tm7*_*m77 5 encryption windows-7 hard-drive windows-xp disk-encryption
我有大约 30 台(这个数字在未来几年很可能会增长到 50 台或更多)未加密的笔记本电脑,我的任务是加密(整个驱动器)。我的用户将定期在场外使用这些机器。这些机器运行的是 Windows 7 和 XP(大约 50/50),但每个月都有更多的 Windows 7。我有使用 Truecrypt 的经验,并且没有遇到任何问题。它似乎是免费解决方案的解决方案。
我对 Truecrypt 的担忧是我的用户将需要 2 个密码才能登录到他们的机器。此外,我需要选择为我的组织设置 1 个密码,或者仔细记录每台机器的密码(管理噩梦)。在我看来,在托管和免费加密解决方案之间进行选择主要基于将被加密和支持的机器数量。
两个问题:
我很想听听一些在公司环境中支持加密机器方面有经验的管理员。
提前谢谢了!
我们刚刚经历了这个并决定使用 truecrypt,因为它有良好的记录。我们目前有 15 个用户,并且可能会变得非常大。有两种选择:
用复杂的密码创建一个图像。从此创建恢复光盘。然后让用户更改它。不要创建另一个 CD。
或者创建一个复杂的密码并让用户在创建 cd 后更改它。更改后不要重新创建CD。这允许您使用您确保记住的密码重置密码。
最大的问题是你的时间和精力。祝你好运!
小智 2
何时使用 Truecrypt,何时不使用?
如果您的一台笔记本电脑丢失,并且您 A) 计算机上有机密数据,或者 B) 无法确认笔记本电脑上没有机密数据,那么您需要某种加密方案。当然,您(和您的组织)需要决定使用什么标准来考虑什么是机密,什么不是。我建议你不要忽略这一步;如果没有必要,您不想进行所有这些工作,也不想将您的组织相当于办公室的 cookie 配方提升到需要 AES-256 的保密级别。如果您已经完成了该过程,那么您就可以开始了。
我对 Truecrypt 的担忧是我的用户需要 2 个密码才能登录他们的计算机。另外,我需要选择为我的组织设置 1 个密码,或者仔细记录每台计算机的密码(管理噩梦)。
选择为您的笔记本电脑组使用单一密码还是在每台计算机上使用唯一密码取决于您需要考虑的一些问题:
如果您选择一个密码,您会在每次知道该密码的人离职时更改它吗?如果没有,您将多久轮换一次?如果您选择一个唯一的密码,您将提高安全性,但也会增加开销(但是您不必在每次员工离开时为每台笔记本电脑轮换密码)。您将如何跟踪密码轮换方案?
我的建议是选择一个排列方案,该方案使用笔记本电脑上实际保留的数字,例如序列号的一部分。添加一些您可以记住的其他内容。排列方案应该相对难以猜测,但足够简单,以便您可以坐在笔记本电脑前而不必参考文档。这应该会减少一些管理开销。显然,如果您需要轮换笔记本电脑的密码,您需要选择一个新的排列方案来“生成”您的密码。这可能就像增加一个数字一样简单......无论文档,文档,文档。
在我看来,在托管加密解决方案和免费加密解决方案之间进行选择主要取决于将加密和支持的计算机数量。
这里完全同意。使用非托管解决方案,30 - 50 台机器似乎是可行的,但在做出承诺之前,您需要仔细考虑一下。尝试测试设备以了解它需要什么样的开销。
- 从管理的角度来看,托管解决方案比 Truecrypt 更能收回成本的用户临界点是什么?
这取决于你是否有更多的时间或更多的钱。:D 就像我说的,有一些方法可以减少非托管解决方案的开销。开销可能比你想象的要少。
2.有哪些好的第三方解决方案?(我会考虑 Bitlocker,但升级 Windows 7 许可证的价格令人望而却步)
在我看来,只有 Bitlocker,但前提是您已经拥有许可证。根据我的经验,TrueCrypt 是一款出色的产品。关于 Bitlocker 需要提及的另一件事是,您仍然无法摆脱密码问题...我相信 Microsoft 的官方说法是,他们不建议将密码存储在 TPM 中,因为它容易受到冷启动攻击。
来自TechNet:“仅 TPM 身份验证模式最容易部署、管理和使用。它也可能更适合无人值守或必须在无人值守时重新启动的计算机。但是,仅 TPM 模式提供的数据量最少如果组织的某些部分拥有在移动计算机上被视为高度敏感的数据,请考虑在这些计算机上部署具有多重身份验证的 BitLocker。”
此外,企业附加功能允许您使用 AD 来存储“恢复密钥”(大概是加密所需的密钥文件的副本)。这是 TrueCrypt 恢复磁盘功能的一个很好的集成 Windows 版本。