Data Encryption Toolkit w środowisku Windows Server 2008 (część 1)
 |
Zawartość strony
 | Komponenty DET |
| Executive Overview |
| Security Analysis |
| Planning and Implementation Guide |
Bezpieczeństwo jest stale tematem aktualnym i bezsprzecznie zajmuje jedno z najistotniejszych miejsc u podstaw funkcjonowania każdej infrastruktury IT. Trudno jednocześnie wskazać najważniejszą część zabezpieczeń, dlatego przyjęło się je analizować wielopłaszczyznowo.
Rysunek 1 prezentuje model Defense-in-depth, który wyróżnia poszczególne obszary zabezpieczeń, w tym dane użytkowników.
Rysunek 1: Model Defense-in-depth.
W środowisku Windows mechanizmami ochrony danych są między innymi Encrypting File System (EFS) i BitLocker. Należy podkreślić, że technologie uzupełniają się wzajemnie i pozwalają na osiągnięcie wysokiego poziomu ochrony danych.
Jak zawsze ważną kwestią pozostaje wybór metody zabezpieczenia oraz sposób organizacji i zarządzania szyfrowaniem danych. W tej sytuacji można skorzystać z Data Encryption Toolkit for Mobile PC’s, który jest pakietem składającym się z dokumentów technicznych i programu EFS Assistant do centralnego zarządzania ustawieniami EFS na stacjach roboczych.
Część pierwsza artykułu zawiera wprowadzenie do Data Encryption Toolkit oraz charakterystykę składowych dokumentacji pakietu. W części drugiej zostanie przedstawiona implementacja i praktyczne wykorzystanie EFS Assistant.
Komponenty DET
W skład Data Encryption Toolkit for Mobile PC’s wchodzą cztery elementy, które są przedstawione na Rysunku 2.
Rysunek 2: Komponenty Data Enrcyption Toolkit.
Executive Overview – dokument poświęcony ogólnemu spojrzeniu z perspektywy biznesowej i regulacji prawnych na sprawy związane z zagrożeniami dotyczącymi danych oraz sposobów ich ochrony z wykorzystaniem pakietu DET.
Security Analysis – przewodnik, który szczegółowo prezentuje, w jakich sytuacjach i w jaki sposób można wykorzystać technologie EFS i BitLocker w celu zminimalizowania ryzyka utraty danych.
Planning and Implementation Guide – przewodnik, który opisuje jak planować, konfigurować, wdrażać i obsługiwać mechanizmy EFS i BitLocker w organizacji.
Microsoft Encrypting File System Assistant – narzędzie pozwalające na centralną kontrolę ustawień EFS na komputerach w środowisku domenowym.
Executive Overview
W dokumencie zostały przybliżone zagadnienia związane z oceną ryzyka biznesowego oraz uwarunkowaniami prawnymi dotyczącymi utraty danych przechowywanych na komputerach.
Pomocny w ocenie kosztów naruszenia prywatności może być kalkulator (Rys. 3), do którego odnajdziemy odnośnik (http://www.informationshield.com/privacybreachcalc.html) w części poświęconej biznesowym aspektom zapewnienia ochrony danych.
Rysunek 3: Kalkulator kosztów naruszenia prywatności.
Dzięki wielu wskaźnikom kalkulatora wymienionym w tabeli 1 można z dużym przybliżeniem ocenić finansowe skutki utraty danych w organizacji.
| Wskaźniki | Znaczenie |
Effected Customers | Pozwala określić liczbę utraconych jednostek danych. |
Personnel Costs | Pozwala na określenie kosztów personelu, które dotyczą stwierdzenia, że zaistniała utrata danych, analizę w zespole osób decyzyjnych, określenie wszystkich utraconych jednostek danych, zebranie danych kontaktowych dotyczących danych utraconych klientów, czasu potrzebny na napisanie i wysłanie pism. |
Additional Post-Incident Costs | Pozwala na określenie dodatkowych koszty po wydarzeniu takie jak stosunek do firmy, dochodzenia kryminalne, naprawy systemu gdzie nastąpił wyciek danych. |
Potential legal damages | Określa potencjalne straty prawne zawierające grzywny, opłaty prawne, ilość wytoczonych spraw cywilnych. |
Lost Customer Revenue Impact | Pozwala określić potencjalne straty ilości utraconych klientów i wartości w przeliczeniu na klienta. |
Tab. 1: Wskaźniki kalkulatora kosztów naruszenia prywatności.
W ramach opisu uwarunkowań prawnych odnajdziemy wskazówki dotyczące obowiązujących regulacji w Ameryce Północnej oraz Europie i Azji.
W ramach Unii Europejskiej obowiązującym dokumentem jest DYREKTYWA 95/46/WE PARLAMENTU EUROPEJSKIEGO I RADY z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, której pełną treść można odnaleźć na stronie http://eur-lex.europa.eu/pl/index.htm.
Security Analysis
Dokument zatytułowany „Security Analysis” poświęcony jest analizie bezpieczeństwa danych w organizacji i przeznaczony dla osób podejmujących decyzje związane z polityką bezpieczeństwa, implementacją polityk zabezpieczeń na serwerach i stacjach roboczych, rozwijaniem technologii zabezpieczeń oraz integracją polityk bezpieczeństwa z innymi regułami i technologiami. Na przewodnik składa się pięć rozdziałów.
W pierwszej części poruszone są podstawowe zagadnienia związane z ochroną danych. Oprócz zrozumienia rodzaju danych, krótkiej charakterystyki osób atakujących i koncepcji kryptograficznej ochrony danych wyjaśnione zostały pojęcia i sytuacje, w których może dochodzić do przechwycenia bądź utraty danych (Rys. 4).
Rysunek 4: Kluczowe pojęcia i sytuacje utraty danych w kontekście analizy zabezpieczeń.
| • | Computer left in hibernation - stacja robocza pozostawiona w stanie hibernacji |
| • | Computer left in sleep (standy) mode - stacja robocza pozostawiona w stanie uśpienia |
| • | Computer left logged on and desktop unlocked - stacja robocza zalogowana z niezablokowanym pulpitem |
| • | Discover local/domain password – wykrycie hasła lokalnego/domenowego |
| • | Insider can read encrypted data – osoba zaufana (pracownik) czytająca zaszyfrowane dane |
| • | Key Discovery through offline attaca - odtajnienie klucza poprzez atak offline |
| • | Offline attacks against the operating system - ataki offline względem systemu operacyjnego |
| • | Online attacks against the operating system - ataki online względem systemu operacyjnego |
| • | Plaintext data leaks through system paging file – przecieki danych w postaci tekstu prostego z pliku wymiany |
| • | Plaintext data found on computer - dane w postaci tekstu prostego |
| • | Plaintext data leaks through hibernation file – przecieki danych w postaci tekstu prostego z pliku hibernacji |
| • | Plaintext data leaks through system paging file – przecieki danych w postaci tekstu prostego z systemowego pliku wymiany |
| • | Platform attacks - ataki platformowe |
| • | Required authentication factor left with computer - poświadczenia pozostawione na pamięciach zewnętrznych |
| • | User error - błędy użytkownika |
Zrozumienie tych scenariuszy jest fundamentem dla dalszej analizy funkcjonowania mechanizmów BitLocker i EFS szczególnie w kontekście zapewnienia bezpieczeństwa oraz sytuacji niepełnej ochrony danych.
W dokumencie dodatkowo są przybliżone zagadnienia ochrony danych na różnych poziomach, co prezentuje rysunek 5.
Rysunek 5: Zagadnienia ochrony danych na różnych poziomach.
| • | Software-based encryption – szyfrowanie programowe |
| • | Hardware-based encryption – szyfrowanie sprzętowe |
| • | Pre-boot (Pre-operating System) encryption – szyfrowanie plików procedury startowej komputera |
| • | Post-boot (Operating System) encryption – szyfrowanie systemu operacyjnego |
| • | Application-level encryption – szyfrowanie na poziomie aplikacji |
| • | File/folder level encryption – szyfrowanie na poziomie plików/katalogów |
| • | Full volume-encryption – szyfrowanie całej zawartości woluminu |
| • | Per-user encryption – szyfrowanie na poziomie użytkownika |
| • | Per-computer encryption – szyfrowanie na poziomie komputera |
W część poświęconej szyfrowaniu BitLocker zaprezentowane zostały cztery różne konfiguracje funkcjonowania, które możemy zastosować w zależności od posiadanego sprzętu i oczekiwanego poziomu zabezpieczeń:
| • | BitLocker z TPM |
| • | BitLocker z urządzeniem USB |
| • | BitLocker z TPM i numerem PIN |
| • | BitLocker z TPM i urządzeniem USB |
Dla każdego przypadku jest przedstawione podsumowanie, w którym zapoznać się możemy z sytuacjami, kiedy ochrona jest zapewniona oraz kiedy istnieją potencjalne słabe strony konfiguracji. Końcowe podsumowanie, które prezentuje tabela 2 pozwala na wybór najlepszej metody ochrony danych za pomocą BitLocker.
| Risk | BitLocker with TPM | BitLocker with TPM and PIN | BitLocker with TPM and USB | BitLocker with USB |
Computer left in hibernation | - | Y | Y | Y |
Computer left in sleep (standby) mode | - | - | - | - |
Computer left logged on and desktop unlocked | - | - | - | - |
Discover local/domain password | - | Y | Y | Y |
Insider can read encrypted data | - | Y | Y | Y |
Key Discovery through offline attaca | Y | Y | Y | Y |
Offline attacks against the operating system | Y | Y | Y | Y |
Online attacks against the operating system | - | - | - | - |
Plaintext data found on computer | Y | Y | Y | Y |
Plaintext data leaks through hibernation file | Y | Y | Y | Y |
Plaintext data leaks through system paging file | Y | Y | Y | Y |
Platform attacks | - | - | - | - |
Required authentication factor left with computer | - | Y | - | - |
User error | Y | Y | Y | Y |
Tab. 2: Ochrona danych BitLocker w kontekście zagrożeń utraty danych.
