我很快將為我們的行動員工購買多台運行 Windows 7 的筆記型電腦。由於我們業務的性質,我需要驅動器加密。 Windows BitLocker 似乎是顯而易見的選擇,但看起來我需要購買 Windows 7 企業版或旗艦版才能獲得它。任何人都可以提供有關最佳行動方案的建議:
a) 使用 BitLocker,硬著頭皮付費升級到 Enterprise/Ultimate
b) 購買另一個較便宜的第三方驅動器加密產品(感謝建議)
c) 使用免費的磁碟機加密產品,例如 TrueCrypt
理想情況下,我還對使用驅動器加密軟體的人們的「現實世界」體驗以及需要注意的任何陷阱感興趣。
提前謝謝了...
更新
決定使用 TrueCrypt 的原因如下:
a) 產品有良好的記錄
b) 我沒有管理大量筆記型電腦,因此與 Active Directory、管理控制台等整合不是一個問題巨大的益處
c) 雖然 eks 確實對 Evil Maid (EM) 攻擊提出了很好的觀點,但我們的數據並不那最好將其視為一個主要因素
d) 成本(免費)是一個很大的優勢,但不是主要動機
我面臨的下一個問題是,除非我逐個磁區進行成像,否則成像(Acronis/Ghost/..)加密磁碟機將無法運作。這表示 80Gb 的加密分割區會建立一個 80Gb 的映像檔:(
答案1
真實加密:http://www.truecrypt.org/
將完全加密行動內部驅動器,您甚至可以動態加密整個系統分割區,然後設定引導程式密碼 - 為您的筆記型電腦提供更高的安全性。
及其開源免費。
http://4sysops.com/archives/system-drive-encryption-truecrypt-5-vs-bitlocker/
Bitlocker 也很好,但由於預算,我建議使用 truecrypt。
答案2
TrueCrypt 現在有 Evil Maid (EM) 攻擊工具,如果我有預算,我會選擇 BitLocker,因為類似 EM 的攻擊相當複雜,而且正如 Oskar Duveborn 所說,它與 AD 等集成得更好。
我建議您閱讀 Joanna Rutkowska 關於這兩種產品的文章:
http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html
http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html
但是,如果您確定您的同事會妥善保管他們的筆記型電腦(配有安全保護套等),那麼您可以選擇 TrueCrypt。
旁注
請記住,全碟加密不會保護您的資料免受[作業系統]內部的影響,例如,如果您的電腦在運行時被病毒損壞。
請記住,技術解決方案只是一部分安全鏈(參見http://xkcd.com/538/了解詳情)。
編輯 (01-20-2010)
有關 BitLocker 和 EM 攻擊的其他詳細資訊:
答案3
雖然 TrueCrypt 適用於小型辦公室/家庭辦公室場景,但在大型企業中選擇付費解決方案有許多理由:
- 管理控制台
- 與 Active Directory 集成,最終用戶只需登入一次。
- 遠端密碼重置。最終用戶是否需要致電您重置密碼?
- 遠端終止開關。有些也提供此服務。
我目前正在審查幾個第三方解決方案,McAfee 全面資料保護(以前稱為 SafeBoot),以及賽門鐵克端點加密。
我沒有研究 BitLocker 的原因之一是我已經有幾台電腦運行在 Vista Business 上,我不想升級/重新配置它們。
我還研究了 PGP 解決方案,但它需要專用伺服器或經過認證的虛擬伺服器解決方案來管理軟體,這對於我的場景來說太複雜了。
答案4
truecrypt 沒有任何問題;只要您按照網站上的步驟進行不同等級的加密即可。
至於 Bitlocker,正如 Oskar 已經提到的那樣,它會更容易管理 - 但如果由於成本原因你無法使用 Bitlocker,你可以隨時使用 truecrypt - 非常好。