Cryptage d'un disque dur interne

Cryptage d'un disque dur interne - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 12-04-2013 à 11:36:38    

Bonjours tout le monde.
 
Je suis à la recherche d'une solution de cryptage qui me permettrait de crypter une disque dur (Le disque D en l’occurrence) de manière transparent pour les utilisateurs.
 
Voilà mon problème:
 
Je  dois crypter tout le disque mais de manière simple et transparente pour les utilisateurs. En gros il faudrait que lorsqu'ils déposent un fichier dans leurs disque celui-ci soit automatiquement crypté lorsqu'il sortent du disque. Il faut que ce soit fait de manière automatique car s'ils ont un mot de passe à rentrer à chaque fois, ils finiront par le noter quelque part (Bureau en général) et la sécurité du cryptage ne servirait plus à rien.
 
Si la solution pouvait être légère ce serait pas mal car je craint un ralentissement conséquent des postes du au cryptage.
 
Nous sommes sous Windows XP pro mais nous migrons doucement vers un seven pro.
 
Je vous remercie de votre aide et espère que vous aurez une solution à mon soucis.

Reply

Marsh Posté le 12-04-2013 à 11:36:38   

Reply

Marsh Posté le 12-04-2013 à 11:43:51    

Truecrypt me viens a l'esprit de suite. Après pour réaliser exactement cela je ne pense pas que se soit possible. A approfondir


---------------
#80 WR, FS aux CFA Servals
Reply

Marsh Posté le 12-04-2013 à 11:52:54    

Tu entends quoi par crypter ? A chaque fois qu'il veulent ouvrir un fichier ca leur demande leur mot de passe ?
 
Ou tu veux simplement éviter qu'on puisse démonter le disque et le placer sur un autre pc pour récupérer les données ?
 
Si c'est la seconde, tu as Bitlocker sur Windows 7 qui se gere de façon transparente par GPO. Si ton matériel est compatible ... m'enfin y'en a plus beaucoup qui n'embarque pas de puce TPM maintenant.


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 12-04-2013 à 12:10:33    

Bonjour et merci pour vos réponses.
 
Non truecrypt ne convient pas, la gestion du mot de passe est impossible pour un utilisateur (perte, oublie) ça amènerait trop de problème.
 
En gros ce que je veux, si possible, c'est que le mot de passe soit le même que le mot de passe Windows grâce à une liaison avec l'AD et que si une autre connexion est faite avec un autre compte (type intrusion) les fichiers ne puisse pas être lu car le mot de passe serait différent du compte principal.
 
Si cette solution peut être déployer par GPO ce serait le must du must en effet.
 
Je ne sais pas si je suis assez clair et si vous comprenez bien ma demande. Si ce n'est pas le cas, je reste à votre disposition pour répondre à vos question.


Message édité par thom-s20 le 12-04-2013 à 12:13:11
Reply

Marsh Posté le 12-04-2013 à 13:33:04    

A première lecture ... On dirait que ce que tu veux c'est que lorsque l'utilisateur se connecte avec son compte sur le pc ... Il a accès à sa donnée, et que si un autre arrive, il ne pourra pas y accéder ...
 
Du droit ntfs non ? tout simple et tout bête ?


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 12-04-2013 à 14:09:38    

ChaTTon2 a écrit :

A première lecture ... On dirait que ce que tu veux c'est que lorsque l'utilisateur se connecte avec son compte sur le pc ... Il a accès à sa donnée, et que si un autre arrive, il ne pourra pas y accéder ...
 
Du droit ntfs non ? tout simple et tout bête ?


 
[:julian33:4]


---------------
#80 WR, FS aux CFA Servals
Reply

Marsh Posté le 12-04-2013 à 17:52:14    

sous XP : EFS
Après : Bitlocker

Reply

Marsh Posté le 12-04-2013 à 17:55:17    

Sinon, il existe des softs développés par les constructeurs (Dell/HP/etc.)

Reply

Marsh Posté le 16-04-2013 à 12:15:50    

Oui sauf que des droits NTFS ne crypte pas les données, l'objectif final est que les données soient crypté et seulement décryptable par le user propriétaire de la machine.
 
Merci Shongail je vais regarder tes solutions car nous sommes sous XP mais nous migrerons prochainement sous seven je pense.

Reply

Marsh Posté le 16-04-2013 à 13:26:57    

EFS, Bitlocker n'est prévu que pour de la protection à froid.

Reply

Marsh Posté le 16-04-2013 à 13:26:57   

Reply

Marsh Posté le 16-04-2013 à 14:02:10    

Euh ... c'est à dire ? :??:

Reply

Marsh Posté le 16-04-2013 à 14:11:36    

Système éteint

Reply

Marsh Posté le 16-04-2013 à 15:31:48    

Ok à froid/=à chaud mais je ne vois pas en quoi EFS et Bitlocker ont à voir avec le fait que l'OS soit éteint ou allumé.

