Cryptage des fichiers partagés sur le domaine AD pour éviter les fuites

En définissant les autorisations NTFS et les autorisations de partage appropriées, vous empêcherez les utilisateurs et les périphériques non authentifiés de se connecter à vos partages.

Habilitation Chiffrement SMB peut protéger les données contre les écoutes sur des réseaux non fiables, mais n'empêchera pas l'exfiltration de données si un utilisateur ou un ordinateur authentifié est compromis.

Si votre préoccupation spécifique est d'empêcher l'exfiltration de données, vous devrez soit restreindre fortement la manière dont les utilisateurs accèdent aux données (vous devrez empêcher l'accès direct aux partages de réseau et leur demander de se connecter par le biais d'un autre mécanisme permettant un meilleur contrôle du flux de données), soit mettre en œuvre un logiciel de prévention de la perte de données, soit une combinaison de plusieurs mesures.

Je vous recommande d'entamer des recherches sur la prévention de la perte de données, qui vous mèneront vers de nombreuses pistes susceptibles de répondre à vos préoccupations spécifiques.

Voici un bon lien pour plus d'informations : Prévention de la perte de données

Puis-je crypter des dossiers partagés sur un serveur Windows et permettre uniquement aux utilisateurs authentifiés du domaine d'accéder à ces fichiers ?

Le cryptage n'empêche pas les fichiers d'être divulgués par des utilisateurs capables de les décrypter, et c'est exactement ce que vous pouvez faire pour (voir et modifier) un fichier. Cela signifie que si un utilisateur souhaite copier un fichier qui existe sur le partage du réseau vers un périphérique de stockage flash amovible, la copie du fichier n'est pas cryptée.

Je suis très préoccupé par les attaques de ransomware, et j'ai déjà pris en charge la sauvegarde, de sorte que la perte de données n'est pas ma principale préoccupation. Cependant, il serait vraiment dommage qu'un ransomware copie nos fichiers dans le nuage et les diffuse dans la nature.

La protection d'un partage réseau par BitLocker n'empêchera PAS un ransomware de chiffrer les fichiers auxquels un utilisateur a accès en écriture, puisque le ransomware tente généralement de chiffrer tous les fichiers auxquels l'utilisateur qui l'a exécuté a accès.

Nous avons déjà activé BitLocker, mais, d'après ce que j'ai compris, il ne protège que contre l'accès physique au disque, et pendant qu'il fonctionne, tout ce qui se trouve sur le serveur est déjà décrypté et disponible pour être lu ou copié.

BitLocker est en effet conçu pour empêcher d'attacher le lecteur de disque physique à un autre ordinateur.

Mon idée est de crypter les dossiers et fichiers partagés à l'aide de certificats/clés installés via GPO sur les machines de notre réseau. Si l'utilisateur se connecte en utilisant AD, il obtient la clé et peut lire/écrire les fichiers, mais si quelqu'un devait les copier (le fichier, pas le contenu évidemment) à un emplacement externe, ils ne seraient pas lisibles du tout.

L'EFS empêche la copie du fichier, mais un utilisateur peut simplement décrypter le fichier, puisqu'il dispose d'un accès en écriture à la copie du fichier. Cependant, l'EFS n'empêchera pas un ransomware de chiffrer ce même fichier.

S'agit-il d'une solution viable pour prévenir les fuites de données ? Ou existe-t-il d'autres méthodes qui seraient plus efficaces dans ce cas particulier ?

EFS et BitLocker n'empêchent pas les données d'être copiées sur un périphérique amovible externe. Il existe des solutions à ce problème. EFS et BitLocker ne sont pas cette solution.

mon objectif principal est d'empêcher l'ouverture/la lecture des fichiers à partir d'une machine située en dehors de mon réseau de domaine

En tant qu'attaquant hostile, on ne peut pas simplement brancher une machine et se connecter à un domaine AD. La machine doit être configurée pour se connecter au domaine, et le domaine doit reconnaître que la machine peut y accéder. En outre, il est impossible d'accéder à votre réseau depuis l'extérieur, ce qui fait qu'une attaque physique est votre seul risque réel. Configurez donc les ports des commutateurs pour qu'ils soient désactivés par défaut, les ports verrouillés pour des machines spécifiques à moins qu'ils ne soient déverrouillés, et utilisez les outils appropriés (2FA) pour protéger les comptes de tous les fabricants si ces commutateurs sont configurés à distance.

S'ils ont un accès physique à ces terminaux, BitLocker et des règles de mot de passe fort empêchent l'accès à votre réseau. BitLocker empêche de retirer le disque dur de la machine et de le placer dans une autre machine. Même si cela se produisait, ils ne pourraient pas accéder aux partages de votre réseau, car ils doivent accéder à un compte de domaine disposant des autorisations nécessaires. L'EFS crypte les fichiers de l'utilisateur dans son profil, ce qui signifie que si, pour une raison quelconque, l'utilisateur parvient à contourner et à décrypter l'ensemble du disque, il aura toujours besoin du certificat et de la phrase de passe pour accéder aux fichiers.

Pendant ce temps, le disque partagé est toujours hors limites parce qu'il faut une machine sur le domaine et authentifiée en tant que compte d'utilisateur qui a les permissions.

Le seul moyen pour une machine extérieure à votre domaine AD d'accéder à vos fichiers sur votre partage de réseau est d'accéder au partage en utilisant un compte sur le domaine. Cela signifie que la machine a été ajoutée au domaine. Dans le cas contraire, la copie du fichier sur un lecteur externe serait la seule autre solution.

Je veux empêcher que les fichiers (s'ils sont téléchargés) soient ouverts sur des machines qui n'ont pas été intégrées à notre réseau local ou à notre domaine.

Il existe des systèmes de protection des ressources, mais le cryptage des fichiers n'est pas cette protection. Si un utilisateur de votre domaine copie un fichier sur un dispositif flash, ouvre son ordinateur portable personnel sur son prochain, il pourra copier ce fichier sans aucune difficulté.