Windows XPフルディスク暗号化-オプションは何ですか?
モバイルユーザー向けのフルディスク暗号化ソフトウェアを検討するように依頼されました。ドメインでWindows XP SP3 PCを実行していますが、Vistaにアップグレードする予定はなく、現在Windows7にアップグレードする予定もありません。これによりBitlockerが除外されるようです。 。2つの異なるタイプのソリューションを検討したいと思います。
- PCへのシングルサインオン用にドメインアカウントとパスワードを同期するActiveDirectory統合ソリューション。このソリューションでは、ドメイン管理者が暗号化されたドライブにアクセスできるようにし、解読/暗号化されたディスクアクセス権限をヘルプデスクで非ドメイン管理者に委任できる場合にボーナスポイントを取得します。
- 各PCで個別に、または単一のマスターパスワードでラップトップのドライブを復号化できるある種のワークグループモードで実行されるソリューション。エンドユーザーのシングルサインオンの場合、ドメインユーザーアカウントとパスワードとの同期も便利です。
ソリューションは信頼できるものでなければなりません(たとえば、ユーザーが外出中にドメインパスワードを変更するように強いられたときにパスワードの同期を失わないようにする必要があります)。これは小さな店なので、管理の容易さが重要です。
最近のセキュリティの脆弱性のためにTrueCryptを除外する可能性のある権限がありますが、質問の目的のために、TrueCryptがこれらの要件をどの程度満たしているかを聞きたいと思います。 BitLockerについても同じことが言えます。Windowsをアップグレードしたくないという理由で除外される可能性がありますが、Vista/Windows7での作業に興味があります。
なぜ、 TrueCrypt !
パーティション全体またはUSBフラッシュドライブやハードドライブなどのストレージデバイスを暗号化します。
Windowsでは、管理者権限を持たないユーザーはTrueCryptを使用できますが、システム管理者がシステムにTrueCryptをインストールした後でのみ使用できます。その理由は、TrueCryptは透過的なオンザフライ暗号化/復号化を提供するためにデバイスドライバーを必要とし、管理者権限のないユーザーはWindowsにデバイスドライバーをインストール/起動できないためです。
システム管理者がシステムにTrueCryptをインストールすると、管理者権限のないユーザーはTrueCryptを実行し、任意のタイプのTrueCryptボリュームをマウント/マウント解除し、そこからデータをロード/保存し、システム上にファイルホスト型TrueCryptボリュームを作成できます。ただし、管理者権限のないユーザーは、パーティションの暗号化/フォーマット、NTFSボリュームの作成、TrueCryptのインストール/アンインストール、TrueCryptパーティション/デバイスのパスワード/キーファイルの変更、TrueCryptパーティション/デバイスのヘッダーのバックアップ/復元、およびTrueCryptの実行はできません。ポータブルモード。
。
システム暗号化には起動前認証が含まれます これは、暗号化されたシステムにアクセスして使用したい人は誰でも、読み取り、システムドライブなどに保存されている書き込みファイルは、Windowsが起動(起動)するたびに正しいパスワードを入力する必要があります。起動前認証は、起動ドライブの最初のトラックとTrueCryptレスキューディスクにあるTrueCryptブートローダーによって処理されます。
ドメインアクセスは、起動前のログイン後に行われます。
ただし、ユーザーがパスワードを変更する必要があり、雇用主がそのパスワードを知っていることを期待している場合、それはユーザー/従業員を信頼する雇用主の問題です。
私たちが使用しているのは PGPディスク全体の暗号化 です。私はそれのセットアップに直接関わっていなかったので、詳細をあなたに与えることはできません。 ADインフラストラクチャに対して認証されていることは知っていますが、Windowsが起動する前の起動時にPGPレイヤーが発生するため、シングルサインオンは実行されません。したがって、Windowsネットワーク接続が確立される前です。
私たちが働いている場所では Guardian Edge Encryption Plus を使用しています。使い方はとても簡単で、あなたが探しているようなシングルサインオン機能があります。私はそれをセットアップしていくつかのラップトップで使用しましたが、それがどれほど干渉しないかに感銘を受けました。最初の暗号化を除いて、その操作はめったに気付かれず、(私の経験では)システムの全体的なパフォーマンスに影響を与えることはありませんでした。
私たちはBeCryptDiskProtectを使用しています。これは、私たちに規定されたさまざまな要件を満たしていました。
私は実際に2つの異なるシステム/ネットワークで作業しています。どちらもBeCryptを使用しています。 1つはシングルサインオンを使用し(別段の指定がない限り)、もう1つはシングルサインオンではありません。
セキュリティの観点からは、シングルサインオンによるフルディスク暗号化はダフだと思います。キーロガー、入力内容を監視している人、あらゆる場所での標準パスワードの使用は、いったんキーロガーを取得すると、「安全なマシン」に完全にアクセスできることを意味します
使いやすさとユーザーの観点からは理解できますが、個別にログオンすることで、セキュリティがさらに強化されると思います。
私たちは職場でSafeBootを使用していますが、ADの要件を満たしているとは思いません。ユーザーID /コンピューターストアを備えた独自のサーバーソリューションがあります(したがって、管理オーバーヘッドが大きくなります)。誰が各マシンを起動できるかについてのリストがあります。
BitLockerよりも遅く、ドライブ全体、MBR、およびすべてを引き継ぐので、嫌いですが、深刻な問題はありません。
私は仕事でクレダントを使用しています。 7200RPMやSSDなどのより高速なドライブで無効にしない限り、システムに与えるパフォーマンスへの影響が顕著であるため、あまり好まれていません。
US政府の「SmartBuy」プログラムを介して最終的に選択された製品を指摘することは有用かもしれません。これらの製品は、DAR(保存データ)を保護するために選択され、セキュリティのニーズ、価格などに基づいてすべてレビューされました。 エージェンシーのWebサイト から:
製品は次のとおりです。 * Mobile ArmorLLCのデータアーマー * SafebootNVのSafebootデバイス暗号化 * Information SecurityCorp。のシークレットエージェント * SafeNet Inc.のSafeNet ProtectDrive * Encryption Solutions Inc.のSkyLOCK At-Rest * SPYRUS Inc.のTalisman/DS Data Security Suite * WinMagic Inc. ' ■SecureDoc * CREDANT TechnologiesInc。のCREDANTMobileGuardian * GuardianEdgeTechnologiesのGuardianEdge。
目立って存在しないのは:PGP WDE(私はPGPを非常に尊重しているので、なぜそれらが省略されたのかわかりません)とBitLocker(新しい製品ですが、エンタープライズ環境で展開および管理でき、TPMを備えたマシンで非常に魅力的です)。
また、Wave Systems(またはSecudeのFinalSecure)による管理ソフトウェアを備えたSeagateのMomentus FDEドライブなどのハードウェアベースのソリューションについては触れていません。既存のマシンがs/wベースのFDEを使用していた場合、新規購入はこれらのドライブを使用できます(FinallySecureがこれらの混合環境の統合管理を提供すると思います).