Вопросы поддержки
Хотя наступили замечательные времена для всех, кого интересуют технологии хранения, перейти на новый формат без проблем не получится. Размер сектора так долго оставался неизменным, что индустрия программного обеспечения попала в прочную зависимость Далее »
Ваш помощник — сетевой экран
Системы Server 2008 R2 и Server 2008 — это первые версии Windows Server, допускающие возможность функционирования корпоративной среды без отключения сетевого экрана. Важно только не отключать брандмауэр при установке на сервере какой-либо Далее »
Диагностика
Если при попытке подключиться к серверу у вас возникают трудности, попробуйте активировать процедуру регистрации; это позволит получить информацию о том, блокируются ли нужные вам порты. По умолчанию функция входа в систему через Далее »
Управление параметрами брандмауэра
Правила для брандмауэров создаются не только с помощью оснастки Firewall with Advanced Security. Для этой цели можно воспользоваться командами Netsh. Более подробную информацию об использовании этих команд для настройки Windows Firewall можно Далее »
Среда IAM Microsoft
На приведенном рисунке показана общая схема среды управления удостоверениями и доступом (IAM) в Microsoft. Она включает три основных сегмента: внутреннюю сеть Microsoft, называемую CorpNet, внешнюю сеть (DMZ) для сотрудничества с партнерами и Далее »
SecretDisk 4.0
SecretDisk 4 — система защиты конфиденциальной информации и персональных данных, хранящихся и обрабатываемых на персональном компьютере, от несанкционированного доступа плюс двухфакторная аутентификация для доступа к зашифрованным данным и защита системного раздела, прозрачная работа для пользователя, соответствие закону по защите персональных данных (ФЗ-152) и наличие сертифицированной версии продукта. Перечислим случаи, когда бывает необходим SecretDisk 4.
• При работе на ноутбуке. Утеря или кража ноутбука, несанкционированное использование посторонними лицами (во время деловых поездок или на отдыхе).
• При работе на персональном компьютере в офисе. Несанкционированный доступ к данным по локальной сети или неправомерное использование посторонними лицами во время отсутствия пользователя на рабочем месте.
• Если компьютер передается на сервисное обслуживание. Несанкционированный доступ к данным во время проведения ремонтных и сервисных работ внутренней ИТ-службой или внешней сервисной компанией.
• Если информация конфиденциального характера переносится или пересылается на съемных носителях (утеря или кража носителей).
Необходимо обеспечить выполнение требований федерального закона «О персональных данных» от 27 июля 2006 года. Нарушение конфиденциальности персональных данных, которые хранятся и обрабатываются на персональных компьютерах в организации.
Для чего предназначен SecretDisk?
• Защита от несанкционированного доступа и раскрытия конфиденциальности информации, хранящейся и обрабатываемой на персональном компьютере или ноутбуке.
• Защита информации при переносе и хранении на съемных носителях.
• Разграничение прав пользователей на доступ к защищенной информации с использованием надежной двухфакторной аутентификации (владение электронным ключом e-Token и знание PIN-кода).
В данном случае вы сможете шифровать весь жесткий диск, если ваш компьютер работает под управлением любых версий операционных систем Microsoft Windows XP, Microsoft WindowsVista, Microsoft Windows 7. Недостаток обоих предложенных выше способов состоит в том, что контейнер с вашими персональными данными привязан к компьютеру, следовательно, вы не можете носить его с собой. Разве что сделаете шифрованный сменный носитель. Опять же учтите, что, для того чтобы сменный носитель, зашифрованный на компьютере под управлением Windows 7 Ultimate, вы смогли прочесть на компьютерах под управлением более младших операционных систем, параметр групповой политики Allow access to BitLocker-protected removable data drives from earlier versions of Windows должен быть установлен в значение «Да» или не настроен!
В случае использования SecretDisk вы можете создать криптоконтейнер, но тогда на том компьютере, на котором вы хотите прочесть из него информацию, также должно быть установлено соответствующее программное обеспечение, что, согласитесь, далеко не всегда удобно.
