推薦的驅動器加密解決方案
我很快將為我們的移動員工購買一些執行 Windows 7 的筆記型電腦。由於我們業務的性質,我需要驅動器加密。Windows BitLocker 似乎是顯而易見的選擇,但看起來我需要購買 Windows 7 企業版或旗艦版才能獲得它。任何人都可以就最佳行動方案提出建議:
a) 使用 BitLocker,咬緊牙關,付費升級到 Enterprise/Ultimate
b) 購買另一個更便宜的第 3 方驅動器加密產品(建議讚賞)
c) 使用免費的驅動器加密產品,例如 TrueCrypt
理想情況下,我還對使用驅動器加密軟體的人的“真實世界”體驗以及需要注意的任何陷阱感興趣。
提前謝謝了…
更新
決定使用 TrueCrypt 的原因如下:
a) 產品有良好的往績記錄
b) 我沒有管理大量筆記型電腦,因此與 Active Directory、管理控制台等集成並不是一個巨大的好處
c) 儘管 eks 確實對 Evil Maid (EM) 攻擊提出了很好的觀點,但我們的數據並不理想,不能將其視為主要因素
d) 成本(免費)是一大優勢,但不是主要動力
我面臨的下一個問題是映像(Acronis/Ghost/..)加密驅動器將無法工作,除非我執行逐個扇區的映像。這意味著一個 80Gb 的加密分區會創建一個 80Gb 的映像文件 :(
真加密:http ://www.truecrypt.org/
將完全加密移動、內部驅動器,您甚至可以即時加密整個系統分區,然後設置引導載入程序密碼 - 為您在筆記型電腦上提供更多安全性。
及其開源 - 免費。
http://4sysops.com/archives/system-drive-encryption-truecrypt-5-vs-bitlocker/
Bitlocker 也不錯,但由於預算問題,我建議使用 truecrypt。
有了現在可用於 TrueCrypt 的 Evil Maid (EM) 攻擊工具,如果我有預算,我會選擇 BitLocker,因為類似 EM 的攻擊要復雜得多,而且正如 Oskar Duveborn 所說,它可以更好地與 AD 等集成。
我建議您閱讀 Joanna Rutkowska 關於這兩種產品的文章:
http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html
http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html
但是,如果您確定您的同事會一直照顧好他們的筆記型電腦 - 帶有安全盒和所有東西,您可以選擇 TrueCrypt。
旁注
- 請記住,全盤加密不會從內部保護您的數據
$$ the OS $$,例如,如果您的電腦在執行時被病毒損壞。
- 請記住,技術解決方案只是安全鏈的一部分(有關詳細資訊,請參見http://xkcd.com/538/)。
編輯 (01-20-2010)
有關 BitLocker 和 EM 攻擊的其他詳細資訊: