我将客户文件存储在办公室电脑中,工作人员需要访问这些文件。由于涉及个人数据,客户文件必须完全保密。
到目前为止,我已经使用 Windows EFS,并使用带有证书加密的“Adobe PDF 加密”将所有文件转换为 PDF。
我以为,如果驱动器被盗,EFS 会提供保护;如果员工复制文件并带回家,加密的 PDF 文件也会提供保护。
我可以使用 TrueCrypt 进行全盘加密,无需预启动身份验证吗?这样工作人员就可以重启计算机而无需与他们共享 TrueCrypt 密码?
答案1
使用 TrueCrypt,无法摆脱预启动身份验证过程 - 它必须有一个强密码或密码短语,否则根本无法提供任何保护。
简而言之,如果工作人员可以在不与 TrueCrypt 交互的情况下启动 Windows,那么盗窃计算机的人也可以这样做,并且该人也可以随意解密驱动器。
如果这是一个方便而不是信任的问题,您可以考虑使用全部或部分 TrueCrypt 密码进行编程的 YubiKey - 可以快速将它们插入计算机以完成重新启动,然后锁在办公桌抽屉或保险箱中,直到下次需要它们为止。
否则,如果您希望系统直接启动到 Windows 并且仍使用全盘加密,则需要另一种解决方案。在 Windows 环境中,BitLocker+TPM+安全启动是一个显而易见的选择,但请注意,您可能必须进行一些配置更改才能获得合理的安全级别 - 至少限制对 BIOS 的访问、阻止从可移动驱动器启动,并确保所有 Windows 恢复选项都配置为需要管理员密码。这样做的明显缺点是它需要主板本身的硬件支持。
如果问题在于信任,或者政策要求不共享密码,那么市面上有各种商业加密产品,它们对预启动过程有不同的选择。其中一些产品可以通过办公网络上的服务器进行身份验证,这样计算机在办公室内使用时就可以自由启动;其中一些产品提供强大的用户管理,这样每个人都有自己的凭据来启动系统;还有一些产品提供对硬件令牌(智能卡和 USB 加密狗)的支持。这些都是面向企业的功能,因此实现这些功能的产品通常价格不菲,但它们确实存在。