2024年1月9日发(作者:)
XXXX
加密技术解决方案
第 1 页 共 28 页
目 录
1 项目概述 ................................................................................................................................... 4
1.1项目背景 ............................................................................................................................. 4
1.2全硬盘加密建设需求 ......................................................................................................... 4
2 McAfee 加密组件介绍 ............................................................................................................ 5
2.1McAfee公司简介 ................................................................................................................ 5
2.2McAfee Drive Encryption产品介绍 ................................................................................... 5
3 测试环境 ................................................................................................................................... 7
3.1系统要求 ............................................................................................................................. 7
3.2加密硬件兼容性以及支持硬盘模式 ................................................................................. 8
3.3测试拓扑 ............................................................................................................................. 8
4 测试场景展现 ......................................................................................................................... 10
4.2ePO服务器 ........................................................................................................................ 10
4.2.1集中管理 ................................................................................................................ 10
4.2.2群集说明 ................................................................................................................ 11
4.3更改登入Logo ................................................................................................................. 11
4.4Windows域用户实现单点登录 ........................................................................................ 12
4.5Windows非域用户单点登录 ............................................................................................ 14
4.6取消McAfee认证界面 .................................................................................................... 14
4.7Mac系统的全盘加密 ........................................................................................................ 15
4.8系统恢复 ........................................................................................................................... 17
4.8.1Windows加密系统恢复 ......................................................................................... 17
第 2 页 共 28 页
4.8.2Mac加密系统恢复 ................................................................................................. 18
4.9USB存储加密 ................................................................................................................... 19
5
6
McAfee加密系统性能 ........................................................................................................... 22
代理部署场景 ......................................................................................................................... 23
6.1Windows代理部署 ............................................................................................................ 23
6.2Mac OS X代理部署 .......................................................................................................... 23
6.3部署方式对比 ................................................................................................................... 24
7
8
加密流程解析 ......................................................................................................................... 25
项目实施培训 ......................................................................................................................... 26
9.1实施人员 ........................................................................................................................... 26
9.2实施阶段 ........................................................................................................................... 27
9.2服务方案 ........................................................................................................................... 28
9.2.1 McAfee服务等级介绍 .......................................................................................... 28
第 3 页 共 28 页
1 项目概述
1.1项目背景
XXXX公司目前大部分员工都配有笔记本电脑,出差频繁,存在笔记本电脑丢失的风险。并且笔记本电脑存有大量公司机密文件,一旦丢失的笔记本电脑被外部人员破解,机密文件被他人获取会造成公司巨大损失。
员工携带笔记本电脑外出为正常业务需求,笔记本电脑由于自身的便携性,丢失的风险不可避免。为防止丢失的笔记本电脑里的数据遭到他人获取,需要使用技术手段保证未经授权的访问不可读取存储在笔记本电脑中的数据。
全磁盘加密技术从磁盘底层进行加密,保证在未解密的情况下,任何未经授权的访问都不可读取磁盘内的信息。对于丢失的笔记本电脑,存储在其中的数据极难获取,以此保护公司重要数据资产。
1.2全硬盘加密建设需求
本次全硬盘加密系统建设为保护企业敏感信息,防止数据丢失对企业和客户带来的经济损失、品牌伤害和潜在的法律赔偿,部署全磁盘加密系统,对终端敏感数据载体进行高强度加密,有效防止敏感信息被未经授权的非法获取。
