О шифровании данных. Единая консоль управления

Шифрующие вирусы-вымогатели в последнее время стали одной из главных угроз и мы ежедневно узнаем о новых атаках, новых вирусах-вымогателях или их версиях и, к сожалению, о жертвах, с которых киберпреступники требуют выкуп за возвращение доступа к зашифованным данным. Поэтому Kaspersky Lab в компоненту System Watcher (Мониторинг активности) новейших продуктов включила особую подсистему борьбы с шифрующими вредоносными программами Kaspersky Cryptomalware Countermeasures Subsystem. Благодаря набору уникальных технологий, в Латвии и в мире среди пользователей новейших продуктов Kaspersky , которые корректно использовали предоставленные продуктами возможности, практически нет пострадавших от атак шифрующих вирусов-вымогателей! И это не магия и не заговор, как иногда говорят даже специалисты, видя, как в отличии от пользователей других антивирусов поклонники продуктов Kaspersky остаются невредимыми в атаках шифрующих вирусов-вымогателей. Это просто изобретенные и реализованные разработчиками Kaspersky Lab технологии!

В какие продукты влючены System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem?

Особые технологии для борьбы с шифрующими вирусами-вымогателями включены в текущие версии следующих ниже перечисленных продуктов для операционной системы Windows или их компонет для Windows.

Продукты для малого бизнеса:
Продукты корпоративной защиты:

* Всем продуктам доступно 30-дневное бесплатное полнофукциональное испробование с местной техническо поддержкой. Для испробования и установить, а .

Как работает System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem?

Kaspersky Lab ежедневно в среднем обрабатывает 315 000 новых образцов вредоносного ПО. При таком большом наплыве новых вредоносных программ антивирусным компаниям очень часто приходится защищать пользователей от атак вредоносных программ, которые им еще неизвестны. По аналогии с реальным миром это было бы также, как идентифицировать преступника до того, как получены его отпечатки пальцев, фотография и другие данные. Как это сделать? Наблюдая и анализируя поведение. Именно этим и занимается встроенная в новейшие продукты Kaspersky Lab непрерывно наблюдающая за компьютерной системой компонента под названием System Watcher (Мониторинг активности).

System Watcher наблюдает происходящие в системе процессы и детектирует вредоносные действия, используя сигнатуры последовательностей поведения Behaviour Stream Signatures (BSS) и позволяя таким образом определить и остановить работу совсем новых и неизвестных вредоносных программ по их поведению. Но это не все. Пока становится ясным, что какая-нибудь программа является вредоносной, она может успеть кое-что сделать. Поэтому еще одной особенностью System Watcher является способность откатывать обратно изменения в системе сделанные вредоносной программой.

Для того, чтобы откатывать обратно изменения сделанные новой шифрующей вредоносной программой, специалисты Kaspersky Lab добавили к компоненте System Watcher подсистему борьбы с шифрующими вирусами Kaspersky Cryptomalware Countermeasures Subsystem, которая создает резервные копии файлам, если их открывает подозрительная программа, и в последствии при необходимости восстанавливает их с сохраненных копий. Таким образом, даже если шифрующий вирус является новым, то есть у антивируса нет его "отпечатков пальцев", и он неидентифицируется другими механизмами, System Watcher детектирует его по поведению и, используя уже упомянутую подсистему, возвращает компьютерную систему с состояние, какое было до атаки вредоносной программы.

Распознавание неизвестной шифрующей вредоносной программы по поведению, остановку ее работы и откат изменений произведенных ею (замену зашифрованных файлов нешифрованными копиями) можно увидеть в демонастрационном видео ниже.

Тут необходимо пояснить, что каждому конкретному пользователю ситуации, когда необходимо задействование Kaspersky Cryptomalware Countermeasures Subsystem, могут произойти крайне редко, так как информация о каждом инциденте с неизвестной вредоносной программой за считанные доли секунды попадает в облако Kaspersky Security Network и другие пользователи решений Kaspersky с этого момента уже защищены против новой угрозы системой раннего детектирования. Это означает, что любая дальнейшая попытка инфицирования компьютеров пользователей Kaspersky будет блокирована уже ранней сигнатурой. Именно действием таких уникальных механизмов объясняется факт, что в Латвии практически не было пострадавших среди пользователей новейших продуктов Kaspersky, так как это работает как глобальная иммунная система для всех 400 миллионов пользователей Kaspersky во всем мире!

Дополнительную информацию о System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem на английском языке можно найти в документах в формате PDF:

Что еще небходимо знать о System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem?

System Watcher и вместе с ним автоматически Kaspersky Cryptomalware Countermeasures Subsystem в соответсвии с началными установками производителя включены по умолчанию. Пользователю после инсталляции продуктов нет необходимости производить какие либо дополнительные действия для использование выше описанных технологий.

Особо надо отметить, что System Watcher не входит в состав продукта Kaspersky Anti-Virus for Windows Workstation 6.0 (выпущен в 2007 году), кторый еще иногда используется. Пользователи этого продукта призываются к использованию бесплатного перехода на более новый Kaspersky Endpoint Security for Windows. Легальные пользователи могут загружать и устанавливать новейшие версии продуктов бесплатно, к примеру, с раздела " " этого сайта.

Kaspersky Endpoint Security позволяет шифровать файлы и папки, хранящиеся на локальных дисках компьютера и съемных дисках, съемные и жесткие диски целиком. Шифрование данных снижает риски утечки информации в случае кражи / утери портативного компьютера, съемного диска или жесткого диска, а также при доступе посторонних пользователей и программ к данным.

Если срок действия лицензии истек, то программа не шифрует новые данные, а старые зашифрованные данные остаются зашифрованными и доступными для работы. В этом случае для шифрования новых данных требуется активировать программу по новой лицензии, которая допускает использование шифрования.

В случае истечения срока действия лицензии, нарушения Лицензионного соглашения, удаления ключа, удаления программы Kaspersky Endpoint Security или компонентов шифрования с компьютера пользователя не гарантируется, что файлы, зашифрованные ранее, останутся зашифрованными. Это связано с тем, что некоторые программы, например Microsoft Office Word, при редактировании файлов создают их временную копию, которой подменяют исходный файл при его сохранении. В результате при отсутствии или недоступности на компьютере функциональности шифрования файл остается незашифрованным.

Kaspersky Endpoint Security обеспечивает следующие направления защиты данных:

• Шифрование файлов на локальных дисках компьютера . Вы можете сформировать списки из файлов по расширению или группам расширений и из папок, расположенных на локальных дисках компьютера, а также создать правила шифрования файлов, создаваемых отдельными программами . После применения политики Kaspersky Security Center программа Kaspersky Endpoint Security шифрует и расшифровывает следующие файлы:
  • файлы, отдельно добавленные в списки для шифрования и расшифровки;
  • файлы, хранящиеся в папках, добавленных в списки для шифрования и расшифровки;
  • файлы, создаваемые отдельными программами.

  Подробнее о применении политики Kaspersky Security Center вы можете прочитать в справке для Kaspersky Security Center.

• Шифрование съемных дисков . Вы можете указать правило шифрования по умолчанию, в соответствии с которым программа выполняет одинаковое действие по отношению ко всем съемным дискам, и указать правила шифрования отдельных съемных дисков.

  Правило шифрования по умолчанию имеет меньший приоритет, чем правила шифрования, созданные для отдельных съемных дисков. Правила шифрования, созданные для съемных дисков с указанной моделью устройства, имеют меньший приоритет, чем правила шифрования, созданные для съемных дисков с указанным идентификатором устройства.

  Чтобы выбрать правило шифрования файлов на съемном диске, Kaspersky Endpoint Security проверяет, известны ли модель устройства и его идентификатор. Далее программа выполняет одно из следующих действий:

  • Если известна только модель устройства, программа применяет правило шифрования, созданное для съемных дисков с данной моделью устройства, если такое правило есть.
  • Если известен только идентификатор устройства, программа применяет правило шифрования, созданное для съемных дисков с данным идентификатором устройства, если такое правило есть.
  • Если известны и модель устройства, и идентификатор устройства, программа применяет правило шифрования, созданное для съемных дисков с данным идентификатором устройства, если такое правило есть. Если такого правила нет, но есть правило шифрования, созданное для съемных дисков с данной моделью устройства, программа применяет его. Если не заданы правила шифрования ни для данного идентификатора устройства, ни для данной модели устройства, программа применяет правило шифрования по умолчанию.
  • Если неизвестны ни модель устройства, ни идентификатор устройства, программа применяет правило шифрования по умолчанию.

