ADG Оставить заявку
Блог Информационная безопасность 5 мин чтения

Шифрование дисков после кражи ноутбука: BitLocker с TPM на Windows 7, LUKS на Linux

После утечки клиентской базы через украденный ноутбук разворачиваем BitLocker+TPM по всему парку Windows 7 и LUKS поверх LVM на Linux. Делимся результатами.

Контекст момента

Участившиеся кражи ноутбуков с корпоративными данными вынуждают организации срочно внедрять DLP и шифрование дисков

Несколько недель назад один из клиентов потерял ноутбук. Не в смысле «забыл пароль» - в смысле физически пропал из машины на парковке. Стандартная история: стекло разбито, сумка исчезла. Нестандартное в этот раз то, что на диске лежала выгрузка клиентской базы - несколько тысяч контактов с именами, телефонами и историей заказов. Без шифрования, без пароля на BIOS, диск читается с любого LiveCD за пять минут.

После того как разобрались с непосредственными последствиями - уведомили юристов, оценили риски - встал очевидный вопрос: что делаем с остальными ноутбуками? Их в парке около двадцати, и у половины на дисках есть что-то, что не должно уйти вместе с железом.

Почему именно сейчас

Кражи ноутбуков не новость - об этом говорят уже года три. Но конкретный инцидент делает разговор предметным. Директор, который в ноябре вежливо слушал про DLP и кивал, в январе сам звонит и говорит: «Делайте». Это, конечно, не лучший способ получить бюджет, но он работает.

Параллельно на рынке появилось несколько требований от крупных заказчиков - включить шифрование дисков в стандарт корпоративного ноутбука при поставке. Так что история не только про этого конкретного клиента.

Windows 7 и BitLocker с TPM

Парк ноутбуков у клиента - Windows 7 Professional и Enterprise вперемешку. BitLocker есть только в Ultimate и Enterprise, так что первое, что пришлось сделать - инвентаризация лицензий и апгрейд нескольких машин на Professional до Enterprise через Software Assurance. Это отдельная возня, но без неё никуда.

Дальше - TPM. Большинство корпоративных ноутбуков 2009-2010 года выпуска имеют TPM 1.2 на борту, просто он выключен в BIOS. Включать пришлось руками или через скрипты WMI - на некоторых моделях производитель прячет TPM в настройки «Advanced Security» и с первого раза не найдёшь.

Схема развёртывания такая: групповая политика включает BitLocker, ключ восстановления эскроу идёт в Active Directory - это обязательно, иначе при смерти материнской платы или сбросе TPM диск становится кирпичом. Политику настраивали так, чтобы BitLocker активировался при следующем перезапуске, шифрование происходило в фоне без блокировки работы пользователя.

Первое шифрование диска на 250 ГБ занимает несколько часов - пользователи работают в это время штатно, просто чуть медленнее. На SSD разницы почти нет. На медленных HDD 5400 об/мин было заметнее, но терпимо.

Что неприятно в BitLocker без PIN - пользователь ничего не делает, загрузка прозрачная. Удобно с точки зрения саботажа («я не буду вводить пароль каждое утро»), но при физической краже это значит: если ноутбук украден включённым или в спящем режиме, TPM уже разблокировал ключ. Защита работает только при выключенном устройстве. Это важный момент, который нужно объяснять пользователям: «спящий режим» не равно «защищённый».

Для машин с наиболее чувствительными данными включили режим с PIN - пользователь вводит четыре цифры перед загрузкой. Компромисс между удобством и уровнем защиты.

Linux и LUKS поверх LVM

У нескольких разработчиков - ноутбуки на Ubuntu 10.04. Там история другая: LUKS (Linux Unified Key Setup) поверх LVM. Свежий Ubuntu 10.10 предлагает зашифрованный LVM прямо в мастере установки, но у нас машины на 10.04 и уже рабочие, переустанавливать с нуля не хотелось.

Сделали иначе: добавили зашифрованный раздел LUKS для домашней директории - там и лежат все рабочие данные. Системный раздел не шифровали, это компромисс, но для нашего threat model достаточно: при краже злоумышленник получает операционку, но не данные.

По производительности: прогнали несколько тестов через hdparm и простые dd-замеры до и после. На AES-NI (процессоры Intel на базе Westmere, то есть Core i-series с 2010 года) накладные расходы минимальные - потеря скорости последовательного чтения в пределах 5-8%. Без аппаратного AES на старом железе потери заметнее - порядка 15-20% на последовательных операциях, случайный доступ чуть хуже. Для разработчика, работающего с кодом и небольшими файлами, разница незаметна. Для кого-то, кто гоняет большие видео или образы дисков - может почувствоваться.

Passphrase при загрузке - обязательна. Резервные ключи LUKS (там предусмотрено несколько слотов) - записаны в защищённое хранилище, не на том же ноутбуке.

Что это не решает

Шифрование диска защищает данные при физической краже выключенного устройства. Оно не защищает от:

  • Вредоносного ПО, которое работает пока система запущена.
  • Пользователя, который скопирует базу на флешку до того, как уйти из офиса.
  • Кражи в рабочем состоянии - если ноутбук украден с запущенной сессией, данные доступны.

Это DLP в другом смысле - защита носителя, а не контроль потоков данных. Для полноценной картины нужны и контроль съёмных носителей, и мониторинг почты, и политики доступа к данным. Но шифрование диска - это слой, который закрывает конкретную угрозу, и именно с него разумно начинать.

Как сейчас

Развёртывание идёт, не закончено. Семнадцать из двадцати Windows-ноутбуков зашифрованы, остальные - в процессе (один ждёт апгрейда лицензии, у двух TPM оказался сломан ещё на заводе, заменяем). Ключи восстановления в AD, процедура восстановления задокументирована, саппорт обучен.

Аудит парка показал ещё несколько вещей помимо шифрования - в частности, несколько машин с устаревшими версиями антивируса и пару ноутбуков, которые вообще не попадали в домен и жили своей жизнью. Это уже отдельная история, но вылезло именно в ходе инвентаризации под BitLocker.

Если кража повторится - по крайней мере, данные на диске уйдут вместе с железом, а не отдельно от него.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.