1 00:00:15,400 --> 00:00:19,900 В последнее время судя по всему становится популярным использовать страх в качестве мотивации 2 00:00:20,100 --> 00:00:23,500 являетесь ли вы президентом страны 3 00:00:23,600 --> 00:00:25,700 или выступающим на конференции 4 00:00:25,800 --> 00:00:27,700 я подумал, что последую этому же принципу 5 00:00:28,100 --> 00:00:30,700 Позвольте мне объяснить, откуда появились эти заголовки 6 00:00:31,300 --> 00:00:32,700 Около 20 лет назад 7 00:00:32,800 --> 00:00:36,800 была популярная социальная реклама, 8 00:00:37,500 --> 00:00:39,100 которая выходила на американском ТВ. 9 00:00:39,400 --> 00:00:40,800 Ее показывали в 11 вечера 10 00:00:40,900 --> 00:00:44,100 Зернистое черно-белое видео, 11 00:00:44,300 --> 00:00:50,300 камера на плече оператора, темные аллеи 12 00:00:50,700 --> 00:00:53,300 движущиеся тени на стенах. 13 00:00:53,500 --> 00:00:55,900 Ничего на самом деле ясно не было видно. 14 00:00:56,200 --> 00:01:01,900 И потом диктор низким голосом в стиле старого радио говорил: 15 00:01:02,000 --> 00:01:04,600 "Сейчас 11 вечера. 16 00:01:04,700 --> 00:01:08,200 Вы знаете, где находятся ваши дети?" 17 00:01:08,300 --> 00:01:12,600 Идея в том, чтобы заставить вас бояться изгоев общества, так? 18 00:01:12,700 --> 00:01:15,200 Так что я подумал, что сделаю тоже самое здесь 19 00:01:15,400 --> 00:01:17,700 и попробовать напугать вас 20 00:01:18,200 --> 00:01:20,900 вопросом "Где находятся ваши данные?" 21 00:01:21,800 --> 00:01:26,700 Сколько здесь из вас знает, где находятся все ваши корпоративные данные сейчас? 22 00:01:26,800 --> 00:01:29,000 Кто-нибудь? 23 00:01:29,500 --> 00:01:31,100 Что вы говорите? 24 00:01:31,200 --> 00:01:33,000 В памяти? 25 00:01:33,200 --> 00:01:34,500 На компьютере плохих парней, да? 26 00:01:35,100 --> 00:01:38,300 Данные ведь всегда в памяти, 27 00:01:38,900 --> 00:01:40,400 но можем ли мы сохранить контроль над ними? 28 00:01:41,000 --> 00:01:43,800 Сегодня я хочу поговорить немного о 29 00:01:44,200 --> 00:01:47,700 защите данных и о том, как ее организовать, 30 00:01:47,900 --> 00:01:49,900 но прежде чем мы поговорим о том, как, 31 00:01:50,100 --> 00:01:52,100 я хочу поговорить о том, зачем. 32 00:01:52,700 --> 00:01:54,900 Так мы знаем, что существуют плохие парни. 33 00:01:55,100 --> 00:01:59,400 Раньше мы обсуждали о том, кто они такие и что ими движет. 34 00:01:59,500 --> 00:02:02,800 Если вы слушали мои выступления в течении некоторого времени, 35 00:02:02,900 --> 00:02:06,500 вы знаете, что я стал большим поклонником 36 00:02:06,700 --> 00:02:09,700 персональных файрволлов на портативных компьютерах. 37 00:02:09,800 --> 00:02:13,100 Это не опция, это не что-то за что нужно дополнительно платить. 38 00:02:13,900 --> 00:02:18,100 Суть в том, что вы выбираете, когда лучший момент включить встроенный в Windows файрволл 39 00:02:18,700 --> 00:02:20,900 и забываете о проблеме. 40 00:02:21,100 --> 00:02:25,200 Это единственный способ контролировать, что проходит через сетевую карту вашего компьютера. 41 00:02:26,400 --> 00:02:29,100 У меня есть два требования к портативным компьютерам. 42 00:02:29,300 --> 00:02:30,300 О файрволле я уже сказал. 43 00:02:30,700 --> 00:02:32,700 Второе - шифрование данных. 44 00:02:32,800 --> 00:02:36,500 Подумайте об утечках данных. 45 00:02:36,700 --> 00:02:39,200 Во многих случаях они включают...что? 46 00:02:39,600 --> 00:02:41,700 Украденные портативные компьютеры. 47 00:02:42,300 --> 00:02:44,700 Если бы эти данные были зашифрованы, 48 00:02:44,900 --> 00:02:47,400 значительно менее вероятно, 49 00:02:47,600 --> 00:02:50,300 что плохой парень сумел бы причинить вам вред. 50 00:02:51,400 --> 00:02:53,300 Давайте посмотрим на некоторые свидетельства подтверждающие это. 51 00:02:54,300 --> 00:02:57,700 Каждый год австралийская Computer Emergency Response Team 52 00:02:58,400 --> 00:03:02,100 проводит опрос компаний и клиентов в Австралии. 53 00:03:02,800 --> 00:03:04,400 Ничего такого особенного, 54 00:03:04,800 --> 00:03:07,300 мне просто нравятся отчет, который они используют. 55 00:03:07,500 --> 00:03:10,300 Один из вопросов, который они задают в опросе - 56 00:03:10,700 --> 00:03:16,400 Какой тип электронной атаки вы обнаруживали за последние 12 месяцев? 57 00:03:16,500 --> 00:03:20,000 Тут много вариантов (вы могли просмотреть их, пока я говорил) 58 00:03:20,200 --> 00:03:22,200 внутренние злоупотребления, вирусы, 59 00:03:22,400 --> 00:03:23,900 сетевые черви и трояны, 60 00:03:24,100 --> 00:03:25,600 дефейс сайтов, саботаж 61 00:03:25,900 --> 00:03:28,500 но обратите внимание на четвертый пункт. 62 00:03:28,700 --> 00:03:31,100 Кража ноутбука. 63 00:03:31,300 --> 00:03:34,600 Более 50% людей, отвечавших на вопросы каждый год 64 00:03:35,400 --> 00:03:37,200 (мы смотрим данные за 4 года) 65 00:03:37,300 --> 00:03:40,300 сообщают о краже ноутбука. 66 00:03:41,100 --> 00:03:43,200 Окей, это интересно. 67 00:03:43,500 --> 00:03:45,300 Почему бы нам не посмотреть на следующий вопрос 68 00:03:45,400 --> 00:03:51,800 который гласит: Какая из приведенных электронных атак привела к финансовым потерям? 69 00:03:54,600 --> 00:03:56,500 И посмотрите на размер столбца "кража ноутбука". 70 00:03:57,300 --> 00:04:01,500 Кроме вирусов и сетевых червей, в 2004 71 00:04:01,900 --> 00:04:05,700 этот тип атак приводит к наибольшим финансовым потерям, с которыми вы сталкиваетесь. 72 00:04:05,900 --> 00:04:09,900 И нет, это не цена замены ноутбука. 73 00:04:10,100 --> 00:04:14,500 Речь идет об украденных, 74 00:04:15,500 --> 00:04:18,600 неправомерно используемых, неверно изменненных данных. 75 00:04:18,700 --> 00:04:20,500 Обдумайте это. 76 00:04:23,600 --> 00:04:27,800 Вы делаете что-нибудь в вашей организации, чтобы уменьшить эти потери? 77 00:04:28,500 --> 00:04:30,300 Помните то, о чем мы говорили вчера? 78 00:04:30,500 --> 00:04:34,200 Роль эксперта по безопасности не в том, чтобы стоять и говорить "Нет, вам нельзя этого делать", 79 00:04:34,400 --> 00:04:38,500 а в том, чтобы искать пути, как ваша компания может заработать или сохранить деньги. 80 00:04:38,700 --> 00:04:40,700 Это - то, как вы можете помочь вашей компании сохранить деньги. 81 00:04:42,700 --> 00:04:45,800 Если честно, нас волнует, каким ПО для шифрования вы пользуетесь. 82 00:04:46,100 --> 00:04:49,300 Windows поставляется с несколькими неплохими встроенными технологиями. 83 00:04:49,500 --> 00:04:51,100 Я собираюсь рассказать вам о них, 84 00:04:51,200 --> 00:04:52,500 и если они подходят вам, 85 00:04:52,600 --> 00:04:53,600 используйте их. 86 00:04:53,700 --> 00:04:55,300 Если они не подходят вам, 87 00:04:55,700 --> 00:04:59,600 найдите что-нибудь, что подходит, но отправьте мне email и скажите, почему вы не смогли использовать то, 88 00:04:59,700 --> 00:05:01,200 то, что мы предложили вам в ОС. 89 00:05:01,300 --> 00:05:03,500 В следующий раз мы попробуем сделать лучше. 90 00:05:05,600 --> 00:05:08,300 Существует диллема, которую мы попробуем здесь решить. 91 00:05:08,500 --> 00:05:12,900 Дилемма между двумя типами людей, которые населяют наши сети. 92 00:05:13,100 --> 00:05:15,400 Первые - администраторы по безопасности. 93 00:05:15,800 --> 00:05:18,900 Возможно, тут есть кто-то, кто выглядит как раз так. 94 00:05:18,900 --> 00:05:20,700 И единственное, что они умеют говорить это 95 00:05:20,900 --> 00:05:22,800 Доступ запрещен! 96 00:05:23,000 --> 00:05:26,100 У нас был парень в Microsoft, его звали Майкл Ховардж. 97 00:05:26,300 --> 00:05:29,000 Он подписывал свои email так: 98 00:05:29,200 --> 00:05:30,600 Доступ запрещен? Хорошо. 99 00:05:31,200 --> 00:05:32,300 Система безопасности работает. 100 00:05:32,500 --> 00:05:35,200 Как нам совместить их требования 101 00:05:35,400 --> 00:05:38,200 с потребностями других людей в компании, 102 00:05:38,300 --> 00:05:40,700 которые хотят иметь свободный доступ ко всем данным в любое время. 103 00:05:40,900 --> 00:05:43,100 Как нам это сделать? 104 00:05:43,200 --> 00:05:47,800 Это и есть та дилемма, которую мы, возможно, начнем решать сейчас, 105 00:05:48,200 --> 00:05:52,400 разговаривая о защите переносимых данных. 106 00:05:52,500 --> 00:05:54,100 Позвольте мне предоставить вам некоторые цифры, 107 00:05:54,200 --> 00:05:58,100 которые могут помочь вам в вашей организации. 108 00:05:58,900 --> 00:06:03,900 Privacy Rights Clearing House в январе 2005 года начал 109 00:06:04,100 --> 00:06:06,900 собирать данные об утечках данных. 110 00:06:07,100 --> 00:06:09,700 Данные об украденных данных. 111 00:06:09,800 --> 00:06:12,800 По состоянию на май того года, 112 00:06:12,900 --> 00:06:15,500 (я просто не обновлял с тех пор) 113 00:06:15,600 --> 00:06:20,300 накопилось 155 миллионов украденных записей. 114 00:06:20,400 --> 00:06:22,200 Там была одна длинная веб-страница, 115 00:06:22,300 --> 00:06:23,700 я решил скопировать ее в Word 116 00:06:23,900 --> 00:06:25,000 чтобы узнать, насколько она велика. 117 00:06:25,200 --> 00:06:27,500 Оказалось - 126 страниц. 118 00:06:27,700 --> 00:06:31,100 InformationWeek.com провел опрос, 119 00:06:31,200 --> 00:06:35,100 чтобы узнать, во сколько обходится кража данных 120 00:06:35,200 --> 00:06:41,200 и их оценка лежит между 90 и 350 $ за запись. 121 00:06:42,200 --> 00:06:44,300 Давайте посмотрим с консервативной точки зрения - 122 00:06:44,400 --> 00:06:47,500 умножим 90 на 155 миллионов. 123 00:06:47,700 --> 00:06:49,500 Большое число, да. 124 00:06:49,700 --> 00:06:51,700 Но знаете что? 125 00:06:52,600 --> 00:06:53,400 Это никого не гребет! 126 00:06:53,600 --> 00:06:55,000 Никого, похоже, не заботит. 127 00:06:55,100 --> 00:06:56,900 Мы не можем заставить людей беспокоиться об этом. 128 00:06:57,100 --> 00:06:59,500 Согласно опросу на TechTarget.com 129 00:06:59,600 --> 00:07:01,100 даже после атаки, 130 00:07:01,700 --> 00:07:03,800 из 85%, которые сообщили об атаке, 131 00:07:04,500 --> 00:07:07,100 46% пострадавших все равно решили не шифровать данные, 132 00:07:07,300 --> 00:07:11,800 а у 57% не было разработано никакого плана реагирования. 133 00:07:11,900 --> 00:07:15,300 Я не знаю, как решить эту проблему, 134 00:07:15,400 --> 00:07:17,900 кроме того, как проводить подобные конференции. 135 00:07:18,100 --> 00:07:21,300 По всему миру, так же, как я с вами сейчас говорю. 136 00:07:21,500 --> 00:07:24,700 Дать вам инструменты и аргументы, 137 00:07:24,800 --> 00:07:29,500 чтобы убедить тех, кто принимает решения в вашей организации. 138 00:07:33,900 --> 00:07:37,100 Когда я начал планировать эту презентацию, 139 00:07:37,300 --> 00:07:44,100 это было в марте - апреле, когда мы начали планировать TechEd 140 00:07:44,200 --> 00:07:46,800 (первый TechEd в США в июне) 141 00:07:47,000 --> 00:07:49,500 и я фактически заново использовал те же материалы, 142 00:07:49,700 --> 00:07:52,500 что и с восьми TechEd или около того, на которых я выступал. 143 00:07:54,000 --> 00:07:56,800 Одна из вещей, которая сразу стала очевидна 144 00:07:57,100 --> 00:08:01,100 Один из вопросов, которая я сразу себе задал. 145 00:08:01,150 --> 00:08:02,350 Нужно ли нам шифровать все данные? 146 00:08:02,800 --> 00:08:03,800 Нет. 147 00:08:04,800 --> 00:08:07,300 Так, а как мы знаем, что нужно шифровать, а что - нет? 148 00:08:08,200 --> 00:08:12,100 Хм, ладно, нам придется потратить некоторую часть нашего времени, 149 00:08:12,200 --> 00:08:13,800 обсуждая классификацию данных, 150 00:08:13,900 --> 00:08:15,800 что поможет нам ответить на вопрос 151 00:08:15,900 --> 00:08:17,300 шифровать это или нет. 152 00:08:17,400 --> 00:08:20,000 Я начал изучать этот вопрос 153 00:08:20,100 --> 00:08:21,900 и подумал: "О нет, 154 00:08:22,000 --> 00:08:25,900 это займет 55 из 75 минут, что у нас есть". 155 00:08:26,100 --> 00:08:29,600 И знаете что? Это скучно. 156 00:08:30,400 --> 00:08:31,500 Классификация данных - это неинтересно. 157 00:08:31,700 --> 00:08:33,700 Она имеет мало общего с безопасностью, 158 00:08:33,900 --> 00:08:34,900 и, поверьте мне, 159 00:08:35,100 --> 00:08:41,100 это то, что позволит вам избавиться от всех снотворных в вашем доме. 160 00:08:41,200 --> 00:08:43,400 Они вам больше не понадобятся. 161 00:08:44,000 --> 00:08:47,500 Но потом я нашел кое-что удивительно простое. 162 00:08:47,900 --> 00:08:49,100 Нет, это не я придумал, 163 00:08:49,300 --> 00:08:52,000 я нашел это в серьезных статьях о компьютерах. 164 00:08:52,100 --> 00:08:54,600 Вам не нужно записывать или запоминать это 165 00:08:54,700 --> 00:08:55,700 у нас есть DVD 166 00:08:56,000 --> 00:08:59,300 Оператор ненавидит меня, потому что я не стою на месте 167 00:08:59,500 --> 00:09:04,300 Если вы займетесь поиском статей о классификации данных, 168 00:09:04,400 --> 00:09:05,500 вы найдете эту статью. 169 00:09:05,700 --> 00:09:06,900 Она предельно проста. 170 00:09:07,000 --> 00:09:08,400 Три аспекта для эффективной классификации данных. 171 00:09:10,200 --> 00:09:12,700 Аспект номер 1 - Конфиденциальность. 172 00:09:12,800 --> 00:09:15,300 Насколько это секретно? 173 00:09:15,500 --> 00:09:17,500 Ваш публичный веб-сервер 174 00:09:17,500 --> 00:09:21,500 По определению у него нет секретов. 175 00:09:21,700 --> 00:09:24,600 И если кто-то запускает маленькую утилиту, 176 00:09:24,700 --> 00:09:27,800 которая скачивает все содержимое вашего публичного веб сервера 177 00:09:27,900 --> 00:09:28,900 то что? 178 00:09:30,800 --> 00:09:31,800 Кого это волнует? 