Időpont: 2012.09.17.

IT Services Hungary Kft.

Lemeztitkosítás központi menedzsmenttel

„A Microsoft BitLocker Administration and Monitoring (MBAM) eszköz a nagyvállalati igények kielégítésére is tökéletesen alkalmassá teszi a Windows 7 Enterprise-ba beépített BitLocker lemeztitkosító megoldást, mivel költséghatékony módon kínál teljes körű felügyeleti lehetőségeket a titkosításhoz, biztosítja a jogszabályi megfelelőséget, miközben magasabb szintre emeli a teljes vállalat információbiztonsági állapotát.”

Boda Péter,
az IT Services Hungary Kft. biztonsági vezetője

Elsőrendű fontosságú a zökkenőmentesen és biztonságosan működő informatikai infrastruktúra egy olyan cég számára, amely Európa legnagyobb vállalatainak kínál informatikai üzemeltetési és fejlesztési szolgáltatásokat. Az IT Services Hungary Kft. a Windows 7 Enterprise BitLocker funkcionalitását választotta, amikor olcsóbb és üzemeltetés szempontjából hatékonyabb lemeztitkosító eszközre volt szüksége több mint ezer hordozható számítógépének adatvédelméhez, melynek menedzsmentjéről a Microsoft BitLocker Administration and Monitoring gondoskodik.

Az ügyfél

Az IT Services Hungary Kft.(ITSH) a több mint 25 országban jelen lévő, globális szolgáltatási hálózatot és mintegy 75 adatközpontot üzemeltető T-Sytems International magyarországi leányvállalata. Mintegy 2500, magasan képzett dolgozójával a legnagyobb hazai informatikai szolgáltatónak számít.

Nem pusztán a BitLocker miatt tértünk át a Windows 7 Enterprise-ra, de a titkosítás lehetősége újabb érv volt amellett, hogy ne várjunk a bevezetésével
Horváth Zsolt,
az ITSH informatikai vezetője

Budapesti, debreceni és pécsi szolgáltató központjaiból az összes, széles körben alkalmazott szoftver- és hardver platformra kínál szolgáltatásokat, például komplex informatikai rendszerek létrehozását és üzemeltetését, szoftverek, biztonsági rendszerek kifejlesztését, valamint informatikai rendszerek és hálózatok menedzselését, felügyeletet.

Ügyfelei között megtalálhatók az európai gazdasági élet élvonalába tartozó cégek.

Lemezek titkosítva

Informatikai szolgáltatóként az ITSH-nak modern technológiát kell használnia és a legmagasabb biztonsági követelményeket kell teljesítenie, ha hiteles piaci szereplő kíván maradni ügyfelei előtt, akik szintén a legjobbat akarják.

Ilyen előzmények után kapóra jött az ITSH-nak, hogy az amúgy is bevezetni tervezett Windows 7 beépítve tartalmazza és külön költség nélkül elérhetővé teszi saját lemeztitkosító megoldását, a BitLocker Drive Encryptiont. "Nem pusztán a BitLocker miatt tértünk át a Windows 7 Enterprise rendszerre, de a titkosítás lehetősége újabb érv volt amellett, hogy ne sokat várjunk a bevezetésével. A lemeztitkosítás kérdése bár megoldott volt vállalatunknál, de egy olcsóbb, hatékonyabb megoldás lehetősége fontos szempont volt amellett, hogy felgyorsítjuk az operációs rendszer cseréjét", mesél az előzményekről Horváth Zsolt, az ITSH informatikai vezetője.

Természetesen a BitLockert is alávetették előzetes teszteknek, és ennek során kiderült, hogy biztonsági szempontból tökéletesen megfelel az ITSH igényeinek. "Nincsenek extrém igényeink ezen a téren, a BitLocker pontosan annyit tud, amennyire nekünk szükségünk van, nem terheli a noteszgépek erőforrásait és óriási előnye, hogy nem kell érte külön licencdíjat fizetni", teszi hozzá Kovács László, az ITSH architectje.

A BitLocker pontosan annyit tud, amennyire nekünk szükségünk van, nem terheli a noteszgépek erőforrásait
Kovács László,
az ITSH architectje

A szoftver kezelése a felhasználók számára is egyszerű. A számítógép bekapcsolását követően először a BitLocker által kívánt hatjegyű PIN-kódot kell megadni; ha ez helyes, a felhasználó továbbléphet, bejelentkezhet a Windows tartományba, és a megszokott módon használhatja számítógépét.

Felügyelni muszáj

A Windows 7 Enterprise és a BitLocker szélesebb körű bevezetése során azonban olyan felügyeleti igények fogalmazódtak meg, amelyekre az eszköz nem kínált megoldást. A Windows 7 Enterprise-ra való áttéréssel párhuzamosan a felhasználóktól megvonták a saját gépük fölötti rendszergazdai jogosultságokat. A titkosító eszközben ugyanakkor csak rendszergazdai jogokkal lehet a bejelentkezéshez használt PIN-kódot megváltoztatni (erre érthető biztonsági megfontolásokból van szükség). Így viszont nem lehetett a telepítési folyamat során beállított alapértelmezett jelszóval kiadni a gépeket és a felhasználóra bízni a PIN-kód cseréjét: a gép átadásánál jelen kellett lennie egy rendszergazdának, akinek segítségével a felhasználó beállította az új jelszót.

Ekkor már mintegy 200 számítógépen működött a Windows 7 Enterprise és a BitLocker. "Kiderült, hogy szükségünk lesz egy BitLocker felügyeleti eszközre. Azt vártuk tőle, hogy a bejelentkező PIN-kódot a felhasználó adminisztrátori jogosultságok nélkül is képes legyen átállítani, és a rendszer automatikusan cserélje a hibaelhárítás során használt visszaállító jelszót (recovery password), ami egy 48 karakterből álló számsor", sorolja a követelményeket Horváth Zsolt.

Azt vártuk a felügyeleti eszköztől, hogy a bejelentkező PIN-kódot a felhasználó adminisztrátori jogosultságok nélkül is képes legyen átállítani, és a rendszer automatikusan cserélje a hibaelhárítás során használt visszaállító kulcsot
Horváth Zsolt,
az ITSH informatikai vezetője

Többféle megoldással is próbálkoztak az ITSH szakemberei, még a saját fejlesztés is szóba jött. Találtak ingyenes eszközt, amellyel be lehetett volna állítani, hogy milyen programokat indíthat el a felhasználó adminisztrátori jogosultságokkal, de ez messze nem volt kielégítő megoldás.

Egyedi igényekkel

Az ITSH szerencséjére pontosan ekkor jelent meg egy új Microsoft-eszköz, a Microsoft BitLocker Administration and Monitoring (MBAM) béta-verziója. "Annyira szerettünk volna egy megoldást, hogy a béta-termékre is egyből lecsaptunk", érzékelteti Kovács László, mekkora szükség volt az eszközre.

A béta-verzió tesztelése, kipróbálása 20-30 elszigetelt gépen folyt hónapokig. "Mivel béta-verziót használtunk, tudtuk, hogy nem lesz egyszerű dolgunk. Nehézkes volt a kezdeti telepítés, a dokumentáció is hiányos volt, de a hazai Microsoft Consulting Services (MCS) csapat segítségével minden nehézséget le tudtunk győzni. A magyar Microsoft még közvetlen kapcsolatot is tudott teremteni a termékfejlesztői csoporthoz, így minden kérésünkre, megkeresésünkre rendkívül gyorsan választ kaptunk", mesél az MBAM-mal való ismerkedés kezdeti fázisairól Komáromi Péter projektvezető.

Az sem könnyítette meg az ITSH szakembereinek dolgát, hogy egyedi igényeik voltak a megoldással kapcsolatban. A BitLocker rendszerint az Active Directoryban tárolja a visszaállítási jelszavait, az informatikai szolgáltató számára azonban ez nem felelt meg. Folyamatban van ugyanis az ITSH Active Directory címtárának migrációja az anyacég infrastruktúrájába, amelynek következtében a visszaállítási információk tárolására a címtártól független megoldást kellett kialakítani.

