Symantec encryption desktop что это

Обновлено: 04.07.2024

Шифрование файлов и папок на жестком диске и съемных носителях (Windows, Mac OS & Linux)

Symantec Endpoint Encryption (Encryption Desktop) это профессиональное решение на основе технологии PGP для надежного шифрования любых данных, хранящихся на жестких дисках и съемных носителях настольных или портативных систем. Позволяет надежно защитить корпоративные данные от несанкционированного доступа.

Шифрование данных

Symantec Endpoint Encryption защищает от кражи или потери данных, путем шифрования информации на жестком диске (файлы, папки) и флэш носителях (USB, SD карты памяти), включая загрузочные сектора диска, системные файлы и файлы подкачки.

Технологии шифрования

Шифрование на основе технологии PGP Hybrid Cryptographic Optimizer (HCO) с использованием возможности оптимизации аппаратного обеспечения AES-NI для повышения скорости шифрования.

Политики шифрования

Автоматическое шифрование данных, за счет настройки списков съемных носителей и отдельных групп пользователей.

Аутентификация пользователей

Доступ к документам и файлам с возможностью двухфакторной аутентификация пользователей (пароль и smart card или token). Интеграция с Active Directory для индивидуальных и групповых политик управления ключами. Возможность многопользовательской аутентификации пользователей для совместной работы с документами, находящихся на зашифрованном жестком диске.

Централизованное управление

Централизованная настройка политик безопаности в организации, управление ключами и клиентскими приложениями с помощью единого сервера управления (Encryption Management Server) включенного в комплект поставки.

Комплексный подход

Symantec Drive Encryption можно использовать в сочетании с другими средствами шифрования Symantec для обеспечения нескольких уровней безопасности: File Share Encryption, Desktop Email Encryption, а так же Mobile Encryption.

Обзор Symantec Endpoint Encryption

group_1: Создание и управление ключами шифрования Symantec Endpoint Encryption
group_1: Создание и управление политикой шифрования электронной почты
group_1: Создание нового виртуального диска для хранения зашифрованных файлов
group_1: Настройки шифрования локального диска
group_1: Средство для безопаного просмотра зашифрованных файлов и писем
group_1: Выбор способа аутентификации пользователя при запуски системы
group_1: Создание ключей шифрования для пользователей
group_1: Окно настройки опций Symantec Endpoint Encryption
group_1: Окно справки Symantec Endpoint Encryption
group_1: Окно просмотра истории предупреждений и ошибок работы программы

Системные требования клиент Encryption Desktop (версия 10.4.2)

Microsoft Windows

  • Windows 7 / 8 / 8.1 / 10 (32-bit and 64-bit)
  • Windows Server 2008R2 / 2012 / 2012R2 / 2016 / 2019 (64-bit edition)
  • Windows Embedded 7 / 8 / 8.1
  • Mac OS X 10.9 / 10.10 / 10.11
  • MacOS 10.12 / 10.13 / 10.14
  • CentOS 6.x / 7.2
  • Red Hat Enterprise Linux (RHEL) 6.x / 7.x
  • Ubuntu 12.04 / 14.04 / 16.04

Лицензирование Symantec Endpoint Encryption

Лицензия Symantec Endpoint Encryption приобретается на каждое устройство, участвующее в процессах обмена информации.


Защита дисков, томов и файлов

PGP Desktop Professional включает в себя приложение PGP® Whole Disk Encryption для шифрования всего содержимого портативного ПК, рабочего стола, внешнего диска или носителя USB-fash, включая загрузочные секторы, систему и файлы подкачки.

Гибкие функции развертывания

PGP Desktop Professional можно развертывать в автономном режиме в небольших компаниях или для привилегированных пользователей на больших предприятиях. По мере роста требований к безопасности организации могут легко переносить существующих пользователей на централизованную управляемую архитектуру, не требуя от них дополнительных действий, а также добавлять новые функции шифрования по мере необходимости.

