Tag Archive | шифрование

Запись моего вебинара по шифрованию

Инструменты шифрования McAfee (Intel), презентацию публиковал еще в прошлом году.

Теперь у вас есть возможность посмотреть как это было “в движении”.

Если нет времени смотреть все, рекомендую:

02:50 – 16:31 = Творческий подход

1:00:50 – 2:14:27 = Практика

Приятного просмотра.

*Заранее прошу простить за качество монолога – в тот день простуда решила меня добить.

– – – – –

VR

Advertisements

Запись моего вебинара по DLP

Обзор возможностей DLP Endpoint, презентацию публиковал еще в прошлом году.

Теперь у вас есть возможность посмотреть видео.

Для тех, кому теория покажется скучной – экшн начинается с 58-й минуты.

Приятного просмотра.

– – – – –

VR

Защита от утечек в условиях современных тенденций ИТ

Копия презентации вебинара по комплексу DLP.

Кратко рассмотрены особенности модулей DLP.

Основное внимание уделено новым функциям DLP Endpoint 9.4

Рекомендую изучать совместно с презентацией по шифрованию:

Контент рассчитан на сотрудников ИТ/ИБ отделов и их руководителей.

VR

Наставление по криптографическому делу. Часть вторая.

de_preboot

Рекомендую начать с первой части.

Тема данного наставления: правильная последовательность действий при развертывании McAfee Drive Encryption (DE).

Хотя сама процедура активации шифрования диска не является трудной, тем не менее, у не специалистов часто возникают сложности на этапе подготовки целевых систем. Все, что будет описано ниже есть в документации (product_guide, best_practices, detech_user_guide), описано в базе знаний и на комьюнити. Я просто собрал это все вместе и расположил по порядку, так как это должно происходить.

И так, by default, упрощенно процесс описан следующим образом:

(так делать не нужно, ниже я объясню почему)

  • добавили расширения и пакеты DE в консоль еРО;
  • развернули пакеты DE на конечных точках;
  • назначили пользователей выбранным системам;
  • активировали шифрование в политиках;
  • по завершению шифрования прошли инициализацию пользователя(ей).

Я бы хотел немного расширить эту стандартную схему, чтобы облегчить задачу админам/безопасникам и упредить возникновение многих проблем, которых можно избежать, если правильно пользоваться тем инструментарием, который есть “из коробки” в McAfee Drive Encryption.

Правильная последовательность выглядит так:

1) Перед шифрованием бэкапим данные с целевых систем (простите, что напоминаю, но это должно быть сделано прежде всего);

2) Перед началом развертывания шифрования проверяем список известных проблем с актуальной версией:

KB79753 Drive Encryption 7.1 Known Issues

3) Прежде чем устанавливать непосредственно пакеты DE сперва разворачиваем диагностическую утилиту DE GO.

KB72777 Overview of Endpoint (Drive) Encryption GO

Она предназначена для проверки состояния жестких дисков и поиска конфликтующего ПО (TrueCrypt*/BitLocker…). К следующему шагу переходим только если в отчетах DE GO нет замечаний по целевым системам.

(Важно!) В политиках есть настройка а-ля «защита от дурака» – не активировать шифрование пока DE GO не даст «зеленый свет».

4) Устанавливаем модули шифрования на целевую систему, процесс шифрование пока не активируем, назначаем пользователей системе, определяем нужные политики (SSO, сложность пароля, тип токена, варианты восстановления и т.д.)

5) Для устранения возможных проблем связанных с несовместимостью/устаревшей версией BIOS при активации шифрования задействуем т.н. Pre-Boot Smart Check (по умолчанию не включено, т.к. увеличивает кол-во перезагрузок при активации шифрования)
Этот режим активации помогает избежать ситуации, когда после шифрования жесткого диска pre boot не работает из-за BIOS/AHCI и т.д..

