30.06.2010

Microsoft Enhanced Storage

Сегодня компании нуждаются в том, чтобы перед подключением переносных устройств к компьютеру происходила проверка подлинности. Потребителям необходим аналогичный подход, для гарантий, что их личной информацией не воспользуются посторонние люди, а так же, что неавторизованные устройства не смогут быть подключены к их компьютерам.

Автор: Azazela

Съемные накопители и другие портативные устройства, которые позволяют массовое хранение информации, уже являются неотъемлемой частью нашей личной жизни и работы. Эти устройства удовлетворяют важную потребность - позволяют легко переносить информацию в больших объёмах между компьютерами и между работой и домом. Тем не менее, это удобство приводит к риску кражи информации или утечки данных. Кроме того, эти устройства могут нести дополнительные риски, связанные с внедрением вирусов и вредоносного ПО, как на компьютерах домашних пользователей, так и на компьютерах в корпоративной сети.

Сегодня компании нуждаются в том, чтобы перед подключением переносных устройств к компьютеру происходила проверка подлинности. Потребителям необходим аналогичный подход, для гарантий, что их личной информацией не воспользуются посторонние люди, а так же, что неавторизованные устройства не смогут быть подключены к их компьютерам.

На текущий момент на рынке распространены как различные устройства с повышенным уровнем безопасности, например, накопители со сканером отпечатков пальцев или с поддержкой аппаратного шифрования данных, так и ПО для шифрования, которое поддерживает работу с любыми внешними устройствами хранения данных или позволяет использовать шифрованные файл-контейнеры, которые могут храниться на них. Но их использование возможно только с "фирменным" ПО или с предварительной установкой специального драйвера или программного обеспечения на компьютер, к которому будут подключаться устройства с повышенным уровнем безопасности, что не всегда возможно, а это означает ограниченную совместимость. Чтобы решить этот вопрос, необходим единый стандарт.

По этому не удивительно, что Институт инженеров по электротехнике и электронике (Institute of Electrical and Electronics Engineers - IEEE) взялся за этот вопрос, создав рабочую группу, которая разработала "Стандартный протокол аутентификации при подключении съемных устройств хранения данных" - 1667 (IEEE 1667-"Standard Protocol for Authentication in Host Attachments of Transient Storage Devices"). IEEE 1667 – это платформенно-независимый стандарт, в котором описаны требования взаимной идентификации между устройствами и компьютером для создания безопасной области, что позволяет доверенным устройствам свободно взаимодействовать друг с другом.

На текущий момент корпорация Microsoft является одним из активных участников по продвижению нового стандарта и уже реализовала его поддержку, определив его Enhanced Storage. Enhanced Storage является встроенной системой безопасности в новых операционных системах Windows 7 и Windows 2008 R2, в которых обеспечивается поддержка функции защиты паролем и проверкой подлинности на основе сертификатов для USB-накопителей, совместимых со стандартом IEEE 1667.

Существенным отличим работы Enhanced Storage, от технологии BitLocker To Go, которая позволяет защищать съёмные USB-устройства хранения данных с помощью BitLocker, ограничивая доступ по паролю, является то, что она не зависима от версии использования операционной системы Windows 7, будь то Начальная или Профессиональная. Теперь защищенные паролем устройства можно будет просто подключать к любому компьютеру, не заботясь о предварительной установке и настройке чего-либо.   

Если рассмотреть с практической точки зрения работу с Enhanced Storage, в самом востребованном случае, когда нужно установить пароль для доступа к информации на съёмном носителе, то она выглядит следующим образом.

Тут еще нужно обратить внимание на то, что съемные накопители (будто USB флэш-диск или портативные диск) с поддержкой IEEE 1667 существенным образом не отличается от обычных, их так же можно использовать в открытом состоянии с операционными системами, у которых отсутствует поддержка устройств совместимых с IEEE 1667.

При подключении устройств Enhanced Storage происходит установка как стандартных драйверов для переносных устройств, так и расширенных: IEEE 1667 ACT, Драйвер пароля Microsoft WPD Enhanced Storage, универсальный приемник команд IEEE 1667.  

После определения устройства Enhanced Storage в системе, будет предложено установить пароль для доступа к съёмному носителю. Если при первом подключении в этом необходимости нет, то это можно будет сделать потом, через контекстное меню подключенного USB-устройства, выбрав нужный пункт. Если пароль не установить, то информация будет доступна на всех системах, включая те, у которых нет поддержки IEEE 1667, как и в случае c использованием обычного съемного устройства.

Процедура установки пароля, для каких вещей стандартная: ввести пароль, подтвердить его и, при необходимости, ввести слово или фразу, используемую в качестве подсказки. После этого уже можно использовать съемный носитель, доступ к которому осуществляется по паролю. Тут стоит отметить, что система не требует установки сложного пароля.

Заблокировать накопитель можно в ручном режиме, выбрав через контекстное меню подключенного USB-устройства нужный пункт, или это произойдет в автоматическом режиме - при выключении ПК, переходе в спящий режим, отключении накопителя от компьютера, а так же при блокировке компьютера по Ctrl+Alt+Delete. В заблокированном состоянии, данные (как то: размер диска, свободное место, тип файловой системы) не отображаются.

Для Enhanced Storage предусмотрен механизм зашиты от подбора пароля методом грубой силы. Можно ввести не более 50 неверных паролей, после чего возможен только сброс устройства, в ходе которого происходит удаление всех данных и восстановление установленных производителем параметров по умолчанию (происходит очистка установленного пользователем пароля).

Конечно, использование Enhanced Storage не ограничено схемой по установке пароля на съемные устройства с поддержкой IEEE 1667, различные варианты взаимодействия с компьютером можно задать через свои настройки, используя политики безопасности, настройки которых находятся в Конфигурация компьютера \ Административный шаблоны \ Система \ Доступ к устройствам Enhanced Storage.  

Хотя стандарт IEEE 1667 являются новым и последняя спецификация - 1.1 была утверждена только в 2009 году, производители съёмных носителей уже предоставляют на рынок продукцию с поддержкой этого стандарта, и по цене она не отличается от обычных съёмных носителей.   

Тэги: Microsoft, Enhanced Storage, security, безопасность, IEEE 1667, IEEE, флешка, usb flash, съемные носители, защита данных, Windows 7, Windows 2008 R2.

 

или введите имя

CAPTCHA
Страницы: 1  2  
16158
01-07-2010 07:50:05
Сегодня компании нуждаются в том, чтобы перед подключением...Сегодня компании нуждаются в избавлении себя от продуктов Микрософта. //fixed
0 |
16159
01-07-2010 08:05:24
И что им мешает это сделать?
0 |
Alexx
01-07-2010 09:20:37
Интересная тема, спасибо! Вопрос - а как узнать поддерживает моя флэшка IEEE 1667 или нет?
0 |
Azazela
01-07-2010 14:25:09
По идея, должен быть соответствующая информация на упаковке, но на данной флешке, это не было.
0 |
01-07-2010 09:24:36
Хорошая статья. Но чтоо делать если флешка будет использоваться на различных ОС. Это на данный момент достаточно распространенная практика.
0 |
Azazela
01-07-2010 14:29:10
Не блокировать USB-накопитель.
0 |
TSS
05-07-2010 09:04:03
Ну ответ очевиден же: не использовать различные ОС =)
0 |
фетиш-мастер [Малиновые штаны]
01-07-2010 09:56:55
Можно ввести не более 50 неверных паролей, после чего возможен только сброс устройства, в ходе которого происходит удаление всех данных и восстановление установленных производителем параметров по умолчанию (происходит очистка установленного пользователем пароля).гы-гы поржал над чудесами индуисской мысли )
0 |
а вот вам
01-07-2010 13:45:11
кстати да, интересная защита)) пишем небольшой вирус, который тупо будет 51 раз пытаться ввести пароль (причем абсолютно неподходящий) и подбрасываем это конкурентам, использующим эту чудо технологию. ????? ПРОФИТ
0 |
Azazela
01-07-2010 14:34:58
кстати да, интересная защита)) пишем небольшой вирус, который тупо будет 51 раз пытаться ввести пароль (причем абсолютно неподходящий) и подбрасываем это конкурентам, использующим эту чудо технологию. ????? Интересный ход мыслей. Но удаление происходит не автоматически, а в том случае, если пользователь выберет сброс устройства. Кроме того предусмотрена функция восстановления “потерянного” пароля. Да и организации целесообразней использовать для доступа сертификаты, нежели пароли
0 |
фетиш-мастер [Малиновые штаны]
05-07-2010 09:56:58
Но удаление происходит не автоматически, а в том случае, если пользователь выберет сброс устройства. Кроме того предусмотрена функция восстановления “потерянного” пароля.ниче не знаю у автора черным по белому написано: ...после чего возможен только сброс устройства...
0 |
10359
05-07-2010 13:35:53
Существенным отличим работы Enhanced Storage, от технологии BitLocker To Go, которая позволяет защищать съёмные USB-устройства хранения данных с помощью BitLocker, ограничивая доступ по паролю, является то, что она не зависима от версии использования операционной системы Windows 7, будь то Начальная или Профессиональная. Теперь защищенные паролем устройства можно будет просто подключать к любому компьютеру, не заботясь о предварительной установке и настройке чего-либо.Чего-либо кроме Windows 7. На компьютере должна стоять Windows 7 любой редакции чего вполне достаточно чтобы не пользоваться Enhanced Storage.
0 |
Azazela
06-07-2010 08:30:41
Встроенная поддержка устройств совместимых с ieee 1667 есть в windows 7/ windows 2008 r2, с установленным windows feature pack for storage в windows vista/ windows 2008. О поддержке в linux или mac os мне не известно. А пользоваться устройствами с поддержкой стандарта ieee 1667 решает каждый сам.
0 |
Александр
17-04-2011 21:18:32
На Висте еще работает. В принципе, все новые компы идут уже с семеркой, так что это не проблема.
0 |
Страницы: 1  2