18 сентября, вторник 17:05
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Защита ноутбуков с помощью BitLocker?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Защита ноутбуков с помощью BitLocker?

    Коллеги, интересует информация о применения BitLocker Drive Encryption для защиты информации на случай потери/кражи ноутбука.

    Стоит ли использовать BitLocker на корпоративном уровне?
    Какова существующая практика?

  • #2
    Немного оффтоп, но может будет кому полезно.
    Есть практика с True Crypt 5.1a - бывали глюки.

    Комментарий


    • #3
      А стандартная EFS не устраивает?

      Комментарий


      • #4
        juhga, какого рода глюки?

        Комментарий


        • #5
          box_roller
          Наша "практика" в отношении защиты информации на хардах ноутов пока ограничилась установкой на них PGP (но, правда, исключительно по личной просьбе пользователей), и на паре рабочих десктопов им же "закрыты" съёмные диски, но это уже не для защиты, а так, что называется - "для себя"...
          Есть мысль попробовать в перспективе TrueCrypt на собственном сервере БД...
          Всё в наших руках...(с)

          Комментарий


          • #6
            Сообщение от AlexIB Посмотреть сообщение
            А стандартная EFS не устраивает?
            Нет. Эта полумера. Будет нужен дополнительный контроль за выполнением требований по хранению информации только на указанных зашифрованных диска/папках.

            Интересен вариант полного шифрования дисков. Тогда в случае потери мы будем точно знать, что вся информация зашифрована.

            Комментарий


            • #7
              Как хороший вариант тотального шифрования есть ещё "DriveCrypt Plus Pack"... но это дополнительный навесной софт.
              Вариант использования стандартных средств Windows выглядит привлекательнее в плане развертывания и обслуживании.

              Комментарий


              • #8
                b>ramalla/b>
                После удачного зашифровывания диска и при правильно введенном пароле все виснет, винда не грузится. Такое случалось примерно 1 раз на 8-10 ноутов независимо от производителя, срока службы операционки и т.п.

                Комментарий


                • #9
                  juhga, так может, стоит пользоваться виртуальными дисками? или, по крайней мере, не шифровать системный раздел, а шифровать диск Дэ? хотя, тогда надо еще приучить юзера сохранять инфу куда надо.. зато, в случае вирт. диска можно бэкапить файл-контейнер..) а вообще, тру крипту бы еще умение с токенами работать...)
                  а в целом, мое мнение - довольно неплохой и удобный опенсоурс-криптор..
                  ой, что-то отошел от темы я..)

                  Комментарий


                  • #10
                    В своё время провели вполне удачное пилотное внедрение Encryption Plus Hard Disk - не без глюков конечно, но в общем и целом - заработало. Основные функции (шифрование всего жёсткого диска) выполнялись, плюс централизованное развёртывание (через AD и\или SMS). Правда уже в процессе выявили следующее - поддерживает только один жёсткий диск, поэтому, если ничего не изменилось, то решение только для ноутбуков.

                    Комментарий


                    • #11
                      Кандидаты для исследования в этой области:
                      Bestcrypt, Strongdisk, Steganos, SecretDisk, Zdisk, TrueCrypt

                      Комментарий


                      • #12
                        ramalla
                        а шифровать диск Дэ? хотя, тогда надо еще приучить юзера сохранять инфу куда надо..
                        Путём нескольких несложных "шаманств с бубном":
                        - тупо перепрописать путь в "Свойствах",
                        - воспользоваться твикером типа XP Tweaker Russian Edition,
                        - покопаться в реестре вот туточки - HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\User Shell Folders, параметр personal
                        есть возможность переноса папки "Мои документы" на диск Дэ, соответственно, пользователь и знать не будет, что фактически его данные находятся на нём, а не на системном диске