Разница между DE GO и Pre-Boot Smart Check в том, что DE GO проверяет возможные проблемы на уровне ОС, а Pre-Boot Smart Check проверяет аппаратный уровень.

(Важно!)

Совет: перед внедрением шифрования убедитесь в том, что режим SATA контроллера в настройках BIOS = AHCI. Про обновление/установку драйверов AHCI для Windows нужно позаботиться заранее. Как показала практика – переключение на ACHI на старых ноутбуках позволяет упредить проблемы с preboot.

6) После того как всепроверили и активировали шифрование по возможности не выключаем и не перезагружаем систему, пока сам модуль шифрования нас об этом не попросит. Защита от отключения электричества есть, но не стоит ею злоупотреблять, особенно на первых 5% системного диска.

Без необходимости не перезагружаем систему, не мешаем DE криптовать данные.

7) После того как жесткий диск зашифрован на 100% и модуль попросил перезагрузку – перезагружаемся и проходим процедуру инициализации пользователя.

В случае проблем с загрузкой системы используем загрузочный CD/USB с DETech для аварийной загрузки без аутентификации/ исправления MBR или расшифровки диска.

Видео по использованию DE Tech через Deep Command (Intel AMT/vPro)

#~#~#~#~#~

Если будете придерживаться этих 7 пунктов – вероятность “наступить на грабли” существенно уменьшается.

Шифрование вещь серьезная и халатности/расхлябанности не терпит. Помните об этом, когда будете криптовать ноут вашего руководителя.

p.s.

Совет для ценителей TrueCrypt

Не смотря на то, что по классификации диагностической утилиты DE GO решение TrueCrypt считается конфликтующим софтом и подлежит удалению перед развертыванием McAfee Drive Encryption, есть способ безболезненного сосуществования этих двух систем. Понятное дело, что TrueCrypt может остаться только в качестве средства работы с криптоконтейнерами.

Что нужно сделать:

  1. Если TrueCrypt был установлен (его драйвер был прописан в реестре), нужно удалить приложение на время установки и активации DE;
  2. После активации DE продолжаем использовать TrueCrypt в т.н. portable режиме, т.е. не устанавливая его, а запуская каждый раз по запросу, когда нужно примонтировать криптоконтейнер;
  3. Для того, чтобы DE не начал шифровать содержимое криптоконтейнера TrueCrypt, необходимо в свойствах последнего активировать опцию “Mount volumes as removable media” (монтировать криптоконтейнеры как съемные диски).

Таким образом мы получили защиту данных от НСД с двойным запасом прочности и некоторой морокой (при запуске TrueCrypt в portable режиме, если вы не сидите под административной учетной записью, вас будет мучить UAC, но это ведь мелочи, да и безопаснее).

Опять же, повторюсь –  этот совет для тех, кому критично использование TrueCrypt.

Спасибо тем, кто дочитал. Следите за обновлениями.

Будьте внимательны при работе с высокими технологиями, особенно при работе с шифрованием.

Влад Радецкий, McAfee Security Product Advisor

Наставление по криптографическому делу. Часть первая.

(или как управлять встроенным шифрованием Mac и Windows из одной консоли)

Суть данной заметки можно охарактеризовать простым выражением: BitLocker + FileVault + McAfee Drive Encryption = McAfee ePO. Разработчики McAfee (Intel Security) выпустили обновление Management of Native Encryption 2.0 (MNE), которое позволяет производить управление встроенными средствами шифрования Microsoft и Apple из консоли еРО, наряду с McAfee Drive Encryption (который обладает рядом преимуществ перед встроенными средствами Microsoft).

I. Пару слов о том, зачем это нужно или почему это важно для ИБ.

Во-первых, рано или поздно, независимо от сферы бизнеса, украинские компании приходят к необходимости шифрования данных на рабочих станциях персонала. Своеобразным катализатором этого процесса становится повсеместное использование ноутбуков (как личных, так и рабочих) для обработки данных компании. Очевидно, что чем солиднее бизнес предприятия, и чем выше должность сотрудника, тем дороже обойдется утеря его ноутбука. С точки зрения департамента ИБ мы получаем на входе «зоопарк» операционных систем, средства шифрования которых необходимо контролировать. Задача осложняется тем, что у Microsoft свои инструменты, а у Apple – свои и никто из них управлять «чужими» технологиями не позволяет. Таким образом, если появляется необходимость задействовать механизмы шифрования Microsoft, Apple и McAfee – раньше приходилось иметь дело с 2-3 отдельными консолями, что не лучшим образом сказывалось на безопасности. Теперь же, с появлением Management of Native Encryption 2.0 департамент ИБ может управлять тремя разными технологиями шифрования из единой консоли McAfee ePO. ePO_encryption_mgmt

Консоль ePO. Теперь можно контролировать шифрование трех вендоров из одной панели.

Во-вторых, предоставление возможности управления не только своими, но и сторонними решениями – это практическое воплощение идеологии McAfee Security Connected, согласно которой, по мере развития консоли McAfee ePolicy Orchestrator (ePO), она сможет использоваться как единая точка входа для управления всеми компонентами системы безопасности предприятия. Таким образом, заказчики могут уже сейчас ощутить преимущества управления средствами шифрования через консоль еРО. Задачи аудита и контроля зашифрованных систем значительно упрощаются, политики (настройки) для разных ОС применяются централизованно, а портал самообслуживания позволяет сотрудникам облегчить восстановление доступа к их зашифрованным системам (подробнее об этом ниже).

II. Теперь о самом решении.

Изначально, Management of Native Encryption (MNE) разрабатывался компанией McAfee как средство контроля встроенного шифрования Mac OS после выхода Mavericks 10.9 (подробнее об этом тут). Эволюция решений McAfee по шифрованию проиллюстрирована ниже:

mcafee_encryption_evolution3Процесс эволюции решений шифрования от компании McAfee

Среди нововведений второй версии MNE стоит особо выделить:

Управление встроенным шифрованием MS и Apple из консоли еРО. Преимущества данного подхода описаны выше. Остается только добавить, что MNE облегчает заказчикам процесс миграции BitLocker -> Drive Encryption. Простой пример: если сотрудник приносит на работу свой Windows ноутбук уже зашифрованный BitLocker`ом, то для контроля достаточно всего лишь установить McAfee Agent и модуль MNE из консоли еРО. В дальнейшем, если руководство/департамент ИБ определяет, что для защиты данных возможностей BitLocker не достаточно, из консоли еРО BitLocker легко отключается и вместо него разворачивается McAfee Drive Encryption. Если раньше, при установке Drive Encryption в случае наличия конфликтующего BitLocker администратору приходилось задействовать инструменты MS для отключения встроенного шифрования, то теперь, при использовании MNE 2.0 совместно с Drive Encryption 7.1 через консоль еРО этот процесс можно автоматизировать. Кроме того, состояние BitLocker на управляемых системах отражается в отчетах на консоли еРО (статус, использование портала, свойства системы, авторизованные пользователи). ePO_MNE_FV_BL_policy

Консоль еРО. Политики управления BitLocker и FileVault.

Портал самообслуживания для пользователей, чьи рабочие станции зашифрованы FileVault2 либо BitLocker`ом. Т.н. The Data Protection Self Service Portal (DPSSP) был внедрен в MNE с целью упрощения процесса восстановления доступа к зашифрованным системам. Теперь пользователи могут самостоятельно аутентифицироваться на этом портале и получить т.н. recovery key для своей системы без необходимости обращения к администратору. Все операции по выдаче ключей восстановления учитываются и сохраняются в логах аудита консоли еРО.

MNE_portalТак выглядит портал самообслуживания.

Standalone дистрибутив MNE для упрощенной установки на Mac OS системах. Представляет собой .dmg пакет, который включает в себя McAfee Agent 4.8 patch 2 и MNE. После установки данного пакета пользователь может указать данные для синхронизации с сервером еРО.

