Jedną z najważniejszych kwestii, jeśli chodzi o nowe technologie, jest bezpieczeństwo. BitLocker to popularne w wielu organizacjach narzędzie. Od tej pory można nim zarządzać także przez Desktop Central, dzięki dodatkowi Endpoint Security. Czym jest funkcja BitLocker? To dodatkowa ochrona polegająca na szyfrowaniu danych dysku twardego. W chwili uruchomienia komputera, użytkownik musi podać dodatkowe hasło, które dopiero uruchomi pozostałe procesy systemu Windows.
Sam moduł jest bardzo prosty w użyciu. Po przejściu do zakładki BitLocker, zauważymy dashboardy z informacją o stanie ochrony komputerów.
Dzięki nim możemy pozyskać najbardziej aktualne informacje o stanie infrastruktury z możliwością natychmiastowej reakcji. Całość procesu (konfiguracji BitLockera) polega na stworzeniu polityk, a następnie na ich wdrożeniu.
Tworzenie polityk
Przechodzimy do zakładki Policy Creation i klikamy Create Policy.
Pierwsza dostępna opcja po nadaniu nazwy polityki, to Drive Encryption – służy do włączania i wyłączania BitLockera. W momencie jego wyłączenia oraz rozpropagowania tego typu polityki, BitLocker przestaje działać na wybranych stacjach. Jeśli chcemy zaszyfrować dane, opcja powinna być włączona.
Kolejna funkcja, to Encryption Settings, w której możemy zaznaczyć czy chcemy zaszyfrować tylko dysk, na którym jest zainstalowany system operacyjny. Natomiast Encrypt used space only, to szyfrowanie jedynie użytej przestrzeni na dysku. Dla pełnego bezpieczeństwa zaleca się szyfrowanie całego dysku.
Ostatnia z opcji w tym segmencie związana jest z TPM, czyli układem scalonym montowanym na płycie głównej, który przechowuje klucze. Ta funkcjonalność umożliwia włączenie hasła w urządzeniach bez TPM. W przypadku wykrycia jakichkolwiek nieprawidłowości, nie zwróci zapisanego klucza. Jeśli przełożymy dysk do innego komputera, inny TPM nie będzie w stanie go odszyfrować. W normalnej sytuacji praca TPM jest niezauważalna – system startuje, TPM po weryfikacji zwraca klucze i pojawia się od razu ekran logowania do systemu Windows.
Ustawienia zaawansowane
Opcje w Advanced Settings umożliwiają wskazanie liczby dni, w trakcie których użytkownik będzie mógł odmówić restartowania swojego komputera. Kolejna opcja, Update recover key to domain controller, umożliwia umieszczenie klucza przywracającego dostęp do maszyn w AD (w przypadku gdyby użytkownik np. zapomniał hasła). Ostatnia funkcja, Specify rotation period for changing recovery key, pozwala wskazać liczby dni, po której klucz dostępu zostanie zmieniony.
Po zapisaniu polityki, kolejnym etapem jest jej wdrożenie. Przechodzimy do Policy Deployment oraz Associate Policy.
Wskazujemy odpowiednie stacje, odpowiednią politykę oraz wdrażamy zmiany.
W module znajdują się również raporty oraz opcja Retrieve Recovery Key, dzięki której możemy uzyskać klucz do każdego z zarządzanych komputerów na podstawie identyfikatora.
Podsumowanie
Dodatkek Endpoint Security to także inne komponenty, takie jak browser security, device control, application control, vulnerability management. W jakich sytuacjach może się przydać sama funkcja BitLocker? Rozwiązanie może być bardzo przydatne zwłaszcza wtedy, gdy ktoś ukradnie sprzęt. Można pomyśleć, że takie narzędzie jest niepotrzebne, skoro Windows jest już zabezpieczony hasłem. Różnica polega na tym, że nawet jeśli ktoś fizycznie wyjmie dysk twardy i umieści w innym komputerze, to w przypadku korzystania z BitLockera będzie on nadal chroniony. W innej sytuacji zadziałałby, jak np. zwykły pendrive i osoba trzecia mogłaby odczytać dane narażając organizacje, jak i pojedyncze osoby na utratę poufnych danych.