推荐的驱动器加密解决方案

推荐的驱动器加密解决方案

我很快将为我们的移动员工购买一些运行 Windows 7 的笔记本电脑。由于我们业务的性质,我需要驱动器加密。Windows BitLocker 似乎是显而易见的选择,但看起来我需要购买 Windows 7 Enterprise 或 Ultimate 版本才能获得它。有人能就最佳行动方案提供建议吗:

a)使用 BitLocker,咬紧牙关,付费升级到企业版/旗舰版

b) 购买另一种更便宜的第三方驱动器加密产品(欢迎提出建议)

c) 使用免费的驱动器加密产品,例如 TrueCrypt

理想情况下,我还对使用驱动器加密软件的人们的“现实世界”经验以及需要注意的任何陷阱感兴趣。

提前谢谢了...

更新

决定采用 TrueCrypt 的原因如下:

a) 该产品有良好的记录

b) 我没有管理大量的笔记本电脑,因此与 Active Directory、管理控制台等的集成不是巨大的益处

c) 尽管 eks 对 Evil Maid (EM) 攻击的观点很正确,但我们的数据并不最好将其视为一个主要因素

d)成本(免费)是一大优势,但不是主要动机

我面临的下一个问题是,除非我逐扇区执行映像,否则映像(Acronis/Ghost/..)加密驱动器将无法工作。这意味着 80Gb 加密分区会创建一个 80Gb 映像文件 :(

答案1

Truecrypt:http://www.truecrypt.org/

将完全加密移动、内部驱动器,您甚至可以动态加密整个系统分区,然后设置引导加载程序密码 - 为您的笔记本电脑提供更多安全性。

并且它是开源的并且是免费的。

http://4sysops.com/archives/system-drive-encryption-truecrypt-5-vs-bitlocker/

Bitlocker 也不错,但由于预算有限,我建议使用 truecrypt。

答案2

鉴于 Evil Maid (EM) 攻击工具现已可用于 TrueCrypt,如果我有预算,我会选择 BitLocker,因为 EM 类攻击相当复杂,并且正如 Oskar Duveborn 所说,它可以更好地与 AD 等集成。

我建议您阅读 Joanna Rutkowska 有关这两种产品的文章:

http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html

http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html

但如果你确定你的同事会好好保管他们的笔记本电脑(有安全保护措施),那么你可以选择 TrueCrypt。

补充说明

  • 请记住,全盘加密无法保护您[操作系统]内部的数据,例如,如果您的计算机在运行时被病毒破坏。

  • 记住技术解决方案只是一部分安全链(见http://xkcd.com/538/了解详情)。

编辑(2010-01-20)

有关 BitLocker 和 EM 攻击的其他详细信息:

  • 请注意,仅在启用 TPM 的计算机上使用时,BitLocker 才会比 TrueCrypt 更具弹性。

  • 有多种方法可以破解 BitLocker+TPM (文章) 但据我所知没有可用的公共工具。因此,尽管 BitLocker 对机会性 EM 攻击更具弹性(重新开发 BitLocker 的欺骗性用户交互屏幕比仅仅将 trucrypt 的 EM 工具复制到 USB 密钥上需要更多时间),但它并不是 100% 防弹的(没有解决方案是 100% 防弹的)。

答案3

虽然 TrueCrypt 适用于小型办公室/家庭办公室场景,但大型企业选择付费解决方案的原因有很多:

  1. 管理控制台
  2. 与 Active Directory 集成,以便最终用户只需登录一次。
  3. 远程密码重置。最终用户是否需要致电您进行密码重置?
  4. 远程终止开关。有些也提供此功能。

我目前正在审查一些第三方解决方案,McAfee 全方位数据保护(以前称为 SafeBoot),以及赛门铁克端点加密

我没有研究 BitLocker 的一个原因是我已经有几台机器使用 Vista Business,而且我不想升级/重新配置它们。

我也研究过 PGP 解决方案,但它需要专用服务器或经过认证的虚拟服务器解决方案来管理软件,这对于我的情况来说太复杂了。

答案4

只要您按照网站上针对不同级别加密的步骤进行操作,truecrypt 就不会出现任何问题。

至于 bitlocker,正如 Oskar 已经提到的那样,它将更易于管理 - 但如果由于成本原因您无法使用 bitlocker,您可以随时使用 truecrypt - 非常好。

相关内容