何時使用 Truecrypt,何時不使用?
我有大約 30 台(這個數字很可能在未來幾年內增加到 50 台或更多)未加密的筆記型電腦,我的任務是加密(整個驅動器)。我的使用者將定期在場外使用這些機器。這些機器執行的是 Windows 7 和 XP(大約 50/50),但每個月都有更多的 Windows 7。我有使用 Truecrypt 的經驗,並且沒有遇到任何問題。它似乎是免費解決方案的解決方案。
我對 Truecrypt 的擔憂是,我的使用者需要 2 個密碼才能登錄他們的機器。此外,我需要選擇為我的組織設置 1 個密碼,或者仔細記錄每台機器的密碼(管理噩夢)。在我看來,在託管加密解決方案和免費加密解決方案之間進行選擇主要基於將要加密和支持的機器數量。
兩個問題:
- 從管理的角度來看,託管解決方案通過 Truecrypt 為自己買單的使用者的臨界點是什麼?
- 有哪些好的第三方解決方案?(我會考慮 Bitlocker,但升級 Windows 7 許可證的價格是一個關閉)
我很想听聽一些在企業環境中支持加密機器經驗的管理員的意見。
提前謝謝了!
何時使用 Truecrypt,何時不使用?
如果您的一台筆記型電腦失去,並且您要麼 A)機器上有機密數據,要麼 B)無法確認筆記型電腦上沒有機密數據,那麼您需要某種加密方案。當然,您(和您的組織)需要決定使用什麼標準來考慮什麼是機密的,什麼不是。我建議你不要忽視這一步;如果沒有必要,您不想進行所有這些工作,也不想將您的組織相當於辦公室的 cookie 配方提升到需要 AES-256 的保密級別。如果你已經完成了這個過程,那麼你很高興。
我對 Truecrypt 的擔憂是我的使用者需要 2 個密碼才能登錄到他們的機器。此外,我需要選擇為我的組織設置 1 個密碼,或者仔細記錄每台機器的密碼(管理噩夢)。
為您的筆記型電腦使用單一密碼還是在每台機器上使用唯一密碼之間的選擇取決於您需要考慮的一些問題:
如果您選擇一個密碼,您會在每次知道該密碼的人離職時更改它嗎?如果沒有,你多久輪換一次?如果您選擇一個唯一的密碼,您將提高安全性,但也會增加成本(但是您不必在每次員工離開時輪換每台筆記型電腦的密碼)。您將如何跟踪密碼輪換方案?
我的建議是選擇一個排列方案,該方案使用一個物理上與筆記型電腦保持一致的數字,例如序列號的一部分。在此添加您能記住的其他內容。排列方案應該相對難以猜測,但足夠簡單,這樣您就可以坐在筆記型電腦前,而不必參考文件。這應該會減少一些管理成本。顯然,如果您需要輪換筆記型電腦的密碼,您需要選擇一個新的排列方案來“生成”您的密碼。這可能很簡單,就像增加一個數字……不管文件、文件、文件。
在我看來,在託管加密解決方案和免費加密解決方案之間進行選擇主要基於將要加密和支持的機器數量。
在這裡完全同意。30 - 50 台機器在這裡似乎可以使用非託管的解決方案,但在您承諾之前,您需要仔細考慮一下。嘗試一個測試台來了解它需要什麼樣的成本。
- 從管理的角度來看,託管解決方案通過 Truecrypt 為自己買單的使用者的臨界點是什麼?
這取決於您是否有更多的時間或更多的錢。:D 就像我說的,有一些方法可以減少非託管解決方案的成本。成本可能比您想像的要少。
2.
有哪些好的第三方解決方案?(我會考慮 Bitlocker,但升級 Windows 7 許可證的價格是一個關閉)在我看來,只有 Bitlocker,但前提是您已經擁有許可證。根據我的經驗,TrueCrypt 是一款出色的產品。關於 Bitlocker 的另一件事是,您仍然無法擺脫密碼問題……我相信微軟的官方說法是他們不建議將密碼儲存在 TPM 中,因為它容易受到冷啟動攻擊.
來自TechNet:“僅 TPM 身份驗證模式最易於部署、管理和使用。它也可能更適合無人值守或必須在無人值守時重新啟動的電腦。但是,僅 TPM 模式提供的數據量最少“
此外,企業添加允許您使用 AD 儲存“恢復密鑰”(可能是加密所需的密鑰文件的副本。這是 TrueCrypt 恢復磁碟功能的一個很好的集成 Windows 版本。