Transparente Verschlüsselung auf dem LAN mit Cybersafe-Top-Geheimnis. Sicherheitsinformationsportal.

Wir alle wissen, wie man Daten verschlüsselt, die über das Internet übertragen werden - Sie müssen jede Art verwenden. Wenn wir über den Schutz der zwischen den Niederlassungen übertragenen Unternehmensdaten sprechen (oft wird diese Übertragung im Internet ausgeführt: Es ist nicht möglich, ihre eigenen Datenlinien wirtschaftlich aufzubauen, dann entfaltet das Corporate Network seinen eigenen VPN-Server.

Wenn Sie Ihren persönlichen Verkehr schützen müssen, werden alle möglichen VPN-Services mit Bezahlung für den Verkehr verwendet. Ihre Dienstleistungen sind ziemlich kostengünstig. Außerdem können Sie das Projekt verwenden - es ist im Allgemeinen kostenlos.

Transparente Verschlüsselung mit Cybersafe

• Vorwort
• Wie ist die transparente Verschlüsselung in Cybersafe

Was aber zu tun, wenn Sie Daten verschlüsseln müssen, die von übertragen werden müssen lokales Netzwerk? Stellen Sie sich vor, Sie verschlüsseln wichtige Dokumente mit EFS oder speichern Sie sie auf einer virtuellen Festplatte. Während Sie diese Dokumente persönlich verwenden, gibt es keine Probleme. Es werden jedoch Probleme auftreten, wenn Sie an diesen Dokumenten zusammenarbeiten müssen. Das EFS-Dateisystem unterstützt keine Datenverschlüsselung, die über das Netzwerk übertragen wird.

Ähnliche Situation und virtuelle Festplatte: Ja, Sie können den Zugriff auf "teilen" virtuelle DisketteIhre Daten bleiben jedoch nur auf Ihrem Computer verschlüsselt. Sobald sie seine Grenzen verlassen, werden sie in der offenen Form über das lokale Netzwerk übertragen. Und das bedeutet, dass ein Angreifer (der Ihr Kollege sein kann, der mit einem lokalen Netzwerk mit einem verbunden ist, der jedoch keinen Zugriff auf verschlüsselte Daten hat) können sie leicht abfangen.

Alle Verkehrsverschlüsselungslösungen richten sich hauptsächlich auf die Verschlüsselung von Daten, die über das lokale Netzwerk hinausgehen, dh der Schutz wird bei der Datenübertragung über das Internet ausgeführt. Und das lokale Netzwerk gilt zunächst sicher.

Ja, es gibt Hardware-Möglichkeiten, diese Aufgabe zu lösen - spezielle Netzwerkadapter und Schalter mit Verschlüsselungsunterstützung. Aber Sie denken nur: Ein solcher Switch muss in jedem Subnetz installiert sein, und so netzwerkadapter - für jedes Computernetzwerk. Es stellt sich ziemlich teuer aus.

Ich fing an, eine billigere Lösung zu finden. Und ich habe es gefunden. Dieses Programm . Eigentlich habe ich dieses Programm vertraut gemacht. Ja, das Programm ist kommerziell. Wahr, danke an unverständlich preispolitik Der Entwickler auf der Website kann nur für 32 Dollar (Lizenz für 2 Stück) gekauft werden, und nicht für 100 US-Dollar (ein solcher Preis für CyberSfolsoft.com). Es stellt sich heraus, der Preis des Schutzes eines Computers beträgt 16 Dollar. Wenn die Anzahl der Benutzer, die mit geheimen Daten arbeiten sollten, mehr kaufen müssen.

Transparente Verschlüsselung in Cybersafe

Wir werden es herausfinden, wie Sie eine transparente Verschlüsselung im CyberSafe-Programm implementieren können. Für eine transparente Verschlüsselung wird der Treiber ALFA Transparent File Encryptor1 verwendet, der Dateien mit dem AES-256-Algorithmus verschlüsselt.

Der Treiber wird an die Verschlüsselungsregel (Dateimaske, zulässige / verbotene Prozesse usw.) sowie den Verschlüsselungsschlüssel übertragen. Der Verschlüsselungsschlüssel selbst wird in ADS-Ordnern (alternative Datenströme) gespeichert und mit OpenSL verschlüsselt ( algorithmus RSA.) - Dies verwendet Zertifikate.

Die Logik lautet wie folgt: Fügen Sie einen Ordner hinzu, CyberSafe erstellt einen Schlüssel für den Treiber, verschlüsselt es mit ausgewählten öffentlichen Zertifikaten (sie müssen zuvor in CyberSafe erstellt oder importiert werden). Wenn Sie versuchen, auf jeden Benutzer in den CyberSafe-Ordner zuzugreifen, öffnen Sie die Ads-Ordner und liest einen verschlüsselten Schlüssel. Wenn dieser Benutzer über einen privaten Zertifikatschlüssel verfügt (möglicherweise ein oder mehrere seiner Zertifikate), das zum Verschlüsseln der Taste verwendet wurde, kann er diesen Ordner öffnen und die Dateien lesen. Es sei darauf hingewiesen, dass der Treiber nur das Entschlüsselt entschlüsselt, und nicht alle Dateien, wenn Sie Zugriff auf die Datei bieten.

Wenn der Benutzer beispielsweise ein großes öffnet dokumentwort.Der einzige Teil ist entschlüsselt, der jetzt in den Editor geladen ist, da erforderlich, der Rest wird geladen. Wenn die Datei klein ist, ist es vollständig entschlüsselt, aber die anderen Dateien bleiben verschlüsselt.

Wenn der Ordner ein gemeinsam genutztes Netzwerk ist, bleibt er dabei verschlüsselte Dateien, der Client-Treiber entschlüsselt nur eine Datei oder einen Teil der Datei im Speicher, obwohl dies trifft lokaler Ordner. Bei der Bearbeitung der Datei verschlüsselt der Treiber Änderungen im Speicher und schreibt in die Datei. Mit anderen Worten, auch wenn der Ordner aktiviert ist (nachstehend wird gezeigt, was es ist), werden die Daten auf der Festplatte immer verschlüsselt.

Das Prinzip ist einfach: Auf dem Server (somit klären wir den Computer, in dem der Ordner mit verschlüsselten Dokumenten gespeichert ist) Wir speichern den verschlüsselten Ordner, der Zugriff auf diesen Ordner ist üblich. Auf einem Computer jedes Benutzers, der Zugriff auf geheime Dokumente, ist das CyberSafe-Programm installiert. Die unterste Linie ist, dass die Verschlüsselungs- und Datenentschlüsselung auf dem Client auftritt, und nicht auf dem Server. Daher werden im Netzwerk die Daten in verschlüsselter Form übertragen.

Beachtung! Das CyberSafe-Programm hat ein sehr wichtiges und unverständliches Merkmal. Auf dem Computer, auf dem verschlüsselte Dokumente gespeichert werden, sollte das CyberSafe-Programm nicht installiert werden. Wenn Sie es installieren, gibt es auf anderen Computern Probleme mit dem Zugriff auf den verschlüsselten Ordner. Warum ist es fertig, ich verstehe nicht. In großen Unternehmen ist ein solches Verhalten natürlich sehr praktisch und gerechtfertigt. In der Regel werden allgemeine Dokumente auf dem Server gespeichert (normalerweise unter windows-Steuerung Server) und Auswahl separater Computer Nicht erforderlich - es ist bereits zugeordnet. Ja, und der Server muss nicht eine eigene Lizenz kaufen, die, wie sie sagen, eine Kleinigkeit, aber nett.

So richten Sie die transparente Verschlüsselung ein

Ich werde nur den Gesamteinstellungsvorgang beschreiben:

1. Jeder Benutzer muss einen eigenen Schlüssel generieren und veröffentlichen.
2. Auf dem Server müssen Sie einen leeren Ordner erstellen, und nach der Verschlüsselung, kopieren Sie diese Daten darauf. Lassen Sie es den \\\\ Acer \\ Test \\ Secret-Ordner sein.
3. Müssen zur Verfügung stellen allgemeiner Zugang. In den Ordner mit geheimen Dokumenten.
4. Auf einem der Computer müssen Sie Zertifikate von allen importieren
   Benutzer, die Zugriff auf geheime Dokumente erhalten müssen. Alles ist bereit, den Ordner zu verschlüsseln.
5. Gehen Sie zur transparenten Verschlüsselung, klicken Sie auf Hinzufügen. Ordner und wählen Sie den Ordner aus, den Sie verschlüsseln möchten. Lassen Sie mich daran erinnern, dass Sie einen Netzwerkordner \\\\ Acer \\ test \\ secret auswählen müssen.
6. Klicken Sie auf die Schaltfläche Übernehmen. Eine Anforderung zum Hinzufügen von Verschlüsselungsschlüssel für einen Ordner wird angezeigt, Sie müssen die Taste Ja drücken. Wenn Sie versehentlich reagiert haben, markieren Sie den Ordner in der Liste und drücken Sie die Tasten-Taste.
7. Das Dialogfeld Benutzerauswahl wird angezeigt. Wählen Sie nur diejenigen aus, die Zugriff auf den Ordner haben (diejenigen, die Dateien entschlüsseln können). OK klicken.
8. Eine Anforderung scheint den Administratorschlüssel dem Ordner hinzuzufügen. Der Administrator kann die Liste der Benutzerschlüssel verwalten. Wenn die Liste der Benutzer, die Zugriff auf den Ordner haben, unverändert bleiben, kann der Administratorschlüssel nicht hinzugefügt werden. Als Nächstes müssen Sie den Ordneradministrator auswählen.
9. Alles, Ordner verschlüsselt. Um mit dem Arbeiten zu beginnen, wählen Sie sie aus und klicken Sie auf die Schaltfläche Aktivieren. Danach können Sie mit dem Ordner zusammenarbeiten.

Wichtig! Jedes Mal, wenn Sie einen verschlüsselten Ordner benötigen, müssen Sie ihn über die Schaltfläche Aktivieren einschalten. Wenn der Ordner nicht eingeschaltet ist und Dateien hinzuzufügen, werden sie nicht verschlüsselt!

Das ist alles. Aber ich würde gerne wieder auf den Server aufmerksam machen. Da kann ein Server funktionieren normaler Computer Windows laufend. Vergessen Sie jedoch nicht die Anzahl der Benutzer gleichzeitig mit dem Netzwerkordner. Diese Nummer begrenzt die Fenster selbst, und wenn Benutzer eher kaufen müssen Windows Server. Und dennoch: An den Server, wie bereits erwähnt, müssen Sie das Programm nicht installieren, andernfalls wird der Verschlüsselungsprozess nicht korrekt angezeigt.

) Erlaubt es den Unternehmen, einen schnellen und bequemen Informationsaustausch in unterschiedlichen Entfernungen zu organisieren. Trotzdem ist der Schutz der Information in der Unternehmensumgebung die Aufgabe, die derzeit nach wie vor relevant und durch den Geist der Anführer kleiner, mittlerer und großer Unternehmen der unterschiedlichsten Tätigkeitsbereiche unterscheidet. Außerdem, was auch immer die Nummer des Unternehmens, für die Führung, ist fast immer ein Bedürfnis, die Rechte der Mitarbeiter auf vertrauliche Informationen über das Umfang ihrer Bedeutung zu unterscheiden.

In diesem Artikel werden wir darüber reden transparente Verschlüsselung Wie etwa eine der häufigsten Wege, um Informationen in einer Unternehmensumgebung zu schützen, berücksichtigen Sie allgemeine Grundsätze Verschlüsselung für mehrere Benutzer (Kryptographie mit mehreren offenen Tasten) sowie mitzuteilen, wie Sie die Verschlüsselung des transparenten Netzwerkordners mithilfe von CyberSafe-Dateien-Verschlüsselung konfigurieren.

Was ist der Vorteil der transparenten Verschlüsselung?

Die Verwendung von virtuellen Kryptodiscations oder angebotenen Verschlüsselungsfunktionen ist recht gerechtfertigt lokaler Computer Benutzer, jedoch im Unternehmensraum, ist jedoch ein geeigneter geeigneter Ansatz zu verwenden transparente VerschlüsselungDa diese Funktion einen schnellen und bequemen Betrieb mit verglichenen Dateien gleichzeitig für mehrere Benutzer bietet. Bei der Erstellung und Bearbeitung von Dateien treten die Verschlüsselungs- und Entschlüsselungsprozesse automatisch auf, "auf der FLY". Um mit sicheren Dokumenten zu arbeiten, müssen die Mitarbeiter des Unternehmens keine Fähigkeiten auf dem Gebiet der Kryptographie haben, sie sollten keine zusätzlichen Aktionen ausführen, um geheime Dateien zu entschlüsseln oder zu verschlüsseln.

Die Arbeit mit klassifizierten Dokumenten erfolgt im üblichen Modus mit Standard systemanwendungen. Alle Funktionen zum Einrichten von Verschlüsselung und Abgrenzung von Zugriffsrechten können einer Person, beispielsweise einem Systemadministrator, zugewiesen werden.

Kryptographie mit mehreren offenen Tasten und digitalen Umschlägen

Transparente Verschlüsselung funktioniert wie folgt. Um die Datei zu verschlüsseln, wird ein zufällig erzeugter symmetrischer Sitzungsschlüssel verwendet, der wiederum mit einem offenen asymmetrischen Benutzerschlüssel geschützt ist. Wenn sich der Benutzer auf die Datei verweist, um einige Änderungen daran vorzunehmen, entschlüsselt der transparente Verschlüsselungstreiber einen symmetrischen Schlüssel mit einem geschlossenen (privaten) Benutzerschlüssel und ferner mit einer symmetrischen Taste, wobei die Datei selbst entschlüsselt. Im Detail, wie transparente Verschlüsselung funktioniert, erzählten wir im vorherigen Thema.

Aber wie man sein, wenn Benutzer mehrere und geheime Dateien sind, werden nicht auf dem lokalen PC gespeichert, sondern im Ordner auf remote-Server? Immerhin ist die verschlüsselte Datei gleich, jedoch hat jeder Benutzer einen eigenen einzigartigen Schlüsseldampf.

In diesem Fall ist das sogenannte digitale Umschläge.

Wie aus der Figur ersichtlich ist, enthält der digitale Umschlag eine Datei, die mit einem zufällig erzeugten symmetrischen Schlüssel verschlüsselt ist, sowie mehrere Kopien dieses symmetrischen Schlüssels, die mit offenen asymmetrischen Tasten jedes Benutzers geschützt sind. Kopien werden so viel auf, wie viele Benutzer Zugriff auf einen sicheren Ordner zugänglich sind.

Der transparente Verschlüsselungstreiber arbeitet nach dem folgenden Schema: Wenn Sie auf den Benutzer in die Datei zugreifen, prüft es, ob sein Zertifikat verfügbar ist ( offener Schlüssel) In der Liste erlaubt. Wenn ja - mit Hilfe eines privaten Schlüssels dieses Benutzers, ist es die genaue Kopie des symmetrischen Schlüssels, der mit seinem öffentlichen Schlüssel verschlüsselt wurde. Wenn in der Zertifikatsliste dieser Benutzer Nein, der Zugang wird abgelehnt.

Verschlüsselung von Netzwerkordnern mit CyberSafe

Mit Cybersafe, systemadministrator Kann die transparente Verschlüsselung des Netzwerkordners konfigurieren, ohne zusätzliche Datenschutzprotokolle wie IPSec oder WebDAV zu verwenden und den Benutzerzugriff auf einen bestimmten verschlüsselten Ordner zu verwalten.

Um die transparente Verschlüsselung von jedem der Benutzer zu konfigurieren, die geplant sind, um den Zugriff auf vertrauliche Informationen zu ermöglichen, muss CyberSafe auf dem Computer installiert sein, ein persönliches Zertifikat wurde erstellt, und der öffentliche Schlüssel wird auf dem CyberSafe Public Key-Server veröffentlicht.

Als Nächstes erstellt das SysAdmin auf dem Remote-Server neuer OrdnerFügt es CyberSafe hinzu und weist den Benutzern den Schlüssel zu, die später mit Dateien in diesem Ordner arbeiten können. Natürlich können Sie beliebig viele Ordner erstellen, um vertrauliche Informationen in verschiedenen Wichtigkeitsgraden zu speichern, und der Systemadministrator kann jederzeit den Benutzer löschen, der von denjenigen, die Zugriff auf den Ordner haben, oder einen neuen hinzuzufügen.

Betrachten Sie ein einfaches Beispiel:

Auf der dateiserver ABC-Unternehmen werden 3 Datenbanken mit vertraulichen Informationen über unterschiedliche Wichtigkeitsgrade gespeichert - Spanplatten, heimlich und vollständig geheim. Es ist notwendig, Zugang zu bieten: an BD1-Benutzer von Ivanov, Petrov, Nikiforov, dem BD2 Petrov und Smirnov, auf St.3 Smirnova und Ivanov.

Dazu in der Nord-Datei, in der jede Netzwerkressource sein kann, müssen Sie drei erstellen separate Ordner Für jede Datenbank und Zuweisen von Zertifikaten (Schlüssel) der relevanten Benutzer dieser Ordner:

Natürlich können solche oder einer anderen ähnlichen Aufgabe mit der Abgrenzung von Zugriffsrechten mit ACL-Fenstern gelöst werden. Diese Methode kann jedoch nur dann wirksam sein, wenn die Rechte des Zugriffs auf den Computern des Unternehmens in der Firma begrenzt werden. Übrigens schützt es nicht vertrauliche Informationen im Falle einer Verbindung von Drittanbietern an den Dateiserver und die Verwendung von Kryptographie zum Schutz der Daten ist einfach erforderlich.

Darüber hinaus können alle Einstellungen der Sicherheitsparameter des Dateisystems mit der Befehlszeile zurückgesetzt werden. In Windows gibt es ein spezielles Tool in Windows - "Calcs", mit dem Berechtigungen auf Dateien und Ordnern angezeigt werden können, sowie zum Zurücksetzen. In Windows 7 heißt dieser Befehl "icacls" und wird wie folgt ausgeführt:

1. B. befehlszeile Mit Administratorrechten eingeben: CMD
2. Gehen Sie zu einer Festplatte oder Partition, zum Beispiel: CD / D D:
3. Um alle Berechtigungen zurückzusetzen, geben Sie Folgendes ein: icacls * / t / q / c / reset

Es ist möglich, dass ICACLs das erste Mal nicht funktionieren. Dann müssen Sie vor Schritt 2 den folgenden Befehl ausführen:

Danach werden zuvor installierte Berechtigungen für Dateien und Ordner zurückgesetzt.

Sie können ein System erstellen, das auf basiert virtuelles Kryptodisk und ACL (Weitere Informationen zu einem solchen System, wenn Cryptodiscates in Organisationen verwendet werden, ist geschrieben.). Ein solches System ist jedoch auch anfällig, da der Administrator den dauerhaften Zugriff auf die Daten auf Cryptodisk gewährleistet, um ihn während des gesamten Arbeitstages miteinander verbunden (montiert), der vertrauliche Informationen auf Kryptodie auch ohne Kenntnis davon bedroht, wenn der Angreifer wurde angeschlossen, kann sich mit dem Server herstellen.

Netzwerkdisketten mit eingebetteter Verschlüsselung lösen das Problem auch nicht, da sie nur Schutzdaten bereitstellen, wenn niemand mit ihnen arbeitet. Das heißt, die integrierte Verschlüsselungsfunktion kann vertrauliche Daten vor dem Kompromisieren schützen, wenn die Diskette Diebstahl ist.

02/04/2016, THU 11:49, Moskau Zeit, Text: Pavel-Priatula

Die transparenten Verschlüsselungssysteme sind ein High-Tech-High-Tech-Produkt, die Entwicklung und Unterstützung, deren Kräfte eines sehr begrenzten Unternehmenskreises. Die Hauptfunktion besteht jedoch darin, das Risiko des Lecks von vertraulichen Informationen zu reduzieren - sie werden gut durchgeführt.

Wie in "So verwalten Sie kritische Leckrisiken", ist das Geschäft gezwungen, das Risiko des Lecks von vertraulichen Informationen ständig zu reduzieren. Die einfachste und relativ billigste Weise besteht darin, transparente Verschlüsselungssysteme zu verwenden. Der Hauptvorteil der transparenten Verschlüsselung besteht darin, dass es keine Teilnahme an Prozessen des Benutzers gibt, sie sind alle im Hintergrund "auf der Fliege" auftreten.