  Программа позволяет подготовить съемный диск для работы с зашифрованными на нем файлами в портативном режиме. После включения портативного режима становится доступной работа с зашифрованными файлами на съемных дисках, подключенных к компьютеру с недоступной функциональностью шифрования.

  Программа выполняет указанное в правиле шифрования действие при применении политики Kaspersky Security Center.

• Управление правами доступа программ к зашифрованным файлам . Для любой программы вы можете создать правило доступа к зашифрованным файлам, запрещающее доступ к зашифрованным файлам или разрешающее доступ к зашифрованным файлам только в виде шифротекста - последовательности символов, полученной в результате применения шифрования.
• Создание зашифрованных архивов . Вы можете создавать зашифрованные архивы и защищать доступ к этим архивам паролем. Доступ к содержимому зашифрованных архивов можно получить только после ввода паролей, которыми вы защитили доступ к этим архивам. Такие архивы можно безопасно передавать по сети или на съемных дисках.
• Полнодисковое шифрование . Вы можете выбрать технологию шифрования: Шифрование диска Kaspersky или Шифрование диска BitLocker (далее также "BitLocker").

  BitLocker - технология, являющаяся частью операционной системы Windows. Если компьютер оснащен доверенным платформенным модулем (TPM, Trusted Platform Module), BitLocker использует его для хранения ключей восстановления, позволяющих получить доступ к зашифрованному жесткому диску. При загрузке компьютера BitLocker запрашивает у доверенного платформенного модуля ключи восстановления жесткого диска и разблокирует его. Вы можете настроить использование пароля и / или PIN-кода для доступа к ключам восстановления.

  Вы можете указать правило полнодискового шифрования по умолчанию и сформировать список жестких дисков для исключения из шифрования. Kaspersky Endpoint Security выполняет полнодисковое шифрование по секторам после применения политики Kaspersky Security Center. Программа шифрует сразу все логические разделы жестких дисков. Подробнее о применении политики Kaspersky Security Center вы можете прочитать в справке для Kaspersky Security Center.

  После шифрования системных жестких дисков при последующем включении компьютера доступ к ним, а также загрузка операционной системы возможны только после прохождения процедуры аутентификации с помощью. Для этого требуется ввести пароль токена или смарт-карты, подключенных к компьютеру, или имя и пароль учетной записи Агента аутентификации, созданной системным администратором локальной сети организации с помощью задач управления учетными записями Агента аутентификации. Эти учетные записи основаны на учетных записях пользователей Microsoft Windows, под которыми пользователи выполняют вход в операционную систему. Вы можете управлять учетными записями Агента аутентификации и использовать технологию единого входа (SSO, Single Sign-On), позволяющую осуществлять автоматический вход в операционную систему с помощью имени и пароля учетной записи Агента аутентификации.

  Интерфейс, позволяющий после шифрования загрузочного жесткого диска пройти процедуру аутентификации для доступа к зашифрованным жестким дискам и для загрузки операционной системы.

  Если для компьютера была создана резервная копия, затем данные компьютера были зашифрованы, после чего была восстановлена резервная копия компьютера и данные компьютера снова были зашифрованы, Kaspersky Endpoint Security формирует дубликаты учетных записей Агента аутентификации. Для удаления дубликатов требуется использовать утилиту klmover с ключом dupfix . Утилита klmover поставляется со сборкой Kaspersky Security Center. Подробнее о ее работе вы можете прочитать в справке для Kaspersky Security Center.

  При обновлении версии программы до Kaspersky Endpoint Security 11 для Windows список учетных записей Агента аутентификации не сохраняется.