Поддержка PGP Encryption Platform представляет собой стратегическую корпоративную платформу шифрования для совместного управления пользователями, создания политик, а также для инициализации услуг, автоматизированной для работы с несколькими встроенными приложениями шифрования. Благодаря поддержке PGP Encryption Platform приложение PGP Desktop Professional управляет пользователями, ключами и конфигурациями, ускоряя развертывание и способствуя применению политик. PGP Desktop Professional можно использовать в сочетании с другими средствами шифрования PGP для обеспечения нескольких уровней безопасности.

Быстрое развертывание

Гарантированный доступ к защищенным данным

  • Запатентованная технология предоставляет общий доступ к защищенным данным без использования главного пароля или совместных полномочий.
  • Преимущества для рабочих групп

Многопользовательский доступ к рабочим станциям

С помощью отдельных полномочий аутентификации к защищенному технологией PGP жесткому диску может предоставляться многопользовательский доступ.

Простота и удобство в работе

Контекстные меню и интуитивный графический интерфейс делают ПО PGP Desktop Professional удобным в работе.


Это Donateware - если вы считаете нужным, то финансово поддержите проект, нет просто можете помочь своим трудом в разработке. Активации он не требует.

Добро. Я под дождик мокнуть - за окном ливень, а надо в серверную бежать.

Очень извиняюсь за оффтоп, но общего топика по криптографии на форуме на нашёл.

Вы попробуйте, может не все так страшно окажется.

Работать с зашифрованными документами - используйте формат pdf. Есть прекрасные и ОЧЕНЬ НЕРЕСУРСОЕМКИЕ пакеты для работы с ним, при это имеется нативная поддержка шифрования на многих уровнях: открытия, просмотра, редактирования, печати, в т.ч. AES-256, -128, сертификаты.

Если опишите более конкретно требования к степени защиты и области защищаемой информации, можно подобрать себе и инструменты.

Поимел повторение проблемы через месяц стабильной работы v.10.3.2 MP2 сабжа. Тут справочно.

Потом была мысль про OpenSSSL.

Результат - по прошествии некоторого времени имею повторение проблемы. Опять отказ The Bat в приеме почты. Правда, в этот раз произошло после установки Dr. Web - сразу же отказ в приеме почты. Откатился на v.10.3.1 - все нормализовалось.
Совпадение или нет с установкой Dr.Web - пока не знаю, может они и поссорились. Но, ранее PGP v.10.3.2 MP2 + Dr.Web работали вместе, до определенного момента схождения с ума v.10.3.2 MP2, описанного в предыдущих постах.
Проверка Dr.Web зашифрованного рафика была отключена, потом пробовалось вкллючение, в том числе подкидка сертификата Dr.Web в The Bat. Не помогло.

Либы OpenSSL поставить не пробовали? При их отсутствии система шифрования работать не будет. У программы могут быть свои либы в её каталоге, но это не значит что они доступны всем.

описываю проблему/задачу:
есть локальные компы с win7 SP1 x64
есть сетевое хранилище диск которого по iSCSI подключается на локальный комп.
задача в том что бы на этом диске, в сети, хранить образы PGP-disk-а которые по необходимости монтируются на локальные компы

так вот. хранилище запустили, диск создали, подключили через iSCSI на локальные компы. на этом этапе все работает. PGP тоже стал и работает (на локальном винте без проблем размещает образ и монтирует его в диск). НО при попытке разместить это же самое на диск смонтированный iSCSI = диск создается, но не форматированный что под FAT(ругается что не хватает полномочий), что под NTFS (молча все делает, но диск не форматированный)!
и форматнуть не получается - ругается уже винда.

1. кто сталкивался и как победить ?
2. если победить PGP нельзя - может кто подскажет чем (каким ПО) можно решить подобную проблему и выполнить подобную задачу ? ))

Сей статье на деле лет пятнадцать - двадцать. Это всё было описано ещё в середине 80-х в реферативном журнале "Вычислительная техника за рубежом", позднее только названия ПО поменяли. Ходите в ГПНТБ. Говорят полезно.

Российские разработчики взломали защиту криптоконтейнера BitLocker, PGP и TrueCrypt
25 декабря, 2012

Специалистам компании Elcomsoft удалось взломать защиту криптоконтейнеров BitLocker, PGP и TrueCrypt. Всю информацию, которая хранится в зашифрованных томах данных, можно проанализировать посредством криминалистического анализа.

Стоит отметить, что разработанный экспертами продукт под названием Elcomsoft Forensic Disk Decryptor позволяет снять защиту мгновенно, извлекая при этом все необходимые для расшифровки ключи из слепка оперативной памяти компьютера, либо же файла гибернации.

«Все три криптоконтейнера обеспечивают действительно стойкую защиту, отмечает Андрей Малышев, криптоаналитик компании ElcomSoft. - Но даже самым устойчивым ко взлому продуктам никто не будет пользоваться, если пользоваться им неудобно. Неизбежные компромиссы, на которые пришлось пойти разработчикам BitLocker, PGP и TrueCrypt, являются тем самым слабым звеном, которое мы смогли использовать для снятия защиты».

Elcomsoft Forensic Disk Decryptor позволяет получить доступ ко всему содержимому защищенного тома, а также к отдельным его данным в режиме реального времени. В этом режиме зашифрованные тома подключаются в виде отдельных дисков, а необходимые данные расшифровываются «на лету».

Корректная работа программы в момент снятия образа оперативной памяти (или в момент «засыпания» компьютера) предусматривает то, что криптоконтейнер должен быть подключен. В противном случае ключи расшифровки данных моментально уничтожаются, и зашифрованные диски не могут быть расшифрованы без знания оригинального текстового пароля, вводимого пользователем в момент подключения защищённого диска.


Существует масса причин зашифровать данные на своем жестком диске, но расплатой за безопасность данных будет снижение скорости работы системы. Цель этой статьи — сравнить производительность при работе с диском, зашифрованным разными средствами.

Чтобы разница была более драматичной, мы выбрали не суперсовременную, а среднестатистическую машину. Обычный механический хард на 500 Гбайт, двухъядерный AMD на 2,2 ГГц, 4 гига оперативки, 64-битная Windows 7 SP 1. Никаких антивирусов и прочих программ во время теста запущено не будет, чтобы ничто не смогло повлиять на результаты.

Для оценки производительности я выбрал CrystalDiskMark. Что до тестируемых средств шифрования, то я остановился на таком списке: BitLocker, TrueCrypt, VeraCrypt, CipherShed, Symantec Endpoint Encryption и CyberSafe Top Secret.

BitLocker

Это стандартное средство шифрования дисков, встроенное в Microsoft Windows. Многие просто используют его, не устанавливая сторонних программ. Действительно, зачем, если все уже есть в системе? С одной стороны, правильно. С другой стороны, код закрыт, и нет уверенности, что в нем не оставили бэкдоров для ФБР и прочих интересующихся.

Шифрование диска осуществляется по алгоритму AES с длиной ключа 128 или 256 бит. Ключ при этом может храниться в Trusted Platform Module, на самом компьютере или на флешке.

Если используется TPM, то при загрузке компьютера ключ может быть получен сразу из него или после аутентификации. Авторизоваться можно при помощи ключа на флешке или введя PIN-код с клавиатуры. Комбинации этих методов дают множество вариантов для ограничения доступа: просто TPM, TPM и USB, TPM и PIN или все три сразу.

У BitLocker есть два неоспоримых преимущества: во-первых, им можно управлять через групповые политики; во-вторых, он шифрует тома, а не физические диски. Это позволяет зашифровать массив из нескольких дисков, чего не умеют делать некоторые другие средства шифрования. Также BitLocker поддерживает GUID Partition Table (GPT), чем не может похвастаться даже наиболее продвинутый форк «Трукрипта» VeraCrypt. Чтобы зашифровать с его помощью системный GPT-диск, придется сначала конвертировать в формат MBR. В случае с BitLocker это не требуется.

В целом, недостаток один — закрытые исходники. Если ты хранишь секреты от домочадцев, BitLocker отлично подойдет. Если же твой диск забит документами государственной важности, лучше подыскать что-то другое.

Можно ли расшифровать BitLocker и TrueCrypt

Если попросить Google, то он найдет интересную программу Elcomsoft Forensic Disk Decryptor, пригодную для расшифровки дисков BitLocker, TrueCrypt и PGP. В рамках этой статьи испытывать ее не стану, но поделюсь впечатлениями о другой утилите от Elcomsoft, а именно Advanced EFS Data Recovery. Она превосходно расшифровывала EFS-папки, но при условии, что пароль пользователя не был задан. Если задать пароль хоть 1234, программа оказывалась бессильной. Во всяком случае, расшифровать зашифрованную EFS-папку, принадлежащую пользователю с паролем 111, у меня не получилось. Думаю, с продуктом Forensic Disk Decryptor ситуация будет такой же.

TrueCrypt

Это легендарная программа шифрования дисков, разработка которой была прекращена в 2012 году. История, которая приключилась с TrueCrypt, до сих пор покрыта мраком, и толком никто не знает, почему разработчик решил отказаться от поддержки своего детища.

Есть лишь крупицы информации, не позволяющие сложить пазл воедино. Так, в 2013 году начался сбор средств для проведения независимого аудита TrueCrypt. Причиной прослужила полученная от Эдварда Сноудена информация о намеренном ослаблении средств шифрования TrueCrypt. На аудит было собрано свыше 60 тысяч долларов. В начале апреля 2015 года работы были завершены, но никаких серьезных ошибок, уязвимостей или других существенных недостатков в архитектуре приложения выявлено не было.

К преимуществам TrueCrypt можно отнести открытые исходники, надежность которых теперь подкреплена независимым аудитом, и поддержку динамических томов Windows. Недостатки: программа больше не развивается, и разработчики не успели реализовать поддержку UEFI/GPT. Но если цель — зашифровать один несистемный диск, то это неважно.

В отличие от BitLocker, где поддерживается только AES, в TrueCrypt есть еще Serpent и Twofish. Для генерации ключей шифрования, соли и ключа заголовка программа позволяет выбрать одну из трех хеш-функций: HMAC-RIPEMD-160, HMAC-Whirlpool, HMAC-SHA-512. Однако о TrueCrypt уже много чего было написано, так что не будем повторяться.

VeraCrypt

Наиболее продвинутый клон TrueCrypt. У него собственный формат, хотя есть возможность работы в режиме TrueCrypt, в котором поддерживаются зашифрованные и виртуальные диски в формате «Трукрипта». В отличие от CipherShed, VeraCrypt может быть установлена на один и тот же компьютер одновременно с TrueCrypt.


Самоустранившись, TrueCrypt оставил богатое наследие: у него множество форков, начиная с VeraCrypt, CipherShed и DiskCryptor.

В TrueCrypt используется 1000 итераций при генерации ключа, которым будет зашифрован системный раздел, а VeraCrypt использует 327 661 итерацию. Для стандартных (не системных) разделов VeraCrypt использует 655 331 итерацию для хеш-функции RIPEMD-160 и 500 000 итераций для SHA-2 и Whirlpool. Это делает зашифрованные разделы существенно более устойчивыми к атаке прямым перебором, но и значительно снижает производительность работы с таким разделом. Насколько значительно, мы скоро выясним.

Среди преимуществ VeraCrypt — открытый исходный код, а также собственный и более защищенный по сравнению с TrueCrypt формат виртуальных и зашифрованных дисков. Недостатки те же, что и в случае с прародителем, — отсутствие поддержки UEFI/GPT. Зашифровать системный GPT-диск по-прежнему нельзя, но разработчики уверяют, что работают над этой проблемой и скоро такое шифрование будет доступно. Вот только работают они над этим уже два года (с 2014-го), и когда будет релиз с поддержкой GPT и будет ли он вообще, пока не известно.

CipherShed

Еще один клон TrueCrypt. В отличие от VeraCrypt, он использует исходный формат TrueCrypt, поэтому можно ожидать, что его производительность будет близка к производительности TrueCrypt.

Преимущества и недостатки все те же, хотя к недостаткам можно еще добавить невозможность установки TrueCrypt и CipherShed на одном компьютере. Мало того, если попытаться установить CipherShed на машину с уже установленным TrueCrypt, то инсталлятор предлагает удалить предыдущую программу, но не справляется с задачей.

Symantec Endpoint Encryption

В 2010 году компания Symantec выкупила права на программу PGPdisk. В результате появились такие продукты, как PGP Desktop и, впоследствии, Endpoint Encryption. Именно ее мы и рассмотрим. Программа, конечно же, проприетарная, исходники закрыты, и одна лицензия стоит 64 евро. Зато тут есть поддержка GPT, но только начиная с Windows 8.

Другими словами, если нужна поддержка GPT и есть желание зашифровать системный раздел, то придется выбирать между двумя проприетарными решениями: BitLocker и Endpoint Encryption. Вряд ли, конечно, домашний пользователь будет устанавливать Endpoint Encryption. Проблема в том, что для этого требуется Symantec Drive Encryption, для установки которого нужны агент и сервер управления Symantec Endpoint Encryption (SEE), а сервер хочет поставить еще и IIS 6.0. Не многовато ли всякого добра ради одной программы для шифрования диска? Мы прошли через все это только ради того, чтобы замерить производительность.

Момент истины

Итак, приступаем к самому интересному, а именно к тестированию. Первым делом нужно проверить производительность диска без шифрования. Нашей «жертвой» будет раздел жесткого диска (обычного, не SSD) размером 28 Гбайт, отформатированный как NTFS.

Открываем CrystalDiskMark, выбираем количество проходов, размер временного файла (во всех тестах будем использовать 1 Гбпйт) и сам диск. Стоит отметить, что количество проходов практически не влияет на результаты. На первом скриншоте показаны результаты измерения производительности диска без шифрования с числом проходов 5, на втором — с числом проходов 3. Как видишь, результаты практически идентичны, поэтому остановимся на трех проходах.

Диск без шифрования, количество проходов 5

Диск без шифрования, количество проходов 5

Результаты CrystalDiskMark нужно трактовать так:

  • Seq Q32T1 — тест последовательной записи / последовательного чтения, количество очередей — 32, потоков — 1;
  • 4K Q32T1 — тест случайной записи / случайного чтения (размер блока 4 Кбайт, количество очередей — 32, потоков — 1);
  • Seq — тест последовательной записи / последовательного чтения;
  • 4K — тест случайной записи / случайного чтения (размер блока 4 Кбайт);

Далее я буду ссылаться на эти тесты по их порядку в CrystalDiskMark, то есть Seq Q32T1 — это первый тест, 4K Q32T1 — второй и так далее.

Начнем с BitLocker. На шифрование раздела размером 28 Гбайт было потрачено 19 минут.

Процесс шифрования диска при помощи BitLocker

Процесс шифрования диска при помощи BitLocker

При последовательном чтении/записи с большим количеством очередей результаты (первый тест) мало чем отличаются от работы с незашифрованным диском. Зато при обычном последовательном чтении скорость чтения ниже на 13 Мбайт/с, что уже ощутимо. Остальные результаты примерно такие же, как при работе с незашифрованным диском. Отсюда вывод, что реальная производительность зависит от алгоритма работы программы, которая производит чтение и запись. В некоторых программах разница будет совсем незаметна. В других будет чувствоваться эффект торможения при работе с зашифрованным диском.

Результаты BitLocker

Результаты BitLocker

Теперь посмотрим на работу TrueCrypt. Шифрование раздела заняло всего 9 минут, параметры были установлены по умолчанию. При шифровании скорость работы с диском составила 55,4 Мбайт/с.

Настройки TrueCrypt Скорость работы с диском, зашифрованным TrueCrypt

Результаты мало чем отличаются от показателей незашифрованного диска, только скорость последовательной записи немного подкачала. На скриншоте видно, что работа происходит с диском L — именно к этой букве был подмонтирован зашифрованный диск E:. В TrueCrypt работа с зашифрованным диском осуществляется несколько иначе, чем в BitLocker.

Результаты TrueCrypt

Результаты TrueCrypt

А вот результаты VeraCrypt приятно удивили. Признаться честно, проводя тест, я ожидал, что победителем будет TrueCrypt и, возможно, результаты CipherShed окажутся на том же уровне. В VeraCrypt я не верил — из-за того, что у этой программы собственный формат и продвинутый алгоритм шифрования. Подозревать, что мои прогнозы окажутся неправильными, я начал еще при шифровании диска — скорость оказалась существенно выше, чем у TrueCrypt: 65 Мбайт/с против 55 Мбайт/с.

Шифрование диска программой VeraCrypt Результаты VeraCrypt

Единственное, что мне не понравилось в VeraCrypt, — задержка длительностью примерно в минуту перед монтированием диска. Такой задержки не было ни в TrueCrypt, ни в CipherShed.

Задержка перед монтированием диска — неприятная особенность VeraCrypt

Задержка перед монтированием диска — неприятная особенность VeraCrypt

А вот CipherShed оказался медленнее VeraCrypt. Честно говоря, я был этим несколько удивлен: формат у CipherShed тот же, что и у TrueCrypt, настройки были такие же, значит, и производительность должна быть похожа. Но разница видна даже на этапе шифрования раздела — скорость составляла 43–51 Мбайт/с.

Результаты CipherShed Параметры шифрования раздела CipherShed Шифрование раздела в CipherShed

Осталось протестировать производительность Symantec Endpoint Security, которая является более навороченной версией PGPDisk. В третьем тесте производительность оказалась самой низкой из всех протестированных программ.

Результат Symantec Endpoint Security

Результат Symantec Endpoint Security

Систематизируем результаты

Вот итоговая таблица с результатами.

Приложение Seq Q32T1 4K Q32T1 Seq 4K
Чтение Запись Чтение Запись Чтение Запись Чтение Запись
Без шифрования 79.88 80.66 0.679 1.195 79.89 78.43 0.548 1.101
BitLocker 79.65 79.80 0.688 1.226 66.85 77.15 0.534 1.115
TrueCrypt 79.81 80.65 0.551 1.151 79.65 71.51 0.539 1.133
VeraCrypt 79.99 76.56 0.562 1.262 79.89 68.15 0.542 1.154
CipherShed 73.52 77.05 0.551 1.096 74.04 65.84 0.536 1.139
Symantec EE 79.86 80.13 0.666 1.134 58.93 51.80 0.507 1.115

При использовании BitLocker снижение производительности наблюдается только в третьем тесте. В случае с TrueCrypt ощутимое снижение производительности наблюдается тоже в третьем тесте и то только при записи. Во всех остальных случаях снижение производительности вряд ли окажется сколько-нибудь ощутимым.

Производительность VeraCrypt, как и ожидалось, ниже, чем производительность TrueCrypt. Снижение скорости наблюдается в первом и третьем тестах. А вот CiphedShed оказался даже медленнее, чем VeraCrypt, — тоже в первом и третьем тестах. Symantec EE не выглядел бы аутсайдером, если бы не проваленный третий тест. Последовательный ввод-вывод с блоками небольшого размера — явно не его конек.

Однако всё это известные приложения, и все они на деле дают приемлемую производительность. Напоследок я решил протестировать еще одну программу — CyberSafe Top Secret. В ней используется библиотека шифрования диска от NT Kernel и все тот же алгоритм AES. С этим приложением я уже давно знаком, но, если честно, ожидал более высоких результатов. На деле это оказался настоящий аутсайдер — на фоне его результатов даже SEE кажется спринтером. Epic fail.

Результаты CyberSafe Top Secret

Результаты CyberSafe Top Secret

Выводы

Первое место по производительности разделяют TrueCrypt и BitLocker. В третьем тесте скорость чтения у них ниже, чем у VeraCrypt, но зато выше скорость записи, да и посмотри на результаты второго теста.

На втором месте — VeraCrypt, эта программа ненамного медленнее, чем TrueCrypt. Третье место — CipherShed, а четвертое — Symantec Endpoint Encryption, но только из-за провала в третьем тесте. Что до CyberSafe Top Secret, то мы о нем больше говорить не будем.

Если нужна поддержка GPT, то я бы выбрал BitLocker. Как и SEE, BitLocker — решение с закрытым кодом, но его стоимость уже входит в цену Windows, так что недешевый (и к тому же тянущий за собой череду другого софта) SEE оставим корпоративным пользователям.

Однако если нужно зашифровать хранилище, а не системный диск, то можно смело выбирать VeraCrypt. Да, будет чуть медленнее, чем TrueCrypt, но зато проект развивается, и есть надежда, что и поддержка GPT появится в обозримом будущем.

Читайте также: