由于存储了大量敏感信息,因此通常需要对服务器的安全性做很多事情,但是我认为确保公司笔记本电脑(和USB-Sticks)的安全性更重要,因为它们更容易丢失(或窃取)。
所以我想知道的是: 贵公司做什么来保护笔记本电脑和USB驱动器的机密信息?
我们使用TrueCrypt 。 对于笔记本电脑,我们也坚持使用BIOS密码。
整个磁盘encryption。
有很多方法可以做到这一点。
我个人使用TrueCrypt ,但在这个维基百科页面上有更多的选项。
我也曾经为一家推出PointSec(Now Check Point)的会计公司工作。 他们的解决scheme似乎比真正的encryption更完整,但当然这是有代价的。
我从Utimaco使用了一种名为SafeGuard Easy的产品。 无法首先input密码,无法启动笔记本电脑。 它也encryption整个驱动器。 如果有人试图盗用密码,它会逐渐增加两次尝试之间的超时时间(例如每次尝试超时的3倍,所以即使只有几次不正确的尝试,也会有一个疯狂的延迟)。 它有一些很好的工具,如果有人通过生成的密钥被locking,远程允许login,并允许您为用户设置过期策略。
他们有一些命令行工具,所以你可以在configuration文件里压下这些变化,这很好,因为我们可以通过他们在笔记本上运行的主应用程序自动执行这些变化。 如果笔记本电脑失踪,我们知道用户/密码将在一周内过期(即使他们知道密码),他们最终会被locking。
整盘PGPencryption
不允许它首先到达那里(至less,这是我们正在努力的目标…)。 技术以及计算机工作和使用的方式正在发生变化 – 现在完全合理的做法是从用户可能预期的每个/大部分地方始终提供互联网访问,无论是通过有线连接在工作中,还是通过无线networking,或者向他们提供一台带有内置3G宽带encryption狗的笔记本电脑。 因此,您可以通过Windows GPO禁用USB驱动器,并让他们通过VPN访问数据,可能只需通过terminal服务(或VNC / SSH或其他)使用应用程序,然后使用您喜欢的多种安全因素。
真正的crypt虚拟驱动器。 我们可以通过备份标题来pipe理它们,以防passwd丢失,并且由于它们易于使用,使得用户无法使用它们。 请注意,我们只有5人
我们使用内置单点login的整个磁盘encryption解决scheme。SafeGuard就是这样一个解决scheme。 这允许用户login一次,这是在POST完成之后。 如果input的密码错误,则密码尝试之间的时间长度会继续加倍。 如果你重新启动,它会停留在最后一段时间,但是从头开始。 所以,暴力强制并不是真的有可能。 如果用户input正确的密码,则会使用相同的用户名\密码组合(或一组caching的凭据)将其login到计算机上。
这不会阻止用户启动的情况下,然后将笔记本电脑解锁,但它确实保护了驱动器“rest”。
不是荒谬的,但最好的办法是不要把它摆在首位。 (同意David Hicks)
想想这样:如果笔记本电脑被盗或丢失,包含你所有的公司机密 – 你会感觉如何? 即使你使用超级强密码的TrueCrypt ..你总是会有这个怀疑。
考虑宣传; 新闻界对事物采取简单化的看法。 他们会说“Acme公司失去了3万名员工logging的笔记本电脑”。 它被高度encryption的事实可能不足以防止声誉受损。