BC/NW 2010; №2 (17):11.4

 

АНАЛИЗ НОВЫХ СРЕДСТВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОПЕРАЦИОННЫХ СИСТЕМАХ MICROSOFT WINDOWS

Хорев П.Б.

(Московский энергетический институт (технический университет), Россия)

 

Операционные системы  (ОС) корпорации Microsoft продолжают сохранять доминирующее положение на рынке системного программного обеспечения. Однако безопасность компьютерных систем, работающих под управлением ОС Microsoft Windows, часто вызывает нарекания пользователей. Целью настоящего доклада является анализ тех изменений в подсистеме безопасности ОС Windows, которые были произведены в самой последней ОС для рабочих станций – Microsoft Windows 7.

В докладе будут проанализированы службы шифрования дисковых томов (Bitlocker Drive Encryption и Bitlocker To Go), служба безопасного удаленного доступа к корпоративной сети (DirectAccess), служба управления учетными записями и правами пользователей (User Account Control, UAC), а также дополнительные возможности шифрующей файловой системы (Encrypted File System, EFS).

 

Технология Bitlocker Drive Encryption является частью операционных систем Microsoft Windows Vista Ultimate, Windows Vista Enterprise, Windows 7 Ultimate, Windows 7 Enterprise и Windows Server 2008. Служба BitLocker позволяет защищать данные путём полного шифрования дисковых томов. По умолчанию для шифрования используется алгоритм AES с 128-битным ключом.

Для хранения ключа шифрования служба Bitlocker Drive Encryption может использовать модуль доверенной платформы (Trusted Platform Module, TPM) или подключаемое USB-устройство. При использовании TPM при загрузке ОС на компьютере ключ расшифрования дискового тома может быть получен непосредственно из этой микросхемы либо только после аутентификации пользователя с помощью его USB-устройства и (или) ввода им секретного PIN-кода.

Под TPM понимается криптопроцессор, обеспечивающий безопасное создание и хранение криптографических ключей, а также реализацию криптографических алгоритмов (шифрования и расшифрования, вычисления и проверки электронной цифровой подписи). При шифровании данные защищаются таким образом, что они могут быть расшифрованы только на компьютере, где были зашифрованы, под управлением того же самого программного обеспечения. При шифровании и расшифровании используется ключ подтверждения TPM − уникальный ключ асимметричной криптосистемы RSA длиной 2048 бит, записанный на микросхему в процессе ее производства, или другой ключ, получаемый с внешнего доверенного устройства. TPM должен гарантировать, что ключ подтверждения не будет доступен вне микросхемы.

Модуль TPM может использоваться для подтверждения подлинности аппаратных или программных средств. Так как каждая микросхема TPM уникальна, становится возможным однозначное установление подлинности программно-аппаратной платформы. Например, проверка того, что операционная система, к которой осуществляется доступ, является штатной системой для данного компьютера.

Дополнительно TPM позволяет обеспечить защиту программного обеспечения (ПО) от несанкционированного копирования: защищаемая программа имеет сертификат открытого ключа, обеспечивающий ей (и только ей) доступ к ключу расшифрования данных (который также хранится в TPM). Это обеспечивает такой уровень защиты от копирования, который невозможно преодолеть программными средствами.

При использовании службы Bitlocker Drive Encryption возможны следующие варианты защиты ключа шифрования дискового тома:

·          хранение на TPM;

·          хранение на TPM с запросом PIN-кода при загрузке ОС;

·          хранение на TPM с запросом PIN-кода и подключения USB-устройства при загрузке ОС;

·          хранение на TPM с запросом подключения USB-устройства при загрузке ОС;

·          хранение на USB-устройстве.

При использовании прозрачного режима работы пользователей (без применения PIN-кодов и USB-устройств) ключ шифрования дискового тома может быть получен только загрузчиком ОС после проверки целостности загрузочных файлов. Этот режим уязвим для атаки при «холодной» загрузке ОС, так как позволяет выключить компьютер и загрузить на нем ОС нарушителю, получившему физический доступ к компьютеру.

