Quando usar o Truecrypt e quando não?

5

Eu tenho cerca de 30 (esse número provavelmente crescerá nos próximos anos para 50 ou mais) laptops não criptografados que eu tenho a tarefa de criptografar (unidade inteira). Essas máquinas serão usadas externamente pelos meus usuários. Estas máquinas estão executando o Windows 7 e XP (cerca de 50/50), mas mais o Windows 7 a cada mês. Tenho experiência com o Truecrypt e não tive problemas. Parece ser a solução para uma solução livre.

Minha preocupação com o Truecrypt é que meus usuários terão 2 palavras-passe necessárias para acessar suas máquinas. Além disso, preciso optar por ter 1 senha para minha organização ou documentar cuidadosamente a senha de cada máquina (pesadelo de gerenciamento). Na minha opinião, escolher entre uma solução de criptografia gerenciada e uma gratuita baseia-se principalmente no NÚMERO de máquinas que serão criptografadas e suportadas.

Duas perguntas:

  1. Do ponto de vista da gerência, qual é o ponto de inflexão dos usuários em que uma solução gerenciada se pagaria pelo Truecrypt?
  2. Quais são algumas boas soluções de terceiros? (Vou considerar o Bitlocker, mas o preço para atualizar as licenças do Windows 7 é um turn-off)

Eu adoraria ouvir alguns administradores com experiência no suporte a máquinas criptografadas em um ambiente corporativo.

Muito obrigado antecipadamente!

    
por tm77 11.03.2011 / 01:02

3 respostas

2

When to use Truecrypt and when not to?

Se um laptop falhar, e você A) tiver dados confidenciais na máquina, ou B) não puder confirmar que NÃO há dados confidenciais no laptop, será necessário algum tipo de esquema de criptografia. É claro que você (e sua organização) precisam decidir quais critérios você deseja usar para considerar o que é confidencial e o que não é. Eu recomendo que você não negligencie este passo; você não quer ir a todo esse trabalho se não for necessário, nem quer elevar o equivalente da receita de cookies do seu escritório a um nível de sigilo que exija AES-256. Se você já passou pelo processo, então é bom ir.

My concern with Truecrypt is that my users will have 2 passsword needed to login to their machines. Also, I need to choose to either have 1 password for my organization, or carefully document each machine's password (management nightmare).

A escolha entre usar uma única senha para sua frota de laptops ou usar senhas exclusivas por máquina depende de algumas perguntas que você precisa considerar:

Se você escolher uma única senha, você a alterará sempre que alguém que a conhece deixar o emprego? Se não, com que frequência você vai rodar? Se você escolher uma senha exclusiva, terá maior segurança, mas também aumentará a sobrecarga (no entanto, não será necessário girar a senha para cada laptop sempre que um funcionário sair). Como você vai acompanhar o esquema de rotação de senha?

Minha sugestão aqui é escolher um esquema de permutação que use um número que permaneça fisicamente com o laptop, como parte do número de série. Adicione algo a mais que você possa lembrar. O esquema de permutação deve ser relativamente difícil de adivinhar, mas fácil o suficiente para que você possa se sentar no laptop e não precisar consultar a documentação. Isso deve reduzir parte da sobrecarga de gerenciamento. Obviamente, se você precisar girar a senha de um laptop, precisará escolher um novo esquema de permutação para "gerar" sua senha. Isso pode ser simples, como incrementar um dígito ... independentemente do documento, documento, documento.

In my mind, choosing between a managed and a free encryption solution is primarily based on the NUMBER of machines that will be encrypted and supported.

Total de acordo aqui. 30 - 50 máquinas parecem poder fazer aqui com uma solução não gerenciada, mas você vai querer pensar cuidadosamente antes para se comprometer com isso. Experimente um equipamento de teste para ter uma ideia do tipo de sobrecarga que será necessário.

  1. From a management standpoint, what is the tipping point of users where a managed solution would pay for itself over Truecrypt?

Isso depende de você ter mais tempo ou mais dinheiro. : D Como eu disse, existem maneiras de reduzir a sobrecarga da solução não gerenciada. A sobrecarga pode ser menor do que você pensa.

2. What are some good third party solutions? (I will consider Bitlocker, but the price to upgrade Windows 7 licenses is a turn-off)

Na minha opinião, apenas o Bitlocker, mas apenas se você já tiver as licenças. TrueCrypt é um excelente produto na minha experiência. A outra coisa a mencionar sobre o Bitlocker, é que você ainda não pode fugir da questão da senha ... Eu acredito que a linha oficial da Microsoft é que eles NÃO recomendam armazenar a senha no TPM, pois ela é vulnerável a um ataque de inicialização a frio .

Em TechNet : "O modo de autenticação somente do TPM é mais fácil de implantar, gerenciar e usar. Ele também pode ser mais apropriado para computadores que não são assistidos ou devem reiniciar enquanto não estiverem sendo atendidos. No entanto, o modo somente TPM oferece a menor proteção de dados. partes de sua organização têm dados considerados altamente confidenciais em computadores móveis, considere a implantação do BitLocker com autenticação multifatorial nesses computadores. "

Além disso, a adição da empresa permite que você use o AD para armazenar "chaves de recuperação" (presumivelmente cópias dos arquivos-chave necessários para criptografia. Essa é uma boa versão integrada do Windows da funcionalidade de disco de recuperação do TrueCrypt.

    
por 11.03.2011 / 04:13
6

Acabamos de passar por isso e decidimos pela TrueCrypt por causa de seu histórico. Atualmente, temos 15 usuários e pode crescer bastante. Existem duas opções:

crie uma imagem com uma senha complicada. Crie o cd de restauração a partir disso. Em seguida, o usuário deve alterá-lo. Não crie outro cd.

Ou crie uma senha complacada e peça para o usuário alterá-la depois de criar o CD. Depois de mudar, não recrie o cd. Isso permite que você redefina a senha com sua senha que você lembrou.

O maior problema é o seu tempo e energia. Boa sorte!

    
por 11.03.2011 / 02:27
0

Nossa organização está no processo de implementar a criptografia de laptop também. Eu sei que o teste mostrou TrueCrypt para ser viável para as nossas necessidades, embora descobriu os mesmos problemas de senha que você menciona.

O gdurham tem a melhor solução para lidar com a questão da senha e deve mantê-lo longe de problemas.

O preço associado ao TrueCrypt é o tempo que você paga para administrá-lo. Isso não é insignificante, então tente fazer uma avaliação baseada nos conhecidos entre a solução "livre" e a paga.

    
por 11.03.2011 / 02:55