Введение

В нескольких предыдущих статьях ( 1 и 2 )данного небольшого цикла было описано о том, как устроена технология BitLocker, а также вы могли узнать о шифровании системных разделов средствами графического интерфейса. Другими словами, на данном этапе есть ноутбук, у которого зашифрован системный раздел с запросом ключа запуска при загрузке операционной системы. То есть, в том случае, если ноутбук будет украден, ваш пользователь может не беспокоиться за то, что какая-то важная информация будет украдена.

Ну а теперь, в качестве примера, представим такую ситуацию, что мы зашифровали все диски на пользовательских ноутбуках, а также на контроллерах домена. То есть, это уже, по крайней мере, неплохо. Если у ваших пользователей украдут где-то ноутбуки или в компанию вломятся грабители и украдут у вас контроллеры домена, никакого вреда, кроме как материального, вам не нанесут. Однако, не стоит забывать, что у ваших пользователей есть такие замечательные девайсы как USB-накопители. Они, то есть пользователи, могут ходить с этими накопителями на работу, носить их домой, даже приходить с ними к друзьям, чтобы поделиться новой серей своего любимого сериала или наоборот, скачать на нее что-то себе.

Допустим, что можно исключить тот вариант, когда пользователи выносят секретную информацию из компании, так как никаких секретных данных у вас нет. А на данном этапе просто предположим, что пользователь носится с флэшкой на работу и с работы. Что может получиться, в конечном счете. После очередного похода в гости пользователь может подхватить у своих товарищей какой-то вирус, который банально ваши корпоративные антивирусные продукты не смогут отследить. Может ведь быть такое? Почему бы и нет. В конечном счете, у вас пострадает весь парк компьютеров из-за одного архаровца с флэшкой.

Поэтому, я настоятельно рекомендую шифровать еще и USB-накопители своих пользователей, о чем, собственно, и пойдет речь в следующем подразделе.

Шифрование USB-накопителей средствами групповой политики

Из следующей, несложной процедуры, вы узнаете о том, какие же действия следует выполнять для того, чтобы немного повысить безопасность вашего парка компьютеров от небрежного отношения пользователей к своим съемным устройствам. Другими словами, в данном разделе будут описаны действия, после которых будет выполнено шифрование BitLocker для USB-накопителей, которыми могут пользоваться ваши пользователи. Настройки шифрования USB-накопителей можно задать как для отдельного пользователя на локальном компьютере из рабочей группы, так и для подразделений или всех компьютеров домена при помощи функциональных возможностей групповой политики. Соответственно, чтобы зашифровать USB-накопитель, требуется выполнить следующие действия:

1. Для начала откройте оснастку «Управление групповой политикой». В дереве оснастки разверните узел «Лес: %имя леса%», узел «Домены», затем узел с именем вашего домена, а после этого перейдите к контейнеру «Объекты групповой политики». В выбранном контейнере «Объекты групповой политики» создайте объект групповой политики, например, «Политика для шифрования съемных дисков компании». После этого выберите созданный только что объект GPO, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
2. В отобразившейся оснастке «Редактор управления групповой политики» перейдите к узлу Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker и выберите узел «Съемные диски с данными». Перейдя к данному узлу, здесь можно обнаружить шесть параметров политики. Так как их немного, в этой статье будет рассмотрен каждый параметр, который здесь расположен. Первый параметр, рассматриваемый в текущей статье, предназначен для управления возможностью настройки BitLocker пользователями, соответственно для своих USB-накопителей на своих компьютерах,. Для этого следует открыть диалоговое окно свойств параметра политики «Управление использованием BitLocker для съемных носителей». Здесь, как вы видите на следующей иллюстрации, помимо опции «Включить», переключатель на которую обязательно будет установлен, еще присутствуют два управляющих элемента. Первый контрол, у которого вы можете установить флажок, называется «Разрешить пользователям применять защиту BitLocker для съемных дисков с данными» позволяет пользователям самостоятельно запускать мастер шифрования BitLocker и зашифровывать свои съемные носители. Ну а если вы установите флажок на опции «Разрешить пользователям временно приостанавливать защиту BitLocker и расшифровывать съемные диски с данными», вы тем самым разрешите пользователям отключать шифрование для своих накопителей. В принципе, я предлагаю установить только первый флажок и сохранить выполненные изменения;
   
   

   
   Увеличить рисунок

   Рис. 1. Диалоговое окно свойств параметра политики «Управление использованием BitLocker для съемных носителей»

3. Теперь, после того как пользователи смогут самостоятельно шифровать свои USB-накопители, мы можем им запретить на своих компьютерах использовать флэшки в качестве устройств, предназначенных для записи, которые еще не были зашифрованы при помощи технологии BitLocker. Другими словами, используя возможности параметра политики «Запретить запись на съемные диски, не защищенные BitLocker», USB-накопители, которые не были зашифрованы, могут использоваться лишь в качестве устройства, предназначенного только для чтения. То есть, можно сделать из флэшек, так называемые, большие DVD-R диски. В том случае, если вы установите флажок на опции «Запретить запись на устройства, настроенные в другой организации», запись на USB-накопитель будет разрешена лишь в том случае, если поля идентификации на дисках совпадают с полями идентификации компьютера пользователя. Что это означает? Это означает, что если вы настроили уникальные идентификаторы для устройств организации, все устройства, которые не будут входить в диапазон таких идентификаторов, также будут использоваться в качестве устройств только для чтения. Идентификаторы можно настраивать для устройства при помощи утилиты командной строки Manage-bde. Кстати, эти идентификаторы могут включать в себя до 260 символов. В данном примере не будет устанавливаться этот флажок, а просто сохраним изменения с установленным переключателем на опции «Включить»;
   