W rozdziale poświęconym szyfrowaniu EFS zaprezentowane jest działanie EFS w Windows XP i Windows Vista. Jednocześnie omówione zostały dwa scenariusze funkcjonowania EFS:
| • | Szyfrowanie EFS z wykorzystaniem SKS (Software Key Storage) |
| • | Szyfrowanie EFS z wykorzystaniem kart inteligentnych |
Podobnie jak w przypadku BitLocker, na koniec zaprezentowane jest podsumowanie, które przedstawia tabela 3.
| Risk | Windows XP EFS | Windows Vista EFS | Windows XP EFS with smart card | Windows Vista EFS with smrt card (cached mode) | Windows Vista EFS with smart card (uncached mode) |
Computer left in hibernation | - | - | - | - | Y |
Computer left in sleep (standby) mode | - | - | - | - | Y |
Computer left logged on and desktop unlocked | - | - | - | - | Y |
Discover local/domain password | - | - | Y | Y | Y |
Insider can read encrypted data | Y | Y | Y | Y | Y |
Key discovery through offline attack | Y | Y | Y | Y | Y |
Offline attacks against the operating system | - | - | - | - | - |
Online attacks against the operating system | - | - | - | - | Y |
Plaintext data found on computer | Y | Y | Y | Y | Y |
Plaintext data leaks through hibernation file | - | - | - | - | - |
Plaintext data leaks through system paging file | - | Y | - | Y | Y |
Platform attacks | - | - | - | - | Y |
Required authentication factor left with computer | - | - | Y | Y | Y |
User error | - | - | - | - | - |
Tab. 3: Ochrona danych EFS w kontekście zagrożeń utraty danych.
Ostatnie dwa rozdziały dokumentu „Security Analysis” poświęcone są współpracy mechanizmów BitLocker oraz EFS i wyboru najlepszego rozwiązania. Bardzo pomocna w decyzji jest tabela (tab. 4), która łączy obydwie technologie w kontekście wybranych sytuacji ryzyka utraty danych.
| Risk | BitLocker with TPM and EFS | BitLocker with TPM, PIN and EFS with software key storage | BitLocker with TPM, PIN and EFS with smart card (cached mode) |
Computer left in hibernation | - | Y | Y |
Computer left in sleep (standby) mode | - | - | - |
Computer left logged on and desktop unlocked | - | - | - |
Discover local/domain password | - | Y | Y |
Insider can read encrypted data | Y | Y | Y |
Key discovery through offline attack | Y | Y | Y |
Offline attacks against the operating system | Y | Y | Y |
Online attacks against the operating system | - | - | - |
Plaintext data found on computer | Y | Y | Y |
Plaintext data leaks through hibernation file | Y | Y | Y |
Plaintext data leaks through system paging file | Y | Y | Y |
Platform attacks | - | - | - |
Required authentication factor left with computer | - | Y | Y |
User error | Y | Y | Y |
Tab. 4: Ochrona danych BitLocker i EFS w kontekście zagrożeń utraty danych.
Planning and Implementation Guide
Trzeci z przewodników zawiera szereg porad w zakresie planowania i wdrażania polityk zabezpieczenia danych. Przeznaczony jest dla osób zajmujących się projektowaniem, implementacją i rozwijaniem architektury zabezpieczeń i zarządzania systemami a także integracją polityk.
Poszczególne rozdziały dokumentu obejmują omówienie etapów planowania przy wdrożeniu szyfrowania BitLocker i EFS (rys. 6). Ponadto uwzględniają zadania, jakie powinny być wykonane przed właściwą implementacją.
Ostatni z rozdziałów omawia scenariusze odzyskiwania zaszyfrowanych danych.
Rysunek 6: Etapy planowania i wdrażania BitLocker i EFS.
| • | Planning Considerations – zawiera zagadnienia poświęcone planowaniu w zakresie określania zakresu szyfrowania danych, odzyskiwania danych zaszyfrowanych, użyteczności oraz pracy w środowisku Active Directory. |
| • | Configuration and Deployment Tasks – przedstawione są zadania, które należy wykonać przed zastosowaniem mechanizmów szyfrowania w kontekście infrastruktury oraz komputerów. |
| • | Operations and Recovery Scenarios – część poświęcona przedstawieniu sytuacji, w których może dochodzić do problemów oraz metodom odzyskiwania danych zaszyfrowanych. |
 | Paweł Pławiak |