推荐的驱动器加密解决方案

Question

我很快就会为我们的移动员工购买一批运行Windows 7的笔记本电脑。由于我们的业务性质，我将需要驱动器加密。Windows BitLocker似乎是一个显而易见的选择，但看起来我需要购买Windows7Enterprise或终极版才能获得它。有人能就最佳的行动方案提出建议吗？

( a)使用BitLocker，咬紧牙关，付费升级到企业级/终极版

( b)支付另一款更便宜的第三方驱动器加密产品(建议谢谢)

( c)使用免费驱动器加密产品(如TrueCrypt )

理想的情况下，我也感兴趣的‘真实世界’的经验，谁正在使用驱动器加密软件和任何陷阱值得注意。

事先非常感谢..。

更新

出于以下原因，决定与TrueCrypt合作：

( a)产品有良好的记录

( b)我没有管理大量的笔记本电脑，所以与Active、管理控制台等集成并不是一个巨大的好处

( c)虽然艾克斯确实对邪恶少女(EM)的攻击有很好的看法，但我们的数据并不是那么可取，可以认为它是一个主要因素

( d)成本(免费)是一个很大的优势，但不是主要的动力。

我面临的下一个问题是成像(Acronis/Ghost/..)加密驱动器将无法工作，除非我执行逐扇区成像。这意味着一个80 an加密的分区创建一个80Gb映像文件:(

Answer 1

Truecrypt：http://www.truecrypt.org/

将加密移动，内部驱动器完全，你甚至可以加密整个系统分区的动态，然后设置一个引导加载程序密码-给你更多的安全笔记本电脑。

和它的开放资源-免费。

http://4sysops.com/archives/system-drive-encryption-truecrypt-5-vs-bitlocker/

Bitlocker也不错，但由于预算原因，我建议使用truecrypt。

Answer 2

随着邪恶女佣(EM)攻击工具现在可用于TrueCrypt，如果我有预算的话，我会选择BitLocker，因为类似EM的攻击要复杂得多，而且它与AD等更好地集成，就像Oskar所说的那样。

我建议您阅读Joanna Rutkowska关于这两种产品的文章：

http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html

http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html

但是，如果你确信你的同事总是会很好地照顾他们的笔记本电脑--带着安全外壳等等，你可以选择TrueCrypt。

Side notes

• 请记住，全磁盘加密不会保护您的数据从内部操作系统，例如，如果您的计算机被病毒破坏时运行。
• 记住，技术解决方案只是安全链的一部分(详见http://xkcd.com/538/ )。

编辑(01-20-2010)

关于BitLocker和EM攻击的附加详细信息：

• 注:只有在启用TPM的计算机上使用时，BitLocker才会比TrueCrypt更有弹性.
• 有一些方法可以击败BitLocker+TPM (文章，纸)，但是没有可用的公共工具。因此，虽然BitLocker对机会性EM攻击有更强的抵抗力(为BitLocker重新开发一个欺骗的用户交互屏幕需要更多的时间，而不仅仅是将EM工具复制到USB键上)，但它并不是100%的防弹能力(没有解决方案)。

Answer 3

虽然TrueCrypt适合于小型办公/家庭办公场景，但在大型企业中使用付费解决方案有很多原因：

1. 管理控制台
2. 与Active集成，因此最终用户只需登录一次。
3. 远程密码重置。终端用户需要打电话给您密码重置吗？
4. 遥控开关。有些人也提供这个。

我目前正在复习几个第三方解决方案，McAfee数据的全保护 (以前称为SafeBoot)和赛门铁克终结权。

我没有研究BitLocker的一个原因是我已经有几台机器在Vista业务上，而且我不想升级/重新提供它们。

我还研究了PGP解决方案，但它需要一个专用服务器或认证的虚拟服务器解决方案来管理软件，这对我的场景来说太复杂了。