A visszaállítási jelszavak és kulcsok tárolására ezért egy Microsoft SQL Server Enterprise adatbázis-kezelőt (és hozzá egy Windows Servert) vásárolt az ITSH. A virtuális környezetben, magas rendelkezésre állás mellett működő szerver titkosított adatbázisban tárolja a kulcsokat. Mivel a háttér-adatbázisok minimális tárhelyet igényelnek, az egyetlen szerver tökéletesen elegendő: akár 10 ezer kliens kiszolgálására is alkalmas lenne, miközben az ITSH teljes gépparkja jelenleg 3 ezer darab körül van.

A magyar Microsoft még közvetlen kapcsolatot is tudott teremteni a termékfejlesztői csoporthoz, így minden kérésünkre, megkeresésünkre rendkívül gyorsan választ kaptunk
Komáromi Péter
projektvezető

Mindezek ellenére a tapasztalatok olyannyira kedvezőek voltak, hogy a kezdeti teszt környezetet hamarosan kiterjesztették több mint száz számítógépre, és azoknál sem találtak semmi hiányosságot. Az ITSH szakemberei megjelenését követően átváltottak a végleges verzióra, és éles üzemben is használni kezdték minden, a Windows 7 Enterprise-t és a BitLockert futtató számítógéppel.

Előnyök több szempontból

Az MBAM megoldást kínált az ITSH üzemeltetői csapatának legégetőbb problémájára, nevezetesen a felhasználói PIN-kódok adminisztrátori jogosultságok nélküli cserélhetőségére, összhangban a vállalat törekvésével, hogy minél szélesebb körben valósítsák meg a felhasználói önkiszolgálást.

"Ezzel és egyéb funkcióival az MBAM nem csak a felhasználók, hanem a rendszeradminisztrátorok munkáját is nagymértékben megkönnyítette", mondja Rigó Krisztián projektkoordinátor. Mind a már korábban, mind a bevezetést követően titkosított kliensek egyszerű folyamatokon keresztül menedzselhetők. Jól szabályozott folyamatok mentén, központosítottan, és az Active Directory-tól függetlenített módon történik a visszaállítási kulcsok tárolása és lekérdezése. Ez nem csak a teljes rendszer és a vállalati adatok biztonságát növeli, hanem a Helpdesk munkatársai is könnyen ki tudják segíteni a rossz PIN-kód miatt bajba jutott felhasználókat. Mindeközben ahogy az összes adminisztrációs beavatkozást úgy ezt a folyamatot is naplózza a rendszer, így minden tevékenység visszakövethetővé és ellenőrizhetővé válik.

Az MBAM nem csak a felhasználók, hanem a rendszeradminisztrátorok munkáját is nagymértékben megkönnyítette
Rigó Krisztián
projektkoordinátor

Az egységes menedzsmentfelület csökkenti az adminisztrációhoz szükséges időt, a szerepkörök alkalmazásával pedig a vállalati szintű biztonság is a kívánt szinten maradt, mert minden szereplő csak annyi jogosultságot kap, amennyi az adott feladat végrehajtásához feltétlenül szükséges. "A BitLocker és az MBAM kettőse rendkívül magas szintű megbízhatósággal üzemel. Nagyon kevés problémánk van vele, ami pedig mégis előjön, azt könnyen meg tudjuk oldani, mert a teljes rendszert könnyen be tudtuk illeszteni a menedzsment folyamatokba, és a támogatás is összehasonlíthatatlanul jobb, mint a korábbi eszközé", mondja Komáromi Péter projektvezető.

Óriási előnye az MBAM-nak fejlett jelentéskészítési funkcionalitása. A központi felületről könnyen testre szabható jelentések állíthatók elő, akár az üzemeltetés, akár az információbiztonsági csapat számára. A lekérdezések és jelentések révén könnyen áttekinthető a teljes BitLocker-infrastruktúra pillanatnyi, illetve tetszőleges korábbi állapota, és az egyes kliens gépek státusza is lekérdezhető.

"Ez utóbbi rendkívül fontos számunkra. Egyes kollégáknak a munkájukhoz továbbra is szükségük van saját gépükön rendszergazdai jogosultságokra, és előfordul, hogy ők valamilyen okból kikapcsolják a BitLockert. Ezt távolról nem tudjuk, de nem is akarjuk megakadályozni, viszont azonnal értesítést kapunk róla. Azt is tudni fogjuk, hogy egy esetlegesen elveszett gépen mi volt a BitLocker utolsó ismert állapota, titkosítva volt-e a merevlemez, vagy sem", említ egy további szempontot Kovács László architect.

A BitLocker és az MBAM kettőse rendkívül magas szintű megbízhatósággal üzemel. Nagyon kevés problémánk van vele, ami pedig mégis előjön, azt könnyen meg tudjuk oldani
Komáromi Péter
projektvezető

Korántsem utolsó szempont, hogy az MBAM pénzügyileg is rendkívül előnyös választás volt az ITSH számára. A vállalat már korábban is rendelkezett Microsoft Desktop Optimization Pack 2011 R2 licencekkel, és ennek részeként további licencköltségek nélkül vehette használatba az MBAM-ot is.

Biztonság vagy kényelem?

Mindezzel együtt az ITSH szakemberei még szívesen látnának bizonyos funkciókat az MBAM-ban, ám ezek némelyike már ütközik a Microsoft által kívánatosnak tartott biztonsági megfontolásokkal.

Nincs például egyelőre jó megoldás azokra az esetekre, amikor a BitLocker úgynevezett recovery módban indul a számítógép bekapcsolásakor. Ilyenkor hiába írja be a felhasználó a visszaállítási kulcsot (amit a Helpdeskről kell kikérnie), a gép a következő induláskor ismét recovery módban fog indulni. Ezen csak az segít, ha a BitLockert suspend üzemmódba állítják -- ehhez viszont adminisztrátori jogosultsággal kell bejelentkezni a számítógépre, amit a távolban lévő felhasználók esetében nem tudnak megtenni a rendszergazdák.

"Szerencsésnek tartanánk egy olyan fejlesztést, ami normál felhasználói jogosultságok mellett is lehetővé tenné a recovery üzemmódból a normál működésre való visszaállást. Például lenne egy gomb, amire a visszaállítási jelszó beírása után kattintana a felhasználó: erre újraindulna a számítógépe, és már csak a normál PIN-kódot kérné, nem a jelszót", említ egy lehetőséget Kovács László.

Ezek azonban eltörpülnek a BitLocker és az MBAM párosa nyújtotta előnyök mellett. A rendszer az ITSH szakembereinek teljes megelégedésére működik immár a teljes, több mint ezer darabot számláló noteszgép-parkon. "Költséghatékony módon kínál teljes körű felügyeleti lehetőségeket a titkosításhoz, biztosítja a jogszabályi megfelelőséget, miközben magasabb szintre emeli a teljes vállalat információbiztonsági állapotát", foglalja össze a megoldás előnyeit Boda Péter biztonsági vezető.

Áttekintés

Ügyfélprofil

A nemzetközi T-csoporthoz tartozó IT Services Hungary Kft. Magyarország legnagyobb és legdinamikusabb fejlődő informatikai szolgáltató cége. Három szolgáltató központjából a legnagyobb európai vállalatoknak kínál rendszerüzemeltetési és fejlesztési szolgáltatásokat.

Az üzleti igény

A vállalat olyan lemeztitkosító eszközt keresett, mely költséghatékonyabb és a titkosításon kívül a központosított felügyelet ellátására is képes.

Megoldás

A Windows 7 Enterprise-ban lévő BitLocker Drive Encryption és a Microsoft Desktop Optimization Pack részeként elérhető Microsoft BitLocker Administration and Monitoring (MBAM) kettőse, ami minimális licencköltségek mellett garantálja az adatbiztonságot.

Előnyök
  • fokozott végponti adatbiztonság
  • magasabb biztonsági szint a vállalaton belül
  • egyszerű menedzsment
  • könnyen áttekinthető infrastruktúra
Szoftverek és szolgáltatások
  • Microsoft BitLocker Administration and Monitoring
Iparági szektor
Ország/Régió

Magyarország

Tanácsadó és bevezető partner