  Доступ к зашифрованным жестким дискам возможен только с компьютеров, на которых установлена программа Kaspersky Endpoint Security с доступной функциональностью полнодискового шифрования . Это условие сводит к минимуму вероятность утечки информации, хранящейся на зашифрованном жестком диске, при использовании зашифрованного жесткого диска вне локальной сети организации.

Для шифрования жестких и съемных дисков вы можете использовать функцию . Рекомендуется применять эту функцию только для новых, ранее не использовавшихся устройств. Если вы применяете шифрование на уже используемом устройстве, рекомендуется зашифровать все устройство. Это гарантирует защиту всех данных - даже удаленных, но еще содержащих извлекаемые сведения.

Перед началом шифрования Kaspersky Endpoint Security получает карту секторов файловой системы. В первом потоке шифруются секторы, занятые файлами на момент запуска шифрования. Во втором потоке шифруются секторы, в которые выполнялась запись после начала шифрования. После завершения шифрования все секторы, содержащие данные, оказываются зашифрованными.

Если после завершения шифрования пользователь удаляет файл, то секторы, в которых хранился этот файл, становятся свободными для дальнейшей записи информации на уровне файловой системы, но остаются зашифрованными. Таким образом, по мере записи файлов на новом устройстве при регулярном запуске шифрования с включенной функцией Шифровать только занятое пространство на компьютере через некоторое время будут зашифрованы все секторы.

Данные, необходимые для расшифровки объектов, предоставляет Сервер администрирования Kaspersky Security Center, под управлением которого находился компьютер в момент шифрования. Если по каким-либо причинам компьютер с зашифрованными объектами попал под управление другого Сервера администрирования и доступ к зашифрованным объектам ни разу не был осуществлен, то получить его возможно одним из следующих способов:

• запросить доступ к зашифрованным объектам у администратора локальной сети организации;
• восстановить данные на зашифрованных устройствах с помощью утилиты восстановления;
• восстановить конфигурацию Сервера администрирования Kaspersky Security Center, под управлением которого находился компьютер в момент шифрования, из резервной копии и использовать эту конфигурацию на Сервере администрирования, под управлением которого оказался компьютер с зашифрованными объектами.

В процессе шифрования программа создает служебные файлы. Для их хранения требуется около 0,5% нефрагментированного свободного пространства на жестком диске компьютера. Если нефрагментированного свободного пространства на жестком диске недостаточно, то шифрование не запускается до тех пор, пока не обеспечено это условие.

Не поддерживается совместимость между функциональностью шифрования Kaspersky Endpoint Security и Антивирусом Касперского для UEFI. Шифрование дисков компьютеров, на которых установлен Антивирус Касперского для UEFI, приводит к неработоспособности Антивируса Касперского для UEFI.

«Лаборатория Касперского» выпускает Kaspersky KryptoStorage и Kaspersky Password Manager

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о выпуске продукта для шифрования данных Kaspersky KryptoStorage (KKS) и решения для защищенного хранения паролей Kaspersky Password Manager (KPM).

В последнее время все большее распространение получают угрозы, связанные с кражей конфиденциальных данных пользователей. Шифрование самых важных пользовательских данных позволяет создать дополнительный барьер для хакерской атаки, проведенной, в том числе, и с использованием различного вредоносного ПО.

Kaspersky KryptoStorage предназначен для криптографической защиты данных, обеспечивая их конфиденциальность путем шифрования, а также гарантированного удаления указанных пользователем данных. В системе KKS реализована криптозащита каталогов, виртуальных дисков и логических разделов жестких дисков. Шифрование и расшифровка происходят в фоновом режиме, не препятствуя работе пользователя.

В зависимости от задач, пользователь может зашифровать как целый раздел, так и отдельные папки. При выполнении операций чтения информация автоматически расшифровывается, операций записи – зашифровывается. Стоит отметить, что защищенные KKS данные можно прочесть лишь с помощью пароля, устанавливаемого при первичном шифровании.

Криптозащита в решении Kaspersky KryptoStorage реализована на основе стойкого алгоритма симметричного шифрования AES-128. Секретный ключ создается путем криптографического преобразования пароля, вводимого пользователем. Стойкость решения дополнительно усилена специальным алгоритмом, препятствующим атакам методом полного перебора, делая их неэффективными даже на самых быстродействующих компьютерах.

