McAfee Drive Encryption 7.1

Update 25-04-14: добавил графику

Drive Encryption (бывший Endpoint Encryption for PC, EEPC) – решение для шифрования жестких дисков серверов и рабочих станций под управлением ОС семейства Windows. Принцип работы и ключевые отличия данного решения от аналогов я приводил ранее, поэтому сконцентрируюсь на нововведениях версии 7.1.

DE_funcВозможности актуальной версии Drive Encryption

Безопасность

Разработчики добавили полноценную поддержку Windows 8.1, а это в свою очередь означает, что McAfee Drive Encryption поддерживает также новые механизмы безопасности, такие как защита от т.н. “Cold-boot” атак; использование TPM модуля (версии 2.0) и выше для защиты ключей шифрования. Это в дополнение поддержки Secure Boot и Hybrid Boot, GPT и т.д., которые уже были в EEPC 7.0.

Cold_BootПринцип работы защиты от Cold Boot

Пару слов о “Cold-boot” и прочему это критично для Windows 8.1. Дело в том, что системы на базе новой ОС могут вместо выключения переключаются в так называемый режим “Connected Standby” при котором ключ шифрования продолжает находиться в оперативной памяти. Злоумышленник может воспользоваться этим для компрометации «уснувшей» системы. McAfee Drive Encryption при переходе системы в Connected Standby автоматически затирает из ОЗУ криптографическую информацию. Как только пользователь продолжает пользование устройством, как только он проходит аутентификацию ключ возвращается в ОЗУ.

Среди нововведений стоит выделить функцию OS Refresh Process, которая позволяет проводить апгрейд Windows c версии 7 и 8 до 8.1 без необходимости отключения криптозащиты, в отличие от Microsoft BitLocker, который не обеспечивает защиты данных в процессе апгрейда.

В очередной раз разработчики расширили и без того не малый список поддерживаемых токенов и считывателей смарт-карт, которые могут применяться на ряду с обычной связкой логин:пароль в процессе pre-boot аутентификации. При работе с токенами возможна работа как в режиме токен:PIN так и токен:PKI. Следует также отметить, что разработчики продолжают работу над интеграцией McAfee Drive Encryptionс популярными моделями считывателей отпечатков пальцев. Сотрудники тех компаний, которые используют ноутбуки HP моделей ProBook 6475b, EliteBook 8460 и Lenovo T520, X220 уже могут пользоваться благами биометрической аутентификации.

Удобство

Endpoint Assistant является новым способом восстановления забытого пароля. Видео с демонстрацией доступно на сервисе YouTube. Принцип работы, следующий: пользователь устанавливает на своем мобильном устройстве (доступны версии для iOS версии 6 и выше, а также и Android версии 3 и выше) специальное приложение, в процессе pre-boot аутентификации с помощью QR кода информация для восстановления сохраняется на мобильном устройстве. Доступ к этой информации защищается PIN-кодом или паролем (сложность определяется политиками еРО). Акцентирую внимание на том, что использование этого метода не требует наличия доступа к сети Интернет, телефонной связи с головным офисом. Т.е. фактически это вариант для автономного сброса пароля.

Endpoint_Assistant_AppНовый способ сброса пароля без обращения в Help Desk, без Интернета и сотовой связи

Таким образом, восстановление пароля при включении системы может быть выполнено по одному из следующих доступных сценариев:

  1. Ответ на «секретные» вопросы (автономно, без администратора еРО);
  2. Использование Endpoint Assistant (автономно, без администратора еРО);
  3. Помощь администратора (удаленно через ел. почту/моб. связь);
  4. С помощью специального boot CD/USB (локально на предприятии);
  5. С использованием McAfee Deep Command (удаленно через Интернет для систем с Intel vPro).

Функция Fast Initial Encryption (Used Sector Only) позволяет существенно сократить время, затрачиваемое на шифрование системы (несколько минут) за счет отключения защиты от сбоя электропитания и шифрования только тех секторов, которые заняты на момент инициализации. Такой сценарий применим для первичного шифрования систем до передачи их конечным пользователям. Функцию Fast Initial Encryption можно активировать только при Offline Activation.

McAfee Drive Encryption поддерживает Single Sign On, это означает, что возможна синхронизация пароля пользователя с его учетными данными из AD. Т.е. пароль проверяется один раз, поэтому после успешной аутентификации в оболочке Drive Encryption пользователь будет сразу попадать на рабочий стол ОС.

Управление

User Directory является внутренней базой пользователей, которая позволяет задействовать шифрование на системах, которые не являются членами домена. Для тех организаций, которые не используют Active Directory вовсе User Directory будет хорошей заменой т.н. Offline Activation, о которой я писал ранее.

User_DirectoryИзменения по управлению пользователями в 7.1

Вкратце напомню, чтобы активировать шифрование системы необходимо выполнить несколько условий:

  1. Проверить отсутствие конфликтующего ПО (с помощью модуля DEGO 7.1);
  2. Развернуть модули Drive Encryption 7.1;
  3. Через еРО назначить системе пользователей, которые смогут проходить аутентификацию при включении;
  4. Выбрать разделы жесткого диска для шифрования;
  5. Активировать политику.

Так вот, до появления User Directory пункт 4 можно было выполнить только при наличии AD. Соответственно для шифрования недоменных систем можно было воспользоваться т.н. Offline Activation, но этот способ имеет свои особенности и ограничения. Теперь же с выходом Drive Encryption 7.1 у оператора еРО есть выбор – он может назначать пользователей из AD, либо создавать учетные записи в локальном каталоге ePO User Directory. Меньше мороки, больше эффективности.

Гибко делегировать права доступа к политикам шифрования, развертыванию самого решения и к отчетности помогут наборы разрешений в консоли еРО. Таким образом, в зависимости от уровня допуска, офицер безопасности будет иметь возможность правки политик, администратор будет иметь доступ только к процессу развертывания ПО, а руководитель департамента сможет просматривать отчетность.

Поддержка технологии Intel AMT совместно с интеграцией McAfee ePO Deep Command позволяет компаниям-заказчикам с одной стороны существенно сократить расходы на сопровождение рабочих станций и серверов, а с другой стороны – позволяет быстрее оказывать поддержку сотрудникам. Ведь за счет технологий Intel AMT/Intel vPro и ПО McAfee Deep Command операторы консоли еРО получают возможность в удаленном режиме выполнять операции по обслуживанию зашифрованных систем (сброс пароля, диагностика preboot file system, установка исправлений, отключение шифрования и т.д.).

~ ~ ~

Спасибо за внимание.

Будьте осторожны и внимательны при использовании высоких технологий.

Более детально о решении McAfee Drive Encryption можно прочесть из таких источников: статья из базы знаний KB79784, тема на портале McAfee Community, заметка в моем блоге.

Advertisements

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: