Я скоро куплю несколько ноутбуков с Windows 7 для наших мобильных сотрудников. Из-за характера нашего бизнеса мне понадобится шифрование дисков. Windows BitLocker кажется очевидным выбором, но похоже, что мне нужно купить либо Windows 7 Enterprise, либо Ultimate, чтобы получить его. Может ли кто-нибудь предложить наилучший курс действий:
а) Используйте BitLocker, стисните зубы и заплатите за обновление до Enterprise/Ultimate
б) Оплатить другой сторонний продукт для шифрования дисков, который дешевле (предложения приветствуются)
в) Используйте бесплатный продукт для шифрования дисков, например TrueCrypt.
В идеале мне также интересен «реальный» опыт людей, использующих программное обеспечение для шифрования дисков, и какие подводные камни следует учитывать.
Спасибо заранее...
ОБНОВЛЯТЬ
Решил выбрать TrueCrypt по следующим причинам:
а) Продукт имеет хорошую репутацию
б) Я не управляю большим количеством ноутбуков, поэтому интеграция с Active Directory, консолями управления и т. д. не является для меняогромныйвыгода
c) Хотя eks действительно высказали верное замечание об атаках Evil Maid (EM), наши данные нечтожелательно считать это основным фактором
г) Стоимость (бесплатно) — большой плюс, но не главный мотиватор.
Следующая проблема, с которой я сталкиваюсь, это образ (Acronis/Ghost/..) зашифрованные диски не будут работать, если я не сделаю посекторный образ. Это означает, что зашифрованный раздел размером 80 ГБ создает файл образа размером 80 ГБ :(
решение1
Truecrypt:http://www.truecrypt.org/
полностью зашифрует мобильные внутренние диски, вы даже можете зашифровать весь системный раздел «на лету», а затем установить пароль загрузчика — обеспечивает большую безопасность на ноутбуках.
и его исходный код открыт - бесплатно.
http://4sysops.com/archives/system-drive-encryption-truecrypt-5-vs-bitlocker/
Bitlocker тоже хорош, но из-за бюджета я бы посоветовал использовать truecrypt.
решение2
Учитывая, что для TrueCrypt теперь доступны инструменты для атак Evil Maid (EM), я бы выбрал BitLocker, если бы у меня был бюджет, поскольку атаки типа EM гораздо сложнее, и, как сказал Оскар Дювеборн, он лучше интегрируется с AD и т. д.
Предлагаю вам прочитать статьи Джоанны Рутковской об обоих продуктах:
http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html
http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html
Но если вы уверены, что ваши коллеги всегда будут бережно относиться к своим ноутбукам (включая защитные чехлы), вы можете выбрать TrueCrypt.
Заметки на полях
помните, что полное шифрование диска не защитит ваши данные изнутри [ОС], например, если ваш компьютер будет поврежден вирусом во время работы.
помните, что технические решения - это всего лишьчастьцепь безопасности (см.http://xkcd.com/538/для получения подробной информации).
Редактировать (20.01.2010)
Дополнительные сведения о BitLocker и EM-атаках:
Обратите внимание, что BitLocker будет более устойчивым, чем TrueCrypt, только если он используется на компьютере с поддержкой TPM.
Существуют способы обхода BitLocker+TPM (статья,бумага) но, насколько мне известно, общедоступных инструментов нет. Таким образом, хотя BitLocker более устойчив к оппортунистическим EM-атакам (для повторной разработки поддельного экрана взаимодействия с пользователем для BitLocker требуется больше усилий, чем просто скопировать EM-инструмент для trucrypt на USB-ключ), он не является на 100% защищенным (ни одно решение не защищено).
решение3
Хотя TrueCrypt подходит для небольшого офиса или домашнего офиса, есть много причин выбрать платное решение для крупного бизнеса:
- Консоль управления
- Интеграция с Active Directory, благодаря которой конечным пользователям требуется входить в систему только один раз.
- Удаленный сброс пароля. Нужно ли конечному пользователю звонить вам для сброса пароля?
- Удаленный выключатель. Некоторые предлагают и это.
В настоящее время я рассматриваю несколько сторонних решений,McAfee Total Protection для данных(ранее известный как SafeBoot) иШифрование конечных точек Symantec.
Одна из причин, по которой я не рассматривал BitLocker, заключалась в том, что у меня уже есть несколько машин с Vista Business, и я не хотел обновлять/перенастраивать их.
Я также рассматривал решение PGP, но для управления программным обеспечением требуется выделенный сервер или сертифицированное решение виртуального сервера, а для моего сценария это слишком сложно.
решение4
Никаких проблем с TrueCrypt не возникнет, если вы будете следовать инструкциям на их сайтах для разных уровней шифрования.
Что касается BitLocker, как уже упомянул Оскар, им будет проще управлять, но если из-за стоимости вы не можете перейти на BitLocker, вы всегда можете использовать TrueCrypt — очень хорошо.