2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Безопасная сеть SD-WAN: информация для руководителей сетевых подразделений

Содержание

Как организовать безопасный удаленный доступ для любого числа сотрудников?

В нынешней ситуации бизнес должен принимать во внимание, что киберпреступники готовы использовать слабые места и пробелы в безопасности, которые возникают из-за стремительного перехода сотрудников компании на новый формат работы. Неподготовленные пользователи и незащищенные системы могут быстро стать проводниками вредоносных программ. Время имеет существенное значение, а потому безопасность должна быть неотъемлемым элементом любой стратегии удаленной работы.

  • Как подготовить ИБ-департаменты компании к форс-мажорам?
  • Какие решения помогут удаленно работать сотрудникам вне офиса?
  • Можно ли гарантированно обезопасить предприятие от потери данных?

Как защитить себя и свою компанию?

Мы продолжаем цикл статей про безопасность Windows домена. В первой статье из цикла мы рассказали про настройку безопасного входа в домен, а во второй — про настройку безопасной передачи данных в почтовом клиенте:

В этой статье мы расскажем о настройке шифрования информации, хранящейся на жестком диске. Вы поймете, как сделать так, чтобы никто кроме вас не смог прочитать информацию, хранящуюся на вашем компьютере.

Мало кто знает, что в Windows есть встроенные инструменты, которые помогают безопасно хранить информацию. Рассмотрим один из них.

Наверняка, кто-то из вас слышал слово «BitLocker». Давайте разберемся, что же это такое.

Шифрование файлов

Зашифровать файл можно следующим образом. С помощью правой кнопки мышки на файле вызываете контекстное меню и выбираете Свойства. На вкладке Общие в разделе Атрибуты нажимаем Другие…

В открывшемся окошке ставим галочку Шифровать содержимое для защиты данных. И ОК

Нажимаем Применить или ОК в окошке свойств документа. Высвечивается предупреждение при шифровании, где рекомендуется вместе с файлом зашифровать и содержащую его папку. Выбираете рекомендуемый вариант и жмете ОК

В этом же окошке поясняется зачем необходимо шифровать папку вместе с файлом — так как программы при редактировании создают временные файлы, которые не будут шифроватся. Обычно временные файлы удаляются, но возможен сбой программы или сбой в подаче питания к компьютеру, а вы без ИБП. В этом случае временный файл останется и он будет не зашифрован, а это еще одна брешь во защите. Поэтому рекомендуется шифровать файл вместе с содержащей его папкой или шифровать полностью папку со всем содержимым.

Зашифрованные файлы обычно помечаются зеленым цветом если это указано в настройках

Проверить это можно следующим образом. В проводнике на панели инструментов нажимаем Упорядочить и выбираем Параметры папок и поиска

В окошке Параметры папок переходим на вкладку Вид и устанавливаем галочку Отображать сжатые или зашифрованные файлы NTFS другим цветом

Стоит отметить что в операционный системах Windows возможно или зашифровать файл или сжать его для экономии места. Сомневаюсь, что кто то будет экономить в эпоху 3-х, 4-х и 5-ти терабайтных жестких дисков.

Расшифровать файл можно скопировав его в не зашифрованную папку и сняв соответствующий флажок в окошке Другие атрибуты.

Для удобства шифрования и де-шифрования файлов можно включить в контекстном меню соответствующий пункт

Делается этого редактированием реестра. Вызываете утилиту regedit из поиска в меню Пуск

Переходите в раздел

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced

и создаете параметр

Для того что бы создать параметр кликаем правой кнопкой мышки на пустом месте и выбираем Создать > Параметр DWORD (32 бита)

У меня работает не смотря на то, что Windows 7 64-разрядный.

Теперь у вас в меню включены соответствующие пункты и шифровать станет еще проще.

Установка VeraCrypt на компьютер или ноутбук

Далее будет рассматриваться версия VeraCrypt для Windows 10, 8 и Windows 7 (хотя само использование будет почти одинаковым и для других ОС).

