bitlocker + домен
 

Здравствуйте.
Есть домен уровня 2008 R2
Поступила задача от руководства - шифровать данные на некоторых компьютерах пользователей
На ум сразу пришел bitlocker
Что мне нужно:
1) Шифровать раздел
2) Аутентификация без дополнительных сложностей (типа пин кодов, токенов)
3) Самое главное, чтобы без домена невозможно было расшифровать том, даже используя токены/пинкоды/TPM

Теперь по пунктам
Первый пункт достижим сам собой
Второй пункт, судя по информации из интернетов, достигается только с использованием модуля TPM - так ли это? или без этой платы можно это реализовать?
Третий пункт, если я выдерну локалку с компа, смогу ли я расшифровать том с TPM/USB носителем/Пин кодом???
Вобщем как сделать так, чтобы без домена информацию невозможно было расшифровать?

А если заберут вместе с КД?

Бюджет?
Исходя из этого будет актуальность пункта 2
терморектальный криптоанализ слышали?

Бюджет пока не будем трогать, нужно хотя бы узнать, без TPM это реализовывается?

Когда-то читал про SOPHOS.
Может то, что Вам нужно.

Спасибо.
Получается с помощью битлокера только с TPM модулем, все ли подходят, или есть нюансы? есть ли грабли? есть ли вероятность взлома самого TPM?

Да я могу так сделать, но нужно защищать информацию, которую юзер генерирует сегодня же, т. е. создал он документик, и нужно сразу его шифровать, принудить все перемещать по туннелю на удаленное хранилище конечно можно, я даже могу это делать logoff скриптом, но если он создаст множество файликов, это загрузит канал и будет долгий logoff, а теперь представить что таких будет 10-20 человек...

Поднял тестовый компьютер (win 10), настроил групповые политики домена на сохранение паролей для расшифровки ключей, так же настроил там политику "не включать bitlocker пока информация по восстановлению не сохранится в AD DS"
На тестовом сделал gpupdate /force, ребутнулся
Стал шифровать, после окончания полез в AD, вкладки BitLocker Recovery в объекте-компьютер не обнаружил
При перезагрузке компьютера в автономном режиме (без lan кабеля) ввел пароль битлокера, появился logon экран, дальше уже не прошел ввиду отключения кеша учетных записей политикой
Домен уровня 2008 r2, вроде на technet написано что для этого случая схему трогать не требуется..
Есть идеи?

nanervax,
Компонент BitLocker Recovery Password Viewer на КД установлен?

Спасибо, поставил нужные роли/фичи, ковыряю, еще планирую запустить network unlock, это позволит, как я понимаю, делать анлок только при соединении с контроллером домена..

Вообще как сделать так, чтобы без домена информацию невозможно было расшифровать?