W zależności od rodzaju sprzętu mamy różne możliwości jego zabezpieczenia. W zasadzie każdy producent nam je daje.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Rozpoczynając pracę na nowym komputerze zainstalujmy na nim nie tylko nowy system, ale również oprogramowanie antywirusowe, program do przygotowywania dokumentów, itp. Pamiętajmy, że podstawową formą zabezpieczenia jest ustawienie hasła dla każdego użytkownika komputera i nadanie odpowiednich uprawnień. Producenci systemów operacyjnych już od wielu lat implementują w swoich środowiskach narzędzia, które z pełną dowolnością pozwalają kreować uprawnienia do poszczególnych zasobów. Producenci sprzętu wprowadzają coraz to nowe mechanizmy uwierzytelniania użytkownika. W komputerach przenośnych coraz częściej spotykamy skaneryi linii papilarnych, które pozwalają na zalogowanie tylko użytkownikowi, którego „odcisk palca” został wcześniej wprowadzony do bazy programu. W nowych telefonach możemy zainstalować działające na takiej samej zasadzie dodatkowe oprogramowanie. Należy być jednak ostrożnym bo, niestety, nie zawsze aplikacje są na tyle dopracowane by działać w pełni poprawnie.
Szyfrowanie komputera z systemem Windows
Programy szyfrujące są już w wielu rozwiązaniach standardem. Firma Microsoft od systemu Windows Vista Ultimate i Enterprise (Windows 7 Ultimate i Enterprise, Windows 8, 8.1 Professional, Enterprise) pozwala nam zaszyfrować dysk programem BitLocker. Niestety, aplikacja nie jest dostępna w wersjach Home. Aby uruchomić BitLockera potrzebujemy komputera, na którym da się zainstalować jeden z wymienionych powyżej systemów Windows. Poza tym przyda się układ TPM, w wersji 1.2. lub BIOS zgodny z TCG (Trusted Computing Group). Na dysku powinniśmy posiadać dwie partycje NTFS, w tym jedną przynajmniej 1,5 GB, ustawioną jako aktywną (bootowalną). Ustawienia BIOS-u zmieniamy tak (dopiero po instalacji systemu), aby pierwszym bootowanym nośnikiem był pierwszy twardy dysk.
Czym jest moduł TPM i do czego służy?
Pod skrótem TPM kryje się sprzętowy mechanizm kryptograficzny wbudowany w płytę główną. Głównym założeniem przyświecającym twórcom TPM było wbudowanie takiego modułu kryptograficznego, w którym niemożliwe byłoby dokonywanie zmian w kluczach lub algorytmach. Aktualnie platformę TPM produkuje kilku wytwórców, ale w swoje płyty główne wbudowują ją praktycznie wszyscy liczący się producenci. Układ TPM obsługuje zaawansowane algorytmy kryptograficzne (np. AES, RSA, SHA1, HMAC), wyposażony jest w generator liczb losowych, a przede wszystkim potrafi obliczyć sumę kontrolną wykonywanego przez procesor kodu. Jest to bardzo przydatne w generowaniu swoistych zapytań o poprawność kodu dostarczonego do procesora. Wystarczy sumę kontrolną porównać z jakimś wzorcem. Na tej podstawie możemy ocenić, czy kod nie został gdzieś „po drodze” zmodyfikowany, np. przez jakiś złośliwy program (np. exploit). Dodatkowo, każdy pojedynczy układ TPM można jednoznacznie zidentyfikować, co powoduje, że podmienienie go innym zostanie od razu wykryte.
Ważne jest, że praca TPM rozpoczyna się na bardzo wczesnym etapie bootowania się komputera. Umożliwia to kontrolowanie nawet kodu BIOS-u. Chociaż pełna funkcjonalność platformy nie jest dziś w pełni wykorzystywana, w przyszłości może okazać się bardzo użyteczna, np. w wykrywaniu szkodliwego oprogramowania.
Po zaszyfrowaniu będzie wymagane wprowadzenie hasła do danej partycji dysku. Jeżeli zaszyfrujemy partycję z systemem operacyjnym, hasło będzie wymagane zaraz po uruchomieniu komputera, przy każdej ingerencji w sprzęt bądź ustawienia BIOSu. W przypadku niewpisania lub błędnego wpisania hasła funkcja BitLocker zablokuje dostęp do dysku. Aby goodblokować będzie niezbędny specjalny kod. Nawet podczas pracy w plikach umieszczonych na zaszyfrowanej partycji funkcja BitLockera utrudnia dostęp potencjalnym „włamywaczom”. Każdy nowy plik zapisywany na naszym dysku zostanie automatycznie zaszyfrowany.
Migracje, chmury, systemy.
RODO w IT.
Szyfrowanie programem BitLocker
- W BIOS-ie naszego komputera uruchamiamy funkcję TPM.
- Po uruchomieniu systemu otwieramy okno Szyfrowanie dysków funkcją BitLocker, klikając przycisk Startà Panel sterowania i pozycję Szyfrowanie dysków funkcją BitLocker.
- Klikamy przycisk Włącz funkcję BitLocker na wybranym dysku. Zostanie uruchomiony Kreator instalacji funkcji BitLocker. Jeśli zostanie wyświetlony monit o hasło administratora lub potwierdzenie, wpisujemy hasło lub potwierdzamy.
- Wprowadzamy hasło lub wybieramy jedną z dostępnych opcji
- Zapisujemy klucz odzyskiwania, najlepiej na oddzielnym nośniku
- Rozpoczynamy szyfrowanie
- Podczas szyfrowania na ekranie wyświetlane będzie okienko z postępem procesu
- Warto pamiętać, że po zaszyfrowaniu działanie funkcji można w dowolnym momencie wstrzymać lub całkiem wyłączyć.
Producent daje nam również możliwość uruchomienia szyfrowania bez modułu TPM. Musimy być zalogowani jako administrator i mieć przynajmniej jeden flash-dysk USB do przechowywania hasła rozruchowego i hasła odzyskiwania. Najlepiej przechowywać te dwa hasła osobno, na oddzielnych pamięciach USB.
Klikamy Start, a w polu wyszukiwania wpisujemy gpedit.msc, naciskamy Enter. Może pojawić się okno Kontroli Konta Użytkownika, akceptujemy wymagane w nim ustawienia. W oknie Zasady Grupy wybieramy Konfiguracja komputera, następnie Szablony Administracyjne i Składniki systemu Windows. Teraz klikamy Szyfrowanie dysków BitLocker. Wybieramy Dyski systemu operacyjnego à Wymagaj dodatkowego uwierzytelniania przy uruchomieniu zaznaczamy Włączone. Zaznaczamy Zezwalaj na uruchamianie bez kompatybilnej TPM i klikamy OK. Teraz w polu wyszukiwania wpisujemy gpupdate i z tak zmienionymi zasadami grupy możemy przystąpić do konfiguracji BitLockera.
Otwieramy Panel sterowania i klikamy Szyfrowanie dysków funkcją BitLocker. Jeżeli pojawi się okno Kontroli Konta Użytkownika, akceptujemy podjęte działania. W oknie BitLockera klikamy Włącz BitLocker na dysku systemowym. Teraz w oknie Ustawienia startowe wybierzmy Wymagaj klucza USB przy każdym rozruchu. Podłączamy dysk USB, na którym przechowywać będziemy hasło rozruchowe i w oknie dialogowym Zapisz swój klucz rozruchowy wybieramy nasz pendrive. Klikamy Zapisz. Hasło odzyskiwania zapisujemy analogicznie jak w kroku drugim. Identycznie postępujemy też, aby zaszyfrować wolumin. Jedyną zmianą w porównaniu do systemu wyposażonego w TPM jest fakt, że przy każdym włączeniu komputera musimy podłączyć flash-dysk zawierający hasło rozruchowe.
DPIA i analiza ryzyka.
Jak to zrobić?
TrueCrypt
Jeszcze do niedawna było to jedno z najpopularniejszych rozwiązań szyfrujących – darmowe i skuteczne. Na temat obsługi TrueCrypt możemy znaleźć wiele ogólnodostępnych poradników, w których użytkownicy szczegółowo opisują sposób szyfrowania. W związku z tym nie będziemy już tego powielać, a w zamian wskażemy kilka przydatnych linków:
- http://www.mmgosi.ovh.org/truecrypt/TrueCrypt%20-%20tutorial%20czI.pdf
- https://spin.sggw.pl/files/truecrypt.doc
- http://skaruz.com/2012/05/szyfrowanie-pendrive-jak-zabezpieczyc-pendrive-haslem/
Niestety, niedawno na oficjalnej stronie TrueCrypt pojawiła się niepokojąca informacja o tym, że program może być niebezpieczny i nie zaleca się pobierania jego najnowszej wersji. Co więcej, wcześniejsze wersje zostały ze strony usunięte. Na teraz trudno nam to jednoznacznie zinterpretować…
Rozwiązania płatne
Jednym z producentów oprogramowania szyfrującego jest Symantec – twórca jednego z najpopularniejszych programów antywirusowych. Jak chwali się producent, dzięki zastosowaniu jego rozwiązań zyskujemy oprogramowanie, które da się szybko wdrożyć na praktycznie wszystkich środowiskach systemowych. Oprogramowanie posiada prosty w zarządzaniu interfejs centralny, silne szyfrowanie i pełną skalowalność. Aby uprościć obsługę, w pakiecie Symantec Endpoint Encryption wprowadzono rozszerzone narzędzia do odtwarzania dysków, ułatwiające administratorom uzyskiwanie dostępu do komputera i konfigurowanie praw użytkowania wspomagających ochronę poufnych danych. Usprawniono także szyfrowanie na wymiennych nośnikach danych.
Oprogramowanie Symantec Endpoint Encryption zwiększa bezpieczeństwo danych na nośnikach przenośnych, umożliwiając między innymi tworzenie samorozpakowujących się plików archiwalnych. Do kontroli dostępu do zaszyfrowanych danych w określonej grupie użytkowników można także użyć certyfikatów użytkowników. Pakiet Symantec Endpoint Encryption zawiera funkcje tworzenia raportów pokontrolnych, pomocnych w spełnieniu wymogów określonych w przepisach. Dzięki temu można wykazać stosowanie szyfrowania i uniknąć obowiązku ujawnienia danych, udostępniając w zamian pełne zapisy kontrolne w zgodzie z polityką bezpieczeństwa obowiązującą w firmie, przy jednoczesnym zmniejszeniu ryzyka utraty danych.
W celu lepszego dostosowania do indywidualnych potrzeb klienta produkt Symantec Endpoint Encryption jest dostępny w trzech wersjach: Symantec Endpoint Encryption (zawiera Full Disk Edition oraz Removable Storage Edition), Symantec Endpoint Encryption – Full Disk Edition oraz Symantec Endpoint Encryption – Removable Storage Edition. Więcej informacji można znaleźć na stronie: http://www.symantec.com/en/uk/business/endpoint-encryption.
Opracowanie: Marcin Kujawa, specjalista ds. bezpieczeństwa informacji