У меня около 30 (это число, скорее всего, вырастет в ближайшие несколько лет до 50 или более) незашифрованных ноутбуков, которые мне поручили зашифровать (весь диск). Эти машины будут регулярно использоваться моими пользователями вне офиса. Эти машины работают под управлением Windows 7 и XP (примерно 50/50), но с каждым месяцем больше Windows 7. У меня есть опыт работы с Truecrypt, и у меня не было проблем. Кажется, это решение для бесплатного решения.
Меня беспокоит Truecrypt, что у моих пользователей будет два пароля, необходимые для входа на свои машины. Кроме того, мне нужно выбрать либо один пароль для моей организации, либо тщательно задокументировать пароль каждой машины (кошмар управления). На мой взгляд, выбор между управляемым и бесплатным решением для шифрования в первую очередь основан на КОЛИЧЕСТВЕ машин, которые будут зашифрованы и поддерживаться.
Два вопроса:
Я хотел бы услышать мнение некоторых администраторов, имеющих опыт поддержки зашифрованных машин в корпоративной среде.
Спасибо заранее!
Мы просто прошли через это и остановились на truecrypt из-за его послужного списка. В настоящее время у нас есть 15 пользователей, и мы можем значительно вырасти. Есть два варианта:
создать образ со сложным паролем. Создайте компакт-диск восстановления из этого. Затем попросите пользователя изменить его. Не создавайте еще один компакт-диск.
Или создайте сложный пароль и попросите пользователя изменить его после создания компакт-диска. После изменения не создавайте повторно компакт-диск. Это позволяет вам сбросить пароль с помощью пароля, который вы обязательно запомнили.
Самая большая проблема - это ваше время и энергия. Удачи!
Когда использовать Truecrypt, а когда нет?
Если один из ваших ноутбуков пропал, и вы либо A) имеете конфиденциальные данные на машине, либо B) не можете подтвердить, что на ноутбуке НЕТ конфиденциальных данных, тогда вам понадобится какая-то схема шифрования. Конечно, вам (и вашей организации) необходимо решить, какие критерии вы хотите использовать, чтобы определить, что является конфиденциальным, а что нет. Я рекомендую вам не пренебрегать этим шагом; вы не хотите выполнять всю эту работу, если в этом нет необходимости, и вы не хотите повышать уровень секретности, эквивалентный рецепту офисных файлов cookie в вашей организации, который требует AES-256. Если вы уже прошли через этот процесс, тогда все готово.
Меня беспокоит Truecrypt, так как у моих пользователей будет два пароля, необходимые для входа на свои машины. Кроме того, мне нужно выбрать либо один пароль для моей организации, либо тщательно задокументировать пароль каждой машины (кошмар управления).
Выбор между использованием единого пароля для вашего парка ноутбуков или использованием уникальных паролей для каждой машины зависит от некоторых вопросов, над которыми вам нужно подумать:
Если вы выберете один пароль, будете ли вы менять его каждый раз, когда кто-то, кто знает его, увольняется с работы? Если нет, как часто вы будете его вращать? Если вы выберете уникальный пароль, вы получите повышенную безопасность, но также увеличите накладные расходы (однако вам не придется менять пароль для каждого ноутбука каждый раз, когда сотрудник уходит). Как вы будете отслеживать схему ротации паролей?
Я предлагаю выбрать схему перестановки, в которой используется номер, который физически остается с ноутбуком, например, часть серийного номера. Добавьте к этому еще что-нибудь, что вы можете вспомнить. Схема перестановки должна быть относительно трудной для угадывания, но достаточно простой, чтобы вы могли сесть за ноутбук и не обращаться к документации. Это должно снизить некоторые накладные расходы на управление. Очевидно, что если вам нужно изменить пароль для портативного компьютера, вам нужно выбрать новую схему перестановки, чтобы «сгенерировать» ваш пароль. Это может быть просто увеличение цифры ... независимо от документа, документа, документа.
На мой взгляд, выбор между управляемым и бесплатным решением для шифрования в первую очередь основан на КОЛИЧЕСТВЕ машин, которые будут зашифрованы и поддерживаются.
Полное согласие здесь. 30–50 машин кажутся вполне выполнимыми с неуправляемым решением, НО вам нужно тщательно обдумать это, прежде чем принимать решение. Попробуйте испытательный стенд, чтобы понять, какие накладные расходы потребуются.
- С точки зрения управления, что является переломным моментом для пользователей, когда управляемое решение окупается по сравнению с Truecrypt?
Это зависит от того, есть ли у вас больше времени или денег. : D Как я уже сказал, есть способы уменьшить накладные расходы на неуправляемое решение. Накладные расходы могут быть меньше, чем вы думаете.
2.Какие есть хорошие сторонние решения? (Я буду рассматривать Bitlocker, но цена обновления лицензий на Windows 7 - это отключение)
На мой взгляд, только Bitlocker, но только если у вас уже есть лицензии. По моему опыту, TrueCrypt - отличный продукт. Еще одна вещь, которую следует упомянуть о Bitlocker, заключается в том, что вы все еще не можете уйти от проблемы с паролем ... Я считаю, что официальная линия от Microsoft заключается в том, что они НЕ рекомендуют хранить пароль в TPM, поскольку он уязвим для атаки холодной загрузки .
Из TechNet: "Режим проверки подлинности только для доверенного платформенного модуля проще всего в развертывании, управлении и использовании. Он также может быть более подходящим для компьютеров, которые не обслуживаются или должны перезагружаться без присмотра. Однако режим только доверенного платформенного модуля обеспечивает наименьшую степень защиты данных. Если в подразделениях вашей организации есть данные, которые считаются очень конфиденциальными на мобильных компьютерах, рассмотрите возможность развертывания BitLocker с многофакторной проверкой подлинности на этих компьютерах ».
Кроме того, корпоративное дополнение позволяет использовать AD для хранения «ключей восстановления» (предположительно копий ключевых файлов, необходимых для шифрования. Это хорошая интегрированная версия Windows Recovery Disk Functionality от TrueCrypt.
Наша организация также внедряет шифрование для портативных компьютеров. Я знаю, что тестирование показало, что TrueCrypt подходит для наших нужд, хотя обнаружил те же проблемы с паролем, о которых вы упомянули.
У gdurham есть лучшее решение для решения проблемы с паролем, и оно должно уберечь вас от неприятностей.
Цена, связанная с TrueCrypt, - это время, которое они заплатят вам за его администрирование. Это немаловажно, поэтому попробуйте провести оценку на основе «бесплатного» и платного решения.