Pronto compraré varias computadoras portátiles con Windows 7 para nuestro personal móvil. Debido a la naturaleza de nuestro negocio, necesitaré cifrado de unidades. Windows BitLocker parece la opción obvia, pero parece que necesito comprar las ediciones Windows 7 Enterprise o Ultimate para obtenerlo. ¿Alguien puede ofrecer sugerencias sobre el mejor curso de acción?
a) Utilice BitLocker, haga el esfuerzo y pague para actualizar a Enterprise/Ultimate
b) Pagar por otro producto de cifrado de unidades de terceros que sea más económico (se agradecen sugerencias)
c) Utilice un producto de cifrado de unidad gratuito como TrueCrypt
Idealmente, también me interesan las experiencias del "mundo real" de personas que utilizan software de cifrado de unidades y los obstáculos a los que debo prestar atención.
Muchas gracias de antemano...
ACTUALIZAR
Decidió optar por TrueCrypt por las siguientes razones:
a) El producto tiene un buen historial.
b) No administro una gran cantidad de computadoras portátiles, por lo que la integración con Active Directory, consolas de administración, etc. no es una opción.enormebeneficio
c) Aunque eks hizo un buen comentario sobre los ataques de Evil Maid (EM), nuestros datos no sonesoEs deseable considerarlo un factor importante.
d) El costo (gratuito) es una gran ventaja, pero no el principal motivador.
El siguiente problema al que me enfrento es que las unidades cifradas de imágenes (Acronis/Ghost/...) no funcionarán a menos que realice imágenes sector por sector. Eso significa que una partición cifrada de 80 Gb crea un archivo de imagen de 80 Gb :(
Respuesta1
Cifrado verdadero:http://www.truecrypt.org/
cifrará completamente las unidades internas y móviles, incluso puede cifrar toda la partición del sistema sobre la marcha y luego establecer una contraseña del cargador de arranque, lo que le brinda más seguridad en las computadoras portátiles.
y su código abierto - gratis.
http://4sysops.com/archives/system-drive-encryption-truecrypt-5-vs-bitlocker/
Bitlocker también es bueno, pero debido al presupuesto sugeriría usar truecrypt.
Respuesta2
Con las herramientas de ataque Evil Maid (EM) ahora disponibles para TrueCrypt, elegiría BitLocker si tuviera el presupuesto, porque los ataques tipo EM son bastante más complicados y se integra mejor con AD, etc., como afirmó Oskar Duveborn.
Te sugiero leer los artículos de Joanna Rutkowska sobre ambos productos:
http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html
http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html
Pero si está seguro de que sus compañeros de trabajo siempre cuidarán bien sus computadoras portátiles, con estuche de seguridad y todo, puede optar por TrueCrypt.
Notas al margen
Recuerde que el cifrado de disco completo no protegerá sus datos desde el interior [del sistema operativo], por ejemplo, si su computadora se corrompe por un virus mientras está en funcionamiento.
Recuerde que las soluciones técnicas son solouna parte dela cadena de seguridad (verhttp://xkcd.com/538/para detalles).
Editar (20-01-2010)
Detalles adicionales sobre BitLocker y ataques EM:
Tenga en cuenta que BitLocker será más resistente que TrueCrypt solo si se usa en una computadora habilitada para TPM.
Hay formas de derrotar a BitLocker+TPM (artículo,papel) pero no hay herramientas públicas disponibles AFAIK. Entonces, si bien BitLocker es más resistente a los ataques EM oportunistas (se necesita más para volver a desarrollar una pantalla de interacción de usuario falsificada para BitLocker que simplemente copiar la herramienta EM para trucrypt en una llave USB), no es 100% a prueba de balas (ninguna solución lo es).
Respuesta3
Si bien TrueCrypt es apropiado para una pequeña oficina/oficina en casa, existen muchas razones para optar por una solución paga en una empresa más grande:
- Consola de administración
- Integración con Active Directory, para que los usuarios finales sólo tengan que iniciar sesión una vez.
- Restablecimiento remoto de contraseña. ¿Necesitará un usuario final llamarlo para restablecer su contraseña?
- Interruptor de apagado remoto. Algunos también ofrecen esto.
Actualmente estoy revisando un par de soluciones de terceros,McAfee Protección total para datos(anteriormente conocido como SafeBoot), yCifrado de terminales de Symantec.
Una razón por la que no investigué BitLocker es que ya tengo varias máquinas en Vista Business y no quería actualizarlas ni reaprovisionarlas.
También examiné la solución PGP, pero requiere un servidor dedicado o una solución de servidor virtual certificado para administrar el software y esto era demasiada complejidad para mi escenario.
Respuesta4
No hay ningún problema con truecrypt; siempre que siga los pasos de sus sitios web para los diferentes niveles de cifrado.
En cuanto a bitlocker, Oskar ya ha mencionado que será más fácil de administrar, pero si debido al costo no puedes acceder a bitlocker, siempre puedes usar truecrypt, muy bien.