什么是在所有外部设备上实现TrueCrypt的一些最好的select,所以如果有丢失或被盗的数据不能被另一个人读取,但是可以以用户不会意外地忘记他们的整个硬盘驱动器通过丢失encryption密钥?
每台机器和用户不一定需要彼此encryption,但是如果明显可以pipe理的话,安全总是更好的。
这是针对主要是Windows XP / Server 2003的Windows域。但是将来有计划迁移到Windows 7和Server 2008。
你将如何编写Active Directory的安装脚本?
一个build议可能是只用一个encryption密钥(没有密码)encryption卷,但保持密钥始终encryption在EFS(仅限Windows)的笔记本电脑/工作站上,以便实际上用户密码(可选备份代理密钥)和encryption密钥由Truecrypt使用。
这样,对encryption设备的访问将对用户是“透明的”,您可以集中pipe理密码,EFS备份密钥等,而不必担心丢失的密钥等
你应该指定你的操作系统,但为什么不把所有的密钥保存在某个安全的地方? 另外,如果你还没有使用密钥 ,我会使用密码 ,如果密钥是在拇指驱动器上,那么他们有可能会因为笔记本电脑而丢失密码(例如,他们在同一个包里)encryption几乎是无用的。
在企业环境中使用Truecrypt可能是一个挑战。 我们的策略是脚本安装input一个通用的密码,并将救援iso为truecrypt保存到用户的“我的文档”目录。 该目录经常备份到我们的笔记本电脑用户的中央服务器。 iso包含在初始安装期间使用通用密码encryption的密钥。 用户可以很容易地在笔记本电脑上更改他们的口令,这不会改变用于encryption硬盘驱动器的实际密钥,存储在使用通用密码编码的isos上。
如果需要还原,我们刻录救援CD,让用户从iso启动,input通用密码,然后select解密硬盘驱动器,或用原始密钥replace密钥。 这给我们提供了重置encryption密码的选项,或者解密笔记本电脑是用户不可用。