我很快将为我们的移动员工购买一些运行 Windows 7 的笔记本电脑。由于我们业务的性质,我需要驱动器加密。Windows BitLocker 似乎是显而易见的选择,但看起来我需要购买 Windows 7 Enterprise 或 Ultimate 版本才能获得它。有人能就最佳行动方案提供建议吗:
a)使用 BitLocker,咬紧牙关,付费升级到企业版/旗舰版
b) 购买另一种更便宜的第三方驱动器加密产品(欢迎提出建议)
c) 使用免费的驱动器加密产品,例如 TrueCrypt
理想情况下,我还对使用驱动器加密软件的人们的“现实世界”经验以及需要注意的任何陷阱感兴趣。
提前谢谢了...
更新
决定采用 TrueCrypt 的原因如下:
a) 该产品有良好的记录
b) 我没有管理大量的笔记本电脑,因此与 Active Directory、管理控制台等的集成不是巨大的益处
c) 尽管 eks 对 Evil Maid (EM) 攻击的观点很正确,但我们的数据并不那最好将其视为一个主要因素
d)成本(免费)是一大优势,但不是主要动机
我面临的下一个问题是,除非我逐扇区执行映像,否则映像(Acronis/Ghost/..)加密驱动器将无法工作。这意味着 80Gb 加密分区会创建一个 80Gb 映像文件 :(
答案1
Truecrypt:http://www.truecrypt.org/
将完全加密移动、内部驱动器,您甚至可以动态加密整个系统分区,然后设置引导加载程序密码 - 为您的笔记本电脑提供更多安全性。
并且它是开源的并且是免费的。
http://4sysops.com/archives/system-drive-encryption-truecrypt-5-vs-bitlocker/
Bitlocker 也不错,但由于预算有限,我建议使用 truecrypt。
答案2
鉴于 Evil Maid (EM) 攻击工具现已可用于 TrueCrypt,如果我有预算,我会选择 BitLocker,因为 EM 类攻击相当复杂,并且正如 Oskar Duveborn 所说,它可以更好地与 AD 等集成。
我建议您阅读 Joanna Rutkowska 有关这两种产品的文章:
http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html
http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html
但如果你确定你的同事会好好保管他们的笔记本电脑(有安全保护措施),那么你可以选择 TrueCrypt。
补充说明
请记住,全盘加密无法保护您[操作系统]内部的数据,例如,如果您的计算机在运行时被病毒破坏。
记住技术解决方案只是一部分安全链(见http://xkcd.com/538/了解详情)。
编辑(2010-01-20)
有关 BitLocker 和 EM 攻击的其他详细信息:
答案3
虽然 TrueCrypt 适用于小型办公室/家庭办公室场景,但大型企业选择付费解决方案的原因有很多:
- 管理控制台
- 与 Active Directory 集成,以便最终用户只需登录一次。
- 远程密码重置。最终用户是否需要致电您进行密码重置?
- 远程终止开关。有些也提供此功能。
我目前正在审查一些第三方解决方案,McAfee 全方位数据保护(以前称为 SafeBoot),以及赛门铁克端点加密。
我没有研究 BitLocker 的一个原因是我已经有几台机器使用 Vista Business,而且我不想升级/重新配置它们。
我也研究过 PGP 解决方案,但它需要专用服务器或经过认证的虚拟服务器解决方案来管理软件,这对于我的情况来说太复杂了。
答案4
只要您按照网站上针对不同级别加密的步骤进行操作,truecrypt 就不会出现任何问题。
至于 bitlocker,正如 Oskar 已经提到的那样,它将更易于管理 - 但如果由于成本原因您无法使用 bitlocker,您可以随时使用 truecrypt - 非常好。