何时使用 Truecrypt,何时不使用?

何时使用 Truecrypt,何时不使用?

我有大约 30 台(未来几年这个数字很可能会增加到 50 台或更多)未加密的笔记本电脑,我负责加密这些电脑(整个驱动器)。我的用户会定期在场外使用这些机器。这些机器运行的是 Windows 7 和 XP(大约各占一半),但每个月都会有更多 Windows 7 机器。我有使用 Truecrypt 的经验,没有遇到任何问题。它似乎是免费解决方案的最佳选择。

我对 Truecrypt 的担心是,我的用户需要 2 个密码才能登录他们的机器。此外,我需要选择为我的组织设置 1 个密码,或者仔细记录每台机器的密码(管理噩梦)。在我看来,在托管和免费加密解决方案之间进行选择主要基于将要加密和支持的机器数量。

两个问题:

  1. 从管理角度来看,对于用户来说,托管解决方案比 Truecrypt 更能收回成本的临界点是什么?
  2. 有哪些好的第三方解决方案?(我会考虑 Bitlocker,但升级 Windows 7 许可证的价格令人望而却步)

我很想听听一些有在企业环境中支持加密机器经验的管理员的意见。

提前谢谢了!

答案1

何时使用 Truecrypt,何时不使用?

如果您的一台笔记本电脑丢失,并且您 A) 机器上有机密数据,或者 B) 无法确认笔记本电脑上没有机密数据,那么您需要某种加密方案。当然,您(和您的组织)需要决定要使用什么标准来考虑哪些是机密的,哪些不是。我建议您不要忽略这一步;如果没有必要,您不想做所有这些工作,也不想将组织相当于办公室的 cookie 配方的保密级别提升到需要 AES-256 的级别。如果您已经完成了这个过程,那么您就可以开始了。

我对 Truecrypt 的担心是,我的用户需要 2 个密码才能登录他们的机器。此外,我需要选择为我的组织设置 1 个密码,或者仔细记录每台机器的密码(管理噩梦)。

您是选择为您的所有笔记本电脑使用单一密码还是为每台机器使用唯一的密码,取决于您需要考虑的一些问题:

如果您选择单一密码,每次知道该密码的人离职时,您是否会更改密码?如果不是,您多久会更换一次密码?如果您选择唯一的密码,您的安全性会提高,但开销也会增加(但是您不必每次员工离职时更换每台笔记本电脑的密码)。您将如何跟踪密码更换方案?

我的建议是选择一个使用与笔记本电脑物理上相同的数字的排列方案,例如序列号的一部分。在此基础上添加一些你能记住的东西。排列方案应该相对难以猜测,但又足够简单,这样你就可以坐在笔记本电脑前而不必参考文档。这应该可以减少一些管理开销。显然,如果你需要更换笔记本电脑的密码,你需要选择一个新的排列方案来“生成”你的密码。这可能就像增加一个数字一样简单……无论文件、文件、文件。

在我看来,在托管和免费加密解决方案之间进行选择主要基于将加密和支持的机器的数量。

完全同意。使用非托管解决方案似乎可以实现 30 - 50 台机器,但在承诺之前,您需要仔细考虑。尝试测试设备以了解它需要什么样的开销。

  1. 从管理角度来看,对于用户来说,托管解决方案比 Truecrypt 更能收回成本的临界点是什么?

这取决于您是否有更多的时间或更多的钱。:D 就像我说的,有办法减少非托管解决方案的开销。开销可能比您想象的要少。

2.有哪些好的第三方解决方案?(我会考虑 Bitlocker,但升级 Windows 7 许可证的价格令人望而却步)

我认为只有 Bitlocker,但前提是你已经拥有许可证。就我的经验而言,TrueCrypt 是一款出色的产品。关于 Bitlocker 的另一件事是,你仍然无法摆脱密码问题...我相信微软的官方说法是,他们不建议将密码存储在 TPM 中,因为它容易受到冷启动攻击。

科技网: “仅 TPM 身份验证模式最容易部署、管理和使用。对于无人值守或必须在无人值守时重新启动的计算机,它可能也更合适。但是,仅 TPM 模式提供的数据保护最少。如果您组织的某些部分在移动计算机上拥有被视为高度敏感的数据,请考虑在这些计算机上部署具有多因素身份验证的 BitLocker。”

此外,企业附加功能允许您使用 AD 存储“恢复密钥”(大概是加密所需的密钥文件的副本)。这是 TrueCrypt 恢复磁盘功能的一个很好的集成 Windows 版本。

答案2

我们刚刚经历了这一切,并决定使用 truecrypt,因为它的记录很好。我们目前有 15 个用户,而且可能会发展得相当大。有两种选择:

创建一个带有复杂密码的映像。从中创建恢复 CD。然后让用户更改它。不要创建另一个 CD。

或者创建一个复杂的密码,让用户在创建 CD 后更改它。更改后不要重新创建 CD。这样您就可以使用您确保记住的密码重置密码。

最大的问题是你的时间和精力。祝你好运!

答案3

我们的组织也正在实施笔记本电脑加密。我知道测试表明 TrueCrypt 可以满足我们的需求,尽管也发现了您提到的相同密码问题。

gdurham 有解决密码问题的最佳解决方案,它应该可以让您远离麻烦。

TrueCrypt 的价格是他们向您支付的管理费用。这笔费用并不低,因此请尝试根据“免费”解决方案和付费解决方案之间的已知信息进行评估。

相关内容