dakanda
Goto Top

Terminalserver-fähige Anwendung zur Datenverschlüsselung

Hallo Admins,

wir suchen derzeit eine Datenverschlüsselung, um sensible Daten (z.B. Daten der Geschäftsführung) vor zufälligem Datenzugriff zu schützen.

Wir haben selbstverständlich bereits Verzeichnisse, auf welche nur authorisierte Domain-Benutzer zugreifen dürfen.
Dennoch ist des von der Geschäftsführung gewünscht, dass solche Daten zusätzlich geschützt/verschlüsselt werden.

Ich habe nun schon einiges ausprobiert.
Am besten hat mir davon bisher die Software FolderGuard gefallen.

Mein Problem: Diese Software kann nicht auf Terminalservern genutzt werden.

Unsere aktuelle Infrastruktur:
1x Dateiserver Windows Server 2008 R2.
3x Terminalserver Windows Server 2008 R2.
?x Clients Windows 7.

Die Software muss auf jedem unserer drei Terminalserver installiert werden und jeder authorisierter Domain-Benutzer muss die Software verwenden können.
Die Anwendungen müssen die zentral auf dem Dateiserver liegenden Verzeichnisse/Dateien verschlüsseln/entschlüsseln können.

Hat mir jemand eine Empfehlung bzw. Erfahrung mit diesen Anforderungen?

Vielen Dank für eure Anregungen.

Grüße,
Max

Content-Key: 244811

Url: https://administrator.de/contentid/244811

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 28.07.2014 um 11:18:49 Uhr
Goto Top
Schau Dir mal http://www.sophos.com/de-de/products/safeguard-encryption.aspx an.
Ich kenne das Produkt noch aus anderen Zeiten.

Falls Du es aber über die OpenSource-Schiene probieren willst:
VeraCrypt: https://veracrypt.codeplex.com/
DiskCryptor: https://diskcryptor.net
(beides brauchbare TrueCrypt-Ersatze)

Ich bin bei Ver- und Entschlüsselung über Netzwerk sehr vorsichtig. Da kann einiges schiefgehen.
Deswegen würde ich Dir einen verschlüsselten Container vorschlagen, der als Laufwerk auf dem Dateiserver eingehängt und als Freigabe angeboten
wird. Dadurch hast Du eine zusätzliche Verschlüsselung.

Wenn Du mit Microsoft Quasi-On-Board-Mitteln arbeiten willst, schau Dir Bitlocker an.
Der ist allerdings nicht in jeder Version drin. Windows 7 Enterprise auf Clientseite ist Minimum.

Das größte Problem mit Chiffraten ist immer das saubere Schließen.
Die Systeme behandeln dieses Problem unterschiedlich, aber ein Restrisiko bleibt.
Mitglied: Dakanda
Dakanda 28.07.2014 um 13:57:06 Uhr
Goto Top
Hallo beidermachtvongeryscull,

danke für die Info.

Ich werde mal die 30 Tage Test-Version von Sophos herunterladen und testen. Danke!

Ich informiere dann über das Ergebnis.
Mitglied: mustangdriver
mustangdriver 28.07.2014 um 15:31:16 Uhr
Goto Top
Ich kann hier die Folder Encryption von EgoSecure empfehlen (http://egosecure.com)
In meiner Serverlandschaft (FileServer, Citrix, SQL Server) sind auch die Daten mit deren Folder Encryption verschlüsselt.

Das gute ist, dass es am Client ver- und entschlüsselt.
Auf dem Server ist nichts installiert und wird auch nichts gemacht. Das spart dem Server Resourcen und macht es auch sicher, da Angreifer auf dem Server keine Möglichkeit zur Entschlüsselung haben.

Installation und Konfiguration war einfach. Habe bei mir keine Zertifikate gebraucht, da ich deren Built-In Keys nutze.
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 28.07.2014 um 17:21:59 Uhr
Goto Top
Tag mustangdriver,

ich hab mir mal gerade die Webseite von egosecure angeschaut.
"Verschlüsselung die Spaß macht" ist witzig, aber da ich keinerlei Preise auf der Webseite sehen konnte, nehme ich mal an, dass das Produkt
nicht ganz billig sein dürfte.

Kannst Du mir ne ungefähre Schiene nennen?

Danke.
Mitglied: DerWoWusste
DerWoWusste 28.07.2014, aktualisiert am 29.07.2014 um 14:35:50 Uhr
Goto Top
Moin.

Ganz einfach: nimm EFS.
Wem das nicht sicher genug ist, den bitte ich zu bedenken, dass der, der in der Lage ist, EFS auszuhebeln, jederzeit auch einen Keylogger auf dem Chef-PC installieren könnte und somit Zugang zu den benötigten Kennwörten für Folderguard und Co. bekäme.
Mitglied: mustangdriver
mustangdriver 29.07.2014 um 14:30:18 Uhr
Goto Top
Unser Einkauf hat es in einem Bundle aus mehreren Sachen bezogen.
Vergleichsangebote waren aber teurer.
Frag doch mal bei denen nach.
Mitglied: Dakanda
Dakanda 06.08.2014 um 12:19:32 Uhr
Goto Top
Hi,

ich habe mich heute einige Zeit mit dem Thema "BitLocker" beschäftigt.

Leider scheint das nicht ganz das passende zu sein, da in unserem Falle nur von einzelnen Domain-Benutzern (primär Geschäftsführung) einzelne Ordner verschlüsselt werden sollen.
Am besten sind diese dann nur für diese Domain-Benutzer sichtbar und auch nur von diesen Benutzern durch Eingabe eines Passworts entschlüsselbar.

Ebenso ist es sehr wichtig, dass während des verschlüsselten Zustands (Benutzer hat das Verzeichnis nicht durch Eingabe des Passworts geöffnet) das Verzeichnis durch unser Server-Backup (Symantec Backup Exec 2012) gesichert werden kann.

Hast du mir da auch noch einen Tipp, DerWoWusste?

Dankeschön!
Mitglied: Dakanda
Dakanda 06.08.2014 um 12:28:27 Uhr
Goto Top
Hi mustangdriver,

danke für den Tipp! Ich habe dort mal eine Anfrage gestellt. Mal schauen was raus kommt.
Mitglied: DerWoWusste
DerWoWusste 06.08.2014 um 12:51:32 Uhr
Goto Top
Ich verstehe Deine Einwände nicht. Verschlüsselung schützt gegen offline-Angriffe, sonst gegen nichts. Wenn Ihr online schützen wollt, dann frage ich Dich nach dem Sinn der zweiten Schutzschicht, damit ich das verstehe, musst Du es genauer erläutern.
Nebenbei: EFS ist jederzeit sicherbar. Sichtbar natürlich auch, aber die Sichtbarkeit kannst Du schon über das Feature "ABE" (Access based enumeration) also durch geeignete NTFS-Rechte ausblenden.
Mitglied: DerWoWusste
DerWoWusste 06.08.2014 um 13:56:21 Uhr
Goto Top
Weitere Rückfrage: FolderGuard geht nicht auf einem Terminalserver? Laut FAQ wird es auf Servern unterstützt http://www.winability.com/folderguard/users-guide_system-requirements.h ... , speziell auf Terminalservern nicht? - hast Du das ausprobiert?
Mitglied: Dakanda
Dakanda 06.08.2014 um 14:36:21 Uhr
Goto Top
Hi,

ja genau das habe ich in den FAQ auch gelesen. Bei meinem Test, FolderGuard auf dem TS zu benutzen, habe ich jedoch immer und immer wieder Fehlermeldungen erhalten.
Ich habe mich mit diesen Meldungen an den Winability-Support gewendet und dabei angefragt, wie und ob es auf TS funktionieren kann.
Die Antwort war schlicht und konkret: "No, Folder Guard cannot do that, sorry."
Mitglied: DerWoWusste
DerWoWusste 06.08.2014 um 14:44:39 Uhr
Goto Top
Ein Terminalserver dürfte darauf keinen Einfluss haben. Sicher, dass Du sie richtig verstanden hast? Was waren das für Fehler?
Mitglied: Dakanda
Dakanda 06.08.2014 um 15:05:13 Uhr
Goto Top
Auszug aus den FAQ von Winability:

You can password protect a shared folder, but entering the password over the network to unlock it is not currently possible, it can only be unlocked from the same computer where the shared folder is physically located.

=> http://www.winability.com/folderguard/users-guide_faq.htm#faq-protect-s ...

Anhand dieses Auszugs schließe ich ebenfalls, dass es nicht möglich ist, per TS einen auf dem File-Server freigegebenen passwortgeschützten Ordner zu unlocken.
Mitglied: DerWoWusste
DerWoWusste 06.08.2014 um 15:13:10 Uhr
Goto Top
Nun, das hat ja nun gar nichts mit Terminalservern zu tun, sondern gilt gleichermaßen für jede Art PC.
Mitglied: mr-wolfe
mr-wolfe 30.07.2015 um 14:15:44 Uhr
Goto Top
Hallo Max,

eine gute Lösung, die Deine Anforderungen abdeckt, ist fideAS file enterprise von apsec: https://www.apsec.de/loesungen/fideas-file-enterprise/

Die Lauffähigkeit auf Terminalservern ist gewährleistet. Unter anderem setzt die Landesbank Baden-Württemberg die Software in einer Citrix-Farm ein: http://www.apsec.de/media/successstory/success-story_fideAS-file-enterp ...

Ich kenne das Produkt gut, ich kann es nur empfehlen. Wenn Du Fragen dazu hast, frag.

Grüße,

Mr Wolfe