Ukradli mi laptopa - nie szkodzi!
- Patryk Królikowski,
- 05.11.2007
Zarządzanie i funkcjonalność
Siłą każdego oprogramowania korporacyjnego, także FDE, jest zarządzanie. Jeżeli nie jest ono scentralizowane i przejrzyste, to ogarnięcie setek klientów i ich konfiguracji będzie koszmarem. Każdy z produktów prezentuje inne podejście do tego elementu.
PPC wychodzi z założenia, że jeden instalator (paczka MSI) może kryć w sobie zarówno klienta, jak i pełnowartościową konsolę zarządzania, a dostęp do poszczególnych ustawień oprogramowania zależny jest od posiadanych uprawnień. Jak już wspomnieliśmy, wszelkie ustawienia stacji klienckich konfigurowane są za pomocą zabezpieczonych hasłem profili, które następnie mogą zostać opublikowane na udziale sieciowych, a następnie stamtąd pobrane przez klientów. Konsola zarządzania jest bardzo logiczna i przejrzysta, szybka i bezawaryjna. Przyzwyczajenia wymaga przyswojenie i zrozumienie ogólnej koncepcji przyjętej przez PPC. W konfigurowaniu profili zestawy ustawień podzielone są wg parametrów systemowych, grup użytkowników i pojedynczych użytkowników. Użytkownicy muszą zostać stworzeni ręcznie lub możliwe jest wykorzystanie tzw. konta tymczasowego, które przeistoczy się w konto rzeczywistego użytkownika w momencie pierwszego logowania. Nie ma w chwili obecnej mechanizmów pozwalających na sprzęg z usługami katalogowymi. Na przełomie roku 2007/2008 Check Point planuje wypuszczenie znanej z innych produktów tej firmy (SmartCenter) platformy centralnego zarządzania, gdzie taka funkcjonalność będzie dostępna. Konsola PPC zawiera także narzędzie do awaryjnego przywracania systemu oraz zdalnej pomocy np. w przypadku zagubienia hasła lub tokenu (tryb Challenge-Response).
Konsola zarządzania - widok konfiguratora - PPC
Konsola zarządzania - zakładka zawierająca komputery klienckie - SB
Konsola zarządzania - zakładka z politykami - SGN
Na ratunek użytkownikom
Niezwykle istotnym elementem systemu FDE jest jego mechanizm ratunkowy w razie awarii systemu lub zwyczajnego zapomnienia hasła. Każdy z produktów udostępnia funkcjonalność recovery "z pudełka", bez dodatkowych licencji. Funkcje ratunkowe zostały podzielone na dwa obszary: Challenge-Response - wykorzystywany w przypadku zagubienia tokenu czy zapomnienia hasła, oraz narzędzia bezpośredniej "interwencji" (awaria systemu operacyjnego, uszkodzenie file systemu).
Tryb recovery PPC - widok z poziomu konsoli zarządzania
Poprzez C/R SB udaje się raz uruchomić maszynę czy odblokować wygaszacz ekranu (obydwie rzeczy bez związku z użytkownikiem) lub zresetować hasło użytkownika, odblokować jego konto w przypadku zablokowania, stworzyć lub zmienić token uwierzytelniający.
Tryb recovery SB - widok z poziomu PBA
Tryb recovery - SGN - widok z konsoli zarządzania - sygnalizacja błędu w składni
Zarówno SB, jak i SGN podczas procedury C/R sprawdzają, czy wpisywane przez użytkownika kody są wprowadzane bezbłędnie. Dzięki temu nie ma potrzeby wstukiwania kilku linijek kodu, aby po chwili przekonać się, że gdzieś jest literówka. SGN oznacza błędnie wpisaną frazę kolorem czerwonym po każdym błędzie. To teoretycznie daje szansę na odgadnięcie ciągu fragment po fragmencie. Na szczęście czas na wpisanie frazy jest ograniczony do 15 min. W SGN dodatkowo można wyświetlić Spelling Aid, czyli tabele z poszczególnymi literami oraz cyframi i odpowiadające im nazwy (np. "T" = tango, jak w lotnictwie) - niestety w języku obcym.
C/R sprawdzają się, w przypadku gdy "awarii" ulegnie bądź pamięć użytkownika, bądź jego spostrzegawczość (np. zgubiony token). Co jednak w przypadku gdy stanie się coś znacznie gorszego, np. nie będziemy mogli uruchomić systemu i konieczna będzie awaryjna deszyfracja? Do tego każdy z producentów dostarcza osobne narzędzia - tworzone z poziomu interfejsu zarządzania (PPC i SB) lub bardziej "manualnie" (SGN). Tutaj na uwagę zasługuje PPC, gdzie proces recovery przebiega w sposób najmniej uciążliwy dla użytkownika. Bezpośrednio z konsoli tworzony jest bootowalny dysk (dyskietka lub klucz USB - później możliwe jest skopiowanie jego zawartości na bootowalny nośnik CD/DVD). Czynność ta wymaga uwierzytelnienia dwóch administratorów posiadających odpowiednie uprawnienia. Po uruchomieniu komputera z napędu konsola odzyskiwania do złudzenia przypomina środowisko PBA. Jest niezwykle czytelna i banalna w obsłudze.
Narzędzie odzyskiwania, które można dołączyć do nośnika recovery - SGN
SGN wymaga stworzenia bootowalnej płyty CD opartej na Windows PE lub BartPE, do której dołączana jest aplikacja odtwarzania. Przy tworzeniu live CD należy dołączyć do obrazu narzędzia odzyskiwania. Konsolka odzyskiwania jest prosta i pozwala na przeprowadzenie podstawowych czynności.
W każdym z przypadków wskazane jest dokładne przeczytanie instrukcji, które kwestie te traktują wystarczająco szczegółowo.
Na koniec…
Trzy rozwiązania FDE (Full disk encryption)