[James Marsh]

Цитата nanervax:

Вобщем как сделать так, чтобы без домена информацию невозможно было расшифровать? »

А если заберут вместе с КД?

Цитата nanervax:

Поступила задача от руководства - шифровать данные на некоторых компьютерах пользователей »

Бюджет?
Исходя из этого будет актуальность пункта 2

Цитата nanervax:

2) Аутентификация без дополнительных сложностей (типа пин кодов, токенов) »

Цитата nanervax:

3) Самое главное, чтобы без домена невозможно было расшифровать том, даже используя токены/пинкоды/TPM »

терморектальный криптоанализ слышали?

[nanervax]

Бюджет пока не будем трогать, нужно хотя бы узнать, без TPM это реализовывается?

[James Marsh]

Цитата nanervax:

Бюджет пока не будем трогать »

Цитата nanervax:

Аутентификация без дополнительных сложностей (типа пин кодов, токенов) »

Когда-то читал про SOPHOS.
Может то, что Вам нужно.

[nanervax]

Спасибо.
Получается с помощью битлокера только с TPM модулем, все ли подходят, или есть нюансы? есть ли грабли? есть ли вероятность взлома самого TPM?

[James Marsh]

А Вы не пробовали подойти к проблеме с другой стороны:

Цитата nanervax:

шифровать данные на некоторых компьютерах пользователей »

убрать информацию с этих ПК? Взять железяку, установить вне досягаемости, туда site-to-site ipsec туннель с офисом, и хай там инфо лежит. Ну и вариации...

[nanervax]

Да я могу так сделать, но нужно защищать информацию, которую юзер генерирует сегодня же, т. е. создал он документик, и нужно сразу его шифровать, принудить все перемещать по туннелю на удаленное хранилище конечно можно, я даже могу это делать logoff скриптом, но если он создаст множество файликов, это загрузит канал и будет долгий logoff, а теперь представить что таких будет 10-20 человек...

[nanervax]

Поднял тестовый компьютер (win 10), настроил групповые политики домена на сохранение паролей для расшифровки ключей, так же настроил там политику "не включать bitlocker пока информация по восстановлению не сохранится в AD DS"
На тестовом сделал gpupdate /force, ребутнулся
Стал шифровать, после окончания полез в AD, вкладки BitLocker Recovery в объекте-компьютер не обнаружил
При перезагрузке компьютера в автономном режиме (без lan кабеля) ввел пароль битлокера, появился logon экран, дальше уже не прошел ввиду отключения кеша учетных записей политикой
Домен уровня 2008 r2, вроде на technet написано что для этого случая схему трогать не требуется..
Есть идеи?

[Telepuzik]

nanervax,

Цитата nanervax:

BitLocker Recovery в объекте-компьютер не обнаружил »

Компонент BitLocker Recovery Password Viewer на КД установлен?

[nanervax]

Спасибо, поставил нужные роли/фичи, ковыряю, еще планирую запустить network unlock, это позволит, как я понимаю, делать анлок только при соединении с контроллером домена..