Pessoas em nossa empresa solicitaram a criptografia de algumas das pastas compartilhadas publicadas em um servidor de arquivos local do Windows 2003. Os requisitos são:
- Criptografe os arquivos para que apenas um usuário ou grupo ou usuários possam abri-los
- Evite arquivos protegidos por senha. O processo de criptografia deve ser transparente para os usuários
- Embora os arquivos sejam criptografados, o software de backup (BackupExec) deve ser capaz de copiar e acessar o binário para verificação
- Não é possível instalar ferramentas/software nos PCs dos usuários, eles querem que isso funcione automaticamente
Como temos pouca experiência em gerenciamento de servidores, ficaremos gratos por qualquer ajuda ou sugestão oferecida.
Responder1
Remova a permissão de administrador da pasta. Ele não poderá então ver o diretório sem assumir a propriedade e redefinir as permissões (que podem então ser registradas na auditoria). O grupo de operadores de backup tem acesso a tudo, certifique-se de que esta senha esteja definida como algo difícil de lembrar e não registrada (novamente auditar redefinições de senha + mudança de membro deste grupo). Habilite a criptografia nos arquivos para proteger os backups de outros usuários.
No final das contas o administrador com algum esforço consegue ver qualquer arquivo do sistema, até mesmo usando certificados, pois ele pode entrar no pc do usuário e pegá-los ou instalar keyloggers, restaurar backups para outro lugar, redefinir permissões, etc. E as senhas compartilhadas nem sempre permanecem muito secretas. O que geralmente acontece quando você se esforça tanto para ocultar arquivos deles é que o usuário esquece sua senha e seus dados ficam bloqueados para sempre. Além disso, os usuários não têm conhecimento suficiente sobre TI para saber quando um administrador poderia ter contornado suas precauções.
No final das contas, você deve confiar a confidencialidade dos dados aos seus administradores, assim como faz com outros funcionários e ativos/dinheiro da empresa. Quaisquer dados realmente vitais podem sempre ser armazenados em CD/DVD/flash e protegidos fisicamente.
Responder2
Você pode tentar PGP Netshare ou SecurStar Sharecrypt.
No que diz respeito a atender aos seus requisitos, tanto quanto sei, ambas as soluções devem permitir:
- Os arquivos serão criptografados na pasta compartilhada
- Arquivos individuais não precisarão de proteção por senha. No entanto, você pode precisar de acesso para descriptografar toda a pasta compartilhada
- O software de backup provavelmente fará backup apenas dos dados criptografados. Isso pode ser uma vantagem, pois mesmo que uma fita de backup seja perdida, ninguém poderá acessar seus dados.
- Você precisaria instalar o software nos PCs dos usuários finais uma vez. Então eles não deveriam exigir direitos de administrador local.