ThorB Skrevet 19. august 2009 Rapporter Del Skrevet 19. august 2009 (endret) Har lenge kunne tenkt meg en tråd der vi tar opp harddisk kryptering i bedriftsammenheng. Spesielt gratisløsninger som truecrypt og hades. Derfor lurer jeg litt på om det er noen andre her som har implementert truecrypt på en liten pcmasse? 10pcer eller flere.. og hvordan dere administrerer disse, med tanke på recovery, passordskift og rutiner. vanligvis i slike krypteringsprogram så kan vi ha to passord. 1 for resetting/recovery og 1 for brukeren Det kan du faktisk ha i TrueCrypt også https://www.diskusjon.no/index.php?showtopic=840908 Har ennå ikke sett at det jeg beskriver over er mulig, men har ennå ikke fått tiden til å eksperimentere truecrypt fullt ut... Det har kommet et nytt prosjekt under sourceforge for 1 måned siden som er basert på truecrypt (6.1a), men har multibrukerstøtte. http://hadeshdencrypt.sourceforge.net/DE/index.html Den er kanskje litt for fersk til å ta i bruk ennå, men virker litt lovende med tanke på administrere truecrypterte pcer. Endret 19. august 2009 av ThorB Lenke til kommentar
trrunde Skrevet 19. august 2009 Rapporter Del Skrevet 19. august 2009 denne kan bli interessant å følge med på. Lenke til kommentar
ThorB Skrevet 22. august 2009 Forfatter Rapporter Del Skrevet 22. august 2009 http://hadeshdencrypt.sourceforge.net/DE/index.html i følge sidene er drivkraften bak det nye truecrypt prosjektet: http://www.logica.com/germany jeg ser også at de har kontorer i Norge. Noen som ha kjennskap til de? Uannsett regner jeg med at responsen her går langsom. Litt synd at ikke flere folk holder til under bedriftsforumet. Håper jeg får tiden til å forske videre på å bruke truecrypt snart Lenke til kommentar
xcomiii Skrevet 22. august 2009 Rapporter Del Skrevet 22. august 2009 Nåer jeg muligens på et sidespor her, men i mitt tilfelle falt valget på PGP kontra TrueCrypt nettopp pga brukeradministrasjon og recovery muligheter, også remote. Enkel utrulling og endring av regler er også en bonus. Nå koster riktignok PGP en del, men i spart arbeidstid er det uvurderlig for min del. Lenke til kommentar
ThorB Skrevet 22. august 2009 Forfatter Rapporter Del Skrevet 22. august 2009 (endret) Nåer jeg muligens på et sidespor her, men i mitt tilfelle falt valget på PGP kontra TrueCrypt nettopp pga brukeradministrasjon og recovery muligheter, også remote. Enkel utrulling og endring av regler er også en bonus. Nå koster riktignok PGP en del, men i spart arbeidstid er det uvurderlig for min del. hmm. Hvor mange betjener du og hvilken leverandør i Norge benyttet du? Er ikke pgp litt overkill for et antall rundt 10-20 pcer? Prismessig, hva prater vi om? Har lest at folk benytter seg av pgp, men vet lite om systemet. spart arbeidstid er viktig for meg også Endret 22. august 2009 av ThorB Lenke til kommentar
xcomiii Skrevet 23. august 2009 Rapporter Del Skrevet 23. august 2009 Hvis PGP er overkill, er kryptering det også. PGP var opprinnelig bare kryptering av mail, men har blitt til mange produkter etterhvert, deriblant kryptering av PC'er. Prismessig tror jeg at jeg betalte ca 15 000 for 20 brukere, så ca en 1000 lapp pr bruker blir det. Har ikke rullet det ut til alle brukere, kun de det er mest aktuelt for. Synes ikke prisen er så ille, sett i sammenheng med mindre arbeidstid på å administrere dette. Sentraliseringen av PGP består av en eget OS (PGP Universal), en linux versjon som du fint kan kjøre på VMWare. Deretter et web GUI, som kan pushe ut MSI pakker via GPO og grupper i AD. Lenke til kommentar
ThorB Skrevet 23. august 2009 Forfatter Rapporter Del Skrevet 23. august 2009 Hvis PGP er overkill, er kryptering det også. PGP var opprinnelig bare kryptering av mail, men har blitt til mange produkter etterhvert, deriblant kryptering av PC'er. Prismessig tror jeg at jeg betalte ca 15 000 for 20 brukere, så ca en 1000 lapp pr bruker blir det. Har ikke rullet det ut til alle brukere, kun de det er mest aktuelt for. Synes ikke prisen er så ille, sett i sammenheng med mindre arbeidstid på å administrere dette. Sentraliseringen av PGP består av en eget OS (PGP Universal), en linux versjon som du fint kan kjøre på VMWare. Deretter et web GUI, som kan pushe ut MSI pakker via GPO og grupper i AD. nå mente jeg vel mer overkill på funksjoner vs pris jeg da. 15k var ikke forferdelig. hvilken leverandør benyttet du? Lenke til kommentar
xcomiii Skrevet 24. august 2009 Rapporter Del Skrevet 24. august 2009 Joda du kan få funksjoner i bøtter og spann, jeg kjøpte kun WDE for klientene (Whole Disk Encryption), du kan naturligvis plusse på med kryptering av mail, zip filer, osv. Er ingen norske forhandlere, men en svensk en, tror de het NSec security eller no sånt. Edit: Nå selger visst Watchcom i norge dette også. Lenke til kommentar
ThorB Skrevet 23. september 2009 Forfatter Rapporter Del Skrevet 23. september 2009 Joda du kan få funksjoner i bøtter og spann, jeg kjøpte kun WDE for klientene (Whole Disk Encryption), du kan naturligvis plusse på med kryptering av mail, zip filer, osv. Er ingen norske forhandlere, men en svensk en, tror de het NSec security eller no sånt. Edit: Nå selger visst Watchcom i norge dette også. ja ser det har poppet opp flere norske leverandører siden jeg så på lista: http://woext.pgp.com/cgi-bin/WebObjects/pa...dejMT2n70/0.0.7 men. hvordan fungerer pgp med fulldisk encryption? jeg leser i whitepaperen at den har på samme måte som truecrypt en preboot login skjerm. men hva skjer hvis brukeren glemmer passordet? kan du resette dette passordet sentralt? hva med re-partisjonering? hva ved feil på ntfs, som krever chkdsk...? Lenke til kommentar
xcomiii Skrevet 23. september 2009 Rapporter Del Skrevet 23. september 2009 PGP bytter ut MBR på disken med sin egen MBR, ergo får du opp et PGP bilde retter etter BIOS er ferdig og før Windows starter. Hvis brukeren har glemt passord, har administrator mulighet til å generere en nødnøkkel. Dette forutsetter at administrator av PGP løsningen har satt opp ADK (Additional Encryption Key). Det betyr kort forklart at du som admin setter opp at alle brukernøkler skal i tillegg krypteres med en admin nøkkel, som følger med alle brukere. Dvs at admin alltid kan få tilgang/dekryptere diskene. Sånn funker det: Bruker ringer fra utland, glemt passord. Admin logger seg på PGP Universal Server, og klikker på "show recovery key" eller no sånt (husker ikke i farten) på den aktuelle brukeren. En lang streng av bokstaver og tall kommer da frem, disse leser admin opp via tlf til brukeren som taster dette inn istedenfor sitt personlige passord. Her er det jo da naturlig viktig å være på vakt ovenfor social engineering.... En artig ting med denne admin nøkkelen, er at du kan spesifisere at flere admininistratorer/ledere i bedriften må kollektivt må bidra med sin del av admin passordet for å vise dette recovery passordet. Dvs at du kan splitte admin nøkkelen på 3 forskjellige personer og alle 3 må taste inn sitt personlige passord i PGP Universal Server for at man skal kunne få vist recovery nøkler og få dekryptert maskiner. Veldig USA preget da, men kjekt å ha så man faktisk ikke overlater hele kontrollen til en enkelt admin. Neste gang brukeren er online mot PGP serveren, får han beskjed om å lage nytt passord. Repartisjonering krever at disken dekrypteres før man gjør noe som helst med diskoppsett, det samme gjelder truecrypt. Ved feil på disk, går det an å boote fra et PGP recovery image (som kan lastes ned gratis fra PGP) og kjøre dekryptering derfra. Så lenge ikke MBR og boot sector er ødelagt, så går det an å kjøre chkdsk før boot av Windows men etter at man har tastet PGP passordet. I tillegg går det an å hive PGP inn på en WindowsPE CD, så du kan kombinere flere diskverktøy og kjøre de fra WindowsPE. En siste ting, du som admin kan lage enkle policyer som sier at f.eks hele disken til brukeren skal krypteres, eller kun valgte partisjoner (eks C:, men ikke D: og E:). Uansett ville jeg valgt å kryptere C: uansett, da det ligger så mye skjult informasjon her som er gull verdt for en evt ondsinnet person. Mange passord ligger bl.a lagret her som er enkle å få frem, eks "Husk passord" funksjonen i IE og andre browsere. Lenke til kommentar
ThorB Skrevet 23. september 2009 Forfatter Rapporter Del Skrevet 23. september 2009 PGP bytter ut MBR på disken med sin egen MBR, ergo får du opp et PGP bilde retter etter BIOS er ferdig og før Windows starter. ............ takk for godt svar. høres ut som PGP er et godt produkt. ser også i whitepaperen at den kan kryptere usb-pinner, og det er absolutt interessant. det eneste er at jeg er litt småskeptisk til propritære løsninger. vet jo aldri om firmaet finner ut at de vil fase ut nettopp det produktet man bruker. det var nettopp det som skjedde med meg. vi hadde en krypteringsløsning på 1stk pc og så etter mange mange år, var dette produktet faset ut. Lenke til kommentar
xcomiii Skrevet 23. september 2009 Rapporter Del Skrevet 23. september 2009 Hehe, nja, tror nå ikke PGP forsvinner med det første, de har en lang historie å gå på. PGP som kryptering i seg selv er jo blitt en defacto standard, eneste forskjellene er jo av hva du får av GUI, support og administrasjonsmuligheter med betalingsversjonen av PGP kontra det som er gratis. Anbefaler at du leser artikkelen på wikipedia om PGP: http://en.wikipedia.org/wiki/Pretty_Good_Privacy Historien om hvordan Phil Zimmermann omgikk eksportrestriksjonene for kryptering, er temmlig interessant å lese. PGP ble på midten av 90-tallet definert som miltærert våpen, ergo restriksjoner på eksport til andre land. De publiserer også kildekoden til PGP, så hvis du har tid og kunnskap kan du jo kompilere sjøl Lenke til kommentar
ThorB Skrevet 29. september 2009 Forfatter Rapporter Del Skrevet 29. september 2009 hva synes du om den nye funksjonaliteten til windows? http://no.wikipedia.org/wiki/Bitlocker i business sammenheng står det at det integreres i AD. sånn sett synes jeg pgp høres bedre ut. synes ikke alt i hele verden skal integreres med AD, selv om det virker som det er dit vi føres. Lenke til kommentar
xcomiii Skrevet 29. september 2009 Rapporter Del Skrevet 29. september 2009 Minuset med Bitlocker slik jeg ser det, er at den gjør seg avhengig av en chip på maskinen, slett ikke alle nyere PC'er har dette. Også har jeg opplevd driverproblemer med denne tidligere på noen Lenovo maskiner, noe som var særdeles interessant å feilsøke. Men hovedargumentet er nettopp administrasjon, det er langt mer arbeid å sette opp GPO'er og config med Bitlocker kontra PGP hvis du skal ha sentralisert styring. Og siste argument er jo at du ikke får noe support hos MS i utgangspunktet, med mindre du har masse ledige incidents hos de. Hos PGP er support inkludert i prisen. PGP har også noen glitrende videoer på supportsidene som viser deg konkret hvordan PGP Universal settes opp sammen med PGP klienten for sentral styring. Lenke til kommentar
deviant Skrevet 29. september 2009 Rapporter Del Skrevet 29. september 2009 Har ennå ikke sett at det jeg beskriver over er mulig, men har ennå ikke fått tiden til å eksperimentere truecrypt fullt ut... Du kan ta en kopi av kryptonøkkelen som faktisk benyttes til å kryptere disken. (Passordet brukes bare til å kryptere denne nøkkelen). F.eks: * Sett opp truecrypt på en maskin, bruk admin passord * Ta backup av truecrypt bootblock (inkludert den krypterte nøkkelen) * La bruker sette nytt passord Dersom recovery blir nødvendig, hent frem backup med bootblock og disknøkkel kryptert med admin passordet. Lenke til kommentar
ThorB Skrevet 29. september 2009 Forfatter Rapporter Del Skrevet 29. september 2009 (endret) Har ennå ikke sett at det jeg beskriver over er mulig, men har ennå ikke fått tiden til å eksperimentere truecrypt fullt ut... Du kan ta en kopi av kryptonøkkelen som faktisk benyttes til å kryptere disken. (Passordet brukes bare til å kryptere denne nøkkelen). F.eks: * Sett opp truecrypt på en maskin, bruk admin passord * Ta backup av truecrypt bootblock (inkludert den krypterte nøkkelen) * La bruker sette nytt passord Dersom recovery blir nødvendig, hent frem backup med bootblock og disknøkkel kryptert med admin passordet. interessant innspill! har du noe mer info om hvordan man tar backup av truecrypt bootblock? bruker du DD? eller er det den innebygde funksjonen i truecrypt "lag recovery-cd" du tenker på? Endret 29. september 2009 av ThorB Lenke til kommentar
ThorB Skrevet 29. september 2009 Forfatter Rapporter Del Skrevet 29. september 2009 Minuset med Bitlocker slik jeg ser det, er at den gjør seg avhengig av en chip på maskinen, slett ikke alle nyere PC'er har dette. Også har jeg opplevd driverproblemer med denne tidligere på noen Lenovo maskiner, noe som var særdeles interessant å feilsøke. Men hovedargumentet er nettopp administrasjon, det er langt mer arbeid å sette opp GPO'er og config med Bitlocker kontra PGP hvis du skal ha sentralisert styring. Og siste argument er jo at du ikke får noe support hos MS i utgangspunktet, med mindre du har masse ledige incidents hos de. Hos PGP er support inkludert i prisen. PGP har også noen glitrende videoer på supportsidene som viser deg konkret hvordan PGP Universal settes opp sammen med PGP klienten for sentral styring. Snakket med min kollega om disse brikkene. Han ville helst bruke softwareløsning uten brikken og uten group policy (linuxkollega som skyr GPO som pesten ). Men på wikisiden står det at Bitlocker kan brukes enten med brikken eller uten. Sentralisert styring er på ønskelista mi, og mye av infoen du har kommet med tyder på at PGP er gode på nettopp dette. Det kjipe akkurat nå er at jeg har nok prosjekter på jobb, så tørr ikke sette i gang krypteringsprosjekt Lenke til kommentar
