Меня попросили взглянуть на программное обеспечение для полного шифрования диска для наших мобильных пользователей. Мы используем ПК с Windows XP SP3 в домене, и я понимаю, что мы не будем обновляться до Vista и не планируем обновляться до Windows 7. Это, похоже, исключает Bitlocker. Мы хотели бы рассмотреть два разных типа решений:
Решение должно быть надежным (например, не терять синхронизацию паролей, когда пользователь вынужден менять пароль своего домена в дороге). Это небольшой магазин, поэтому простота администрирования важна.
Власти могут исключить TrueCrypt из-за его недавней уязвимости в системе безопасности, но для целей вопроса я хотел бы услышать, насколько хорошо он соответствует этим требованиям. То же самое и с BitLocker - его можно исключить из-за отсутствия желания обновлять Windows, но меня интересует работа, которую он выполняет в Vista / Windows 7.
Зачем, TrueCrypt!
Шифрует весь раздел или устройство хранения, например USB-накопитель или жесткий диск.
Использование TrueCrypt без прав администратора
В Windows пользователь без прав администратора может использовать TrueCrypt, но только после того, как системный администратор установит TrueCrypt в системе. Причина в том, что TrueCrypt нужен драйвер устройства для обеспечения прозрачного шифрования / дешифрования «на лету», а пользователи без прав администратора не могут устанавливать / запускать драйверы устройств в Windows.
После того, как системный администратор установит TrueCrypt в системе, пользователи без прав администратора смогут запускать TrueCrypt, монтировать / демонтировать любой тип тома TrueCrypt, загружать / сохранять данные с / на него и создавать файловые тома TrueCrypt в системе. Однако пользователи без прав администратора не могут шифровать / форматировать разделы, не могут создавать тома NTFS, не могут устанавливать / удалять TrueCrypt, не могут изменять пароли / ключевые файлы для разделов / устройств TrueCrypt, не могут создавать резервные копии / восстанавливать заголовки разделов / устройств TrueCrypt, и они не могут запускать TrueCrypt. в портативном режиме.
.
Системное шифрование включает предзагрузочную аутентификацию, что означает, что любой, кто хочет получить доступ и использовать зашифрованную систему, читать и записывать файлы, хранящиеся на системном диске, и т. д., должен будет вводить правильный пароль каждый раз перед загрузкой (запуском) Windows. Предзагрузочная аутентификация обрабатывается загрузчиком TrueCrypt, который находится на первой дорожке загрузочного диска и на аварийном диске TrueCrypt.
Доступ к домену осуществляется после предзагрузочного входа в систему.
Однако, если пользователю необходимо сменить пароль, и работодатель ожидает узнать этот пароль, это вопрос доверия работодателя к пользователю / сотруднику.
Мы используем PGP шифрование всего диска где я работаю. Я не принимал непосредственного участия в его настройке, поэтому не могу рассказать вам много подробностей. Я знаю, что он аутентифицируется в нашей инфраструктуре AD, но он не выполняет единую регистрацию, поскольку уровень PGP происходит во время загрузки до загрузки Windows и, следовательно, до того, как будет установлено какое-либо сетевое подключение Windows.
Мы используем Шифрование Guardian Edge Plus где я работаю. Он довольно прост в использовании и имеет функцию единого входа, которую вы ищете. Я установил его и использовал на нескольких ноутбуках, и впечатлен тем, насколько он не мешает. Помимо первоначального шифрования, его работа редко замечается и (по моему опыту) никогда не влияла на общую производительность системы.
Мы используем Credant там, где я работаю. Он не очень популярен, поскольку влияние на производительность системы заметно, если только вы не свяжете его с более быстрым накопителем, таким как 7200 об / мин или SSD.
Было бы полезно указать на продукты, которые в конечном итоге были выбраны через UПрограмма "SmartBuy" правительства Юга. Эти продукты были выбраны для защиты DAR (данные в состоянии покоя), и все они были проверены на основе требований безопасности, цены и т. Д. сайт агентства:
Products are: * Mobile Armor LLC’s Data Armor * Safeboot NV’s Safeboot Device Encryption * Information Security Corp.’s Secret Agent * SafeNet Inc.’s SafeNet ProtectDrive * Encryption Solutions Inc.’s SkyLOCK At-Rest * SPYRUS Inc.’s Talisman/DS Data Security Suite * WinMagic Inc.’s SecureDoc * CREDANT Technologies Inc.’s CREDANTMobile Guardian * GuardianEdge Technologies’ GuardianEdge.
Заметно отсутствуют: PGP WDE (Я очень уважаю PGP, поэтому понятия не имею, почему они были опущены) и BitLocker (более новый продукт, но развертываемый и управляемый в корпоративных средах, очень привлекательный для машин, оснащенных TPM).
Также я не вижу упоминания об аппаратных решениях, например Накопитель Seagate Momentus FDE с помощью управляющего программного обеспечения от Wave Systems (или Secude's finallySecure). Новые покупатели могут использовать эти диски, в то время как существующие машины используют FDE на основе программного обеспечения (я считаю, что finallySecure обеспечивает интегрированное управление для этих смешанных сред).
Мы используем BeCrypt DiskProtect, который отвечает различным требованиям, предъявляемым к нам.
На самом деле я работаю в двух разных системах / сетях, обе используют BeCrypt. В одном используется единый вход (если не указано иное), а в другом - не единый вход.
С точки зрения безопасности я считаю, что полное шифрование диска с помощью единого входа - это глупость! Кейлоггеры, люди, которые следят за тем, что вы набираете, использование вашего стандартного пароля в самых разных местах означает, что, получив пароль, они получают полный доступ к вашей «безопасной машине».
Я могу понять это с легкостью и с точки зрения пользователя, но я верю, что отдельные входы в систему обеспечивают лишь дополнительный уровень безопасности.
Мы используем SafeBoot на работе, но я не думаю, что он соответствует вашим требованиям к AD; у него есть собственное серверное решение с идентификатором пользователя / хранилищем компьютера (отсюда больше накладных расходов администратора). Есть список, кто может загружать каждую машину.
Я считаю, что он медленнее, чем BitLocker, и берет на себя весь диск, MBR и все остальное, что я ненавижу, но никаких серьезных проблем.