Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Шифрование рабочих станций и серверов Windows с помощью BitLocker

1 2 15

Цель: защитить конфиденциальные данные от несанкционированного доступа при утере/краже устройств или физическом доступе к ним.

BitLocker это технология шифрования дисков, являющаяся частью операционных систем Windows.

BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM), который является общим аппаратным компонентом, установленным на устройствах Windows. TPM работает с BitLocker, чтобы убедиться, что устройство не было изменено, пока система находится в автономном режиме.

Помимо доверенного платформенного модуля BitLocker может блокировать обычный процесс запуска, пока пользователь не вставляет личный идентификационный номер (ПИН-код) или не вставляет съемные устройства, содержащие ключ запуска. Эти меры безопасности обеспечивают многофакторную проверку подлинности и гарантию того, что устройство не сможет запустить или возобновить режим гибернации до тех пор, пока не будет представлен правильный ПИН-код или ключ запуска.

На устройствах без доверенного платформенного модуля BitLocker по-прежнему можно использовать для шифрования диска операционной системы. Эта реализация требует, чтобы пользователь:

используйте ключ запуска, который представляет собой файл, хранящийся на съемном диске, который используется для запуска устройства, или при возобновлении режима гибернации
используйте пароль. Этот параметр не является безопасным, так как он подвержен атакам методом подбора, так как логика блокировки паролей отсутствует. Таким образом, параметр пароля не рекомендуется и отключен по умолчанию.

Оба варианта не обеспечивают предварительную проверку целостности системы, предлагаемую BitLocker с доверенным платформенный платформенный модуль.

Для того чтобы выяснить на каких доменных хостах проведено шифрование с помощью Bitlocker можно воспользоваться скриптом по сбору свидетельств
ℹ️ Скрипт работает при запуске только от привелигированных доменных учетных записей.

Рекомендации к заполнению карточки:

Описать политику использования BitLocker, на каких устройствах проводится шифрование, какая определена процедура восстановления данных.
Если для шифрования рабочих станций и серверов используются различные процедуры, если шифрованием покрыты не все устройства можно сделать несколько мер под каждую область применения.

Область действия: Вся организация

Классификация

Тип

Техническая

Превентивная

Реализация

Автоматически

Периодичность

Постоянно

Ответственный

Не определено

Инструменты

Не определено

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Отсутствует
OPEX ^?	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Отсутствует

Связанные риски

Риск	Связи
Хищение данных, хранящихся на ПК из-за загрузки операционной системы с съемного носителя в компьютере Конфиденциальность Раскрытие информации	3
Хищение данных, хранящихся на ПК из-за возможности изъятия жесткого диска в компьютере Конфиденциальность Раскрытие информации	2

Заметки

SECURITM

1 год назад

Community

Скрипт для проверки работы BitLocker на доменных хостах

Param(
    [string]$csvfile = "$PSScriptRoot\computers.csv"
)

Write-Host 'Ищем в Active Directory компьютеры с Bitlocker...'

$BLs = Get-ADObject -Filter {objectclass -eq 'msFVE-RecoveryInformation'} -Properties CanonicalName,DistinguishedName
If ($BLs.DistinguishedName.Count -eq 0) {
    Write-Warning -Message 'Запрос компьютеров с BitLocker вернул 0 значений. Проверьте, что текущая учетная запись имеет права администратора домена.'
    Exit 1
}

$PCs = @{}

$BLs | ForEach-Object {
    $CN = $_.CanonicalName -replace '/[^/]+$',''
    $DN = $_.DistinguishedName -replace '^CN=[^,]+,',''
    $Name = ($CN -split '/')[-1]

    $PCs.$Name = @{
        CanonicalName = $CN
        DistinguishedName = $DN
        BitLocker = $true
    }
}

Write-Host 'Выгружаем из Active Directory остальные компьютеры...'

Get-ADComputer -Filter * -Properties Name,CanonicalName,DistinguishedName,Enabled | ForEach-Object {
    $Name = $_.Name
    If (-not $PCs.$Name) {$PCs.$Name = @{}}

    $PCs.$Name.CanonicalName = $_.CanonicalName
    $PCs.$Name.DistinguishedName = $_.DistinguishedName
    $PCs.$Name.Enabled = $_.Enabled
    If (-not $PCs.$Name.BitLocker) {$PCs.$Name.BitLocker = $false}
}

$PCs.Keys | Sort-Object | ForEach-Object {
    $Name = $_
    $out = '' | Select-Object -Property Name,CanonicalName,DistinguishedName,BitLocker,Enabled
    $out.Name = $Name
    $out.CanonicalName = $PCs.$Name.CanonicalName
    $out.DistinguishedName = $PCs.$Name.DistinguishedName
    $out.BitLocker = $PCs.$Name.BitLocker
    $out.Enabled = $PCs.$Name.Enabled
    $out
} | Export-Csv -LiteralPath $csvfile -Encoding UTF8 -NoTypeInformation -UseCulture

Write-Host "Всего компьютеров: $($PCs.Count)" -ForegroundColor Green
Write-Host "Из них с BitLocker: $($BLs.DistinguishedName.Count)" -ForegroundColor Green
Write-Host "CSV файл с результатами: $csvfile" -ForegroundColor Cyan

Для просмотра файла необходимо авторизоваться!

Результат работы скрипта BitLocker.png

Для просмотра файла необходимо авторизоваться!

get-bitlocker-ad.ps1

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.