Более детально особенности Management of Native Encryption v2 описаны в базе знаний.

p.s.

Данная заметка открывает цикл публикаций, посвященных тонкостям настройки и использования решений шифрования от McAfee (Intel Security). Следите за обновлениями и оставайтесь осторожными при работе с высокими технологиями.

McAfee Data Protection 2014

Обновил свою презентацию по шифрованию и DLP комплексу.

Контент расширен и дополнен с учетом возможностей новых версий:

– DLP Endpoint 9.3.2

– DLP Network 9.3.2

– Drive Encryption 7.1

– File and Removable Media Protection 4.3

Добавлена информация по сценариям управления.

На слайдах также присутствуют ссылки на статьи из этого блога.

p.s.

Если Вам неудобно сохранять презентацию с портала slideshare, воспользуйтесь ссылкой (pdf ~ 2.9 Mb)

McAfee Drive Encryption 7.1

Update 25-04-14: добавил графику

Drive Encryption (бывший Endpoint Encryption for PC, EEPC) – решение для шифрования жестких дисков серверов и рабочих станций под управлением ОС семейства Windows. Принцип работы и ключевые отличия данного решения от аналогов я приводил ранее, поэтому сконцентрируюсь на нововведениях версии 7.1.

DE_funcВозможности актуальной версии Drive Encryption

Безопасность

Разработчики добавили полноценную поддержку Windows 8.1, а это в свою очередь означает, что McAfee Drive Encryption поддерживает также новые механизмы безопасности, такие как защита от т.н. “Cold-boot” атак; использование TPM модуля (версии 2.0) и выше для защиты ключей шифрования. Это в дополнение поддержки Secure Boot и Hybrid Boot, GPT и т.д., которые уже были в EEPC 7.0.

Cold_BootПринцип работы защиты от Cold Boot

Пару слов о “Cold-boot” и прочему это критично для Windows 8.1. Дело в том, что системы на базе новой ОС могут вместо выключения переключаются в так называемый режим “Connected Standby” при котором ключ шифрования продолжает находиться в оперативной памяти. Злоумышленник может воспользоваться этим для компрометации «уснувшей» системы. McAfee Drive Encryption при переходе системы в Connected Standby автоматически затирает из ОЗУ криптографическую информацию. Как только пользователь продолжает пользование устройством, как только он проходит аутентификацию ключ возвращается в ОЗУ.

Среди нововведений стоит выделить функцию OS Refresh Process, которая позволяет проводить апгрейд Windows c версии 7 и 8 до 8.1 без необходимости отключения криптозащиты, в отличие от Microsoft BitLocker, который не обеспечивает защиты данных в процессе апгрейда.

В очередной раз разработчики расширили и без того не малый список поддерживаемых токенов и считывателей смарт-карт, которые могут применяться на ряду с обычной связкой логин:пароль в процессе pre-boot аутентификации. При работе с токенами возможна работа как в режиме токен:PIN так и токен:PKI. Следует также отметить, что разработчики продолжают работу над интеграцией McAfee Drive Encryptionс популярными моделями считывателей отпечатков пальцев. Сотрудники тех компаний, которые используют ноутбуки HP моделей ProBook 6475b, EliteBook 8460 и Lenovo T520, X220 уже могут пользоваться благами биометрической аутентификации.

Удобство

Endpoint Assistant является новым способом восстановления забытого пароля. Видео с демонстрацией доступно на сервисе YouTube. Принцип работы, следующий: пользователь устанавливает на своем мобильном устройстве (доступны версии для iOS версии 6 и выше, а также и Android версии 3 и выше) специальное приложение, в процессе pre-boot аутентификации с помощью QR кода информация для восстановления сохраняется на мобильном устройстве. Доступ к этой информации защищается PIN-кодом или паролем (сложность определяется политиками еРО). Акцентирую внимание на том, что использование этого метода не требует наличия доступа к сети Интернет, телефонной связи с головным офисом. Т.е. фактически это вариант для автономного сброса пароля.

