弊社の社員から、ローカルの Windows 2003 ファイル サーバーに公開されている共有フォルダーの一部を暗号化するように依頼がありました。要件は次のとおりです。
- ファイルを暗号化して、ユーザーまたはグループだけが開けるようにする
- パスワードで保護されたファイルは避けてください。暗号化プロセスはユーザーにとって透明である必要があります。
- ファイルは暗号化されているが、バックアップソフトウェア(BackupExec)は検証のためにバイナリをコピーしてアクセスできる必要がある。
- ユーザーのPCにツールやソフトウェアをインストールできないため、自動的に動作することを望んでいます
当社はサーバー管理の経験がほとんどないため、ご助力やご提案をいただければ幸いです。
答え1
フォルダーへの管理者権限を剥奪します。その後、管理者は所有権を取得して権限をリセットしない限り、ディレクトリを表示できなくなります (これは監査で記録できます)。バックアップ オペレーター グループはすべてにアクセスできます。このパスワードは覚えにくく、記録されないものに設定されていることを確認してください (再度、パスワードのリセットとこのグループのメンバーシップの変更を監査します)。ファイルの暗号化を有効にして、他のユーザーからバックアップを保護します。
結局のところ、管理者は多少の努力でシステム上のあらゆるファイルを見ることができます。証明書を使ってもです。なぜなら、管理者はユーザーの PC にアクセスしてファイルを取得したり、キーロガーをインストールしたり、バックアップから別の場所に復元したり、権限をリセットしたりできるからです。また、共有パスワードは、秘密のままに保たれることはあまりありません。ファイルを隠すために多大な努力をすると、通常、ユーザーはパスワードを忘れてしまい、データから永久に締め出されてしまいます。さらに、ユーザーは IT について十分な知識がないため、管理者がいつ予防策を回避できたかを知ることができません。
結局のところ、他の従業員や会社の資産/資金と同様に、データの機密性については管理者を信頼する必要があります。本当に重要なデータは常に CD/DVD/フラッシュに保存し、物理的に保護することができます。
答え2
PGP Netshare または SecurStar Sharecrypt を試すことができます。
お客様の要件を満たす限り、私の知る限り、どちらのソリューションでも次のことが可能なはずです。
- ファイルは共有フォルダ上で暗号化されます
- 個々のファイルにパスワード保護は必要ありません。ただし、共有フォルダ全体を復号化するにはアクセスが必要になる場合があります。
- バックアップソフトウェアは暗号化されたデータのみをバックアップする可能性が高い。これは利点であり、バックアップテープが紛失しても誰もデータにアクセスできない。
- エンドユーザーの PC にソフトウェアを一度インストールする必要があります。その後は、ローカル管理者権限は必要ありません。