После запуска установщика программы (скачать VeraCrypt можно с официального сайта https://veracrypt.codeplex.com/ ) вам будет предложен выбор — Install или Extract. В первом случае программа будет установлена на компьютер и интегрирована с системой (например, для быстрого подключения зашифрованных контейнеров, возможности шифрования системного раздела), во втором — просто распакована с возможностью использования как portable-программы.

Читать еще:  Большой обзор: информеры баланса. Виджет баланса Скачать программу баланса для андроид

Следующий шаг установки (в случае если вы выбрали пункт Install) обычно не требует каких-либо действий от пользователя (по умолчанию установлены параметры — установить для всех пользователей, добавить ярлыки в Пуск и на рабочий стол, ассоциировать файлы с расширением .hc с VeraCrypt).

Сразу после установки рекомендую запустить программу, зайти в меню Settings — Language и выбрать там русский язык интерфейса (во всяком случае, у меня он не включился автоматически).

Взлом шифрования. Взлом шифрованной файловой системы (Encrypted File System). Как работает Bitlocker

Канал на YouTube: https://www.youtube.com/user/SophosProducts/

Дистрибьютор в регионе CIS решений компании Sophos Ltd. — Фактор груп, ООО.

Класс решений: Шифрование данных.

Фишки: Гибкое управление политиками безопасности в области шифрования данных, интеграция со сторонними продуктами шифрования.

E-mail для вопросов: sophos@fgts.ru

Защита данных на компьютерах, переносных носителях информации, в сетевых папках и даже в облаке

Благодаря развитию мобильных технологий пользователи могут получать доступ к корпоративным данным отовсюду — с мобильных устройств, домашних компьютеров, переносных носителей информации и через облачные сервисы. Решения Sophos позволяют защитить корпоративные данные вне зависимости от их местоположения и способа доступа.

Шифрование, дешифрование и доступ к информации будут автоматическими и незаметными для конечного пользователя. Поэтому хранение данных в безопасном (зашифрованном) состоянии не будет мешать обычному ходу работы.

Защита данных повсюду и автоматически

Sophos SafeGuard шифрует контент сразу после его создания. С всегда включенным шифрованием пользователь может получить «бесшовную» безопасность своих данных в работе другими людьми. Синхронизированное шифрование активно защищает данные, постоянно проверяя их целостность, а также самого пользователя, безопасность приложения и устройства, прежде чем разрешать доступ к зашифрованным данным.

SafeGuard предлагает синхронизированное шифрование через подключение к Sophos Endpoint Protection и Sophos Mobile Control. Местный агент SafeGuard следит за безопасностью на конечной точке благодаря технологии Heartbeat, обеспечивает автоматическую и проактивную защиту.

С помощью Sophos Mobile Control пользователь может хранить свои файлы в безопасности на платформах Windows, iOS и Android.

Предотвращение потери данных

Защищайте свои данные от краж, взлома с помощью вредоносного ПО и случайных потерь с умом. Решение Sophos SafeGuard автоматически шифрует контент и он остается зашифрованным даже при утечке или при загрузке в облачную систему обмена файлами.

Полное шифрование диска

Решение обеспечивает централизованное управление полным шифрованием диска с помощью Windows BitLocker и Mac FileVault, используя технологию, встроенную в операционные системы. Это позволяет легко управлять ключами и функциями восстановления из «Центра управления SafeGuard». Чтобы еще больше упростить рабочий процесс в Sophos Central была реализована возможность управлять шифрованием на платформах Windows и MacOS.

Шифрование файлов

Решение позволяет шифровать файлы по отдельности. Они будут зашифрованы даже при передаче в общую папку, съемный USB-накопитель или облако.

Дополнительные возможности шифрования

  • Шифрование переносных носителей информации (USB, Memory card, CD/DVD).
  • Шифрование данных в облаке, включая поддержку таких популярных сервисов, как Dropbox, SkyDrive и Egnyte.
  • Шифрование сетевых папок.

Соответствие требованиям, отчетность и управление

Упрощенный центр управления помогает пользователям соблюдать правила защиты данных и предотвращает нарушения данных.

