在所有外部设备上实施 TrueCrypt 的最佳选择是什么,这样如果任何设备丢失或被盗,数据将无法被其他人读取,但可以以某种方式进行管理,以使用户不会因为丢失加密密钥而意外忘记整个硬盘?
每台机器和用户不一定需要相互加密,但是如果可以管理,显然安全性越高越好。
这将适用于主要为 Windows XP / Server 2003 的 Windows 域。但是,未来计划迁移到 Windows 7 和 Server 2008。
您将如何编写 Active Directory 的安装脚本?
答案1
一个建议可能是仅使用加密密钥(无密码)加密卷,但在使用 EFS(仅限 Windows)的笔记本电脑/工作站上始终将密钥加密,以便实际上 Truecrypt 使用用户密码(可选备份代理密钥)和加密密钥。
这样,对加密设备的访问对用户来说就是“透明的”,你可以集中管理密码、EFS 备份密钥等,而不必担心密钥丢失等
答案2
你应该指定你的操作系统,但为什么不把所有的密钥备份到安全的地方呢?另外,我会使用密码和密钥组合如果您还没有准备好,如果密钥在拇指驱动器之类的东西上,那么他们可能会将其与笔记本电脑一起丢失(即,它们在同一个包里),从而使加密首先变得几乎毫无用处。
答案3
在企业环境中使用 Truecrypt 可能具有挑战性。我们的策略是编写安装脚本以输入通用密码,并将 truecrypt 的救援 iso 保存到用户的“我的文档”目录中。此目录定期备份到我们笔记本电脑用户的中央服务器。iso 包含在初始安装期间使用通用密码加密的密钥。用户可以轻松更改笔记本电脑上的密码,这不会更改用于加密硬盘的实际密钥,该密钥存储在使用通用密码编码的 iso 上。
如果需要恢复,我们会刻录救援 CD,让用户从 iso 启动,输入通用密码,然后可以选择解密硬盘,或用原始密钥替换密钥。这样我们就可以选择重置加密密码,或者在用户不在的情况下解密笔记本电脑。