Temat: zabezpieczenia kryptograficzne

Poszukuję oprogramowania, które skutecznie ochroni laptopy użytkowników, - coś przezroczystego i ekonomicznego w cenie...A do tego opinie praktyków, gdyż w marketingowych ofertach wszystko jest naj.Anna Krakowiak edytował(a) ten post dnia 30.08.10 o godzinie 09:20

Temat: zabezpieczenia kryptograficzne

TrueCrypt :)
+ zabezpieczenie przed możliwością podłączenia wszelkich urządzęń USB
+ wyłączenie możliwości kopiowania na CD.
+ dla użytkowników mających mieć możliwość korzystania z USB, specjalizowane programiki dające dostęp wyłączenie uprawnionym Pendrive...
+ domena + Microsoft Exchange Server + serwer certyfikatów
+ karty inteligentne do logowania

Szczególnie polecam serwer terminali dla pracowników wykorzystujących laptopy, tak aby nie instalować im specjalizowanego oprogramowania.

Oj można by pisać pół dnia :)

Temat: zabezpieczenia kryptograficzne

A szacowany koszt tego wszystkiego? Sam TrueCrypt, słyszałam, darmowy, ale jak ktoś zapomni hasła to jednocześnie przepadają wszystkie dane.

konto usunięte

Temat: zabezpieczenia kryptograficzne

Anna Krakowiak:
Poszukuję oprogramowania, które skutecznie ochroni laptopy użytkowników, którzy takiego oprogramowania nie chcą używać - krótko mówiąc: coś przezroczystego i ekonomicznego w cenie...A do tego opinie praktyków, gdyż w marketingowych ofertach wszystko jest naj.

Jaki system operacyjny jest na tym sprzęcie ? BitLocker jest wbudowanym narzędziem szyfrującym ale tylko w W7 Enterprise i Ultimate oraz w jakiś tam wersjach visty.
Przemysław Obuchowski

Przemysław Obuchowski Bezpieczeństwo
Informacji

Temat: zabezpieczenia kryptograficzne

Anna Krakowiak:
A szacowany koszt tego wszystkiego? Sam TrueCrypt, słyszałam, darmowy, ale jak ktoś zapomni hasła to jednocześnie przepadają wszystkie dane.

Hasło można schować do koperty i ukryć ją w bezpiecznym miejscu.
Można też stworzyć serwer, na którym będą te hasła przechowywane (taka forteca).
Hasła/klucze takie nie są tylko własnością użytkowników, bo chronią dane firmowe. Można je bez problemu użytkownikom nadać odgórnie.

Pozdrawiam

Temat: zabezpieczenia kryptograficzne

Jakub W.:

Jaki system operacyjny jest na tym sprzęcie ?
Bitlocker odpada, jest XP professional i WP Professional.
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: zabezpieczenia kryptograficzne

Trucrypt umożliwia tworzenie dysków recovery. Można je utworzyć i przechowywać jako kopię kluczy. Przykładowe postępowanie to:
1. Zaszyfrowanie laptopa z hasłem standardowym.
2. Wygenerowanie płyty recovery (mamy ją z hasłem standardowym).
3. Zrzucenie jej do bezpiecznego archiwum.
4. Zmiana hasła na Trucrypta, na hasło użytkownika.
5. ….

Kolejne rozwiązanie do zastosowania w XP, w zestawie z systemem to EFS (Encrypted File System).

Rozwiązania komercyjne: safeboot, ultimaco, pgp, ...
Pozdr.Adam Danieluk edytował(a) ten post dnia 29.08.10 o godzinie 23:19

Temat: zabezpieczenia kryptograficzne

Dziękuję za rady. Mam wątpliwość, czy przy TrueCrypt ze służbowego notebooka będzie mogło korzystać więcej niż 1 użtykowników, chodzi o dzielenie się hasłem...

konto usunięte

Temat: zabezpieczenia kryptograficzne

Anna Krakowiak:
Dziękuję za rady. Mam wątpliwość, czy przy TrueCrypt ze służbowego notebooka będzie mogło korzystać więcej niż 1 użtykowników, chodzi o dzielenie się hasłem...

Można przygotować kilka partycji i każdy będzie miał dostęp tylko do swojej zaszyfrowanej częsci. Można pomyśleć również o jakimś sieciowym rozwiązaniu.
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: zabezpieczenia kryptograficzne

Możliwości jest kilka. Zależy, co chcemy osiągnąć – szyfrowanie całych partycji, plików użytkowników, pliku wymiany i plików tymczasowych, itd. Czy chcemy zabezpieczyć dane przed innymi użytkownikami, na wypadek kradzieży, czy też chcemy, żeby w ogóle użytkownicy nie mogli przekopiować danych na inne nośniki...
Być może wystarczające będzie utworzenie jednej, zaszyfrowanej truecrypt-em partycji lub trucrypt-owego woluminu i na tej partycji nadanie użytkownikom uprawnień tylko do swoich katalogów. Jeszcze zamiast hasła, użyłbym klucza w jakimś niewinnym pliku na penie.
W takim rozwiązaniu, ufamy w miarę naszym pracownikom, a zabezpieczamy się na wypadek kradzieży sprzętu. W zamian upraszcza nam się konfiguracja.

Temat: zabezpieczenia kryptograficzne

Można przygotować kilka partycji i każdy będzie miał dostęp tylko do swojej zaszyfrowanej częsci.
to niezupełnie tak. Do systemu notebooka może zalogować się tylko jedna osoba i działa na jedno konto użytkownika. jeżeli inny pracownik jechałby w teren z tym samym laptopem, to teoretycznie, wg przepisów rozporządzenia, nie może logować się na to samo konto.

Można pomyśleć również
o jakimś sieciowym rozwiązaniu.
A jakim na przykład? Jak duży wkład pracy informatyków?

Temat: zabezpieczenia kryptograficzne

Czy chcemy zabezpieczyć dane
przed innymi użytkownikami, na wypadek kradzieży, czy też chcemy, żeby w ogóle użytkownicy nie mogli przekopiować danych na inne nośniki...
celem jest zabezpieczenie danych przed niuprawnionym dostępem, modyfikacją, utratą, w sposób jak najmniej dokuczliwy użytkownikom, a zatem kopiowanie na służbowe peny byłoby dopuszczalne. Pendrive'y mogłyby być szyfrowane sprzętowo.

konto usunięte

Temat: zabezpieczenia kryptograficzne

Anna Krakowiak:

to niezupełnie tak. Do systemu notebooka może zalogować się tylko jedna osoba i działa na jedno konto użytkownika. jeżeli inny pracownik jechałby w teren z tym samym laptopem, to teoretycznie, wg przepisów rozporządzenia, nie może logować się na to samo konto.

Logowanie kilku uzytkownikow na jeden login/pass jest niebezpieczne. Czy laptop jest w domenie?

Zlamanie hasla do windowsa nie jest trudna sztuka wiec tym bardziej zalecanym rozwiazaniem jest TrueCrypt.

Sieciowe rozwiazanie mialem na mysli polaczeniem sie VPN do serwera plikow na ktorym sa poprawnie wyklikane prawa w AD.

Temat: zabezpieczenia kryptograficzne

Ja to widzę tak:

1. Użytkownik dostaje służbowy komputer z kontem "user":
a) nie ma praw do instalacji sprzętu i oprogramowania
b) ma zablokowany manager zadań
c) ma powyłączaną możliwość dostania się do panelu sterowania
d) ma wywalonego IE :) z blokadą wchodzenia na strony www.
Nie musimy mu instalować aktualizacji - prócz SP3 dla XP i SP2 dla VISTA

2. Nie podłączamy tego komputera do domeny ! ~ jeśli ma pracować w domenie to tylko za pomocą RDP (pulpitu zdalnego)
3. Kopiowanie miedzy pulpitem zdalnym a laptopem = ZABRONIONE :)
4. Logowanie za pomocą "only" Smart Card or USB Token :) ~ pozbędziemy się kłopotu złamania hasła.
5. USB Token ciekawa zabawka :)
6. IP ustalone na stałe + firewall zezwalający tylko na połączenia do określonych TS (terminal serwer), resztę można na spokojnie wyciąć.
7. Serwer terminali:
~ do "określonych www" osobny, osobiście dostępu tym laptopom do netu bym nie dał
~ do oprogramowania firmowego (osobny) z zastrzeżeniem, że podczas uruchamiania TS ma odpalać się specjalizowany program, w przypadku jego wyłączenia następuje rozłączenie z TS ~ 10 s. roboty :)

Można jeszcze sporo pokombinować :)

7. Problem... USB. Tak naprawdę TrueCrypt spełni swoje zadanie jeśli PEN będzie się podłączał automatycznie. Użytkownik nie powinien znać hasła do niego.
Tutaj pomóc możne wyspecjalizowane oprogramowanie:
a) monitorujące podłączane pendrive
c) sprawdzające czy nr pendrive = nr w bazie... jeśli tak montuje jako dysk w przeciwnym wypadku odmontowuje.
itd. itp.

http://www.youtube.com/watch?v=mM4ru_-3bz0

8. Partycja systemowa ma być stworzona TrueCryptem ;) tak jakby miał nam laptopik zaginąć...

9. O czas informatyków bym się na pewno nie martwił ;)

P.S. Zakładam że planujecie sprzęty z rodziny MS Windows ;]

Temat: zabezpieczenia kryptograficzne

Dziękuję - mam bogaty materiał do przemyśleń.

Temat: zabezpieczenia kryptograficzne

Robert Kurosz:
4. Logowanie za pomocą "only" Smart Card or USB Token :) ~ pozbędziemy się kłopotu złamania hasła.
5. USB Token ciekawa zabawka :)
7. Problem... USB. Tak naprawdę TrueCrypt spełni swoje zadanie jeśli PEN będzie się podłączał automatycznie. Użytkownik nie powinien znać hasła do niego.
Tutaj pomóc możne wyspecjalizowane oprogramowanie:
a) monitorujące podłączane pendrive
c) sprawdzające czy nr pendrive = nr w bazie... jeśli tak montuje jako dysk w przeciwnym wypadku odmontowuje.
itd. itp.

http://www.youtube.com/watch?v=mM4ru_-3bz0
Czy ktoś kto stosował już rozwiązania oparte o smartkarty lub tokeny, może polecić coś taniego ewentualnie drogiego ale z jednorazowym wydatkiem a nie koniecznością wykupywania licencji co rok.
Wiecie coś o YubiKey? (http://www.mspstandard.pl/news/346571/Yubikey.ciekawy.... Interesują mnie praktyczne doświadczenia, szczególnie uwierzytelnianie w aplikacji webowej plus TruCrypt.Adam Patkowski edytował(a) ten post dnia 06.09.10 o godzinie 11:50

Następna dyskusja:

Zabezpieczenia biometryczne...




Wyślij zaproszenie do