Зашифрованные с помощью Kaspersky KryptoStorage файл-контейнеры можно отсылать по электронной почте, а также сохранять на внутренних и внешних, локальных и сетевых носителях – то есть на любых цифровых накопителях, включая магнитные и оптические диски, а также флеш-карты. На все защищенные данные можно установить как одинаковый пароль, так и уникальный для каждого защищенного объекта. Кроме криптозащиты решение Kaspersky KryptoStorage способно гарантированно удалять данные с любых цифровых носителей, что позволяет предотвращать утечки информации, в том числе, с утерянных или выброшенных устройств памяти.

Надежно хранить коды доступа к важной информации поможет Kaspersky Password Manager. Решение полностью автоматизирует ввод паролей и других данных на веб-страницах, избавляя пользователя от необходимости создавать и запоминать пароли. Продукт обеспечивает безопасность кодов, которые защищают доступ к веб-страницам и приложениям Windows, сохраняя их в специальной базе данных (в свою очередь защищенной с помощью мастер-пароля).

Помимо хранения, KPM может самостоятельно генерировать стойкие пароли длиной до 99 символов, что обеспечивает создание сложных и уникальных паролей. Решение имеет наглядный индикатор стойкости пароля, следуя которому пользователь сможет надежно защитить базу данных своих паролей. Кроме того, при введении мастер-пароля в целях защиты от клавиатурных шпионов можно использовать виртуальную клавиатуру.

Доступ к Kaspersky Password Manager удобен для пользователя, поскольку продукт глубоко интегрирован с другими прикладными программами. Его функциональность доступна не только через панель задач операционной системы, но и через кнопку в графическом интерфейсе приложений Windows. Пароли, хранящиеся в браузерах в незащищенном виде, могут быть импортированы в защищенное хранилище решения автоматически.

Kaspersky Password Manager способен работать с USB-носителей, без необходимости предварительной установки. Кроме того, решение имеет антифишинговый функционал, определяющий подозрительные сайты и сообщающий о них пользователю.

Персональные продукты «Лаборатории Касперского» и новые решения «Лаборатории Касперского» отлично дополняют друг друга, рекомендованная стоимость бессрочной лицензии на каждый продукт составляет 288 грн. Купить новые продукты «Лаборатории Касперского» можно через онлайн-магазин на официальном

22.04.2013 Владимир Безмалый

В криптографии шифрование представляет собой процесс кодирования информации таким способом, при котором только авторизованные пользователи могут прочесть данные. В схеме шифрования информацию или «простой текст» защищают с помощью алгоритма шифрования, превращая ее в нечитабельный «шифрованный текст». Это обычно делается за счет применения ключа шифрования, который определяет, как должны быть закодированы данные

Неавторизованные пользователи могут увидеть шифрованный текст, но не смогут прочесть исходные данные. Авторизованные пользователи могут декодировать шифрованный текст, используя алгоритм дешифрования, который обычно требует секретного ключа расшифровки, доступ к которому есть только у них. Схема шифрования, как правило, нуждается в алгоритме генерации ключей, чтобы создавать ключи произвольного вида.

Полное шифрование диска Full Disk Encryption (FDE) является одним из наиболее эффективных способов защиты данных, хранимых на ноутбуках, от кражи или утери вместе с устройством. Что бы ни произошло с устройством, механизм FDE позволяет гарантировать, что вся хранящаяся на нем информация недоступна тому, в чьи руки попало данное устройство.

При использовании FDE шифруются все данные на жестком диске. По сути, шифруется каждый сектор. При этом получить доступ может только авторизованный пользователь, знающий пароль. Кроме того, данная технология может применяться для съемных носителей, таких как USB-диски. Давайте рассмотрим работу системы шифрования на примере продукта «Kaspersky Security для бизнеса».

