Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Шифрование рабочих станций и серверов Windows с помощью BitLocker

Цель: защитить конфиденциальные данные от несанкционированного доступа при утере/краже устройств или физическом доступе к ним.

BitLocker это технология шифрования дисков, являющаяся частью операционных систем Windows.

BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM), который является общим аппаратным компонентом, установленным на устройствах Windows. TPM работает с BitLocker, чтобы убедиться, что устройство не было изменено, пока система находится в автономном режиме.

Помимо доверенного платформенного модуля BitLocker может блокировать обычный процесс запуска, пока пользователь не вставляет личный идентификационный номер (ПИН-код) или не вставляет съемные устройства, содержащие ключ запуска. Эти меры безопасности обеспечивают многофакторную проверку подлинности и гарантию того, что устройство не сможет запустить или возобновить режим гибернации до тех пор, пока не будет представлен правильный ПИН-код или ключ запуска.

На устройствах без доверенного платформенного модуля BitLocker по-прежнему можно использовать для шифрования диска операционной системы. Эта реализация требует, чтобы пользователь:
  • используйте ключ запуска, который представляет собой файл, хранящийся на съемном диске, который используется для запуска устройства, или при возобновлении режима гибернации
  • используйте пароль. Этот параметр не является безопасным, так как он подвержен атакам методом подбора, так как логика блокировки паролей отсутствует. Таким образом, параметр пароля не рекомендуется и отключен по умолчанию.
Оба варианта не обеспечивают предварительную проверку целостности системы, предлагаемую BitLocker с доверенным платформенный платформенный модуль.

Для того чтобы выяснить на каких доменных хостах проведено шифрование с помощью Bitlocker можно воспользоваться скриптом по сбору свидетельств
ℹ️ Скрипт работает при запуске только от привелигированных доменных учетных записей.

Рекомендации к заполнению карточки:
  • Описать политику использования BitLocker, на каких устройствах проводится шифрование, какая определена процедура восстановления данных.
  • Если для шифрования рабочих станций и серверов используются различные процедуры, если шифрованием покрыты не все устройства можно сделать несколько мер под каждую область применения.
Область действия: Вся организация
Классификация
Тип
Техническая ?
Превентивная ?
Реализация
Автоматически
Периодичность
Постоянно
Ответственный
Не определено
Инструменты
Не определено

Исполнение требований

CIS Critical Security Controls v8.1 (The 18 CIS CSC):
3.11
3.11 Encrypt Sensitive Data at Rest
Encrypt sensitive data at rest on servers, applications, and databases. Storage-layer encryption, also known as server-side encryption, meets the minimum requirement of this Safeguard. Additional encryption methods may include application-layer encryption, also known as client-side encryption, where access to the data storage device(s) does not permit access to the plain-text data. 
NIST Cybersecurity Framework (RU):
PR.DS-1
PR.DS-1: Защищены данные находящиеся в состоянии покоя 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗНИ.4 ЗНИ.4 Исключение возможности несанкционированного ознакомления с содержанием персональных данных,хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
3.6
3.6 Реализовано шифрование данных на устройствах конечных пользователей
Примеры решений: Windows BitLocker​, Apple FileVault​, Linux​ dm-crypt.
3.11
3.11 Реализовано шифрование чувствительных данных при хранении
Шифрование используется на серверах, в прикладном ПО и базах данных с конфиденциальными данными.
Как минимум, используется шифрование на стороне сервера (SSE).
Дополнительно может использоваться шифрование на стороне клиента.
Guideline for a healthy information system v.2.0 (EN):
31 STANDARD
/STANDARD
Frequent journeys in a professional context and the miniaturisation of IT hardware often lead to their loss or theft in a public space. This may put the sensitive data of the organization which is stored on it at risk. 

Therefore, on all mobile hardware (laptops, smartphones, USB keys, external hard drives, etc.), only data that has already been encrypted must be stored, in order to maintain its confidentiality. Only confidential information (password, smart card, PIN code, etc.) will allow the person who has it to access this data. 

A partition, archive or file encryption solution may be considered depending on the needs. Here, once again, it is essential to ensure the uniqueness and robustness of the decryption method used. 

As far as possible, it is advisable to start by a complete disk encryption before considering archive and file encryption. These last two respond to different needs and can potentially leave the data storage medium unencrypted (backup files from office suites for example). 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.6 CSC 13.6 Encrypt Mobile Device Data
Utilize approved cryptographic mechanisms to protect enterprise data stored on all mobile devices.
CSC 14.8 CSC 14.8 Encrypt Sensitive Information at Rest
Encrypt all sensitive information at rest using a tool that requires a secondary authentication mechanism not integrated into the operating system, in order to access the information.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗНИ.4 ЗНИ.4 Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.33
А.5.33 Защита записей
Записи должны быть защищены от потери, уничтожения, подделки, несанкционированных доступа и опубликования.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗНИ.4 ЗНИ.4 Исключение возможности несанкционированного чтения информации на машинных носителях информации
NIST Cybersecurity Framework (EN):
PR.DS-1 PR.DS-1: Data-at-rest is protected
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗНИ.4 ЗНИ.4 Исключение возможности несанкционированного чтения информации на машинных носителях информации
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.33
А.5.33 Protection of records
Records shall be protected from loss, destruction, falsification, unauthorized access and unauthorized release.

Заметки

1
3 недели назад

Скрипт для проверки работы BitLocker на доменных хостах

Param(
    [string]$csvfile = "$PSScriptRoot\computers.csv"
)

Write-Host 'Ищем в Active Directory компьютеры с Bitlocker...'

$BLs = Get-ADObject -Filter {objectclass -eq 'msFVE-RecoveryInformation'} -Properties CanonicalName,DistinguishedName
If ($BLs.DistinguishedName.Count -eq 0) {
    Write-Warning -Message 'Запрос компьютеров с BitLocker вернул 0 значений. Проверьте, что текущая учетная запись имеет права администратора домена.'
    Exit 1
}

$PCs = @{}

$BLs | ForEach-Object {
    $CN = $_.CanonicalName -replace '/[^/]+$',''
    $DN = $_.DistinguishedName -replace '^CN=[^,]+,',''
    $Name = ($CN -split '/')[-1]

    $PCs.$Name = @{
        CanonicalName = $CN
        DistinguishedName = $DN
        BitLocker = $true
    }
}

Write-Host 'Выгружаем из Active Directory остальные компьютеры...'

Get-ADComputer -Filter * -Properties Name,CanonicalName,DistinguishedName,Enabled | ForEach-Object {
    $Name = $_.Name
    If (-not $PCs.$Name) {$PCs.$Name = @{}}

    $PCs.$Name.CanonicalName = $_.CanonicalName
    $PCs.$Name.DistinguishedName = $_.DistinguishedName
    $PCs.$Name.Enabled = $_.Enabled
    If (-not $PCs.$Name.BitLocker) {$PCs.$Name.BitLocker = $false} } $PCs.Keys | Sort-Object | ForEach-Object { $Name = $_ $out = '' | Select-Object -Property Name,CanonicalName,DistinguishedName,BitLocker,Enabled $out.Name = $Name $out.CanonicalName = $PCs.$Name.CanonicalName $out.DistinguishedName = $PCs.$Name.DistinguishedName $out.BitLocker = $PCs.$Name.BitLocker $out.Enabled = $PCs.$Name.Enabled $out } | Export-Csv -LiteralPath $csvfile -Encoding UTF8 -NoTypeInformation -UseCulture Write-Host "Всего компьютеров: $($PCs.Count)" -ForegroundColor Green Write-Host "Из них с BitLocker: $($BLs.DistinguishedName.Count)" -ForegroundColor Green Write-Host "CSV файл с результатами: $csvfile" -ForegroundColor Cyan


Для просмотра файла необходимо авторизоваться!

Результат работы скрипта BitLocker.png

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.