是否可以使用映像工具(例如 Acronis Snap Deploy,或者可能是 SystemImager)将工作站映像部署到具有 PGP 全盘加密的笔记本电脑?我该怎么做?我们现在使用的特定 FDE 工具是 Symantec 的,但如果有必要,我不介意切换。
答案1
之前我们部署新笔记本电脑时,我曾想这样做,但最终得出的结论是,这样做不值得,但这是可行的。在 Symantec(Ghost?)中,PxE 启动加密的笔记本电脑并创建磁盘的 RAW 映像。由于驱动器上的所有内容都已加密,因此您必须复制整个驱动器,而我最终没有这样做。即使您的笔记本电脑很差,复制整个 80 GB 硬盘也需要一段时间,并且会给您的网络带来很大压力。
侧面想法——也许您可以用尽可能小的分区来创建图像,然后在部署到另一台电脑后将其扩展。
这就是我们拥有未加密的预配置图像并使用 BitLocker 的原因。
答案2
我反复研究过这个问题。我们最终决定使用 Bitlocker,这是我的大部分经验,但我也检查了 PGP 的全盘加密。
引起我注意的一件大事是无法通过预加密映像轻松使用 TPM 硬件。我的建议是自动执行映像处理的最后一步以执行加密。PGP 有一个静默安装选项,在这里可以很好地工作。
采用这种方式的另一个好处是,如果您需要在分发系统之前应用更新,那么您可以有一个窗口,在此期间您可以自由重新启动而无需输入密钥。