我想了解如何在计算机或硬盘被盗时保护数据不被盗用。
我正在寻找合理的保护防止未经授权访问私人数据(密码、许可证号、信用卡号),我不保护工业机密,也不寻求保护以防止实验室中的人员移除盘片并使用取证工具。我需要一些不需要 USB 密钥等设备物理存在的东西,除非在凭据丢失时用于恢复目的。我需要保护操作系统分区和其他分区和/或包含用户数据的驱动器。
欢迎提供可以在实践中运用的专业建议。
- 我是否需要加密、硬盘锁,还是两者都需要?
- 如果加密:硬加密还是软加密?
- 如何在 LGA 1155 + Windows 7 环境中设置解决方案?
- 适用于所有类型的分区,包括 GPT / 大尺寸分区。
- 如何检查硬件兼容性?(BIOS/EFI、驱动器、主板......)
- 假设小偷可以物理访问机器,可以绕过正常启动过程,可以重新安装 BIOS 和操作系统,可以读取另一台机器上的硬盘等等。
谢谢。
我在提问之前查看过的东西......
我看到有多种技术可用,有些是独立的,有些则需要计算机的协作(例如主板)。我正在寻找可以与尚未购买的“Sandy Bridge”主板(插槽 LGA 1155)配合使用的东西。
SED,自磁盘加密:我不需要加密或安全擦除,但如果这有助于锁定磁盘,那么就可以了。
软件加密:与 SED 相同,我不喜欢减慢数据 I/O 或通过附加层使事情变得复杂的想法。我无法清楚地评估软件加密的含义:卷大小报告、分区类型、磁盘映像、操作系统更新、第三方应用程序等。
ATA 安全(控制器通过密钥机制锁定/解锁 HDD 操作)似乎对我而言还行。有什么弱点我应该知道吗?哪个主板/操作系统支持此功能?如何选择兼容的 HDD?这是否需要 BIOS/EFI 扩展来输入 HDD 密钥?
预启动身份验证以解锁硬盘:与 ATA 安全锁相比有什么好处?由于这会修改启动过程,它与 Windows 7 兼容吗?
BitLocker:我认为 LGA 1155 主板不支持 TPM。有些主板支持 TPM 1.2 硬件(它们有一个 TPM 标头),但深入互联网搜索后发现无法购买 TPM 子板,即使(极少数)网站声称他们有库存。TPM 附加组件可用性有什么问题?BitLocker 可以在没有 TPM 的情况下使用,但似乎不能用于 OS 分区。每个人都说你可以用 USB 密钥代替 TPM 使用 BL,但是如果有一天计算机启动后 USB 密钥留在 USB 端口中,并且与驱动器一起被盗,那有什么好处呢?
(请不要尝试猜测解决方案,或解释 TPM 是邪恶的或已被破解。)
答案1
有一款产品可以免费使用,并且适用于所有现代操作系统:TrueCrypt
它可以加密整个硬盘,并在启动计算机时提供密码输入框。加密是完全安全的,您可以选择要使用的算法(或多种算法)。此外,加密速度非常快。如果您使用和不使用加密进行基准测试,您会看到一些开销,但如果您的处理器足够强大(应该是,因为它是 i5/7),您将不会注意到它。
答案2
经过彻底的搜索,我得出以下结论:
我是否需要加密、硬盘锁,还是两者都需要?
HDD 安全性足以防止访问数据。这是 HDD 的一个功能,密码不存储在主板上,无法被破解或绕过。有些公司可以在某些情况下恢复密码,但小偷不会使用它们,这只对那些在计算机上有国防部机密信息的人构成威胁。只有色情文件和垃圾邮件的人受到保护。
加密也可以由 HDD 提供(自我加密),也可以由 TrueCypt 或 Bitlocker 或 PGP 等外部软件提供。HDD 自我加密在 HDD 解锁后不再是一种保护,其他加密方式仍是一种保护,但它们要求用户在每次启动计算机时执行某些操作(密码或 USB 密钥)。
我的选择是仅使用 HDD 密码,不使用加密。
如何在 LGA 1155 + Windows 7 环境中设置解决方案?如何检查硬件兼容性?(BIOS/EFI、驱动器、主板……)
不幸的是,我找不到任何带有支持 HDD 密码的 BIOS/EFI 的台式机主板。戴尔支持,但您必须购买其组装的计算机。IBM 也支持,但不能购买单独的主板。只有笔记本电脑似乎带有 ATA 安全支持。BIOS 制造商似乎有问题,他们不愿意向其客户提供免费解决方案。是否有其他销售加密解决方案的公司为 BIOS 支付费用,但 BIOS 的保护功能较差?
这个限制让我的探索泡汤了。在制造商网站上很容易检查驱动器合规性。几乎所有驱动器都支持 ATA 安全。