第 4 页 共 28 页
2 McAfee 加密组件介绍
2.1McAfee公司简介
McAfee是全球领先的独立网络安全公司之一。秉承“联合 就是力量”的精神,迈克菲致力于创建面向企业和个人用户的 安全解决方案,使我们的世界更加安全。我们整合、自动化、 开放的安全平台可使您所有不同的产品在数字环境中的任何地 方共存、沟通和共享威胁情报。通过将机器自动化和人工智能 相结合,帮您更有效地简化工作流程;通过将您的团队从繁琐 的运维工作中解放出来,使他们能够更多地关注于战略性安全 防御;通过凭借一个单一管理平台管理所有安全,极大地简化 了您的工作;通过赋予您所有安全产品自适应新威胁并协同工 作的能力,在整个威胁防御生命周期中提高防护、加快检测和 修正。
2.2McAfee Drive Encryption产品介绍
McAfee Complete Data Protection 套件通过将强大的企业级终端加密与访问控制相结合,来保护您的数据安全。该套件利用 McAfee ePolicy Orchestrator (ePO) 管理控制台帮助您制定和实施数据保护策略,并集中进行数据安全管理。针对 Mac 上的 Apple FileVault 以及
Windows PC 上的 Microsoft BitLocker 管理,该套件提供了本机加密的管理功能。。
McAfee Complete Data Protection 套件具备以下功能:
1) 凭借已通过 FIPS 140-2 和通用标准 EAL2+ 认证,并通过英特尔高级加密标准新指令(英特尔 AES-NI)来提高速度的极其快速的终端加密解决方案,保护您的数据免于丢失或被盗。
2) 加密台式机、虚拟桌面基础设施工作站、笔记本电脑、平板电脑和可移动介质(如
CD/DVD 和 USB 闪存驱动器)上的存储。允许您控制加密哪些类型的文件和文件夹。
3) 对带有 Apple FileVault 的 Mac 以及带有 Microsoft BitLocker 的 Windows PC
实施本机加密管理功能。
4) 通过 Endpoint Encryption Go 实用工具来确保您的终端能够通过预加密检测和持续健康状况监控,从而让您放心地部署和配置。
第 5 页 共 28 页
5) 借助先进的报告和审核功能,快速轻松地向内外部审核人员和其他关键利益相关者证明安全合规性。
McAfee Complete Data Protection 套件提供磁盘加密、文件和可移动介质保护、Microsoft
BitLocker加密管理、Apple FileVault加密管理。
第 6 页 共 28 页
3 测试环境
3.1系统要求
基于 Microsoft Windows 的终端:
操作系统
Microsoft Windows 7(32 位和 64 位版本)
Microsoft Windows 8/8.1(32 位和 64 位版本)
Microsoft Windows 10
Microsoft Windows 2008 Server(32 位和 64 位版本)
Microsoft Windows 2012
Microsoft Windows 2016
Microsoft Windows 2019
Apple Mac 笔记本电脑终端:
操作系统
MacOS Mountain Lion
MacOS Mavericks
MacOS Yosemite
MacOS EI Capitan
MacOS Sierra
MacOS High Sierra
MacOS Mojave
第 7 页 共 28 页
3.2加密硬件兼容性以及支持硬盘模式
支持HDD, SSD, SED, OPAL 等磁盘驱动器
支持FAT、FAT32、NTFS分区格式
3.3测试拓扑
本次测试在局域网内无线环境下进行测试,搭建新的域作为用户及用户组的活动目录,为加密客户端提供用户认证。
ePO服务器加入xx域,作为本次测试的集中管理服务器,进行策略下发、软件推送、报表查询等功能;
客户端采用安装Windows和Mac两种操作系统的笔记本作为加密客户端,以检测加密第 8 页 共 28 页
产品针对不同系统的支持。
第 9 页 共 28 页
4 测试场景展现
4.2ePO服务器
4.2.1集中管理
管理方式:IP地址:8443 账户名:admin 密码:mcafee
语言:多国语言版本,支持中文
集中管理:所有安装客户端可根据操作系统不一样而自动标记,同时也可以根据不同域进行自动分类客户端,有助于客户多子域环境。
策略管理:可根据不同组分配不同策略,如设置好‘加密组’和‘解密组’,找到相应计算机拖拽到相应组即能自动执行相应策略,简单方便。
报表呈现:面板即能显示目前加密客户端的状态、安装情况,准确把握企业终端安全状况。同时可根据需要自定义生成各类相关报表。
第 10 页 共 28 页
4.2.2群集说明
在含有两个或更多服务器的群集上设置并运行Microsoft Cluster Server (MSCS),并配置两个不同的驱动器来提供群集服务:一个仲裁驱动器和一个数据驱动器。
另外配置远程SQL Server数据库,数据库亦可做群集,为整体ePO服务器提供高可用性环境。
实现效果:客户端访问ePO服务器群集的虚拟IP或主机名,任何一台ePO服务器出现故障不影响其正常工作访问。
4.3更改登入Logo
可以通过策略编辑界面修改PC加密登入Logo。
第 11 页 共 28 页
4.4Windows域用户实现单点登录
1) 注册域服务器
2)分配域用户或组,分配单个用户需要人工每次分配,分配组可预先设定无需后续helpdesk人员干预:
第 12 页 共 28 页
2) 设定启用单点登录策略,同时可选择Driver Encryption密码与Windows同步,这样可以根据企业要求密码定期更改并与加密用户实现密码同步:
3) 首次登录后输入分配的用户名,初始密码为12345,然后登录windows系统输入相同域账户密码后,再次重启计算机登录如下界面一次后直接进入操作系统,实现单点登录,简化登录过程:
第 13 页 共 28 页
4.5Windows非域用户单点登录
1) 对于没有加入域的用户需要进行全盘加密的话首先需要在LDAP服务器上创建用户组,此组中包含客户端workgroup下的用户名,如zhangsan、lili等名称,这样和客户端登录名称匹配后可实现单点登录,如果不一致则需要输入两次密码,即McAfee Driver Encryption和Windows的两次密码;
2) 创建完用户和组后,如2.2章节分配用户或组,初始化用户后,第二次登录则实现单点登录。
4.6取消McAfee认证界面
1) 首先在策略中支持取消McAfee Driver Encrytion的引导界面,如下:
第 14 页 共 28 页
2) 同时需要考虑安全性和便捷性,如果出于安全性考虑出发,建议保留McAfee认证界面,这样安全系数会很高,破解的难度非常高,而绕过该认证界面直接进入系统后,Windows操作系统的破解则相对容易;但从用户无感知便捷性较大考虑则取消McAfee认证后开机直接进入Windows认证界面,和原先用户使用习惯一致,同时前端人员部署也相对容易。因此该功能需谨慎使用。
4.7Mac系统的全盘加密
1) McAfee Management of Native Encryption对带有 Apple FileVault 的 Mac 以及带有
Microsoft BitLocker 的 Windows PC 实施本机加密管理功能,按照方式支持代理安装后台推送加密客户端方式和Standalone两种方式,前者需命令行下执行安装文件后与ePO服务器通信,后者手动安装配置*.dmg文件,适合做成镜像批量安装。
2) Standalone方式输入ePO服务器的账户密码信息:
第 15 页 共 28 页
3) 托管后根据策略开启FileVault加密功能进行全盘加密,同时把密钥备份到ePO服务器上:
4) 加密完成后开机登录界面与原先操作一样,但认证过程会稍慢:
第 16 页 共 28 页
4.8系统恢复
4.8.1Windows加密系统恢复
情况一:正常状态下磁盘解密
1) 将客户端从‘加密组’拖拽到‘解密组’即能完成解密;
2) 主要分成两个部分:策略修改为My Default策略,该策略不做加密磁盘,因此会自动解密;另外是反向卸载EEPC代理和Drive Encrytion组件;
3) 以上步骤完成后,唤醒代理执行解密操作,磁盘解密完成后才能卸载相关组件;
4) 如果还需要卸载MFE Agent程序,可以在控制台执行卸载任务或客户端上手动命令卸载。
情况二:加密账户密码忘记
1) 开机后有‘恢复’选项,提供质询码给管理员(当然也支持自助式问题应答恢复);
2) 管理员通过登录ePO进行‘加密恢复’功能,输入质询码后得到解码给用户即可登录系统或修改密码;
情况三:系统故障或损坏崩溃
第 17 页 共 28 页
1) 如果能进入系统建议先进行解密后在重新安装系统,备份重要文件等;
2) 如果无法进入系统且系统盘没有重要文件则可以直接格式化重装系统,重装完成后分配原有密钥进行再次加密,这样其他分区数据依然可以保留并能读取;
3) 如果无法进入系统且系统盘有重要数据文件,则需要通过灾难恢复盘进行操作,该灾难恢复需要原系统加密密钥(ePO服务器上)和McAfee随机code,满足这两个条件后才能进行解密或类似PE盘进入分配将重要文件拷贝出,最后再进行系统恢复加密等操作。
情况四:硬盘硬件损坏
1) 通过备份软件针对磁盘进行备份,如将加密磁盘备份至其他磁盘;
2) 通过灾难恢复盘进行磁盘解密或直接拷贝出需要的数据。
4.8.2Mac加密系统恢复
1) 确认系统序列号,不确定可以进入ePO服务器查询:
2) 通过MNE恢复系统输入相应的序列号
第 18 页 共 28 页
3) 查询出恢复Key并进行系统恢复
4) 同时也可以通过ePO服务器关闭FileVault功能进行解密恢复。
4.9USB存储加密
1) 安装File&folder加密组件,创建加密密钥后设定移动存储加密策略:
2) 在装有EEFF的计算机中插入所需加密的U盘
第 19 页 共 28 页
3) 输入身份验证密码,初始化该U盘:
4) 在装有EEFF的系统上如下显示,可像普通U盘一样使用:
5) 插入没有安装EEFF的客户端时,如下显示
第 20 页 共 28 页
6) 打开该U盘后,双击程序:
7) 输入之前设定的密码
8) 可以在右侧窗口进行拖拽拷贝等操作:
该功能主要帮助企业方式USB类存储丢失而造成的数据丢失功能,唯一美中不足的是该功能在Mac笔记本上无法使用。
第 21 页 共 28 页
5 McAfee加密系统性能
1) McAfee加密系统对Windows和Mac系统占用的资源非常少,不加密时对CPU没有影响,内存也只占30M左右;
2) 加密过程对CPU影响在10%以内,完全不影响用户正常使用,用户无感知,加密过程中可重启电脑,重启完成后继续沿原加密状态进行加密,不会造成用户数据丢失的情况;
3) 加密速度根据硬盘转速(SATA/固态)、磁盘空间大小,文件多少有关,一般在1G/2-6分钟的速度进行加密,解密过程差不多时间,本次测试320G 硬盘加密在10小时左右;Mac笔记本因是固态128G硬盘,加密只需2个多小时。
第 22 页 共 28 页
6 代理部署场景
6.1Windows代理部署
1、域计算机代理静默部署过程
1) 注册LDAP服务器;
2) 建立分组做域计算机组织架构同步;
3) 分配管理员权限针对需要加密的组进行推送Agent;
4) 建立客户端任务,安装EEPC Agent和Drive Encrytion组件;
2、非域计算机代理静默部署过程
1) 下载安装程序,手动拷贝至客户端安装;
2) 或者创建URL连接,手动点击执行Agent的安装;
3) 建立客户端任务,安装EEPC Agent和Drive Encrytion组件;
4) 如果需要通过镜像批量部署,在上述安装程序完成后,删除GUID值后进行封装。
6.2Mac OS X代理部署
1、代理静默部署过程
1) 下载代理程序,拷贝至Mac客户端上;
2) 使用管理员权限在命令行下执行./ –i命令执行安装;
3) 部署客户端任务,安装MNE管理组件;
2、Mac系统镜像部署
1) 将单机安装包拷贝至Mac上,双击执行安装;
2) 配置ePO服务器地址、账户密码信息;
3) 删除GUID值信息后封装系统。
第 23 页 共 28 页
6.3部署方式对比
方法
从ePO服务器推送代理
优点
自动;不需要其他步骤,这是部署代理的有效方法
缺点
需要客户端加入域并且保证程序已新增至防火墙例外清单
存在GUID重复并与ePO服务器无法通讯问题
將代理程序包含在映像中
可以避免其他部署方式可能造成的网络带宽影响。透过将工作整合到其他工作中来减少负荷
适用于非域环境 手动安装 耗时耗力
第 24 页 共 28 页
7 加密流程解析
在开机时,先启动DE(Drive Encryption)解密C盘上的操作系统;系统启动后,动态加解密系统直接在内存中解密数据,然后将解密后的数据提交给操作系统;在存盘时,在内存中将数据加密为密文,再写入硬盘。从上图中可以看出,DE的动态加解密算法位于操作系统的底层,操作系统的所有磁盘操作均通过DE进行,当系统向磁盘上写入数据时,DE首先加密要写入的数据,然后再写入磁盘;反之,当系统读取磁盘数据时,DE会自动将读取到的数据进行解密,然后再提交给操作系统,因此,加密的磁盘数据对操作者来说是透明的,对操作系统看来,磁盘上的加密数据和未加密的状态完全一样。
McAfee DE的主要优点是加密强度高,安全性高。这种加密方式直接对磁盘物理扇区进行加密,不考虑文件等存储数据的逻辑概念,任何存储在磁盘上的数据均为密文。对系统性能的影响仅与采用的加解密算法有关。DE对系统性能的影响非常有限,一般不超过10%(取目前市场上同类产品性能指标的最大值)。
第 25 页 共 28 页
8 项目实施培训
9.1实施人员
1) 参与方
XXXX:
XXXX根据其网络现状准备项目实施所需的环境和工具,并指定专人配合相关技术人员的实施及运行维护期的工作。
项目集成商:
项目集成商成立专门的项目小组,制定具体的实施计划,并根据实施计划协助XXXX完成项目的实施工作。
McAfee 公司:
McAfee公司作为厂家在项目的实施及运行和维护阶段将提供专业的技术支持,确保产品安装配置的成功并为运行和维护过程中产生的问题提供帮助,同时厂家将提供800 电话技术支持。
咨询公司(可选):
根据用户的实际需求,可以选择第三方咨询公司协助梳理、修正业务流程。
2) 实施小组
1) 成员组成
项目经理:
负责整个项目实施过程的协调和管理,确保项目实施的正常顺利进行。
实施人员:
完成具体设备的安装实施工作。
第 26 页 共 28 页
2) 实施小组的职责:
项目的实施:制定具体项目的实施计划,在XXXX的配合下进行McAfee公司产品的安装和配置等相关的实施服务并随时解决可能发生的各种问题;
技术支持与服务:在系统运行和维护期为用户提供完善的技术支持与服务,确保系统正常可靠的运行;
控制项目的质量:通过“尽可能预见可能发生的问题”、“客户满意程度评价表”等措施制定计划来确保项目的质量。
9.2实施阶段
编号
内容
签订合同
内容说明/索引
关键点
●
服务商
√
客户
√
1 签订合同
2 准备阶段
2.1 实施前统计
为XXXX公司项目搜集必要信息:XXXX公司需要加密的PC数量,以及位置。
配合本次项目的信息搜集及配置需求梳理。
● √ √
2.2 用户准备
配合 负责
2.3 实施方准备
(1)实施前:负责本次项目信息搜集及整理,负责XX公司针对项目提出的需求做解答、记录并实施。
(2)实施阶段准备:提前准备好控
制台安装包,以及加密组件导入包。
(3)实施后:需要配合用户整理验证方案。
负责 配合
3 实施阶段
3.1
ePO控制台搭建以及加密组件签入
√
4 测试阶段
第 27 页 共 28 页
正式环境测
(1)在正式环境的PC上安装McAfee Agent。
(2)备份用户重要数据。
(3)推送安装加密组件。
(4)推送加密策略。
(5)正常加密。
根据XXXX公司要求,为其技术人员提供培训服务
在甲方要求的时间内定期对加密系统进行监控查看,并对甲方技术人员反馈的信息或事件在第一时间进行反馈。
确认试运行期间系统满足标准,验收文件确认
依照合同提供技术服务
合同结束
√
5 试运行
5.1 培训
负责
配合
加密稳定性监控 负责 配合
6 终验
● √ √
7 维护期
8 合同结束
●
配合,提供技负责
术支持
√ √
9.2服务方案
9.2.1 McAfee服务等级介绍
第 28 页 共 28 页
发布评论