   

   
   Увеличить рисунок

   Рис. 2. Запрещение записи на незашифрованные USB-накопители

4. Какова вероятность, что пользователь со своей флэшкой придет домой, а у него там установлена операционная система Windows 7? Может у пользователя очень старый компьютер и там установлена система Windows XP. В таком случае, чтобы пользователь смог там использовать свой USB-накопитель, следует настроить BitLocker To Go. Используя параметр политики «Разрешить доступ к съемным дискам с данными, защищенным с помощью BitLocker, из более ранних версий Windows» вы можете указать, что съемные накопители, которые отформатированы в файловой системе FAT можно будет использовать в устаревших операционных системах. Если параметр политики включен, и вы не установили флажок на опции «Не устанавливать BitLocker To Go Reader на съемных дисках, отформатированных с системой FAT», то на клиентские компьютеры при установке флэшки будет устанавливаться программа bitlockertogo.exe. При установленном флажке вы тем самым подразумеваете, что на компьютерах с устаревшими операционными системами данное приложение уже установлено. В принципе, в данном случае установим только лишь переключатель на опцию «Включить» и сохранить внесенные изменения, как показано на следующей иллюстрации;
   
   

   
   Увеличить рисунок

   Рис. 3. Включение BitLocker To Go

5. Как можно сделать USB-накопитель еще безопаснее? Конечно, для этого следует в дополнение к шифрованию еще задать пароль, предназначенный для выполнения расшифровки информации. И эту возможность также вы можете задать при помощи функциональных возможностей групповой политики. Для этого откройте диалоговое окно свойств параметра политики «Настроить использование паролей для съемных дисков с данными» и установите переключатель на опцию «Включить». Помимо этого, установив флажок возле опции «Требовать пароль для съемного диска с данными», вы тем самым укажите, что это требование является обязательным, и вы не сможете использовать свой накопитель, если для него не будет указан пароль. Учтите, что данные параметры активизируются непосредственно при включении BitLocker на устройстве, а не во время его разблокировки. Помимо этого, на что, как я считаю, следует обязательно обратить внимание, так это на тот факт, что здесь же вам предоставляется возможность определения минимальной длины пароля, а также уровень его сложности. Также учтите, что если вы активируете требования к сложности пароля, вам нужно заранее настроить сложность паролей в параметре безопасности. О данных возможностях вы можете почитать в одной из моих статей по параметрам безопасности . Соответственно, устанавливаем флажок на опции «Требовать пароль для съемного диска с данными», из раскрывающегося списка «Установить сложность пароля для съемных дисков с данными» выбираем значение «Требовать сложный пароль», а максимальная длина пусть остается 8-ми символьной, как можно заметить ниже;
   
   

   
   Увеличить рисунок

   Рис. 4. Настройка паролей для съемных накопителей

6. В данном узле остались два параметра политики, отвечающие за шифрование съемных устройств. Один из них – это параметр политики «Настроить использование смарт-карт на съемных дисках с данными». При помощи этого параметра политики вам предоставляется возможность выполнения проверки подлинности пользователя, для доступа к своей флэшке. То есть, если установить переключатель на опцию «Включить», а также установить флажок напротив соответствующей опции, пользователю, грубо говоря, все время придется использовать смарт-карту. Во-первых, в этом вряд ли может быть такая острая необходимость, а во-вторых, так как у меня в моей лабораторной среде нет смарт-карт, поэтому в диалоговом окне свойств данного параметра политики я сейчас не вношу никаких изменений;
   
   

   
   Увеличить рисунок

   Рис. 5. Параметр политики «Настроить использование смарт-карт на съемных дисках с данными»

7. Ну и последний параметр политики, который вы можете найти в данном узле, предназначен для получения возможности использования своего USB-накопителя в том случае, если не вы можете при проверке подлинности в данный момент предоставить свои учетные данные. Для того чтобы воспользоваться возможностями данного параметра политики, вам предстоит выполнить еще некоторые предварительные действия. Все дело в том, что для восстановления учетных данных используется агент восстановления данных, которые вам предстоит добавить в узле «Политики открытого ключа» параметров безопасности, чему будет посвящена отдельная статья в текущем цикле;

8. После того как все параметры будут настроены, думаю, будет справедливо закрыть редактор управления групповыми политиками и привязать настроенный объект групповой политики к тому подразделению, на которое должны распространяться внесенные изменения. Например, чтобы USB-накопители шифровались на всех компьютерах в организации, можно привязать такой объект ко всему домену.

Теперь осталось только проверить, что получилось настроить при помощи выполненной выше процедуры. Соответственно, обновим параметры конфигурации компьютера на компьютере, который входит в домен Active Directory и попробуем вставить USB-накопитель, чтобы посмотреть, что же будет сейчас предложено. Итак, как видно на следующей иллюстрации, сейчас пользователь может сразу зашифровать свой съемный накопитель, что означает, что параметры политики правильно применились.

Рис. 6. Реакция операционной системы на подключенный USB-накопитель

Заключение

Из этой статьи вы узнали о том, каким образом можно выполнить предварительные настройки, связанные с шифрованием съемных накопителей при помощи функциональных возможностей групповой политики, как на компьютерах, входящих в рабочую группу, так и для членов домена Active Directory. В следующей статье данного цикла вы узнаете о том, как можно управлять шифрованием дисков средствами соответствующей утилиты командной строки.