Как защитить секреты? Обзор InfoWatch CryptoStorage

22 Января 2010
Современные подходы к защите информации предполагают не только разграничение доступа на уровне связки "логин-пароль" при загрузке операционной системы, но и при помощи специальных инструментов для шифрования дисков. Одной из таких программ является продукт InfoWatch CryptoStorage, который издается в Росии под маркой «1С:Дистрибьюция»

Современные подходы к защите информации предполагают не только разграничение доступа на уровне связки "логин-пароль" при загрузке операционной системы, но и при помощи специальных инструментов для шифрования дисков. Одной из таких программ является продукт InfoWatch CryptoStorage, который издается в Росии под маркой "1С:Дистрибьюция"

Классические инструменты для шифрования дисков обычно представляют собой приложения, загружающие специальный драйвер/системную службу, которая "перехватывает" все обращения ввода/вывода данных на диске. Соответственно, если при перехвате выясняется, что у данного пользователя нет прав, например, на чтение информации, доступ к накопителю блокируется. Однако, подобные решения уязвимы перед возможностями обхода этой проверки за счет выгрузки службы из оперативной памяти или подмены самого запроса. В итоге в современных криптографических программах защита от несанкционированного доступа реализована так, что неавторизованный пользователь вообще не может видеть зашифрованный диск. Иными словами, при подключении его в систему отображается уведомление о том, что он не отформатирован. Проведение операции по форматированию по неопытности/неаккуратности в этом случае приведет к полному уничтожению данных, что и требуется для обеспечения их строгой конфиденциальности.

Продукт InfoWatch CryptoStorage представляет собой современное поколение криптографических инструментов для использования как в домашних условиях, так и в офисе. Его принцип работы в определенном смысле напоминает встроенный в только корпоративные версии Windows Vista/7 инструмент BitLocker/BitLocker To Go, позволяющий зашифровать как жесткие диски, так и съемные накопители (флешки, карты памяти, внешние винчестеры). Работать с защищенными дисками/папками может только или их владелец, или уполномоченные лица, которым он даст соответствующие права доступа. Все стандартные операции, поддерживаемые Windows, выполняются точно так же, как и с незашифрованными объектами файловой системы.

Начало защиты

После окончания работы инсталлятора и перезагрузки компьютера основные действия пользователя сводятся к установке защиты на тот или иной диск или папку на диске. Сделать это можно через контекстное меню, в которое встраивается дополнительный пункт - InfoWatch CryptoStorage (в зависимости от контекста в нем выводится несколько команд). Пользователь выбирает "Установить защиту на диск", после чего переносится в окно добавления владельца носителя, где указывается путь до диска и пароль доступа. По нажатию на кнопку "ОК" запустится процесс шифрования находящихся на нем файлов и папок - следить за ним можно по счетчику, который показывает приблизительное время, оставшееся до конца выполнения операции. В нашем случае для зашифровки логического раздела размером 6.3 Гб потребовалось чуть больше 20 минут. В ходе создания зашифрованного диска компьютером можно пользоваться, поскольку эта операция идет в фоновом режиме. По окончании процесса шифрования диск или папка станут защищенными и будут автоматически подключены к системе.

InfoWatch CryptoStorage поддерживает защиту файлов и папок, записанных только в файловой системе NTFS и не динамических дисков в FAT32/NTFS; в свою очередь, накопители с EFS (штатный вариант защиты в Windows) не могут использоваться для этих целей. Также невозможно установить защиту на системные файлы, включая части пользовательского профиля. В этом случае для защиты доступа целесообразно зашифровать весь системный диск. В этом случае при загрузке Windows пользователю нужно будет вводить логин и пароль. Подобная защита также предусматривает авторизацию пользователя и при выходе из "спящего" и "ждущего" режима.

В случае с шифрованием файлов создаются так называемые "контейнеры", в которые могут помещаться соответствующие объекты, которые необходимо защитить. Они могут быть как строго фиксированного размера, так и динамически увеличиваться при копировании (для этого нужно выбрать "разреженный тип"). В системе зашифрованный контейнер отображается как файл с расширением .cspc.

Состояние защиты

InfoWatch CryptoStorage позволяет прерывать на любом этапе процесс установки защиты на папку или диск, переустанавливать саму защиту и полностью снимать ее с зашифрованного объекта. Рассмотрим основные аспекты при выполнении этих трех процедур. В случае с шифрованием дисков (как физических, так и логических) процесс установки защиты может быть остановлен или приостановлен в любое время – и в том, и в другом случае носитель будет считаться зашифрованным и для дальнейшей работы с ним его придется подключать через интерфейс InfoWatch CryptoStorage. Приостановка/остановка процедуры шифрования может выполняться или вручную по прямому действию пользователя, так и автоматически – например, при переходе компьютера в режимы гибернации или ожидания, а также при внезапном отключении электричества. В случае приостановки создания защищенной папки ее содержимое, не получившее защиту, остается в специальных временных каталогах, откуда должно быть в дальнейшем скопировано для продолжения процесса шифровки. Поскольку таких объектов может быть много и пользователь может запутаться при копировании, временные папки получают имена по специальному шаблону, позволяющему определить последовательность выполнения операций над ними.

Полностью удалить шифрование с диска может только владелец этого накопителя, выбрав в контекстном меню пункт "Отмена установки защиты с диска". Также, как и в случае с шифрованием эта операция проводится в фоне, поэтому никак не влияет на быстродействие компьютера. Диск размером 6.23 Гб мы дешифровали примерно 15 минут.

Под переустановкой защиты понимается операция обновления внутренней информации, связанной с правами доступа к диску/папке. Ее необходимо проводить, например, в случае удаления пользователя из списка доступа, поскольку у него может остаться информация для подключения носителя.

Работа с защищенными дисками/папками

После установки шифрования, подключения соответствующих объектов файловой системы и прохождения авторизации пользователь может выполнять все стандартные операции, поддерживаемые Windows по отношению к файлам/папкам/дискам. Они выполняются в полностью прозрачном режиме, не выводя пользователю уведомлений о вводе пароля и так далее. При этом копирование защищенных папок и контейнеров производится как в рамках зашифрованных носителей, так и на обычные диски (тогда информация становится незащищенной). Можно заблокировать операции удаления или перемещения зашифрованных объектов в рамках самого зашифрованного диска. Незащищенные папки, тем не менее, можно удалять через выбор специальной команды в контекстном меню – в этом случае они будут стерты из файловой системы гарантированно безвозвратно.

Владелец созданной папки/диска вправе назначить права доступа к защищенному объекту. Они упорядочиваются в иерархическом порядке, то есть, определенные учетные записи могут иметь доступ к корневой папке и всем подпапкам или только к подпапкам. Критически важные операции (снятие или переустановка защиты, например) может выполнять исключительно владелец.

Все производимые с объектами файловой системы и дисками процедуры проводятся при наличии запущенных служб InfoWatch CryptoStorage. По умолчанию активны защита логических дисков (позволяет работать с разделами винчестеров и съемными USB-накопителями; включена всегда, если защищен системный раздел), защищенные контейнеры и защищенная файловая система (для папок и файлов). Деактивация любого из этих компонентов приведет к тому, что зашифрованный объект не будет корректно опознаваться системой, а защищенные файлы и папки могут быть удалены любым пользователем. Деинсталляция InfoWatch CryptoStorage при наличии соответствующих установок защиты приведет к неработоспособности соответствующих разделов и возможной потере информации (вследствие форматирования).

В составе InfoWatch CryptoStorage присутствует и специальный инструмент для восстановления дисков. Ее назначение состоит в том, чтобы освободить пространство на дисках, которое занято защищенными разделами, доступа к которым уже нет. Иными словами, эта утилита удаляет из системы сведения о том, что они были защищены.

Выводы

InfoWatch CryptoStorage представляет собой удобную альтернативу штатным средствам криптографии в составе современных ОС Windows, работающую по более понятному принципу и быстрее (BitLocker зашифровывает системный раздел медленнее примерно на 5-6 минут), и надежнее. Простой интерфейс и подробное руководство пользователя позволяют за считанные секунды разобраться в функциях программы и защитить информацию.

InfoWatch CryptoStorage позволяет установить приложение, как для обычных 32-битных систем, так и для 64-битных. В списке поддерживаемых операционных систем присутствует и Windows 7. Купить InfoWatch CryptoStorage можно приобрести в сети партнеров фирмы "1Софт".

Павел Шубин

Все права защищены. По вопросам использования статьи обращайтесь на 1csoft@1cnw.ru

Короткая ссылка на новость: http://un-ltd.ru/~Nr8wu