When to use Truecrypt and when not to?
Se um laptop falhar, e você A) tiver dados confidenciais na máquina, ou B) não puder confirmar que NÃO há dados confidenciais no laptop, será necessário algum tipo de esquema de criptografia. É claro que você (e sua organização) precisam decidir quais critérios você deseja usar para considerar o que é confidencial e o que não é. Eu recomendo que você não negligencie este passo; você não quer ir a todo esse trabalho se não for necessário, nem quer elevar o equivalente da receita de cookies do seu escritório a um nível de sigilo que exija AES-256. Se você já passou pelo processo, então é bom ir.
My concern with Truecrypt is that my users will have 2 passsword needed to login to their machines. Also, I need to choose to either have 1 password for my organization, or carefully document each machine's password (management nightmare).
A escolha entre usar uma única senha para sua frota de laptops ou usar senhas exclusivas por máquina depende de algumas perguntas que você precisa considerar:
Se você escolher uma única senha, você a alterará sempre que alguém que a conhece deixar o emprego? Se não, com que frequência você vai rodar? Se você escolher uma senha exclusiva, terá maior segurança, mas também aumentará a sobrecarga (no entanto, não será necessário girar a senha para cada laptop sempre que um funcionário sair). Como você vai acompanhar o esquema de rotação de senha?
Minha sugestão aqui é escolher um esquema de permutação que use um número que permaneça fisicamente com o laptop, como parte do número de série. Adicione algo a mais que você possa lembrar. O esquema de permutação deve ser relativamente difícil de adivinhar, mas fácil o suficiente para que você possa se sentar no laptop e não precisar consultar a documentação. Isso deve reduzir parte da sobrecarga de gerenciamento. Obviamente, se você precisar girar a senha de um laptop, precisará escolher um novo esquema de permutação para "gerar" sua senha. Isso pode ser simples, como incrementar um dígito ... independentemente do documento, documento, documento.
In my mind, choosing between a managed and a free encryption solution is primarily based on the NUMBER of machines that will be encrypted and supported.
Total de acordo aqui. 30 - 50 máquinas parecem poder fazer aqui com uma solução não gerenciada, mas você vai querer pensar cuidadosamente antes para se comprometer com isso. Experimente um equipamento de teste para ter uma ideia do tipo de sobrecarga que será necessário.
- From a management standpoint, what is the tipping point of users where a managed solution would pay for itself over Truecrypt?
Isso depende de você ter mais tempo ou mais dinheiro. : D Como eu disse, existem maneiras de reduzir a sobrecarga da solução não gerenciada. A sobrecarga pode ser menor do que você pensa.
2.
What are some good third party solutions? (I will consider Bitlocker, but the price to upgrade Windows 7 licenses is a turn-off)
Na minha opinião, apenas o Bitlocker, mas apenas se você já tiver as licenças. TrueCrypt é um excelente produto na minha experiência. A outra coisa a mencionar sobre o Bitlocker, é que você ainda não pode fugir da questão da senha ... Eu acredito que a linha oficial da Microsoft é que eles NÃO recomendam armazenar a senha no TPM, pois ela é vulnerável a um ataque de inicialização a frio .
Em TechNet : "O modo de autenticação somente do TPM é mais fácil de implantar, gerenciar e usar. Ele também pode ser mais apropriado para computadores que não são assistidos ou devem reiniciar enquanto não estiverem sendo atendidos. No entanto, o modo somente TPM oferece a menor proteção de dados. partes de sua organização têm dados considerados altamente confidenciais em computadores móveis, considere a implantação do BitLocker com autenticação multifatorial nesses computadores. "
Além disso, a adição da empresa permite que você use o AD para armazenar "chaves de recuperação" (presumivelmente cópias dos arquivos-chave necessários para criptografia. Essa é uma boa versão integrada do Windows da funcionalidade de disco de recuperação do TrueCrypt.