                        Я с этим столкнулся, когда в Системе служил - ну любили товарищи полковники и генералы информацию хранить исключительно в "Моих документах", а чтобы не расшатывать свою нервную систему выслушиванием их криков о потерянной "важной информации" (большей частью она, почему-то оказывалась либо личными фотографиями пользователя, либо "мелодрамами" немецкого и американского производства ) приходилось при заливке ноута для очередного "лампасоносца" прибегать к такому вот "финту".
                        Всё в наших руках...(с)

                        Комментарий


                        • #13
                          2Пух575 +1 Красивое решение

                          Комментарий


                          • #14
                            barmalei Кандидаты для исследования в этой области

                            Credant могу еще посоветовать

                            Общий комментарии:
                            1. Вопросы с легитимностью остаются
                            2. Тормозит будет
                            3. В случае проблем с винтом, восстановить данные будет непросто - очень гиморная процедура

                            Комментарий


                            • #15
                              Алексей Лукацкий, ну про тормоза вопрос спорный, все зависит от ситуации же. Мне кажется, для ноутбука это явно не критично, так как на современных компах скорость шифрования на лету сопоставима со скоростью работы винта, если конечно, не шифровать комбинацией из двух-трех алгоритмов (для этого, мне кажется, надо вообще быть параноиком..)) А вот для некоторых типов серверов стоит задуматься уже о скорости..
                              А проблемы с винтом - это проблемы резервного копирования в большей степени.. хотя понятно, что забэкапить все нельзя..

                              Комментарий


                              • #16
                                Пух575, решение хорошее, но только если юзер не с правами админа, а это не везде так... я вообще иногда в сторону секрет_нета мобильного поглядываю, но он денег стоит хороших, хотя функционально и покруче, чем обычные крипторы..

                                Комментарий


                                • #17
                                  ramalla для ноутбука это явно не критично

                                  Как пользователь лэптопа с многлетним стажем и использованием шифрования представляю о чем говорю ;-)

                                  А проблемы с винтом - это проблемы резервного копирования в большей степени

                                  Рекомендую провести тестирование ;-) Вот бэкапишь ты зашифрованные файлы. Потом у тебя машинка накрылась. Ты переставляешь винду и восстанавливаешь файлы. Backup/restore отработал и на комп восстановил твои зашифрованные файлы. Ты пытаешься получить к ним доступ, а вот фиг... Потому что система шифрования не просто привязана к твоему логину/паролю, но еще и к конкретной инсталляции ;-( И ты нервно куришь бамбук, т.к. как расшифровать восстановленные файлы совершенно непонятно...

                                  Комментарий


                                  • #18
                                    Алексей Лукацкий, несколько вопросов у меня к вам, не для доказательств чего-то, а чисто из любопытства..)
                                    1. насколько сильно шифрование мешает вам работать с буком?
                                    2. какой алгоритм шифрования и с какой длиной ключей используете?
                                    3. альтернативы шифрованию применительно к букам?..)

                                    По поводу тестирования - я б серьезно подумал, прежде чем ставить такое шифрование.

                                    Комментарий


                                    • #19
                                      ramalla 1. насколько сильно шифрование мешает вам работать с буком?

                                      Не сильно, если не работать активно с документами. Если открыто много документов и приложений, то могут возникать задержки в переключении между приложениями или сохранении документов. Несущественные, но заметные и иногда раздражающие.

                                      2. какой алгоритм шифрования и с какой длиной ключей используете?

                                      AES 256

                                      3. альтернативы шифрованию применительно к букам?..)

                                      У нас это корпоративный стандарт

                                      Комментарий


                                      • #20
                                        Я рекомендую рассмотреть вариант SecretNet автономный вариант.
                                        Там есть встроенное шифрование, разделение информации по конфиденциальности, логи, привилегии и еще масса полезного.

                                        Насчет цен - это решение недорогое, особенно если ваша совесть позволяет вам немножно не обращать внимания на всякие лицензионные тонкости. :-)

                                        Жуткий сценарий, описанный г-ном Лукацким (переустановка виндов) здесь легко обходится, поскольку ключ можно хранить на далласе или гибком диске.

                                        Единственное неудобство - надо куда-то подключить считыватель далласа. Но, по-моему, информзащита выпускает что-то для ноутов.
                                        Хоть я и не являюсь дистрибутором сикретнета, сама программа мне очень нравится, рекомендую. И не только для ноутов.

                                        Комментарий


                                        • #21
                                          Berrimor Я рекомендую рассмотреть вариант SecretNet автономный вариант.

                                          Изначально некорпоративный вариант с параноидальной мандаткой ;-) На моей памяти работы в Информзащите банки SecretNet особо не брали именно из-за параноидальности ;-) Если и брали, то только для связи с МЦИ.

                                          Комментарий


                                          • #22
                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                            Berrimor Я рекомендую рассмотреть вариант SecretNet автономный вариант.

                                            Изначально некорпоративный вариант с параноидальной мандаткой ;-) На моей памяти работы в Информзащите банки SecretNet особо не брали именно из-за параноидальности ;-) Если и брали, то только для связи с МЦИ.
                                            Вообще-то, Сикретнет был даже создан при поддержке именно банка - Инкомбанка и в нем он широко использовался.
                                            Для копроративного варианта есть сетевая версия сикретнета.
                                            Но мы же говорим про защиту ноутов?

                                            Комментарий


                                            • #23
                                              Berrimor Вообще-то, Сикретнет был даже создан при поддержке именно банка - Инкомбанка и в нем он широко использовался

                                              Угу, я в курсе ;-)

                                              Но мы же говорим про защиту ноутов?

                                              А защита ноута не должна подчиняться корпоративным правилам и должна обеспечиваться как-то отдельно?

                                              Опять же повторюсь, БАНКАМ, как и многим другим, функционал SecretNet избыточен, т.к. он создавался совершенно для иных целей. Кроме того, обычный Secret Net не имеет ЛЕГИТИМНОГО шифрования данных и в этом плане мало отличается от EFS или иных аналогичных решений. А вот сертифицированный ФСБ SecretNet называется M-506 и является еще более параноидальным ;-)

                                              Комментарий


                                              • #24
                                                Кстати вот интересная статья про BitLocker.

                                                Комментарий


                                                • #25
                                                  А кто-нибудь пользовался ноутбуком со сканером отпечатка пальца, насколько это удобно и насколько хорошо защищает информацию

                                                  Комментарий


                                                  • #26
                                                    to Chatlanin
                                                    насколько это удобно - удобно.

                                                    Комментарий


                                                    • #27
                                                      box_roller
                                                      А качество защиты?

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Chatlanin Посмотреть сообщение
                                                        box_roller
                                                        А качество защиты?
                                                        Вопрос некорректный. Наличие, а равно и отсутствие сканера отпечатка пальца, не влияет на качество защиты информации.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от box_roller Посмотреть сообщение
                                                          Вопрос некорректный. Наличие, а равно и отсутствие сканера отпечатка пальца, не влияет на качество защиты информации.
                                                          Chatlanin скорее всего интересовался ложными срабатываниями :-) То есть слово "качество" относилось к работе распознавалки пальца. Так ведь, Chatlanin?

                                                          Комментарий


                                                          • #30
                                                            Я по роду своей деятельность внедрял в качестве средства шифрования жестких дисков Аладдиновский SecretDisk NG. Могу сказать, что это очень удобное решение как для пользователя, так и для администратора.
                                                            Легко разворачивается, очень юзер-фрэндли, быстро работает, поддерживает Crypto Service Provider'ы в качестве СКЗИ и еще масса плюсов. Кстати, 4я версия шифрует и системный диск, так что проблемы диска Д можно избежать.
                                                            Минус - во первых цена, во вторых - работает только с еТокеном. Но еТокен - сам по себе хорошая удобная вещица.
                                                            Так что советую.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X