Как работает FDE

FDE используется до загрузки системы. Это означает, что применяемая технология начинает свою работу сразу же после нажатия кнопки питания на устройстве. Шифрование диска может быть запущено либо непосредственно на компьютере пользователя, либо централизованно с помощью модуля Security Center. При этом программа шифрует все выбранные диски и устанавливает модуль авторизации в среде загрузки. При включении компьютера операционная система начинает загружаться в зашифрованной окружающей среде (рисунок 1). Шифрование незначительно замедляет производительность системы, что характерно для всех реализаций программного обеспечения шифрования от любых поставщиков. Все операции шифрования (дешифрования) происходят незаметно для пользователя, независимо от используемого им программного обеспечения. При этом зашифровывается весь жесткий диск (файл подкачки, файл гибернации, временные файлы, тоже часто содержащие важные данные). А в случае, если пользователь потеряет пароль к шифрованному жесткому диску, информация может быть расшифрована с помощью секретного ключа, известного только администратору продукта. Функция FDE включена в поставку Kaspersky Endpoint Security. Администраторы безопасности могут централизованно управлять данным комплексом с помощью Security Center.

Преимущества FDE

Принудительное шифрование конфиденциальных данных. Конечный пользователь не имеет возможности перенастроить механизм шифрования. FDE предотвращает несанкционированный доступ к данным с помощью механизма аутентификации (имя/пароль). При вводе правильного сочетания имя/пароль система извлекает ключ, необходимый для расшифровки файлов на жестком диске. Фактически это добавляет дополнительный уровень безопасности, поскольку зашифрованные данные будут бесполезны для злоумышленника после уничтожения криптографического ключа.

Централизованное управление ключами. Все ключи шифрования хранятся в Security Center и доступны только администратору безопасности.

Централизованное управление шифрованием. Управление ключами расшифровки, контроль доступа для мобильных устройств, отчетность и восстановление утраченных паролей доступны только администратору безопасности и лишь при работе Security Center.

Простота и гибкость. С точки зрения конечного пользователя шифрование осуществляется абсолютно прозрачно. После успешной авторизации процесс шифрования/дешифрования происходит незаметно и не влияет на работу пользователя.

Централизованное восстановление данных. В случае утери пароля или повреждения носителей данные могут быть восстановлены и расшифрованы с помощью специальной централизованно управляемой процедуры аварийного восстановления.

Недостатки технологии FDE

Следует учесть, что FDE шифрует только информацию, хранящуюся на зашифрованном носителе, следовательно, если вы передаете ее по электронной почте или копируете на другой носитель, вы копируете ее в открытом виде.

Ключ дешифрования должен быть доступен до того, как вы получите в интерфейсе запрос пароля для доступа к системе. Следовательно, если ваш жесткий диск поврежден, то может быть очень сложно восстановить данные, даже используя специальное программное обеспечение.

Вы можете задействовать FDE для шифрования дисков SSD, однако при этом следует учесть, что вы теряете в скорости – одном из основных преимуществ использования SSD.

Самый большой недостаток, на мой взгляд, - поддержка только парольной аутентификации. Смарт-карты, биометрия, токены на сегодня не поддерживаются.

Как работает FDE

Каждый жесткий диск на конечном устройстве использует два ключа. Первый ключ служит для шифрования/дешифрования данных на жестком диске, Disk Encryption Key (DEK). Второй ключ предназначен для шифрования DEK и других уязвимых данных - Disk Master Key (DMK). У DMK для загрузочного диска есть особое назначение - это шифрование/дешифрование DMK для всех других жестких дисков и пользовательских политик. Такой ключ называется ключом шифрования конечного устройства End-Point Key (EPK), и для загрузочного диска верно равенство

«EPK»=»Boot Disk DMK».

Конечное устройство хранит все уязвимые данные (метаданные) в специальном хранилище метаданных, к которому можно получить доступ и от лица пользователя перед начальной загрузкой, и из режима ядра. Чтобы проверить целостность метаданных и подлинность, с использованием DMK в качестве ключа вычисляется специальный маркер Authentication Tag (согласно спецификации CMAC NIST-SP-800-38B).