Reply

Marsh Posté le 16-04-2013 à 16:14:46    

McAfee Endpoint Encryption?

Reply

Marsh Posté le 16-04-2013 à 17:08:25    

Reply

Marsh Posté le 16-04-2013 à 18:40:44    

ShonGail a écrit :

Ok à froid/=à chaud mais je ne vois pas en quoi EFS et Bitlocker ont à voir avec le fait que l'OS soit éteint ou allumé.


 
Parce que si ton ordi est allumé Bitlocker ne sert à rien vu que ton disque est dévérouillé.

Reply

Marsh Posté le 16-04-2013 à 18:53:49    

Je ne suis pas expert en bitlocker mais il ne suffit pas d'allumer l'ordi, il faut aussi saisir un mot de passe ou présenter une clé USB qui permet l'authentification, non ?

Reply

Marsh Posté le 16-04-2013 à 19:12:44    

Ca dépend de la protection que tu choisis.
 
Et dans tous les cas ça permet à l'ordinateur de booter, passé cette étape Bitlocker ne protège plus la machine.

Reply

Marsh Posté le 16-04-2013 à 19:14:14    

Si tu choisis la clé USB qui contient la clé de chiffrement, Windows ne boote pas, non ?

Reply

Marsh Posté le 16-04-2013 à 19:45:48    

Pas de clé, pas de boot.

Reply

Marsh Posté le 16-04-2013 à 20:51:07    

En tout cas chez tous les clients où j'ai implémenté Bitlocker c'était soit TPM+PIN soit TPM only, jamais de clé USB. La plupart du temps c'est inutile parce que le gars stocke la clé avec le PC ... que sur certains PC ça marche pas sur tous les ports (genre sur un Dell, fallait le mettre sur l'unique port pas USB3, je sais pas pourquoi, enfin j'ai ma ptite idée), que la protection peut être facilement supprimable, copiable etc.
 
Et chez les clients qui veulent du TPM+PIN on désactive la mise en veille simple sinon le PIN est bypassé par la mise en veille.

Reply

Marsh Posté le 16-04-2013 à 21:18:36    

Il n'y aurait donc aucune solution qui prenne pour mot de passe celui du compte windows lié à l'AD, et qui ne redemande pas ce mot de passe à chaque fois que l'utilisateur veut avoir accès à ses données ?
 
 
Car les données seraient cryptées pour tout le monde sauf l'utilisateur authentifié et en cas de perte de mot de passe il est toujours possible de lui en ré-attribuer un via l'AD. Car je le rappelle une solution ou l'utilisateur doit noter un mot de passe ne peut pas être valable car ce mot de passe finira sur le bureau dans le meilleur des cas, ou perdu dans le pire.

Reply

Marsh Posté le 16-04-2013 à 22:05:17    

EFS on t'a dit plus haut :)

Reply

Marsh Posté le 16-04-2013 à 22:05:46    

Sinon ZoneCentral (déjà vu en banques et qq industries)

Reply

Marsh Posté le 16-04-2013 à 22:20:32    

thom-s20 a écrit :

Il n'y aurait donc aucune solution qui prenne pour mot de passe celui du compte windows lié à l'AD, et qui ne redemande pas ce mot de passe à chaque fois que l'utilisateur veut avoir accès à ses données ?

 


Car les données seraient cryptées pour tout le monde sauf l'utilisateur authentifié et en cas de perte de mot de passe il est toujours possible de lui en ré-attribuer un via l'AD. Car je le rappelle une solution ou l'utilisateur doit noter un mot de passe ne peut pas être valable car ce mot de passe finira sur le bureau dans le meilleur des cas, ou perdu dans le pire.

 


Et pour un Pc nomade, comment ça marche quand le gars est chez lui ? Pas de VPN puisque laptop non allumé, pas dans le réseau de l'AD, donc il ne peut plus utiliser son Pc? Et si, comme dans Windows, son mot de passe AD est en cache dans la machine, cette protection n'a plus lieu d'être...
C'est juste une réflexion, hein.


---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 23-04-2013 à 11:51:08    

Bitlocker on l'utilise avec les puces TPM seule (pas de PIN) en résumé, si on te pique le disque, on pourra pas le relire sur une autre machine ...
 
Mais ca ne rejoins en rien l'utilisateur qui se log, l'accès au disque se déverrouille bien avant la fenêtre Windows, et heureusement sinon on pourrait pas bitlocker le disque system.
 
Je persiste :
Si tu veux qu'un utilisateur n'ai accès qu'à ses propres fichier : Tu joues sur les droits ou tu prends un logiciel tiers.
 
Si tu veux te prémunir d'un éventuel vol de disque pour récupération de donnée ... Tu bitlock.
 
L'un peu se faire sans l'autre, et ils n'ont pas la même finalité ! :)


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed