Criptografia de Disco Cheio do Windows XP - Quais são as opções?

5

Eu pedi para ver o software de criptografia de disco completo para nossos usuários móveis. Estamos executando PCs com Windows XP SP3 em um domínio e, no meu entender, não faremos a atualização para o Vista e não temos planos atuais de atualização para o Windows 7. Isso parece excluir o Bitlocker. Gostaríamos de analisar dois tipos diferentes de soluções:

  1. Uma solução integrada ao Active Directory que sincroniza contas de domínio e senhas para logon único em um PC. Essa solução deve permitir que os administradores de domínio acessem qualquer unidade criptografada e obtenha pontos de bônus se a autoridade de acesso a disco criptografado / descriptografado puder ser delegada a administradores que não sejam do domínio no suporte técnico.
  2. Uma solução que é executada em cada computador individualmente ou em algum tipo de modo de grupo de trabalho que permite que uma única senha mestre descriptografe a unidade do laptop. A sincronização com as contas de usuário e senhas do domínio também seria interessante, para logon único pelo usuário final.

A solução deve ser confiável (por exemplo, não perder a sincronização de senha quando um usuário é forçado a alterar sua senha de domínio na estrada.) Essa é uma pequena loja, portanto a facilidade de administração é importante.

Os poderes podem excluir TrueCrypt por causa de sua recente vulnerabilidade de segurança, mas, para o propósito da questão, eu gostaria de saber como ela atende a esses requisitos. A mesma coisa com o BitLocker - pode ser descartada devido à falta de desejo de atualizar o Windows, mas estou interessado no trabalho que ele faz no Vista / Windows 7.

    
por Carl C 04.08.2009 / 18:57

7 respostas

4

Por que, TrueCrypt !

Encrypts an entire partition or storage device such as USB flash drive or hard drive.

Usando o TrueCrypt sem privilégios de administrador

In Windows, a user who does not have administrator privileges can use TrueCrypt, but only after a system administrator installs TrueCrypt on the system. The reason for that is that TrueCrypt needs a device driver to provide transparent on-the-fly encryption/decryption, and users without administrator privileges cannot install/start device drivers in Windows.

After a system administrator installs TrueCrypt on the system, users without administrator privileges will be able to run TrueCrypt, mount/dismount any type of TrueCrypt volume, load/save data from/to it, and create file-hosted TrueCrypt volumes on the system. However, users without administrator privileges cannot encrypt/format partitions, cannot create NTFS volumes, cannot install/uninstall TrueCrypt, cannot change passwords/keyfiles for TrueCrypt partitions/devices, cannot backup/restore headers of TrueCrypt partitions/devices, and they cannot run TrueCrypt in portable mode.

.

System encryption involves pre-boot authentication, which means that anyone who wants to gain access and use the encrypted system, read and write files stored on the system drive, etc., will need to enter the correct password each time before Windows boots (starts). Pre-boot authentication is handled by the TrueCrypt Boot Loader, which resides in the first track of the boot drive and on the TrueCrypt Rescue Disk.

O acesso ao domínio ocorre após o login de pré-inicialização.

No entanto, se o usuário precisar alterar a senha e o empregador esperar saber essa senha, é uma questão de o empregador confiar no usuário / funcionário.

    
por 05.08.2009 / 17:14
2

Nós usamos Guardian Edge Encryption Plus onde eu trabalho. É muito fácil de usar e tem um recurso de logon único, como você está procurando. Eu configurei e usei em vários laptops e fiquei impressionado com a forma como ele não interfere. Além da criptografia inicial, sua operação raramente é notada e (na minha experiência) nunca afetou o desempenho geral do sistema.

    
por 04.08.2009 / 19:24
2

Estamos usando criptografia de disco inteiro do PGP onde eu trabalho. Eu não estava diretamente envolvido com a configuração, então não posso lhe dar muitos detalhes. Eu sei que ele está autenticando contra a nossa infra-estrutura AD, mas não faz logon único como a camada PGP acontece no momento da inicialização antes de inicializar o Windows e, portanto, antes de haver conectividade de rede do Windows.

    
por 04.08.2009 / 20:51
1

Nós usamos Credant onde eu trabalho. Não é muito apreciado, já que o impacto no desempenho do sistema é perceptível, a menos que você o negue com uma unidade mais rápida, como 7200 RPM ou SSD.

    
por 04.08.2009 / 22:33
1

Pode ser útil apontar os produtos que foram selecionados por meio do programa "SmartBuy" do Governo do S S . Esses produtos foram selecionados para proteger o DAR (dados em repouso) e foram revisados com base nas necessidades de segurança, preço, etc. A partir do site da agência :

Products are:
* Mobile Armor LLC’s Data Armor
* Safeboot NV’s Safeboot Device Encryption
* Information Security Corp.’s Secret Agent
* SafeNet Inc.’s SafeNet ProtectDrive
* Encryption Solutions Inc.’s SkyLOCK At-Rest
* SPYRUS Inc.’s Talisman/DS Data Security Suite
* WinMagic Inc.’s SecureDoc
* CREDANT Technologies Inc.’s CREDANTMobile Guardian
* GuardianEdge Technologies’ GuardianEdge.

Conspicuamente ausentes são: PGP WDE (eu tenho muito respeito pelo PGP, então não tenho idéia de por que eles foram omitidos) e BitLocker (produto mais novo, mas implantável e gerenciável em ambientes corporativos e muito atraente com máquinas equipadas com TPMs).

Além disso, não vejo menção a soluções baseadas em hardware, como disco Momentus FDE da Seagate com software de gerenciamento da Wave Systems (ou o FinallySecure da Secude). Novas aquisições poderiam usar essas unidades, enquanto as máquinas existentes usavam FDE baseado em s / w (acredito que o FinallySecure fornece um gerenciamento integrado para esses ambientes mistos).

    
por 05.08.2009 / 17:02
1

Usamos o BeCrypt DiskProtect, que atendeu aos vários requisitos que foram estipulados para nós.

Eu realmente trabalho em dois sistemas / redes diferentes, ambos usam o BeCrypt. Um usa o logon único (a menos que especificado de outra forma) e o outro não é o logon único.

Do ponto de vista da segurança, acredito que a criptografia de disco completo com logon único é daft! Keyloggers, pessoas assistindo o que você está digitando, o uso de sua senha padrão em todos os tipos de lugares significa que uma vez que eles tenham um, eles têm acesso total à sua "máquina segura"

Eu posso entender isso do ponto de vista da facilidade e do usuário, mas acredito que os logons separados fornecem apenas essa camada extra de segurança.

    
por 05.08.2009 / 18:22
1

Usamos o SafeBoot no trabalho, mas não acho que ele atenda aos seus requisitos de DA; ele tem sua própria solução de servidor com userid / store de computador (portanto, mais sobrecarga de administração). Tem uma lista de quem pode inicializar cada máquina.

Acho mais lento que o BitLocker e domino toda a unidade, o MBR e tudo o que eu odeio, mas não há problemas sérios.

    
por 09.08.2009 / 19:33