Шифрование загрузочного диска

В зависимости от типа носителей - загрузочный диск, диск данных или съемный диск, - у метаданных есть свой физический формат развертывания. У загрузочного диска с установленным FDE есть собственная запись загрузки Custom MBR. Эта запись Custom MBR не зашифрована и содержит таблицу со следующими важными параметрами: GUID диска и адресом (число секторов) расположения компонентов предзагрузки Pre-Boot Components. Другие дисковые данные зашифрованы на уровне сектора алгоритмом AES-XTS с ключом 256 разрядов, кроме двух областей (рисунок 2):

• область Pre-Boot Components содержит исполняемые компоненты (среда PBE, обработчик INT13, первоначальная запись MBR) и адрес блока метаданных Endpoint Metadata Storage;
• область Endpoint Metadata Storage содержит все метаданные (уязвимая информация) конечного устройства, используемые для аутентификации и авторизации.

Рисунок 2. Механизм шифрования загрузочного жесткого диска

Оба хранилища, Pre-Boot Components и Endpoint Metadata Storage, могут быть расположены в середине диска, среди секторов с зашифрованными данными.

Область Endpoint Metadata Storage содержит два основных раздела (рисунок 3):

• раздел Endpoint Metadata содержит информацию, связанную со всем конечным устройством (политики паролей и настройки конечного устройства) и соответствующую информацию загрузочного диска (зашифрованный DEK и Metadata Authentication Tag);
• раздел Users Metadata содержит информацию, связанную с пользователями - пользовательские данные аутентификации, зашифрованный DMK, пользовательские политики и так далее.

Рисунок 3. Структура Endpoint Metadata Storage

Раздел Endpoint Metadata состоит из одного непрерывного блока, содержащего вспомогательную информацию (версия метаданных, сигнатура, размер этого блока, размер пользовательского раздела, количество пользователей, параметров шифрования и аутентификации), зашифрованный с помощью DMK DEК (алгоритм CBC AES, ключ 256 разрядов), Authentication Tag всего хранилища Endpoint Metadata Storage, зашифрованный ключом DMK (AES-CMAC, ключ 256 бит) и настройки конечной точки, как то политики паролей и открытый ключ Security Center.

Пользовательский раздел метаданных содержит один или более блоков пользовательских метаданных. Каждый пользовательский блок метаданных - непрерывный блок, содержащий следующие разделы.

1. Вспомогательная информация (подпись, размер всего пользовательского блока, состояние записи, размер подблока аутентификации и количество записей аутентификации, размер подблока данных).
2. Идентификатор пользователя (User ID) - хешированное пользовательское имя для регистрации в системе (алгоритм SHA1).
3. Блок User Authentication Data содержит одну или более записей аутентификации: Password Based Authentication хранит информацию, требуемую для аутентификации пользователя паролем. Запись Token Based Authentication хранит информацию, требуемую для аутентификации пользователя с помощью токена безопасности. Эта запись содержит ID токена и DMK, зашифрованного открытым ключом токена. Запись Certificate Based Authentication хранит информацию, необходимую для аутентификации пользователя сертификатом. Эта запись содержит ID сертификата, ключевые параметры, закрытый ключ сертификата пользователя, зашифрованного паролем, DMK, зашифрованный открытым ключом сертификата пользователя.
4. Блок User Data, зашифрованный DMK (CBC AES, ключ 256 бит), содержит пользовательские политики с информацией об учетной записи пользователя и имя пользователя.

Таким образом, у каждого пользователя могут быть один или несколько различных типов аутентификаторов одновременно.

У других дисков и съемных дисков с установленным FDE также есть запись Custom MBR (в незашифрованной форме), но немного другого типа. Эта Custom MBR содержит GUID диска, и блок Device Metadata Storage, содержащий данные аутентификации и зашифрованные ключи (DMK и DEK). Другие данные на этих типах носителей зашифрованы полностью (AES-XTS, ключ 256 бит), см. рисунок 4.

Область Device Metadata Storage включает два основных раздела.

1. Раздел Device Metadata содержит информацию, связанную с текущим устройством, такую как данные идентификации, зашифрованный DEK и Metadata Authentication Tag.
2. Раздел Device Unlocking Metadata содержит информацию, связанную с двумя способами разблокирования: базовый пароль (для автономного устройства) и пароль автоматической разблокировки (для вторичного диска, установленного в конечной системе), и пользовательские данные аутентификации и зашифрованный DMK.

Раздел Device Metadata состоит из одного непрерывного блока, содержащего вспомогательную информацию (версия метаданных, подписи, размер этого блока, параметров шифрования и аутентификации), зашифрованный с помощью DMK DEK (CBC AES, ключ 256 разрядов) и authentication Tag всего Device Metadata Storage, зашифрованный ключом DMK (AES-CMAC, ключ 256 бит).

Во время запуска шифрования на конечном устройстве создаются метаданные ко всем зашифрованным жестким дискам и учетным записям пользователей.

Загрузка на компьютере с зашифрованным загрузочным диском

Если на хосте зашифрован загрузочный диск, то перед загрузкой операционной системы пользователю необходимо пройти аутентификацию в агенте предзагрузки Preboot agent. На основании имени и пароля, введенного пользователем, выполняется подключение всех зашифрованных по FDE устройств, шифрование которых выполнялось на данном хосте. Если к хосту было подключено зашифрованное по FDE устройство, шифрование которого выполнялось на другом хосте, то доступ к такому устройству будет предоставлен только после загрузки операционной системы и старта продукта.

Предоставление доступа к содержимому зашифрованного диска

Продукт предоставляет доступ к содержимому зашифрованного объекта любому пользователю, успешно авторизовавшемуся в операционной системе. Для этого при первом обращении пользователя к зашифрованному диску на данном компьютере продукт получает ключи для доступа из самого зашифрованного диска. Продукт извлекает из зашифрованного объекта криптоконтейнер и с помощью службы шифрования SC получает из него все необходимые ключи. После успешного получения ключа продукт сохраняет его локально для данного пользователя (за исключением некоторых системных пользователей). При повторном обращении пользователя к зашифрованному объекту продукт использует ключ, сохраненный локально для данного пользователя. В случае нескольких одновременных пользовательских сессий доступ к зашифрованным объектам получают все пользователи, если доступ был предоставлен хотя бы одному из них. В отсутствие продукта доступ к зашифрованным файлам на съемном устройстве может быть предоставлен специальным агентом Portable Mode. Этот агент устанавливается продуктом на устройство в процессе применения соответствующей политики и позволяет получить доступ к зашифрованным файлам после успешного ввода пользователем пароля.

Шифрование на уровне файла

Шифрование уровня файла File Level Encryption (FLE) включает шифрование данных в определенных файлах и папках на данном устройстве (рисунок 5). Это делает выбранную информацию недоступной для несанкционированных средств просмотра, независимо от того, где они хранятся. FLE позволяет системным администраторам автоматически шифровать файлы, основанные на атрибутах, таких как расположение и тип файла.

Рисунок 5. Схема работы FLE

В отличие от полного шифрования диска FDE, где шифруется весь раздел или диск, FLE не шифрует всю информацию о жестком диске или переносном устройстве хранения данных, как это делается с помощью FDE. Администраторы могут выбирать, какие данные должны быть зашифрованы (или не зашифрованы), используя правила, которые могут быть реализованы через удобный пользовательский интерфейс программного обеспечения. Правила шифрования могут быть созданы таким образом, чтобы можно было решить, что должно быть зашифровано, например можно создать списки файлов, чтобы зашифровать по их имени, расширению или по каталогу. Можно указать файлы на сменных носителях или автоматически шифровать файлы, созданные или измененные любым заданным приложением.

Хост, на котором выполняется первое обращение пользователя к зашифрованному объекту, должен находиться под управлением того же сервера Security Center, что и хост, на котором выполнялось шифрование этого объекта. В противном случае служба шифрования Security Center не сможет распаковать криптоконтейнер, и продукт, соответственно, не получит ключи для доступа к зашифрованному объекту.

Если по каким-либо причинам доступ в локальное хранилище ключей на хосте был утерян (локальное хранилище повреждено, пароль пользователя сброшен администратором), то при повторном обращении пользователя к зашифрованному объекту продукт будет пытаться получить ключи из зашифрованного объекта.