企业安全建设-磁盘加密

  • A+
所属分类:安全闲碎

前言:众所周知磁盘加密一定意义上能够很好的保护企业电脑的数据安全,不会因电脑的遗失,被窃,暴力抢夺而被有心人获取到电脑上的资料。

最近在推企业的磁盘加密,碰到挺多坑,这里写一篇关于磁盘加密的注意事项,避免大家反复踩坑。



1.加密前


加密前必须做好万全的准备,这对于加密过程是否顺利起着关键性作用。



1.1数据备份


数据备份是非常重要的,在加密过程中会碰到各种各样的问题,不兼容,系统崩溃,硬盘炸裂而导致数据不可逆的损坏,虽然几率不大。但是当基数足够大的时候一切皆有可能,只有想不到的,没有发生不了的。

如何进行数据备份,可以根据当前企业的现有资源和安全措施而定。数据备份没有一个通用的方法,适合自己企业的才是最好的。

企业数据备份优先级:

1.有专门的备份/云备份服务器

2.有企业公用移动硬盘,可以进行数据备份

3.可以插U盘,通过各自U盘进行备份(不推荐,存在数据泄露风险)

4.没有U盘口,又没有备份服务器的时候就需要想办法创造条件,如果实在没有办法创造条件去楼下买三支香,对着PC机拜一拜吧。


1.2整体规划排期


根据自己企业的当前架构,进行一个整体的规划,并对整体的规划进行一个排期。这非常重要,因为企业杂事繁多,不做个计划,经常会忘记接下来要干什么。当碰到问题的时候有个排期也可以更有条理性地解决问题。


如何做一个整体的规划呢?跟数据备份一样,规划要根据自己当前企业的状况来做。如果企业有完善的IT体系,就会相对容易。反之就会更加困难,下面简单列举下从易到难的场景。

  1. 企业一开始就考虑到磁盘加密,从电脑下发的时候就预装了加密。

  2. 企业的电脑的型号和系统统一,已装程序统一,且可以一键后台下发运行加密程序

  3. 企业的电脑的型号和系统统一,已装程序统一,手动下发和运行加密程序

  4. 企业的电脑型号和系统不一致,已装软件不一致,但是有完善的IT推进流程。

  5. 企业的电脑型号和系统不一致,已装软件不一致,没有完善的IT推进流程。

  6. 企业的电脑型号和系统不一致,已装软件不一致且加密出了问题没有办法找到技术支持。

整体的规划就需要根据自身企业当前的环境进行设定,如机型不一致就需要把所有机器都测一遍,反之只需测一款。测试系统兼容性,崩溃应急流程,考虑下发方式,是手动下发还是后台执行?手动下发是分批执行还是专门找个时间进行安全培训的时候执行。要考虑的有很多,把这些变量测试完都写入排期。


1.3自动执行脚本


不管是手动下发还是后台一键下发,自动脚本都是非常重要的。反之会有无穷无尽的麻烦,自动下发就不说了,没有自动执行脚本压根就无法下发。手动下发的时候尽量减少执行步骤,因为并不是所有的员工都懂技术。双击点击都可能出现一系列的问题,何况让他们执行复杂的操作?记住减少步骤=减少错误=减少麻烦。

这边以bitlocker为例,对windows的自动加密脚本,这边采取统一加密密钥和统一密码,当然也可以设置成随机,然后把密钥同步给域控

@echo offreg.exe add HKLMSOFTWAREPoliciesMicrosoftFVE /v EnableBDEWithNoTPM /t REG_DWORD /d 1 /freg.exe add HKLMSOFTWAREPoliciesMicrosoftFVE /v UseAdvancedStartup /t REG_DWORD /d 1 /freg.exe add HKLMSOFTWAREPoliciesMicrosoftFVE /v UseTPM /t REG_DWORD /d 0 /freg.exe add HKLMSOFTWAREPoliciesMicrosoftFVE /v UseTPMKey /t REG_DWORD /d 2 /freg.exe add HKLMSOFTWAREPoliciesMicrosoftFVE /v UseTPMKeyPIN /t REG_DWORD /d 2 /freg.exe add HKLMSOFTWAREPoliciesMicrosoftFVE /v UseTPMPIN /t REG_DWORD /d 0 /fpowershell "$pwd = ConvertTo-SecureString 'Password' -AsPlainText -Force;Enable-BitLocker C: -passwordprotector -password $pwd;Enable-BitLocker C: -RecoveryPasswordProtector -RecoveryPassword 48位的加密密钥"powershell  "$b= Get-BitLockerVolume -MountPoint 'C'; $a=$b.keyprotector|where KeyProtectorType -eq 'TPM';Remove-BitlockerKeyProtector -MountPoint 'C:' -KeyProtectorId $a.KeyProtectorId;"powershell.exe "Get-BitLockerVolume | Resume-BitLocker"


2.加密中


加密推行的过程中需要对一些可能出现的问题做一些应急处理,比如说系统崩溃的处理,或者员工忘记磁盘加密密码制定一个找回密码的流程。


3.加密后


加密后要排查是否有人私自解锁了硬盘?或者磁盘加密没有完成。这也要根据企业的具体情况而定。如果企业预装加密,且不给员工超管权限。就不需要考虑这么多杂七杂八的问题了

本文始发于微信公众号(边界骇客):企业安全建设-磁盘加密

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: