Crittografia del disco completo di Windows XP – Quali sono le opzioni?

Mi è stato chiesto di esaminare il software di crittografia a disco completo per i nostri utenti mobili. Stiamo eseguendo i PC Windows XP SP3 in un dominio e la mia comprensione è che non verranno aggiornati a Vista e non abbiamo piani correnti per l'aggiornamento a Windows 7. Ciò sembrerebbe escludere Bitlocker. Vorremmo esaminare due diversi tipi di soluzioni:

  1. Una soluzione integrata in Active Directory che sincronizza gli account di dominio e le password per il singolo accesso a un PC. Questa soluzione dovrebbe permettere che gli amministratori di dominio accedano a qualsiasi unità crittografata e ottengano punti bonus se l'autorità di accesso al disco di crittografia / crittografia può essere delegata a non amministratori di dominio nella Help Desk.
  2. Una soluzione che viene eseguita su ciascun PC singolarmente o in una sorta di modalità gruppo di lavoro che consente a una sola password master di decrittare l'unità del computer porttile. Sincronizzare con account utente e password di dominio sarebbe anche bello, per l'utente finale di un singolo accesso.

La soluzione deve essere affidabile (ad esempio non perdere la sincronizzazione di password quando un utente è costretto a cambiare la password di dominio su strada). Questo è un piccolo negozio, quindi la facilità di amministrazione è importnte.

  • SSL Certificate Class 2 vs Classe 3 vs Classe 4
  • Può il log di Windows registrare CryptoAPI CRL timouts?
  • Posso avere un certificato SSL per l'accesso diretto IP?
  • Qual è la posizione del certificato fallback di SQL Server?
  • Determinare se la chiave LUKS / dmcrypt è presente
  • Utilizzando la nostra autorità di certificazione per la crittografia email aziendale
  • I poteri che potrebbero escludere TrueCrypt a causa della sua recente vulnerabilità di protezione, ma al fine della domanda, vorrei sapere quanto soddisfa questi requisiti. Stessa cosa con BitLocker – può essere esclusa a causa della mancanza di desiderio di aggiornare Windows, ma sono interessato al lavoro che fa su Vista / Windows 7.

    7 Solutions collect form web for “Crittografia del disco completo di Windows XP – Quali sono le opzioni?”

    Perché, TrueCrypt !

    Crittografa un'intera partizione o un dispositivo di memorizzazione come un'unità flash USB o un disco rigido.

    Utilizzo di TrueCrypt senza privilegi di amministratore

    In Windows, un utente che non dispone di privilegi di amministratore può utilizzare TrueCrypt, ma solo dopo che un amministratore di sistema installa TrueCrypt sul sistema. La ragione di questo è che TrueCrypt necessita di un driver di periferica per fornire una crittografia / decrittografia trasparente on-the-fly e gli utenti senza privilegi di amministratore non possono installare / avviare i driver di periferica in Windows.

    Dopo che un amministratore di sistema installa TrueCrypt sul sistema, gli utenti senza privilegi di amministratore saranno in grado di eseguire TrueCrypt, montare / disinstallare qualsiasi tipo di volume TrueCrypt, caricare / salvare dati da / su di esso e creare volumi TrueCrypt ospitati sul file sul sistema. Tuttavia, gli utenti che non dispongono di privilegi di amministratore non possono crittografare o formattare partizioni, non possono creare volumi NTFS, non installare / disinstallare TrueCrypt, non modificare password / codici chiave per partizioni / dispositivi TrueCrypt, non eseguire il backup / ripristino delle intestazioni di partizioni TrueCrypt e non possono eseguire TrueCrypt in modalità porttile.

    .

    La crittografia del sistema prevede l'authentication pre-avvio , il che significa che chiunque desideri accedere e utilizzare il sistema crittografato, leggere e scrivere i file memorizzati nell'unità di sistema, ecc., Dovrà inserire la password corretta each volta prima di avviare Windows ). L'authentication pre-avvio viene gestita dal caricatore di avvio TrueCrypt, che risiede nella prima traccia dell'unità di avvio e nel disco di ripristino TrueCrypt.

    L'accesso al dominio avviene dopo il login pre-avvio.

    Tuttavia, se l'utente deve cambiare la password e il datore di lavoro si aspetta di conoscere la password, è questione del datore di lavoro che si fida dell'utente / dipendente.

    Usiamo Guardian Edge Encryption Plus where lavoro. È abbastanza facile da usare e dispone di una function di firma singola come si sta cercando. Lo ho installato e usato su diversi computer porttili e sono impressionato da come non interferire. A parte la crittografia iniziale, il suo funzionamento è raramente notato e (nella mia esperienza) non ha mai influenzato le performance complessive del sistema.

    Stiamo usando la crittografia del disco integer PGP where lavoro. Non sono stato direttamente coinvolto nella configuration, quindi non posso darti molte specifiche. So che sta autenticando contro la nostra infrastruttura AD, ma non fa la firma singola come il livello PGP si verifica all'avvio di avvio prima che Windows inizia e quindi prima che ci sia alcuna connettività di networking di Windows.

    Usiamo Credant where lavoro. Non è molto apprezzato, poiché l'impatto sulle performance che ha sul sistema è evidente a less che non si nega con un'unità più veloce come 7200RPM o SSD.

    Potrebbe essere utile indicare i prodotti che sono stati ultimamente selezionati tramite il programma "SmartBuy" del governo U S. Questi prodotti sono stati selezionati per proteggere DAR (data-at-rest) e sono state tutte riesaminate in base a esigenze di sicurezza, prezzo, ecc. Dal sito web dell'agenzia :

     I prodotti sono:
     Armatura dei dati di Armatura Mobile LLC
     * Crittografia del dispositivo Safeboot Safeboot NV
     * L'agente segreto di Information Security Corp.
     SafeNet ProtectDrive di SafeNet Inc.
     * SkyLOCK At-Rest di Crittografia Solutions Inc.
     * Talisman / DS Data Security Suite di SPYRUS Inc.
     * SecureDoc di WinMagic Inc.
     CREDANTMobile Guardian di CREDANT Technologies Inc.
     GuardianEdge di GuardianEdge Technologies.
    

    Apparentemente assenti sono: PGP WDE (ho molto rispetto per PGP, quindi non ho idea di perché sono stati omessi) e BitLocker (prodotto più recente, ma distribuibile e gestibile in ambienti aziendali e molto attraente con macchine dotate di TPM) .

    Inoltre, non vedo la menzione di soluzioni basate su hardware, come l' unità Seagate Momentus FDE con software di gestione da parte di Wave Systems (o Secrets's FinallySecure). Nuovi acquisti potrebbero utilizzare queste unità mentre le macchine esistenti utilizzavano il FDE basato su s / w (credo InfineSecure fornisce una gestione integrata per questi ambienti misti).

    Noi usiamo BeCrypt DiskProtect, che ha incontrato i vari requisiti che ci sono stati stipulati.

    Realmente lavoro su due diversi sisthemes / reti, entrambi utilizzano BeCrypt. Uno utilizza un solo segno (salvo diversa indicazione) e l'altro non è un segno unico.

    Da un punto di vista della sicurezza credo che la crittografia completa del disco con un solo segno sia duro! Keyloggers, la gente che guarda quello che stai digitando, l'utilizzo della password standard in tutti i tipi di posti significa che una volta che ne hanno uno, hanno accesso completo alla tua "macchina sicura"

    Posso capirlo da una facilità e da un punto di vista dell'utente, ma credo che i loghi separati forniscano solo quel livello extra di sicurezza.

    Usiamo SafeBoot al lavoro, ma non credo che soddisfi i tuoi requisiti AD; ha una propria soluzione di server con archivio utente / computer (quindi più overhead amministratore). Ha un elenco di chi può avviare each macchina.

    Lo trovo più lento di BitLocker e prendo l'intera unità, MBR e tutto ciò che odio, ma nessun problema serio.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.