  • Мгновенные подробные отчеты и аудиты.
  • Управление на основе ролей, для разделения уровней авторизации.
  • Двойная авторизация для офицера, отвечающего за мониторинг критических задач.
  • Безопасное хранение, обмен и восстановление ключей на разных устройствах.
  • Настройка политик для групп и устройств из централизованной консоли.

Состав решения Sophos SafeGuard Enterprise

  • Центр управления (Management Center) — средство управления корпоративными политиками безопасности в области защиты данных.
  • Система шифрования (Device Encryption), предназначенная для шифрования данных на ноутбуках и стационарных рабочих станциях, переносных носителях информации, защиты от потери целостности данных и неавторизованного доступа.
  • Средство обмена данными (Data Exchange), предназначенное для организации обмена информацией ограниченного доступа с бизнес-партнерами и клиентами, посредством переносных носителей информации.
  • Средство шифрования в облаке (Encryption for Cloud Storage), предназначенное для шифрования данных, передаваемых с защищенного компьютера в сетевые хранилища. Включает также средство просмотра шифрованных данных для мобильных платформ (iOS, Android).
  • Средство интеграции (Native Device Encryption), предназначенное для интеграции с приложениями шифрования от сторонних производителей, таких как Windows BitLocker или Mac FileVault 2 и т.д.
  • Средство шифрования для сетевых папок (Encryption for File Shares), предназначенное для защиты данных, размещаемых в сетевых хранилищах и файлообменниках.

Консоль управления SafeGuard Management Center

Пользователь этого решения может создавать и управлять политиками безопасности в области защиты данных на всех платформах и устройствах из одной консоли.

  • Управление всеми модулями Sophos SafeGuard Enterprise.
  • Управление политиками безопасности для всех устройств и пользователей.
  • Защищенное хранение, обмен и восстановление ключей шифрования.
  • Развитая система отчетности с поддержкой платформ Windows и MacOS.
  • Интеграция с Active Directory для получения информации о пользователях и группах, синхронизации задач и политик.
Читать еще:  Не получается установить Windows на диск GPT или MBR. Исправляем

Получить дополнительную информацию и задать интересующие вопросы Вы можете у наших специалистов, обратившись по почте или по телефонам:

Тел.1: +7 (495) 280-33-80

Тел.2: +7 (495) 780-76-70

В основе деятельности компании «Фактор груп» лежит двухуровневая система продаж «дистрибьютор – ресселер».

Доступ к ценам, полным прайс-листам наша компания предоставляет только авторизованным компаниям — ресселерам. По некоторым товарным направлениям, таким как Sophos, Packet Design, Creanord, DeepField, Metaswitch и др. необходима дополнительная авторизация вендоров и наличие статуса сертифицированного партнера.

Если ваша компания является таковой, но у вас еще нет доступа к ценовой информации, либо у вас есть сейчас готовый заказ-проект, отправьте запрос на email адрес соответствующей товарной группы.

Расшифровка тома Bitlocker с помощью ключа восстановления

Для расшифровки данных, находящихся на поврежденном томе, содержимое которого зашифровано Bitlocker нам понадобится ключ восстановления или ключ загрузки системы (если зашифрован системный раздел).

Запустите восстановление данных с помощью ключа восстановления:

repair-bde F: G: -rp 288409-515086-417208-646712-162954-590172-127512-667568 –Force

Если Bitlocker используется для шифрования системного раздела с Windows, а для загрузки системы используется специальный ключ запуска на USB флешке, зашифрованный том можно расшифровать так:

где, файл 3F558473-943D-4330-8449-62C36BA53345.BEK – ключ запуска шифрования диска BitLocker на USB флешке I: (по умолчанию этот файл скрыт).

После выполнения процедуры восстановления и расшифровки данных, прежде чем открыть диск, на который было извлечено содержимое тома Bitlocker , необходимо обязательно выполнить его проверку. Для этого выполните следующую команду и дождитесь ее завершения:
Chkdsk G: /f

Windows 10 Home

Windows 10 Home edition — это легкие профессиональные и бизнес-возможности. Позволяют снизить уровень безопасности, но предлагающий знакомый опыт работы с Windows, который нужен большинству пользователей. Если вы обычный пользователь ПК и никогда не использовали Pro-версию Windows, скорее всего, вы ничего здесь не упустите.

Когда дело доходит до игр, все встроенные игровые функции Windows 10 доступны в Windows 10 Home. Пользователи могут синхронизировать свои учетные записи Xbox Live. Транслировать игры с Xbox One на ПК, использовать встроенную поддержку контроллера Xbox One. Включать или отключать игровой режим и использовать игровую панель для параметров вещания и потоковой передачи.

Найдите ваш ключ восстановления

Если вы не можете найти ключ восстановления, попробуйте вспомнить где вы настраивали BitLocker. При настройке вам было предложено записать ключ, распечатать его, загрузить в онлайн аккаунт Microsoft или сохранить файл с ключом. Название файл должно быть похожим на «Ключ восстановления BitLocker D5ED0225-A85F-4693-B8A8-5E10473AA34E.TXT». Внутри должны быть инструкции по применения и сам ключ из 48 цифр, в нашем случае это: 661309-672518-444213-077583-155375-292094-217008-332057. В некоторых случаях в ключе могут использовать буквы и цифры.

Будем надеяться, что ваш ключ храниться в надежном месте на внешнем диске или был напечатан на листе бумаги. Для получения ключа, загруженного на сервер Microsoft, перейдите на страницу восстановления ключа OneDrive и войдите в учетную запись, используемую для хранения. Если вы не можете обнаружить ключ, попробуйте загрузиться в другие использованные вами учетные записи Microsoft.

В случае если вы нашли несколько ключей используйте идентификатор ключа (Key ID), который указан на экране запроса на разблокировку диска. Идентификатор должен вам помочь выбрать правильный ключ.

Если ваш компьютер подключен к домену, ваш ключ может быть сохранен у администратора сети. Это часто случается на компьютерах, принадлежащих организациям и предоставляемым для работы сотрудникам или студентам. Обратитесь за ключом к администратору домена.

Если ключа нет, возможно вам повезло, и вы найдете резервную копию всех ваших данных! И в следующий раз убедитесь, что записали ключ восстановления и храните его в безопасном месте (или сохраните его в ваш онлайн аккаунт Microsoft).

Зарегистрируйтесь, чтобы прямо сейчас, чтобы узнать, как мировые лидеры защищают свои данные на пути к цифровому будущему.

В то же время, без использования TPM-чипа система теряет значительную часть своей привлекательности, поскольку если необходимо вскрыть достаточную важную информацию, кластер из современных компьютеров сможет подобрать 48-значный пароль восстановления.

В Windows XP нет поддержки BitLocker. Она предлагает для защиты данных только встроенное средство файловой системы NTFS – EFS (Encrypted File System) (эта же функция доступна и для Vista). Основное отличие от BitLocker – шифрование только файлов и каталогов. Впервые EFS появилась в Windows 2000, но в Windows XP претерпела некоторые усовершенствования. Пакеты обновления для Windows 2000 также улучшили EFS. Начиная с версии Windows XP SP1, EFS использует алгоритм AES с длиной ключа 256 бит, после чего полученный результат дополнительно шифруется парой (открытый (public) и закрытый (private)) ключей RSA.

Читать еще:  В чём разница между браузерами Хром и Хромиум?


Windows XP предлагает для защиты данных только встроенное средство файловой системы NTFS – EFS (Encrypted File System)

Технически данная система выполнена в виде драйвера, тесно связанного с драйвером NTFS и работающего в режиме ядра ОС. Для каждого файла система создает свой ключ FEK (File Encryption Key, шифровальный ключ файла), затем тело шифруется при помощи алгоритма AES (в ранних версиях – при помощи DESX), далее FEK шифруется при помощи RSA.

