15
Terminalserver-fähige Anwendung zur Datenverschlüsselung
Hallo Admins,
wir suchen derzeit eine Datenverschlüsselung, um sensible Daten (z.B. Daten der Geschäftsführung) vor zufälligem Datenzugriff zu schützen.
Wir haben selbstverständlich bereits Verzeichnisse, auf welche nur authorisierte Domain-Benutzer zugreifen dürfen.
Dennoch ist des von der Geschäftsführung gewünscht, dass solche Daten zusätzlich geschützt/verschlüsselt werden.
Ich habe nun schon einiges ausprobiert.
Am besten hat mir davon bisher die Software FolderGuard gefallen.
Mein Problem: Diese Software kann nicht auf Terminalservern genutzt werden.
Unsere aktuelle Infrastruktur:
1x Dateiserver Windows Server 2008 R2.
3x Terminalserver Windows Server 2008 R2.
?x Clients Windows 7.
Die Software muss auf jedem unserer drei Terminalserver installiert werden und jeder authorisierter Domain-Benutzer muss die Software verwenden können.
Die Anwendungen müssen die zentral auf dem Dateiserver liegenden Verzeichnisse/Dateien verschlüsseln/entschlüsseln können.
Hat mir jemand eine Empfehlung bzw. Erfahrung mit diesen Anforderungen?
Vielen Dank für eure Anregungen.
Grüße,
Max
wir suchen derzeit eine Datenverschlüsselung, um sensible Daten (z.B. Daten der Geschäftsführung) vor zufälligem Datenzugriff zu schützen.
Wir haben selbstverständlich bereits Verzeichnisse, auf welche nur authorisierte Domain-Benutzer zugreifen dürfen.
Dennoch ist des von der Geschäftsführung gewünscht, dass solche Daten zusätzlich geschützt/verschlüsselt werden.
Ich habe nun schon einiges ausprobiert.
Am besten hat mir davon bisher die Software FolderGuard gefallen.
Mein Problem: Diese Software kann nicht auf Terminalservern genutzt werden.
Unsere aktuelle Infrastruktur:
1x Dateiserver Windows Server 2008 R2.
3x Terminalserver Windows Server 2008 R2.
?x Clients Windows 7.
Die Software muss auf jedem unserer drei Terminalserver installiert werden und jeder authorisierter Domain-Benutzer muss die Software verwenden können.
Die Anwendungen müssen die zentral auf dem Dateiserver liegenden Verzeichnisse/Dateien verschlüsseln/entschlüsseln können.
Hat mir jemand eine Empfehlung bzw. Erfahrung mit diesen Anforderungen?
Vielen Dank für eure Anregungen.
Grüße,
Max
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 244811
Url: https://administrator.de/contentid/244811
Ausgedruckt am: 25.11.2024 um 19:11 Uhr
15 Kommentare
Neuester Kommentar
Schau Dir mal http://www.sophos.com/de-de/products/safeguard-encryption.aspx an.
Ich kenne das Produkt noch aus anderen Zeiten.
Falls Du es aber über die OpenSource-Schiene probieren willst:
VeraCrypt: https://veracrypt.codeplex.com/
DiskCryptor: https://diskcryptor.net
(beides brauchbare TrueCrypt-Ersatze)
Ich bin bei Ver- und Entschlüsselung über Netzwerk sehr vorsichtig. Da kann einiges schiefgehen.
Deswegen würde ich Dir einen verschlüsselten Container vorschlagen, der als Laufwerk auf dem Dateiserver eingehängt und als Freigabe angeboten
wird. Dadurch hast Du eine zusätzliche Verschlüsselung.
Wenn Du mit Microsoft Quasi-On-Board-Mitteln arbeiten willst, schau Dir Bitlocker an.
Der ist allerdings nicht in jeder Version drin. Windows 7 Enterprise auf Clientseite ist Minimum.
Das größte Problem mit Chiffraten ist immer das saubere Schließen.
Die Systeme behandeln dieses Problem unterschiedlich, aber ein Restrisiko bleibt.
Ich kenne das Produkt noch aus anderen Zeiten.
Falls Du es aber über die OpenSource-Schiene probieren willst:
VeraCrypt: https://veracrypt.codeplex.com/
DiskCryptor: https://diskcryptor.net
(beides brauchbare TrueCrypt-Ersatze)
Ich bin bei Ver- und Entschlüsselung über Netzwerk sehr vorsichtig. Da kann einiges schiefgehen.
Deswegen würde ich Dir einen verschlüsselten Container vorschlagen, der als Laufwerk auf dem Dateiserver eingehängt und als Freigabe angeboten
wird. Dadurch hast Du eine zusätzliche Verschlüsselung.
Wenn Du mit Microsoft Quasi-On-Board-Mitteln arbeiten willst, schau Dir Bitlocker an.
Der ist allerdings nicht in jeder Version drin. Windows 7 Enterprise auf Clientseite ist Minimum.
Das größte Problem mit Chiffraten ist immer das saubere Schließen.
Die Systeme behandeln dieses Problem unterschiedlich, aber ein Restrisiko bleibt.
Hallo beidermachtvongeryscull,
danke für die Info.
Ich werde mal die 30 Tage Test-Version von Sophos herunterladen und testen. Danke!
Ich informiere dann über das Ergebnis.
danke für die Info.
Ich werde mal die 30 Tage Test-Version von Sophos herunterladen und testen. Danke!
Ich informiere dann über das Ergebnis.
Ich kann hier die Folder Encryption von EgoSecure empfehlen (http://egosecure.com)
In meiner Serverlandschaft (FileServer, Citrix, SQL Server) sind auch die Daten mit deren Folder Encryption verschlüsselt.
Das gute ist, dass es am Client ver- und entschlüsselt.
Auf dem Server ist nichts installiert und wird auch nichts gemacht. Das spart dem Server Resourcen und macht es auch sicher, da Angreifer auf dem Server keine Möglichkeit zur Entschlüsselung haben.
Installation und Konfiguration war einfach. Habe bei mir keine Zertifikate gebraucht, da ich deren Built-In Keys nutze.
In meiner Serverlandschaft (FileServer, Citrix, SQL Server) sind auch die Daten mit deren Folder Encryption verschlüsselt.
Das gute ist, dass es am Client ver- und entschlüsselt.
Auf dem Server ist nichts installiert und wird auch nichts gemacht. Das spart dem Server Resourcen und macht es auch sicher, da Angreifer auf dem Server keine Möglichkeit zur Entschlüsselung haben.
Installation und Konfiguration war einfach. Habe bei mir keine Zertifikate gebraucht, da ich deren Built-In Keys nutze.
Tag mustangdriver,
ich hab mir mal gerade die Webseite von egosecure angeschaut.
"Verschlüsselung die Spaß macht" ist witzig, aber da ich keinerlei Preise auf der Webseite sehen konnte, nehme ich mal an, dass das Produkt
nicht ganz billig sein dürfte.
Kannst Du mir ne ungefähre Schiene nennen?
Danke.
ich hab mir mal gerade die Webseite von egosecure angeschaut.
"Verschlüsselung die Spaß macht" ist witzig, aber da ich keinerlei Preise auf der Webseite sehen konnte, nehme ich mal an, dass das Produkt
nicht ganz billig sein dürfte.
Kannst Du mir ne ungefähre Schiene nennen?
Danke.
Moin.
Ganz einfach: nimm EFS.
Wem das nicht sicher genug ist, den bitte ich zu bedenken, dass der, der in der Lage ist, EFS auszuhebeln, jederzeit auch einen Keylogger auf dem Chef-PC installieren könnte und somit Zugang zu den benötigten Kennwörten für Folderguard und Co. bekäme.
Ganz einfach: nimm EFS.
Wem das nicht sicher genug ist, den bitte ich zu bedenken, dass der, der in der Lage ist, EFS auszuhebeln, jederzeit auch einen Keylogger auf dem Chef-PC installieren könnte und somit Zugang zu den benötigten Kennwörten für Folderguard und Co. bekäme.
Unser Einkauf hat es in einem Bundle aus mehreren Sachen bezogen.
Vergleichsangebote waren aber teurer.
Frag doch mal bei denen nach.
Vergleichsangebote waren aber teurer.
Frag doch mal bei denen nach.
Hi,
ich habe mich heute einige Zeit mit dem Thema "BitLocker" beschäftigt.
Leider scheint das nicht ganz das passende zu sein, da in unserem Falle nur von einzelnen Domain-Benutzern (primär Geschäftsführung) einzelne Ordner verschlüsselt werden sollen.
Am besten sind diese dann nur für diese Domain-Benutzer sichtbar und auch nur von diesen Benutzern durch Eingabe eines Passworts entschlüsselbar.
Ebenso ist es sehr wichtig, dass während des verschlüsselten Zustands (Benutzer hat das Verzeichnis nicht durch Eingabe des Passworts geöffnet) das Verzeichnis durch unser Server-Backup (Symantec Backup Exec 2012) gesichert werden kann.
Hast du mir da auch noch einen Tipp, DerWoWusste?
Dankeschön!
ich habe mich heute einige Zeit mit dem Thema "BitLocker" beschäftigt.
Leider scheint das nicht ganz das passende zu sein, da in unserem Falle nur von einzelnen Domain-Benutzern (primär Geschäftsführung) einzelne Ordner verschlüsselt werden sollen.
Am besten sind diese dann nur für diese Domain-Benutzer sichtbar und auch nur von diesen Benutzern durch Eingabe eines Passworts entschlüsselbar.
