MBAM / BitLocker : אז אולי נצפין את כל המחשבים והשרתים?

8 ביולי 2012

השאלה "אז אולי נצפין את כל המחשבים" עלתה לי בדיון שעשינו לא מזמן על הצפנת מחשבים נישאים (לפטופים) מאוד מקובל בארגונים להצפין רק את הלפטופים, כשהגעתי לארגון – השתמשו כאן בתוכנה עתיקה שנתמכה ע"ג ווינדוס 2000 ו XP מגרסאות מסוימות בלבד. מכיוון שאנחנו כבר בשלבים מאוד מתקדמים של הגירה לווינדוס 7 (דרך אגב, העברנו לווינדוס 7 כ- 73% מהמחשבים בארגון – ומדובר כאן ב – 5 ספרות) היינו חייבים פתרון ממשיך. אז… את התוכנה הזו החלפנו עם מערכת משולבת שנותנת לנו פתרון כולל לכל מני היבטי אבטחה, והיא כוללת בפנים גם מודול להצפנה…

לאחרונה, אנו מתמודדים עם אתגרים ושאיפות של חסכון תקציבי, ולכן אנו ומתחילים לגשש ולחפש פתרונות שאפשר ליישם תוך התבססות על חוזים קיימים – למשל עם מייקרוסופט. או באמצעות פתרונות Open Source פשוטים,

אז ההקדמה הנחמדה הזו, תוך כדי דיון על פתרון ההצפנה הנוכחי, הביאה אותי לחשוב ולחקור. למה בעצם לא להצפין את כל המחשבים בארגון ? יש לי מנגנון BitLocker קיים, עובד ו"חינם" (אנחנו משלמים הון על גרסאות Enterprise אבל כמה ייכולות באמת מנצלים?!?). יש לי רכיבי TPM במחשבים למה לא להשתמש בהם?

אז למה כן להצפין את כל המחשבים:
1. מחשבים שמטיילים בארץ ע"ג רכבים, או יוצאים לשירות – עליו אני צריך לסמוך שישאיר את הדיסק אצל הלקוח
2. מחשבים שמפורמטים ועוברים בין רשתות. למה שתולעת לא תנצל את טכנולוגיות השחזור ותגנוב מסמכים שנמחקו?
3. משתמשים שעולים עם BootCD ועושים ככל העולה על רוחם כולל לתת לעצמם הרשאת Admin.
4. גניבות, ניהול מלאי, השמדה של הדיסקים, החלפה מול ספק שרות. כל אלו גוזלים המון זמן, ומשאירים אותי באי וודאות.
5. עליית דיסק מ Secondary והוצאה \ הכנסת קבצים תוך עקיפת מנגנוני ה DLP, ההרשאות והאנטי ווירוס המקומי.

אמנם כל הנהלים שלנו אמורים למנוע את כל זה, אבל מי מבטיח לי שזה המצב ? איפה הבקרה ? אם כן, נראה כי בהינף יד אני ייכול בהחלט להשתמש בפתרון פשוט שייתן מענה יפה למגוון רחב של איומים מלבד האיום הפשוט והברור של "גניבת מידע". הוא גם יידוע כחסין מפני פריצה ישירה של רשויות חוק או גורמים בעלי כוח רב (ממשלות, מדינות, גופי ביון)… השאלה הבאה היא למה לא לממש BitLocker? אני ייכול לחשוב על סיבות משניות כגון ייכולות שחזור דיסקים, החלפות חומרה, העתקות בין חומרה, ייכולות ל ADMIN (כגון כלי BootCD) וכ'ו, אבל הסיבה העיקרית היא כנראה ה OverHead שהתהליך דורש, הפתרון הוא MBAM – Microsoft BitLocker Administration and Monitoring אני ייכול לפשט מאוד את תהליך ההפצה, הניהול, התחזוקה – וביזור האחריות (למשל לגורמי התמיכה).

מה הכלי הזה נותן ? ראשית הוא מאחסן את מפתחות ההצפנה בבסיס נתונים SQL מוצפן. עד היום, היינו משתמשים ב A/d לאחסון מפתחות ההצפנה או גרוע מכך – בכל מני שיתופי קבצים. היום יש לנו ממשק WEB פשוט שמאפשר לכל איש הלפ-דסק לייצר מספר Recovery חד פעמי (מה שלא היה קיים ב A/d). ובכך לתמוך בבעיה המוכרת של החלפת חומרה במחשב (למשל לוח אם). שנית, הוא מאפשר לי לאתר את כל המחשבים שתומכים חומרתית ב bitlocker (למעשה כל מחשב שיש לו שבב TPM) להכיל עליהם באמצעת GPO את הגדרות ה BitLocker, ולעקוב אחר הצלחת תהליך ההצפנה – או כישלון שלו.

אני מריץ במעבדה כבר כמה שבועות את המוצר ומנסה עליו "מצבי קיצון" (למשל Dual Boot, שכפול וכ'ו). ובהחלט נראה כי מייקרוסופט נתנו לנו כלי עם יחסי עלות-תועלת יפים מאוד. וייתכן כי אין הבדל משמעותי בין הצפנת כמה מאות לפטופים אל כמה אלפי מחשבים שולחניים…ממליץ מאוד להעזר במאמר הבא בתהליך ההטמעה.

תהליך ההתקנה עצמו אינו ארוך, אך קצת לא נראה כי הוא מותאם כמו שצריך לסביבת Enterprise… ההתקנה  שוקלת כ 3-4MB ומתבססת על שרת SQL מקומי שרץ בצמוד ל IIS (אני לא מצאתי איך להפריד). כחלק מההתקנה יש להריץ פקודת SQL קטנה שתייצר את מפתח ההצפנה של ה DB. ולהתקין רכיבי iis+dot.net. אני גם לא מצאתי ארכיטקטורה לשרידות ויתירות, אך ראיתי שפתחו Case ל Microsoft connect נראה מה הם ייענו, בנתיים אני ממליץ בחום לגבות ולוודא היטב את שמישות הגיבוי של המכונה הזו.. 

קצת על גרסאת הבטא: MBAM 2.0: המוצר התבגר קצת מאז הגרסא הקודמת (למעשה הראשונה) גרסאת הבטא יצאה בחודש שעבר, וה RTM ייצא עם כל ה MDOP כנראה בספטמבר ביחד עם ווינדוס 8 וסרבר 2012 . אז מה שהשתנה זה בעיקר אינטגרציה עם מערכות אחרות, כדוגמת ה SCCM, התאמה לווינדוס 8 וסרבר 2012 וניצול ייכולות מובנות בהם ל"הצפנה מהירה".כמו כן, ה self service portal משרת כעת גם את הלקוחות עצמם, וניתן להגדיר אותו כך שלא יאלץ אינטראקציה עם ההלפ-דסק, אך יאפשר בקרה לאנשי אבטחת המידע.

BitLocker חומרתי – Server 2012 – נקרא גם Rapid encypted hard drive יעביר את מטלת ההצפנה אל בקר הדיסק הקשיח ובכך יישפר משמעותית את הביצועים של BitLocker על שרתים. במערכות שרתים קיימים לנו אתגרים רבים באבטחת החווה או הארונות שלנו, וכן של מערכות אורחות הנמצאות בענן. קיימת האפשרות שמישהוא יגיע פיזית לשרת, יגנוב דיסק ויכניס במקומו אחד אחר מבלי שאיש ישים לב (בזכות מנגגנון ה RAID), כמובן שנהלי האבטחה אמורים להגן עלינו. אבל שוב – איפה הבקרה? כמו כן נוכל לחסוך משמעותית בעלויות אם נוכל למכור את השרתים AS-IS עם הדיסקים שלהם וכן בהעברת השרתים מסביבה אחת לאחרת ללא אותם החששות שהעלתי בעניין קליינט…

על הכותב: גדעון מרקוס, בוגר חיל האוויר הישראלי – רצ’
סיס-דסק בבסיס צבאי גדול בדרום הארץ. כיום, מומחה סיסטם בכיר לתחום הקליינט
במשטרת ישראל, משתתף פעיל בפורומים וקהילות בתחומי ה IT בארץ ובחו”ל.

בקרו אותי בלינקדין:

View Gidi Marcus's profile on LinkedIn

הוסף תגובה
facebook linkedin twitter email

להגיב על חובב לבטל

האימייל לא יוצג באתר. שדות החובה מסומנים *

תגובה אחת

  1. חובב10 בנובמבר 2012 ב 0:12

    עם windows 8 אין צורך ברכיב TPM על מנת להשתמש בהצפנת דיסק BitLocker
    כל מה שצריך זה דיסק און קי שיאכסן את ה-KEY

    הגב