Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Шифрование рабочих станций и серверов Windows с помощью BitLocker

Цель: защитить конфиденциальные данные от несанкционированного доступа при утере/краже устройств или физическом доступе к ним.

BitLocker это технология шифрования дисков, являющаяся частью операционных систем Windows.

BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM), который является общим аппаратным компонентом, установленным на устройствах Windows. TPM работает с BitLocker, чтобы убедиться, что устройство не было изменено, пока система находится в автономном режиме.

Помимо доверенного платформенного модуля BitLocker может блокировать обычный процесс запуска, пока пользователь не вставляет личный идентификационный номер (ПИН-код) или не вставляет съемные устройства, содержащие ключ запуска. Эти меры безопасности обеспечивают многофакторную проверку подлинности и гарантию того, что устройство не сможет запустить или возобновить режим гибернации до тех пор, пока не будет представлен правильный ПИН-код или ключ запуска.

На устройствах без доверенного платформенного модуля BitLocker по-прежнему можно использовать для шифрования диска операционной системы. Эта реализация требует, чтобы пользователь:
  • используйте ключ запуска, который представляет собой файл, хранящийся на съемном диске, который используется для запуска устройства, или при возобновлении режима гибернации
  • используйте пароль. Этот параметр не является безопасным, так как он подвержен атакам методом подбора, так как логика блокировки паролей отсутствует. Таким образом, параметр пароля не рекомендуется и отключен по умолчанию.
Оба варианта не обеспечивают предварительную проверку целостности системы, предлагаемую BitLocker с доверенным платформенный платформенный модуль.

Для того чтобы выяснить на каких доменных хостах проведено шифрование с помощью Bitlocker можно воспользоваться скриптом по сбору свидетельств
ℹ️ Скрипт работает при запуске только от привелигированных доменных учетных записей.

Рекомендации к заполнению карточки:
  • Описать политику использования BitLocker, на каких устройствах проводится шифрование, какая определена процедура восстановления данных.
  • Если для шифрования рабочих станций и серверов используются различные процедуры, если шифрованием покрыты не все устройства можно сделать несколько мер под каждую область применения.
Область действия: Вся организация
Классификация
Тип
Техническая ?
Превентивная ?
Реализация
Автоматически
Периодичность
Постоянно
Ответственный
Не определено
Инструменты
Не определено

Ресурсная оценка

Качественная оценка

Количественная оценка

Итоговая оценка

Стоимость

Трудозатраты

Сложность

Стоимость, тыс. руб

Трудозатраты, дней/ год

CAPEX

?
Неизвестно
Неизвестно
Неизвестно
Неизвестно
Неизвестно
Отсутствует

OPEX

?
Неизвестно
Неизвестно
Неизвестно
Неизвестно
Неизвестно

Заметки

1
5 месяцев назад

Скрипт для проверки работы BitLocker на доменных хостах

Param(
    [string]$csvfile = "$PSScriptRoot\computers.csv"
)

Write-Host 'Ищем в Active Directory компьютеры с Bitlocker...'

$BLs = Get-ADObject -Filter {objectclass -eq 'msFVE-RecoveryInformation'} -Properties CanonicalName,DistinguishedName
If ($BLs.DistinguishedName.Count -eq 0) {
    Write-Warning -Message 'Запрос компьютеров с BitLocker вернул 0 значений. Проверьте, что текущая учетная запись имеет права администратора домена.'
    Exit 1
}

$PCs = @{}

$BLs | ForEach-Object {
    $CN = $_.CanonicalName -replace '/[^/]+$',''
    $DN = $_.DistinguishedName -replace '^CN=[^,]+,',''
    $Name = ($CN -split '/')[-1]

    $PCs.$Name = @{
        CanonicalName = $CN
        DistinguishedName = $DN
        BitLocker = $true
    }
}

Write-Host 'Выгружаем из Active Directory остальные компьютеры...'

Get-ADComputer -Filter * -Properties Name,CanonicalName,DistinguishedName,Enabled | ForEach-Object {
    $Name = $_.Name
    If (-not $PCs.$Name) {$PCs.$Name = @{}}

    $PCs.$Name.CanonicalName = $_.CanonicalName
    $PCs.$Name.DistinguishedName = $_.DistinguishedName
    $PCs.$Name.Enabled = $_.Enabled
    If (-not $PCs.$Name.BitLocker) {$PCs.$Name.BitLocker = $false} } $PCs.Keys | Sort-Object | ForEach-Object { $Name = $_ $out = '' | Select-Object -Property Name,CanonicalName,DistinguishedName,BitLocker,Enabled $out.Name = $Name $out.CanonicalName = $PCs.$Name.CanonicalName $out.DistinguishedName = $PCs.$Name.DistinguishedName $out.BitLocker = $PCs.$Name.BitLocker $out.Enabled = $PCs.$Name.Enabled $out } | Export-Csv -LiteralPath $csvfile -Encoding UTF8 -NoTypeInformation -UseCulture Write-Host "Всего компьютеров: $($PCs.Count)" -ForegroundColor Green Write-Host "Из них с BitLocker: $($BLs.DistinguishedName.Count)" -ForegroundColor Green Write-Host "CSV файл с результатами: $csvfile" -ForegroundColor Cyan


Для просмотра файла необходимо авторизоваться!

Результат работы скрипта BitLocker.png

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.