Ich werde demnächst mehrere Laptops mit Windows 7 für unsere mobilen Mitarbeiter kaufen. Aufgrund der Art unseres Geschäfts benötige ich eine Laufwerksverschlüsselung. Windows BitLocker scheint die naheliegende Wahl zu sein, aber es sieht so aus, als müsste ich entweder die Enterprise- oder die Ultimate-Edition von Windows 7 kaufen, um diese Funktion zu erhalten. Kann mir jemand Vorschläge machen, wie ich am besten vorgehen soll:
a) Verwenden Sie BitLocker, beißen Sie in den sauren Apfel und zahlen Sie für das Upgrade auf Enterprise/Ultimate
b) Bezahlen Sie für ein anderes, günstigeres Laufwerkverschlüsselungsprodukt eines Drittanbieters (Vorschläge sind willkommen)
c) Verwenden Sie ein kostenloses Laufwerkverschlüsselungsprodukt wie TrueCrypt
Idealerweise interessieren mich auch die Erfahrungen aus der Praxis von Leuten, die Software zur Laufwerksverschlüsselung verwenden, und welche Fallstricke dabei zu beachten sind.
Vielen Dank im Voraus...
AKTUALISIEREN
Ich habe mich aus folgenden Gründen für TrueCrypt entschieden:
a) Das Produkt hat eine gute Erfolgsbilanz
b) Ich verwalte keine große Anzahl von Laptops, daher ist die Integration mit Active Directory, Verwaltungskonsolen usw. keinriesigNutzen
c) Obwohl eks einen guten Punkt bezüglich Evil Maid (EM) Angriffen gemacht hat, sind unsere Daten nichtDaswünschenswert, es als einen wichtigen Faktor zu betrachten
d) Die Kosten (kostenlos) sind ein großes Plus, aber nicht der Hauptmotivator
Das nächste Problem, mit dem ich konfrontiert bin, ist, dass das Imaging (Acronis/Ghost/..) verschlüsselter Laufwerke nicht funktioniert, es sei denn, ich führe ein Sektor-für-Sektor-Imaging durch. Das bedeutet, dass eine 80 GB große verschlüsselte Partition eine 80 GB große Image-Datei erstellt :(
Antwort1
Truecrypt:http://www.truecrypt.org/
verschlüsselt mobile und interne Laufwerke vollständig, Sie können sogar die gesamte Systempartition im laufenden Betrieb verschlüsseln und dann ein Bootloader-Passwort festlegen – bietet Ihnen mehr Sicherheit auf Laptops.
und es ist Open Source – kostenlos.
http://4sysops.com/archives/system-drive-encryption-truecrypt-5-vs-bitlocker/
Bitlocker ist auch gut, aber aus Budgetgründen würde ich Truecrypt empfehlen.
Antwort2
Da es für TrueCrypt jetzt Evil Maid (EM)-Angriffstools gibt, würde ich mich, wenn ich das Budget hätte, für BitLocker entscheiden, weil EM-ähnliche Angriffe viel komplizierter sind und sich, wie Oskar Duveborn sagte, besser in AD usw. integrieren lassen.
Ich empfehle Ihnen, die Artikel von Joanna Rutkowska zu beiden Produkten zu lesen:
http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html
http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html
Wenn Sie jedoch sicher sind, dass Ihre Kollegen stets gut auf ihre Laptops aufpassen – mit Schutzgehäuse und allem Drum und Dran –, können Sie sich für TrueCrypt entscheiden.
Randnotizen
Denken Sie daran, dass die vollständige Festplattenverschlüsselung Ihre Daten nicht von innerhalb [des Betriebssystems] schützt, z. B. wenn Ihr Computer während des Betriebs von einem Virus befallen wird.
Denken Sie daran, dass technische Lösungen nurein Teil vondie Sicherheitskette (siehehttp://xkcd.com/538/für Details).
Bearbeiten (20.01.2010)
Weitere Details zu BitLocker- und EM-Angriffen:
Beachten Sie, dass BitLocker nur dann widerstandsfähiger als TrueCrypt ist, wenn es auf einem TPM-fähigen Computer verwendet wird.
Es gibt Möglichkeiten, BitLocker+TPM zu umgehen (Artikel,Papier), aber meines Wissens nach sind keine öffentlichen Tools verfügbar. Obwohl BitLocker also widerstandsfähiger gegen opportunistische EM-Angriffe ist (es ist mehr erforderlich, einen gefälschten Benutzerinteraktionsbildschirm für BitLocker neu zu entwickeln, als einfach das EM-Tool für Trucrypt auf einen USB-Stick zu kopieren), ist es nicht 100 % kugelsicher (das ist keine Lösung).
Antwort3
Während TrueCrypt für kleine Büros bzw. Heimbüros geeignet ist, gibt es in größeren Unternehmen viele Gründe, sich für eine kostenpflichtige Lösung zu entscheiden:
- Managementkonsole
- Integration mit Active Directory, sodass sich Endbenutzer nur einmal anmelden müssen.
- Remote-Zurücksetzen von Passwörtern. Muss ein Endbenutzer Sie für ein Zurücksetzen seines Passworts anrufen?
- Ferngesteuerter Notausschalter. Einige bieten das auch an.
Ich prüfe derzeit ein paar Lösungen von Drittanbietern.McAfee Total Protection für Daten(früher bekannt als SafeBoot) undSymantec Endpoint Encryption.
Ein Grund, warum ich mich nicht mit BitLocker befasst habe, besteht darin, dass auf mehreren meiner Rechner bereits Vista Business läuft und ich diese nicht aktualisieren bzw. neu bereitstellen wollte.
Ich habe mir auch die PGP-Lösung angesehen, aber dafür ist ein dedizierter Server oder eine zertifizierte virtuelle Serverlösung zur Verwaltung der Software erforderlich, und das war für mein Szenario zu komplex.
Antwort4
Mit Truecrypt gibt es überhaupt keine Probleme, solange Sie die Schritte auf den Websites für die verschiedenen Verschlüsselungsstufen befolgen.
Was Bitlocker betrifft, so ist es, wie Oskar bereits erwähnt hat, einfacher zu handhaben – wenn Sie jedoch aus Kostengründen nicht auf Bitlocker umsteigen können, können Sie immer noch Truecrypt verwenden – sehr gut.