Организация защищенного рабочего места на примере ноутбука LG S1 Express
Обновления  модельных рядов ноутбуков, которые произвели все ведущие производители (см. PCWeek/UE №5, стр.12 и №7, стр.12), обозначили новую базисную конфигурацию среднестатистического корпоративного ноутбука. В стандартный набор возможностей стали включаться модуль доверяемой платформы (Trusted Platform Module — TPM) и сканер отпечатков пальцев. Нововведения призваны улучшить защищенность системы и уменьшить вероятность несанкционированного доступа к хранимой на ноутбуке информации. Всё это в совокупности с развитыми коммуникационными возможностями переносного ПК должно помочь созданию на базе ноутбука полноценного и безопасного портативного рабочего места.


LG S1 Express
LG S1 Express

Одним из новых корпоративных ноутбуков, оснащенным расширенными функциями по обеспечению безопасности, стал LG S1 Express. Этот ноутбук позиционируется как премиум-модель, оснащенная всеми наиболее востребованными функциями и опциями, и в то же время, не выходящая по массогабаритным показателям за пределы сегмента “тонких и легких”. S1 Express построен на базе новейшей платформы Intel Centrino Duo, включает в себя чипсет 945PM, двухъядерный процессор Core Duo Т2400 с фактической частотой 1,83 ГГц и 1 ГБ оперативной памяти стандарта DDR-II. Этой системной связки, по словам компании-производителя, должно быть достаточно для выполнения любого из существующих клиентских бизнес-приложений. Также ноутбук оснащен 15,4-дюймовым дисплеем с необычайно высоким, даже для премиум-модели, разрешением 1680х1050 пикселей. Оснащение подкрепляется “всеядным” пишущим приводом оптических дисков и богатыми сетевыми возможностями — проводной интерфейс Gigabit Ethernet, беспроводной 802.11 b/g и адаптер Bluetooth 2.0 с ускоренным обменом данных. Более детально технические параметры ноутбука LG S1 Express Dual описаны в PCWeek/UE №7, стр.12. Функции объединения аппаратных средств защиты с программной средой консолидирует в себе программный пакет OmniPass компании Softex. Это ПО успешно использует функции как модуля TPM, так и сканера отпечатков пальцев.

Одна из функций модуля TPM заключается в создании т.н. хэша машины — контрольной суммы, формируемой на основе анализа данных всех ключевых компонент системы, в число которых входит системная плата, тип и серийный номер процессора, видеоадаптер, жесткий диск и т.п. При стартовой проверке системы TPM анализирует конфигурацию и сверяет актуальный хэш машины с требуемым, и на основании этого делает вывод о статусе машины — доверяемая (trusted) или нет. Таким образом, защищенные данные, хранимые на жестком диске, даже в случае хищения последнего, окажутся нечитаемыми на другом компьютере. Также в функции TPM входит возможность интеграции с почтовыми клиентами для определения доверяемых отправителя и получателя пересылаемой корреспонденции, определение политик относительно функций, которые “дозволено” выполнять программному обеспечению (запись в реестр, модификация данных на жестком диске), а также ряд других функций.


Отпечаток пальца выступает универсальным паролем для запуска ОС, входа на защищенные сайты, запуска приложений и криптивания отдельных файлов
Отпечаток пальца выступает универсальным паролем для запуска ОС, входа на защищенные сайты, запуска приложений и криптивания отдельных файлов
Сканер отпечатков пальцев предлагает биометрическую аутентификацию вместо или вдобавок к использованию стандартного пароля, набираемого на клавиатуре. ПО OmniPass предлагает использовать концепцию “единого пароля” — программа запоминает разрозненные пароли на запуск различных приложений или на вход на различные сайты, и заменяет их единым универсальным паролем, в роли которого может выступать отпечаток пальца пользователя. Функция Strong Logon позволяет заменить стандартный экран “приветствия” Windows на процедуру ввода отпечатка пальца, выполняющего функции администраторского пароля к операционной системе. Также OmniPass предлагает функции по шифрованию отдельных файлов и папок, ключом доступа к которым также будет служить отпечаток пальца.

Несмотря на очевидные преимущества, использование аппаратных средств защиты сопряжено с некоторыми потенциальными трудностями, которые могут возникнуть в процессе их эксплуатации. Так, в случае апгрейда или изменения конфигурации, которое неизбежно повлечет за собой изменение хэша машины, модуль TPM потенциально может воспринять это как “подлог” аппаратной конфигурации и откажется признавать систему доверяемой. А сканер отпечатков пальцев, после определенного количества неудачных сканирований, автоматически блокируется программой OmniPass и исключается из списка предлагаемых способов авторизации. Для избежания потенциальных неприятностей рекомендуется хранить копию профайла пользователя OmniPass на съемном носителе в надежном месте и предусмотреть альтернативные способы авторизации — в частности, активировать (enroll) в OmniPass оба средства защиты — как TPM, так и сканер отпечатков пальцев.