Ebenso ist es sehr wichtig, dass während des verschlüsselten Zustands (Benutzer hat das Verzeichnis nicht durch Eingabe des Passworts geöffnet) das Verzeichnis durch unser Server-Backup (Symantec Backup Exec 2012) gesichert werden kann.
Hast du mir da auch noch einen Tipp, DerWoWusste?
Dankeschön!
Hi mustangdriver,
danke für den Tipp! Ich habe dort mal eine Anfrage gestellt. Mal schauen was raus kommt.
danke für den Tipp! Ich habe dort mal eine Anfrage gestellt. Mal schauen was raus kommt.
Ich verstehe Deine Einwände nicht. Verschlüsselung schützt gegen offline-Angriffe, sonst gegen nichts. Wenn Ihr online schützen wollt, dann frage ich Dich nach dem Sinn der zweiten Schutzschicht, damit ich das verstehe, musst Du es genauer erläutern.
Nebenbei: EFS ist jederzeit sicherbar. Sichtbar natürlich auch, aber die Sichtbarkeit kannst Du schon über das Feature "ABE" (Access based enumeration) also durch geeignete NTFS-Rechte ausblenden.
Nebenbei: EFS ist jederzeit sicherbar. Sichtbar natürlich auch, aber die Sichtbarkeit kannst Du schon über das Feature "ABE" (Access based enumeration) also durch geeignete NTFS-Rechte ausblenden.
Weitere Rückfrage: FolderGuard geht nicht auf einem Terminalserver? Laut FAQ wird es auf Servern unterstützt http://www.winability.com/folderguard/users-guide_system-requirements.h ... , speziell auf Terminalservern nicht? - hast Du das ausprobiert?
Hi,
ja genau das habe ich in den FAQ auch gelesen. Bei meinem Test, FolderGuard auf dem TS zu benutzen, habe ich jedoch immer und immer wieder Fehlermeldungen erhalten.
Ich habe mich mit diesen Meldungen an den Winability-Support gewendet und dabei angefragt, wie und ob es auf TS funktionieren kann.
Die Antwort war schlicht und konkret: "No, Folder Guard cannot do that, sorry."
ja genau das habe ich in den FAQ auch gelesen. Bei meinem Test, FolderGuard auf dem TS zu benutzen, habe ich jedoch immer und immer wieder Fehlermeldungen erhalten.
Ich habe mich mit diesen Meldungen an den Winability-Support gewendet und dabei angefragt, wie und ob es auf TS funktionieren kann.
Die Antwort war schlicht und konkret: "No, Folder Guard cannot do that, sorry."
Ein Terminalserver dürfte darauf keinen Einfluss haben. Sicher, dass Du sie richtig verstanden hast? Was waren das für Fehler?
Auszug aus den FAQ von Winability:
You can password protect a shared folder, but entering the password over the network to unlock it is not currently possible, it can only be unlocked from the same computer where the shared folder is physically located.
=> http://www.winability.com/folderguard/users-guide_faq.htm#faq-protect-s ...
Anhand dieses Auszugs schließe ich ebenfalls, dass es nicht möglich ist, per TS einen auf dem File-Server freigegebenen passwortgeschützten Ordner zu unlocken.
You can password protect a shared folder, but entering the password over the network to unlock it is not currently possible, it can only be unlocked from the same computer where the shared folder is physically located.
=> http://www.winability.com/folderguard/users-guide_faq.htm#faq-protect-s ...
Anhand dieses Auszugs schließe ich ebenfalls, dass es nicht möglich ist, per TS einen auf dem File-Server freigegebenen passwortgeschützten Ordner zu unlocken.
Nun, das hat ja nun gar nichts mit Terminalservern zu tun, sondern gilt gleichermaßen für jede Art PC.
Hallo Max,
eine gute Lösung, die Deine Anforderungen abdeckt, ist fideAS file enterprise von apsec: https://www.apsec.de/loesungen/fideas-file-enterprise/
Die Lauffähigkeit auf Terminalservern ist gewährleistet. Unter anderem setzt die Landesbank Baden-Württemberg die Software in einer Citrix-Farm ein: http://www.apsec.de/media/successstory/success-story_fideAS-file-enterp ...
Ich kenne das Produkt gut, ich kann es nur empfehlen. Wenn Du Fragen dazu hast, frag.
Grüße,
Mr Wolfe
eine gute Lösung, die Deine Anforderungen abdeckt, ist fideAS file enterprise von apsec: https://www.apsec.de/loesungen/fideas-file-enterprise/
Die Lauffähigkeit auf Terminalservern ist gewährleistet. Unter anderem setzt die Landesbank Baden-Württemberg die Software in einer Citrix-Farm ein: http://www.apsec.de/media/successstory/success-story_fideAS-file-enterp ...
Ich kenne das Produkt gut, ich kann es nur empfehlen. Wenn Du Fragen dazu hast, frag.
Grüße,
Mr Wolfe
