Шифрование флешек в домене AD. Как и чем?

Question

[Алишер Сатыбалдин]

Добрый день!
В инфраструктуре Active Directory требуется реализовать контроль работы USB-накопителей со следующими условиями:
1. USB-флешки, выданные организацией, должны автоматически становиться доступными (расшифровываться/монтироваться) при подключении к доменным компьютерам без запроса пароля.
2. На недоменных компьютерах (вне AD) доступ к содержимому этих флешек должен быть невозможен.
3. Незарегистрированные (чужие) USB-накопители должны блокироваться на доменных компьютерах или не предоставлять доступ.

BitLocker не является обязательным решением, рассматриваются также альтернативные механизмы шифрования/контроля доступа.

Какие существуют корректные архитектурные подходы для реализации такого сценария?
Реализуемо ли “автоматическое расшифрование только в домене”?
Какие технологии кроме BitLocker (например, EFS, third-party encryption, device control solutions) подходят для такого кейса?
Как обычно решается задача разделения “доверенные USB внутри AD / недоверенные вне AD”?

Comments

[Михаил Лялин]

на BitLocker см. https://seberd.ru/2138/

Answer 1

[Пума Тайланд]

BitLocker To Go + GPO + certificate protector из доменного PKI — это рабочая схема именно для твоего кейса.

Флешка шифруется и добавляется certificate protector:

manage-bde -protectors -add X: -Certificate -ct <thumbprint>

. GPO деплоит этот сертификат (с приватным ключом) на все доменные машины через autoenrollment — при подключении Windows автоматически ищет ключ и монтирует без запроса пароля. За пределами домена сертификата нет, данные недоступны. Чужие флешки отрезаются политикой "Deny write access to removable drives not protected by BitLocker".

Из готовых решений: DeviceLock или Endpoint Protector (ранее CoSoSys) — они специально под такой сценарий, whitelist корпоративных устройств + auto-unlock в домене + блок всего остального, всё в GUI.

p.s. EFS не подойдёт — это файловое шифрование, привязки к домену в нужном смысле нет.

Answer 2

[rPman]

EFS!

Форматируешь флешку под ntfs, и пользуешься штатным шифрованием каталогов и файлов (флаг encryption, например из проводника в свойствах или в командной строке attrib). Этот флаг конфликтует с флагом сжатия (либо сжатие либо шифрование). Шифруется только содержимое файла, но не имена (так же вроде бы не шифруются расширенные атрибуты filename.ext:extended_attribute_name).

Шифровать и работать с флешками можно будет только под тем аккаунтом (не важно, домен это или локальный), под которым она зашифрована, другие пользователи при попытке доступа в каталог (флаг можно устанавливать на файлы и каталоги) будет получать ошибку.

Потеря аккаунта = потеря данных (есть штатные инструменты windows для создания резервной копии ключей).

Есть возможность у файлов указывать каким пользователям предоставить доступ (там кнопка справа чекбоксика в свойствах - подробнее), для доменных пользователей нужно что бы сертификат у этого пользователя был уже создан (т.е. например он уже попробовал включить шифрование) и опубликован (не уверен как это делают в домене, что то типа 'корпоративный центр сертификации'), осторожно, если программа при редактировании файла пересоздает его, то этот список скорее всего сбросится, по умолчанию файлы шифруются только сертификатом текущего пользователя.

p.s. домашние ревизии не поддерживают EFS