locked
BitLocker - zašifrování USB Flash Drive a síťového disku

    Dotaz

  • Měl bych dvě otázky týkající se technologie BitLocker. Někdo je položil minulý týden na přednášce "MS Security Hardening III" pana Hýzlera, ale bohužel na ně nevyšel čas. Tak to zkusím touto cestou:

     

    1) Je možné zašifrovat pomocí BitLockeru libovolnou USB flash jednotku, kterou naformátuji file systémem NTFS?

    2) Mohu touto technologií technologií zašifrovat data na síťovém sharu?

     

    Díky za odpověď,

     

    Jiří Brejcha

    www.jiribrejcha.net

    24. ledna 2008 21:28

Odpovědi

  • Dobrý den všem,

     

    dovolím si Ondru i Tomáše Pflanzera trochu opravit a doplnit nějaké informace.

    1. Windows Vista RTM samozřejmě umí šifrovat i další disky, jak jsem již zmínil na svém meetingu (http://www.wug.cz/Meetingy/tabid/53/EntryID/113/language/cs-CZ/Default.aspx), jen to nejde přes grafické prostředí a musí se na to použít skript manage_bde.wsf (je součástí Visty). Návod jak na to je v mé prezentaci ve výše uvedeném linku, myslím, že je to 9. slide. Nazapomeňte také na možnost automatického dešifrování dalších partitions (by default je to vypnuto - návod je také v tom slidu).

    SP1 "pouze" přidá možnost nastavení přes grafické prostředí.

     

    2. USB Flash disk také lze zašifrovat. Mám to prakticky vyzkoušeno (samozřejmě, že to musí být jiný disk, než na kterém máte uložený SRK). NTFS podmínka zůstává.

     

    3. Jak už bylo řečeno z principu nelze šifrovat síťový disk (tedy myšleno vzdáleně). Pokud budete mít Windows Server 2008, který vám bude fungovat např. jako File Server, můžete jeho disky zašifrovat pomocí BitLockeru.To by ale mělo význam jedině tam, kde by byl server nedostatečně fyzicky zabezpečen. Nezapomínejte také na to, že ačkoliv BitLocker je poměrně nenáročná technologie na zátěž procesoru a disku u stanice, u zatíženého File serveru to může být zcela jiné. V každém případě po sítí data půjdou nešifrovaně a to i v případě, že použijete EFS.

    V případě síťového disku bych raději se zaměřil na šifrování dat po síti, např. pomocí IPSec.

     

    Jiří Hýzler, MVP Security

     

    28. ledna 2008 13:17

Všechny reakce

  •  

    2) Da se zasifrovat cely sitovy disk pro ochranu dat na potencialne ukradenem serveru, z neho pak sdilet. Po siti je vsak data treba chranit jinym zabezpecenim (IPSec).

     

    To je asi ale neco zcela jineho nez chcete, ze?

     

    Zjednodusene receno: BitLocker zvysuje fyzicke zabezpeceni dat.

     

     

    MP

     

    P.S. Ta cestina. Kdyz zcizuji svuj notebook asi vim jaka data s nim zcizuji - asi ma byt odcizeni Smile

    25. ledna 2008 7:03
    Moderátor
  • Ahoj,

    přesně jak psal Mirek, pomocí BitLockeru můžeš cryptovat pouze fyzický disk.

    (u Vista a W2008 RTM pouze jeden, u SP1 už i více)

    Data na síťovém provozu BitLockerem nezašifruješ, na to potřebuješ IPSEC.

     

    Tomáš Pflanzer

    http://mstom.blogspot.com

    25. ledna 2008 7:46
  • Samozrejme se take da zasifrovat iSCSI disk, ale to uz jsme nekde jinde. Nicmene pokud jste nekdo iscsi nasadil v mnozstvi vetsim nez malem otevrete prosim novy thread, je to zajimave tema!

     

    MP

     

    25. ledna 2008 8:04
    Moderátor
  •  

    Díky za odpověď. U toho sharu mi to bylo víceméně jasné, ale ta flashka mi pořád vrtá hlavou. Když běhěm testování zjistíte něco zajímavého, budu rád, když se podělíte o výsledek
    25. ledna 2008 17:09
  • Milý MP,

    je mi jasné, že toho mnoho víš ve svém oboru. Tak se toho drž. Slovo "zcizení" je  regulérní české slovo. Doufám, že nebudu muset častěji vytahovat pravidla českého pravopisu jenom proto, abych obhájil co napíšu. Radši bych diskutoval  o předmětech zpráv.

    Mimochodem bez hacku a carek to cesky neni vubec.

     

    27. ledna 2008 12:54
  • Dobrý den,

    ad1) ve Vista RTM pouze celý disk, Vista SP1 má rozšířenou podporu šifrování dalších disků, kde by němel být problém s removable storage

    ad2) z podstaty technologie nelze šifrovat síťový disk - od toho tu je EFS.

     

    28. ledna 2008 11:12
  • Dobrý den všem,

     

    dovolím si Ondru i Tomáše Pflanzera trochu opravit a doplnit nějaké informace.

    1. Windows Vista RTM samozřejmě umí šifrovat i další disky, jak jsem již zmínil na svém meetingu (http://www.wug.cz/Meetingy/tabid/53/EntryID/113/language/cs-CZ/Default.aspx), jen to nejde přes grafické prostředí a musí se na to použít skript manage_bde.wsf (je součástí Visty). Návod jak na to je v mé prezentaci ve výše uvedeném linku, myslím, že je to 9. slide. Nazapomeňte také na možnost automatického dešifrování dalších partitions (by default je to vypnuto - návod je také v tom slidu).

    SP1 "pouze" přidá možnost nastavení přes grafické prostředí.

     

    2. USB Flash disk také lze zašifrovat. Mám to prakticky vyzkoušeno (samozřejmě, že to musí být jiný disk, než na kterém máte uložený SRK). NTFS podmínka zůstává.

     

    3. Jak už bylo řečeno z principu nelze šifrovat síťový disk (tedy myšleno vzdáleně). Pokud budete mít Windows Server 2008, který vám bude fungovat např. jako File Server, můžete jeho disky zašifrovat pomocí BitLockeru.To by ale mělo význam jedině tam, kde by byl server nedostatečně fyzicky zabezpečen. Nezapomínejte také na to, že ačkoliv BitLocker je poměrně nenáročná technologie na zátěž procesoru a disku u stanice, u zatíženého File serveru to může být zcela jiné. V každém případě po sítí data půjdou nešifrovaně a to i v případě, že použijete EFS.

    V případě síťového disku bych raději se zaměřil na šifrování dat po síti, např. pomocí IPSec.

     

    Jiří Hýzler, MVP Security

     

    28. ledna 2008 13:17
  • Ahoj Jirko,
    jen si dovolím poupravit tvůj překlep, skript pro správu BitLockeru ve Windows Vista se jmenuje "manage-bde.wsf".

     

    Mějte se.

    Tomáš Pflanzer

    http://mstom.blogspot.com/

     

    28. ledna 2008 14:45
  • čau Jirko, na šifrování flashdisků slouží přece bitlocker to-go který je novinkou ve windows 7 ;)

    edit: teď koukám že to je dost stará diskuze takže je to trochu už mimo :)


    michal zobec http://www.michalzobec.cz | http://www.virtualnipc.cz

    27. března 2010 11:51