xcomiii Skrevet 29. september 2009 Rapporter Del Skrevet 29. september 2009 (endret) Iflg denne siden http://technet.microsoft.com/en-us/library...200(WS.10).aspx , MÅ du ha TPM brikke på maskinen det gjelder. Altså ekskluderer du en del maskiner. Uansett, det går jo an å fyre dette opp i VMWare og teste litt, det gjorde jeg første gang jeg satte det opp. Når du først har fått det opp å gå, er det latterlig enkelt å sette opp nye klienter. Du bare melder maskinen inn i en gruppe du kaller f.eks "PGP Users" og så gjør PGP resten av jobben sjøl med å installere seg, lage nøkler, kryptere disken osv, samt rapportering. Den siste er kanskje enda viktigere, den viser status på alle klientene sånn at du faktisk vet at ting er i orden. Edit: Det går an å bruke Bitlocker uten TPM chip, men da må du boote med en USB stick. Gjett om det blir krise når den blir borte/ødelagt og brukeren er langt borte fra kontoret Og det funker kun på Vista Enterprise og Ultimate, samt tilsvarende Win7 utgaver. Enterprise er ikke så ofte brukt i bedrifter, er mest Business det går i. Endret 29. september 2009 av xcomiii Lenke til kommentar
deviant Skrevet 29. september 2009 Rapporter Del Skrevet 29. september 2009 interessant innspill! har du noe mer info om hvordan man tar backup av truecrypt bootblock? bruker du DD? eller er det den innebygde funksjonen i truecrypt "lag recovery-cd" du tenker på? Ja, du kan benytte "Create Rescue Disk" under "System". Recovery gjøres ved å brenne ut aktuell iso, boote på denne og velge "Repair Options.. Restore key data" Dersom det ikke er fulldisk kryptering kan du bruke "Backup Volume Header" funksjonen under "Tools". Metoden er også beskrevet her: http://www.truecrypt.org/faq Lenke til kommentar
ThorB Skrevet 29. september 2009 Forfatter Rapporter Del Skrevet 29. september 2009 Metoden er også beskrevet her: http://www.truecrypt.org/faq aha. takk! skal lese. We use TrueCrypt in a corporate/enterprise environment. Is there a way for an administrator to reset a volume password or pre-boot authentication password when a user forgets it (or loses a keyfile)? Yes. Note that there is no "back door" implemented in TrueCrypt. However, there is a way to "reset" volume passwords/keyfiles and pre-boot authentication passwords. After you create a volume, back up its header to a file (select Tools -> Backup Volume Header) before you allow a non-admin user to use the volume. Note that the volume header (which is encrypted with a header key derived from a password/keyfile) contains the master key with which the volume is encrypted. Then ask the user to choose a password, and set it for him/her (Volumes -> Change Volume Password); or generate a user keyfile for him/her. Then you can allow the user to use the volume and to change the password/keyfiles without your assistance/permission. In case he/she forgets his/her password or loses his/her keyfile, you can "reset" the volume password/keyfiles to your original admin password/keyfiles by restoring the volume header from the backup file (Tools -> Restore Volume Header). Similarly, you can reset a pre-boot authentication password. To create a backup of the master key data (that will be stored on a TrueCrypt Rescue Disk and encrypted with your administrator password), select 'System' > 'Create Rescue Disk'. To set a user pre-boot authentication password, select 'System' > 'Change Password'. To restore your administrator password, boot the TrueCrypt Rescue Disk, select 'Repair Options' > 'Restore key data' and enter your administrator password. Note: It is not required to burn each TrueCrypt Rescue Disk ISO image to a CD/DVD. You can maintain a central repository of ISO images for all workstations (rather than a repository of CDs/DVDs). For more information see the section Command Line Usage (option /noisocheck). Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå