web-dev-qa-db-ja.com

Windows環境でのファイルの暗号化

常に暗号化する必要がある特定のクライアントデータがあります。私たちが苦労してきた部分は、ネットワーク共有上のファイルの暗号化です。

現在、PGP Netshareを使用して暗号化されたネットワークフォルダーがあります。これはファイルの暗号化には十分機能しますが、2人以上のユーザーが同時にアクセスする必要があるファイル、つまりMicrosoft Accessには適していません。 2人がファイルにアクセスすると、ファイルは破損します。

Microsoft EFSを試してみました。これは非常に簡単ですが、複数のユーザー用に構成するのは困難です。 Windowsエクスプローラーを使用して(私たちが発見したものから)ファイルに証明書を明示的に追加しない限り、複数のユーザーがファイルを復号化するように設定することはできません。

Bitlockerは、ファイルを暗号化して企業全体で構成するためのクリーンな方法として提案されました。私が読んだことから、それは私たちにとってうまくいくように見えます。システムドライブも暗号化する必要があると述べており、ここで問題が発生します。 bitlockerを適切に設定することは多くの構成であり、それが私が何をする必要があるかについての良い解決策であるかどうかはわかりません。

セキュリティスペシャリストにお願いします。Windowsファイルサーバー上のデータファイルをセキュリティで保護し、暗号化するための業界標準は何ですか。

18
Brettski

Ehmn、Microsoftのクライアント側(ラップトップ/デスクトップ)およびサーバー側(ネットワーク共有)のワークグループファイル暗号化の「業界標準」SMB環境は-真剣に、多くの正当な理由で、これを行う人は非常に少ないです。

さて、あなたは「要件」と言ったので、次の最善の解決策はMicrosoft 暗号化ファイルシステム とActive Directoryを組み合わせて管理することです。

EFSの優れた特性は次のとおりです。

  • 暗号化はエンドユーザーに対してほぼ完全に透過的です。EFSファイルは、プレーンな非暗号化ファイルと同じように使用されます。復号化のアクセス許可は、ログオンしているWindowsユーザーアカウントから継承されます。

  • かなり良いパフォーマンス、EFSはNTFSと統合されており、かなり高速です。

  • 高度な管理機能。Active Directoryを介して、緊急時にファイルのロックを解除するための管理者アカウントの複数のレイヤーを作成できます。チーム/グループ/部門の権限などを処理する.

悪い面:

  • すべてのキーを失うと、深刻な問題に陥ります。

  • 企業向けに優れた堅牢で安全なEFSインフラストラクチャを設定することは多くの作業であり、非常に注意深いリスク評価が必要です。 この概要を読み、「リカバリー」セクションを2回読む から始めることができます。

  • デスクトップPCで実行されるが、ログインユーザー以外のユーザー資格情報を使用するいくつかのアプリケーション、主にクライアントサーバースタイルのアプリは実行に失敗します。またはさらに悪いことに、実行しますが、静かに失敗します。

  • いくつかのアプリケーションには、奇妙なバグがあるかもしれません。たとえば、EFSを使用している場合、Google Chromeブラウザは、正常にシャットダウンされないという不満を抱き、その設定が失われることがよくあります。EFSがなければ、この問題は発生しません。

  • EFSは直観に反する場合があります。たとえば、デフォルトの動作では、EFSファイルを暗号化されていない宛先に共通のアイコンドラッグアンドドロップでコピーすると、ファイルは透過的に復号化されます。しかし、いくつかのコマンドラインツールを使用してまったく同じことを行うと、ファイルは暗号化されたままになります。これにより、複数のファイルバックアップがだまされ、データが失われました。

Windowsエクスプローラーを介してファイルに証明書を明示的に追加しない限り、ファイルを復号化するように複数のユーザーを設定することはできません(私たちが発見したものから)

解決策は Active Directory&Group Policies です。 Active Directoryは困難な場合があります。悪意はありませんが、これが初めての場合は、経験豊富なMicrosoftシステム管理者を見つけて、設計に役立ててください。

Truecryptについて:個人的には、Truecryptを使用することは決してありません。私はloveTruecryptで、自分のPCで毎日使用しています。しかし、本質的には、グループ管理/マルチPC展開ツール/マルチレイヤーのキー管理機能を備えていない単一コンピューターソリューションです。おそらくフルディスクラップトップのハードディスク暗号化以外は、ワークグループや企業にとっては適切なツールではありません(さらに、ビットキーパーは管理機能に優れています)。

8
Jesper M

TrueCryptは、ネットワーク共有を提供するオプションを提供します:

ネットワーク上での共有

複数のオペレーティングシステムから単一のTrueCryptボリュームに同時にアクセスする必要がある場合、2つのオプションがあります。

  1. TrueCryptボリュームは1台のコンピューター(サーバーなど)にのみマウントされ、マウントされたTrueCryptボリューム(つまり、TrueCryptボリューム内のファイルシステム)のコンテンツのみがネットワーク上で共有されます。他のコンピューターまたはシステムのユーザーは、ボリュームをマウントしません(サーバーに既にマウントされています)。

    利点:すべてのユーザーがTrueCryptボリュームにデータを書き込むことができます。共有ボリュームは、ファイルでホストされる場合と、パーティション/デバイスでホストされる場合があります。

    欠点:ネットワーク経由で送信されるデータは暗号化されません。ただし、たとえば、 SSL、TLS、VPN、またはその他のテクノロジー。

    備考:システムを再起動すると、ボリュームがシステムお気に入りボリュームまたは暗号化されたシステムパーティション/ドライブである場合にのみ、ネットワーク共有が自動的に復元されることに注意してください(ボリュームをシステムお気に入りボリュームとして構成する方法の詳細については、 「システムのお気に入りボリューム」の章を参照してください。

  2. マウント解除されたTrueCryptファイルコンテナーは、1台のコンピューター(サーバーなど)に保存されます。この暗号化されたファイルは、ネットワークを介して共有されます。他のコンピューターまたはシステムのユーザーは、共有ファイルをローカルにマウントします。したがって、ボリュームは複数のオペレーティングシステムで同時にマウントされます。

    利点:ネットワーク経由で送信されるデータは暗号化されます(ただし、SSL、TLS、VPN、またはその他の適切なテクノロジーを使用して暗号化することをお勧めします)トラフィック分析をより困難にし、データの整合性を維持するため)。

    短所:共有ボリュームは、ファイルによってのみホストされる場合があります(パーティション/デバイスによってホストされることはありません)。ボリュームは、各システムで読み取り専用モードでマウントする必要があります(ボリュームを読み取り専用モードでマウントする方法については、「マウントオプション」のセクションを参照してください)。この要件は、暗号化されていないボリュームにも適用されることに注意してください。その理由の1つは、たとえば、ファイルシステムが別のOSによって変更されているときに、あるOSの下で従来のファイルシステムから読み取られたデータが不整合になる(データが破損する可能性がある)ことです。

広く使用されていますが、企業でのTrueCryptの使用には、主に開発者の匿名性に基づいた(一部は良いことだと思われる可能性があります)ため、不名誉な点があります。詳細は this write up =

Truecryptのソースコードは、徹底的なレビューの対象ではありません。また、匿名のままであるため、開発者の資格情報に依存する理由はありません。

したがって、質問の一部は、必要なことを行うのではなく、組織内に展開できるかということになるはずです。

お役に立てれば。

3
David Stubley

私が経験した唯一のものは [〜#〜] credant [〜#〜] です。それはあなたが必要とするすべてのサービスを提供できるはずです。それはオープンソースではないので、あなたの質問の読み方からは問題ではないようです。

CheckPoint(secアプライアンス会社)には Pointsec と呼ばれる製品があることを知っています。私はあまり詳しくありませんが、調査する必要もあります。

余談ですが、TrueCryptは決してエンタープライズグレードのツールではありません。基本的な管理オプションがありません。 TrueCryptが良いツールではないことを言っているのではありません。私はいつも自宅で使用していますが、小規模ビジネスにも対応できるように構築されていません。

CREDANTまたはCheckPointに探しているものが見つからない場合は、それらを調査の開始場所として使用してください。また、思いついた点をお知らせください。他にも適用可能なオプションが他にないか、興味があります。

もう1つのアイデアは、現在のセキュリティアプライアンスベンダーに連絡することです(その製品が気に入っていると仮定した場合)。パロアルトの人々、チェックポイントの人々、シスコの人々、ジュニパーの人々などと話し、彼らが何を言っているかを見てください。

3
Ormis

True Cryptを使ってみましたか?

ネットワーキングは行いませんが、通常のドライブと同じように動作します。しかし、真の暗号を使用してHDD上のファイルを保護したり、フォルダーからデータを供給する他の安全なネットワーク配信システムを使用したりできます。

2
KilledKenny

Pointsecはこれを非常にうまく行うことができ、単にActive Directoryと結びついています。これは、ボリュームを暗号化しなければならないグローバル企業で私が目にした最も一般的なソリューションです。

暗号化する必要があるのは単なるデータの場合、私が見たほとんどのソリューションでは、暗号化をサポートするデータベースまたは暗号化されたSANにデータを保存します。

2
Rory Alsop