Endpoint_Assistant_AppНовый способ сброса пароля без обращения в Help Desk, без Интернета и сотовой связи

Таким образом, восстановление пароля при включении системы может быть выполнено по одному из следующих доступных сценариев:

  1. Ответ на «секретные» вопросы (автономно, без администратора еРО);
  2. Использование Endpoint Assistant (автономно, без администратора еРО);
  3. Помощь администратора (удаленно через ел. почту/моб. связь);
  4. С помощью специального boot CD/USB (локально на предприятии);
  5. С использованием McAfee Deep Command (удаленно через Интернет для систем с Intel vPro).

Функция Fast Initial Encryption (Used Sector Only) позволяет существенно сократить время, затрачиваемое на шифрование системы (несколько минут) за счет отключения защиты от сбоя электропитания и шифрования только тех секторов, которые заняты на момент инициализации. Такой сценарий применим для первичного шифрования систем до передачи их конечным пользователям. Функцию Fast Initial Encryption можно активировать только при Offline Activation.

McAfee Drive Encryption поддерживает Single Sign On, это означает, что возможна синхронизация пароля пользователя с его учетными данными из AD. Т.е. пароль проверяется один раз, поэтому после успешной аутентификации в оболочке Drive Encryption пользователь будет сразу попадать на рабочий стол ОС.

Управление

User Directory является внутренней базой пользователей, которая позволяет задействовать шифрование на системах, которые не являются членами домена. Для тех организаций, которые не используют Active Directory вовсе User Directory будет хорошей заменой т.н. Offline Activation, о которой я писал ранее.

User_DirectoryИзменения по управлению пользователями в 7.1

Вкратце напомню, чтобы активировать шифрование системы необходимо выполнить несколько условий:

  1. Проверить отсутствие конфликтующего ПО (с помощью модуля DEGO 7.1);
  2. Развернуть модули Drive Encryption 7.1;
  3. Через еРО назначить системе пользователей, которые смогут проходить аутентификацию при включении;
  4. Выбрать разделы жесткого диска для шифрования;
  5. Активировать политику.

Так вот, до появления User Directory пункт 4 можно было выполнить только при наличии AD. Соответственно для шифрования недоменных систем можно было воспользоваться т.н. Offline Activation, но этот способ имеет свои особенности и ограничения. Теперь же с выходом Drive Encryption 7.1 у оператора еРО есть выбор – он может назначать пользователей из AD, либо создавать учетные записи в локальном каталоге ePO User Directory. Меньше мороки, больше эффективности.

Гибко делегировать права доступа к политикам шифрования, развертыванию самого решения и к отчетности помогут наборы разрешений в консоли еРО. Таким образом, в зависимости от уровня допуска, офицер безопасности будет иметь возможность правки политик, администратор будет иметь доступ только к процессу развертывания ПО, а руководитель департамента сможет просматривать отчетность.

Поддержка технологии Intel AMT совместно с интеграцией McAfee ePO Deep Command позволяет компаниям-заказчикам с одной стороны существенно сократить расходы на сопровождение рабочих станций и серверов, а с другой стороны – позволяет быстрее оказывать поддержку сотрудникам. Ведь за счет технологий Intel AMT/Intel vPro и ПО McAfee Deep Command операторы консоли еРО получают возможность в удаленном режиме выполнять операции по обслуживанию зашифрованных систем (сброс пароля, диагностика preboot file system, установка исправлений, отключение шифрования и т.д.).

~ ~ ~

Спасибо за внимание.

Будьте осторожны и внимательны при использовании высоких технологий.

Более детально о решении McAfee Drive Encryption можно прочесть из таких источников: статья из базы знаний KB79784, тема на портале McAfee Community, заметка в моем блоге.