Viel hängt von den Systemanforderungen ab

Die auf dem Markt vorgestellten transparenten Verschlüsselungssysteme haben auf den ersten Blick auf den ersten Blick viel gemeinsam: Sie entscheiden alle dieselbe Aufgabe. Das Geschäft hat jedoch immer seine eigenen spezifischen Anforderungen. Unten ist eine Liste der relevantesten von ihnen.

Anforderungen an transparente Verschlüsselungssysteme

№	Beschreibung der Anforderungen.
1	Verschlüsselungsbeständigkeit	Die Schutzdauer sollte so sein, dass die Geheimhaltung nicht in dem Fall, wenn der Angreifer für die Verschlüsselungsmethode bekannt ist, nicht gebrochen wird
2	Zuverlässigkeit von Verschlüsselungsalgorithmen	Der verwendete Verschlüsselungsalgorithmus sollte keine schwachen Orte haben, an denen die Cryptanalitics nutzen kann.
3	Sichere Verwendung von Schlüsseln	Der Verschlüsselungsschlüssel muss für einen Angreifer nicht verfügbar sein. Die Nichteinhaltung der Prinzipien der sicheren Verwendung von Verschlüsselungsschlüsseln kann die Sicherheit der Information gefährden, obwohl das System im System im System die kryptischen Algorithmen implementiert wird
4	Verschlüsselung "Transparenz"	Die Verschlüsselung muss für den Benutzer als "transparent" auftreten - es ist nicht bekannt, dass der Prozess der Verschlüsselung und entschlüsselt Daten während des Betriebs nicht
5	Widerstand gegen Fehler	Das System muss maximal resistent für zufällige Fehler und falsche Benutzeraktionen sein.
6	Multifactor-Authentifizierung.	Die Überprüfung der Benutzerrechte an den Zugriff auf geschützte Daten sollte auf der Grundlage von Fonds implementiert werden multifactor-Authentifizierung.
7	Zusätzliche Funktion für die Arbeit in notfallsituationen	In Notfallsituationen, in denen es sich um einen Versuch des physischen Zugriffs bewusst ist, oder ein Versuch, Servergeräte abzuheben, ist ein äußerst nützliches Schutzwerkzeug die Möglichkeit der Notfalltoleranz von Daten
8	Schutz gegen Insider.	Alle Benutzer des Systems, einschließlich Systemadministratoren und technischen Mitarbeitern, müssen ausschließlich in den in den IB-Richtlinien des Unternehmens vorgeschriebenen Mächten Zugriff auf das physische Dateisystem haben.

Die ersten beiden Punkte in Bezug auf die Zuverlässigkeit und Haltbarkeit von Verschlüsselungsalgorithmen erfordern die Übereinstimmung ihrer Produkte an die Anforderungen der Regulierungsbehörden. In der Russischen Föderation ist diese Verwendung von GOST 28147-89 mit einer Schlüssellänge von 256 Bit in Lösungen von Cryptoprovideern mit einer Lizenz des FSB Russlands mit einer Lizenz.

Wie schützen Sie sich vor dem Systemadministrator?

Für private Daten interessierte Angreifer können auch im Unternehmen sein. Eine ernsthafte Bedrohung, aus der die Kryptographie nicht retten, darstellt technische Spezialisten. und Systemadministratoren des Unternehmens. Mit aller gleichen sind sie jedoch aufgrund ihrer angemessenen Pflichten verpflichtet, die Leistung von Systemen zu überwachen, die Sicherheit auf jedem Computer sicherstellen.

In der laufenden schwierigen wirtschaftlichen Situation in einer Reihe von Mitarbeitern, einschließlich Systemadministratoren, besteht der Wunsch, Unternehmensinformationen für seinen Verkauf auf dem Schwarzmarkt oder als zusätzlichen Vorteil gegenüber den Wettbewerbern der Bewerber für das Gerät einzukopieren neue Arbeit. Dies verschlimmert die Beziehung zwischen dem Management und dem Personal von Unternehmen.

Das ausgewählte System der transparenten Verschlüsselung ist also einfach verpflichtet, Mechanismen, die einen Satz von Schutzanforderungen des Systemadministrators implementieren, die ihren Platz in der Liste der Anforderungen für die Lösung gefunden haben.

Virtuelles Dateisystem - Wichtige Schutzkomponente

Welcher Mechanismus basiert also auf dem Besten in seiner Klasse von transparenten Verschlüsselungssystemen, sodass Sie zahlreiche Anforderungen implementieren können, die oben präsentiert werden sollen? In der Praxis wird es in einer einfachen Formel ausgedrückt: Die Datei für den Eigentümer der Informationen ist in entschlüsster Form und für alle anderen verfügbar - nur in verschlüsselter Form ohne Zugriff auf die Tasten. Spezialisten nennen diese Funktionalität "Gleichzeitigkeit des Zugangs".

"Aber wenn Windows auf dem Computer eines Benutzers installiert ist, ist es praktisch ein Unternehmensstandard in der Russischen Föderation, der Erreichung der" Gleichzeitigkeit des Zugangs "ist nicht die Aufgabe der einfachen Aufgabe. Ein solcher Windows-Kohärenzeffekt: Die Datei darin kann seine Kopien zusätzlich zum Dateisystem in dem Speichermanager oder im Cache haben. Daher ist es notwendig, das Problem der "Gleichzeitigkeit der Existenz" von Dateien zu lösen ", sagt Ilya ochavinsky., Business Development Manager von Aladdin Rd. Das Problem wird durch die ursprüngliche Weise gelöst, indem die Zusammenarbeit des "virtuellen Dateisystems" (WFS) und dem Dateisystemtreiberfilter verwendet wird, das Betriebsschema ist unten gezeigt.

Virtuelles Dateisystem.

Quelle: "aladdin rd", 2016

Wie aus dem Schema ersichtlich ist, glaubt der Cache-Dispatcher "glaubt", der mit zwei arbeitet verschiedene Dateien. Dafür bilden die WFS eine zusätzliche Paarstruktur von Dateibeschreibungen. Spezielle Dateisystemtreiber bietet permanentes Update Verschlüsselte Datei in einem echten Dateisystem, nach der Änderung der nicht verschlüsselten Kopie in die WFS. Somit sind die Daten auf der Festplatte immer verschlüsselt.

Um den Zugriff auf Dateien zu beschränken, wird der Dateisystemtreiber beim Zugriff auf die sichere Ressourcen geladen rAM Verschlüsselungsschlüssel. Dieselbe Tasteninformation ist durch ein Schlüsselpaar des Benutzerzertifikats geschützt und in einem Kryptoraner gespeichert.

Infolgedessen sieht der autorisierte Benutzer ein einzelnes Dateisystem, das mit entschlüsselten Dateien virtuell mit entschlüsselnden Dateien ist, und gleichzeitig nicht autorisiert wird das physische (echte) Dateisystem, in dem die Namen und der Inhalt der Dateien verschlüsselt sind.

Systemadministratoren und andere technische Spezialisten, die nicht die Fähigkeit haben, Verschlüsselungsschlüssel in entschlüsselter Form zu erhalten, funktioniert mit einem echten, zuverlässigen verschlüsselten dateisystem. Gleichzeitig halten sie die Fähigkeit, ihre offiziellen Pflichten richtig zu erfüllen, z. B. das Erstellen backups verschlüsselte Informationen, ohne die Vertraulichkeit der Information selbst zu verletzen. Dadurch wird eine wichtige Anforderung für den Schutz von Informationen von Insidern durchgeführt.

Ohne Multifactor-Authentifizierung reduzieren sich Risiken nicht

Für Multifactor-Benutzerauthentifizierung zum Download betriebssystem Um auf verschlüsselte Daten zuzugreifen, wird normalerweise ein Token- oder Smartcard verwendet - das Gerät, auf dem das öffentliche Schlüsselzertifikat dieses Benutzers und der entsprechende private Schlüssel gespeichert ist.

Das zentrale Verschlüsselungsschlüssel und das Speichersystem schützen vor dem Verlust dieser Tasten - sie befinden sich auf einem sicheren Server und werden nur nach Bedarf an den Benutzer übermittelt. Das Unternehmen steuert auch den Zugang von Mitarbeitern an die ihnen angehörenden Daten und kann es jederzeit verbieten. Darüber hinaus ist es möglich, die Zugriffsereignisse zu überwachen, um Daten zu sichern, sowie der Einschluss des Verschlüsselungsmodus aller an Flash-Laufwerke gesendeten Daten usw.

Zusammensetzung eines typischen transparenten Verschlüsselungssystems

) Erlaubt es den Unternehmen, einen schnellen und bequemen Informationsaustausch in unterschiedlichen Entfernungen zu organisieren. Trotzdem ist der Schutz der Information in der Unternehmensumgebung die Aufgabe, die derzeit nach wie vor relevant und durch den Geist der Anführer kleiner, mittlerer und großer Unternehmen der unterschiedlichsten Tätigkeitsbereiche unterscheidet. Außerdem, was auch immer die Nummer des Unternehmens, für die Führung, ist fast immer ein Bedürfnis, die Rechte der Mitarbeiter auf vertrauliche Informationen über das Umfang ihrer Bedeutung zu unterscheiden.

In diesem Artikel werden wir darüber reden transparente Verschlüsselung Wie etwa eine der häufigsten Möglichkeiten, Informationen in einer Unternehmensumgebung zu schützen, berücksichtigen Sie die allgemeinen Verschlüsselungsprinzipien für mehrere Benutzer (Kryptographie mit mehreren offenen Tasten) sowie darüber, wie Sie die transparente Verschlüsselung von Netzwerkordnern mit dem Programm konfigurieren.

Was ist der Vorteil der transparenten Verschlüsselung?

Die Verwendung von virtuellen Kryptodiscings oder vollständig bekannten Verschlüsselungsfunktionen ist vollständig auf dem lokalen Computer des Benutzers gerechtfertigt, jedoch in dem Unternehmensraum ist ein geeigneter geeigneter Ansatz zu verwenden transparente VerschlüsselungDa diese Funktion einen schnellen und bequemen Betrieb mit verglichenen Dateien gleichzeitig für mehrere Benutzer bietet. Bei der Erstellung und Bearbeitung von Dateien treten die Verschlüsselungs- und Entschlüsselungsprozesse automatisch auf, "auf der FLY". Um mit sicheren Dokumenten zu arbeiten, müssen die Mitarbeiter des Unternehmens keine Fähigkeiten auf dem Gebiet der Kryptographie haben, sie sollten keine zusätzlichen Aktionen ausführen, um geheime Dateien zu entschlüsseln oder zu verschlüsseln.

Die Arbeit mit klassifizierten Dokumenten tritt im üblichen Modus mit Standardsystemanwendungen auf. Alle Funktionen zum Einrichten von Verschlüsselung und Abgrenzung von Zugriffsrechten können einer Person, beispielsweise einem Systemadministrator, zugewiesen werden.

Kryptographie mit mehreren offenen Tasten und digitalen Umschlägen

Transparente Verschlüsselung funktioniert wie folgt. Um die Datei zu verschlüsseln, wird ein zufällig erzeugter symmetrischer Sitzungsschlüssel verwendet, der wiederum mit einem offenen asymmetrischen Benutzerschlüssel geschützt ist. Wenn sich der Benutzer auf die Datei verweist, um einige Änderungen daran vorzunehmen, entschlüsselt der transparente Verschlüsselungstreiber einen symmetrischen Schlüssel mit einem geschlossenen (privaten) Benutzerschlüssel und ferner mit einer symmetrischen Taste, wobei die Datei selbst entschlüsselt. Im Detail, wie transparente Verschlüsselung funktioniert, erzählten wir in.

Aber wie man sein, wenn Benutzer mehrere und klassifizierte Dateien nicht auf dem lokalen PC gespeichert sind, und im Ordner auf dem Remote-Server? Immerhin ist die verschlüsselte Datei gleich, jedoch hat jeder Benutzer einen eigenen einzigartigen Schlüsseldampf.

In diesem Fall ist das sogenannte digitale Umschläge.

Wie aus der Figur ersichtlich ist, enthält der digitale Umschlag eine Datei, die mit einem zufällig erzeugten symmetrischen Schlüssel verschlüsselt ist, sowie mehrere Kopien dieses symmetrischen Schlüssels, die mit offenen asymmetrischen Tasten jedes Benutzers geschützt sind. Kopien werden so viel auf, wie viele Benutzer Zugriff auf einen sicheren Ordner zugänglich sind.

Der transparente Verschlüsselungstreiber arbeitet auf dem folgenden Schema: Wenn Sie auf den Benutzer in die Datei zugreifen, prüft es, ob das Zertifikat (öffentliche Taste) in der zulässigen Liste angegeben ist. Wenn ja - mit Hilfe eines privaten Schlüssels dieses Benutzers, ist es die genaue Kopie des symmetrischen Schlüssels, der mit seinem öffentlichen Schlüssel verschlüsselt wurde. Wenn in der Liste des Zertifikats dieses Benutzers keine Daten vorhanden sind, wird der Zugriff auf den Zugriff verweigert.

Verschlüsselung von Netzwerkordnern mit CyberSafe

Mit CyberSafe kann der Systemadministrator die Verschlüsselung des transparenten Netzwerkordners konfigurieren, ohne zusätzliche Datenschutzprotokolle zu verwenden, z. B. oder in der Zukunft, um den Benutzerzugriff auf einen bestimmten verschlüsselten Ordner zu verwalten.

Um die transparente Verschlüsselung von jedem der Benutzer zu konfigurieren, die geplant sind, um den Zugriff auf vertrauliche Informationen zu ermöglichen, muss CyberSafe auf dem Computer installiert sein, ein persönliches Zertifikat wurde erstellt, und der öffentliche Schlüssel wird auf dem CyberSafe Public Key-Server veröffentlicht.

Als Nächstes erstellt das SysAdmin auf dem Remote-Server einen neuen Ordner, fügt es CyberSafe hinzu und weist den Benutzern den Schlüssel zu, die weiterhin mit Dateien in diesem Ordner arbeiten können. Natürlich können Sie beliebig viele Ordner erstellen, um vertrauliche Informationen in verschiedenen Wichtigkeitsgraden zu speichern, und der Systemadministrator kann jederzeit den Benutzer löschen, der von denjenigen, die Zugriff auf den Ordner haben, oder einen neuen hinzuzufügen.

Betrachten Sie ein einfaches Beispiel:

Der ABC-Dateiserver wird 3 Datenbanken mit vertraulichen Informationen über unterschiedliche Wichtigkeitsgrade gespeichert - Spanplatten, heimlich und vollständig geheim. Es ist notwendig, Zugang zu bieten: an BD1-Benutzer von Ivanov, Petrov, Nikiforov, dem BD2 Petrov und Smirnov, auf St.3 Smirnova und Ivanov.

Dazu, in der Nord-Datei, die eine beliebige Netzwerkressource sein kann, müssen Sie für jede Datenbank drei separate Ordner erstellen und Zertifikate (Schlüssel) der jeweiligen Benutzer mit diesen Ordnern zuweisen:

Natürlich können eine solche oder andere ähnliche Aufgabe mit der Begrenzung von Zugriffsrechten gelöst werden und windows-Hilfe. Diese Methode kann jedoch nur dann wirksam sein, wenn die Rechte des Zugriffs auf den Computern des Unternehmens in der Firma begrenzt werden. Übrigens schützt es nicht vertrauliche Informationen im Falle einer Verbindung von Drittanbietern an den Dateiserver und die Verwendung von Kryptographie zum Schutz der Daten ist einfach erforderlich.

Darüber hinaus können alle Einstellungen der Sicherheitsparameter des Dateisystems mit der Befehlszeile zurückgesetzt werden. In Windows gibt es ein spezielles Tool in Windows - "Calcs", mit dem Berechtigungen auf Dateien und Ordnern angezeigt werden können, sowie zum Zurücksetzen. In Windows 7 heißt dieser Befehl "icacls" und wird wie folgt ausgeführt:

1. Geben Sie in der Eingabeaufforderung mit Administratorrechten in die Eingabeaufforderung: CMD
2. Gehen Sie zu einer Festplatte oder Partition, zum Beispiel: CD / D D:
3. Um alle Berechtigungen zurückzusetzen, geben Sie Folgendes ein: icacls * / t / q / c / reset

Es ist möglich, dass ICACLs das erste Mal nicht funktionieren. Dann müssen Sie vor Schritt 2 den folgenden Befehl ausführen:

Danach werden zuvor installierte Berechtigungen für Dateien und Ordner zurückgesetzt.

Sie können ein System erstellen, das auf basiert virtuelles Kryptodisk und ACL (Weitere Informationen zu einem solchen System, wenn Cryptodiscates in Organisationen verwendet werden, ist geschrieben.). Ein solches System ist jedoch auch anfällig, da der Administrator den dauerhaften Zugriff auf die Daten auf Cryptodisk gewährleistet, um ihn während des gesamten Arbeitstages miteinander verbunden (montiert), der vertrauliche Informationen auf Kryptodie auch ohne Kenntnis davon bedroht, wenn der Angreifer wurde angeschlossen, kann sich mit dem Server herstellen.

Netzwerkdisketten mit eingebetteter Verschlüsselung lösen das Problem auch nicht, da sie nur Schutzdaten bereitstellen, wenn niemand mit ihnen arbeitet. Das heißt, die integrierte Verschlüsselungsfunktion kann vertrauliche Daten vor dem Kompromisieren schützen, wenn die Diskette Diebstahl ist.

In Verschlüsselungs- / Entschlüsselungsdateien befindet sich nicht auf dem Dateiserver, sondern auf der Seite des Benutzers. Daher werden vertrauliche Dateien nur in verschlüsselter Form auf dem Server gespeichert, wodurch die Möglichkeit eliminiert, sie zu beeinträchtigen, wenn live-Verbindung Der Angreifer an den Dateiserver. Alle Dateien auf dem Server, die in dem mit transparenten Verschlüsselung geschützten Ordner gespeichert sind, werden verschlüsselt und sicher geschützt. Gleichzeitig sehen Benutzer und Anwendungen sie als regelmäßige Dateien: Notepad, Word, Excel, HTML und andere Anwendungen können diese Dateien direkt lesen und schreiben. Die Tatsache, dass sie für sie transparent verschlüsselt werden.

Benutzer ohne Zugriff können diese Dateien auch sehen, sie können sie jedoch nicht lesen und ändern. Dies bedeutet, dass, wenn der Systemadministrator in einigen Ordnern keinen Zugriff auf Dokumente hat, sie immer noch ausüben kann backup. Natürlich werden auch alle Sicherungsdateien von Dateien verschlüsselt.

Wenn der Benutzer jedoch eines der Dateien öffnet, um auf seinem Computer zu arbeiten, ist es möglich, dass unerwünschte Anwendungen Zugriff auf sie erhalten (natürlich, wenn der Computer infiziert ist). Um dies in Cybersafe zu verhindern, als zusätzliche Maßnahme Sicherheit ist dank dessen, an den der Systemadministrator eine Liste von Programmen definieren kann, die auf Dateien aus dem geschützten Ordner zugreifen können. Alle anderen Anwendungen, die nicht in der Liste der vertrauenswürdigen Daten enthalten sind, haben keinen Zugriff. Wir beschränken den Zugriff auf vertrauliche Informationen für spyware, Rootkits und andere schädliche Software.

Da alle Arbeiten mit verschlüsselten Dateien auf der Benutzerseite ausgeführt werden, bedeutet dies, dass CyberSafe nicht auf dem Dateiserver installiert ist und bei der Arbeit im Unternehmensraum das Programm zum Schutz von Informationen über Netzwerkspeichereinrichtungen mit der Datei verwendet werden kann nTFS-System., solche wie . Alle vertraulichen Informationen in verschlüsselter Form sind in einem solchen Speicher, und CyberSafe wird nur auf den Computern von Benutzern installiert, aus denen sie Zugriff auf verschlüsselte Dateien erhalten.

Dies ist der Vorteil von Cybersafe vor Truecrypt und anderen Verschlüsselungsprogrammen, die die Installation im physischen Speicherbereich der Dateien erfordern, und daher, da ein Server nur verwendet werden kann persönlicher Computer, aber nicht netzwerkdiskette. Natürlich ist die Nutzung des Netzwerkspeichers in Unternehmen und Organisationen viel bequemer und gerechtfertigt, anstatt einen regulären Computer zu verwenden.

Somit mit Cybersafe, ohne zusätzliche Fonds, können Sie den effektiven Schutz wertvoller Dateien organisieren, einen bequemen Betrieb mit verschlüsseltem Betrieb netzwerkordnersowie die Zugriffsrechte der Benutzer zu vertraulichen Informationen.