harich
Goto Top

SSDs mit SED (self-encrypt) im AD verwalten, Log-In per SmartCard

Moin moin,

ich habe jetzt schon 2 Tage gesucht und vieles gefunden, aber nie genau das was ich suche...
Daher wollte ich mal die Community fragen ob jemand schon mit irgendeinem Produkt gute Erfahrungen gemacht hat.

Wir möchten die PCs in unserer Domäne mit SSDs aufrüsten.
Zur gleichen Zeit soll die Sicherheit durch den Einsatz von SED (Self-Encryption-Devices) erhöht werden.

Jetzt gibt es nur einige Herausforderungen in unserem Netz:

1. Die PCs werden monatlich mit einem neuen Image per PXE/WDS betankt.
2. Die PCs werden jeden Sonntag per WOL geweckt, installieren dann Updates und machen einen AV Scan.
3. Viele PCs werden von meheren Mitarbeitern genutzt.
4. Jeder Mitarbeiter hat eine SmartCard und meldet sich damit an.

Jetzt also meine Frage:

Kann jemand (aus Erfahrung) eine Kombination von SSDs und Verwaltungssoftware empfehlen die unsere Voraussetzungen erfüllt?

Eine reine Auflistung der Google Suche hilft nicht viel weiter, das habe ich schon durch.
Leider sind die Produktbeschreibungen aber so sparsam oder unübersichtlich dass ich nicht definitiv sagen kann ob ein Produkt das alles kann...


Grüße
Hans-Heinrich

Content-Key: 240727

Url: https://administrator.de/contentid/240727

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: Chonta
Chonta 12.06.2014 um 16:17:13 Uhr
Goto Top
Hallo,

also die SEDs bieten genau für 3 Scenarien Schutz.

1.) Der Rechner wird geklaut

2.) Die Platte wird ausgebaut und geklaut.

3.) Die Platte ist Kaput und geht RMA oder wird zum Schrott gebracht und dort wird dann ein Versuch unternommen Datenzu klauen.

Ansonsten bringen die Teile nur Probleme wenn man z.B. mit einer RettungsCD noch versuchen will Daten zu sichern oder was reparieren will.

Wichtige Daten sollten auf Servern liegen und nicht auf der Workstation, die einzigen Clietrechner die sowas bekommen sollten wären Laptops.
Auf Servern kann der Einsatz evtl Sinn machen, aber wie ist da das Zusammenspiel mit RAID, HDD Mischbetireb etc?

Wenn eine Verschlüsselung vor dem Booten des Systems ein Passwort will, dann müsste dieses am Rechner eingegeben werden also müsste eine Option bestehen wo das Passwort entweder über die Netzwerkkarte mitgegeben wird (gibt es sowas überhaupt?) oder über bei Servern meist vorhandenen KVM-Management (also das über Netzwerk) und das müsste dann auch script gesteuert ablaufen können (schon eher aber ist mir nichts dergleichen bekannt)

Ansonsten Das System so einstellen das de SEDs nicht beim booten fragen und nur die Nutzdaten enthalten und das OS auf einer normalen SSD/HDD ist damit Wartung und neubetanken machbar ist.

Gruß

Chonta
Mitglied: DerWoWusste
DerWoWusste 12.06.2014 aktualisiert um 18:22:18 Uhr
Goto Top
Hi.

Ich würde gerne mal eins vornewegschicken: Selbstverschlüsselnde Platten haben (zumindest wenn in Desktoprechnern verwendet) einen bösen Nachteil: lässt man den Rechner angeschaltet, kann jede Putze kommen und Ihren Rechner daneben stellen, Dein SATA-Kabel von der Platte abziehen, ihr Sata-Kabel anschließen und Deine Daten im Klartext abzapfen.
Siehe Self-Encrypting Disks pose Self-Decrypting Risks

Das ist eine Designschwäche, die sich meines Wissens weiterhin bei SDEs zeigt. Kurzum: SEDs in Desktoprechnern ist sicherheitstechnisch fragwürdig.

Wenn Du nun anders denkst, kippt Dein ganzes Konzept.