Каковы были бы одни из лучших вариантов реализации TrueCrypt на всех внешних устройствах, чтобы в случае потери или кражи данные не могли быть прочитаны другим человеком, но ими можно было управлять таким образом, чтобы пользователи случайно не забыли весь свой жесткий диск? потеряв ключ шифрования?
Каждая машина и пользователь не обязательно должны быть зашифрованы друг от друга, однако, если это будет управляемо, очевидно, что большая безопасность всегда лучше.
Это будет для домена Windows, который в основном представляет собой Windows XP / Server 2003. Однако в будущем планируется переход на Windows 7 и Server 2008.
Как бы вы написали сценарий установки для Active Directory?
Использование Truecrypt в корпоративной среде может быть проблемой. Наша стратегия заключалась в написании сценария установки для ввода общего пароля и сохранения ISO-образа восстановления для truecrypt в каталоге «Мои документы» пользователя. Этот каталог регулярно копируется на центральный сервер для наших пользователей портативных компьютеров. ISO-образ содержит ключ, зашифрованный общим паролем во время начальной установки. Пользователь может легко изменить свою парольную фразу на ноутбуке, которая не меняет фактический ключ, используемый для шифрования жесткого диска, который хранится в ISO-образе, закодированном с помощью общего пароля.
Если когда-либо потребуется восстановление, мы записываем аварийный компакт-диск, заставляем пользователя загружаться с iso, вводим общий пароль, а затем имеем возможность расшифровать жесткий диск или заменить ключ исходным ключом. Это дает нам возможность сбросить парольную фразу шифрования или расшифровать ноутбук, если пользователь недоступен.
Вы должны указать свою ОС, но почему бы не хранить резервные копии всех ключей в надежном месте? Кроме того, я бы используйте кодовую фразу в сочетании с ключом если вы еще этого не сделали, если ключ находится на чем-то вроде флэш-накопителя, есть вероятность, что они могут потерять его с ноутбуком (то есть они находятся в одной сумке), что делает шифрование практически бесполезным.
Одно из предложений может заключаться в том, чтобы зашифровать том только с помощью ключа шифрования (без парольной фразы), но всегда держать ключ зашифрованным на ноутбуках / рабочих станциях с EFS (только для Windows), чтобы на самом деле как пароль пользователя (необязательно, резервный ключ агента), так и ключ шифрования используется Truecrypt.
Таким образом, доступ к зашифрованным устройствам будет «прозрачным» для пользователей, и вы сможете централизованно управлять паролями, ключами резервного копирования EFS и т. Д., Не беспокоясь о потерях ключей и т. Д.