Все новости от 1 февраля 2007 г. Vista BitLocker: защита не для всех
Решение Microsoft предложить полное шифрование диска только в некоторых редакциях Windows Vista оставляет многих пользователей без одного из важнейших средств защиты новой операционной системы, утверждает аналитик Gartner.
«На презентации Vista Стив Баллмер спросил: „Насколько важен BitLocker?”, и сам, в своей характерной приподнятой манере, ответил: „Архиважен!”, — пишет в опубликованной во вторник аналитической заметке Джеффри Уитман.
— Этот ответ особенно интересен в свете того, что BitLocker доступен только через программу Microsoft Software Assurance (SA), нацеленную на крупные предприятия, и версию Windows Vista Ultimate».
BitLocker — это технология полного шифрования диска Microsoft. Такое шифрование все чаще используется предприятиями для блокирования данных в ноутбуках, которые могут быть потеряны или украдены. BitLocker содержится лишь в редакциях Vista Enterprise и Ultimate; первая предоставляется только крупным заказчикам через оптовое лицензионное соглашение, а вторая, хотя и продается в розницу, стоит $399.
«Малые предприятия и индивидуальные пользователи Vista не получат преимущества защиты BitLocker, — пишет Уитман. — Раз, по словам Стива Баллмера, это так важно, почему же Microsoft лишила многих своих клиентов одной из главных функций защиты Vista?»
Предыдущие публикации:
В продолжение темы:
|
|
| AlnZ 1 Feb 2007 2:03 PM |
Да не такая это и архиважная защита! Шифровать целиком раздел на стационарном компьютере смысла особого нет. А на буках уже давно поддерживается биосом запароливание винчестера. Эта такая фича, когда пароль и данные записываються непосредственно на блины винчестера. Поэтому, залоченный винт можно определить в биосе, но вот прочитать что-либо нереально, пока пароль не подберёшь. Дело осложняеться ещё и тем, что после тре неправильных вводов, винт отказываетсья принимать пароли, и приходиться его выключать и включать. Т.е. перебор отпадает. А что-бы узнать пароль, потребуеться что то вроде "чисто комнаты" где разберут винт... Так что, подавляющему большинству пользователей буков все эти програмные фишки не нужны. Тем более, что аппаратная защита, понятно дело, надежнее програмной... |
|
| AlnZ 1 Feb 2007 2:13 PM |
Да и ещё, эта фича появилась в середине 90x прошлого тысячелетия, но управление иё из биоса появилось в буках только сейчас. Так что сложно найти винт, не поддерживающий аппаратное залочивание... |
|
| A 1 Feb 2007 7:16 PM |
Если я правильно понял, ты хочешь сказать, что решение отдавать инфу или нет принимает контроллер HDD ? Тогда: > А что-бы узнать пароль, потребуеться что то вроде "чисто комнаты" где разберут винт... нафиг не надою Достаточно контроллер поменять. Даже если пароль хранится на блинах, новый контроллер даст полный доступ к этим самым блинам без всяких запросов. > Так что сложно найти винт, не поддерживающий аппаратное залочивание... Чего-то у нас ситуация с точностью до наоборот. PS. Чем-то слово "архиважно" напомнило мне того, кто и сейчас "живее всех живых" :) |
|
| AlnZ 1 Feb 2007 10:09 PM |
2A "Достаточно контроллер поменят" А где ты найдешь контроллер, который тебе эту инфу отдаст? С другого винта? Так там такой-же, он не отдаст. Сам соберешь? Так такая технология доступна только корпорациям и крупным правительственным структурам... Или нескольким фирмам, специально занимающимся выколачиванием инфы из железок. Ты не понял суть. После эпохи винтов типа MFM, когда контроллер был в виде платы, вставляемом в компьютер, контроллер самого винта переместили на сам HDD. А на плате оставили т.н. хост-контроллер. Т.е. он спрашивает, откуда ему нужны данные, а как их извлечь и передать, это уже забода контроллера винта. А вот он их и не передаст. Кстате, даже в обычном современном винте, замена платы может (и должно!) привести к нечетаемости части секторов. Потому-что на самом деле, BAD-блоки теперь на винте есть всегда, просто контроллер их скрывает. На винте есть резервная область, которыми он замещает свои BAD блоки. Причем сам компьютер (в смысле железо матплаты) даже не знает, что запрошенный им сектор на самом деле заменен резервным. Об этом можно догадаться только по той причине, что некоторые сектора читаються значительно медленнее... Подробнее, можешь почитать про технологию S.M.A.R.T. Ну и доки по утилите MHDD. Т.е. я к тому, что замена контроллера ничему не поможет. Компьютер уммет только паролить винт, и распароливать. А узнать, каким парольем он залочен - нифига. Почти идеальная защита. И не нужно всяких BitLocker или PGP... Единственный минус - еслы ты сотрудник корпорации или крупной госструктуры (или мафиозник какой-нибуть), то специально для тебя могут и винт разобрать и напрямую пароль с винта прочитать... Да и ещё: > Чего-то у нас ситуация с точностью до наоборот. А ты возьми утилиту MHDD и посмотри, поддерживает ли твой винт Lock или нет! А если твой BIOS не имеет соответствующей команды, это не значит что не поддерживает винт! У меня гиговый винт поддерживал, блин. Возможно это есть не на всех буках, но у нас в конторе, все 5 буков такую фичу поддерживают. И мой домашний то-же...
|
|
| A 4 Feb 2007 4:52 PM |
> А на плате оставили т.н. хост-контроллер. [skiped] Который получает с поверхностей геометрию, информацию о модели и прочее. В соответствии в чем и работает его firmware. Сделано для удешевления производства винтов одного модельного ряда, но разной емкости. Если таки заглянуть внутрь коробки, то кроме системы позиционирования и контроллера двигателя ничего не обнаружится. > Кстате, даже в обычном современном винте, замена платы может (и должно!) привести к нечетаемости части секторов. Если винты из разных модельных рядов - то да. А так, обычно контроллеры взаимозаменяемы. Помнится, года два назад мы так поднимали инфу в какого-то IBM-а с выгоревшей электроникой, сняв контроллер с такого же винта, только другого размера. > Т.е. я к тому, что замена контроллера ничему не поможет. Компьютер уммет только паролить винт, и распароливать. Цитирую: "пароль и данные записываються непосредственно на блины винчестера". Есть вероятность, что заменив контроллер мы можем получить прямой доступ к этим областям. |
|
| AlnZ 5 Feb 2007 1:47 PM |
2A >Есть вероятность, что заменив контроллер мы можем получить >прямой доступ к этим областям. Это твое заблуждение основываеться на >Если таки заглянуть внутрь коробки, то кроме системы >позиционирования и контроллера двигателя ничего не >обнаружится. А зачем тогда на контроллере винта находитсья кеш? (Если там только система позиционирования и контроллер двигателя) А за S.M.A.R.T тогда что отвечает? Биос или ОС? Я ещё упоминал о "прозрачном" для железа компьютера резервировании секторов. Скажешь этого нет? (отсылаю тебя к документации MHDD ещё раз.) >Помнится, года два назад мы так поднимали инфу в какого-то >IBM-а с выгоревшей электроникой, сняв контроллер с такого >же винта, только другого размера. Я говорил о "части" секторов. А ни о всех! О невозможности прочитать данные я не говорил. Если какой-нибуть файл окажеться на BAD блоке (а производители стараються обходиться без них), то файл окажеться битым. Вернусь к аппаратной защите данных на винчестерах. Есть контролер винчестера, который отвечает за извлечения данных с блинов (причем ему приходиться "виртуальную" геометрию преобразовывать в "реальную"). Так же он занимаеться диагностикой состояния жесткого диска (S.M.A.R.T) а так-же (в сравнительно новой реализации этого стандарта - третьего, если мне не изменяет память) замещает сектора, из которых часто данные читаються с ошибками (если данные не прочитались, контроллер автоматически пытаеться прочитать ещё раз, причем, опять-же это прозрачно для железа компьюетра). И самой для нас главное - НА ВСЕХ СОВРЕМЕННЫХ ВИНЧЕСТЕРАХ имееться возможность залочивать винт. Мы даем команду на залочку КОНТРОЛЛЕРУ. Он не известно куда на блины пишет пароль. И в последующее включение, считывает его. ЛЮБОЙ КОНТРОЛЛЕР этого винта. Даже если его поставили от другого винта этой серии. Теперь он может дать информацию о типе винта. "Виртуальной" геометрии. Но при попытки чтения, кричит об ошибке - бит ERR, если память мне не изменяет. И так, пока мы ему не отправим соответствующую команду с паролем. Причем об удачном окончании он (контроллер) нам не просигналит. Просто перестанет от чтения и записи данных отказываться. Если пароль был введун более трех раз, то все последующие вводы пароля будут всегда ошибочными. Кстате, А. Твое представление о жёстких дисках остановилось на конце 80x годах! Техника едет вперед! Зачастую быстрее, чем мы осознаем это! |
|
|