Сегодня уже ни для кого не является новостью тот факт, что большая часть сотрудников в крупных компаниях вместо стационарных рабочих мест – персональных компьютеров, используют мобильные устройства – компактные ноутбуки. Ведь это очень удобно, особенно если работа сотрудника связана с частыми перемещениями, начиная от каких-либо небольших, например, совещаний или встреч, и заканчивая значительными, например, далекими командировками. В каждом из этих случаев сотрудник имеет постоянный доступ ко всем необходимым для работы данным, и он всегда готов выполнять свои должностные обязанности.

Также ни для кого не секрет, что защитить данные на ноутбуках от утечки в результате их утери или кражи можно с использованием средств шифрования. Причем, для пущей простоты и безопасности, компании предпочитают полностью зашифровать жесткий диск ноутбука вместе с операционной системой. И хотя, с одной стороны, это привносит в работу пользователя некоторые неудобства, так как изменяется привычный процесс загрузки, и пользователь должен вводить аутентификационные данные до загрузки операционной системы в оболочке системы шифрования (эта процедура еще называется предзагрузочной аутентификацией), но с другой стороны, это позволяет пользователю не думать о том, куда будут сохраняться конфиденциальные данные – в любом случае они попадут в зашифрованную область жесткого диска.

Однако, шифрование данных является «обоюдоострым» средством защиты, надежно защищающим данные от несанкционированного доступа со стороны тех, кто этот доступ не должен иметь. Так же надежно шифрование защищает данные от пользователя, в случае если он забыл свои аутентификационные данные. Поэтому перед внедрением той или иной системы и запуском шифрования данных необходимо задуматься над вопросом: каким образом можно будет восстановить доступ к зашифрованным данным в экстренных случаях?

Наиболее распространенными методами и средствами восстановления доступа, используемыми в продуктах шифрования жестких дисков на сегодняшний день, являются механизм одноразовых паролей и механизм «запрос-ответ». В первом случае пользователь связывается с администратором, который сообщает ему пароль, с помощью которого он может однократно выполнить загрузку своего компьютера. После загрузки компьютер связывается с сервером управления и сообщает ему об использовании текущего пароля, после чего генерируется новое значение. Во втором случае пользователь связывается с администратором, сообщает ему код запроса, который отображается у него на экране предзагрузки, а затем администратор сообщает ему значение ответа, введя которое пользователь может выполнить загрузку своего компьютера.

Однако, в обоих этих механизмах есть одна общая черта – для того, чтобы воспользоваться механизмом восстановления доступа пользователь должен обязательно связаться с администратором. А что делать пользователю, если возможности связаться с администратором нет? Например, пользователь находится в командировке без телефонной связи, либо в другом часовом поясе, и проблема возникла, когда рабочий день администратора уже закончен?

До выхода версии 7.1 в продукте McAfee Drive Encryption (который, кстати, до этой версии носил называние McAfee Endpoint Encryption for PC) был реализован и использовался в качестве основного способа восстановления доступа к зашифрованным жестким дискам механизм запроса-ответа. А в новой версии 7.1 продукта был добавлен новый способ, позволяющий пользователю выполнить восстановление доступа самостоятельно, без необходимости обращения к администратору – восстановление доступа с использованием смартфона.

Принцип работы этого механизма следующий. При использовании восстановления доступа с использованием смартфона на экране предзагрузки у пользователя отображается QR-код, который пользователь считывает смартфоном при помощи специального мобильного приложения McAfee Endpoint Assistance. После того, как QR-код считан, McAfee Endpoint Assistance генерирует и отображает пользователю код ответа, который он должен ввести для последующей загрузки компьютера.

Далее я более подробно расскажу о порядке настройки и использования этого нового метода восстановления доступа в продуктах McAfee. Следует обратить внимание на то, что этот механизм восстановления в McAfee Drive Encryption по умолчанию отключен. Поэтому, если Вы планируете его использовать, то нужно в первую очередь включить поддержку механизма в политиках продукта McAfee Drive Encryption. Это необходимо сделать в двух категориях политик McAfee Drive Encryption – политике настроек продукта и политике для пользователей. В политике настроек продукта нужно включить опцию Включить поддержку сопутствующих устройств.

01

В политике для пользователей нужно включить возможность восстановления с использованием сопутствующих устройств, а также задать требования к паролю, защищающему вход в приложение McAfee Endpoint Assistance на смартфоне пользователя.

02

После того, как эти параметры включены в политиках и агент McAfee Drive Encryption на компьютере пользователя получил обновленные политики, при последующей перезагрузке пользователю будет отображено окно регистрации устройства (смартфона), который будет использоваться для восстановления доступа.

03

Для прохождения процедуры регистрации пользователю необходимо установить на свой смартфон приложение McAfee Endpoint Assistance, доступное в магазинах приложений Google Play (https://play.google.com/store/apps/details?id=com.mcafee.endpointassist&hl=ru) и Apple AppStore (https://itunes.apple.com/ru/app/mcafee-endpoint-assistant/id797510089?mt=8).

После установки приложения пользователю нужно будет задать пароль для защиты приложения, сложность пароля при этом должна соответствовать требованиям, заданным администратором в политике McAfee Drive Encryption. Затем пользователь считывает с помощью приложения QR-код из окна регистрации и после этого может использовать свой смартфон для восстановления доступа к своему компьютеру.

Теперь рассмотрим, каким образом происходит восстановление доступа к зашифрованному компьютеру с использованием смартфона и мобильного приложения McAfee Endpoint Assistance. В случае, если пользователю необходимо восстановить доступ, то он на этапе предзагрузки выбирает в качестве способа восстановления опцию Administrator / Smartphone Recovery, после чего ему отображается окно с кодом запроса и QR-кодом, необходимым для восстановления.

04

 

Для восстановления доступа с помощью смартфона пользователю нужно запустить на смартфоне приложение McAfee Endpoint Assistance, ввести пароль, заданный в ходе регистрации, и ему станет доступна возможность сканирования QR-кода запроса.

05

После того, как пользователь отсканировал QR-код восстановления, мобильное приложение McAfee Endpoint Assistance отобразит в отдельном окне код ответа, необходимый для восстановления доступа.

06

Пользователю необходимо ввести код ответа, сгенерированный приложением McAfee Endpoint Assistance, после чего доступ будет восстановлен, и компьютер продолжит загрузку операционной системы.

Подводя небольшой итог, хочу отметить, что этот метод восстановления доступа не может стать основным для пользователей продукта McAfee Drive Encryption, так как все равно найдутся пользователи, которые либо не смогут установить или воспользоваться мобильным приложением, либо имеющие старые телефоны или смартфоны, не поддерживающие это приложение (например, под управлением ОС Windows Phone).

Но тем не менее, на мой взгляд, этот метод может быть неплохим дополнением к механизму запроса-ответа, с учетом того, что он несложен в настройке и внедрении. Со стороны конечных пользователей, безусловно, необходима общая техническая грамотность для использования этого метода: необходимо уметь найти и установить необходимое приложение, пользоваться сканером QR-кодов и т.д. Техподдержка может помочь пользователю выполнить часть действий, тем самым в итоге получив для себя преимущество в снижении нагрузки со стороны пользователей. Кроме того, интерфейс самого приложения McAfee Endpoint Assistance выдержан в строгом духе минимализма и соответствует требованиям, предъявляемым к приложениям, с которыми как правило работают неквалифицированные пользователи – в виде одной большой кнопки для запуска сканирования. В этом случае таким пользователям сложно что-то неправильно понять или выполнить ошибочные действия.

Поэтому я считаю, что компании McAfee удалось, используя комбинацию широко используемых технологий и устройств (таких как смартфоны, QR-коды и т.д.), создать удобную и простую альтернативу существующим методам восстановления, которая решает проблему с необходимостью обращения в службу поддержки для восстановления доступа. На текущий момент, в продуктовых линейках конкурентов пока отсутствуют аналоги.

 

Все публикации в данном блоге отражают личное мнение авторов, которое может не совпадать с официальной позицией Компании.