企業スペース内のネットワークフォルダーの透過的な暗号化。 Cyber\u200b\u200bSafe Top Secretによる透過的なLAN暗号化
)企業はさまざまな距離で迅速かつ便利な情報交換を行うことができます。 それにもかかわらず、企業環境における情報の保護は今日でも重要な課題であり、さまざまな分野の小企業、中企業、大企業の経営者の心を心配しています。 さらに、会社の規模に関係なく、経営陣にとっては、ほとんどの場合、従業員の機密情報へのアクセス権を重要度に基づいて区別する必要があります。
この記事では、 透過的な暗号化 企業環境で情報を保護する最も一般的な方法の1つとして、複数のユーザーの暗号化の一般原則(複数の公開キーを使用した暗号化)を検討し、プログラムを使用してネットワークフォルダーの透過的な暗号化を構成する方法についても説明します。
透過的な暗号化の利点は何ですか?
仮想暗号化ディスクまたはフルディスク暗号化機能の使用は、ユーザーのローカルコンピューター上で非常に正当化されますが、企業スペースでは、より適切なアプローチを使用することです 透過的な暗号化、この機能は、複数のユーザーに対して同時に分類されたファイルを迅速かつ便利に処理するためです。 ファイルを作成および編集するとき、暗号化および復号化のプロセスは「オンザフライ」で自動的に行われます。 セキュリティで保護されたドキュメントを操作するために、会社の従業員は暗号化スキルを持っている必要はありません。秘密ファイルを解読または暗号化するために追加のアクションを実行する必要はありません。機密文書の処理は、標準のシステムアプリケーションを使用して通常の方法で行われます。 暗号化を設定し、アクセス権を区切るためのすべての機能を、システム管理者などの1人に割り当てることができます。
複数の公開キー暗号化とデジタルエンベロープ
透過的暗号化は次のように機能します。 ファイルを暗号化するために、ランダムに生成された対称セッションキーが使用され、ユーザーの非対称公開キーによって保護されます。 ユーザーがファイルに変更を加えるためにファイルにアクセスすると、透過的暗号化ドライバーはユーザーのプライベート(プライベート)キーを使用して対称キーを解読し、対称キーを使用してファイル自体を解読します。 透過的な暗号化の仕組みの詳細は、で説明されています。しかし、複数のユーザーがいて、分類されたファイルがローカルPCではなく、リモートサーバーのフォルダーに保存されている場合はどうでしょうか。 結局、暗号化されたファイルはまったく同じですが、各ユーザーは独自の一意のキーペアを持っています。
この場合、いわゆる デジタル封筒.
この図からわかるように、デジタルエンベロープには、ランダムに生成された対称キーを使用して暗号化されたファイルと、各ユーザーの開いている非対称キーで保護されたこの対称キーのコピーが含まれています。 保護されたフォルダーへのアクセスが許可されているユーザーと同数のコピーがあります。
透過的暗号化ドライバーは次のように機能します。ユーザーがファイルにアクセスすると、ユーザーは自分の証明書(公開キー)が許可されたもののリストにあるかどうかを確認します。 その場合、公開キーを使用して暗号化された正確なキーは、このユーザーの秘密キーを使用して復号化されます。 このユーザーが証明書リストにない場合、アクセスは拒否されます。
Cyber\u200b\u200bSafeによるネットワークフォルダーの暗号化
システム管理者は、Cyber\u200b\u200bSafeを使用して、特定の暗号化フォルダーへのユーザーアクセスを制御するなどの追加のデータ保護プロトコルを使用することなく、ネットワークフォルダーの透過的な暗号化を構成できます。機密情報へのアクセスを許可する各ユーザーに透過的な暗号化を設定するには、Cyber\u200b\u200bSafeをコンピューターにインストールし、個人証明書を作成し、公開鍵をCyber\u200b\u200bSafe公開鍵サーバーに公開する必要があります。
次に、リモートサーバーのシステム管理者が新しいフォルダーを作成し、Cyber\u200b\u200bSafeに追加し、将来このフォルダー内のファイルを操作できるユーザーにキーを割り当てます。 もちろん、必要な数のフォルダーを作成し、重要度の異なるフォルダーに機密情報を保存できます。システム管理者は、フォルダーにアクセスできるユーザーからいつでもユーザーを削除したり、新しいフォルダーを追加したりできます。
簡単な例を考えてみましょう。
ABCエンタープライズファイルサーバーは、重要度の異なる機密情報を含む3つのデータベース(DSP、Secret、Top Secret)を格納します。 アクセスを提供する必要があります:ユーザーIvanov、Petrov、NikiforovのDB1、PetrovとSmirnovのDB2、SmirnovとIvanovのDB3。
これを行うには、任意のネットワークリソースであるファイルサーバーで、データベースごとに3つの個別のフォルダーを作成し、対応するユーザーの証明書(キー)をこれらのフォルダーに割り当てる必要があります。
もちろん、これまたはアクセス権の差別化を伴う同様のタスクは、Windowsの助けを借りて解決できます。 ただし、この方法は、社内の従業員のコンピューターに対するアクセス権を区別する場合にのみ有効です。 それ自体では、ファイルサーバーへのサードパーティ接続の場合に機密情報を保護せず、データを保護するための暗号化の使用が単に必要です。
また、ファイルシステムのセキュリティ設定によるすべての設定は、コマンドラインを使用してリセットできます。 Windowsには、calcsと呼ばれる特別なツールがあります。これを使用して、ファイルやフォルダーのアクセス許可を表示したり、それらをリセットしたりできます。 Windows 7では、このコマンドは「icacls」と呼ばれ、次のように実行されます。
1.管理者権限を持つコマンドプロンプトで、「cmd」と入力します。
2.ディスクまたはパーティションに移動します。例:CD / D D:
3.すべての権限をリセットするには、icacls * / T / Q / C / RESETと入力します
icaclsが初めて動作しない可能性があります。 次に、ステップ2の前に、次のコマンドを実行する必要があります。
その後、以前に設定したファイルとフォルダーのアクセス許可はリセットされます。
あなたはに基づいてシステムを作成することができます 仮想暗号ディスクとACL (組織で暗号ディスクを使用する場合のこのようなシステムについての詳細は書かれています。) ただし、暗号ディスク上のデータに従業員が絶えずアクセスできるようにするため、管理者は1日を通して接続(マウント)を維持する必要があるため、このようなシステムも脆弱です。これにより、接続中に攻撃者が接続された場合、暗号ディスクの機密情報が侵害されます サーバーに接続できるようになります。
暗号化が組み込まれたネットワークドライブでも、誰も操作していないときにのみデータ保護が提供されるため、問題は解決しません。 つまり、内蔵の暗号化機能は、ドライブ自体が盗難された場合にのみ、機密データが危険にさらされるのを防ぐことができます。
ファイルの暗号化/復号化はファイルサーバー上ではなく、 ユーザー側で。 したがって、機密ファイルは暗号化された形式でのみサーバーに保存されます。これにより、攻撃者がファイルサーバーに直接接続した場合に機密ファイルが侵害される可能性がなくなります。 透過的な暗号化で保護されたフォルダーに保存されたサーバー上のすべてのファイルは暗号化され、確実に保護されます。 同時に、ユーザーとアプリケーションは、それらを通常のファイル(メモ帳、Word、Excel、HTMLなど)として認識します。アプリケーションは、これらのファイルを直接読み書きする手順を実行できます。 暗号化されているという事実は、それらに対して透過的です。
非アクセスユーザーもこれらのファイルを見ることができますが、それらを読み取ったり変更したりすることはできません。 これは、システム管理者がいずれかのフォルダ内のドキュメントにアクセスできない場合でも、ドキュメントをバックアップできることを意味します。 もちろん、すべてのバックアップファイルも暗号化されます。
ただし、ユーザーが自分のコンピューターで作業するためにファイルの1つを開くと、不要なアプリケーションがそのファイルにアクセスする可能性があります(もちろん、コンピューターが感染している場合)。 これを防ぐために、Cyber\u200b\u200bSafeは追加のセキュリティ対策として存在します。これにより、システム管理者は保護されたフォルダーのファイルにアクセスできるプログラムのリストを決定できます。 信頼できるリストに含まれていない他のアプリケーションはすべてアクセスできないため、スパイウェア、ルートキット、その他のマルウェアの機密情報へのアクセスを制限します。
暗号化されたファイルのすべての作業はユーザー側で実行されるため、これはCyber\u200b\u200bSafeがファイルサーバーにインストールされておらず、企業スペースで作業している場合、プログラムを使用して、NTFSファイルシステムなどのネットワークストレージ上の情報を保護できることを意味します 暗号化された形式のすべての機密情報はそのようなリポジトリにあり、Cyber\u200b\u200bSafeは暗号化されたファイルにアクセスするユーザーのコンピューターにのみインストールされます。
これはTrueCryptや、ファイルの物理的な保存場所にインストールする必要がある他の暗号化プログラムに対するCyber\u200b\u200bSafeの利点です。つまり、ネットワークドライブではなくパーソナルコンピューターのみをサーバーとして使用できます。 もちろん、企業や組織でのネットワークストレージの使用は、従来のコンピューターを使用するよりもはるかに便利で正当です。
したがって、Cyber\u200b\u200bSafeを追加ツールなしで使用すると、貴重なファイルの効果的な保護を編成し、暗号化されたネットワークフォルダーで便利な作業を提供し、機密情報へのユーザーアクセス権を区別することもできます。
TrueCryptの開発が終了した後、暗号化とプライバシーの愛好家の軍隊(何度も言ったように、すべてのITスペシャリストは長い間メンバーである必要があります)は、価値ある代替手段を求めてインターネットをサーフィンし始めました。 この記事のフレームワークでは、国内メーカーのCyber\u200b\u200bSafe Top Secretというオープンソースプロジェクトを興味深い場所で検討します。
警告
すべての情報は情報提供のみを目的として提供されています。 編集者も著者も、この記事の資料によって引き起こされる可能性のある損害について責任を負いません。バージョンとライセンスポリシー
プログラムの変更の範囲には、無料、高度、プロフェッショナル、究極、およびエンタープライズが含まれます。 Cyber\u200b\u200bSafeの無料版はDES暗号化アルゴリズムを使用します(AESやBlowfishと比較すると、暗号化アルゴリズムではなく単なるふるいです)。このバージョンは参照専用です。 プログラムの主な機能、すなわちファイル/パーティション/コンテナの暗号化、透過ファイル暗号化、およびその中のクラウドファイル暗号化は制限されており、他のすべては利用できません。 無料版のパスワードの長さとキーの長さ(4文字と64ビット)にも、多くの要望があります。 cybersafesoft.com/cstopsecret.zipから無料版をダウンロードできますが、インストール後、フルバージョンを有効にするか(これは[ヘルプ]メニューから実行できます)、削除する必要があります。DESアルゴリズムと4文字のパスワードの組み合わせによりプログラムが使用できなくなるためです 。
個人的な使用については、私の意見では、専門的な変更で十分です。 Advancedとは異なり、Professionalは透過的なファイル暗号化をサポートし、公開キーの長さは2倍の長さです(Advancedでは2048ビット)。 残りの主要な暗号化機能は同じです-パスワードの長さ16文字、AESアルゴリズム、キーの長さ256ビット。
1台ではなく2台のコンピューターを保護する必要がある場合は、Ultimateを選択する必要があります。 20ドル以上の費用がかかりますが、ボーナスとして、無制限のパスワード長、公開キー長8192ビット、2要素認証、およびキー長448ビットのBlowfishアルゴリズムを取得できます。 Ultimateは、フォルダーの非表示とネットワークフォルダーの保護もサポートしています。
最も完全なバージョンはエンタープライズです。 最大10個のシステム(企業にとっては十分ではありませんが、ライセンスポリシーでは十分ですが)を保護でき、企業クラウド暗号化(Ultimateのようなクラウド暗号化だけでなく)をサポートし、ネットワークユーザーの数も制限しません。 他の暗号化機能はUltimateに似ています:448ビットのキー長、8192ビットの公開キー長、無制限のパスワード長を持つBlowfish。
最も完全なバージョンは私の毛むくじゃらの足に落ちたので、すべてのイラストは彼女に対応します。
AESとBlowfishのどちらが良いですか?
どちらのアルゴリズムも優れています。 両方のラック。 ただし、AESアルゴリズムの最大キー長は256ビットであり、Blowfishは448であり、Blowfishはより高速であると見なされるため、プログラムの最大変更で使用されます。
プログラムのインストール
まず最初に、プログラムのインストールについていくつかお話したいと思います。 まず、プログラムはWindowsの実際に使用されるすべてのバージョン(XP / 2003 / Vista / 7/8)をサポートします。 したがって、まだXPを使用していて、ひげを生やしている場合は、この特定のプログラムのために、「7」または「8」に切り替える必要はありません。 次に、管理者権限でのみインストールプログラムを実行する必要があります。そうしないと、インストールの最終段階でエラーと長いログが表示されます。
第三に、プログラムを起動するときに、Cyber\u200b\u200bSoft CA証明書を追加する必要があります(図1)。 つまり、「はい」ボタンをクリックします。そうしないと、Cyber\u200b\u200bSafeルート証明書がインストールされず、電子メールクライアントで電子メール暗号化を構成できなくなります。 私たちの雑誌の典型的な読者はタフな人であり、そのような詳細な説明を見るのは彼にとって何らかの不快感を覚えますが、それぞれに関連する記事ができるだけ詳細に書かれることを心から願っています。 突然、あなたはこの記事を雑誌から切り取り、妹に教えて、最終的に彼女が親密な写真を暗号化することを学ぶことにしましたか? 🙂
プログラムを使用する
このプログラムには多くの機能があり、1つの記事ではすべてを検討するのに十分ではないことは明らかです。 図 2は、フルバージョンをインストールしてアクティブにした直後のメインプログラムウィンドウを示しています。
「鍵と証明書」セクションでは、アプリケーションを使用するプロセスで作成できる鍵と証明書を管理できます。 「ファイル暗号化」セクションは、ファイルとフォルダーの暗号化/復号化に使用されます。 ファイルを個人用に暗号化することも、別のユーザーに転送することもできます。 セクション「メール デジタル署名」は、(驚くべきことに!)電子デジタル署名を扱うために使用されます。 「ディスク暗号化」セクションは、パーティションを暗号化し、仮想ディスクを作成するためのものです。
プログラムを使用するためのいくつかのオプションがあります。 最初のオプションは、暗号化されたファイルを転送することです。 「ファイルの暗号化-\u003e転送の暗号化」セクションで、別のユーザーに転送するために個々のファイルを暗号化できます。 2番目のオプションは、個人使用のための透過的なファイル暗号化です。 3番目は、パーティション全体の暗号化または仮想ディスクの作成です。
最初のオプションを使用すると、すべてが明確になります。そのようなニーズがある場合、プログラムは可能な限り最善の方法でそれに対処します。 2番目のオプションは、まだXPを使用している場合、論争があり正当化されます。 BitLocker暗号化はすでにG7およびG8に組み込まれているため、このプログラムのProバージョンに75ドルを寄付することは、少なくとも奇妙で経済的に正当化されません。 BitLockerがサポートされていないこれらのシステムの新しいバージョンがない限り。 ただし、BitLocker、TrueCrypt、およびTop Secret 2に関する関連ボックスを必ずお読みください。
しかし、3番目のオプションは非常に魅力的です。 今年、Windows XPのサポートが終了したため、TrueCryptの開発は中止されました。 私にとって、それは暗号化の世界におけるベンチマークでした。 そして、この方法で使用しました。暗号化された仮想ディスクをUSBフラッシュドライブのサイズで作成し(必要に応じてコピーできるように)、暗号化されたファイルが必要なときにのみマウントしました。 現在、TrueCryptの開発は中止されており、その使用は安全ではないと見なされています。 その中に見つかったギャップは、誰によっても修正されません。 興味のある方は、このページに慣れてください。
したがって、TrueCryptを置き換えるプログラムが必要でした。 彼女は現在、Cyber\u200b\u200bSafe Top Secretになっているようです。
それでは、暗号化された仮想ディスクの作成方法と使用方法を見てみましょう。 「仮想ディスク」セクション(図3)に移動し、「作成」ボタンをクリックします。 表示されるウィンドウで、仮想ディスクファイルの名前を入力します(図4)。 このディスクを別のシステムに転送する必要がある場合は、このファイルをコピーして、[作成]ボタンの代わりに[開く]ボタンを使用して仮想ディスクファイルを開きます。
少し待つと、仮想ディスクがリストに表示されます(図6)。 仮想ディスクはまだマウントされていないため、システムで使用できません。 それを選択し、「マウント」ボタンをクリックします。 その後、新しいディスクの文字を選択し(図7)、作成時に指定したパスワードを入力する必要があります(図8)。
その後、ディスクのステータスが「マウント済み」に変更され、作成されたディスクがエクスプローラーに表示されます(図9)。 仮想ディスクを使用すると、通常のディスクと同様に作業できます。つまり、自動的に暗号化されるファイルをコピーできます。 ファイルを仮想ディスクから通常のディスクに移動すると、ファイルは自動的に復号化されることに注意してください。
仮想ディスクでの作業を完了するには、プログラムウィンドウに戻り、それを選択して[解体]ボタンをクリックすることをお勧めします。 したがって、すべてのバッファがフラッシュされ、すべての情報が保存されることを確認してください。 プログラムの最後に、マウントされたドライブはすべて自動的にアンマウントされますが、このプロセスを明示的に制御することをお勧めします。
BitLocker、TrueCrypt、およびTop Secret 2について
私はTrueCryptプログラムが本当に好きだったので、Cyber\u200b\u200bSafe Top Secret 2と比較しないことに抵抗できませんでした。AESアルゴリズムを使用しているため、両方のプログラムは同等に信頼できます。 ただし、Cyber\u200b\u200bSafe Top Secret 2のコードは完全に開いていませんが、TrueCryptのソースコードは開いていることに注意してください。 プログラム自体のソースコードは、分析のためにサイトで入手でき、開発者サイトのメインページにリンクがあります。 https://subversion.assembla.com/svn/cybersafe-encryption-library/を再度お届けします。
ただし、プログラムにはソースコードが閉じられているいくつかのドライバー(NtKernel、AlfaFile)が含まれています。 ただし、完全にクローズされたソースコードを持つプログラムよりも優れています。
ところで、なぜTrueCrypt開発は終了したのですか? 開発者は常にプロプライエタリなBitLockerをrid笑してから、それへの切り替えを推奨していたため、プロジェクトを終了する唯一の重要な理由は開発者へのプレッシャーだったと思われます。 現時点では、TrueCryptのどのバージョンも明らかに侵害されていないため、ハッキングのためにプロジェクトが終了する可能性は低いと考えています。
Cyber\u200b\u200bSafe Mobile:Androidアプリ
最近、モバイルデバイス上のデータの暗号化がますます重要になっています。 Androidデバイスは、モバイルデバイスの中で最も人気があります。 そのようなデバイスのためだけに、Cyber\u200b\u200bSafe Mobileプログラムが設計されています。 Cyber\u200b\u200bSafe Mobileで作成されたコンテナは、Cyber\u200b\u200bSafe Top Secretで使用でき、その逆も可能です。 アプリケーションリンク:https://play.google.com/store/apps/details?id\u003dcom.cybersafesoft.cybersafe.mobile
結論
私にとって、Cyber\u200b\u200bSafe Top Secret 2はTrueCryptの代わりになりました。 少なくともしばらくの間、このプログラムは開発者によってサポートされるか、より良いものが見つかるまで。 暗号化された仮想ディスクを作成するために必要な機能を完全に実行し、さらに追加の機能を提供します。 多くのユーザーは、暗号化されたファイルを送信したり、証明書や電子デジタル署名を操作したりすると便利だと思うでしょう。 プログラムのインターフェースはシンプルで直感的であるため、この記事では考慮していませんが、残りの機能の使用に問題はないと思います。
)企業はさまざまな距離で迅速かつ便利な情報交換を行うことができます。 それにもかかわらず、企業環境における情報の保護は今日でも重要な課題であり、さまざまな分野の小企業、中企業、大企業の経営者の心を心配しています。 さらに、会社の規模に関係なく、経営陣にとっては、ほとんどの場合、従業員の機密情報へのアクセス権を重要度に基づいて区別する必要があります。
この記事では、 透過的な暗号化 企業環境で情報を保護する最も一般的な方法の1つとして、複数のユーザーの暗号化の一般原則(複数の公開キーを使用した暗号化)を検討し、Cyber\u200b\u200bSafe Files Encryptionを使用してネットワークフォルダーの透過的な暗号化を設定する方法についても説明します。
透過的な暗号化の利点は何ですか?
