Предоставление общего доступа к зашифрованному диску.

/в , /от

Программа Rohos Disk Encryption позволяет организовать общий доступ к  зашифрованному диску для разных вариантов использования:

  1. Общий доступ всем пользователям одного компьютера. Например на терминальном сервере Windows,
    В этом случае пользователям нет необходимости знать пароль к диску, и нет необходимости запускать программу Rohos Disk. Они не знают, где находится файл-контейнер диска, и не могут его удалить. Ввод пароля для доступа к диску осуществляет Администратор либо Владелец Rohos диска с помощью пароля либо USB ключа (типа ruToken).
  2. Общий доступ выбранным пользователям на терминальном сервере Windows,
    В этом случае избранные пользователи должны знать пароль к диску или обладать USB ключем для включения диска. Ввод пароля для доступа к диску осуществляет каждый пользователь самостоятельно когда это необходимо. Другие пользователи и даже Администраторы не могут получить доступа к диску.
  3. Общий доступ посредством зашифрованной сетевой общей папки на файловом сервере.
    Особенности: Шифрование данных на файл сервере,
    Контейнер Rohos диска размещен на файловом сервере (Windows). Ввод пароля или ключа для доступа к Rohos диску осуществляет Администратор сервера удаленно либо работая на самом сервере. Rohos Disk способен автоматически открыть весь зашифрованный диск либо выбранные папки для общего доступа в локальную сеть по заранее определенным параметрам. Администратор один раз назначает права или отдельный пароль для сетевого доступа сотрудникам и отвечает за резервные копии и блокировку доступа к общей папки и зашифрованному диску на сервере. Смена пароля к зашифрованному диску или ключа доступа не влияет на пользователей.
  4. Общий доступ к зашифрованному Rohos Disk контейнеру на файловом сервере.
    Особенности: Сужение круга лиц кому разрешен доступ к данным, в том числе администраторам сети. Доступ к зашифрованным данным на запись ограничен только для одного пользователя.
    Контейнер Rohos диска размещен на файловом сервере (Windows). Ввод пароля или ключа для получения доступа к зашифрованным данным осуществляет каждый пользователь независимо. Администраторы сервера и другие сотрудники не в состоянии получить доступ к зашифрованным данным без знания пароля либо ключа. Смена пароля либо ключа доступа к контейнеру диска означает блокировку доступа к зашифрованным данным для всех у кого до этого был доступ.

 

Общий доступ всем пользователям одного компьютера.

1stcase1
В опциях программы Rohos Disk нужно включить опцию  Enable shared disk drive(local and network). 

options

При этом, при подключении Rohos диска одним пользователем, буква этого диска становится сразу видна всем пользователям при открытии ими программы Проводник.

drive_letter
 

При установке опции  read-only все пользователи, и владелец в том числе, не смогут изменять содержимое Rohos диска.

read-only
 

Возможно применение различных прав на чтение и запись по отношению к папкам внутри самого диска. Одним пользователям можно предоставить полный контроль, другим — права только для чтения, третьим — вообще запретить просматривать содержимое секретного Rohos диска.

NTFS
Достоинства метода:

  1. Пароль к диску находиться у одного пользователя Владельца диска.
  2. Есть возможность ограничивать доступ для некоторых пользователей.
  3. Сам диск может находится в месте, доступном только для своего владельца, что снижает возможность его копирования либо удаления посторонними лицами.
  4. Пользователям нет необходимости знать пароль от секретного диска, ведь буква подключенного диска сразу видна в проводнике.
  5. Такой вариант подходит также для использования на Терминальном сервере. Рабочие Папки с особо важными и конфиденциальными файлами и программами можно перенести на Rohos диск с помощь функции «Шифрование Папок». Это сделает защиту данных прозрачной для пользователей удаленного рабочего стола.

Особенность метода:

При открытии другим пользователем программы Rohos Disk, буква диска будет видна среди дополнительных дисков. Если случайно отключить его, он отключится у всех пользователей. Чтобы предотвратить это, можно запретить обычным пользователям запускать программу Rohos Disk на сервере, закрыв ее на пароль.

Кроме того, нужно снять галочку Show Rohos Icon near the clock чтобы пользователи не смогли управлять диском через иконку около часов.

Общий доступ избранным пользователям на терминальном сервере Windows.

 

В данном варианте использования, только избранные пользователи должны осуществлять доступ к секретному диску посредством пароля или USB ключа.

  • Список избранных пользователей формируется Администратом (устно) при предоставлении пароля или ключа данному пользователю.
  • Ввод пароля для доступа к диску осуществляет каждый пользователь самостоятельно когда это необходимо.
  • Другие пользователи и даже Администраторы сервера не могут получить доступа к диску.
  • При смене пароля к диску все ранее настроенные ключи и пароли становятся недействительными.
  • В случае использования аппаратных ключей типа ruToken гарантируется полная защищенность от утечки пароля от диска.

shared_container1

Сценарий использования:

  • Терминальный сервер на базе Windows 2012 с несколькими удаленными Пользователями и Администраторами.
  • Несколько удаленных стандартных пользователей  и Администраторов.
  1. Администратор устанавливает программу Rohos Disk

Необходимо настроить опции программы следующим образом:

1

  • Необходимо выключить опцию «Разрешить совместный доступ» (Enable shared Disk drive). В этом случае буква диска будет видна только в той сессии \ учетной записи которая предоставила пароль для включения этого зашифрованного диска.
  • Можно назначить пароль на доступ к программе, чтобы пользователи, случайно или преднамеренно не могли изменить пароль к диску, а также чтобы не поменяли другие его свойства.

 

  1. Создаем Rohos Disk и указываем разместить контейнер диска в общедоступной папке:

shared disk_creation

Теперь каждый пользователь терминального сервера, при условии, что он знает пароль, может открыть этот диск и изменить данные на нем независимо от другого.

  1. Создаем ярлыки для Включения и Выключения Rohos  диска

Вовремя создания диска на рабочем столе обычно создается ярлык для его включения.

На основе этого ярлыка сделайте ярлык Выключения Диска. Отредактируйте поле Обьект в свойствах Ярлыка (команда):

«C:\Program Files (x86)\Rohos\agent.exe» /unmount:R:

shortcuts

 

Поместите все ярлыки в общедоступную папку где все пользователи смогут ими воспользоваться для включения диска.

copy_shortcuts

Теперь и другие пользователи, найдя в общей папке ярлык для зашифрованного диска, могут себе его скопировать и открыть Rohos Disk.

После успешного ввода пароля — в проводнике появляется новая буква диска R(или другая):

disk_letter

Достоинства метода:

  1. Владелец Диска не должен каждый раз включать Rohos диск.
  2. Закрытие диска одним пользователем никак не мешает работе других пользователей.
  3. Буква диска изолированна от других сессий. Например это удобно если в системе есть не доверительные администраторы, и в этом случае они не смогут получить доступ к секретному диску. А в случае использования Аппаратных Ключей для доступа к диску, перехват пароля к Rohos диску невозможен.

Общий Доступ посредством сетевой общей папки (shared folder).

Весь зашифрованный Rohos диск или какие-то папки на нем можно открыть для общего доступа в сети. Выберите диск в папке «Мой компьютер» и зайдите в его свойства через контекстное меню.

Регламентировать доступность этого диска для различных категорий сетевых пользователей можно здесь же, используя команду Permissions.

Подключаем сетевую папку Rohos диска на рабочих станциях в сети :

Преимущества такого способа предоставления доступа:

  • Зашифрованный диск может находиться как на  компьютере, так и на подключенном USB накопителе.
  • Можно настроить так что при отключении USB накопителя зашифрованный диск автоматически будет выключен, сетевая папка исчезнет и доступ к ней моментально прекратиться.
  • Можно настроить Аппаратный модуль безопасности (HSM) для доступа к секретному диску.  Например USB токен такой как руТокен, iKey, eToken.Такой токен-ключ от диска можно доверить ответственному сотруднику для включения диска. При отключении токена от ПК диск будет автоматически также отключен.
  • Подключать секретны диск  можно по необходимости с помощью пароля, либо автоматически при подключении USB токена-ключа.
  • Сетевым не требуется необязательно знать пароль от диска чтобы начать работать, однако все данные будут надежно защищены на файл-сервере.

В то время как один сетевой пользователь работает с одним файлом или каталогом, другой может работать с другим. Создается впечатление, что это простой общедоступный ресурс. Однако стоит вам выйти из системы и доступ к нему автоматически прекращается.

 

Общий доступ к зашифрованному Rohos Disk контейнеру на файловом сервере.

Особенности: Сужение круга лиц кому разрешен доступ к данным, в том числе администраторам сети. Одновременный доступ к зашифрованным данным на запись ограничен только для одного пользователя.
Контейнер Rohos диска размещен на файловом сервере (Windows). Ввод пароля или ключа для получения доступа к зашифрованным данным осуществляет каждый пользователь независимо. Администраторы сервера и другие сотрудники не в состоянии получить доступ к зашифрованным данным без знания пароля либо ключа. Смена пароля либо ключа доступа к контейнеру диска означает блокировку доступа к зашифрованным данным для всех у кого до этого был доступ.

Вариант настройки шифрования для каждого пользователя отдельно:

  1. Администратор предоставляет для каждого пользователя общую сетевую папку где будут размещены зашифрованные контейнеры.
  2. Администратор устанавливает на свой ПК программу Rohos Disk,  создает пустые зашифрованные контейнеры с паролем по умолчанию и копирует их в общие папки. Высылает каждому пользователю ярлык для доступа к контейнеру и пароль по умолчанию.
  3. Далее Пользователь выполняет шифрование данных (либо каждый для себя):
    — Устанавливает на своем ПК программу Rohos Disk.
    — используя ярлык и пароль по умолчанию подключает зашифрованный контейнер и настраивает ключ доступа к нему, устанавливает новый  пароль.
    — Затем пользователь копирует конфиденциальные данные на букву Rohos диска. Либо использует функцию «Зашифровать папку» которая шифрует существующие папки и одновременно связывает их содержимое с зашифрованным контейнером который размещен в сети.