Desktop Management Guide
понести в случае несанкционированного доступа к содержимому диска. Чтобы, с одной стороны,
обеспечить безопасность такого уровня, а с другой стороны, дать приемлемое решение в случае,
когда забыт пароль, в средстве блокировки применяется схема с использованием двух паролей.
Один пароль должен быть установлен и использован системным администратором, а другой
обычно устанавливается и
используется конечным пользователем. Однако если оба пароля
забыты, нет никакой возможности разблокировать диск. Поэтому можно безопасно использовать
блокировку диска, только скопировав данные с жесткого диска в корпоративную
информационную систему или регулярно создавая резервные копии. В случае утраты паролей
блокировки диска жесткий диск непригоден для дальнейшего использования. Для тех
пользователей, которые не относятся к
описанной выше категории клиентов, это может
оказаться неоправданным риском. Для тех же пользователей, кто относится к упомянутой
категории, такой риск может быть вполне обоснован характером данных, хранимых на жестком
диске.
Использование функции DriveLock
При обнаружении нескольких жестких дисков, поддерживающих набор команд ATA Security, в
меню Security (безопасность) программы настройки компьютера появится команда DriveLock
(Блокировка диска). Здесь предусмотрен ряд параметров, позволяющих устанавливать главный
пароль и включать блокировку диска. Чтобы включить блокировку диска, необходим
пользовательский пароль. Поскольку начальная настройка блокировки диска обычно
выполняется системным администратором, главный пароль должен быть установлен первым.
Компания Hewlett-Packard рекомендует системным администраторам устанавливать главный
пароль в любом случае, собираются они или не собираются включать блокировку диска. Это даст
системным администраторам возможность изменять параметры блокировки диска, если им
потребуется впоследствии заблокировать диск. После того как установлен главный пароль,
системный администратор может включить блокировку диска или оставить ее отключенной.
Если в системе
имеется заблокированный жесткий диск, в ходе проверки POST будет запрошен
пароль для снятия блокировки устройства. Если был установлен пароль на включение
компьютера и он соответствует пользовательскому паролю на разблокировку устройства, в ходе
проверки POST не будет запрашиваться ввод пароля. В противном случае пользователь должен
будет ввести пароль блокировки диска. При «холодной» (аппаратной) перезагрузке может
использоваться
как главный, так и пользовательский пароль. При «теплой» (программной)
перезагрузке необходимо ввести пароль, который был введен для разблокирования диска во
время предшествовавшей процедуры «холодной» загрузки. У пользователя есть две попытки
для ввода правильного пароля. Если ни одна из попыток при «холодной» загрузке не будет
успешной, проверка POST будет продолжена, но диск останется недоступным.
Если при
программной перезагрузке или перезапуске из Windows ни одна из попыток не будет успешной,
проверка POST будет остановлена, появится сообщение о необходимости отключения и
повторного включения питания.
Приложения DriveLock
Лучше всего использовать средства защиты жесткого диска в корпоративной среде. Системный
администратор отвечает за настройку жестких дисков, для которых, помимо всего прочего, будет
установлен главный пароль блокировки диска и временный пароль пользователя. В случае, если
пользователь забудет пользовательский пароль или оборудование будет передано другому
сотруднику, всегда можно использовать главный пароль для переустановки пользовательского
пароля и получения доступа к жесткому диску.
Компания Hewlett-Packard рекомендует тем системным администраторам, которые решили
включить блокировку диска, разработать также корпоративную политику по установке и
эксплуатации главных паролей. Это необходимо для того, чтобы предотвратить возникновения
ситуаций, когда сотрудники намеренно или непреднамеренно устанавливают оба пароля на
36 Глава 11 Средства отслеживания и защиты активов RUWW