30.06.2010

Microsoft Enhanced Storage

Сегодня компании нуждаются в том, чтобы перед подключением переносных устройств к компьютеру происходила проверка подлинности. Потребителям необходим аналогичный подход, для гарантий, что их личной информацией не воспользуются посторонние люди, а так же, что неавторизованные устройства не смогут быть подключены к их компьютерам.

Автор: Azazela

Съемные накопители и другие портативные устройства, которые позволяют массовое хранение информации, уже являются неотъемлемой частью нашей личной жизни и работы. Эти устройства удовлетворяют важную потребность - позволяют легко переносить информацию в больших объёмах между компьютерами и между работой и домом. Тем не менее, это удобство приводит к риску кражи информации или утечки данных. Кроме того, эти устройства могут нести дополнительные риски, связанные с внедрением вирусов и вредоносного ПО, как на компьютерах домашних пользователей, так и на компьютерах в корпоративной сети.

Сегодня компании нуждаются в том, чтобы перед подключением переносных устройств к компьютеру происходила проверка подлинности. Потребителям необходим аналогичный подход, для гарантий, что их личной информацией не воспользуются посторонние люди, а так же, что неавторизованные устройства не смогут быть подключены к их компьютерам.

На текущий момент на рынке распространены как различные устройства с повышенным уровнем безопасности, например, накопители со сканером отпечатков пальцев или с поддержкой аппаратного шифрования данных, так и ПО для шифрования, которое поддерживает работу с любыми внешними устройствами хранения данных или позволяет использовать шифрованные файл-контейнеры, которые могут храниться на них. Но их использование возможно только с "фирменным" ПО или с предварительной установкой специального драйвера или программного обеспечения на компьютер, к которому будут подключаться устройства с повышенным уровнем безопасности, что не всегда возможно, а это означает ограниченную совместимость. Чтобы решить этот вопрос, необходим единый стандарт.

По этому не удивительно, что Институт инженеров по электротехнике и электронике (Institute of Electrical and Electronics Engineers - IEEE) взялся за этот вопрос, создав рабочую группу, которая разработала "Стандартный протокол аутентификации при подключении съемных устройств хранения данных" - 1667 (IEEE 1667-"Standard Protocol for Authentication in Host Attachments of Transient Storage Devices"). IEEE 1667 – это платформенно-независимый стандарт, в котором описаны требования взаимной идентификации между устройствами и компьютером для создания безопасной области, что позволяет доверенным устройствам свободно взаимодействовать друг с другом.

На текущий момент корпорация Microsoft является одним из активных участников по продвижению нового стандарта и уже реализовала его поддержку, определив его Enhanced Storage. Enhanced Storage является встроенной системой безопасности в новых операционных системах Windows 7 и Windows 2008 R2, в которых обеспечивается поддержка функции защиты паролем и проверкой подлинности на основе сертификатов для USB-накопителей, совместимых со стандартом IEEE 1667.

Существенным отличим работы Enhanced Storage, от технологии BitLocker To Go, которая позволяет защищать съёмные USB-устройства хранения данных с помощью BitLocker, ограничивая доступ по паролю, является то, что она не зависима от версии использования операционной системы Windows 7, будь то Начальная или Профессиональная. Теперь защищенные паролем устройства можно будет просто подключать к любому компьютеру, не заботясь о предварительной установке и настройке чего-либо.   

Если рассмотреть с практической точки зрения работу с Enhanced Storage, в самом востребованном случае, когда нужно установить пароль для доступа к информации на съёмном носителе, то она выглядит следующим образом.

Тут еще нужно обратить внимание на то, что съемные накопители (будто USB флэш-диск или портативные диск) с поддержкой IEEE 1667 существенным образом не отличается от обычных, их так же можно использовать в открытом состоянии с операционными системами, у которых отсутствует поддержка устройств совместимых с IEEE 1667.

При подключении устройств Enhanced Storage происходит установка как стандартных драйверов для переносных устройств, так и расширенных: IEEE 1667 ACT, Драйвер пароля Microsoft WPD Enhanced Storage, универсальный приемник команд IEEE 1667.  

После определения устройства Enhanced Storage в системе, будет предложено установить пароль для доступа к съёмному носителю. Если при первом подключении в этом необходимости нет, то это можно будет сделать потом, через контекстное меню подключенного USB-устройства, выбрав нужный пункт. Если пароль не установить, то информация будет доступна на всех системах, включая те, у которых нет поддержки IEEE 1667, как и в случае c использованием обычного съемного устройства.

Процедура установки пароля, для каких вещей стандартная: ввести пароль, подтвердить его и, при необходимости, ввести слово или фразу, используемую в качестве подсказки. После этого уже можно использовать съемный носитель, доступ к которому осуществляется по паролю. Тут стоит отметить, что система не требует установки сложного пароля.

Заблокировать накопитель можно в ручном режиме, выбрав через контекстное меню подключенного USB-устройства нужный пункт, или это произойдет в автоматическом режиме - при выключении ПК, переходе в спящий режим, отключении накопителя от компьютера, а так же при блокировке компьютера по Ctrl+Alt+Delete. В заблокированном состоянии, данные (как то: размер диска, свободное место, тип файловой системы) не отображаются.

Для Enhanced Storage предусмотрен механизм зашиты от подбора пароля методом грубой силы. Можно ввести не более 50 неверных паролей, после чего возможен только сброс устройства, в ходе которого происходит удаление всех данных и восстановление установленных производителем параметров по умолчанию (происходит очистка установленного пользователем пароля).

Конечно, использование Enhanced Storage не ограничено схемой по установке пароля на съемные устройства с поддержкой IEEE 1667, различные варианты взаимодействия с компьютером можно задать через свои настройки, используя политики безопасности, настройки которых находятся в Конфигурация компьютера \ Административный шаблоны \ Система \ Доступ к устройствам Enhanced Storage.  

Хотя стандарт IEEE 1667 являются новым и последняя спецификация - 1.1 была утверждена только в 2009 году, производители съёмных носителей уже предоставляют на рынок продукцию с поддержкой этого стандарта, и по цене она не отличается от обычных съёмных носителей.   

Тэги: Microsoft, Enhanced Storage, security, безопасность, IEEE 1667, IEEE, флешка, usb flash, съемные носители, защита данных, Windows 7, Windows 2008 R2.