我们有某些必须始终加密的客户数据。我们一直在努力解决的部分是加密网络共享上的文件。
目前我们有使用 PGP Netshare 加密的网络文件夹。这对于文件加密非常有效,但对于需要两个或更多人同时访问的文件(即 Microsoft Access)则很糟糕。如果两个人访问该文件,该文件将损坏。
我们尝试过 Microsoft EFS,它非常简单,但难以为多个用户配置。如果不通过 Windows 资源管理器(根据我们发现的内容)将他们的证书显式添加到文件中,您就无法设置多个用户来解密文件。
Bitlocker 被建议作为一种干净的方式来加密文件并在整个企业中进行配置。从我阅读的内容来看,它似乎对我们有用。它指出系统驱动器也需要加密,这就是问题所在。正确设置 bitlocker 需要进行大量配置,我不确定这是否是我需要做的一个好的解决方案。
所以我问你们,安全专家,在 Windows 文件服务器上保护、加密数据文件的行业标准是什么?
嗯,Microsoft SMB 环境中客户端(笔记本电脑/台式机)和服务器端(网络共享)工作组文件加密的“行业标准”是——你不会喜欢这样——不要这样做. 说真的,很少有人这样做,原因很多。
好的,您说的是“要求”,因此下一个最佳解决方案是 Microsoft加密文件系统与 Active Directory 一起进行管理。
EFS 的优点是:
加密对最终用户几乎完全透明。EFS 文件的使用与普通未加密文件一样;解密权限从登录的 Windows 用户帐户继承。
相当不错的性能,EFS 与 NTFS 集成,速度相当快。
先进的管理能力。通过 Active Directory,您可以创建多层管理员帐户,以便在紧急情况下解锁文件;处理团队/组/部门权限等
不好的一面:
如果你曾经松开所有的钥匙,那么你就陷入了深深的麻烦之中。
为公司建立良好、强大和安全的 EFS 基础设施需要大量工作,并且需要非常仔细的风险评估。您可以先阅读此概述,然后再阅读“恢复”部分两次。
一些应用程序,主要是在桌面 PC 上运行但使用登录用户以外的用户凭据的客户端服务器式应用程序,将无法运行。或者更糟糕的是,运行,但默默地失败。
一些应用程序可能有奇怪的错误。例如,在使用 EFS 时,我的 Google Chrome 浏览器经常抱怨关机不干净并丢失其设置。如果没有 EFS,我就没有这个问题。
EFS 可能违反直觉。例如,默认行为是,如果您通过常用图标 drag'n'drop将 EFS 文件复制到未加密的目标,则该文件将被透明地解密。但是,如果您通过某些命令行工具执行完全相同的操作,则文件将保持加密状态。这欺骗了多个文件备份,并导致数据丢失。
如果不通过 Windows 资源管理器明确地将他们的证书添加到文件中,您就无法设置多个用户来解密文件(根据我们的发现)
解决方案是Active Directory & Group Policies。Active Directory 可能令人生畏。无意冒犯,但如果这对您来说是新的,那么也许您应该找一位经验丰富的 Microsoft 系统管理员来帮助设计。
关于 Truecrypt:就我个人而言,我永远不会为此使用 Truecrypt。我喜欢Truecrypt,并且每天都在我自己的 PC 上使用它。但本质上它是一个单机解决方案,没有组管理/多PC部署工具/多层密钥管理功能。它不是工作组/公司的正确工具,除了全盘笔记本电脑硬盘加密(即使在那里,Bitkeeper 在管理能力上也更强大)。
TrueCrypt确实提供了提供网络共享的选项:
网络共享
如果需要从多个操作系统同时访问单个 TrueCrypt 卷,有两种选择:
TrueCrypt 卷仅安装在单个计算机上(例如,在服务器上),并且只有安装的 TrueCrypt 卷的内容(即 TrueCrypt 卷中的文件系统)在网络上共享。其他计算机或系统上的用户不会安装该卷(它已经安装在服务器上)。
优点:所有用户都可以将数据写入 TrueCrypt 卷。共享卷既可以是文件托管的,也可以是分区/设备托管的。
缺点:通过网络发送的数据不会被加密。但是,仍然可以使用 SSL、TLS、VPN 或其他技术对它们进行加密。
备注:请注意,当您重新启动系统时,只有当该卷是系统收藏卷或加密的系统分区/驱动器时,网络共享才会自动恢复(有关如何将卷配置为系统收藏卷的更多信息,请参阅系统收藏卷一章)。
卸载的 TrueCrypt 文件容器存储在单台计算机上(例如,在服务器上)。此加密文件通过网络共享。其他计算机或系统上的用户将在本地挂载共享文件。因此,该卷将在多个操作系统下同时挂载。
优点:通过网络发送的数据将被加密(但是,仍然建议使用 SSL、TLS、VPN 或其他适当的技术对其进行加密,以使流量分析更加困难并保持数据的完整性)。
缺点:共享卷可能只是文件托管(而不是分区/设备托管)。该卷必须在每个系统下以只读模式挂载(有关如何以只读模式挂载卷的信息,请参阅“挂载选项”部分)。请注意,此要求也适用于未加密的卷。原因之一是,例如,在一个操作系统下从传统文件系统读取的数据在另一个操作系统修改文件系统时可能不一致(这可能导致数据损坏)。
尽管被广泛使用,但在企业中使用 TrueCrypt 仍然存在一定的污名,主要基于开发人员的匿名性(有些人可能认为这是一件好事!),请参阅这篇文章
Truecrypt 的源代码从未被彻底审查过,也没有任何理由依赖开发人员的凭据,因为他们保持匿名。
所以问题的一部分必须是,我可以在我的组织内部署它,而不是它做我们需要的事情。
希望这可以帮助。
我唯一有经验的是CREDANT。它应该能够提供您需要的所有服务。它不是开源的,从您的问题的阅读方式来看,这似乎不是问题。
我知道 CheckPoint(sec 设备公司)有一个产品叫做Pointsec。我对它不太熟悉,但它也有待研究。
附带说明,TrueCrypt 绝不是企业级工具。它缺乏基本的管理选项。我并不是说 TrueCrypt 不是一个好工具,我一直在家里使用它,但它甚至不是为小型企业服务的。
如果 CREDANT 或 CheckPoint 没有您正在寻找的东西,请将它们用作开始研究的地方。另外,请告诉我们您的想法,如果市场上有更多适用的选项,我很感兴趣。
另一个想法是联系您现有的任何安全设备供应商(假设您喜欢他们的产品)。与您的 PaloAlto 人员、CheckPoint 人员、Cisco 人员、Juniper 人员等交谈……看看他们要说什么。
您是否尝试过使用 True Crypt?
它不会进行任何联网,但它的行为就像普通驱动器一样。但是您可以使用真正的 crypt 来保护 HDD 上的文件,并使用任何其他从文件夹提供数据的安全网络传输系统。