Шифрование BitLocker
Я считаю, что шифрование BitLocker — оптимальное решение. Особенно если ваш компьютер оснащен TrustedPlatformModule (TPM). Правда, в этом случае вам придется задействовать Windows 7 Ultimate (поскольку речь идет о малых предприятиях или вообще физических лицах, я думаю, что вряд ли кто-то из этой группы использует Windows 7 Enterprise). Итак, если на вашем ноутбуке (или стационарном компьютере) установлена версия Windows 7 Ultimate, то шифровать с помощью BitLocker — идеальный вариант. Единственный совет: если ваш компьютер оснащен ТРМ, вы можете применять данный модуль для хранения ключа. Выбирайте шифрование TPM+PIN, то есть фактически используйте для расшифровывания двухфакторную аутентификацию. Если же ваш компьютер не оснащен ТРМ, вам придется использовать в качестве места для хранения ключа флэш-накопитель USB. Не забудьте, естественно, в том и другом случае сделать резервную копию ключа (конечно же, не на тот USB-ключ, который будет использоваться в качестве основного) и распечатайте ключи. Потом положите распечатанные ключи в какое-то закрытое хранилище. И не забудьте, что не следует носить USB-флэш с записанным ключом в той же сумке, что и ноутбук!
Правила хранения персональных данных
Сегодня мы все чаще храним и свои, и чужие персональные данные на компьютерах. Безусловно, хранить адреса, номера телефонов, адреса электронной почты и блогов, а также такую информацию, как номер паспорта, водительского удостоверения, а то и номер банковской карты, гораздо удобнее в электронном виде. Но вот безопасно ли? Если этому не уделять внимания, то, конечно, нет. А ведь у каждого из нас есть подобная информация о наших друзьях и знакомых. Причем с каждым днем ее все больше и больше. Ежедневно в Интернете появляются новые сообщения о преступлениях, связанных с хищением персональных данных. Но тем не менее люди не становятся менее доверчивыми и все так же продолжают хранить персональные данные, как свои, так и чужие, не уделяя должного внимания их безопасности.
А когда вы в последний раз пытались разобрать ворох визиток, лежащий на столе? Наверное, когда искали нужный телефон. Да и то при этом неоднократно пожалели, что не ведете такую базу в электронном виде, верно?
И хотя по закону персональные данные — совокупность ведомостей о физическом лице, которое идентифицировано или может быть идентифицировано, всегда ведь можно сослаться на то, что мы, как физические лица, не попадаем под действие закона о защите персональных данных и не отвечаем за нарушение данного закона, но кому из нас понравится обвинение в том, что именно с нашего компьютера ушли данные о друзьях и партнерах? А то и наши собственные данные? Думаю, никому.
Как же правильно хранить подобные данные на своем компьютере? В данной статье мы рассмотрим несколько возможных технологий и соответственно примеров программно -го обеспечения. На самом деле их намного больше.
Шифрование всего компьютера
На мой взгляд, это кардинальный подход. Вариантов программного обеспечения, осуществляющих полное шифрование всех жестких дисков, масса. Я остановлюсь лишь на тех, которыми пользуюсь сам.
Вопросы поддержки
Хотя наступили замечательные времена для всех, кого интересуют технологии хранения, перейти на новый формат без проблем не получится. Размер сектора так долго оставался неизменным, что индустрия программного обеспечения попала в прочную зависимость от этой величины. Программисты на протяжении десятилетий работали в расчете на постоянный размер сектора. В отношении Windows существует ряд особых моментов, о которых необходимо знать, прежде чем переходить на накопители 4K. Заметим, что исправления, перечисленные ниже, применимы только в отношении накопителей 512e. В настоящее время ни одна из выпущенных версий Windows не предусматривает поддержки накопителей 4K Native для систем нижнего уровня.
Windows XP/2003/2003 R2. Microsoft не поддерживает накопители расширенного формата для Windows XP, Windows 2003 и Windows 2003 R2. Таким образом, по держку должен предусматривать производитель диска. Было решено не тратить усилия на старые версии, выпущенные до появления новых накопителей. Windows Vista/Server 2008. Для Windows Vista и Windows Server 2008 существуют проблемы, уже выявленные и исправленные. Эти исправления включены в состав пакета исправлений «Пакет исправлений для улучшения совместимости Windows Vista и Windows Server 2008 с накопителями расширенного формата» (support. microsoft.com/kb/2553708).
Windows 7/Server 2008 R2. Для Windows 7 и Server 2008 R2 также требуется установка исправлений для оптимизации работы с накопителями расширенного формата (см. «Обновление для улучшения совместимости Windows 7 и Windows Server 2008 R2 с накопителями расширенного формата» (support.microsoft.com/kb/982018)). Hyper-V при размещении VHD. 512-байтовые операции записи, используемые с файлами VHD, могут привести к снижению производительности при размещении файлов VHD на дисках 512e. Это связано с избыточным количеством операций ввода-вывода в ходе процесса «Чтение-Изменение-Запись». Дело в том, что для каждого 512-байтового сектора, изменяемого гостевой системой, базовая система вынуждена считывать данные в 4 096-байтовый сектор, включающий в себя изменяемый 512-байтовый сектор, после чего внести изменение и записать 4 096-байтовый сектор обратно на диск. Если гостевой системе требуется внести 10 изменений, то этот процесс будет выполняться 10 раз. В такой ситуации Hyper-V абсолютно несовместим с накопителями 4K Native (см. статью Microsoft «Использование Hyper-V с накопителями с большим размером сектора в Windows Server 2008 и Windows Server 2008 R2» по адресу support.microsoft.com/kb/2515143). Microsoft SQL Server. SQL Server будет запрашивать о размере сектора накопителя. В случае накопителя 512e ответ будет таков, что размер сектора составляет 512 байт. Поэтому SQL Server будет выполнять все свои операции ввода-вывода в 512-байтовом формате. Это приведет к инициированию аналогичного процесса «Чтение-Изменение-Запись». Более подробно об этом рассказано в статье «SQL Server — новые накопители с размером сектора 4K» (blogs.msdn. com/b/psssql/archive/2011/01/13/sql-server-newdrives-use-4 K-sector-size.aspx).
Windows Home Server. Самая последняя версия Windows Home Server поддерживает диски 512e, но более старые версии этой поддержки не имеют. Как отмечают специалисты Microsoft, важно иметь в виду, что некоторые изготовители жестких дисков выпускают накопители расширенного формата с использованием тех же базовых моделей, что и традиционные диски с 512-байтовым сектором. Если вы используете Windows Home Server v1, обязательно убедитесь, что приобретаемый вами диск не является накопителем расширенного формата. К сожалению, не всегда легко определить, является ли диск накопителем расширенного формата, пока вы его не купите. Поэтому полезно провести предварительное исследование.
Microsoft Exchange Server. Exchange также имеет особые правила в отношении использования накопителей 4K. Например, если планируется переход на накопители 4K, то это должна быть позиция «все или ничего». Либо все базы данных будут находиться на накопителях 4K, либо никакие. Комбинации не допускаются. Использование накопителей 4K Native не поддерживается. Поддерживаются только накопители 512e, и то только для версий начиная с Exchange 2010 SP1. Полный список требований для Exchange приводится в статье TechNet «О настройке хранилищ: Exchange 2010 SP1» (technet. microsoft.com/en-us/library/ee832792.aspx#Phys).
Возможности обеспечения поддержки
Позиция Microsoft в отношении обеспечения поддержки подробно описана в статье «Информация о политике поддержки Microsoft для накопителей с большим сектором в Windows» (support.microsoft.com/kb/2510009). В ней не только описаны возможности обеспечения поддержки накопителей 512e, но и приводится более подробная информация о некоторых выявленных проблемах, а также даются ссылки на обходные пути и исправления. По мере выявления новых проблем Microsoft будет дополнять эту статью.
Следует иметь в виду, что даже после установки обновления Windows для обеспечения поддержки накопителей 512e вам все равно придется использовать аппаратное обеспечение, поддерживающее их применение. В противном случае можно не увидеть диск правильно. Если используемый контроллер не распознает новое оборудование, то макет дисков будет передаваться неверно.
Резонанс
Происходит фундаментальное изменение способа хранения данных. Однако все последствия этого станут ясны, только когда новые накопители начнут применяться повсеместно. Однако уже с уверенностью можно сказать, что большое влияние перемены окажут на такие области, как восстановление данных, программное обеспечение для резервного копирования и программы для работы с дисками, а также на операционные системы. Определить, наступило ли время перехода на диски расширенного формата, вам поможет предварительный анализ.
Дополнительную информацию о взаимодействии новых накопителей с продуктами Microsoft можно получить, ознакомившись со следующими материалами: «Обновление для обеспечения совместимости с диском с эмуляцией 512-байтового сектора (512e)» (msdn. microsoft.com/en-us/library/hh182553.aspx) и «Влияние накопителя с большим сектором (для ИТ-специалистов)» (technet.microsoft.com/en-us/library/hh147334(WS.10).aspx). Последняя из указанных статей содержит краткие справочные таблицы и подробное описание упомянутого процесса «Чтение-Изменение-Запись».
Переходите на накопители 4K
На старых дисках с 512-байтовым сектором много пространства теряется именно из-за необходимости хранения ECC для каждого индивидуального сектора.
Сектор большего размера позволяет оптимизировать ECC и за счет этого значительно сократить объем пространства, используемого для исправления ошибок, а также одновременно повысить способность диска обнаруживать ошибки в каждом отдельном секторе. Освободившееся пространство можно использовать для хранения файлов. Переход на диски с 4&сектором позволит увеличить плотность размещения. Для единичного 4-килобайтового сектора код ECC значительно меньше, чем он был бы для восьми 512-байтовых секторов. А чем меньше пространства используется для ECC, тем больше освобождается места для хранения файлов.
Два типа накопителей 4K
Существует два типа накопителей с сектором 4K. Первый и самый распространенный тип — диск с эмуляцией 512-байтового сектора (512e). Фактически являясь накопителем с сектором 4K, он эмулирует диск с 512-байтовым сектором, представляя операционной системе два размера сектора: 512-байтовый логический блок, используемый как единица адресации, и сектор 4K в качестве физической элементарной единицы. Второй тип накопителя — 4K Native, который значительно менее распространен, но встречается у некоторых жестких дисков с USB-интерфейсом объемом свыше 2 Tбайт. Вероятно, производители аппаратных средств выжидают момента большей готовности отрасли к появлению таких накопителей: нет смысла производить новый продукт, если лишь немногие могут его использовать. Накопители 4K Native не применяют эмуляцию 512-байтового сектора, и их логический и физический секторы имеют размер 4K.
Чтобы проверить тип используемого накопителя, сделайте следующее.
1. Установите соответствующие обновления (см. пункт «Вопросы поддержки»).
2. В окне командной строки с повышенными привилегиями введите следующую команду (где x — проверяемый диск):
fsutil fsinfo ntfsinfo x:
3. По значениям, приведенным в таблице в столбцах «Размер сектора» и «Размер физического сектора», определите тип накопителя.
Существует другой способ проверить наличие накопителя 4K, но он лишь позволяет определить, относится ли данный накопитель к типу 4K Native или 512 Native. В меню «Пуск» выберите «Выполнить» и введите команду msinfo32. Разверните пункт «Компоненты» и выберите «Запоминающие устройства», затем «Диски». В строке «Байт/Сектор» вы увидите 4096.
Влияние на NTFS
Новый размер сектора 4K на уровне физического диска соответствует организации работы NTFS. Элементарный блок, с которым работает NTFS, именуется кластером или единицей размещения. По умолчанию для NTFS размер кластера составляет 4 Юайт. Так что большинство существующих томов уже используют размер кластера, равный новому размеру сектора жесткого диска. Индексный блок, используемый NTFS, также имеет размер 4 байт.
Когда накопители 4K Native получат большее распространение, NTFS от этого значительно выиграет. На сегодня в NTFS размер записи файла составляет 1 Юайт. На дисках 4K Native размер записи файла будет составлять 4 Юайт. Это означает, что для более сложных (фрагментированных) файлов значительно снизится вероятность достижения определенных ограничений файловой системы — например, предела фрагментации или ограничений на размер сжатого или разреженного файла. Подробнее о влиянии накопителей расширенного формата на NTFS см. заметку «NTFS и диски 4K» (blogs.msdn. com/b/ntdebugging/archive/2011/06/28/ntfs-and-4K-disks. aspx).
