我将很快为我们的移动员工购买一些运行Windows 7的笔记本电脑。 由于我们业务的性质,我将需要驱动器encryption。 Windows BitLocker似乎是一个明显的select,但它看起来像我需要购买Windows 7企业版或旗舰版来得到它。 任何人都可以提供有关最佳行动scheme的build议:
a)使用BitLocker,硬着头皮付费升级到Enterprise / Ultimate
b)支付更便宜的第三方驱动器encryption产品(build议赞赏)
c)使用免费驱动器encryption产品,如TrueCrypt
理想情况下,我也对使用驱动器encryption软件的人员的“真实世界”体验以及任何隐患都有兴趣。
提前谢谢了…
UPDATE
由于以下原因决定使用TrueCrypt:
a)产品有良好的logging
b)我没有pipe理大量的笔记本电脑,所以与Active Directory,pipe理控制台等的集成并不是一个巨大的好处
c)尽pipeeks对邪恶女仆(EM)攻击做了一个很好的说明,但是我们的数据并不适合将其视为主要因素
d)成本(免费)是一个很大的优势,但不是主要的激励因素
我面对的下一个问题是成像(Acronis / Ghost / ..)encryption驱动器将无法正常工作,除非我逐扇区成像。 这意味着一个80Gb的encryption分区创build一个80Gb的图像文件:(
Truecrypt: http : //www.truecrypt.org/
将完全encryption移动内部驱动器,甚至可以对整个系统分区进行即时encryption,然后设置启动加载器密码 – 为笔记本电脑提供更高的安全性。
和它的开源免费。
http://4sysops.com/archives/system-drive-encryption-truecrypt-5-vs-bitlocker/
Bitlocker也不错,但由于预算我build议使用truecrypt。
有了Evil Maid攻击工具现在可以用于TrueCrypt,如果我有预算的话,我会去BitLocker,因为类似EM的攻击比较复杂,并且像Oskar Duveborn所说的那样与AD等结合得更好。
我build议你阅读两种产品的Joanna Rutkowska的文章:
http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html
http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html
但是如果你确定你的同事总是会好好照顾他们的笔记本电脑 – 安全的情况下,你可以去TrueCrypt。
旁注
请记住,全盘encryption不会保护您的数据,例如,如果您的计算机在运行时被病毒破坏。
请记住,技术解决scheme只是安全链的一部分 (详情请参见http://xkcd.com/538/ )。
编辑(01-20-2010)
有关BitLocker和EM攻击的附加细节:
注意,比起BitLocker,只有在启用了TPM的计算机上才能比TrueCrypt更有弹性。
有许多方法可以打败BitLocker + TPM( 文章 , 论文 ),但没有可用的公共工具AFAIK。 因此,尽pipeBitLocker对机会性的EM攻击更具弹性(重新开发BitLocker的欺骗性用户交互屏幕比在USB密钥上复制用于trucrypt的EM工具要花费更多),但这并不是100%的防御(没有解决scheme)。
虽然TrueCrypt适用于小型办公室/家庭办公场景,但在大型企业中有很多原因需要付费解决scheme:
我目前正在审核一些第三方解决scheme, McAfee Total Protection for Data (以前称为SafeBoot)和Symantec Endpoint Encyrption 。
我没有查看BitLocker的一个原因是我有几台机器已经在Vista Business上,我不想升级/重新configuration它们。
我还研究了PGP解决scheme,但它需要一个专用的服务器或authentication的虚拟服务器解决scheme来pipe理软件,这对我的情况来说太复杂了。
build议的话。 我刚刚发现,TrueCrypt许可证包含一个合法的“陷阱”,允许他们起诉该软件的任何用户,即使用户遵循100%的许可条款。
http://lists.freedesktop.org/archives/distributions/2008-October/000276.html
Fedora很早以前就知道这个问题,并没有将它固定在当前版本中,所以在我看来这实际上是一个故意的陷阱。
没有问题与truecrypt whatosever; 只要你按照不同级别的encryption网站上的步骤。
就bitlocker而言,正如Oskar已经提到的那样,pipe理起来会比较容易 – 但是如果由于成本问题你无法升级到bitlocker,那么你总是可以使用truecrypt – 非常好。
PGPencryption对我来说有一个很好的encryption产品。 你可以试试。 它提供了多种encryption解决scheme,并支持所有版本的Windows 7。
回答第二部分的问题微软已经声称CPU占用了5%到6%的Workstation \ Notebooks和10%到15%的服务器的Bitlocker。 对硬盘性能的影响取决于你的CPU有多强大,对于目前大多数笔记本电脑/台式机CPU和驱动器系统来说,影响并不明显。 我已经运行和没有Bitlocker类似的系统,这绝对是我的经验。
然而,这取决于平台 – 4 Sysops的AlexanderWeiß做了一些性能比较,发现Atom上网本的顺序硬盘传输速率降低了29%到50%,这完全是由于低功耗上网本CPU的弱点。 如果你有一个非常快速的SSD,可能会有类似的减less – 更高的数据速率会给CPU带来更严重的负担。
我面对的下一个问题是成像(Acronis / Ghost / ..)encryption驱动器将无法正常工作,除非我逐扇区成像。 这意味着一个80Gb的encryption分区创build一个80Gb的图像文件:(
从正在运行的机器运行备份,以便您将有一个未encryption的映像。 如果我没有错,Acronis应该可以做到。 如果您仍然需要图像的安全性,则可以将其放在安全的位置或encryption的服务器磁盘上。 我会去与未encryption的数据备份,因为我喜欢故障安全备份。
如果需要快速恢复系统,您可能不会绕过对encryption驱动器进行映像。