Зашифрованный пользовательским общим ключом FEK сохраняется в DDF (Data Decryption Field, поле расшифровки данных) шифруемого файла. Кроме того, для обеспечения возможности восстановления файла система EFS создает еще одну зашифрованную с помощью общего ключа восстановления файлов (FR, File Recovery) копию FEK, которую помещает в поле DRF (Data Recovery Field, поле восстановления данных файла). FR создается либо доменным администратором, либо самой Windows с учетной записью администратора. Администратор, обладающий этим ключом, называется агентом восстановления данных (DRA, Data Recovery Agent).

Следует иметь в виду, что используемые закрытые (private) ключи для генерирования и защиты шифрованных данных применяют DPAPI – интерфейс (DPAPI – Data Protection Application Interface – прикладной программный интерфейс защиты данных), который использует для защиты данных производные данные учетных записей пользователя. Как следствие, надежность шифрования данных будет зависеть от того, насколько надежен пароль пользователя. Надежными сейчас считаются пароли из 15 – 16 (и более) символов, притом, что они должны быть не только длинные, но и сложные.

Стоит отметить, что файл, зашифрованный с помощью Windows XP SP1 и выше, будет невозможно прочитать на ранних версиях Windows 2000, XP. Для решения проблемы необходимо установить алгоритм шифрования DESX; система предоставляет возможность выбора между алгоритмами DESX и AES.

При первом шифровании система создает набор ключей в виде сертификатов. После чего вы как администратор можете раздать их доверенным пользователям, чтобы они могли получить доступ к файлу, либо можете скопировать эти сертификаты и использовать их по мере доступа к зашифрованным файлам, что повысит надежность системы.

Основная проблема заключается в том, что сертификаты для доступа к зашифрованным файлам сохраняются в системе, поэтому если злоумышленник получит непосредственный доступ к машине, на которой были зашифрованы эти файлы, то он с легкостью сможет прочитать их. Поэтому целесообразней переписывать сертификаты с ключами на USB-флешку или другой извлекаемый носитель информации. Однако в этом случае работа с зашифрованными файлами затрудняется – необходимо все время вручную устанавливать и удалять сертификаты из системы. Возможна настройка т.н. «полуавтоматического» использования, но для рядового пользователя это нетривиальная задача. Windows Vista позволяет сохранять сертификаты с ключами не на жесткий диск, а на смарт-карты, что, безусловно, является плюсом.

После потери всех ключей доступ к зашифрованным данным возможен с помощью взлома файлов – либо атаки «в лоб», направленной на перебор всех возможных комбинаций ключей, либо комбинированием атаки «в лоб» с извлеченными из соответствующих полей файла данными о FEK. В случае использования короткого пароля такие попытки оказываются довольно успешными. Например, атака типа Rainbow Table успешно взламывает такие файлы с паролем менее 11 символов. Алгоритм AES значительно более устойчив к подобного рода атакам, в отличие от DESX.

Данная система подходит для шифрования данных, не представляющих большой ценности, либо быстро устаревающих и с течением времени становящихся непривлекательными для взломщиков. Файлы, защищенные с помощью EFS, практически на 100% недоступны для типичного пользователя ПК, не обладающего знаниями в области ИБ.

В качестве плюса данной системы можно упомянуть тот факт, что она обладает массой настроек, позволяющих системному администратору задать необходимый уровень защиты данных. Систему довольно легко развернуть на предприятиях среднего размера, возможна интеграция в инфраструктуру PKI (Public Key Infrastructure – инфраструктура открытых ключей), с Active Directory, проводником Windows.

К потенциальным уязвимостям этой системы можно отнести тот факт, что создаваемые при работе с ПО различные временные файлы не шифруются EFS и теоретически возможно, воспользовавшись соответствующим ПО, восстановить эти файлы и получить доступ к документу. Возможным решением проблемы является применение специальных утилит для «затирания» пустого места на жестком диске (так называемыми Wipe-утилитами). Кроме того, в качестве дополнительной меры можно задать шифрование каталогов, на которые ссылаются temp% и %tmp%, однако это будет неэффективно в случае с такими программами, как MS Word и AutoCAD, которые создают копии документов в рабочем каталоге.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector