Ervaringen met file encryption in een enterprise-omgeving

Er zijn er natuurlijk genoeg, maar wil je de bestanden versleutelen, of wil je een gehele HDD versleutelen?
Deze bestanden: moeten die op een netwerkschijf geplaats kunnen worden, en nog steeds versleuteld zijn?

Aan de hand van je opmerking over Bitlocker ga ik er even van uit dat je full hdd encryption zoekt.

Ook nog eens centraal management, en eventueel later ook te gebruiken bij Windows Vista/Windows 7
Dan zeg ik, kijk eens naar Utimaco/Sophos Safeguard Enterprise. Heeft enige tijd geleden de certificering ontvangen voor Departementaal Vertrouwelijk (VIR-BI) van het NBV. (Ik weet niet of jullie daar aan moeten voldoen)
Het heeft een eigen management interface, leunt op een MS SQL 2008 Database, en is zeer schaalbaar.
RBAC zit ingebakken, en is zelfs nog te customizen indien gewenst.

Policies zijn instelbaar op computers en gebruikers. (Computer policy zegt bijvoorbeeld dat de disk versleuteld moet worden, en een gebruikerspolicy zegt dat een bepaalde gebruiker ook mag booten van een andere disk/medium)

verder heb ik ook ervaring met Safeguard Easy, welke enigzins manageble is, maar niet te vergelijken met Safeguard Enterprise. Safeguard Easy (de 4.x versie wel te verstaan, want de standalone versie van versie 5.x heet nu ook safeguard Easy) werkt echter niet op Windows Vista of Windows 7.

Wil je echter alleen bestanden versleutelen, dan zijn er andere producten, (ook van Utimaco) welke dat kunnen doen. Denk aan LanCrypt.

EFS is (zoals de afkorting niet meldt) file based encryption. Wanneer een door EFS versleuteld bestand naar een ander medium wordt gekopieerd, dan zal het bestand ontsleuteld worden. Gebeurt dit door iemand die daar het recht niet toe heeft (het bestand niet mag lezen) dan zou het zomaar eens kunnen zijn dat het bestand niet gekopieerd mag worden. Als dat toch lukt, zal de versleutelings informatie verdwenen zijn daar EFS een NTFS filesysteem nodig heeft.

EFS is opzich een leuk ding, maar het vereist een goede voorbereiding en test. Bovendien raad ik je dan aan om een MS Enterprise Certification Authority op een Windows 2003 Enterprise Server in te richten die automatisch EFS certificaten uitdeelt aan de gebruikers.
Doe je dat niet, dan is je centraal management niet mogelijk, daar de certificaten dan lokaal op de PC's worden gegenereerd.
Ook moet je een EFS recovery agent definieren. (bijvoorbeeld de administrator, maar een andere gebruiker zou beter zijn. Dit zou bijvoorbeeld de lokale security officer kunnen zijn.)

-

[ Voor 100% gewijzigd door deadlock2k op 06-08-2021 16:23 ]

Google: safeboot

Wordt heel veel toegepast.

Q schreef op donderdag 02 september 2010 @ 08:08:
Google: safeboot

Wordt heel veel toegepast.

^^ Ook bekend als McAfee Endpoint Encryption. Wij gebruiken dit ook (~4000 man, waarvan nu ongeveer ~500 over). Redelijk eenvoudig uit te rollen, beschermd je hele harddisk en geeft geen vertraging voor de eindgebruiker bij opstarten etc. Wij zijn er vooralsnog content mee. De keuze is ook pas gemaakt na ampel onderzoek naar de mogelijkheden van verschillende pakketten en deze paste het best bij onze wensen.

Dan ben ik wel benieuwd met welke andere software jullie het vergeleken hebben. Wat waren dan de punten waarom jullie voor McAfee EE hebben gekozen?

Overigens heb je wel degelijk vertraging. Het realtime ontsleutelen van opgevraagde data kost nu eenmaal processorkracht. Dat het bijna te verwaarlozen is kan ik mee inkomen.

Bij onze toko (30.000 man 's werelds grootste financieel dienst verlener) gebruiken ze Pointsec. Om heel eerlijk te zijn, zijn alle disk encryption tools vuilnis. Bitlocker is eigenlijk de minst erge, maar het nadeel aan bitlocker is Vista+ en TPM 1.2
Veel machines hebben nog geen TPM 1.2 dus viel ook bitlocker bij ons af.
Dat spul van mcafee is ook afgevallen, ik weet eigenlijk niet waarom want we gebruiken wel veel ander spul van mcafee zoals DLP (DataLossProtection, ook een stuk vuilnis software, erger dan een virus).

edit: wat is trouwens je doelstelling van de encryptie?
met EFS kun je alleen selectieve bestanden encrypten. Encrypt je de C:\ root kun je niet meer booten. Hoe meer en encrypt hoe trager het wordt.

in 9 van de 10 toko's waar encryption toegepast moet worden is EFS niet het geschikte product en is disk encryption nodig.

[ Voor 23% gewijzigd door Razwer op 02-09-2010 09:55 ]

Wij gebruiken ook Enpoint. En de ervaring is dat het een goed product is. Maar de recovery wordt ik altijd chagrijnig van. 4 regels met code doorgeven over de telefoon aan een klant duurt meestal lang.
Soms wel een half uur bezig voordat het recovery proces klaar is.

Razwer schreef op donderdag 02 september 2010 @ 09:48:
Bij onze toko (30.000 man 's werelds grootste financieel dienst verlener) gebruiken ze Pointsec. Om heel eerlijk te zijn, zijn alle disk encryption tools vuilnis. Bitlocker is eigenlijk de minst erge, maar het nadeel aan bitlocker is Vista+ en TPM 1.2

Nou, vuilnis zou ik niet willen zeggen. Het is vaak lastig te beheren, het vertraagt het opstarten van de PC etc. Maar om bitlocker nou boven een Utimaco / SafeBoot /VSoft te plaatsen vind ik persoonlijk wat ver gaan.. Het beheer van bitlocker is zeg maar het meest uitgekleed (om het netjes te zeggen).
Dat het minder intrusief is, komt omdat het slechts 128bit AES ondersteund (alhoewel dat in Windows 7 weer verbeterd is)

Veel machines hebben nog geen TPM 1.2 dus viel ook bitlocker bij ons af.
Dat spul van mcafee is ook afgevallen, ik weet eigenlijk niet waarom want we gebruiken wel veel ander spul van mcafee zoals DLP (DataLossProtection, ook een stuk vuilnis software, erger dan een virus).

edit: wat is trouwens je doelstelling van de encryptie?
met EFS kun je alleen selectieve bestanden encrypten. Encrypt je de C:\ root kun je niet meer booten. Hoe meer en encrypt hoe trager het wordt.

in 9 van de 10 toko's waar encryption toegepast moet worden is EFS niet het geschikte product en is disk encryption nodig.

Topicstarter wil alleen de "My Documents" van de gebruiker versleutelen, en het moet zo goedkoop mogelijk. Dan is EFS best een aardige insteek, maar je moet weten hoe je het moet gebruiken en beheren.

DarkSide schreef op donderdag 02 september 2010 @ 09:54:
Wij gebruiken ook Enpoint. En de ervaring is dat het een goed product is. Maar de recovery wordt ik altijd chagrijnig van. 4 regels met code doorgeven over de telefoon aan een klant duurt meestal lang.
Soms wel een half uur bezig voordat het recovery proces klaar is.

Bedoel je nu op het volledig recoveren van een hdd, of alleen het resetten van een password?

Lang leve Safeguard Enterprise. Men wijst de hdd encryption key toe aan beheerder X en beheerder X kan de disk als 2e disk in zijn PC hangen. Probleem opgelost.

[ Voor 16% gewijzigd door Equator op 02-09-2010 10:51 ]

Equator schreef op donderdag 02 september 2010 @ 10:47:
Topicstarter wil alleen de "My Documents" van de gebruiker versleutelen, en het moet zo goedkoop mogelijk. Dan is EFS best een aardige insteek, maar je moet weten hoe je het moet gebruiken en beheren.

Dan is EFS "the way to go". Weten hoe je iets moet gebruiken en beheren heb je met elk product.

True, maar met EFS kan je wat foutjes maken die je wat lastiger ongedaan maakt

Je kan eens kijken naar PGP. Ik lees dat je feitelijk gezien je Documents and Settings wil crypten, PGP kan een hele schijf crypten met WDE.

Ik heb wel het idee dat PGP uitgekleed wordt, vooral na de overname van Symantec. Support is meteen via de chat (aangezien we geen supportcontract hebben), de nek omgedraaid.

Ik heb nog eens gekeken naar de management-tools van PGP, en dat ziet er toch leuk uit. Ik ben benieuwd waar PGP naar toe gaat na de overname van Symantec...

Zorg er in ieder geval dan wel voor dat je je swapfile wist bij het afsluiten. Anders kan een gestolen laptop nog steeds een probleem zijn.

Dan haal ik het uit je RAM. En nu?

alt-92 schreef op vrijdag 03 september 2010 @ 18:59:
Dan haal ik het uit je RAM. En nu?

wel meteen diep invriezen na uitschakelen heh?

-

[ Voor 99% gewijzigd door deadlock2k op 06-08-2021 16:26 ]