Beveiliging op encryptieniveau

Beste Tweakers,

Aangezien ik nu stage loop moet ik een eind opdracht uitvoeren.
Helemaal niet erg, want zo leer ik nog eens wat.
Ik wil eigenlijk meer vragen wat jullie ervaring is met het beveiligen van mappen en documenten.
Het gaat om ong 10 werknemers die bedrijfsgevoelige informatie hebben.
Mijn opdracht was om voor deze mensen een extra beveiliging te implementeren, encryptie.
Nou kwam ik EFS tegen, maar dat is een drama (vind ik) aangezien alle profielen op de servers (Win 2003, 2008) opgeslagen worden. Ik heb ook gelezen dat bij het kopiëren van de versleutelde bestanden dat de encryptie dan weg gaat en dat ik in dat geval IPsec moet gebruiken.
Bitlokker is niet echt een optie vind ik, omdat er ook terminal servers/RDS zijn en ook nog eens andere 400 gebruikers die nog geen encryptie hoeven te gebruiken. Mij leek dus het beste de EFS omdat het meer bestands gericht is dan Bitlokker die je hele schijf beveiligd.
Truecrypt geprobeerd maar heb het snel opgegeven daar mee.
Nadeel van EFS is dat je met al die certificaten zit.
Ik heb de afgelopen 2 weken elke dag hier aan gewerkt, ik heb genoeg informatie doorgespit, dus ik heb er redelijk genoeg ervaring en verstand van, maar nog niet genoeg.

Heeft iemand nog een handig tip voor mij om na te kijken, of ervaring mee, ik hoor het graag!

Ik dacht dat ik redelijk duidelijk had uitgelegd wat mijn doel is, maar ik zal het anders zeggen.
Er zijn dus 10 gebruikers van wie alle documenten, Mijn documenten, die op de server worden opgeslagen dmv. mappings beveiligd dmv. encryptie. Deze 10 gebruikers hebben of een laptop of een pc die ze op de zaak gebruiken, maar maken ook gebruiken van terminalserver en RDS.

Dat van de TPM chips ben ik ook tegengekomen, maar er zijn ook wat oudere laptops/pc's die dat niet hebben.
Mijn documenten worden opgeslagen op de server en gebruikers moeten ook bij hun bestanden kunnen komen via TS/RDP, dus al ik EFS gebruik moet er op elke TS de certificaat geïnstalleerd worden anders kun je toch niet bij je bestanden komen?
Die vragen die jij stelt, die heb ik mezelf ook afgevraagd, maar daarom vraag ik het ook hier om een idee te krijgen hoe anderen het doen, ik vraag eigenlijk niet precies stap voor stap hoe het moet, maar om een idee te krijgen.
Het kom er op neer dat gebruiker A niet bij documenten van gebruiker B kan komen, al zou die zijn wachtwoord achterhaald hebben, zonder de juiste certificaat.(dit voor de EFS verhaal)

PGP ken ik niet, dus ik zal daar ook na kijken.
Wat de gebruikers ook nog doen is bestanden met elkaar delen, die in dit geval geëncrypt zijn.

[ Voor 10% gewijzigd door mjoey op 22-03-2011 20:38 ]

alt-92 schreef op woensdag 23 maart 2011 @ 22:13:
[...]

Dat gebeurt vanzelf al omdat het EFS cert van de user in kwestie in diens userprofile staat.
Hoef je dus niks voor te doen in principe - mits je roaming profiles of redirected profiles gebruikt tenminste.

Ik weet zeker dat het geen roaming profiles zijn, maar redirected, dus ik weet niet waar de EFS cert opgeslagen wordt. Maar dat kan ik natuurlijk nog uitzoeken.

[...]

Dan moet je ze niet personaliseren door ze met je persoonlijke EFS Cert te encrypten

En wat je hier mee bedoelt snap ik niet helemaal.

En wat is het handigst te doen, dat ze die EFS cert van de Active Directory krijgen of self signed?
Heb beiden geprobeerd maar ik krijg niet echt een beeld bij wat nou het handigst (beste) is.
Waar het op neer komt is dat zelfs de administrator's account geen toegang tot moet krijgen, dus dat admin niet de recovery agent is.

Het is voor de directie en enkele andere leden, dus dan moet er daar nog over overlegd worden met mijn opdrachtgever (stagebegeleider) wie dan KRA moet zijn en bij wie.
Maar oke dat is me dan duidelijk dat het beter via de AD kan lopen ivm. mogelijke corrupte profielen.
En stel er is een gedeelde schijf, met 100 mappen en 100 bestanden per map met een grote tot 2GB per bestand, moet er dan per bestand een EFS cert toegevoegd worden zodat een andere ook toegang tot heeft, of kan het ook makkelijker? Misschien met behulp van GPO's ? Heb wel rond gekeken in de Groepbeleidsbeheer maar kon niet heel veel over vinden.

@ Equator
Ik zal even naar de door jou genoemde mogelijkheden kijken of het wat voor mij is.
Geld is geen probleem, in ieder geval, voor 10 gebruikers zal het meevallen.
En een eigen AD integrated CA, bedoel je daar mee de Certificate Authority, die via functies geïnstalleerd kan worden? Die heb ik wel geinstalleerd en die deelt dan ook de EFS cert's aan de gebruikers.

@ -Vasa-
De hele idee achter mijn project is dat de ICT afdeling geen toegang zou kunnen krijgen tot de bedrijfsgevoelige informatie.
Maar ik moet iets op verzinnen ivm. de recovery agent, dat het een nieuw profiel aangemaakt die EFS recovery agent is voor iedereen, of iets in die richting, of voor elke gebruiker een rec. agent, maar dat is ook veel werk lijkt mij.