La gente de nuestra empresa solicitó cifrar algunas de las carpetas compartidas publicadas en un servidor de archivos local de Windows 2003. Los requisitos son:
- Cifre los archivos, de modo que solo un usuario o grupo o usuarios puedan abrirlos
- Evite archivos protegidos con contraseña. El proceso de cifrado debe ser transparente para los usuarios.
- Aunque los archivos están cifrados, el software de respaldo (BackupExec) debe poder copiar y acceder a archivos binarios para su verificación.
- No se pueden instalar herramientas/software en las PC de los usuarios, quieren que esto funcione automáticamente
Como tenemos muy poca experiencia en la gestión de servidores, estaremos agradecidos por cualquier ayuda o sugerencia ofrecida.
Respuesta1
Quite el permiso de administrador a la carpeta. Entonces no podrá ver el directorio sin tomar posesión y restablecer los permisos (que luego pueden registrarse en la auditoría). El grupo de operadores de respaldo tiene acceso a todo, asegúrese de que esta contraseña esté configurada en algo difícil de recordar y que no se registre (nuevamente audite los restablecimientos de contraseña + cambio de membresía de este grupo). Habilite el cifrado de los archivos para proteger las copias de seguridad de otros usuarios.
Al final del día, el administrador, con un poco de esfuerzo, puede ver cualquier archivo en el sistema, incluso usando certificados, porque puede ir a la PC del usuario y tomarlos o instalar keyloggers, restaurar desde copias de seguridad a otro lugar, restablecer permisos, etc. Y las contraseñas compartidas no suelen ser muy secretas. Lo que suele suceder cuando se hace tanto esfuerzo para ocultarles archivos es que el usuario olvida su contraseña y queda excluido de sus datos para siempre. Además, los usuarios no saben lo suficiente sobre TI como para saber cuándo un administrador podría haber eludido sus precauciones.
Al final del día, debe confiar en sus administradores la confidencialidad de los datos como lo hace con otros empleados y los activos/dinero de la empresa. Cualquier dato realmente vital siempre se puede almacenar en CD/DVD/Flash y proteger físicamente.
Respuesta2
Puedes probar PGP Netshare o SecurStar Sharecrypt.
En cuanto a cumplir con sus requisitos, que yo sepa, ambas soluciones deberían permitir:
- Los archivos se cifrarán en la carpeta compartida.
- Los archivos individuales no necesitarán protección con contraseña. Sin embargo, es posible que necesite acceso para descifrar toda la carpeta compartida.
- Es probable que el software de respaldo solo haga una copia de seguridad de los datos cifrados. Esto puede ser una ventaja, ya que incluso si se pierde una cinta de respaldo, nadie podrá acceder a sus datos.
- Necesitará instalar el software en las PC de los usuarios finales una vez. Entonces no deberían requerir derechos de administrador local.