Zarządzanie szyfrowaniem BitLocker
Podpowie ktoś na szybko jak to jest z licencjonowaniem MBAM ? Czy mając licencję na Windows 10 Prof (OEM), i uruchomione szyfrowanie BitLocker`em mogę zainstalować sobie konsolę. Jakie konkurencyjne rozwiązania do szyfrowania dysków polecacie ?
uściślając – system musi być zarządzany przez konsolę stąd MBAM w pytaniu, a veracrypt niestety nie spełnia tych wymagań.
5 Odpowiedzi
Zostaw odpowiedź
Musisz się zalogować lub zarejestrować aby dodać nowy odpowiedź.
VeraCrypt…ale nie jestem do końca przekonany.
Z tego co pamiętam to MBAM był dla ver. Enterprise.
Jeśli chodzi o zarządzanie kluczami bitlockera my zintegrowaliśmy to z AD (trzeba tylko skonfigurować GPO i doinstalować na serwerze funkcje Bitlocker Drive Encryption) – działa wyśmienicie. Nie trzeba żadnych dodatkowych licencji.
Co do innego rozwiązania – VeraCrypt, ale nie ma żadnej centralnej konsoli do zdalnego zarządzania etc.
Przykładowo rozwiązania Sophosa do szyfrowania bazują na Bitlockerze.
uściślając – system musi być zarządzany przez konsolę stąd MBAM w pytaniu, a veracrypt niestety nie spełnia tych wymagań.
U nas wykorzystywany jest „SecureDoc” od WinMagic. Do samego szyfrowania wykorzystywany jest windowsowy BitLocker, ale rozbudowany jest o konsolę zarządzania i dodanie SecureBoot przed startem samego windows’a.
Co ważne, szyfrowanie odbywa się podczas normalnego korzystania z komputera. Kiedy użytkownik (celowo/bądź nie) wyłączy komputer w trakcie działania, to nic się nie stanie. Po ponownym jego odpaleniu SecureDoc dokończy co zaczął.
Jest też możliwość szyfrowania pamięci USB w bardzo fajny sposób, tzn. bo możemy zaszyfrować cały dysk lub wykonać podział pamięci na nieszyfrowaną i szyfrowaną (z hasłem dostępu).
Hasło logowania do zaszyfrowanego komputera jest synchronizowane z AD, jeśli zmienisz hasło w AD (będąc podłączony do sieci razem z serwerem SecureDoc’a następuje to automatycznie, w innych wypadkach najlepiej jest najpierw zestawić jakiś VPN, a później zmienić hasło)
Plusem jest też tzw Challange Response – czyli możliwość zalogowania się do systemu w momencie kiedy za pomocą hasła użytkownika nie da się tego zrobić. Każda instalacja tworzy kod Challange, po wpisaniu go w konsoli generowany jest specjalny ciąg znaków który posłuży do zalogowania się na zaszyfrowanym laptopie/pc.
Problematyczne może być jednak to, że nie każdy laptop jest wspierany przez to rozwiązanie. Przez co trzeba początkowo testować czy szyfrowanie przebiegnie pomyślnie, później kwestia wybierania odpowiedniego sprzętu.
Podsumowując, u nas rozwiązanie się w miarę sprawdza. Nie jest ono idealne, ale pozwala nam w miarę szybko zaszyfrować laptopy pracowników.
VeraCrypt używam od jakiś czterech lat, jestem z tego rozwiązania zadowolony 😉