Em breve comprarei vários laptops com Windows 7 para nossa equipe móvel. Devido à natureza do nosso negócio, precisarei de criptografia de unidade. O Windows BitLocker parece a escolha óbvia, mas parece que preciso comprar as edições Windows 7 Enterprise ou Ultimate para obtê-lo. Alguém pode oferecer sugestões sobre o melhor curso de ação:
a) Use o BitLocker, controle-se e pague para atualizar para Enterprise/Ultimate
b) Pague por outro produto de criptografia de unidade de terceiros que seja mais barato (sugestões apreciadas)
c) Use um produto de criptografia de unidade gratuito, como TrueCrypt
Idealmente, também estou interessado na experiência do 'mundo real' de pessoas que usam software de criptografia de unidade e em quaisquer armadilhas a serem observadas.
Muito obrigado antecipadamente...
ATUALIZAR
Decidi optar pelo TrueCrypt pelos seguintes motivos:
a) O produto tem um bom histórico
b) Não estou gerenciando uma grande quantidade de laptops, portanto a integração com o Active Directory, consoles de gerenciamento etc.enormebeneficiar
c) Embora eks tenha feito uma boa observação sobre os ataques da Evil Maid (EM), nossos dados não sãoquedesejável considerá-lo um fator importante
d) O custo (grátis) é uma grande vantagem, mas não o principal motivador
O próximo problema que enfrento é a criação de imagens (Acronis/Ghost/..). Unidades criptografadas não funcionarão a menos que eu execute imagens setor por setor. Isso significa que uma partição criptografada de 80 Gb cria um arquivo de imagem de 80 Gb :(
Responder1
Truecrypt:http://www.truecrypt.org/
criptografará unidades internas móveis completamente, você pode até criptografar toda a partição do sistema em tempo real e, em seguida, definir uma senha do carregador de inicialização - oferece mais segurança em laptops.
e seu código aberto é gratuito.
http://4sysops.com/archives/system-drive-encryption-truecrypt-5-vs-bitlocker/
O Bitlocker também é bom, mas devido ao orçamento, sugiro usar o truecrypt.
Responder2
Com as ferramentas de ataque Evil Maid (EM) agora disponíveis para TrueCrypt, eu escolheria o BitLocker se tivesse orçamento, porque ataques do tipo EM são bem mais complicados e se integram melhor com AD etc., como afirmou Oskar Duveborn.
Sugiro que você leia os artigos de Joanna Rutkowska sobre ambos os produtos:
http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html
http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html
Mas se você tem certeza de que seus colegas de trabalho sempre cuidarão bem de seus laptops - com estojo de segurança e tudo, você pode optar pelo TrueCrypt.
Notas laterais
lembre-se de que a criptografia completa do disco não protegerá seus dados de dentro [do sistema operacional], por exemplo, se o seu computador for corrompido por um vírus durante a execução.
lembre-se que soluções técnicas são apenasuma parte dea cadeia de segurança (verhttp://xkcd.com/538/para detalhes).
Editar (20/01/2010)
Detalhes adicionais sobre ataques BitLocker e EM:
Observe que o BitLocker será mais resiliente que o TrueCrypt somente se usado em um computador habilitado para TPM.
Existem maneiras de derrotar o BitLocker+TPM (artigo,papel), mas nenhuma ferramenta pública disponível AFAIK. Portanto, embora o BitLocker seja mais resistente a ataques EM oportunistas (é preciso mais para desenvolver novamente uma tela de interação do usuário falsificada para o BitLocker do que apenas copiar a ferramenta EM para trucrypt em uma chave USB), ele não é 100% à prova de balas (nenhuma solução é).
Responder3
Embora o TrueCrypt seja apropriado para um cenário de pequeno escritório/escritório doméstico, há muitos motivos para optar por uma solução paga em uma empresa maior:
- Console de gerenciamento
- Integração com Active Directory, para que os usuários finais só precisem fazer logon uma vez.
- Redefinições de senha remotas. Um usuário final precisará ligar para você para redefinir a senha?
- Interruptor de interrupção remoto. Alguns oferecem isso também.
Atualmente estou analisando algumas soluções de terceiros,McAfee Total Protection para dados(anteriormente conhecido como SafeBoot) eCriptografia de endpoint da Symantec.
Um dos motivos pelos quais não procurei o BitLocker é que já tenho várias máquinas no Vista Business e não queria atualizá-las/reprovisioná-las.
Também procurei a solução PGP, mas ela requer um servidor dedicado ou uma solução de servidor virtual certificado para gerenciar o software e isso era muito complexo para o meu cenário.
Responder4
Não há problemas com o truecrypt; contanto que você siga as etapas dos sites para diferentes níveis de criptografia.
Quanto ao bitlocker, como Oskar já mencionou, será mais fácil de gerenciar - mas se devido ao custo você não puder ir para o bitlocker, você sempre pode usar o truecrypt - muito bom.