Сегодня компании нуждаются в том, чтобы перед подключением переносных устройств к компьютеру происходила проверка подлинности. Потребителям необходим аналогичный подход, для гарантий, что их личной информацией не воспользуются посторонние люди, а так же, что неавторизованные устройства не смогут быть подключены к их компьютерам.
На текущий момент на рынке распространены как различные устройства с повышенным уровнем безопасности, например, накопители со сканером отпечатков пальцев или с поддержкой аппаратного шифрования данных, так и ПО для шифрования, которое поддерживает работу с любыми внешними устройствами хранения данных или позволяет использовать шифрованные файл-контейнеры, которые могут храниться на них. Но их использование возможно только с "фирменным" ПО или с предварительной установкой специального драйвера или программного обеспечения на компьютер, к которому будут подключаться устройства с повышенным уровнем безопасности, что не всегда возможно, а это означает ограниченную совместимость. Чтобы решить этот вопрос, необходим единый стандарт.
По этому не удивительно, что Институт инженеров по электротехнике и электронике (Institute of Electrical and Electronics Engineers - IEEE) взялся за этот вопрос, создав рабочую группу, которая разработала "Стандартный протокол аутентификации при подключении съемных устройств хранения данных" - 1667 (IEEE 1667-"Standard Protocol for Authentication in Host Attachments of Transient Storage Devices"). IEEE 1667 – это платформенно-независимый стандарт, в котором описаны требования взаимной идентификации между устройствами и компьютером для создания безопасной области, что позволяет доверенным устройствам свободно взаимодействовать друг с другом.
На текущий момент корпорация Microsoft является одним из активных участников по продвижению нового стандарта и уже реализовала его поддержку, определив его Enhanced Storage. Enhanced Storage является встроенной системой безопасности в новых операционных системах Windows 7 и Windows 2008 R2, в которых обеспечивается поддержка функции защиты паролем и проверкой подлинности на основе сертификатов для USB-накопителей, совместимых со стандартом IEEE 1667.
Существенным отличим работы Enhanced Storage, от технологии BitLocker To Go, которая позволяет защищать съёмные USB-устройства хранения данных с помощью BitLocker, ограничивая доступ по паролю, является то, что она не зависима от версии использования операционной системы Windows7, будь то Начальная или Профессиональная. Теперь защищенные паролем устройства можно будет просто подключать к любому компьютеру, не заботясь о предварительной установке и настройке чего-либо.
Если рассмотреть с практической точки зрения работу с Enhanced Storage, в самом востребованном случае, когда нужно установить пароль для доступа к информации на съёмном носителе, то она выглядит следующим образом.
Тут еще нужно обратить внимание на то, что съемные накопители (будто USB флэш-диск или портативные диск) с поддержкой IEEE 1667 существенным образом не отличается от обычных, их так же можно использовать в открытом состоянии с операционными системами, у которых отсутствует поддержка устройств совместимых с IEEE 1667.При подключении устройств Enhanced Storage происходит установка как стандартных драйверов для переносных устройств, так и расширенных: IEEE 1667 ACT, Драйвер пароля Microsoft WPD Enhanced Storage, универсальный приемник команд IEEE 1667.
После определения устройства Enhanced Storage в системе, будет предложено установить пароль для доступа к съёмному носителю. Если при первом подключении в этом необходимости нет, то это можно будет сделать потом, через контекстное меню подключенного USB-устройства, выбрав нужный пункт. Если пароль не установить, то информация будет доступна на всех системах, включая те, у которых нет поддержки IEEE 1667, как и в случае c использованием обычного съемного устройства.
Процедура установки пароля, для каких вещей стандартная: ввести пароль, подтвердить его и, при необходимости, ввести слово или фразу, используемую в качестве подсказки. После этого уже можно использовать съемный носитель, доступ к которому осуществляется по паролю. Тут стоит отметить, что система не требует установки сложного пароля.
Заблокировать накопитель можно в ручном режиме, выбрав через контекстное меню подключенного USB-устройства нужный пункт, или это произойдет в автоматическом режиме - при выключении ПК, переходе в спящий режим, отключении накопителя от компьютера, а так же при блокировке компьютера по Ctrl+Alt+Delete. В заблокированном состоянии, данные (как то: размер диска, свободное место, тип файловой системы) не отображаются.
Для Enhanced Storage предусмотрен механизм зашиты от подбора пароля методом грубой силы. Можно ввести не более 50 неверных паролей, после чего возможен только сброс устройства, в ходе которого происходит удаление всех данных и восстановление установленных производителем параметров по умолчанию (происходит очистка установленого пользователем пароля).
Конечно, использование Enhanced Storage не ограничено схемой по установке пароля на съемные устройства с поддержкой IEEE 1667, различные варианты взаимодействия с компьютером можно задать через свои настройки, используя политики безопасности, настройки которых находятся в Конфигурация компьютера \ Административный шаблоны \ Система \ Доступ к устройствам Enhanced Storage.
Разрешить предоставление сертификата на устройства Enhanced Storage
Этот параметр политики задает, могут ли пользователи предоставлять сертификаты на устройствах хранения сертификата Enhanced Storage.
Настройка списка устройств Enhanced Storage, которые могут использоваться на компьютереЭтот параметр политики позволяет задать список изготовителей и ИД продуктов для устройств Enhanced Storage, которые могут использоваться на компьютере.
Настройка списка приемников команд, совместимых с IEEE 1667, которые могут использоваться на компьютере
Этот параметр политики позволяет создать список совместимых со спецификацией IEEE 1667 приемников команд, которые можно использовать на компьютере.
Запретить проверку подлинности устройств Enhanced Storage с помощью пароля
Этот параметр политики задает, используется ли пароль для снятия блокировки устройства Enhanced Storage.
Запретить съемные устройства, которые не являются устройствами Enhanced Storage
Этот параметр политики задает, разрешены ли съемные устройства, не являющиеся устройствами Enhanced Storage, на этом компьютере
Блокировать устройства Enhanced Storage при блокировке компьютера
Этот параметр политики разрешает блокирование устройства Enhanced Storage при блокировании компьютера.
Эта политика поддерживается только в операционных системах Windows 7 Корпоративная и Windows 7 Профессиональная.
Разрешить только корневой USB-концентратор, подключенный к устройствам Enhanced StorageЭтот параметр политики задает, разрешен ли только корневой USB-концентратор, подключенный к устройствам Enhanced Storage. При разрешении только корневого USB-концентратора, подключенного к устройствам Enhanced Storage, риск чтения данных неавторизованными USB-устройствами на устройстве Enhanced Storage снижается.
Уменьшено: 67% от [ 1178 на 426 ] — нажмите для просмотра полного изображенияХотя стандарт IEEE 1667 являются новым и последняя спецификация - 1.1 была утверждена только в 2009 году, производители съёмных носителей уже предоставляют на рынок продукцию с поддержкой этого стандарта, и по цене она не отличается от обычных съёмных носителей.
Источник: IT Galaxy
