Безопасность через шифрование

БЕЗОПАСНОСТЬ

Framework 4.0 запирает данные путем шифрования

При изобилии всевозможных функций Secuware Security Framework 4.0 фирмы Secuware концентрирует внимание на обязательном шифровании данных, сохраняемых на переносных устройствах и сетевых дисках. Тот факт, что продукт полагается на встроенные функции Windows, в какой-то мере ограничивает использование его отчетов в целях аудита. Тем не менее eWeek Labs рассматривает решение Secuware как довольно простой способ быстрой реализации политики криптозащиты, особенно в организациях, еще не имеющих опыта шифрования данных в своих сетях.

В лицензии на тысячу пользователей SSF 4.0 обойдется по 169 долл. за каждое рабочее место с включением одной лицензии на серверный компонент продукта. В эту сумму входят:

- доступ к Crypt2000 - функции, обеспечивающей шифрование USB-памяти, жестких дисков и сетевых папок;

- управление устройствами, четко ограничивающее типы устройств, разрешенных для конечных пользователей;

- фильтрация приложений, определяющая процессы и приложения, разрешенные к запуску в хост-системе;

- аудит с записью отслеживаемых изменений в заданный файл или папку.

При необходимости в добавочных серверных лицензиях для более крупных распределенных сетей их можно купить каждую по 10 тыс. долл.

В инфраструктуре управления SSF 4.0 создание правил и управление осуществляются через SSF Console, интегрированную с MMC (Microsoft Management Console). В своих тестах мы воспользовались SSF Console для задания политики Crypt2000, разрешавшей пользователям чтение с устройств CD/DVD (без права записи на них) и требовавшей шифрования при работе с USB-памятью. Для активации криптозащиты нам также потребовалось конкретно указать в SSF Console защищаемое устройство, что фактически сообщает системе о том, что нам нужно создать шифровальные ключи. Единственно доступный метод шифрования - AES 256 (Advanced Encryption Standard).

Мы разрешили нашим ПК осуществлять чтение с приводов CD/DVD, но потребовали, чтобы USB-устройства читали

 и записывали лишь зашифрованные данные

SSF 4.0 лучше всего подойдет организациям, еще не имеющим других программ для криптозащиты. В пакете SSF 4.0 есть очень неплохие функции управления ключами и их распространения, но если компания уже практикует шифрование электронной почты или других переносимых данных, то обслуживание второй системы управления ключами, по-видимому, покажется ей громоздким.

Хотя на каждом SSF-защищенном клиенте инсталлируется агент, Secuware передоверяет распространение политики встроенным функциям Windows.

SSF 4.0 фактически расширяет схему Microsoft Active Directory, и администраторы должны применять политики этого ПО к пользователям, группам или OU (организационным единицам) Active Directory. После обновления Microsoft Group Policy все эти правила автоматически прилагаются к ПК с инсталлированным SSF-агентом.

Экран Pre-Boot Authentication заставляет пользователей

до загрузки Windows идентифицировать

свой ПК как защищенный

Администраторы Active Directory моментально разберутся в этом способе распространения и реализации политики, но есть обратная сторона медали - решение Secuware страдает от ряда ограничений, присущих управлению посредством Group Policy. Время обновления правил полностью зависит от установок клиента (они выполняются каждые 90 мин при перезагрузке или при ручном вводе команды GPUpdate), и единственным способом оперативной активации обновленной политики является ручное обращение к хосту.

Сам факт развертывания политики, мы убедились, еще не означает, что пользователи сразу готовы к работе с зашифрованными дисками. (Оптимально организованная криптозащита, по нашему мнению, должна требовать минимум действий.) Пользователям необходимо открыть свой клиентский агент, выбрать правильный ключ шифрования из числа выделенных администратором, а затем отформатировать и зашифровать свою USB-память.

Однако форматирование USB-дисков по умолчанию доступно лишь локальному администратору Windows-ПК, и если пользователи защищаемых доменов не имеют административных прав на уровне ПК, потребуется откорректировать параметры Group Policy, чтобы эта операция была разрешена и тем, кто ограничен в правах.

После установки криптозащиты мы уже могли безопасно копировать на USB-диск все что пожелаешь и передавать это USB-устройство вместе с его содержимым другим сотрудникам для работы на других ПК - при условии принадлежности к той же группе или OU, к которой отнесена политика Crypt2000.

Функция управления устройствами позволяет также ужесточить ограничения на устройства, так что мы могли конкретизировать изготовителя и модель USB-памяти и тем самым установить внутренний стандарт используемых устройств. При формировании такой политики можно произвести опрос всех защищенных клиентов в сети, чтобы узнать, какие USB- и FireWire-устройства в данный момент или ранее были подключены к ПК. Политика устройств, как и политика Crypt2000, распространяется через Active Directory.