在我的环境中,我们已开始使用 trucrypt 来加密和保护带出办公室的笔记本电脑。问题出在密码上,我们可以记录密码并将其分配给用户,但如果他们只是使用该程序更改密码,然后忘记它,我们就有麻烦了。
我们将数据备份到外部位置,所以应该没问题,但是有没有办法安装旁路以便能够启动笔记本电脑或阻止用户更改密码(当他们具有本地管理员访问权限时)?
或者我们应该尝试其他解决方案?
谢谢。
答案1
Truecrypt 有一个恢复磁盘选项,它几乎强制您在加密磁盘之前完成该选项。即使密码随后被更改,也可以使用该 CD 恢复分区。
除此之外,如果您追求更强大、更适合企业的解决方案,PointSec 还提供具有管理恢复功能的全盘加密。
答案2
TrueCrypt 没有后门或主密钥,因此如果您丢失了加密卷的密码,您将会遇到麻烦。如果这对您来说很重要,那么恢复 CD 将是重要的一步。
答案3
面向中大型企业的全盘或卷加密产品具有内置恢复选项。在基本级别,加密密钥存储在中央目录中,并在更改时更新(无论如何,当机器重新连接到网络时)。BitLocker 可以使用 Active Directory 执行此操作。Pointsec 和 Sophos 等更高级的解决方案使用多层加密密钥,通常:
- 磁盘/卷已使用机器密钥加密
- 机器密钥使用用户密钥加密
- 两个密钥均在中央数据库中管理
这提供了很多优点,例如多个用户可以使用自己的密钥(密码、密码短语、令牌等)访问加密磁盘。
与 TrueCrypt 相比,您通常需要为这些支付很多费用,因此您需要了解所有的好处是否超过成本。
因此,就您而言,定期对笔记本电脑数据进行可靠(且经过测试)的备份是防止某人遭遇内存故障并被拒绝访问其加密数据的有效方法。
答案4
看起来,如果将 Bitlocker 和 Truecrypt 安装在计算机上,它们都可以被绕过:http://www.net-security.org/secworld.php?id=9077