно решить и при помощи ACL Windows.

Но этот метод может оказаться эффективным лишь при разграничении прав доступа на компьютерах сотрудников внутри компании.

Сам по себе он не обеспечивает защиту конфиденциальной информации в случае стороннего подключения к файловому серверу и применение криптографии для защиты данных просто необходимо.

Кроме того, все настройки параметрами безопасности файловой системы можно сбросить при помощи командной строки. В Windows для этого существует специальный инструмент — «calcs», который можно использовать для просмотра разрешений на файлах и папках, а также для их сброса. В Windows 7 эта команда называется «icacls» и исполняется следующим образом: 1. В командной строке с правами администратора, вводим: cmd 2. Переходим к диску или разделу, например: CD /D D:

3. Для сброса всех разрешений вводим: icacls * /T /Q /C /RESET

Возможно, что icacls с первого раза не сработает. Тогда перед шагом 2 нужно выполнить следующую команду: takeown /R /F * После этого ранее установленные разрешения на файлах и папках будут сброшены.

Можно создать систему на базе виртуального криптодиска и ACL (подробнее о такой системе при использовании криптодисков в организациях написано здесь.).

Однако такая система также уязвима, поскольку для обеспечения постоянного доступа сотрудников к данным на криптодиске администратору потребуется держать его подключенным (монтированным) в течении всего рабочего дня, что ставит под угрозу конфиденциальную информацию на криптодиске даже без знания пароля к нему, если на время подключения злоумышленник сможет подключиться к серверу.

Сетевые диски со встроенным шифрованием также не решают проблему, поскольку обеспечивают защиту данных лишь тогда, когда с ними никто не работает. То есть, встроенная функция шифрования сможет защитить конфиденциальные данные от компрометации лишь в случае хищения самого диска.

В CyberSafe шифрование/дешифрование файлов осуществляется не на файловом сервере, а на стороне пользователя. Поэтому конфиденциальные файлы хранятся на сервере только в зашифрованном виде, что исключает возможность их компрометации при прямом подключении злоумышленника к файл-серверу.

Все файлы на сервере, хранящиеся в папке, защищенной при помощи прозрачного шифрования, зашифрованы и надежно защищены. В то же время, пользователи и приложения видят их как обычные файлы: Notepad, Word, Excel, HTML и др.

Приложения могут осуществлять процедуры чтения и записи этих файлов непосредственно; тот факт, что они зашифрованы прозрачен для них.

Пользователи без доступа также могут видеть эти файлы, но они не могут читать и изменять их. Это означает, что если у системного администратора нет доступа к документам в какой-то из папок, он все равно может осуществлять их резервное копирование. Конечно, все резервные копии файлов также зашифрованы. Однако когда пользователь открывает какой-либо из файлов для работы на своем компьютере, существует возможность, что к нему получат доступ нежелательные приложения (в том случае, конечно, если компьютер инфицирован).

Для предотвращения этого в CyberSafe в качестве дополнительной меры безопасности существует система доверенных приложений, благодаря которой системный администратор может определить список программ, которые смогут получить доступ к файлам из защищенной папки.

Все остальные приложения, не вошедшие в список доверенных, не будут иметь доступа.Так мы ограничим доступ к конфиденциальной информации для шпионских программ, руткитов и другого вредоносного ПО.

Поскольку вся работа с зашифрованными файлами осуществляется на стороне пользователя, это означает, что CyberSafe не устанавливается на файл-сервер и при работе в корпоративном пространстве программа может быть использована для защиты информации на сетевых хранилищах с файловой системой NTFS, таких как Windows Storage Server. Вся конфиденциальная информация в зашифрованном виде находится в таком хранилище, a CyberSafe устанавливается только на компьютеры пользователей, с которых они получают доступ к зашифрованным файлам.

В этом заключается преимущество CyberSafe перед TrueCrypt и другими программами для шифрования, которые требуют установки в место физического хранения файлов, а значит, в качестве сервера могут использовать лишь персональный компьютер, но не сетевой диск. Безусловно, использование сетевых хранилищ в компаниях и организациях намного более удобно и оправдано, нежели использование обычного компьютера.

Таким образом, при помощи CyberSafe без каких-либо дополнительных средств можно организовать эффективную защиту ценных файлов, обеспечить удобную работу с зашифрованными сетевыми папками, а также разграничить права доступа пользователей к конфиденциальной информации.

Источник: https://habr.com/ru/company/cybersafe/blog/211012/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.