仮想暗号化ディスクまたはフルディスク暗号化機能の使用は、ユーザーのローカルコンピューター上で非常に正当化されますが、企業スペースでは、より適切なアプローチを使用することです 透過的な暗号化、この機能は、複数のユーザーに対して同時に分類されたファイルを迅速かつ便利に処理するためです。 ファイルを作成および編集するとき、暗号化および復号化のプロセスは「オンザフライ」で自動的に行われます。 セキュリティで保護されたドキュメントを使用するために、会社の従業員は暗号化スキルを持っている必要はありません。秘密ファイルを解読または暗号化するために追加のアクションを実行する必要はありません。
機密文書の処理は、標準のシステムアプリケーションを使用した通常の方法で行われます。 暗号化を設定し、アクセス権を区切るためのすべての機能は、システム管理者などの1人に割り当てることができます。
複数の公開キー暗号化とデジタルエンベロープ
透過的暗号化は次のように機能します。 ファイルを暗号化するために、ランダムに生成された対称セッションキーが使用され、ユーザーの非対称公開キーによって保護されます。 ユーザーがファイルに変更を加えるためにファイルにアクセスすると、透過的暗号化ドライバーはユーザーのプライベート(プライベート)キーを使用して対称キーを解読し、対称キーを使用してファイル自体を解読します。 透過的暗号化の仕組みの詳細については、前のトピックで説明しました。
しかし、複数のユーザーがいて、分類されたファイルがローカルPCではなく、リモートサーバーのフォルダーに保存されている場合はどうでしょうか。 結局、暗号化されたファイルはまったく同じですが、各ユーザーは独自の一意のキーペアを持っています。
この場合、いわゆる デジタル封筒.
図からわかるように、デジタルエンベロープには、ランダムに生成された対称キーと、各ユーザーの開いている非対称キーで保護されたこの対称キーのコピーを使用して暗号化されたファイルが含まれています。 保護されたフォルダーへのアクセスが許可されているユーザーと同数のコピーがあります。
透過的暗号化ドライバーは次のように機能します。ユーザーがファイルにアクセスすると、ユーザーは自分の証明書(公開キー)が許可されたもののリストにあるかどうかを確認します。 その場合、公開キーを使用して暗号化された正確なキーは、このユーザーの秘密キーを使用して復号化されます。 このユーザーが証明書リストにない場合、アクセスは拒否されます。
Cyber\u200b\u200bSafeによるネットワークフォルダーの暗号化
システム管理者は、Cyber\u200b\u200bSafeを使用して、IPSecやWebDAVなどの追加のデータ保護プロトコルを使用せずにネットワークフォルダーの透過的な暗号化を構成し、1つまたは別の暗号化フォルダーへのユーザーアクセスをさらに制御できます。
機密情報へのアクセスを許可する各ユーザーに透過的な暗号化を設定するには、Cyber\u200b\u200bSafeをコンピューターにインストールし、個人証明書を作成し、公開鍵をCyber\u200b\u200bSafe公開鍵サーバーに公開する必要があります。
次に、リモートサーバーのシステム管理者が新しいフォルダーを作成し、Cyber\u200b\u200bSafeに追加し、将来このフォルダー内のファイルを操作できるユーザーにキーを割り当てます。 もちろん、必要な数のフォルダーを作成し、重要度の異なるフォルダーに機密情報を保存できます。システム管理者は、フォルダーにアクセスできるユーザーからいつでもユーザーを削除したり、新しいフォルダーを追加したりできます。
簡単な例を考えてみましょう。
ABCエンタープライズファイルサーバーは、重要度の異なる機密情報を含む3つのデータベース(DSP、Secret、Top Secret)を格納します。 アクセスを提供する必要があります:ユーザーIvanov、Petrov、NikiforovのDB1、PetrovとSmirnovのDB2、SmirnovとIvanovのDB3。
これを行うには、任意のネットワークリソースであるファイルサーバーで、データベースごとに3つの個別のフォルダーを作成し、対応するユーザーの証明書(キー)をこれらのフォルダーに割り当てる必要があります。
もちろん、これまたはアクセス権の差別化を伴う同様のタスクは、Windows ACLの助けを借りて解決できます。 ただし、この方法は、社内の従業員のコンピューターに対するアクセス権を区別する場合にのみ有効です。 それ自体では、ファイルサーバーへのサードパーティ接続の場合に機密情報を保護せず、データを保護するための暗号化の使用が単に必要です。
また、ファイルシステムのセキュリティ設定によるすべての設定は、コマンドラインを使用してリセットできます。 Windowsには、calcsと呼ばれる特別なツールがあります。これを使用して、ファイルやフォルダーのアクセス許可を表示したり、それらをリセットしたりできます。 Windows 7では、このコマンドは「icacls」と呼ばれ、次のように実行されます。
1.管理者権限を持つコマンドプロンプトで、「cmd」と入力します。
2.ディスクまたはパーティションに移動します。例:CD / D D:
3.すべての権限をリセットするには、icacls * / T / Q / C / RESETと入力します
icaclsが初めて動作しない可能性があります。 次に、ステップ2の前に、次のコマンドを実行する必要があります。
その後、以前に設定したファイルとフォルダーのアクセス許可はリセットされます。
あなたはに基づいてシステムを作成することができます 仮想暗号ディスクとACL (組織で暗号ディスクを使用する場合のこのようなシステムについての詳細は書かれています。) ただし、暗号ディスク上のデータに従業員が絶えずアクセスできるようにするため、管理者は1日を通して接続(マウント)を維持する必要があるため、このようなシステムも脆弱です。これにより、接続中に攻撃者が接続された場合、暗号ディスクの機密情報が侵害されます サーバーに接続できるようになります。
暗号化が組み込まれたネットワークドライブでも、誰も操作していないときにのみデータ保護が提供されるため、問題は解決しません。 つまり、内蔵の暗号化機能は、ドライブ自体が盗難された場合にのみ、機密データが危険にさらされるのを防ぐことができます。
2016年2月4日、木、午前11時49分、モスクワ時間、テキスト:Pavel Prytula
透過ディスク暗号化システムはハイテクハイテク製品であり、その開発とサポートは非\u200b\u200b常に限られた企業の範囲内にあります。 しかし、彼らの主な機能-機密情報の漏洩のリスクを減らす-は、うまく機能します。
重要なデータ漏洩リスクの管理方法で説明したように、企業は機密情報漏洩のリスクを絶えず削減することを余儀なくされています。 最も単純で比較的安価な方法は、透過的な暗号化システムの使用です。 透過的暗号化の主な利点は、ユーザーがプロセスに参加する必要がなく、すべてがバックグラウンドで実行されることです。
多くはシステムの要件に依存します。
一見したところ、市場にある透過的な暗号化システムには多くの共通点があります。すべて同じ問題を解決します。 しかし、ビジネスには常に固有の要件があります。 以下は最も関連性の高いもののリストです。
透過的な暗号化システムの要件
| № | 要件の説明 | |
|---|---|---|
| 1 | 暗号化強度 | セキュリティは、攻撃者が暗号化方法に気付いた場合でも、秘密が侵害されないようなものでなければなりません |
| 2 | 強力な暗号化アルゴリズム | 使用される暗号化アルゴリズムには、暗号解読者が利用できる弱点があってはなりません。 |
| 3 | キーの安全な使用 | 暗号化キーは、攻撃者がアクセスできないようにしてください。 暗号化キーの安全な使用の原則に従わない場合、システムが最も暗号化アルゴリズムを実装する場合でも、情報のセキュリティが危険にさらされる可能性があります |
| 4 | 暗号化の透明性 | 暗号化はユーザーに対して可能な限り透過的でなければなりません-操作中にデータを暗号化および復号化するプロセスに気付かない |
| 5 | 許容誤差 | システムは、ランダムエラーや誤ったユーザーアクションに対して可能な限り耐性がある必要があります。 |
| 6 | 多要素認証 | 保護されたデータにアクセスするためのユーザー権利の検証は、多要素認証に基づいて実装する必要があります |
| 7 | 緊急作業用の追加機能 | 緊急の状況では、サーバー機器への物理的なアクセスまたは押収の試みを認識すると、データへのアクセスの緊急終了の可能性は非常に有用な保護ツールになります。 |
| 8 | インサイダー保護 | システム管理者や技術者を含むシステムのすべてのユーザーは、会社のIBポリシーで規定されている権限の枠組み内でのみ物理ファイルシステムにアクセスできる必要があります。 |
暗号化アルゴリズムの信頼性と強度に関する最初の2つのポイントでは、暗号化サービスプロバイダーが製品が規制当局の要件を満たしていることを確認する必要があります。 ロシア連邦では、これはロシアのFSBによって認可された暗号プロバイダーからのソリューションで256ビットキー長のGOST 28147-89を使用することです。
システム管理者から身を守るには?
個人データに興味のある攻撃者も社内にいる可能性があります。 暗号化が救えない深刻な脅威は、会社の技術専門家とシステム管理者です。 しかし、これらすべてにより、彼らは、その義務により、各コンピューターのセキュリティを確保するシステムのパフォーマンスを監視する必要があります。
現在の厳しい経済状況では、システム管理者を含む多数の従業員は、企業情報をコピーして闇市場で販売したり、新しい仕事に応募する際の競合する候補者に対する追加の利点として望んでいます。 これにより、経営陣と会社の人員との関係が悪化します。
そのため、選択された透過的暗号化システムには、システム管理者からの保護のための一連の要件を実装するメカニズムが必要であり、ソリューション要件のリストにその位置があります。
仮想ファイルシステム-保護の重要なコンポーネント
それでは、クラス最高の透過的暗号化システムの基礎となるメカニズムは何ですか? 実際には、単純な式で表されます。情報の所有者のファイルは復号化された形式で、その他のすべてのファイルはキーにアクセスできない暗号化された形式でのみ利用可能です。 専門家はこの機能を「同時アクセス」と呼んでいます。
「しかし、Windowsがロシアの企業標準になりつつあるユーザーのコンピューターにインストールされている場合、「同時アクセス」を達成することは簡単な作業ではありません。 これは、Windowsの一貫性の効果によるものです。その中のファイルは、ファイルシステムに加えて、メモリマネージャーまたはキャッシュに独自のコピーを持つことができます。 したがって、ファイルの「同時存在」の問題を解決する必要があります。 イリヤ・シャビンスキー、ビジネス開発マネージャー、アラジンR.D. この問題は、「仮想ファイルシステム」(VFS)とファイルシステムドライバーフィルターの共同作業の助けを借りて独自の方法で解決されます。その操作スキームを以下に示します。
仮想ファイルシステム
出典:「アラジンR.D。」、2016年
図からわかるように、キャッシュマネージャーは、2つの異なるファイルで機能すると「考え」ます。 このため、VFSはファイル記述子の追加のペア構造を形成します。 特別なファイルシステムドライバーは、VFSでの暗号化されていないコピーの変更に続いて、実際のファイルシステムで暗号化されたファイルが常に更新されるようにします。 したがって、ディスク上のデータは常に暗号化されます。
ファイルへのアクセスを制限するために、ファイルシステムドライバーは、保護されたリソースにアクセスするときに、暗号化キーをRAMに読み込みます。 キー情報自体は、ユーザー証明書のキーペアによって保護され、暗号化ストアに保存されます。
その結果、許可されたユーザーは、復号化されたファイルを使用した仮想の1つのファイルシステムを見ることができます。
暗号化されたキーを復号化された形式で取得する能力を持たないシステム管理者およびその他の技術専門家は、実際の安全に暗号化されたファイルシステムで動作します。 同時に、たとえば、情報自体の機密性を侵害することなく暗号化された情報をバックアップするなど、公式の職務を正しく実行する機会もあります。 これは、インサイダーから情報を保護するという重要な要件を満たします。
多要素認証がなければ、リスクを減らすことはできません
ユーザーの多要素認証では、通常、トークンまたはスマートカードを使用してオペレーティングシステムを起動し、暗号化されたデータ(このユーザーの公開キー証明書と対応する秘密キーを保存するデバイス)にアクセスします。
暗号化キーを管理および保存するための集中型システムは、これらのキーの損失を防ぎます。これらは安全なサーバーに配置され、必要な場合にのみユーザーに送信されます。 会社は従業員のデータへのアクセスも制御し、いつでもそれを禁止することができます。 さらに、保護されたデータへのアクセスイベントを監視したり、フラッシュドライブなどに送信されるすべてのデータの暗号化を有効にしたりできます。
典型的な透明暗号化システムの構成
ネットワークテクノロジー(LAN、CAN、VPN)の普及により、企業はさまざまな距離で迅速かつ便利な情報交換を行うことができます。 それにもかかわらず、企業環境での情報の保護は今日でも重要な課題であり、さまざまな分野の小企業、中企業、大企業の管理者の心を心配しています。 さらに、会社の規模に関係なく、経営陣にとっては、ほとんどの場合、重要度に基づいて従業員の機密情報へのアクセス権を区別する必要があります。
この記事では、 透過的な暗号化 企業環境で情報を保護する最も一般的な方法の1つとして、複数のユーザーの暗号化の一般原則(複数の公開キーを使用した暗号化)を検討し、Cyber\u200b\u200bSafe Files Encryptionを使用してネットワークフォルダーの透過的な暗号化を設定する方法についても説明します。
透過的な暗号化の利点は何ですか?
仮想暗号化ディスクまたはフルディスク暗号化機能の使用は、ユーザーのローカルコンピューター上で非常に正当化されますが、企業スペースでは、より適切なアプローチを使用することです 透過的な暗号化、この機能は、複数のユーザーに対して同時に分類されたファイルを迅速かつ便利に処理するためです。 ファイルを作成および編集するとき、暗号化および復号化のプロセスは「オンザフライ」で自動的に行われます。 セキュリティで保護されたドキュメントを操作するために、会社の従業員は暗号化スキルを持っている必要はありません。秘密ファイルを解読または暗号化するために追加のアクションを実行する必要はありません。機密文書の処理は、標準のシステムアプリケーションを使用して通常の方法で行われます。 暗号化を設定し、アクセス権を区切るためのすべての機能を、システム管理者などの1人に割り当てることができます。
複数の公開キー暗号化とデジタルエンベロープ
透過的暗号化は次のように機能します。 ファイルを暗号化するために、ランダムに生成された対称セッションキーが使用され、ユーザーの非対称公開キーによって保護されます。 ユーザーがファイルに変更を加えるためにファイルにアクセスすると、透過的暗号化ドライバーはユーザーのプライベート(プライベート)キーを使用して対称キーを解読し、対称キーを使用してファイル自体を解読します。 透過的な暗号化の仕組みの詳細は、で説明されています。しかし、複数のユーザーがいて、分類されたファイルがローカルPCではなく、リモートサーバーのフォルダーに保存されている場合はどうでしょうか。 結局、暗号化されたファイルはまったく同じですが、各ユーザーは独自の一意のキーペアを持っています。
この場合、いわゆる デジタル封筒.
この図からわかるように、デジタルエンベロープには、ランダムに生成された対称キーを使用して暗号化されたファイルと、各ユーザーの開いている非対称キーで保護されたこの対称キーのコピーが含まれています。 保護されたフォルダーへのアクセスが許可されているユーザーと同数のコピーがあります。
透過的暗号化ドライバーは次のように機能します。ユーザーがファイルにアクセスすると、ユーザーは自分の証明書(公開キー)が許可されたもののリストにあるかどうかを確認します。 その場合、公開キーを使用して暗号化された正確なキーは、このユーザーの秘密キーを使用して復号化されます。 このユーザーが証明書リストにない場合、アクセスは拒否されます。
Cyber\u200b\u200bSafeによるネットワークフォルダーの暗号化
システム管理者は、Cyber\u200b\u200bSafeを使用して、IPSecやWebDAVなどの追加のデータ保護プロトコルを使用せずにネットワークフォルダーの透過的な暗号化を構成し、1つまたは別の暗号化フォルダーへのユーザーアクセスをさらに制御できます。機密情報へのアクセスを許可する各ユーザーに透過的な暗号化を設定するには、Cyber\u200b\u200bSafeをコンピューターにインストールし、個人証明書を作成し、公開鍵をCyber\u200b\u200bSafe公開鍵サーバーに公開する必要があります。
次に、リモートサーバーのシステム管理者が新しいフォルダーを作成し、Cyber\u200b\u200bSafeに追加し、将来このフォルダー内のファイルを操作できるユーザーにキーを割り当てます。 もちろん、必要な数のフォルダーを作成し、重要度の異なるフォルダーに機密情報を保存できます。システム管理者は、フォルダーにアクセスできるユーザーからいつでもユーザーを削除したり、新しいフォルダーを追加したりできます。
簡単な例を考えてみましょう。
ABCエンタープライズファイルサーバーは、重要度の異なる機密情報を含む3つのデータベース(DSP、Secret、Top Secret)を格納します。 アクセスを提供する必要があります:ユーザーIvanov、Petrov、NikiforovのDB1、PetrovとSmirnovのDB2、SmirnovとIvanovのDB3。
これを行うには、任意のネットワークリソースであるファイルサーバーで、データベースごとに3つの個別のフォルダーを作成し、対応するユーザーの証明書(キー)をこれらのフォルダーに割り当てる必要があります。
もちろん、これまたはアクセス権の差別化を伴う同様のタスクは、Windows ACLの助けを借りて解決できます。 ただし、この方法は、社内の従業員のコンピューターに対するアクセス権を区別する場合にのみ有効です。 それ自体では、ファイルサーバーへのサードパーティ接続の場合に機密情報を保護せず、データを保護するための暗号化の使用が単に必要です。
また、ファイルシステムのセキュリティ設定によるすべての設定は、コマンドラインを使用してリセットできます。 Windowsには、calcsと呼ばれる特別なツールがあります。これを使用して、ファイルやフォルダーのアクセス許可を表示したり、それらをリセットしたりできます。 Windows 7では、このコマンドは「icacls」と呼ばれ、次のように実行されます。
1.管理者権限を持つコマンドプロンプトで、「cmd」と入力します。
2.ディスクまたはパーティションに移動します。例:CD / D D:
3.すべての権限をリセットするには、icacls * / T / Q / C / RESETと入力します
icaclsが初めて動作しない可能性があります。 次に、ステップ2の前に、次のコマンドを実行する必要があります。
その後、以前に設定したファイルとフォルダーのアクセス許可はリセットされます。
あなたはに基づいてシステムを作成することができます 仮想暗号ディスクとACL (組織で暗号ディスクを使用する場合のこのようなシステムについての詳細は書かれています。) ただし、暗号ディスク上のデータに従業員が絶えずアクセスできるようにするため、管理者は1日を通して接続(マウント)を維持する必要があるため、このようなシステムも脆弱です。これにより、接続中に攻撃者が接続された場合、暗号ディスクの機密情報が侵害されます サーバーに接続できるようになります。
暗号化が組み込まれたネットワークドライブでも、誰も操作していないときにのみデータ保護が提供されるため、問題は解決しません。 つまり、内蔵の暗号化機能は、ドライブ自体が盗難された場合にのみ、機密データが危険にさらされるのを防ぐことができます。
Cyber\u200b\u200bSafeでは、ファイルの暗号化/復号化はファイルサーバーでは実行されませんが、 ユーザー側で。 したがって、機密ファイルは暗号化された形式でのみサーバーに保存されます。これにより、攻撃者がファイルサーバーに直接接続した場合に機密ファイルが侵害される可能性がなくなります。 透過的な暗号化で保護されたフォルダーに保存されたサーバー上のすべてのファイルは暗号化され、確実に保護されます。 同時に、ユーザーとアプリケーションは、それらを通常のファイル(メモ帳、Word、Excel、HTMLなど)として認識します。アプリケーションは、これらのファイルを直接読み書きする手順を実行できます。 暗号化されているという事実は、それらに対して透過的です。
非アクセスユーザーもこれらのファイルを見ることができますが、それらを読み取ったり変更したりすることはできません。 これは、システム管理者がいずれかのフォルダ内のドキュメントにアクセスできない場合でも、ドキュメントをバックアップできることを意味します。 もちろん、すべてのバックアップファイルも暗号化されます。
ただし、ユーザーが自分のコンピューターで作業するためにファイルの1つを開くと、不要なアプリケーションがそのファイルにアクセスする可能性があります(もちろん、コンピューターが感染している場合)。 これを防ぐために、Cyber\u200b\u200bSafeは追加のセキュリティ対策として存在します。これにより、システム管理者は保護されたフォルダーのファイルにアクセスできるプログラムのリストを決定できます。 信頼できるリストに含まれていない他のアプリケーションはすべてアクセスできないため、スパイウェア、ルートキット、その他のマルウェアの機密情報へのアクセスを制限します。
暗号化されたファイルのすべての作業はユーザー側で実行されるため、これはCyber\u200b\u200bSafeがファイルサーバーにインストールされておらず、企業スペースで作業している場合、プログラムを使用してWindows Storage ServerなどのNTFSファイルシステムでネットワーク接続ストレージの情報を保護できることを意味します。 暗号化された形式のすべての機密情報はそのようなリポジトリにあり、Cyber\u200b\u200bSafeは暗号化されたファイルにアクセスするユーザーのコンピューターにのみインストールされます。
これはTrueCryptや、ファイルの物理的な保存場所にインストールする必要がある他の暗号化プログラムに対するCyber\u200b\u200bSafeの利点です。つまり、ネットワークドライブではなくパーソナルコンピューターのみをサーバーとして使用できます。 もちろん、企業や組織でのネットワークストレージの使用は、従来のコンピューターを使用するよりもはるかに便利で正当です。
したがって、Cyber\u200b\u200bSafeを追加ツールなしで使用すると、貴重なファイルの効果的な保護を編成し、暗号化されたネットワークフォルダーで便利な作業を提供し、機密情報へのユーザーアクセス権を区別することもできます。