В режиме проверки подлинности пользователя с предварительным вводом PIN-кода имеется потенциальная уязвимость при использовании нарушителем так называемых «буткитов» (вредоносных программ, внедренных в загрузочные файлы ОС).

В режиме с использованием USB-устройства необходимо, чтобы BIOS на компьютере поддерживал чтение устройств USB в ходе загрузки ОС. Этот режим также уязвим к использованию «буткитов».

Служба BitLocker Drive Encryption шифрует дисковый том, а не физический диск. Том может занимать часть диска, а может включать в себя массив из нескольких дисков. Для работы службе BitLocker потребуется два дисковых раздела с файловой системой NTFS: один для самой ОС и один для ее загрузочной части. Последний должен быть емкостью не менее 1.5 Гб и не будет зашифрован. После создания разделов необходимо инициализировать TPM-модуль и активировать службу BitLocker. Операционная система Windows 7 (в отличие от Windows Vista) автоматически создает необходимые разделы жесткого диска, существенно упрощая развертывания BitLocker.

BitLocker автоматически зашифровывает все файлы, добавляемые в защищенный дисковый том. Естественно, файлы будут защищены только при хранении в защищенном разделе жесткого диска. При копировании на другой носитель они будут расшифрованы.

В том случае, если при загрузке ОС BitLocker обнаружит угрозу безопасности (ошибки диска, изменения BIOS, изменения загрузочных файлов), зашифрованный раздел будет заблокирован и для его разблокирования потребуется ввод пароля восстановления BitLocker, который должен быть создан при активации BitLocker. Шифрование BitLocker можно в любой момент отключить (на время или постоянно), т.е. расшифровать содержимое диска.

Служба BitLocker в ОС Windows 7 поддерживает функцию агента восстановления данных (Data Recovery Agent, DRA) для всех защищенных томов. DRA − это средство защиты ключа шифрования тома, которое записывается на каждый зашифрованный дисковый том, что позволяет администраторам получать доступ к томам, защищенным BitLocker.

С помощью технологии шифрования диска BitLocker можно предотвратить действия нарушителя, загружающего другую операционную систему или запускающего средство неавторизованного доступа на утерянных, украденных или ошибочно списанных компьютерах, действия по разрушению файлов ядра Windows 7 (с помощью проверки целостности компонентов ранней загрузки ОС, которая позволяет убедиться в подлинности системы и наличии зашифрованного диска в исходном компьютере) или взлому защиты операционной системы, а также по автономному просмотру файлов, хранящихся на защищенном диске.

К недостаткам использования Bitlocker Drive Encryption и TPM относится частичное ограничение прав владельца компьютера и передача части этих прав производителям программного обеспечения. Например, из-за ошибок в ПО или намеренного решения его разработчиков будет невозможно переносить данные на другой компьютер, свободно выбирать программное обеспечение для своего компьютера, обрабатывать имеющиеся на компьютере данные любыми доступными программами.

При выходе из строя TPM зашифрованные данные оказываются недоступными и невосстановимыми. Использование Bitlocker Drive Encryption совместно с TPM практично только при внедрении и регулярном применении системы резервного копирования, использующей также защищенные дисковые тома.

Возможно ограничение анонимности работы пользователей при наличии на их компьютерах модулей TPM с удаленно читаемым и неизменяемым идентификатором (например, серийным номером).

При использовании службы BitLocker на компьютерах, не оснащенных модулем ТРМ, с применением USB-устройств или паролей восстановления степень защищенности системы будет полностью определяться правильными действиями пользователя, что невозможно гарантировать.

Служба BitLocker To Go обеспечивает защиту от раскрытия и хищения данных на съемных устройствах хранения информации. Расширенная поддержка BitLocker для томов данных под управлением файловой системы FAT затрагивает широкий диапазон устройств и дисковых форматов, включая USB-устройства флэш-памяти и съемные диски. Поэтому пользователи могут развертывать BitLocker во многих ситуациях, когда требуется обеспечить защиту данных.

BitLocker To Go может использоваться отдельно от службы BitLocker, при этом защищать системный раздел с помощью обычного компонента BitLocker не нужно. Кроме того, служба BitLocker To Go предоставляет съемным устройствам поддержку с возможностью только чтения в старых версиях Windows, позволяя более безопасно обмениваться файлами с пользователями, работающими с ОС Windows Vista и Windows XP.

При подключении флэш-диска к компьютеру в контекстном меню флэш-диска появляется команда «Включить BitLocker…». Далее в процессе инициализации службы пользователь должен выбрать метод блокировки сменного диска (по паролю или смарт-карте). При выборе блокировки по паролю он должен будет обязательно содержать прописные и строчные буквы, цифры, пробелы и символы. При выборе блокировки по смарт-карте для разблокирования устройства потребуется не только вставить смарт-карту, но и ввести ее PIN-код. Возможен выбор обоих методов блокирования флэш-диска.

После выбора метода блокировки начинается процесс шифрования данных на устройстве, по завершении которого пользователю предлагается сохранить код разблокирования, необходимый для возможности доступа к данным на устройстве при утере пароля или смарт-карты. Код разблокирования может быть сохранен в файле и (или) распечатан.

При подключении к компьютеру устройства, зашифрованного с помощью службы BitLocker To Go, пользователь по запросу Windows должен будет ввести пароль и (или) вставить смарт-карту для расшифрования записанных на устройстве данных. При потере пароля или смарт-карты потребуется выбрать ссылку «Забыли пароль?» и ввести код разблокирования устройства. С каждым кодом разблокирования связан идентификационный номер, записываемый также и на флэш-диск для подтверждения связи кода с конкретным устройством.

В процессе шифрования данных на сменном диске в его корневой каталог записываются специальные файлы. Если автозапуск съемных устройств отключен (что требуется для защиты компьютера пользователя от вредоносных программ), потребуется открыть флэш-диск в Проводнике Windows и запустить программу BitLocker To Go для разблокирования устройства и получения доступа к зашифрованным файлам, которые до разблокировки просто не отображаются в окне Проводника.

В отличие от Windows 7 в Windows XP (Windows Vista) нельзя включить режим «Автоматически разблокировать устройство в дальнейшем» (т.е. разблокировать флэш-диск потребуется при любом его подключении к одному и тому же компьютеру). В Windows XP (Windows Vista) получить доступ к файлам, размещенным на защищенном устройстве, будет возможно только после их копирования на жесткий диск компьютера Запись новых (измененных) файлов на защищенное устройство будет в этом случае невозможна.

Защита, обеспечиваемая службами BitLocker Drive Encryption и BitLocker To Go, проста в развертывании, интуитивно понятна конечному пользователю, соответствует нормативным требованиям и обеспечивает должную безопасность данных.

Служба DirectAccess позволяет удаленным пользователям получить безопасный доступ к сети предприятия без подключения к виртуальной частной сети (Virtual Private Network, VPN). Клиент DirectAccess устанавливает двунаправленную связь компьютера пользователя с корпоративной сетью при любом подключении компьютера пользователя с поддержкой DirectAccess к сети Интернет, даже до начала сеанса пользователя в своей операционной системе. Пользователь не занимается выбором способов удаленного подключения к корпоративной сети, а администраторы могут управлять компьютерами, находящимися вне офиса, даже если они не подключены к VPN.

Данная технология становится доступной при одновременном использовании в компании рабочих станций под управлением ОС Windows 7 и серверов с Windows Server 2008 R2, а также протокола IPv6. Соединение устанавливается автоматически в фоновом режиме без участия пользователя и не требует повторного «ручного» подключения, если связь с корпоративной сетью прерывается, а групповые политики и необходимые обновления безопасности могут применяться до входа пользователя в свою операционную систему. Администрирование этой службы возможно в удаленном режиме без физического доступа администратора на рабочие станции удаленных пользователей.

Ограничением в использовании технологии DirectAccess является то, что корпоративная сеть и подключение удаленного пользователя к своему Интернет-провайдеру должны поддерживать протокол IPv6, частью которого является протокол безопасной передачи данных IPSec. Если это не так, то для использования DirectAccess потребуется приобрести, установить и сконфигурировать шлюзы Teredo (для удаленного пользователя) и ISATAP (для корпоративной сети).

Если компания не сможет отказаться от использования серверов удаленного доступа и серверов публикации внутренних ресурсов, то ей придется поддерживать как существующую инфраструктуру удаленного доступа, так и новую на основе DirectAccess.

Одной из проблем безопасности компьютерных систем под управлением ОС Windows являлась их слабая защищенность от действий вредоносных программ. В ОС Microsoft Windows Vista появилась служба User Account Control (UAC, управление учетными записями и правами пользователей), предназначенная для уведомления пользователя о необходимости изменения системных данных по запросу той или иной (возможно, вредоносной) программы. В Windows 7 этот механизм стал более гибким и позволяет не только обеспечить целостность системных данных, но и конфигурировать работу службы оповещений о возможной опасности для отключения необходимости постоянного подтверждения пользователем своих действий.

В Windows 7 можно выбрать один из четырех уровней частоты уведомлений.

·          Уровень 4. Сообщить, когда программы устанавливают новое программное обеспечение, вносят изменения или меняют настройки Windows. Сообщить, когда пользователь меняет настройки Windows. Ждать ответа.

·          Уровень 3. Сообщить, когда программы устанавливают новое программное обеспечение, вносят изменения или меняют настройки Windows. Сообщить, когда пользователь меняет настройки Windows. Не ждать ответа.

·          Уровень 2. Сообщить, когда программы устанавливают новое программное обеспечение, вносят изменения или меняют настройки Windows. Не сообщать, когда пользователь меняет настройки Windows. Не ждать ответа.

·          Уровень 1. Не сообщать вообще.

Несмотря на безусловную важность службы UAC, в ней можно выделить следующие недостатки:

·          у пользователей зачастую нет достаточных знаний, чтобы правильно понять запрос системы безопасности;

·          собственные данные Microsoft показывают, что пользователи нажимают кнопку «Да» в большинстве случаев.

В Windows 7 исправлен недостаток службы UAC, выражавшийся в оповещении пользователя о действиях самой ОС.

В ОС Windows 7 в архитектуре шифрующей файловой системы EFS появилась полная поддержка криптографии на основе эллиптических кривых (Elliptic Curve Cryptography, ECC). Благодаря этому EFS отвечает требованиям к шифрованию, предъявляемым стандартом Suite B Агентства национальной безопасности США, и может использоваться для защиты секретной информации в государственных учреждениях этой страны.

Хотя стандарт Suite B не допускает использования криптосистемы RSA, но файловая система EFS в Windows 7 поддерживает режим совместного использования алгоритмов ECC и RSA. Так обеспечивается обратная совместимость с файлами EFS, которые были зашифрованы EFS из предыдущих версий Windows.

 

В докладе представлены результаты анализа новых средств информационной безопасности в составе операционной системы Microsoft Windows 7 (служб шифрования разделов жесткого диска и сменных дисков, службы безопасного доступа к ресурсам корпоративной сети без создания VPN). Показаны преимущества и возможные проблемы при их использовании.

Также в докладе рассмотрены улучшения в работе службы контроля использования прав пользователей и шифрующей файловой системы.

Литература

1.     Краткий обзор Windows 7 BitLocker. http://technet.microsoft.com/ru-ru/library/dd548341(WS.10).aspx.

2.     Руссинович М. Администрирование в Windows. Внутреннее устройство ядра Windows Vista: Часть 3. http://technet.microsoft. com/ru-ru/magazine/2007.04.vistakernel.aspx.

3.     Обзор DirectAccess в Windows Server 2008 R2 и Windows 7. Часть 1. http://system-administrators.info/?p=3114.

4.     Хорев П.Б. Программно-аппаратная защита информации. М.: ФОРУМ, 2009.