Cifrado de archivos en un entorno de Windows

Navega tus respuestas
18

Tenemos ciertos datos de clientes que deben estar cifrados en todo momento. La parte con la que hemos estado luchando es cifrar archivos en recursos compartidos de red.

Actualmente tenemos carpetas de red encriptadas con PGP Netshare. Esto funciona bastante bien para el cifrado de archivos, pero apesta para archivos a los que deben acceder dos o más personas simultáneamente, es decir, Microsoft Access. Si dos personas acceden al archivo, el archivo se corromperá.

Hemos probado Microsoft EFS, que es bastante sencillo, pero difícil de configurar para múltiples usuarios. No puede configurar a varios usuarios para descifrar un archivo sin agregar explícitamente su certificado al archivo a través del Explorador de Windows (de lo que hemos descubierto).

Se sugirió Bitlocker como una forma limpia de cifrar archivos y configurar en toda la empresa. Por lo que leí parece que funcionará para nosotros. Establece que la unidad del sistema también debe estar encriptada y es ahí donde entran en juego los problemas. Configurar el bloqueador de bits correctamente es una gran cantidad de configuración y no estoy seguro de que sea una buena solución para lo que necesito hacer.

Entonces, les pregunto, especialistas en seguridad, ¿cuál es el estándar de la industria para proteger y encriptar archivos de datos en un servidor de archivos de Windows?

    
pregunta Brettski 15.04.2011 - 22:47
fuente

5 respuestas

7

Ehmn, el "estándar de la industria" para el cifrado de archivos de grupo de trabajo del lado del cliente (computadora portátil / computadora de escritorio) y del lado del servidor (red compartida) en un entorno de Microsoft SMB es: no le va a gustar esto, no lo haga. t hacerlo En serio, muy pocas personas hacen esto, por muchas buenas razones.

De acuerdo, dijiste "requisito", por lo que la mejor solución es Microsoft Encrypting File System junto con Active Directory para la administración.

Las buenas propiedades de EFS son:

  • El cifrado es casi completamente transparente para los usuarios finales. Los archivos EFS se usan igual que los archivos sin cifrar; los permisos de descifrado se heredan de la cuenta de usuario de Windows registrada.

  • Muy buen rendimiento , EFS está integrado con NTFS y es bastante rápido.

  • Capacidades de administración avanzadas. A través de Active Directory, puede crear múltiples capas de cuentas de administrador para desbloquear archivos en una emergencia; manejar los permisos del equipo / grupo / departamento, etc.

Lados malos:

  • Si alguna vez pierdes todas las claves, entonces estás en un profundo problema.

  • Configuración de una buena, robusta & La infraestructura de EFS segura para una empresa es mucho trabajo y requiere una evaluación de riesgos muy cuidadosa. Puede comenzar por leyendo esta descripción general, y lea la sección "Recuperación" dos veces .

  • Algunas aplicaciones, en su mayoría aplicaciones de estilo cliente-servidor que se ejecutan en una PC de escritorio pero que usan credenciales de usuario distintas al usuario registrado, no se ejecutarán. O peor aún, corre, pero falla silenciosamente.

  • Algunas aplicaciones pueden tener errores extraños. Por ejemplo, con EFS, mi navegador Google Chrome se queja con frecuencia de un apagado impuro y pierde su configuración. Sin EFS no tengo este problema.

  • EFS puede ser contraintuitivo. Por ejemplo, el comportamiento predeterminado es que si copia un archivo EFS en un destino no cifrado a través de un icono común arrastrando y soltando , el archivo se descifrará de forma transparente. Pero si hace exactamente lo mismo a través de algunas herramientas de línea de comandos, entonces el archivo permanece cifrado. Esto ha engañado a más de una copia de seguridad del archivo y ha causado la pérdida de datos.

  

No puede configurar a varios usuarios para descifrar un archivo sin agregar explícitamente su certificado al archivo a través del Explorador de Windows (de lo que hemos descubierto)

La solución es Active Directory & Políticas de grupo . Active Directory puede ser desalentador. Sin intención de ofender, pero si esto es nuevo para usted, entonces tal vez debería encontrar un administrador de sistemas con experiencia de Microsoft para que le eche una mano con el diseño.

Con respecto a Truecrypt: Personalmente, nunca usaría Truecrypt para esto. Me amo Truecrypt, y lo uso todos los días en mi propia PC. Pero en el fondo es una solución de una sola computadora, sin herramientas de administración de grupos / implementación de múltiples PC / capacidades de administración de claves de múltiples capas. No es la herramienta adecuada para grupos de trabajo / empresas, aparte del cifrado de disco duro de una computadora portátil de disco completo (e incluso allí, Bitkeeper es más fuerte en las capacidades de administración).

    
respondido por el Jesper Mortensen 18.04.2011 - 22:32
fuente
2

TrueCrypt ofrece la opción de proporcionar recursos compartidos de red:

  

Compartir en la red

     

Si es necesario acceder a una sola   Volumen TrueCrypt simultáneamente desde   múltiples sistemas operativos, hay   dos opciones:

     

  1. Un volumen TrueCrypt se monta solo en una sola computadora (para   ejemplo, en un servidor) y solo el   contenido del TrueCrypt montado   volumen (es decir, el sistema de archivos dentro de   el volumen TrueCrypt) se comparte a través de un   red. Usuarios en otras computadoras o   los sistemas no montarán el volumen   ya está montado en el servidor).

         

    Ventajas: Todos los usuarios pueden escribir datos en el volumen TrueCrypt. los   El volumen compartido puede estar alojado tanto en archivos   y partición / dispositivo alojado.

         

    Desventaja: Los datos enviados a través de la red no se cifrarán.   Sin embargo, todavía es posible   cifrarlos utilizando, por ejemplo, SSL, TLS, VPN,   u otras tecnologías.

         

    Observaciones: tenga en cuenta que, cuando reinicia el sistema, el recurso compartido de red   se restaurará automáticamente solo si   el volumen es un volumen favorito del sistema   o una partición / unidad cifrada del sistema   (para más información sobre cómo   configurar un volumen como un sistema   volumen favorito, ver el capitulo   Volúmenes favoritos del sistema).

    2.   

  2. Un contenedor de archivos TrueCrypt desmontado se almacena en una sola   computadora (por ejemplo, en un servidor).   Este archivo encriptado se comparte a través de un   red. Usuarios en otras computadoras o   Los sistemas montarán localmente el compartido   expediente. Así, el volumen será montado.   simultáneamente bajo múltiples   sistemas operativos.

         

    Ventaja: los datos enviados a través de la red se cifrarán (sin embargo,   Todavía se recomienda cifrarlos.   utilizando por ejemplo SSL, TLS, VPN, u otro   tecnologías apropiadas para hacer   análisis de tráfico más difícil y para   preservar la integridad de los datos).

         

    Desventajas: El volumen compartido puede estar solo alojado en un archivo (no   partición / dispositivo alojado). El volumen   debe ser montado en modo de solo lectura   debajo de cada uno de los sistemas (ver el   sección Opciones de montaje para información   sobre cómo montar un volumen en solo lectura   modo). Tenga en cuenta que este requisito   también se aplica a los volúmenes sin cifrar.   Una de las razones es, por ejemplo,   el hecho de que los datos leen de una   Sistema de archivos convencional bajo un sistema operativo   Mientras el sistema de archivos está siendo   modificado por otro sistema operativo podría ser   inconsistente (lo que podría resultar en   corrupción de datos).

    3.   

Aunque se usa ampliamente, todavía existe una gran cantidad de estigmas asociados con el uso de TrueCrypt en la empresa, principalmente debido al anonimato de los desarrolladores (¡lo que algunos pueden ver como algo bueno!), vea esto escribe

  

El código fuente de Truecrypt nunca ha sido   el tema de una revisión a fondo, ni   ¿Hay alguna razón para confiar en el   credenciales de los desarrolladores, ya que   permanecen en el anonimato.

Entonces, parte de la pregunta debería ser, ¿puedo implementar esto dentro de mi organización en lugar de hacer lo que necesitamos?

Espero que esto ayude.

    
respondido por el David Stubley 16.04.2011 - 09:13
fuente
2

El único con el que tengo experiencia es CREDANT . Debe ser capaz de proporcionar todos los servicios que necesita. No es de código abierto, lo que no parece ser un problema por la lectura de su pregunta.

Sé que CheckPoint (la compañía de dispositivos sec) tiene un producto que se ha llamado Pointsec . No estoy muy familiarizado con eso, pero también es algo para investigar.

En una nota al margen, TrueCrypt no es de ninguna manera una herramienta de nivel empresarial. Carece de opciones de administración básicas. No estoy diciendo que TrueCrypt no sea una buena herramienta, la uso en casa todo el tiempo, pero no está diseñada para servir incluso a una pequeña empresa.

Si CREDANT o CheckPoint no tienen lo que está buscando, utilícelos como un lugar para comenzar su investigación. Además, háganos saber qué se le ocurrió, estoy interesado si hay más opciones aplicables en el mercado.

Otra idea es contactar a cualquier proveedor actual de dispositivos de seguridad que tenga (suponiendo que le gusten sus productos). Hable con su gente de PaloAlto, la gente de CheckPoint, la gente de Cisco, la gente de Juniper, etc. y vea lo que tienen que decir.

    
respondido por el Ormis 18.04.2011 - 15:20
fuente
1

¿Has probado con True Crypt?

No hará ninguna red, pero se comportará como una unidad normal. Pero puede usar True Crypt para proteger los archivos en el disco duro y utilizar cualquier otro sistema de entrega de red seguro que suministre datos desde una carpeta.

    
respondido por el KilledKenny 15.04.2011 - 23:34
fuente
1

Pointsec puede hacer esto realmente bien, y se vincula simplemente con Active Directory. Es la solución más común que he visto en corporaciones globales donde tenían que cifrar volúmenes.

Donde solo es necesario cifrar los datos, la mayoría de las soluciones que he visto almacenan los datos en una base de datos que admite cifrado o SAN cifrados.

    
respondido por el Rory Alsop 18.04.2011 - 23:15
fuente

Lea otras preguntas en las etiquetas

¿Software libre / libre para manejar unidades de autocifrado (SED) compatibles con TCG OPAL 2.0? inconsistencia de huella digital SSL: ¿qué significa?