Наставление по криптографическому делу. Часть вторая.

de_preboot

Рекомендую начать с первой части.

Тема данного наставления: правильная последовательность действий при развертывании McAfee Drive Encryption (DE).

Хотя сама процедура активации шифрования диска не является трудной, тем не менее, у не специалистов часто возникают сложности на этапе подготовки целевых систем. Все, что будет описано ниже есть в документации (product_guide, best_practices, detech_user_guide), описано в базе знаний и на комьюнити. Я просто собрал это все вместе и расположил по порядку, так как это должно происходить.

И так, by default, упрощенно процесс описан следующим образом:

(так делать не нужно, ниже я объясню почему)

  • добавили расширения и пакеты DE в консоль еРО;
  • развернули пакеты DE на конечных точках;
  • назначили пользователей выбранным системам;
  • активировали шифрование в политиках;
  • по завершению шифрования прошли инициализацию пользователя(ей).

Я бы хотел немного расширить эту стандартную схему, чтобы облегчить задачу админам/безопасникам и упредить возникновение многих проблем, которых можно избежать, если правильно пользоваться тем инструментарием, который есть “из коробки” в McAfee Drive Encryption.

Правильная последовательность выглядит так:

1) Перед шифрованием бэкапим данные с целевых систем (простите, что напоминаю, но это должно быть сделано прежде всего);

2) Перед началом развертывания шифрования проверяем список известных проблем с актуальной версией:

KB79753 Drive Encryption 7.1 Known Issues

3) Прежде чем устанавливать непосредственно пакеты DE сперва разворачиваем диагностическую утилиту DE GO.

KB72777 Overview of Endpoint (Drive) Encryption GO

Она предназначена для проверки состояния жестких дисков и поиска конфликтующего ПО (TrueCrypt*/BitLocker…). К следующему шагу переходим только если в отчетах DE GO нет замечаний по целевым системам.

(Важно!) В политиках есть настройка а-ля «защита от дурака» – не активировать шифрование пока DE GO не даст «зеленый свет».

4) Устанавливаем модули шифрования на целевую систему, процесс шифрование пока не активируем, назначаем пользователей системе, определяем нужные политики (SSO, сложность пароля, тип токена, варианты восстановления и т.д.)

5) Для устранения возможных проблем связанных с несовместимостью/устаревшей версией BIOS при активации шифрования задействуем т.н. Pre-Boot Smart Check (по умолчанию не включено, т.к. увеличивает кол-во перезагрузок при активации шифрования)
Этот режим активации помогает избежать ситуации, когда после шифрования жесткого диска pre boot не работает из-за BIOS/AHCI и т.д..

Разница между DE GO и Pre-Boot Smart Check в том, что DE GO проверяет возможные проблемы на уровне ОС, а Pre-Boot Smart Check проверяет аппаратный уровень.

(Важно!)

Совет: перед внедрением шифрования убедитесь в том, что режим SATA контроллера в настройках BIOS = AHCI. Про обновление/установку драйверов AHCI для Windows нужно позаботиться заранее. Как показала практика – переключение на ACHI на старых ноутбуках позволяет упредить проблемы с preboot.

6) После того как всепроверили и активировали шифрование по возможности не выключаем и не перезагружаем систему, пока сам модуль шифрования нас об этом не попросит. Защита от отключения электричества есть, но не стоит ею злоупотреблять, особенно на первых 5% системного диска.

Без необходимости не перезагружаем систему, не мешаем DE криптовать данные.

7) После того как жесткий диск зашифрован на 100% и модуль попросил перезагрузку – перезагружаемся и проходим процедуру инициализации пользователя.

В случае проблем с загрузкой системы используем загрузочный CD/USB с DETech для аварийной загрузки без аутентификации/ исправления MBR или расшифровки диска.

Видео по использованию DE Tech через Deep Command (Intel AMT/vPro)

#~#~#~#~#~

Если будете придерживаться этих 7 пунктов – вероятность “наступить на грабли” существенно уменьшается.

Шифрование вещь серьезная и халатности/расхлябанности не терпит. Помните об этом, когда будете криптовать ноут вашего руководителя.

p.s.

Совет для ценителей TrueCrypt

Не смотря на то, что по классификации диагностической утилиты DE GO решение TrueCrypt считается конфликтующим софтом и подлежит удалению перед развертыванием McAfee Drive Encryption, есть способ безболезненного сосуществования этих двух систем. Понятное дело, что TrueCrypt может остаться только в качестве средства работы с криптоконтейнерами.

Что нужно сделать:

  1. Если TrueCrypt был установлен (его драйвер был прописан в реестре), нужно удалить приложение на время установки и активации DE;
  2. После активации DE продолжаем использовать TrueCrypt в т.н. portable режиме, т.е. не устанавливая его, а запуская каждый раз по запросу, когда нужно примонтировать криптоконтейнер;
  3. Для того, чтобы DE не начал шифровать содержимое криптоконтейнера TrueCrypt, необходимо в свойствах последнего активировать опцию “Mount volumes as removable media” (монтировать криптоконтейнеры как съемные диски).

Таким образом мы получили защиту данных от НСД с двойным запасом прочности и некоторой морокой (при запуске TrueCrypt в portable режиме, если вы не сидите под административной учетной записью, вас будет мучить UAC, но это ведь мелочи, да и безопаснее).

Опять же, повторюсь –  этот совет для тех, кому критично использование TrueCrypt.

Спасибо тем, кто дочитал. Следите за обновлениями.

Будьте внимательны при работе с высокими технологиями, особенно при работе с шифрованием.

Влад Радецкий, McAfee Security Product Advisor

Advertisements

Tags: , , , , , , , , , , , , , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: