服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Windows XP的全盘encryption – 有什么select?
Intereting Posts
我如何让cmd.run在salt-stack中回答提示? Postgresql无法识别,即使已经安装 戴尔iDrac与SSH隧道:pipe理禁止打开失败 计算一系列IP地址的最佳子网掩码的最佳方法是什么? devise一个合适的Active Directory结构 清漆debugginglurker 如何连接到路由器后面的P2P客户端? 让apache根据url中的扩展名select一个php版本,但在文件系统上只有一个文件 购买SSL证书后,IIS FTP服务器无法正常工作 网站在VPS上变慢,在共享主机上速度非常快。 怎么了? 子网划分新地址无法连接到互联网 拥有更多用户的SQL Server与购买的用户CAL相比 Nginx的proxy_pass有时会使用IPv6地址 将Active Directory从2003年移到2008年 错误:MigrationProvisioningPermanentException:名称已被使用

Windows XP的全盘encryption – 有什么select?

我一直在问为我们的移动用户看全盘encryption软件。 我们在域上运行Windows XP SP3个人电脑,我的理解是我们不会升级到Vista,并且目前还没有升级到Windows 7的计划。这似乎排除了Bitlocker。 我们想看看两种不同types的解决scheme:

  1. Active Directory集成解决scheme,可将域帐户和密码同步login到PC。 此解决scheme应允许域pipe理员访问任何encryption的驱动器,并获得奖励点,如果解密/encryption磁盘访问权限可委派给帮助桌面上的非域pipe理员。
  2. 一个解决scheme可以在每台PC上单独运行,或者以某种工作组模式运行,允许一个主密码解密笔记本电脑的驱动器。 与域用户帐户和密码同步也将是很好的,为最终用户单点login。

解决scheme必须是可靠的(例如,当用户被迫在路上更改她的域密码时,不会丢失密码同步。)这是一家小商店,所以pipe理的简易性非常重要。

由于其最近的安全漏洞,可以排除TrueCrypt的威力,但为了这个问题的目的,我想听听它是否符合这些要求。 与BitLocker同样的事情 – 可能会因为缺乏升级Windows的愿望而被排除,但是我对Vista / Windows 7上的工作感兴趣。

为什么, TrueCrypt !

encryption整个分区或存储设备,如USB闪存驱动器或硬盘驱动器。

在没有pipe理员权限的情况下使用TrueCrypt

在Windows中,没有pipe理员权限的用户可以使用TrueCrypt,但只能在系统pipe理员在系统上安装TrueCrypt后才能使用。 原因是TrueCrypt需要一个设备驱动程序来提供透明的即时encryption/解密,没有pipe理员权限的用户不能在Windows中安装/启动设备驱动程序。

在系统pipe理员在系统上安装TrueCrypt之后,没有pipe理员权限的用户将能够运行TrueCrypt,安装/卸载任何types的TrueCrypt卷,加载/保存数据以及在系统上创build文件托pipe的TrueCrypt卷。 但是,没有pipe理员权限的用户无法encryption/格式化分区,无法创buildNTFS卷,无法安装/卸载TrueCrypt,无法更改TrueCrypt分区/设备的密码/密钥文件,无法备份/恢复TrueCrypt分区/设备的标题,并且无法运行TrueCrypt在便携式模式。

系统encryption涉及预启动validation ,这意味着任何想访问和使用encryption系统,读取和写入存储在系统驱动器上的文件等的用户,每次在Windows启动之前都需要input正确的密码(启动)。 引导前身份validation由TrueCrypt引导加载程序处理,该引导加载程序位于引导驱动器的第一个轨道和TrueCrypt救援磁盘上。

域名访问在预启动login之后。

但是,如果用户需要更改密码并且雇主希望知道该密码,则这是雇主信任用户/员工的问题。

我们使用Guardian Edge Encryption Plus 。 它使用起来非常简单,并且具有您所需要的单一loginfunction。 我已经设置了它,并在几台笔记本电脑上使用它,并对它是如何不干扰印象深刻。 除了最初的encryption之外,操作很less被注意到,并且(以我的经验)不会影响系统的整体性能。

我们正在使用PGP整个磁盘encryption 。 我没有直接参与设置,所以我不能给你很多具体的细节。 我知道它是对我们的AD基础设施进行身份validation,但是它不会执行单一login,因为PGP层在引导时发生在Windows引导之前,因此在Windowsnetworking连接之前。

在我工作的地方使用了Credant。 它不是很受欢迎,因为它对系统的性能影响是显而易见的,除非你用7200RPM或SSD等更快的驱动器否定它。

指出通过美国政府的“SmartBuy”计划最终选定的产品可能是有用的。 这些产品被选中以确保DA​​R(静止数据)安全,并根据安全需求,价格等进行审查。从该机构的网站 : 

产品有:
 *移动装甲有限责任公司的数据装甲
 * Safeboot NV的Safeboot设备encryption
 *信息安全公司的秘密代理
 * SafeNet公司的SafeNet ProtectDrive
 *encryption解决scheme公司的SkyLOCKrest
 * SPYRUS公司的Talisman / DS数据安全套件
 * WinMagic公司的SecureDoc
 CREDANT Technologies Inc.的CREDANTMobile Guardian
 GuardianEdge Technologies的GuardianEdge。

显然缺less的是: PGP WDE (我对PGP有很多的尊重,所以我不知道为什么他们被忽略了)和BitLocker (更新的产品,但是可以在企业环境中部署和pipe理,并且对配备TPM的机器非常有吸引力) 。

此外,我没有看到基于硬件的解决scheme的提及,例如由Wave Systems(或Secude的FinallySecure)提供的pipe理软件的希捷Momentus FDE驱动器 。 新的购买可以使用这些驱动器,而现有的机器使用基于软件的FDE(我相信FinallySecure为这些混合环境提供了一个集成的pipe理)。

我们使用BeCrypt DiskProtect,它符合我们规定的各种要求。

我实际上在两个不同的系统/networking上工作,都使用BeCrypt。 一个使用单点login(除非另有说明),另一个不是单点login。

从安全angular度来看,我认为单点login的全盘encryption是愚蠢的! 键盘logging器,看着你在打字的人,在各种地方使用你的标准密码,意味着一旦有了密码,他们就可以完全访问你的“安全机器”

我可以从易用性和用户的angular度理解它,但我相信单独login只能提供额外的安全性。

我们在工作中使用SafeBoot,但我不认为它符合您的AD要求; 它有自己的服务器解决scheme与userid /电脑商店(因此更多的pipe理开销)。 是否有谁可以启动每台机器的列表。

我觉得它比BitLocker慢,接pipe整个驱动器,MBR和所有,我讨厌,但没有严重的问题。