Ir para o Menu
Pesquisar a Base de conhecimento
SGN: Como configurar a criptografia de arquivos - File Encryption - File Share
Número de Referência: AA-00602 Visualizações: 2060 Criado: 05-02-2016 10:06 Última Atualização: 26-02-2016 16:16

Referência Sophos: https://www.sophos.com/en-us/support/knowledgebase/114307.aspx

- Descrição:

O File Encryption ou também conhecido como File Share, é um módulo do produto SafeGuard Enterprise que permite realizar a criptografia de arquivos.

Este artigo visa descrever algumas configurações em diferentes cenários.

- Observações sobre a funcionalidade:

- O módulo permite criptografar compartilhamento de rede (pastas compartilhadas), no entanto, o módulo (agente) não pode ser instalado em Servidores. Neste sentido, cada uma das estações que forem acessar/criptografar arquivos precisam possuir o módulo de File Encryption habilitado.

- Por configuração padrão da política, os arquivos criptografados não poderão ser visualizados em máquinas sem o SGN. Para fazer com que esta funcionalidade esteja disponível, é necessário instalar o módulo Data Exchange em conjunto, e criar uma chave com senha para ser utilizada no SGPortable¹.

- Ao aplicar as políticas nas estações, os arquivos existentes nós diretórios não serão automaticamente criptografados. Será necessário ter um evento de escrita em cada um dos arquivos. 

A Recomendação é remover os arquivos, copiando os mesmos para outro local e, copiando novamente os mesmos para o diretório.

1. SGPortable: É um aplicativo disponibilizado pela Sophos para acessar arquivos criptografados em máquinas que não possuem o SafeGuard Client instalado.

- O que fazer?

- Criação da Política:

1. Dentro do Management Center, clique em Policies.

2. Clique com o botão direito encima de Police Items e cria uma política de File Encryption.



- Descrição dos campos da política:

System: Informa qual é o sistema identificado para a configuração "Path". Pode ser Windows, Mac OS ou ambos.

Path: é o caminho do diretório que deseja criptografar

Scope: é o escopo da configuração do diretório.

             - Exemplo: Include subfolders: Habilita a criptografia na raíz do diretório tanto quanto nas subpastas.

Mode: Tipos de modos:

             - Encrypt: Criptografa os arquivos dentro da pasta

             - Exclude: Novos arquivos dentro do diretório não serão criptografados. Pode ser utilizado para excluir uma pasta ou subpasta da criptografia de arquivos. Os arquivos que já estão criptografados serão descriptografados quando houver um evento de leitura, caso o usuário possua permissão para acessar os arquivos.

             - Ignore: Os arquivos não serão tratados pelo módulo de File Encryption, os mesmos serão gravados em texto claro. 

Key: Chave que será utilizada na criptografia de arquivos.

Pode ser uma chave:

- comum com todos os usuários que fazem parte do SGN (Ex.: Root_Root / Domain_XYZ).

- e grupo, no qual todos os usuários que possuem esta chave terão acesso aos arquivos (Ex. Group_SegInfo / Group_RH / Group_Diretoria).

- Pessoal (Personal Key). Somente o usuário que criptografou o arquivo possui acesso ao mesmo.

- riada pelo módulo de Data Exchange para poder acessar arquivos criptografados em máquinas que não possuam o SafeGuard instalado.


- Cenários

Cenário 1: Criptografia de pasta compartilhada em servidor de arquivos.

Neste cenário a subpasta "Diretoria", localizada dentro de FileEnc (pasta compartilhada), está sendo criptografada com uma chave de grupo. Esta chave de grupo somente os diretores possuem acesso.

Na mesma política, também está sendo especificado para não criptografar a subpasta "Publico".


Observação: Observe que a regra foi escrita duas vezes, sendo que na primeira configuração foi colocado o nome do Servidor (Não é suportado o FQDN), e na segunda foi adicionado o endereço IP. Essa duplicidade se faz necessária visto que o SafeGuard obedece exatamente o caminho descrito na regra. Se houvesse a configuração apenas pelo nome, se o usuário acessar este compartilhamento via IP, os arquivos não seriam criptografados.


Cenário 2: Criptografia de uma pasta especifica dentro das estações.

Neste cenário o diretório "Meus Documentos" será criptografado por uma chave pessoal, no qual somente o usuário que criptografou o arquivo tem acesso ao mesmo.

Adicionalmente na mesma regra, foi especificado que a subpasta "Pessoal", localizada dentro da unidade D: será criptografada também pela chave pessoal do usuário.



Cenário 3: Criptografia de uma pasta compartilhada no qual todos os usuários do domínio terão acesso.

Neste cenário a subpasta "Planilhas", localizada dentro do compartilhamento denominado "EmpresaXYZ" está configurada para que todos os usuários do domínio, no qual o SGN já possui o certificado destes usuários, poderão acessar arquivos criptografados.

Neste mesmo exemplo a subpasta "Projetos TI" está configurada para que todos usuários do grupo Projetos TI terão acesso aos arquivos.

Ainda nesta configuração, a subpasta "Publico" está configurada para não ser criptografada.


Obs: Para que o SGN possua o certificado do usuário não basta apenas ter o sincronismo com o AD, é necessário que em uma das estações ocorra o UMA (cadastro do usuário).



Como aplicar a política:

Após configurada a regra, para aplicar a mesma nas estações, faça o seguinte procedimento:

1. Clique em Users and Computers;

2. Selecione a OU, Domínio, container ou Root;

3. Clique na guia Policies, no painel central.

4. Localize a(s) política(s) na parte direita e arraste para a parte central;

5. Salve as configurações.

Obs.: É possível também criar um grupo de políticas e incluir todas dentro deste grupo, não sendo necessário aplicar uma por uma. Crie o grupo de políticas na 'Policies' > 'Police Groups'.



Caso possua dúvidas nas configurações, solicitamos que realize a abertura de um chamado em nosso painel: https://painel.m3corp.com.br/

Clique aqui para retornar a página inicial do suporte técnico

Atenção!!!

Para maiores informações abra um chamado para a nossa equipe de suporte através do nosso painel de controle, para isso siga as instruções disponíveis no artigo abaixo:

Instruções para Suporte Técnico - M3Corp:
http://suporte.m3corp.com.br/article/AA-00283