179 00:09:32,700 --> 00:09:37,200 Тем не менее, у вас могут быть данные, которые по-настоящему довольно приватны. 180 00:09:37,400 --> 00:09:42,000 И есть некий механизм, с помощью которого, если атакующий взломает ваш публичный сервер 181 00:09:42,100 --> 00:09:45,100 то он потом может устроить атаку на какое-то другое устройство 182 00:09:45,200 --> 00:09:46,400 и взломать вашу базу данных. 183 00:09:47,100 --> 00:09:51,100 Хм, это проблема. И если он доберется до этих данных, возможно, будет лучше, если данные будут зашифрованы. 184 00:09:51,300 --> 00:09:54,800 Аспект номер 1 - Конфиденциальность 185 00:09:55,500 --> 00:09:58,000 помогает вам понять, насколько быстро вы должны отреагировать 186 00:09:58,100 --> 00:09:59,600 и какой должна быть реакция. 187 00:10:01,100 --> 00:10:03,300 Аспект номер 2 - Сохранение. 188 00:10:03,900 --> 00:10:06,700 Сколько мы должны хранить данные? 189 00:10:09,200 --> 00:10:11,500 Если это с вами еще не произошло, то скоро произойдет. 190 00:10:12,500 --> 00:10:13,900 Кто-нибудь вызовет вас в суд. 191 00:10:15,100 --> 00:10:17,500 По одной или по другой причине вы получите иск. 192 00:10:18,800 --> 00:10:21,300 И человек, который подает на вас в суд, 193 00:10:21,800 --> 00:10:24,900 начинает процедуру называемую Discovery (Нахождение документов и доказательств). 194 00:10:25,800 --> 00:10:32,300 Они будут читать все ваши документы, все ваши письма, все хистори IM мессанджеров 195 00:10:32,800 --> 00:10:36,300 Все, что как они считают, хоть немного относится к делу. 196 00:10:38,100 --> 00:10:39,400 Так что 197 00:10:39,800 --> 00:10:42,000 Чем меньше всего у вас есть, 198 00:10:42,700 --> 00:10:45,800 тем меньше информации они получат о вас. 199 00:10:46,000 --> 00:10:46,900 Так? 200 00:10:48,500 --> 00:10:53,000 Если вы уже получили вызов в суд, нельзя взять и начать удалять все. 201 00:10:53,700 --> 00:10:55,200 Этого нельзя делать. 202 00:10:55,500 --> 00:10:56,700 Это выглядит очень-очень плохо. 203 00:10:57,800 --> 00:11:02,900 Но если у вас разработана политика, согласно которой вы удаляете документы старше года 204 00:11:03,100 --> 00:11:05,600 Возьмите и начните автоматически удалять электронные письма сотрудников 205 00:11:05,900 --> 00:11:07,000 и скажите им о том, что будете это делать. 206 00:11:09,000 --> 00:11:11,900 Так что, когда неминуемый день настанет и вы предстанете перед судом, 207 00:11:12,500 --> 00:11:16,300 будет значительно меньше улик для другой стороны. 208 00:11:17,400 --> 00:11:18,700 Это хорошая вещь. 209 00:11:20,300 --> 00:11:22,400 Третий аспект - Восстановление. 210 00:11:23,200 --> 00:11:28,100 Насколько быстро вы должны отреагировать в случае повреждения данных? 211 00:11:28,600 --> 00:11:33,700 В примерах тут: немедленно, в течении 72-х часов или 30-ти дней. 212 00:11:34,500 --> 00:11:39,300 На этих трех слайдах я показал примеры каждого из аспектов. 213 00:11:39,350 --> 00:11:44,000 Возможно, это примеры не подходят вам - ничего, подберите свои собственные. 214 00:11:44,200 --> 00:11:48,700 Но эти аспекты - все что вам нужно для классификации данных. 215 00:11:48,800 --> 00:11:49,900 Конфиденциальность. 216 00:11:51,800 --> 00:11:52,700 Сохранение 217 00:11:53,700 --> 00:11:54,900 и Восстановление. 218 00:11:55,200 --> 00:11:57,800 3 минуты - на классификацию данных. 219 00:11:58,000 --> 00:12:03,000 Все остальное - слишком сложное и не даст вам ничего лучшего. 220 00:12:03,600 --> 00:12:05,700 Используйте это и все будет хорошо. 221 00:12:05,900 --> 00:12:08,700 Теперь мы можем вернутся к крутым вещам, из-за которых вы тут здесь. 222 00:12:09,000 --> 00:12:11,000 Хм. Пока еще нет. 223 00:12:12,000 --> 00:12:14,000 Надо еще поговорить о теории. 224 00:12:14,400 --> 00:12:16,900 И для этого мы вернемся в школу. 225 00:12:17,500 --> 00:12:19,400 Мальчики и девочки, это треугольник. 226 00:12:19,600 --> 00:12:21,400 Вы могли узнать его. 227 00:12:21,600 --> 00:12:24,600 Вобще-то у него есть свое имя. Это особенный треугольник. 228 00:12:24,700 --> 00:12:26,400 Что это за треугольник? 229 00:12:28,900 --> 00:12:30,600 Нет, это треугольник по информационной безопасности! 230 00:12:30,900 --> 00:12:32,500 Вы же знаете эти слова! 231 00:12:34,700 --> 00:12:36,900 Дело в том, что он не описывает всю картину. 232 00:12:37,800 --> 00:12:43,300 У каждой из этих концепций - Конфиденциальности, Целостности и Доступности - есть следствие 233 00:12:44,500 --> 00:12:48,900 Опять же, это пример вещей, которые мы знаем, но не осознаем. 234 00:12:50,400 --> 00:12:51,400 Например 235 00:12:53,000 --> 00:12:58,200 если Конфиденциальность это о том, как сохранить приватные данные приватными, 236 00:12:58,800 --> 00:13:04,700 Обладание - это для начала обеспечение того, что данные не попадут в руки плохих парней. 237 00:13:05,600 --> 00:13:07,000 Это следствие. 238 00:13:07,800 --> 00:13:15,300 Если Целостность - это обеспечение того, что данные, которые Элис послала Бобу, не будут изменены по дороге 239 00:13:16,200 --> 00:13:22,400 то Аутентичность - это гарантия, что данные пришли таки от Элис 240 00:13:22,500 --> 00:13:24,700 а не от кого-то, что выдает себя за Элис. 241 00:13:25,900 --> 00:13:31,700 Если Доступность - это обеспечение того, что система и данные доступны, когда они нужны 242 00:13:32,500 --> 00:13:37,900 Полезность - это собственно показатель того, насколько полезные эти данные и система. 243 00:13:38,800 --> 00:13:42,900 Интересная вещь - атаки на Доступность, например Denial-of-Service атаки 244 00:13:43,400 --> 00:13:45,500 мгновенно уменьшают Полезность до нуля. 245 00:13:47,100 --> 00:13:52,100 Мы будем рассматривать защиту данных, это вот эта ось с Конфиденциальностью и Обладанием 246 00:13:52,400 --> 00:13:55,000 на которую мы потратим наше время. 247 00:13:55,100 --> 00:13:56,700 И я собраюсь сравнить эти два аспекта. 248 00:13:58,800 --> 00:14:03,900 Также, пожалуйте, понимайте, нет способа избежать этого. 249 00:14:04,800 --> 00:14:09,600 Хорошие системы обеспечивающие Конфиденциальность и Обладание 250 00:14:10,100 --> 00:14:15,800 требуют хороших систем Идентификации и Аутентификации. 251 00:14:16,500 --> 00:14:18,400 Еще одна история, которая случилась со мной в Тайване. 252 00:14:18,700 --> 00:14:19,500 Я рассказывал ее вчера. 253 00:14:20,000 --> 00:14:26,900 Ранее в этом году я провел несколько часов, разговаривая с министром обороны Тайваня 254 00:14:27,500 --> 00:14:30,700 У них есть несколько очень интересных требований к безопасности. 255 00:14:30,900 --> 00:14:33,900 Вы можете себе представить, учитывая их местонахождение и политику, что там происходит. 256 00:14:34,600 --> 00:14:41,100 Они искали способ внедрить RMS или что-то в этом роде 257 00:14:41,300 --> 00:14:42,900 без Active Directory 258 00:14:44,000 --> 00:14:45,900 Что? 259 00:14:46,100 --> 00:14:52,300 Вы хотите защитить данные, но в то же время не иметь никакой информации о том, кто использует данные? 260 00:14:52,800 --> 00:14:55,000 - О, да, пожалуй, это то, что нам надо. 261 00:14:55,700 --> 00:14:57,700 Нельзя такое сделать. 262 00:14:58,300 --> 00:15:01,400 И мы потратили полчаса, пытаясь понять, 263 00:15:01,700 --> 00:15:06,300 что если у вас нет никакой информации о том, кто пытается открыть файл или вобще что-то сделать, 264 00:15:06,400 --> 00:15:08,100 вы не можете защитить их. 265 00:15:08,900 --> 00:15:10,100 По-моему я смог убедить их. 266 00:15:10,500 --> 00:15:14,900 И потом я вспомнил, выходя из здания, что у меня был такой же разговор с ними год назад. 267 00:15:15,600 --> 00:15:16,900 Я просто забыл о нем. 268 00:15:17,500 --> 00:15:21,000 У некоторых людей есть свое видение в голове, как они хотят, чтобы было, 269 00:15:21,100 --> 00:15:27,000 и они не понимают, что в компьютерных науках есть фундаментальные требования, которые определяют, как происходят вещи. 270 00:15:28,200 --> 00:15:29,800 Мы говорим немного больше об этом. 271 00:15:30,100 --> 00:15:32,800 Вы могли читать определения на экране, пока я говорил. 272 00:15:34,100 --> 00:15:37,900 Идентификация - это публичное заявления "Я - Стив". 273 00:15:39,100 --> 00:15:41,800 Какое подтверждение этому у вас есть? 274 00:15:43,500 --> 00:15:48,300 Какие свидетельства для подтверждения предположения, что я тот, за кого себя выдаю? 275 00:15:49,000 --> 00:15:52,300 Ну, во-первых, я думаю, что меня несколько сложно копировать. 276 00:15:53,900 --> 00:16:02,700 Но знаете, единственный способ, как бы я мог подтвердить это, это пойти к сумке и достать свой паспорт, 277 00:16:03,300 --> 00:16:05,800 в котором есть мое имя и моя фотография. 278 00:16:06,300 --> 00:16:09,000 как метод Аутентификации меня вами. 279 00:16:09,300 --> 00:16:10,800 И вы поверили бы этому, потому что 280 00:16:11,000 --> 00:16:14,000 предположительно, вы доверяете правительству США. 281 00:16:15,200 --> 00:16:16,000 Я не знаю. 282 00:16:17,900 --> 00:16:20,700 Это не работает с компьютерами, верно? 283 00:16:21,200 --> 00:16:24,900 Для того, чтобы подвердить вашу личность, вы должны 284 00:16:26,000 --> 00:16:28,200 показать знание секрета 285 00:16:29,300 --> 00:16:31,800 который только вы знаете 286 00:16:32,200 --> 00:16:33,800 и который компьютер может проверить. 287 00:16:34,300 --> 00:16:37,100 Только вы знаете, и компьютер может проверить. 288 00:16:38,100 --> 00:16:40,700 Ну, мы все понимаем это определение Авторизации. 289 00:16:41,400 --> 00:16:45,600 Опасность состоит в том, что люди (или люди, которые пытаюся продать вам что-то) 290 00:16:45,800 --> 00:16:48,800 начинают размывать границы между понятиями Идентификации и Аутентификации. 291 00:16:49,700 --> 00:16:51,100 Некоторые из вас, возможно, видели это раньше. 292 00:16:51,300 --> 00:16:52,300 Я использовал это раньше. 293 00:16:52,500 --> 00:16:54,800 Но, как всегда, в зале есть новые люди, 294 00:16:55,100 --> 00:16:56,600 поэтому мы поиграем в эту маленькую игру снова. 295 00:16:57,500 --> 00:16:59,300 Я буду спрашивать вас 296 00:17:01,000 --> 00:17:02,200 к какой категории что относится. 297 00:17:02,300 --> 00:17:03,700 Что такое ID пользователей? 298 00:17:05,500 --> 00:17:07,000 Ладно, это простое. Идентификация. 299 00:17:07,200 --> 00:17:08,700 Чем являются пароли? 300 00:17:09,500 --> 00:17:11,300 Аутентификацией. Это секрет, который вы знаете. 301 00:17:12,500 --> 00:17:13,900 Маркеры и мандаты? 302 00:17:14,500 --> 00:17:15,700 Авторизация. 303 00:17:16,400 --> 00:17:17,800 Чем являются цифровые сертификаты? 304 00:17:18,300 --> 00:17:21,400 Цифровой сертификат можно отправлять другим людям. 305 00:17:23,000 --> 00:17:23,500 Идентификация. 306 00:17:25,500 --> 00:17:29,900 И в цифровых сертификатах есть публичные ключи. 307 00:17:30,700 --> 00:17:32,100 Так что это тоже используется для 308 00:17:32,300 --> 00:17:33,300 Идентификации. 309 00:17:33,900 --> 00:17:36,500 Приватный ключ используется для? 310 00:17:37,400 --> 00:17:38,900 Аутентификации. 311 00:17:39,500 --> 00:17:40,700 Помните как работает инфраструктура открытых ключей? 312 00:17:41,000 --> 00:17:45,000 Когда вы хотите получить сертификат, ваш компьютер генерирует два очень больших числа 313 00:17:45,300 --> 00:17:49,000 отправляет одно в сертификационное агенство. Это публичный ключ. 314 00:17:49,100 --> 00:17:51,700 Ключ вставляется в сертификат и сертификат возвращается вам. 315 00:17:52,200 --> 00:17:55,000 Другое число, которое сгенерировал ваш компьютер - это приватный ключ. 316 00:17:55,200 --> 00:17:57,500 Он никогда не покидает ваш компьютер. 317 00:17:57,600 --> 00:17:59,900 Это, по определению, делает его приватным. 318 00:18:01,800 --> 00:18:06,000 Он используется только для защищенных разговоров. Во многих случаях, чтобы защитить канал. 319 00:18:06,700 --> 00:18:07,600 Вот самое веселое. 320 00:18:08,100 --> 00:18:13,900 Сколько из вас в этой комнате верит, что биометрия - это способ Идентификации? 321 00:18:14,700 --> 00:18:16,200 Заявлением о том, кто вы есть? 322 00:18:17,400 --> 00:18:21,500 Сколько из вас верит, что биометрия - способ Аутентификации? 323 00:18:21,600 --> 00:18:22,900 Доказательством того, кто вы есть? 324 00:18:24,200 --> 00:18:25,400 Хорошо. Теперь меняйте свою точку зрения. 325 00:18:26,900 --> 00:18:28,700 Вот пульт 326 00:18:29,100 --> 00:18:31,400 Его использовали как минимум три дня 327 00:18:32,100 --> 00:18:33,700 Дело в том, что на нем полно отпечатков. 328 00:18:34,200 --> 00:18:35,300 Включая мои. 329 00:18:36,700 --> 00:18:39,600 Если бы я положил пульт на пол здесь 330 00:18:39,900 --> 00:18:41,400 и ушел 331 00:18:42,800 --> 00:18:44,800 кто-нибудь мог бы поднять его. 332 00:18:46,700 --> 00:18:49,000 И что этот кто-нибудь мог бы сделать с отпечатками на нем? 333 00:18:49,500 --> 00:18:51,250 Он бы мог их снять. 334 00:18:51,300 --> 00:18:56,300 Есть множество методов, с помощью которых можно снять отпечатки с гладких поверхностей 335 00:18:56,700 --> 00:18:59,800 включая даже сканеры отпечатков пальцев. 336 00:19:00,500 --> 00:19:03,800 Теперь, когда у вас есть отпечатки, что вы можете сделать? 337 00:19:04,000 --> 00:19:09,100 Вы можете последовать множеству известных способов (многие из них документированы в вашем любимом поисковике) 338 00:19:09,300 --> 00:19:14,200 которые позволят вам сделать очень тонкий латексный рисунок этого отпечатка 339 00:19:14,400 --> 00:19:16,400 который потом можно одеть на ваш палец 340 00:19:17,100 --> 00:19:21,900 и который вы потом можете использовать вместо чужого отпечатка. 341 00:19:23,100 --> 00:19:28,100 Я уверен, некоторые из вас читали историю о джентельмене 342 00:19:28,600 --> 00:19:33,900 который купил новый Мерседес с возможностью использовать большой палец для открытия дверей. 343 00:19:34,400 --> 00:19:36,900 Все было отлично, пока одним днем он не вышел к своей машине 344 00:19:37,300 --> 00:19:41,300 а там была парочка отморозков, которые решили украсть его машину 345 00:19:41,600 --> 00:19:44,000 Они понимали, что на машине стоит сканер отпечатков 346 00:19:44,200 --> 00:19:46,200 поэтому они отрезали палец владельца. 347 00:19:47,300 --> 00:19:48,100 чтобы открыть дверь. 348 00:19:49,000 --> 00:19:51,100 Вот когда безопасность становится небезопасной. 349 00:19:53,300 --> 00:19:54,800 Биометрия - способ Идентификации. 350 00:19:55,300 --> 00:19:59,200 Вам все еще нужен секрет. 351 00:20:00,000 --> 00:20:01,300 И меня беспокоит 352 00:20:02,100 --> 00:20:07,500 когда люди пытаются продать сканер отпечатков как замену паролю. 353 00:20:08,700 --> 00:20:10,700 Сколько раз вы сможете поменять его? 354 00:20:14,500 --> 00:20:15,700 20 355 00:20:15,800 --> 00:20:17,400 У нас, мужчин, на один раз больше. 356 00:20:17,600 --> 00:20:19,300 но в конце концов разы закончатся. 357 00:20:21,600 --> 00:20:24,200 На самом деле, одна женщина сказала: "Да, но у нас + 2 раза". 358 00:20:27,700 --> 00:20:29,900 Ладно, вернемся к этим двум свойствам. 359 00:20:30,400 --> 00:20:31,300 Конфиденциальность. 360 00:20:31,500 --> 00:20:35,400 Определение: убедитесь, что информация видна только разрешенным людям 361 00:20:35,500 --> 00:20:37,100 Механизм - шифрование 362 00:20:37,200 --> 00:20:40,900 но только этим вы не помешаете плохим парням перехватывать сообщения. 363 00:20:41,600 --> 00:20:44,100 Это хорошая вещь, верно? Элис и Боб хотят поговорить 364 00:20:44,300 --> 00:20:46,800 сеть между ними не может считаться защищенной. 365 00:20:47,000 --> 00:20:50,200 Они не могут помешать плохому парню перехватывать данные, 366 00:20:50,300 --> 00:20:52,100 так что они зашифровали их. 367 00:20:52,800 --> 00:20:54,100 Другое свойство - Обладание 368 00:20:54,300 --> 00:21:00,300 Убедитесь, что информация доступна только людям, которым вы разрешили. И вы обеспечиваете это 369 00:21:00,400 --> 00:21:02,600 с помощью механизма контроля доступа. 370 00:21:02,800 --> 00:21:06,500 Но сам по себе контроль доступа не зашифрует ваши данные. 371 00:21:07,100 --> 00:21:08,800 И, да, мы все это хорошо понимаем 372 00:21:09,100 --> 00:21:11,700 просто хорошо видеть это все разобранным здесь. 373 00:21:12,800 --> 00:21:15,500 Давайте немного поговорим об Обладании. 374 00:21:15,700 --> 00:21:19,600 В реальном мире мы привыкли видеть ворота, охранников и оружие 375 00:21:20,200 --> 00:21:22,900 Вы заметили, что у охранников сегодня дубинки на поясе. 376 00:21:25,100 --> 00:21:26,600 Пистолеты завтра, я полагаю. 377 00:21:27,100 --> 00:21:28,400 Это немного пугает меня 378 00:21:28,600 --> 00:21:32,000 У нас на конференции охранники должны разгуливать с оружием. 379 00:21:32,500 --> 00:21:35,300 В компьютерном мире есть списки и права доступа 380 00:21:36,200 --> 00:21:38,300 Мы говорили об этом немного вчера. 381 00:21:39,000 --> 00:21:42,500 Закрытые системы - один из видов контроля Обладания. 382 00:21:43,100 --> 00:21:47,300 Полезны они или нет в современном бизнесе. Я считаю, что об еще стоит поговорить, 383 00:21:47,400 --> 00:21:49,000 но не здесь, сегодня. 384 00:21:49,600 --> 00:21:52,700 У всех форм контроля Обладания есть один недостаток 385 00:21:53,500 --> 00:22:00,300 Они предполагают, что разрешенный пользователь никогда не будет использовать систему во зло. 386 00:22:02,900 --> 00:22:04,600 Разве это не интересно? 387 00:22:06,100 --> 00:22:14,100 Сколько из вас сегодня могут отверждать, что это так для всех в вашей организации? 388 00:22:16,500 --> 00:22:17,900 Да, обычно у нас есть один или два человека. 389 00:22:18,100 --> 00:22:19,300 Где вы работаете, мой друг? 390 00:22:19,500 --> 00:22:23,100 В очень маленькой организации 391 00:22:23,200 --> 00:22:26,200 Вы работаете с тем, что осталось от правительства Бенжамина [Франклина]? 392 00:22:33,500 --> 00:22:35,600 Из организации одного, верно? Вы работаете на себя? 393 00:22:36,500 --> 00:22:37,700 Два? Три? Ладно. 394 00:22:37,900 --> 00:22:40,500 Позвольте мне задать вам вопрос. 395 00:22:41,500 --> 00:22:43,500 Вы помните его? 396 00:22:45,600 --> 00:22:48,800 Разве это не лучшая клавиатура, что вы видели? 397 00:22:48,900 --> 00:22:51,800 Туц туц туц. Вы знали, что вы работаете. 398 00:22:52,000 --> 00:22:57,600 И в конце дня, когда вы заканчивали работу, вы нажимили этот большой выключатель - тыдыщ. 399 00:22:57,700 --> 00:22:59,400 Это было приятно. 400 00:23:02,000 --> 00:23:06,700 Но знаете что, эти машины имели дополнительное свойство 401 00:23:06,800 --> 00:23:11,400 которое помогало обеспечивать безопасность хранимых данных. 402 00:23:12,800 --> 00:23:14,500 Сколько эта штуковина весила? 403 00:23:16,600 --> 00:23:18,700 30 - 35 килограмм? 404 00:23:19,600 --> 00:23:21,400 Это была не легкая машина 405 00:23:22,300 --> 00:23:25,300 Вы не могли легко засунуть ее себе в карман и выйти через главный вход 406 00:23:25,600 --> 00:23:26,900 оставшись незамеченным. 407 00:23:27,900 --> 00:23:29,400 Мы не задумывались об этом 408 00:23:30,000 --> 00:23:33,900 но из-за того, что в те дни данные не были мобильны, 409 00:23:34,600 --> 00:23:38,500 нам не приходилось задумываться ни о чем, кроме контроля Обладания. 410 00:23:39,000 --> 00:23:43,800 Вес машины служил препятствием перенесения данных, 411 00:23:44,300 --> 00:23:46,600 но ведь это не так сегодня, верно? 412 00:23:47,000 --> 00:23:52,700 Даже, если мы используем такие компьютеры сейчас, существует много способов перенести данные из них 413 00:23:53,200 --> 00:23:56,600 Возможно, у вас есть одна или две таких в вашей сумке. 414 00:23:59,100 --> 00:24:04,400 Хороший старомодный способ - отпечатать все на бумаге и выйти через парадный вход? 415 00:24:05,600 --> 00:24:09,800 Мы говорили вчера об использовании бумаги для сохранения паролей. 416 00:24:10,300 --> 00:24:12,700 Это может быть способом воровства данных 417 00:24:13,100 --> 00:24:16,500 Технологии 13-го столетия, судя по всему, все еще довольно полезны в наши дни. 418 00:24:17,000 --> 00:24:18,100 Отправка по электронной почте. 419 00:24:18,300 --> 00:24:20,200 Насколько велик сейчас аккаунт Gmail? 420 00:24:20,400 --> 00:24:23,500 Я не помню. 2 гб? 421 00:24:24,200 --> 00:24:25,400 Ужасающий размер 422 00:24:25,500 --> 00:24:27,400 Сколько аккаунтов Gmail вы можете зарегистрировать? 423 00:24:27,500 --> 00:24:29,400 Хм. Сколько захотите. 424 00:24:31,500 --> 00:24:35,600 И люди всегда будут придумывать способы обойти системы безопасности. 425 00:24:35,800 --> 00:24:38,500 Мы не можем это предотвратить. 426 00:24:38,700 --> 00:24:42,000 Потому что данные теперь мобильны. 427 00:24:43,100 --> 00:24:45,100 Мы должны подумать о новых способах защиты 428 00:24:45,300 --> 00:24:50,500 - Ты уверен, Стив? Неужели мы никак не можем использовать контроль Обладания? 429 00:24:50,600 --> 00:24:52,300 Чтобы ограничить доступ к данным? 430 00:24:53,000 --> 00:24:56,100 БИОС пароли на ноутбуках могли бы помочь 431 00:24:56,900 --> 00:25:00,900 но вы же помните, как его можно сбросить 432 00:25:01,100 --> 00:25:03,700 Вытащить CMOS батарейку 433 00:25:03,900 --> 00:25:05,300 Плохой парень тоже может это сделать. 434 00:25:05,900 --> 00:25:09,300 Как насчет утилиты SysKey? 435 00:25:10,600 --> 00:25:15,200 Кто из вас не знает, что такое SysKey? 436 00:25:15,600 --> 00:25:18,200 Так, несколько человек. Давайте потратим немного времени и определим, что это. 437 00:25:18,700 --> 00:25:20,300 Когда вы устанавливаете Windows, 438 00:25:20,700 --> 00:25:23,300 создается мастер-ключ 439 00:25:23,500 --> 00:25:25,200 который я покажу вам через минуту. 440 00:25:27,500 --> 00:25:31,900 Мастер-ключ используется для защиты всех остальных ключей, хранимых в системе. 441 00:25:32,800 --> 00:25:35,200 По-умолчанию, в первом режиме 442 00:25:35,600 --> 00:25:38,500 мастер-ключ хранится в реестре 443 00:25:39,700 --> 00:25:44,000 и для подавляющего большинства случаев это приемлимо. 444 00:25:44,800 --> 00:25:47,500 Вы можете изменить режим на второй или на третий, 445 00:25:47,700 --> 00:25:50,400 вы можете хранить ключ на дискете или у себя в голове, 446 00:25:50,600 --> 00:25:55,200 но вы должны подумать о некоторых операционных проблемах, если поступите так. 447 00:25:55,600 --> 00:25:59,500 Например, на серверах изменение дефолтного значения - ужасная идея. 448 00:26:00,700 --> 00:26:03,900 Ну, во-первых у этой машины есть дисковод для дискет, поэтому изменение может и быть полезным 449 00:26:04,100 --> 00:26:06,500 Когда последний раз вы видели floppy-дисковод на ноутбуках? 450 00:26:10,000 --> 00:26:14,500 Но давайте предположим, что вы выбрали режим, в котором мастер-ключ сохраняется на дискету 451 00:26:14,700 --> 00:26:17,700 Ваш сервер перезагружается в 2 ночи по каким-то техническим причинам 452 00:26:17,900 --> 00:26:22,100 Если вас не будет там в 2 утра, чтобы вставить дискету, сервер не загрузится. 453 00:26:22,300 --> 00:26:24,500 Так, что вы оставляете дискету в дисководе все время 454 00:26:24,600 --> 00:26:26,800 Разве это не тоже самое, что и в первом режиме? 455 00:26:27,000 --> 00:26:29,400 Или вы решили, что будете хранить ключ у себя в голове. 456 00:26:29,500 --> 00:26:35,300 Отлично. Опять же. Сервер перезагружается и, если вас не будет там в 2 утра, загрузка не завершится. 457 00:26:35,800 --> 00:26:43,000 Так, что я настоятельно не рекомендую рассматривать изменения настроек SysKey, как способ обеспечения безопасности компьютера. 458 00:26:43,600 --> 00:26:47,000 Я должен рассказать вам кое-что, для тех из вас, кто знаком с SysKey. 459 00:26:47,900 --> 00:26:51,600 Мы недавно нашли баг в утилите. 460 00:26:52,700 --> 00:26:54,400 Когда вы вводите [в консоли] syskey и нажимаете Enter, 461 00:26:54,600 --> 00:26:56,600 появляется маленькое диалоговое окно, в котором написано: 462 00:26:56,800 --> 00:27:01,700 При текущих настройках мастер-ключ хранится в реестре. Хотите ли вы это изменить? 463 00:27:01,800 --> 00:27:02,700 Вы говорите - да. 464 00:27:02,900 --> 00:27:05,900 И потом вы можете выбрать - хранить ключ на дискете или у себя в голове. 465 00:27:06,200 --> 00:27:09,200 И потом вы передумываете и решаете, что не хотите ничего менять. 466 00:27:09,300 --> 00:27:13,600 Что должно происходить в Windows, когда вы нажимаете кнопку "Отмена"? 467 00:27:16,000 --> 00:27:17,400 Она должна отменить то, что вы указали. 468 00:27:18,500 --> 00:27:20,100 Маленький баг в утилите SysKey. 469 00:27:20,300 --> 00:27:24,300 В тот момент, когда вы выбираете, что хотите изменить значение по-умолчанию, 470 00:27:24,500 --> 00:27:27,200 SysKey удаляет мастер-ключ из реестра. 471 00:27:29,500 --> 00:27:32,700 И потом, если вы нажимаете "Отмена", она не помещает новый ключ обратно. 472 00:27:36,100 --> 00:27:40,300 Вы думали, что будете хранить ключ на дискете, но передумали и нажали "Отмена". 473 00:27:42,300 --> 00:27:44,900 Вы думаете, что диалоговое окно сделало то, что вы сказали ему сделать. 474 00:27:45,800 --> 00:27:48,700 Вы заканчиваете свой рабочий день, выключаете компьютер 475 00:27:49,100 --> 00:27:51,500 Идете домой и включаете компьютер 476 00:27:51,700 --> 00:27:52,900 Когда загружается Windows, 477 00:27:52,900 --> 00:27:56,400 она спросит о дискете, которой не существует 478 00:27:56,800 --> 00:28:00,800 и будет ждать, пока вы не вставите дискету в дисковод, которого у вас нет 479 00:28:02,300 --> 00:28:04,300 чтобы предоставить мастер-ключ, которого вы не знаете. 480 00:28:05,600 --> 00:28:09,200 Все, что вы можете сделать - переустановить систему. 481 00:28:10,300 --> 00:28:12,600 Мы знаем об этом баге, мы работаем над его устранением, 482 00:28:12,800 --> 00:28:16,400 но я хочу сказать вам о нем сейчас. Вы знаете меня 483 00:28:16,600 --> 00:28:18,200 я не люблю скрывать вещи от вас 484 00:28:20,000 --> 00:28:25,900 Хорошие пароли - единственная оставшаяся форма старых средств безопасности 485 00:28:26,300 --> 00:28:30,500 Нечто, достаточно длинное, чтобы заставить плохих парней держаться подальше. 486 00:28:30,900 --> 00:28:38,800 Вы слышали, как многие из нас говорили о том, что длина значительно лучше, чем сложность. 487 00:28:39,100 --> 00:28:41,900 Некоторые люди использует, короткие пароли, вроде такого 488 00:28:42,000 --> 00:28:46,900 но они совершенно бесполезны - их легко угадать или взломать перебором 489 00:28:47,100 --> 00:28:51,500 но в этом диалоговом окне значительно больше места. Вы можете ввести до 128 символов, если захотите. 490 00:28:53,500 --> 00:28:58,200 Используйте это преимущество - длина всегда лучше сложности. 491 00:28:58,400 --> 00:29:01,800 Когда-нибудь я предоставлю вам расчеты подтверждающие это - мы сейчас работаем над ними. 492 00:29:05,800 --> 00:29:06,600 Возможно, 493 00:29:06,700 --> 00:29:09,300 Возможно, этот парень прав. 494 00:29:09,500 --> 00:29:12,100 Возможно, нам стоит начать задумыватся над средствами обеспечения Конфиденциальности. 495 00:29:14,400 --> 00:29:17,900 Часть триады, о которой мы постоянно говорим, но вечно игнорируем - К часть [Конфиденциальность] 496 00:29:18,400 --> 00:29:20,600 Размышления о том, как зашифровать данные, если окажется 497 00:29:21,400 --> 00:29:25,900 а оно так и оказывается, что сеть, в которой мы работаем, больше не может считатся защищенной. 498 00:29:26,500 --> 00:29:30,400 Существует много средств обеспечения Конфиденциальности поставляемых с ОС 499 00:29:30,800 --> 00:29:33,000 Мы поговорим о некоторых из них тут, сегодня 500 00:29:33,200 --> 00:29:39,100 Большинство из этих форм всем хорошо известны. Я уделю внимание EFS и Bitlocker 501 00:29:39,100 --> 00:29:45,300 И возможно, я затрону некоторые новые вещи в RMS от наших партнеров 502 00:29:45,700 --> 00:29:50,700 Средства обеспечения Конфиденциальности в отличии от средств обеспечения Обладания - обладают общим преимуществом 503 00:29:50,800 --> 00:29:53,400 которое состоит в том, что они защищают данные 504 00:29:53,600 --> 00:29:55,800 независимо от того, где эти данные находятся. 505 00:29:56,500 --> 00:29:59,900 Нам больше не нужно полагаться на сетевые списки доступа 506 00:30:00,500 --> 00:30:03,500 чтобы убедится, что данные в безопасности. 507 00:30:03,900 --> 00:30:09,500 Вот почему средства Конфиденциальности значительно лучше в мире современных портативных компьютеров. 508 00:30:10,400 --> 00:30:12,200 Средства контроля доступа не работают 509 00:30:12,400 --> 00:30:14,900 когда компьютеры настолько малы 510 00:30:15,100 --> 00:30:17,700 что вы можете положить его себе в карман 511 00:30:17,800 --> 00:30:18,800 и выйти через парадные двери 512 00:30:19,100 --> 00:30:20,300 незамеченным 513 00:30:22,600 --> 00:30:24,400 Несколько примеров 514 00:30:24,900 --> 00:30:27,300 Я не буду останавливаться на S/MIME 515 00:30:27,700 --> 00:30:31,300 S/MIME используется для защиты почты во время передачи и в остальное время. 516 00:30:31,400 --> 00:30:33,100 Мы все это хорошо понимаем. 517 00:30:33,300 --> 00:30:37,300 EFS - механизм шифрования отдельных файлов 518 00:30:37,500 --> 00:30:39,700 который существует с Windows 2000 519 00:30:40,100 --> 00:30:43,900 Несколько изменений в Windows Vista, о которых я с вами поговорю 520 00:30:44,000 --> 00:30:48,700 и для тех, кто не знаком с EFS, я дам короткое описание его работы 521 00:30:49,200 --> 00:30:52,900 Мы потратим значительную часть времени на BitLocker 522 00:30:53,100 --> 00:30:56,200 опять же, я предполагаю, что в общем вы знаете, что он делает 523 00:30:56,400 --> 00:30:59,400 мы рассмотрим, как различные сценарии защиты 524 00:30:59,500 --> 00:31:01,300 избавляют от различных рисков. 525 00:31:01,800 --> 00:31:05,900 И, как я уже говорил - RMS. Мы говорили об этом много раз. 526 00:31:06,300 --> 00:31:10,000 Если у нас останется время мы поговорим о вещах, которые привнесли наши партнеры в RMS, 527 00:31:10,100 --> 00:31:13,700 о которых вы, возможно, не знаете, и которые могут решить некоторые ваши проблемы. 528 00:31:14,900 --> 00:31:17,300 Еще один момент, на который важно обратить внимание 529 00:31:19,200 --> 00:31:22,900 Если сравнивать Конфиденциальность с Обладанием 530 00:31:23,200 --> 00:31:26,700 Средства обеспечения Обладания эффективны 531 00:31:26,900 --> 00:31:29,200 когда есть учет клиентов. 532 00:31:30,500 --> 00:31:32,000 Члены домена 533 00:31:32,100 --> 00:31:34,000 мы знаем имя машины 534 00:31:34,100 --> 00:31:34,900 и имя пользователя 535 00:31:35,100 --> 00:31:36,900 И таким образом мы можем составить списки доступа 536 00:31:37,000 --> 00:31:40,500 На машинах не подключенных к сети это довольно сложно 537 00:31:40,600 --> 00:31:42,500 так как нет никакой учетной записи связанной с компьютером 538 00:31:42,700 --> 00:31:45,500 Средства Кофиденциальности обычно работают в любых условиях 539 00:31:46,900 --> 00:31:48,800 Но, я хочу, чтобы вы понимали кое-что 540 00:31:49,600 --> 00:31:54,600 EFS и BitLocker лучше работают, когда есть учет клиентов 541 00:31:54,900 --> 00:31:56,900 Позвольте я объясню, что значит "лучше работают". 542 00:31:57,100 --> 00:31:59,900 Они, конечно, будут работать на автономных компьютерах 543 00:32:00,200 --> 00:32:02,000 и вполне хорошо будут защищать информацию. 544 00:32:03,100 --> 00:32:04,900 Но подумайте вот о чем. 545 00:32:05,100 --> 00:32:09,500 Если вы начнете шифровать данные в вашем предприятии 546 00:32:09,600 --> 00:32:14,500 станет значительно сложнее восстановить данные 547 00:32:14,700 --> 00:32:17,000 если Элис потеряет ее ключ 548 00:32:17,200 --> 00:32:21,900 или если Элис станет опасной и ее придется уволить 549 00:32:22,000 --> 00:32:23,800 и провести расследование у нее на компьютере. 550 00:32:25,200 --> 00:32:28,700 Все хорошие корпоративные средства шифрования 551 00:32:28,900 --> 00:32:31,100 имеют некий механизм 552 00:32:31,300 --> 00:32:35,100 позволяющий добратся до данных без знания первичного ключа. 553 00:32:35,900 --> 00:32:38,800 И я покажу вам, как это работает и в EFS, и в BitLocker 554 00:32:38,900 --> 00:32:43,400 Об этом важно помнить каждый раз, когда вы оцениваете, подходит ли вам эта технология или нет. 555 00:32:44,000 --> 00:32:46,900 И что я имею ввиду под "лучше работают, когда есть учет клиентов", 556 00:32:47,100 --> 00:32:51,000 так это то, что эти технологии разработаны так, что вы можете автоматизировать 557 00:32:51,600 --> 00:32:57,200 создание и работу запасного пароля 558 00:32:57,300 --> 00:32:59,600 или запасного механизма восстановления данных. 559 00:32:59,700 --> 00:33:01,100 Вам больше не нужно делать это вручную 560 00:33:03,200 --> 00:33:04,700 Опять же - если вам не нравятся эти технологии 561 00:33:04,900 --> 00:33:07,500 используйте то, что подходит вам. 562 00:33:07,700 --> 00:33:08,900 Скажите, почему эти технологии вам не подходят. 563 00:33:09,300 --> 00:33:10,500 Но каждый раз, когда вы выбираете технологию для внедрения, 564 00:33:10,700 --> 00:33:15,400 если эта технология не предоставляет вам никакого механизма восстановления данных 565 00:33:15,600 --> 00:33:18,700 вычеркните эту технологию из списка вариантов. 566 00:33:19,900 --> 00:33:23,100 Вам лучше не смотреть в сторону программного продукта, в котором есть только один ключ 567 00:33:23,200 --> 00:33:24,900 потому что если этот ключ потеряется 568 00:33:25,100 --> 00:33:26,400 все зашифрованные данные потеряны навсегда. 569 00:33:28,700 --> 00:33:31,800 Есть много мест в Windows, где используются ключи для шифрования 570 00:33:32,100 --> 00:33:33,700 Вы можете видеть список здесь 571 00:33:33,800 --> 00:33:37,400 У некоторых людей возникает вопрос: Как все эти ключи защищены? 572 00:33:37,800 --> 00:33:40,200 Давайте разберем схему 573 00:33:40,400 --> 00:33:41,900 которая объяснит вам это. 574 00:33:42,600 --> 00:33:45,200 Людям бывает довольно интересно посмотреть на эту схему 575 00:33:46,200 --> 00:33:52,700 Вы знаете, что в домене, в дополнении к тому, что у вас есть аккаунт, у компьютера тоже есть аккаунт. 576 00:33:53,300 --> 00:33:56,300 Это значит, что у компьютера есть свой идентификатор, у него есть свой профиль 577 00:33:56,400 --> 00:33:59,300 И в некоторых случаях компьютер сам по себе использует ключи 578 00:33:59,500 --> 00:34:02,100 Для таких вещей как SSL и веб-сервисов 579 00:34:02,200 --> 00:34:05,200 или для IPsec, когда два компьютера разговаривают между собой 580 00:34:05,700 --> 00:34:10,500 Все эти ключи защищены с помощью ключа DPAPI, связанного с аккаунтом компьютера 581 00:34:10,900 --> 00:34:16,200 DPAPI ключ генерируется, когда создается аккаунт компьютера 582 00:34:16,400 --> 00:34:25,100 На том же уровне: SAM или базы данных AD, LSA Secrets и пароль администратора безопасного режима 583 00:34:25,600 --> 00:34:28,600 Все это защищено с помощью загрузочного ключа 584 00:34:28,700 --> 00:34:33,100 тем мастер-ключом, SysKey и вы можете видеть три доступных режима его хранения. 585 00:34:35,300 --> 00:34:37,900 На вашем уровне, человеческом уровне, пользовательском уровне 586 00:34:38,100 --> 00:34:40,200 есть другая группа ключей 587 00:34:40,300 --> 00:34:43,200 например для EFS или S/MIME 588 00:34:43,700 --> 00:34:47,200 Она защищена с помощью пользовательского ключа DPAPI 589 00:34:47,600 --> 00:34:51,000 который открывается после того, как пользователь выполнит вход в систему 590 00:34:51,700 --> 00:34:53,800 На этом же уровне - профили пользователей 591 00:34:54,000 --> 00:34:57,900 локальные копии которых защищены тем же загрузочным ключом 592 00:34:58,300 --> 00:34:59,100 на этом компьютере. 593 00:34:59,200 --> 00:35:01,600 Вот такая последовательность 594 00:35:01,800 --> 00:35:04,300 как ключи защищены в операционной системе. 595 00:35:06,200 --> 00:35:08,500 Давайте перейдем к нашим технологиям 596 00:35:08,600 --> 00:35:12,300 EFS будет первой, которую я хочу немного обсудить 597 00:35:12,900 --> 00:35:16,600 Это осмотр основных положений, для тех из вас, кто еще не знаком с EFS 598 00:35:16,800 --> 00:35:19,000 Я делаю некоторые допущения 599 00:35:19,200 --> 00:35:25,200 Используется: учетные записи пользователей домена, корпоративное сертификационное бюро, Windows Server 2003 и Windows Xp 600 00:35:25,400 --> 00:35:28,300 Почему используется именно доменные аккаунты? Это важно 601 00:35:29,300 --> 00:35:35,000 Вы можете зайти в Интернет и найти разные документы, которые объясняют 602 00:35:35,100 --> 00:35:37,800 что EFS - сломан. 603 00:35:37,900 --> 00:35:40,100 И вы не должны использовать его ни для чего. 604 00:35:40,900 --> 00:35:44,000 Но они не говорят вам (или это очень сложно найти) 605 00:35:44,200 --> 00:35:48,100 что в системе, которую они взламывали, 606 00:35:48,300 --> 00:35:50,500 они используют только локальные учетные записи. 607 00:35:51,800 --> 00:35:53,700 Локальные учетные записи уязвимы 608 00:35:53,900 --> 00:35:59,300 некоторым типам атак, которые выполняет утилита Kane and Abel 609 00:36:00,700 --> 00:36:03,600 Если вам это интересно, просто поищите 'Kane and Abel' 610 00:36:04,300 --> 00:36:07,500 надо полагать в хакерском мире есть множество упоминаний об этой утилите. 611 00:36:08,700 --> 00:36:12,800 Если вы возьмете локальный компьютер и эту утилиту, 612 00:36:13,300 --> 00:36:16,100 вы сможете перебором получить пароли локальных аккаунтов. 613 00:36:17,600 --> 00:36:20,000 Это бы сделало EFS бесполезным, если у вас будет пароль 614 00:36:20,100 --> 00:36:21,400 или даже хеш пароля. 615 00:36:22,300 --> 00:36:28,500 Но доменный аккаунт не уязвим для атаки утилиты Kane and Abel. 616 00:36:28,800 --> 00:36:31,900 В нем не хранится весь хеш пароля 617 00:36:32,500 --> 00:36:36,800 Там хранится хеш хеша, другими словами хеш смешанная с вашим ID пользователя. 618 00:36:36,900 --> 00:36:41,100 Недостаточно информации для утилиты, чтобы достать ваш пароль 619 00:36:41,200 --> 00:36:43,700 и добраться к вашим зашифрованным с помощью EFS файлам. 620 00:36:44,300 --> 00:36:47,100 Используйте лишь доменные учетные записи с EFS 621 00:36:47,300 --> 00:36:49,900 и ваши данные - в сохранности. 622 00:36:50,900 --> 00:36:55,000 Итак, Элвис (надо полагать все хакеры или шифровальщики выглядят как Элвис) 623 00:36:55,100 --> 00:36:58,500 хочет зашифровать файл. Он никогда не делал такого в своей жизни. 624 00:36:59,300 --> 00:37:05,700 Только один раз его компьютер найдет сертификационный сервер 625 00:37:06,100 --> 00:37:08,700 и запросит EFS сертификат, 626 00:37:08,800 --> 00:37:10,300 который будет храниться в профиле пользователя. 627 00:37:10,900 --> 00:37:12,100 Но такое происходит только в первый раз. 628 00:37:12,300 --> 00:37:16,900 Теперь, и во все следующий разы, когда Элвис захочет зашифровать файл, 629 00:37:17,100 --> 00:37:22,100 его компьютер сгенерирует ключ для шифрования файла 630 00:37:22,200 --> 00:37:24,600 Да, существует уникальный ключ для каждого файла. 631 00:37:25,200 --> 00:37:26,300 Зашифрует файл ключем. 632 00:37:26,500 --> 00:37:29,100 Затем он сделает две копии ключа 633 00:37:29,500 --> 00:37:32,100 Первая копия будет зашифрована EFS сертификатом пользователя. 634 00:37:32,300 --> 00:37:34,800 Таким образом Элвис сможет добраться к своим файлам. 635 00:37:35,600 --> 00:37:40,900 Вторая копия ключа для шифрования файла будет зашифрована с помощью recovery agent по-умолчанию 636 00:37:41,400 --> 00:37:44,200 Это последний способ добраться к файлам. 637 00:37:44,300 --> 00:37:46,700 По-умолчанию, это первый аккаунт администратора домена. 638 00:37:46,900 --> 00:37:48,100 Пожалуйста, измените это. 639 00:37:48,300 --> 00:37:51,500 Вероятно, на кого-то не из ИТ отдела. 640 00:37:51,900 --> 00:37:55,900 Обладателем этого сертификата будет кто-то в юридическом отделе 641 00:37:56,000 --> 00:37:57,300 или отделе аудита. 642 00:37:57,600 --> 00:37:59,400 Кто-нибудь из этих ребят, которых мы обычно считаем врагами, 643 00:37:59,500 --> 00:38:01,300 но иногда они могут быть вашими друзьями. 644 00:38:02,100 --> 00:38:04,800 Но в любом случае - это должен быть кто-то другой. Вам лучше сменить настройку по-умолчанию. 645 00:38:05,400 --> 00:38:07,900 И потом, если Элвис потеряет свой ключ, 646 00:38:08,100 --> 00:38:10,100 или станет плохим и его придется уволить 647 00:38:10,500 --> 00:38:15,300 обладатель DRA [Data Recovery Agent] сертификата сможет расшифровать файлы. 648 00:38:17,400 --> 00:38:20,100 И в конце концов эти два ключа прикрепляются к файлу и так и хранятся. 649 00:38:20,700 --> 00:38:21,400 Очень просто. 650 00:38:21,700 --> 00:38:24,400 Мне нравится EFS, я довольно много использую ее. 651 00:38:25,100 --> 00:38:30,100 Кроме моего компьютера с Vista, на котором я использую технологию, о которой мы поговорим позже. 652 00:38:31,200 --> 00:38:33,400 Некоторые изменения в Windows Vista 653 00:38:33,800 --> 00:38:38,500 Вы теперь можете хранить пользовательские ключи и RA на смарт карте. 654 00:38:38,600 --> 00:38:41,000 Это значительно облегчает задачу 655 00:38:41,200 --> 00:38:42,700 восстановления файлов. 656 00:38:43,500 --> 00:38:46,300 Теперь человек с DRA 657 00:38:46,500 --> 00:38:49,400 не должен помнить о том, что ему надо удалить DRA с компьютера, 658 00:38:49,500 --> 00:38:50,800 на котором он восстанавливал файлы. 659 00:38:51,900 --> 00:38:52,800 Все значительно проще. 660 00:38:52,900 --> 00:38:54,500 У нас повсюду ридеры смарт карт 661 00:38:54,900 --> 00:38:58,500 Владелец DRA подходит к компьютеру со смарт картой, 662 00:38:58,700 --> 00:38:59,900 вставляет в ридер 663 00:39:00,000 --> 00:39:01,200 расшифровует файлы 664 00:39:01,400 --> 00:39:05,600 и вытаскивает карту. И ключ на самом деле никогда не хранится на этом компьютере. 665 00:39:05,900 --> 00:39:06,800 Это мне нравится. 666 00:39:07,300 --> 00:39:11,000 Мы также теперь шифруем файл подкачки 667 00:39:11,500 --> 00:39:16,600 (и оно выпало за низ слайда). Мы теперь используем пользовательский ключ, а не ключ системы 668 00:39:16,700 --> 00:39:19,300 чтобы шифровать кеш оффлайн файлов. 669 00:39:20,000 --> 00:39:23,300 Существует утилита, которая возможно вас заинтересует, 670 00:39:23,400 --> 00:39:26,000 если вы захотите внедрить EFS на предприятии 671 00:39:26,300 --> 00:39:28,200 EFS - отличная технология. 672 00:39:29,000 --> 00:39:32,700 Но они несколько 673 00:39:32,900 --> 00:39:33,700 не незаметна. 674 00:39:34,300 --> 00:39:36,500 Ну, то есть, она незаметна, но вы должны помнить о том, что ей нужно пользоватся. 675 00:39:37,100 --> 00:39:38,800 Предположим, вы умны 676 00:39:39,300 --> 00:39:40,500 и вы хотите 677 00:39:40,800 --> 00:39:42,200 Вы все тут умные. 678 00:39:42,300 --> 00:39:45,500 Предположим, что вы сделали, как я 679 00:39:45,600 --> 00:39:47,400 и зашифровали всю папку Мои документы 680 00:39:48,200 --> 00:39:49,100 Хорошее начало 681 00:39:50,500 --> 00:39:51,900 Но, если вы как я 682 00:39:52,600 --> 00:39:55,600 то вы используете рабочий стол для файлов, над которыми сейчас работаете. 683 00:39:55,900 --> 00:39:58,400 Рабочий стол заполнен всяким мусором, который лежит там месяцами, 684 00:39:58,600 --> 00:40:02,100 И лучший способ уборки - выбрать все и удалить. 685 00:40:02,900 --> 00:40:05,000 Что-то вроде того, что я делаю со своими электронными письмами периодически. 686 00:40:06,000 --> 00:40:06,800 Кто-нибудь когда-нибудь такое делал? 687 00:40:07,100 --> 00:40:12,700 Мне интересно. Кто-нибудь когда-нибудь нажимал Ctrl+A, закрывал глаза и нажимал кнопку Delete, чтобы удалить все письма? 688 00:40:15,600 --> 00:40:18,600 Разве это не самая очищающая вещь, которую вы делали в своей жизни? 689 00:40:18,900 --> 00:40:20,200 Замечательное чувство! 690 00:40:21,800 --> 00:40:23,200 Три человека. 691 00:40:24,800 --> 00:40:31,500 EFS работает лучше, если у вас одинаковая конфигурация на всех машинах в домене 692 00:40:31,900 --> 00:40:33,200 этого несколько сложно добится 693 00:40:33,500 --> 00:40:40,700 Вышла новая утилита, которая идет в Solution Accelerator для Vista, но так же работает на ХР 694 00:40:41,300 --> 00:40:46,600 которая позволит вам разработать одинаковую политику для EFS на всех ваших компьютеров. 695 00:40:46,900 --> 00:40:48,700 И вы можете просто использовать групповую политику 696 00:40:49,100 --> 00:40:53,100 По-умолчанию вот эти файлы зашифрованы 697 00:40:53,500 --> 00:40:55,400 давайте будем предельно точными 698 00:40:55,500 --> 00:40:57,500 EFS не шифрует папки 699 00:40:57,700 --> 00:41:01,300 Вы можете пометить папку как зашифрованную 700 00:41:01,600 --> 00:41:02,900 но на самом деле это означает 701 00:41:03,100 --> 00:41:05,700 каждый отдельный файл в папке зашифрован. 702 00:41:06,000 --> 00:41:07,700 Просто, чтобы вы понимали, как это работает. 703 00:41:07,900 --> 00:41:09,900 Это папки по-умолчанию 704 00:41:10,000 --> 00:41:12,800 в которых утилита включит EFS. 705 00:41:13,000 --> 00:41:14,300 Вы можете изменить это 706 00:41:14,500 --> 00:41:16,600 настолько, насколько захотите. 707 00:41:18,100 --> 00:41:20,300 Идем дальше - к Bitlocker. 708 00:41:21,600 --> 00:41:23,200 Это, без сомнений, 709 00:41:23,500 --> 00:41:28,000 моя любимая фича связанная с безопасностью в Windows Vista. 710 00:41:28,100 --> 00:41:34,700 Это механизм, который позволит вам уменьшить финансовые потери 711 00:41:34,900 --> 00:41:36,900 связанные с украденными ноутбуками. 712 00:41:37,100 --> 00:41:40,500 Помните опрос, который был вначале презентации? 713 00:41:41,400 --> 00:41:43,400 Я сделаю предположение, что вы знаете, что это такое. 714 00:41:43,600 --> 00:41:45,700 Это способ зашифровать том диска 715 00:41:46,000 --> 00:41:49,900 Он называется BitLocker Drive Encryption, но на самом деле он работает на уровне томов. Диск С, диск D 716 00:41:50,500 --> 00:41:52,900 На самом деле, на Vista, это только диск С, 717 00:41:53,200 --> 00:41:54,800 но через секунду я уточню. 718 00:41:55,900 --> 00:41:57,700 Когда я попробовал запустить BitLocker на своем компьютере, 719 00:41:58,000 --> 00:42:02,300 он пожаловался: "Эй. У тебя не правильно размечен диск", 720 00:42:02,600 --> 00:42:05,800 но более того "У тебя нет TPM" 721 00:42:06,100 --> 00:42:08,800 "Я не буду работать, пока ты не дашь мне TPM". 722 00:42:09,000 --> 00:42:10,700 Что за черт этот TPM? 723 00:42:14,900 --> 00:42:18,400 Почему.. 724 00:42:18,900 --> 00:42:23,200 шифрование на DVD дисках - всегда и в любом случае - деньги на ветер? 725 00:42:23,300 --> 00:42:25,000 Где ключ? 726 00:42:26,600 --> 00:42:28,100 Что? 727 00:42:29,700 --> 00:42:31,500 Часть из него - в прошивке проигрывателя 728 00:42:31,700 --> 00:42:33,400 но где другая часть? На самом диске, верно? 729 00:42:35,700 --> 00:42:37,400 Сколько вас тут верит, 730 00:42:37,500 --> 00:42:41,900 что если вы поместите ключ туда же, куда и шифруемую вещь 731 00:42:42,200 --> 00:42:43,900 то это хорошая идея? 732 00:42:47,100 --> 00:42:48,300 Вы можете найти его, 733 00:42:49,500 --> 00:42:52,400 и соответственно, вы можете расшифровать то, что им зашифровано., 734 00:42:53,800 --> 00:42:57,600 Другая фундаментальная основа компьютерных наук - если хотите зашифровать что-то, 735 00:42:58,200 --> 00:43:00,500 вы должны хранить ключ где-нибудь в другом месте. 736 00:43:03,400 --> 00:43:06,900 BitLocker не будет работать 737 00:43:07,700 --> 00:43:11,600 пока вы не разместите ключ где-нибудь в другом месте. 738 00:43:13,600 --> 00:43:16,300 И у вас есть 4 варианта, где вы можете хранить этот ключ. 739 00:43:16,400 --> 00:43:17,800 Мы взглянем на них через минуту. 740 00:43:19,500 --> 00:43:22,800 Но сначала я хочу поговорить о TPM 741 00:43:23,500 --> 00:43:24,700 Trusted Platform Module 742 00:43:25,100 --> 00:43:26,500 Это микросхема 743 00:43:26,900 --> 00:43:28,400 BitLocker будет требовать версию 1.2 744 00:43:28,500 --> 00:43:29,700 присоединенный к материнской плате 745 00:43:29,800 --> 00:43:34,400 Держитесь подальше от компьютеров, в которых TPM находится на выносной плате, которую нужно вставлять. 746 00:43:34,500 --> 00:43:37,000 Это нарушает спецификации. 747 00:43:37,700 --> 00:43:39,200 TPM должен быть присоединен к материнской плате. 748 00:43:40,100 --> 00:43:45,500 Эта микросхема будет хранить ключ для шифрования, используемый BitLocker 749 00:43:47,300 --> 00:43:49,700 Но так же он делает и кое-что другое. 750 00:43:51,900 --> 00:43:54,600 В TPM есть 16 регистров - Platform Configuration Registers (PCR) 751 00:43:56,900 --> 00:43:59,000 Если у вас будет один такой в вашем компьютере, 752 00:43:59,400 --> 00:44:01,100 то, когда вы включите компьютер, 753 00:44:01,300 --> 00:44:03,600 TPM перехватит процесс загрузки. 754 00:44:05,700 --> 00:44:08,200 Так что ваш компьютер не будет сразу загружать БИОС 755 00:44:08,300 --> 00:44:11,300 вместо этого он загрузит БИОС в TPM 756 00:44:11,500 --> 00:44:15,900 и TPM посчитает SHA-1 хеш кода БИОСа 757 00:44:16,300 --> 00:44:18,100 прежде, чем код запустится. 758 00:44:18,500 --> 00:44:22,400 И потом он сравнит этот хеш с хешем, который он посчитал в прошлый раз. 759 00:44:23,300 --> 00:44:26,700 Если хеши одинаковые, то TPM скажет "Изменений нет" 760 00:44:27,100 --> 00:44:29,900 Если хеши не совпадают (мы не знаем, что там за изменения 761 00:44:30,100 --> 00:44:33,100 это ведь хеши), но TPM скажет "Изменения!" 762 00:44:34,100 --> 00:44:35,300 Итак, а кого это заботит? 763 00:44:36,300 --> 00:44:37,400 BitLocker 764 00:44:38,600 --> 00:44:44,100 BitLocker'у нужны результаты этих измерений кода 765 00:44:44,800 --> 00:44:47,300 и если в любой момент времени 766 00:44:48,400 --> 00:44:51,800 TPM скажет: "Эй! Были изменения". 767 00:44:52,500 --> 00:44:54,100 "Хеши не сопадают" 768 00:44:54,600 --> 00:44:58,100 BitLocker прекратит загрузку операционной системы 769 00:44:59,800 --> 00:45:02,800 Так что, когда вы используете BitLocker вместе с чипом TPM 770 00:45:03,300 --> 00:45:07,600 в дополнении к шифрованию раздела Windows и хранению ключа в TPM 771 00:45:08,700 --> 00:45:12,800 Он так же гарантирует вам целостность процесса загрузки 772 00:45:13,300 --> 00:45:15,900 Вы знаете, что со вчера на сегодня 773 00:45:16,300 --> 00:45:19,000 копия Windows на вашем винчестере 774 00:45:19,400 --> 00:45:20,900 не была изменена. 775 00:45:22,100 --> 00:45:24,500 После БИОСа мы делаем тоже самое с option ROMs 776 00:45:25,100 --> 00:45:26,500 потом с главной загрузочной записью 777 00:45:26,800 --> 00:45:28,500 Что дальше? 778 00:45:29,100 --> 00:45:31,800 Первый сектор активного загрузочного раздела 779 00:45:33,300 --> 00:45:35,800 Remainder, загрузочный код, загрузчик 780 00:45:36,400 --> 00:45:41,500 и в конце концов, если никто из них не сказал "Эй, были изменения" 781 00:45:41,700 --> 00:45:45,800 TPM высвобождает корневой ключ BitLocker'a 782 00:45:46,000 --> 00:45:47,100 из 11-го регистра. 783 00:45:48,300 --> 00:45:49,100 Мне это нравится. Довольно сильно 784 00:45:50,400 --> 00:45:53,900 Мне нравится тот факт, что BitLocker вместе с чипом TPM 785 00:45:54,300 --> 00:45:56,100 обеспечивает меня двумя типами защиты. 786 00:45:57,000 --> 00:45:58,300 Защита раздела Windows 787 00:45:58,500 --> 00:46:00,700 и защита процесса загрузки. 788 00:46:02,400 --> 00:46:04,800 Когда вы используете чип TPM вместе с BitLocker 789 00:46:05,300 --> 00:46:07,400 так выглядит процесс расшифровки: 790 00:46:07,500 --> 00:46:09,500 Шаг 1. БИОС запускается, идет проверка изменений 791 00:46:09,700 --> 00:46:16,100 Шаг 2. TPM высвобождает корневой ключ (SRK) и расшифровует мастер ключ тома (VMK) хранимый на диске. 792 00:46:16,100 --> 00:46:20,400 Мастер ключ тома зашифрован. Вы можете хранить зашифрованные ключи на диске и все будет хорошо. 793 00:46:20,900 --> 00:46:24,200 Вы не можете расшифровать мастер ключ тома без корневого ключа 794 00:46:25,000 --> 00:46:26,700 и корневой ключ не на диске. 795 00:46:27,800 --> 00:46:32,100 Затем мастер ключ тома рашифровует другой ключ, называемый ключом тома (FVEK) 796 00:46:32,900 --> 00:46:36,900 который в конце концов используется для расшифровки данных с винчестера. 797 00:46:37,100 --> 00:46:40,100 Вы, наверно, спрашиваете себя: Ладно, я понял зачем нужен корневой ключ 798 00:46:40,700 --> 00:46:42,900 вне компьютера 799 00:46:43,300 --> 00:46:44,500 вне диска 800 00:46:44,700 --> 00:46:47,400 таким образом нужен еще один зашифрованный ключ на диске 801 00:46:47,500 --> 00:46:49,200 в этом есть логика. Но зачем два? 802 00:46:50,900 --> 00:46:54,500 Почему не переходить сразу от корневого ключа к ключу тома? 803 00:46:55,100 --> 00:46:57,900 Зачем нужен этот отдельный промежуточный ключ? 804 00:46:58,400 --> 00:47:00,000 Мастер ключ тома. 805 00:47:01,700 --> 00:47:03,300 Допустим у вас диск на 100 Гб 806 00:47:04,500 --> 00:47:06,800 Что? 807 00:47:07,300 --> 00:47:10,100 Нет, на самом деле это операционный вопрос. Я сейчас остановлюсь на этом. 808 00:47:11,300 --> 00:47:12,500 Предположим 100 Гб диск. 809 00:47:12,900 --> 00:47:17,300 Сколько времени займет шифрование диска в первый раз, когда вы включите BitLocker? 810 00:47:18,500 --> 00:47:19,800 Вероятно, от 2-х до 3-х часов. 811 00:47:21,500 --> 00:47:23,500 Теперь, 6 месяцев спустя 812 00:47:24,000 --> 00:47:24,500 нет, 6 недель спустя 813 00:47:25,400 --> 00:47:28,200 ваш производитель ноутбука выпускает обновление для БИОС 814 00:47:29,400 --> 00:47:31,600 Что произойдет, если вы измените БИОС? 815 00:47:31,800 --> 00:47:33,400 Помните, на что TPM обращает внимание? 816 00:47:33,600 --> 00:47:36,300 БИОС теперь не сходится с предыдущим. 817 00:47:36,800 --> 00:47:37,700 Хеши разные. 818 00:47:38,100 --> 00:47:40,200 BitLocker скажет: "Эй, были изменения!" 819 00:47:40,600 --> 00:47:42,200 и Windows больше не загружается. 820 00:47:43,700 --> 00:47:45,200 Наверно не то, на что вы расчитывали. 821 00:47:46,100 --> 00:47:47,200 Вот, что бы вы могли сделать 822 00:47:47,600 --> 00:47:49,800 Вы могли бы отключить BitLocker 823 00:47:50,300 --> 00:47:53,100 А какие у вас остаются варианты? 824 00:47:53,400 --> 00:47:55,600 Иначе вам пришлось бы сначала расшифровать том 825 00:47:55,700 --> 00:47:57,100 (2 - 3 часа потеряно) 826 00:47:57,400 --> 00:48:00,000 сделать обновление БИОС и снова зашифровать том 827 00:48:00,400 --> 00:48:03,100 Вы только что потеряли 6 часов выполняя обновление БИОС! 828 00:48:04,000 --> 00:48:05,300 Так вот, что вы делаете вместо этого. 829 00:48:06,100 --> 00:48:07,600 Вы отключаете BitLocker 830 00:48:08,100 --> 00:48:12,000 Отключение BitLocker удаляет корневой ключ из TPM 831 00:48:12,600 --> 00:48:17,400 и заменяет мастер ключ тома расшифрованным тестовым ключем 832 00:48:17,700 --> 00:48:19,900 Другими словами он виден на диске. 833 00:48:20,300 --> 00:48:23,100 Так что NTFS может сохранять и читать файлы 834 00:48:23,700 --> 00:48:25,600 но защита BitLocker отключена. 835 00:48:26,500 --> 00:48:28,100 Теперь вы можете обновить БИОС 836 00:48:29,000 --> 00:48:31,300 и затем вы заново включаете BitLocker. 837 00:48:31,700 --> 00:48:37,500 Включение BitLocker заменяет открытый текстовый ключ новым мастер ключем тома, 838 00:48:37,600 --> 00:48:39,600 создает новый корневой ключ, 839 00:48:39,700 --> 00:48:41,800 зашифровует мастер ключ тома корневым 840 00:48:41,900 --> 00:48:44,000 и помещает корневой ключ обратно в TPM. 841 00:48:44,800 --> 00:48:47,300 Теперь вы можете обновить БИОС в течение 3-х минут. 842 00:48:47,700 --> 00:48:49,100 а не 3-х часов. 843 00:48:49,300 --> 00:48:51,900 Вот зачем нужен этот дополнительный ключ. 844 00:48:53,700 --> 00:48:58,300 Вот еще одна вещь, которую я люблю делать, когда говорю о BitLocker. 845 00:48:59,200 --> 00:49:06,500 Некоторые люди ошибочно считают эту отдельную технологию решением всех проблем безопасности. 846 00:49:08,400 --> 00:49:13,600 Друзья мои, если была одна такая технология 847 00:49:14,100 --> 00:49:17,100 которая могла бы решить все ваши проблемы безопасности. 848 00:49:23,200 --> 00:49:25,400 Но знаете что? Таких технологий нет 849 00:49:25,600 --> 00:49:28,300 которая смогла бы решить все ваши проблемы по безопасности. 850 00:49:29,000 --> 00:49:32,300 BitLocker разработан для определенных сценариев атак, таких как: 851 00:49:32,700 --> 00:49:38,000 Раскрытие ключа. Мы сделали это очень очень сложным. 852 00:49:38,500 --> 00:49:43,100 Задумайтесь вот над чем на секунду. Предположим у вас есть диск на 100 гб, из которых 99 - свободны 853 00:49:43,300 --> 00:49:46,000 Вы шифруете весь этот диск 854 00:49:46,400 --> 00:49:49,500 В большинстве своем вы зашифровали свободное место 855 00:49:51,500 --> 00:49:54,600 Есть определенные утилиты, которые позволят вам взломать ключ 856 00:49:54,800 --> 00:49:58,900 если шифруемый текст достаточно предсказуем. 857 00:50:00,300 --> 00:50:02,100 Для того, чтобы избежать этого 858 00:50:02,300 --> 00:50:06,600 мы добавили в AES механизм называемый Elephant Diffuser. 859 00:50:07,100 --> 00:50:09,400 Поищите его в Сети, если хотите узнать, как он работает. 860 00:50:10,000 --> 00:50:12,500 Но, если кратко, то он рандомизирует свободное пространство 861 00:50:12,900 --> 00:50:18,500 так что эти утилиты, которые взламывают методом перебора предсказуемый текст 862 00:50:18,500 --> 00:50:20,100 более не будут работать. 863 00:50:20,800 --> 00:50:23,300 Оффлай атаки на Windows. Помните у нас есть TPM, 864 00:50:23,700 --> 00:50:25,000 следящий за процессом загрузки. 865 00:50:25,800 --> 00:50:28,300 Утечки данных с винчестера, списанные компьютеры. 866 00:50:28,400 --> 00:50:29,400 Это интересно. 867 00:50:29,900 --> 00:50:33,100 Что вы делаете с винчестером на старом компьютере, если у вас появляется новый? 868 00:50:34,500 --> 00:50:35,300 Ничего. 869 00:50:37,300 --> 00:50:39,200 Хм, я думаю, я читал о вас раньше. Как, еще раз, ваше имя? 870 00:50:41,100 --> 00:50:44,500 Там нет никаких личных данных? Ничего о чем бы вы беспокоились? 871 00:50:44,600 --> 00:50:46,100 Нет? Ничего? 872 00:50:46,400 --> 00:50:47,700 Ок, это очень интересно. 873 00:50:47,900 --> 00:50:50,200 У большинства из нас есть что-то, что мы хотим скрыть. 874 00:50:50,700 --> 00:50:54,100 Прежде, чем вы отдадите свой старый компьютер кому-нибудь, 875 00:50:54,400 --> 00:50:55,700 что вы сделаете с данными на жестком диске? 876 00:50:56,900 --> 00:50:58,100 Форматирование? Этого достаточно? 877 00:50:58,900 --> 00:51:00,200 Стирание. Этого достаточно? 878 00:51:00,700 --> 00:51:03,300 Нет, вам нужно что-то, что бы стерло все с диска много много раз. 879 00:51:03,900 --> 00:51:07,700 Или вы говорите "Забудь об этом", пусть этот человек покупает новый винчестер, берете свой жеский диск 880 00:51:07,800 --> 00:51:09,200 кладете на землю 881 00:51:09,400 --> 00:51:12,000 и, я не знаю, из дробовика его. 882 00:51:13,400 --> 00:51:17,200 Паяльные лампы на удивление медленно уничтожают жеские диски. 883 00:51:17,500 --> 00:51:19,200 А что если бы он был зашифрован 884 00:51:19,600 --> 00:51:21,000 и вы удалили бы ключ? 885 00:51:22,800 --> 00:51:23,700 Разве это не интересно? 886 00:51:24,500 --> 00:51:30,900 Есть некоторые атаки, которые, можете представить, не предотвращаются BitLocker'ом. 887 00:51:31,700 --> 00:51:34,400 Первая - довольно любопытная 888 00:51:34,900 --> 00:51:43,600 BitLocker защищает процесс загрузки. BitLocker высвобождает корневой ключ из TPM после завершения загрузки 889 00:51:44,100 --> 00:51:46,500 Если вы поместить компьютер в ждущий режим или гибернацию 890 00:51:46,700 --> 00:51:48,800 ОС уже загружена. 891 00:51:51,500 --> 00:51:53,000 BitLocker уже выполнил свою работу. 892 00:51:53,700 --> 00:51:57,800 Так что не забудьте включить настройку групповой политики безопасности, которая требует пользователей вводить пароль 893 00:51:58,200 --> 00:51:59,000 каждый раз когда компьютер возвращается в рабочий режим. 894 00:52:00,100 --> 00:52:03,500 Если бы вы отошли от своего компьютера 895 00:52:03,700 --> 00:52:04,700 и не заблокировали его 896 00:52:05,300 --> 00:52:13,700 как технология шифрования жесткого диска помешает плохому парню прийти и отправить email от вашего лица - боссу? 897 00:52:15,100 --> 00:52:16,900 Мне жаль, но нет никакой заплатки... 898 00:52:17,000 --> 00:52:19,900 У меня были проблемы из-за моих слов раньше, так что лучше я промолчу. 899 00:52:20,400 --> 00:52:23,800 TPM - это не что-то, что можно использовать для входа в систему. 900 00:52:24,700 --> 00:52:28,400 Атаки на апаратную часть. Вам не стоит на самом деле беспокоится об этом 901 00:52:28,700 --> 00:52:31,200 Но через года два 902 00:52:31,500 --> 00:52:37,600 Атаки DMA (атаки прямого доступа к памяти) могут стать тем, о чем придется беспокоится 903 00:52:37,700 --> 00:52:40,800 К счастью, у нас есть парни в Microsoft, которые думают об этом сейчас. 904 00:52:41,000 --> 00:52:46,000 И, конечно, если вы раскроете свой пароль, но это совсем другая проблема 905 00:52:46,200 --> 00:52:47,900 Это не проблема защиты жесткого диска. 906 00:52:50,100 --> 00:52:52,900 Вам нравится идея шифрования томов, 907 00:52:53,000 --> 00:52:54,800 но к сожалению у вас нет бюджета, чтобы купить 908 00:52:54,900 --> 00:52:56,500 новые ноутбуки, 909 00:52:56,700 --> 00:52:58,000 в которых были бы TPM чипы. 910 00:52:59,000 --> 00:52:59,800 Ничего. 911 00:53:00,400 --> 00:53:03,500 Вы все еще можете настроить компьютер использовать BitLocker 912 00:53:05,000 --> 00:53:07,800 и вместо того, чтобы сохранять корневой ключ в TPM 913 00:53:08,300 --> 00:53:10,500 вы можете хранить корневой ключ на USB диске 914 00:53:12,000 --> 00:53:15,000 Если вы захотите сделать это, вам нужно пойти в редактор групповой политики 915 00:53:15,700 --> 00:53:18,500 Local Computer > Configuration > Administrative Templates 916 00:53:18,700 --> 00:53:21,000 Windows Components > Drive Encryption 917 00:53:21,500 --> 00:53:23,500 Затем Startup Options и изменить 918 00:53:23,900 --> 00:53:26,000 с Not Configured на Enabled 919 00:53:27,900 --> 00:53:30,900 Оставьте следующий пункт выбранным. 920 00:53:31,100 --> 00:53:35,200 Allow BitLocker without a compatible TPM. 921 00:53:36,200 --> 00:53:40,100 Оставьте Startup Options как есть по-умолчанию 922 00:53:40,200 --> 00:53:41,800 Require Startup key 923 00:53:42,200 --> 00:53:44,600 это на языке групповой политики "требовать USB диск" 924 00:53:45,100 --> 00:53:47,700 Запретить PIN код при загрузке. 925 00:53:48,300 --> 00:53:51,900 Когда вы сделаете это, первые два шага станут немного другими 926 00:53:53,100 --> 00:53:54,200 Вы включаете компьютер, 927 00:53:54,400 --> 00:53:56,900 он попросит вас вставить USB диск 928 00:53:57,100 --> 00:53:58,900 с корневым ключем 929 00:53:59,300 --> 00:54:02,100 Он прочитает корневой ключ с USB диска, 930 00:54:02,900 --> 00:54:05,900 и проследует той же процедуре, что вы видели до этого. 931 00:54:08,900 --> 00:54:13,200 Теперь наши списки существующих и отсутствующих рисков изменились. 932 00:54:13,800 --> 00:54:15,400 Изменения выделены желтым. 933 00:54:17,400 --> 00:54:21,100 Мы смогли изменить цвет для пункта про гибернацию 934 00:54:21,300 --> 00:54:26,900 так что теперь, когда вы будете выводить компьютер из гибернации, он попросит вас вставить USB диск. 935 00:54:27,300 --> 00:54:29,200 Но опять же, это не так для ждущего режима 936 00:54:29,300 --> 00:54:31,400 так что вам все-таки надо будет включить ту настройку групповой политики. 937 00:54:31,600 --> 00:54:33,900 Или отключить ждущий режим. 938 00:54:34,500 --> 00:54:35,400 Выбор за вами. 939 00:54:36,700 --> 00:54:42,900 Поскольку нам теперь надо кое-что еще кроме доменной учетной записи, 940 00:54:43,300 --> 00:54:45,900 это несколько помогает защитить пароли. 941 00:54:47,700 --> 00:54:53,000 Но мы теперь не защищены от атак на загрузочный процесс. 942 00:54:53,200 --> 00:54:56,000 Помните - это TPM обеспечивал нам целостность загрузки. 943 00:54:56,500 --> 00:54:57,500 И теперь у нас его нет. 944 00:54:58,200 --> 00:55:03,600 И в этом случае, без TPM, но с USB диском, BitLocker выполняет только одну функцию 945 00:55:03,900 --> 00:55:05,800 - шифрование тома. 946 00:55:09,500 --> 00:55:11,600 Для некоторых из вас этого достаточно 947 00:55:12,600 --> 00:55:15,500 Для других в зале - вы будете решать 948 00:55:15,700 --> 00:55:18,500 нужна ли вам целостность загрузочного процесса 949 00:55:18,900 --> 00:55:25,100 И вы таки обновите апаратную часть ваших компьютеров, и они будут с TPM 1.2 чипами 950 00:55:25,300 --> 00:55:28,600 и вы будете использовать BitLocker только на этих машинах 951 00:55:28,800 --> 00:55:29,900 Это нормально. 952 00:55:30,000 --> 00:55:33,900 Тем не менее вы можете задуматься о добавлении третьего способа защиты 953 00:55:34,000 --> 00:55:35,900 поверх TPM. 954 00:55:37,900 --> 00:55:42,400 И один из выборов в этом случае - требовать USB диск вместе с TPM. 955 00:55:43,200 --> 00:55:47,300 В редакторе групповой политики опять же - поменяйте настройку на Enabled. 956 00:55:48,200 --> 00:55:51,000 На этот раз снимите этот флажок. 957 00:55:51,900 --> 00:55:56,100 Мы хотим TPM, поэтому мы не разрешим работу BitLocker без TPM. 958 00:55:56,500 --> 00:55:59,100 Оставьте Startup options как они есть. 959 00:56:00,300 --> 00:56:01,800 Теперь это выглядит так. 960 00:56:01,900 --> 00:56:03,500 Запускается БИОС, TPM производит проверку изменений 961 00:56:05,600 --> 00:56:08,600 Далее ОС просит пользователя вставить USB диск с ключем 962 00:56:10,200 --> 00:56:14,500 Теперь у ОС есть обе части корневого ключа 963 00:56:14,600 --> 00:56:19,700 В этом варианте часть корневого ключа хранится в TPM, другая часть - на USB диске. 964 00:56:20,300 --> 00:56:25,600 Так что вам нужны, как компьютер, так и USB диск, чтобы расшифровать винчестер в компьютере. 965 00:56:25,700 --> 00:56:29,800 Вы украли компьютер, но не украли USB-диск 966 00:56:30,000 --> 00:56:34,300 так что у вас нет полного корневого ключа и компьютер вам бесполезен. 967 00:56:35,300 --> 00:56:39,400 Это значит, что вы не должны носить ваш USB диск в сумке с компьютером 968 00:56:40,400 --> 00:56:42,100 прикрепите его к своей связке ключей, например. 969 00:56:43,100 --> 00:56:46,400 Списки рисков снова немного другие 970 00:56:46,900 --> 00:56:52,000 Атаки на загрузочный процесс снова в списке "предотвращенных рисков". 971 00:56:52,700 --> 00:56:53,800 поскольку у нас есть TPM. 972 00:56:54,100 --> 00:56:57,000 Список непредотвращенных рисков стал меньше. 973 00:56:58,000 --> 00:57:00,100 Обратите внимание на один пункт внизу 974 00:57:00,700 --> 00:57:03,800 Если вы не защитите USB диск 975 00:57:04,600 --> 00:57:07,500 бесполезно затевать все это. 976 00:57:10,000 --> 00:57:14,100 Возможно, только возможно, что лучшим выбором 977 00:57:14,600 --> 00:57:20,100 будет объединение TPM с другим механизмом хранения пароля. 978 00:57:20,900 --> 00:57:21,600 Вашей головой. 979 00:57:22,700 --> 00:57:25,000 В этом случае это PIN код и TPM. 980 00:57:25,700 --> 00:57:27,500 Да, снова, вы меняете с Not Configured на Enabled. 981 00:57:27,700 --> 00:57:30,000 Убираете эту галочку здесь. 982 00:57:30,500 --> 00:57:33,700 И меняете значения в Startup options на противоположные 983 00:57:33,700 --> 00:57:36,600 Disallow startup key, require startup PIN 984 00:57:39,700 --> 00:57:45,600 Помните - в этом случае компьютер будет просить вас ввести вторую часть корневого ключа. 985 00:57:46,100 --> 00:57:51,300 которую он потом объединит с другой частью корневого ключа из TPM. 986 00:57:51,800 --> 00:57:53,300 Все остальное выглядит так же. 987 00:57:53,400 --> 00:57:58,900 Теперь мы можем убрать один риск из "непредотвращенных рисков" 988 00:58:00,600 --> 00:58:02,200 Больше нет никакого USB диска, который нужно защищать 989 00:58:02,800 --> 00:58:05,700 Больше не надо ничего носить с собой 990 00:58:06,300 --> 00:58:09,500 потому что вы носите свою часть корневого ключа у себя в голове. 991 00:58:10,300 --> 00:58:11,900 Вобщем это то, что мы рекомендуем. 992 00:58:12,400 --> 00:58:16,600 Наша рекомендация - PIN, который вводит пользователь, и TPM чип. 993 00:58:16,700 --> 00:58:18,700 Интересное маленькое замечание. 994 00:58:19,500 --> 00:58:22,800 Момент, когда Windows просит вести ваш ключ 995 00:58:23,200 --> 00:58:25,600 вашу часть корневого ключа 996 00:58:26,300 --> 00:58:28,400 происходит до загрузки драйвера клавиатуры. 997 00:58:30,500 --> 00:58:33,300 Как же черт возьми это будет работать?! 998 00:58:34,300 --> 00:58:36,300 Подключаете мышку и клик-клик-клик-клик 999 00:58:38,900 --> 00:58:42,600 Единственное, что работает до загрузки драйвера - это функциональные клавиши сверху. 1000 00:58:42,800 --> 00:58:43,700 Они работают. 1001 00:58:44,700 --> 00:58:47,900 Вот, что вы используете, чтобы ввести свой PIN 1002 00:58:48,100 --> 00:58:49,200 - функциональные клавиши. 1003 00:58:51,300 --> 00:58:55,600 Мы подумали, что это будет хорошей идеей - обдумать, насколько длинным должен быть PIN 1004 00:58:56,200 --> 00:58:58,300 Мы провели несколько экспериментов 1005 00:58:58,900 --> 00:59:01,000 о которых можно прочитать в этой записи в блоге 1006 00:59:02,200 --> 00:59:04,000 И на основании экспериментов выясняется, 1007 00:59:04,200 --> 00:59:06,600 что наилучшая длина PIN: 1008 00:59:06,700 --> 00:59:11,000 7 символов, из которых 4 - уникальных и 2 повторяются. 1009 00:59:11,800 --> 00:59:14,800 Это лучше чем F2, 3, 4,5,6,7, 1010 00:59:17,000 --> 00:59:19,800 Посетите этот блог, если вам интересны детали. 1011 00:59:20,900 --> 00:59:23,100 как мы пришли к этой рекомендации. 1012 00:59:25,500 --> 00:59:26,300 Еще кое-что для размышлений 1013 00:59:27,100 --> 00:59:29,600 Помните я говорил вам, 1014 00:59:29,900 --> 00:59:34,400 что для того, чтобы выполнить обновление БИОС нужно отключить BitLocker и поэтому существует два уровня ключей? 1015 00:59:36,200 --> 00:59:41,100 Другим вариантом может быть команда BitLocker'y, не обращать внимание на то, что говорит TPM 1016 00:59:42,500 --> 00:59:44,500 касательно проверки изменений кода БИОС 1017 00:59:46,300 --> 00:59:51,000 Я не утверждаю, что это лучший вариант настройки 1018 00:59:51,400 --> 00:59:52,900 но это тоже вариант. 1019 00:59:53,000 --> 00:59:55,700 Помните, TPM только делает измерения и докладывает 1020 00:59:56,000 --> 00:59:57,800 а BitLocker принимает решения. 1021 00:59:58,300 --> 01:00:01,000 Вы можете поменять то, как он принимает решения 1022 01:00:01,900 --> 01:00:04,400 Еще одно, о чем стоит подумать - дополнительное ПЗУ 1023 01:00:05,100 --> 01:00:09,500 Я веду презентацию со своего жесткого диска - не люблю доставать ноутбук 1024 01:00:09,600 --> 01:00:13,700 Он использует option ROMs, так же как и все другие USB устройства 1025 01:00:13,800 --> 01:00:16,000 Предположим, что когда вы настраивали BitLocker, 1026 01:00:16,200 --> 01:00:18,450 не было никаких подключенных USB устройств 1027 01:00:18,500 --> 01:00:20,600 и однажды вы включаете свой компьютер 1028 01:00:20,700 --> 01:00:23,500 и забываете отключить USB устройство. 1029 01:00:23,700 --> 01:00:25,700 Option ROM будет другим 1030 01:00:26,100 --> 01:00:27,100 хеш будет другим 1031 01:00:27,300 --> 01:00:31,300 так что BitLocker не даст операционной системе загрузится. 1032 01:00:31,500 --> 01:00:33,100 В этом случае вы можете отключить это устройство, 1033 01:00:33,300 --> 01:00:38,900 но сколько из вас поймут, что это из-за подключенного устройства, BitLocker остановил загрузку? 1034 01:00:40,000 --> 01:00:42,300 Он не говорит вам. Он просто пишет "Нарушение защиты" 1035 01:00:43,200 --> 01:00:48,300 Так, что вы можете захотеть изменить профиль проверки платформы 1036 01:00:49,700 --> 01:00:51,900 Если вы зайдете в эту настройку групповой политики 1037 01:00:52,100 --> 01:00:54,100 и измените ее с Not Configured на Enabled, 1038 01:00:54,300 --> 01:00:56,500 вы увидите небольшое предупреждение 1039 01:00:56,800 --> 01:01:00,900 "Мы рекомендуем вам не изменять настройки по-умолчанию: 1040 01:01:01,000 --> 01:01:03,500 0, 2, 4, 8, 9, 10 и 11 1041 01:01:03,900 --> 01:01:06,100 Но если вы любопытны, как я, 1042 01:01:06,200 --> 01:01:09,300 и прокрутите вниз, то увидите, что каждый из пунктов отмечен. 1043 01:01:11,500 --> 01:01:18,500 Если вы решите, что BitLocker'y не стоит обращать внимание на проверку выполненную TPM 1044 01:01:18,700 --> 01:01:20,900 касательно БИОС 1045 01:01:22,500 --> 01:01:24,000 или option ROM 1046 01:01:24,700 --> 01:01:29,100 вы измените это и отключите 0 и 1 или 2 и 3 1047 01:01:30,100 --> 01:01:31,000 Выбор за вами. 1048 01:01:31,700 --> 01:01:33,800 Опять же, я не буду говорить вам, какие настройки лучше или хуже. 1049 01:01:34,400 --> 01:01:36,900 Вы сами принимаете это решение о рисках. 1050 01:01:37,300 --> 01:01:38,700 Я просто показал вам, как вы можете это сделать. 1051 01:01:38,900 --> 01:01:41,500 и объяснил, почему вы можете захотеть это сделать. 1052 01:01:44,400 --> 01:01:48,100 Помните разговор о запасных способах добраться к данным? 1053 01:01:48,700 --> 01:01:51,300 И у EFS таким механизмом является Recovery Agent. 1054 01:01:51,700 --> 01:01:54,400 Механизм у BitLocker называется пароль для восстановления. 1055 01:01:54,700 --> 01:01:57,500 Есть три места, где вы можете его хранить: 1056 01:01:57,700 --> 01:01:59,200 на листке бумаги 1057 01:01:59,400 --> 01:02:01,500 если вы так решите. Это вполне нормальный вариант. 1058 01:02:01,900 --> 01:02:09,200 Пожалуйста, не подписывайте его "Мой пароль BitLocker - восстановление" и не кладите его в сумку с ноутбуком. 1059 01:02:09,300 --> 01:02:10,900 Опять же. Не слишком хорошая идея. 1060 01:02:12,000 --> 01:02:15,600 Вы можете сохранить пароль на USB диске, если захотите. 1061 01:02:16,000 --> 01:02:19,300 Наилучшим вариантом все же является автоматизация 1062 01:02:19,500 --> 01:02:23,900 - сохранение пароля для восстановления в Active Directory. 1063 01:02:25,400 --> 01:02:28,700 Если вы хотите сделать это, понадобится сделать пару вещей 1064 01:02:29,500 --> 01:02:34,000 Во-первых, убедитесь, что на вашем контроллере домена стоит Windows Server 2003 SP1 или новее. 1065 01:02:34,100 --> 01:02:35,300 Во-вторых вы должны 1066 01:02:35,700 --> 01:02:38,100 Расширить свою схему! 1067 01:02:39,900 --> 01:02:42,700 Да, я знаю, каждый из вас в этой комнате боится этого процесса 1068 01:02:42,900 --> 01:02:45,900 потому, да, вы правы, нет никакого способа вернуть все обратно 1069 01:02:46,100 --> 01:02:47,500 Но знаете что? 1070 01:02:47,900 --> 01:02:50,600 Никогда в истории Windows 1071 01:02:50,800 --> 01:02:54,700 не сообщалось о том, что расширение схемы повреждало лес. 1072 01:02:55,200 --> 01:02:56,200 Так что не беспокойтесь об этом. 1073 01:02:56,600 --> 01:02:59,200 Затем вы должны изменить ACL объекта домена 1074 01:02:59,700 --> 01:03:04,700 И наконец вы можете включить настройку групповой политики, которая гласит "Хранить пароль восстановления 1075 01:03:04,800 --> 01:03:07,300 в учетной записи компьютера. 1076 01:03:07,800 --> 01:03:08,600 Если вам интересно.. 1077 01:03:08,800 --> 01:03:11,000 Оу. Посмотрите на предупреждение внизу. 1078 01:03:11,100 --> 01:03:13,900 Это не что-то, что можно сделать задним числом. 1079 01:03:15,300 --> 01:03:17,900 Если вы уже включили BitLocker на некоторых компьютерах, 1080 01:03:18,100 --> 01:03:23,400 все эти шаги не скажут этим компьютерам пересохранить их пароли в Active Directory. 1081 01:03:23,500 --> 01:03:24,600 Сначала вы должны сделать это. 1082 01:03:25,400 --> 01:03:27,900 И вот статья на TechEd со всеми деталями. 1083 01:03:28,900 --> 01:03:32,300 Вот как выглядит расширение схемы. Около 40 байт. 1084 01:03:32,400 --> 01:03:33,600 Ничего такого. 1085 01:03:38,100 --> 01:03:40,400 Оу, у меня есть компьютер с поврежденным жестким диском. Что мне делать? 1086 01:03:40,900 --> 01:03:41,400 Очень просто. 1087 01:03:41,500 --> 01:03:44,000 Вот за этим и нужен пароль для восстановления 1088 01:03:44,500 --> 01:03:46,300 Вы можете вытащить жесткий диск из компьютера, 1089 01:03:46,400 --> 01:03:47,800 вставить его в другую машину 1090 01:03:48,100 --> 01:03:53,100 У нас есть утилита для восстановления, которую вы можете использовать. Детальней о ней в это статье. 1091 01:03:53,500 --> 01:03:55,400 Мы действительно старались подумать заранее 1092 01:03:55,500 --> 01:04:03,800 над способами, как бы вы могли добраться к данным, если данные или жесткий диск повредятся. 1093 01:04:04,600 --> 01:04:07,300 Но есть еще кое-что. 1094 01:04:07,500 --> 01:04:10,300 И я хочу убедится, что вы поймете это. 1095 01:04:11,900 --> 01:04:13,700 Нет никакого 1096 01:04:14,000 --> 01:04:15,500 бекдора. 1097 01:04:16,500 --> 01:04:18,500 Есть два пути добраться к данным защищенных BitLocker'om: 1098 01:04:19,100 --> 01:04:20,900 начиная с корневого ключа 1099 01:04:21,100 --> 01:04:22,700 или используя пароль для восстановления. 1100 01:04:22,900 --> 01:04:24,300 И все. 1101 01:04:26,000 --> 01:04:29,100 Периодически я получаю электронные письма 1102 01:04:29,500 --> 01:04:33,100 Пишите мне письма. Пожалуйста, не надо мне звонить. 1103 01:04:34,300 --> 01:04:37,500 Я получаю письма от кого-нибудь из правоохранительных органов 1104 01:04:38,000 --> 01:04:40,900 которые ищут 1105 01:04:41,100 --> 01:04:42,800 Правоохранительный ключ. 1106 01:04:45,400 --> 01:04:48,100 Магический пароль, который открывает все защищенные BitLocker'om диски. 1107 01:04:50,000 --> 01:04:52,500 Мне жаль, но нет никакого запасного входа. 1108 01:04:53,600 --> 01:04:56,900 Да, плохие парни тоже будут использовать это. 1109 01:04:58,100 --> 01:05:02,000 У технологии нет морали. 1110 01:05:04,300 --> 01:05:05,700 Мораль - это о том, как технологии применяются. 1111 01:05:06,600 --> 01:05:09,300 Если бы мы сделали ключ для полиции 1112 01:05:10,000 --> 01:05:11,500 в BitLocker, 1113 01:05:11,900 --> 01:05:14,500 кто бы первый нашел его? 1114 01:05:15,700 --> 01:05:17,100 Плохие парни. 1115 01:05:18,300 --> 01:05:22,100 Это бы свело на нет вашу возможно доверять BitLocker'y. 1116 01:05:22,200 --> 01:05:28,300 И это было бы причиной для тысяч сотрудников Microsoft включая меня уволится с работы 1117 01:05:29,900 --> 01:05:32,100 Его там нет. Не ищите его. 1118 01:05:32,900 --> 01:05:38,200 BitLocker - из тех вещей, которые вы можете использовать, не сомневаясь в своих решениях. 1119 01:05:39,900 --> 01:05:46,100 Итак, вы найдете эту замечательную маленькую утилиту - manage-bde.wsf 1120 01:05:46,300 --> 01:05:55,700 и вы увидите, что ничто не мешает вам написать manage-bde -on D: 1121 01:05:57,400 --> 01:06:00,900 Хм. Значит ли это, что BitLocker можно использовать для любого тома? 1122 01:06:02,300 --> 01:06:06,700 BitLocker в Windows Vista поддерживает только на системном томе, 1123 01:06:06,800 --> 01:06:10,000 томе на который вы устанавливали Windows. 1124 01:06:11,000 --> 01:06:14,900 Если вы введете эту команду и зашифруете другие разделы - пожалуйста 1125 01:06:15,300 --> 01:06:17,200 Мы не проверяли это. 1126 01:06:17,300 --> 01:06:21,700 Я слышал, что там были какие-то странные вещи с выводом компьютера из сна 1127 01:06:21,800 --> 01:06:24,300 и несвоевременным удалением ключа из памяти. Я не знаю. 1128 01:06:24,700 --> 01:06:26,000 правда это или нет. 1129 01:06:26,800 --> 01:06:33,000 Но мы исправили это в SP1. Вы можете использовать BitLocker из графического приложения на любом томе в SP1 1130 01:06:33,400 --> 01:06:35,200 Я делаюсь с вами этим сейчас потому что 1131 01:06:35,700 --> 01:06:36,900 я не хочу быть ответственным 1132 01:06:37,100 --> 01:06:38,900 если вы найдете это и зашифруете. 1133 01:06:39,000 --> 01:06:40,300 И будете говорить: "Стив, ты не предупреждал меня об этом 1134 01:06:40,500 --> 01:06:41,600 Каждый раз, когда я вывожу компьютер из сна, 1135 01:06:42,100 --> 01:06:43,700 он кидается бананами. 1136 01:06:44,100 --> 01:06:45,600 Я хочу, чтобы вы знали о том, что такая утилита есть. 1137 01:06:46,000 --> 01:06:48,800 Но я не могу предугадать, как будет вести себя ваш компьютер. 1138 01:06:50,300 --> 01:06:53,850 Где имеет смысл применять BitLocker? Я думаю - в двух областях 1139 01:06:53,900 --> 01:06:54,700 или в трех. 1140 01:06:55,500 --> 01:06:56,600 На ноутбуках. Да, определенно. 1141 01:06:57,400 --> 01:07:00,000 На компьютерах с плохой физической безопасностью. 1142 01:07:01,400 --> 01:07:02,700 Возможно, даже на серверах. 1143 01:07:03,300 --> 01:07:06,050 Если вы не можете быть уверены в физической безопасности машины, 1144 01:07:06,100 --> 01:07:09,400 возможно, вы сможете сделать сложнее доступ к данным, 1145 01:07:09,600 --> 01:07:12,400 если кто-то украдет жесткий диск из компьютера. 1146 01:07:12,800 --> 01:07:15,200 Также на контроллерах домена в удаленных офисах 1147 01:07:15,300 --> 01:07:16,800 довольно интересная идея 1148 01:07:17,100 --> 01:07:21,900 Опять же - это вопрос физической безопасности. Если вы не можете быть уверены в окружении машины, 1149 01:07:22,100 --> 01:07:26,200 сделайте так, чтобы машина не была полезной неразрешенным пользователям. 1150 01:07:29,100 --> 01:07:30,800 Я упоминал, когда мы говорили о EFS, 1151 01:07:31,200 --> 01:07:35,200 что EFS - часть Data Encryption Toolkit 1152 01:07:35,700 --> 01:07:46,500 В Data Encryption Toolkit есть раздел, в котором обсуждается и рекомендуется использование как EFS, так и BitLocker на компьютере с Windows Vista. 1153 01:07:48,300 --> 01:07:51,900 Я размышлял над этим какое-то время и сделал то, что делаю обычно, 1154 01:07:52,600 --> 01:07:56,100 начал задавать докучливые вопросы, которые другие люди не хотели бы слышать. 1155 01:07:56,600 --> 01:07:58,400 Я спросил: зачем? 1156 01:07:59,700 --> 01:08:03,500 Если мы шифруем том, зачем шифровать дважды файлы на этом томе? 1157 01:08:03,700 --> 01:08:06,200 Более того, вот таблица 1158 01:08:06,600 --> 01:08:11,300 из этого Toolkit, которая показывает риски предовращенные разными технологиями. 1159 01:08:11,400 --> 01:08:14,100 Если вы сравните BitLocker с TPM и PIN 1160 01:08:14,600 --> 01:08:17,000 и BitLocker + TPM + PIN + EFS со смарт картой в кешированном режиме, 1161 01:08:17,100 --> 01:08:20,000 Вы видите? Они одинаковы 1162 01:08:22,700 --> 01:08:24,500 Зачем мне нужно EFS? 1163 01:08:24,800 --> 01:08:27,600 Я поспрашивал у людей. Я спрашивал "Зачем? Какая от этого польза?" 1164 01:08:28,000 --> 01:08:29,900 И я получил некоторые интересные ответы 1165 01:08:30,000 --> 01:08:33,600 от некоторых людей, которые нашли время ответить. 1166 01:08:34,100 --> 01:08:37,600 Во-первых, первый ответ, наверно, единственный, в котором действительно есть логика. 1167 01:08:38,800 --> 01:08:42,000 Если у вас есть ноутбук с Windows Vista и дисками C и D 1168 01:08:42,200 --> 01:08:45,200 и Windows у вас на диске C, технически не поддерживается 1169 01:08:45,300 --> 01:08:47,500 шифрование BitLocker'ом диска D. 1170 01:08:47,600 --> 01:08:49,100 Вы можете использовать EFS на диске D. 1171 01:08:50,300 --> 01:08:53,400 Также выявились некоторые другие любопытные сценарии. 1172 01:08:54,400 --> 01:08:57,100 У меня есть сменный диск, который используют несколько людей 1173 01:08:57,700 --> 01:09:03,600 Разве не лучше использовать EFS, так как EFS позволяет добавлять нескольких пользователей к файлам? 1174 01:09:04,700 --> 01:09:05,500 Я так не думаю. 1175 01:09:05,600 --> 01:09:07,500 Я думаю, RMS здесь лучше подходит. 1176 01:09:07,700 --> 01:09:12,200 Поскольку вместо владельца диска появляется владелец документа, который и принимает решения. 1177 01:09:14,100 --> 01:09:16,500 Третий сценарий вобще-то ошибка. 1178 01:09:17,800 --> 01:09:20,850 Человек, который отвечал, сказал: "EFS защищает файл 1179 01:09:20,900 --> 01:09:23,200 я отправлю его себе на hotmail, 1180 01:09:23,300 --> 01:09:27,000 и когда приду домой, вставлю смарт карту в ридер 1181 01:09:27,100 --> 01:09:29,500 на домашнем компьютере и прочитаю вложение. 1182 01:09:29,700 --> 01:09:30,300 Не так. 1183 01:09:30,500 --> 01:09:32,000 Оно уже будет расшифровано. 1184 01:09:32,100 --> 01:09:34,600 EFS самостоятельно расшифрует файл, 1185 01:09:34,700 --> 01:09:36,800 чтобы прикрепить его к вашу почтовому сообщению. 1186 01:09:37,200 --> 01:09:38,600 EFS так и должен работать. 1187 01:09:38,700 --> 01:09:41,150 Тогда человек исправился: "Я хотел сказать 1188 01:09:41,200 --> 01:09:42,400 портативный жесткий диск". 1189 01:09:43,800 --> 01:09:45,900 Принесу его домой и использую смарт карту, чтобы прочесть его. 1190 01:09:46,300 --> 01:09:49,300 Разве не было бы значительно проще иметь сертификат S/MIME 1191 01:09:49,800 --> 01:09:54,600 и отправить его себе на hotmail и не возится с жестким диском повсюду? 1192 01:09:57,600 --> 01:10:02,500 Так, что я считаю, что если вы используете BitLocker на томе с Windows, 1193 01:10:02,700 --> 01:10:04,300 этого достаточно. 1194 01:10:05,100 --> 01:10:07,700 Вам не нужна еще и EFS поверх этого. 1195 01:10:08,800 --> 01:10:10,300 Такая у меня рекомендация. 1196 01:10:13,200 --> 01:10:14,800 Очень кратко 1197 01:10:14,900 --> 01:10:16,200 прежде чем я позволю вам уйти отсюда, 1198 01:10:16,300 --> 01:10:20,200 я хочу остановится на некоторых вещах о RMS. 1199 01:10:20,500 --> 01:10:22,000 Мы говорили об этом ранее 1200 01:10:22,100 --> 01:10:23,400 я расчитываю, что вы знаете, что это такое. 1201 01:10:23,800 --> 01:10:29,600 Если вы не знаете, зайдите на microsoft.com/rms и узнайте детальней об этой технологии. 1202 01:10:30,100 --> 01:10:32,600 Я хочу поговорить о трех вещах. 1203 01:10:32,900 --> 01:10:33,700 Номер 1. 1204 01:10:35,100 --> 01:10:41,900 RMS хотя и идеально дает пользователям возможность накладывать ограничения доступа прямо на файлы 1205 01:10:42,300 --> 01:10:44,400 (Помните RMS также шифрует файлы, 1206 01:10:44,500 --> 01:10:47,000 так что они защищены от атак) 1207 01:10:47,700 --> 01:10:51,400 RMS требует, чтобы каждый пользователь не забывал накладывать защиту. 1208 01:10:52,200 --> 01:10:59,300 У SharePoint 2007 есть механизм, который позволяет накладывать RMS профиль на библиотеку документов. 1209 01:11:00,900 --> 01:11:04,100 Что значит, что когда пользователи отправляют документ в библиотеку 1210 01:11:04,600 --> 01:11:08,900 этот RMS профиль будет наложен, когда пользователи заберут документ из библиотеки. 1211 01:11:10,100 --> 01:11:14,300 Да, они хранятся незашифрованными в библиотеке документов, 1212 01:11:14,400 --> 01:11:16,300 но на это есть своя причина. 1213 01:11:17,200 --> 01:11:18,000 Первая. 1214 01:11:18,400 --> 01:11:22,100 Если вам нужно изменить RMS профиль, придется расшифровать все документы, а потом зашифровать их. 1215 01:11:22,700 --> 01:11:23,600 Вторая. 1216 01:11:25,600 --> 01:11:28,700 Представьте на секунду, вот есть библиотека документов 1217 01:11:29,200 --> 01:11:31,100 Элис может читать документы, 1218 01:11:31,200 --> 01:11:32,300 а Боб - нет. 1219 01:11:33,700 --> 01:11:37,200 Есть 7 библиотек на сервере Share Point 1220 01:11:38,600 --> 01:11:40,900 Если Элис нужно будет произвести поиск 1221 01:11:41,600 --> 01:11:43,800 слова "рыба-меч" 1222 01:11:44,900 --> 01:11:48,700 и один из этих документов в библиотеке содержит в себе "рыба-меч" 1223 01:11:49,000 --> 01:11:51,000 Элис увидит это в своих результатах поиска. 1224 01:11:51,000 --> 01:11:58,600 Потому что она числится в профиле библиотеки с правами чтения. 1225 01:11:59,300 --> 01:12:00,200 Но Боб нет, так? 1226 01:12:00,700 --> 01:12:02,600 Если Боб будет искать "рыба-меч" 1227 01:12:03,300 --> 01:12:07,300 он не увидит никаких результатов 1228 01:12:07,500 --> 01:12:09,700 потому что у него нет прав чтения библиотеки. 1229 01:12:10,300 --> 01:12:11,300 Это круто. 1230 01:12:12,200 --> 01:12:17,400 Если смотрите в сторону RMS, я думаю, SharePoint позволит вам облегчить использование RMS 1231 01:12:17,500 --> 01:12:19,300 пользователям не надо будет запоминать столько всего 1232 01:12:19,500 --> 01:12:23,300 и служба поиска сама знает права пользователей. 1233 01:12:23,900 --> 01:12:24,600 Во-вторых. 1234 01:12:24,900 --> 01:12:28,100 Вы знаете, что я не говорю много о партнерах, 1235 01:12:28,300 --> 01:12:33,300 поскольку считаю, что большинство проблем могут быть решены используя возможности встроенные в ОС. 1236 01:12:33,700 --> 01:12:39,600 Два наших партнера предоставляют полезные дополнения к RMS, которые мы вам не даем. 1237 01:12:40,100 --> 01:12:41,900 Один из них - Liquid Machines. 1238 01:12:42,800 --> 01:12:48,500 Они добавляют значительное количество новых форматов файлов в RMS, включая наши собственные, вроде Visio 1239 01:12:48,600 --> 01:12:52,200 также файлы Acrobat и AutoCAD 1240 01:12:53,900 --> 01:12:59,900 Liquid Machines позволяют вам использовать BlackBerry, чтобы читать RMS сообщения. 1241 01:13:00,800 --> 01:13:03,100 Я полагаю, что это чужое слово для всех в этой комнате. 1242 01:13:03,100 --> 01:13:05,700 Вы все используйте Windows Mobile. Я не прав? 1243 01:13:08,400 --> 01:13:09,900 Один парень поднял руку с гордостью. 1244 01:13:10,300 --> 01:13:11,100 Вот еще один BlackBerry. 1245 01:13:11,300 --> 01:13:14,600 Много людей были заинтересованы в поддержке RMS на Blackberry. 1246 01:13:14,800 --> 01:13:16,300 Liquid Machines дают вам такую возможность. 1247 01:13:18,100 --> 01:13:20,500 Другой партнер, который вас, возможно, заинтересует - 1248 01:13:21,200 --> 01:13:23,300 компания, которая называется Titus Labs. 1249 01:13:24,600 --> 01:13:28,300 Они возвращают классификацию документов. 1250 01:13:28,400 --> 01:13:31,600 Если вам нужен автоматизированный способ 1251 01:13:31,600 --> 01:13:33,500 классификации документов 1252 01:13:34,300 --> 01:13:36,700 Ну, возможно, не такой уж автоматизированный, но по меньшей мере простой способ 1253 01:13:36,700 --> 01:13:39,500 Titus Labs предоставляет механизм 1254 01:13:39,700 --> 01:13:40,800 плагин в Office 1255 01:13:40,800 --> 01:13:46,800 который требует пользователей классифицировать документ прежде, чем они смогут его сохранить. 1256 01:13:49,600 --> 01:13:53,500 Правительство Таиланда очень заинтересовалось этим, когда я с ними говорил. 1257 01:13:54,600 --> 01:14:01,200 Так же вы можете настроить плагин автоматически выбирать из предварительно настроенных RMS профилей 1258 01:14:01,300 --> 01:14:02,100 если хотите. 1259 01:14:02,800 --> 01:14:05,800 Так, важные документы могут оставать в обычном виде, 1260 01:14:06,100 --> 01:14:09,700 конфиденциальные документы могут быть зашифрованы 1261 01:14:09,800 --> 01:14:12,200 и им будет присвоен RMS профиль. Все, что вы захотите. 1262 01:14:12,600 --> 01:14:14,500 Вы заранее настаиваете это 1263 01:14:14,600 --> 01:14:17,500 и панель там. Пользователи должны использовать ее 1264 01:14:17,700 --> 01:14:20,500 Они не могут сохранить документ, не сделав этого. 1265 01:14:21,300 --> 01:14:24,600 Несколько вещей, которые я хотел упомянуть об RMS 1266 01:14:24,700 --> 01:14:26,900 чтобы сделать технологию более полезной 1267 01:14:27,300 --> 01:14:30,400 и на последок давайте быстро подведем итоги. 1268 01:14:31,300 --> 01:14:33,300 Разве все эти технологии - не одно и то же? 1269 01:14:34,000 --> 01:14:35,100 Нет, не одно и то же. 1270 01:14:35,200 --> 01:14:36,500 Помните, S/MIME это для почты? 1271 01:14:37,500 --> 01:14:38,600 EFS и BitLocker 1272 01:14:39,000 --> 01:14:41,300 предназначены для защиты данных в остальное время. 1273 01:14:41,700 --> 01:14:43,300 Помните неизменный закон номер 3? 1274 01:14:43,300 --> 01:14:44,800 Если у плохого парня появился доступ к вашему компьютеру, 1275 01:14:44,900 --> 01:14:46,800 это больше не ваш компьютер. 1276 01:14:47,700 --> 01:14:49,300 Это устраняет этот закон. 1277 01:14:50,000 --> 01:14:52,100 Если у плохого парня есть физический доступ к вашему компьютеру, 1278 01:14:52,300 --> 01:14:53,900 данные по-прежднему остаются вашими 1279 01:14:54,000 --> 01:14:55,700 до тех пор пока шифр не сломан. 1280 01:14:57,100 --> 01:14:58,400 Это дает время 1281 01:14:58,600 --> 01:15:00,000 Сколько времени? 1282 01:15:00,400 --> 01:15:01,700 Лучшая оценка, которую я нашел - 1283 01:15:01,800 --> 01:15:03,900 для 128 битного AES 1284 01:15:04,100 --> 01:15:05,000 с Elephant Diffuser 1285 01:15:06,100 --> 01:15:08,700 Около 550 000 000 лет. 1286 01:15:10,500 --> 01:15:12,500 Вашим секретам нужна такая защита? 1287 01:15:12,800 --> 01:15:13,900 Этого времени достаточно для вас? 1288 01:15:15,000 --> 01:15:16,100 Вероятно, что да. 1289 01:15:17,900 --> 01:15:20,800 И RMS. Контроль доступа основанный на объектах 1290 01:15:21,100 --> 01:15:22,700 живет на самом объекте 1291 01:15:22,800 --> 01:15:26,300 и который сохраняется вне зависимости от того, где находится объект. 1292 01:15:26,900 --> 01:15:30,400 Друзья, я хочу поблагодарить вас за то, что были все это время со мной. 1293 01:15:30,500 --> 01:15:33,100 Я знаю, в этой презентации было много информации. 1294 01:15:33,200 --> 01:15:35,300 Как технологии, так и теория 1295 01:15:35,700 --> 01:15:37,500 Я люблю такие презентации 1296 01:15:37,900 --> 01:15:39,900 Посколько у смотрю на ваши лица и вижу, 1297 01:15:40,300 --> 01:15:43,900 что вы задумываетесь над тем, как это может решить ваши проблемы. 1298 01:15:44,000 --> 01:15:45,700 Вот зачем я здесь 1299 01:15:45,800 --> 01:15:47,700 и вот, что доставляет мне удовольствие - 1300 01:15:48,100 --> 01:15:49,000 решение ваших проблем. 1301 01:15:49,100 --> 01:15:51,000 Будет еще много всего в следующие два дня. 1302 01:15:51,200 --> 01:15:53,100 Надеюсь увидеть вас снова. Доброй ночи. 1303 01:15:56,900 --> 01:16:04,300 Субтитры - blog.undsoft.com