web-dev-qa-db-ja.com

Truecryptを使用する場合と使用しない場合は?

私は約30台(この数は今後数年間で50台以上に増える可能性が高い)の暗号化されていないラップトップを持っており、暗号化を任されています(ドライブ全体)。これらのマシンは、私のユーザーによってオフサイトで定期的に使用されます。これらのマシンはWindows7とXP(約50/50)を実行していますが、毎月より多くのWindows 7を実行しています。Truecryptの経験があり、問題はありません。これが解決策のようです。無料のソリューション。

Truecryptに関する私の懸念は、ユーザーが自分のマシンにログインするために必要な2つのパスソードを持っていることです。また、組織のパスワードを1つにするか、各マシンのパスワードを注意深く文書化するかを選択する必要があります(管理上の悪夢)。私の考えでは、マネージド暗号化ソリューションと無料暗号化ソリューションのどちらを選択するかは、主に暗号化およびサポートされるマシンの数に基づいています。

2つの質問:

  1. 管理の観点から、マネージドソリューションがTruecryptよりも自分でお金を払うユーザーの転換点は何ですか?
  2. いくつかの優れたサードパーティソリューションは何ですか? (Bitlockerを検討しますが、Windows 7ライセンスをアップグレードするための価格は無効になります)

企業環境で暗号化されたマシンをサポートした経験のある管理者からの連絡をお待ちしています。

よろしくお願いします!

5
tm77

Truecryptを使用する場合と使用しない場合は?

ラップトップの1つが紛失し、A)マシンに機密データがあるか、B)ラップトップに機密データがないことを確認できない場合は、何らかの暗号化スキームが必要です。もちろん、あなた(およびあなたの組織)は、何が機密で何が機密でないかを検討するために使用する基準を決定する必要があります。このステップをおろそかにしないことをお勧めします。必要がない場合は、このすべての作業に取り掛かる必要はありません。また、組織のオフィスのCookieレシピに相当するものを、AES-256を必要とする機密レベルにまで引き上げる必要もありません。すでにプロセスを完了している場合は、問題ありません。

Truecryptに関する私の懸念は、ユーザーが自分のマシンにログインするために2つのパスワードが必要になることです。また、組織のパスワードを1つにするか、各マシンのパスワードを注意深く文書化するかを選択する必要があります(管理上の悪夢)。

ラップトップのフリートに単一のパスワードを使用するか、マシンごとに一意のパスワードを使用するかの選択は、考慮する必要のあるいくつかの質問によって異なります。

パスワードを1つ選んだ場合、それを知っている人が退職するたびにパスワードを変更しますか?そうでない場合、どのくらいの頻度で回転させますか?一意のパスワードを選択すると、セキュリティは向上しますが、オーバーヘッドも増加します(ただし、従業員が退職するたびにすべてのラップトップのパスワードをローテーションする必要はありません)。パスワードローテーションスキームをどのように追跡しますか?

ここでの私の提案は、シリアル番号の一部のように、ラップトップに物理的に留まる番号を使用する順列スキームを選択することです。あなたが覚えていることができるこれに何か他のものを追加してください。順列スキームは推測するのが比較的難しいはずですが、ラップトップに座ってドキュメントを参照する必要がないように十分に簡単です。これにより、管理オーバーヘッドの一部が削減されます。明らかに、ラップトップのパスワードをローテーションする必要がある場合は、パスワードを「生成」するための新しい順列スキームを選択する必要があります。これは、ドキュメント、ドキュメント、ドキュメントに関係なく、数字をインクリメントするだけの簡単なものである可能性があります。

私の考えでは、マネージド暗号化ソリューションと無料暗号化ソリューションのどちらを選択するかは、主に暗号化およびサポートされるマシンの数に基づいています。

ここで完全な合意。ここでは、管理されていないソリューションで30〜50台のマシンを実行できるようですが、コミットする前に慎重に検討する必要があります。テストリグを試して、必要なオーバーヘッドの種類を把握してください。

  1. 管理の観点から、マネージドソリューションがTruecryptよりも自分でお金を払うユーザーの転換点は何ですか?

これはあなたがより多くの時間またはより多くのお金を持っているかどうかに依存します。 :D私が言ったように、管理されていないソリューションのオーバーヘッドを減らす方法があります。オーバーヘッドはあなたが思っているより少ないかもしれません。

2.いくつかの優れたサードパーティソリューションは何ですか? (Bitlockerを検討しますが、Windows 7ライセンスをアップグレードするための価格は無効になります)

私の意見では、Bitlockerのみですが、既にライセンスを持っている場合に限ります。 TrueCryptは私の経験では優れた製品です。 Bitlockerについてもう1つ言及するのは、パスワードの問題から逃れることはできないということです... Microsoftの公式の見解では、コールドブート攻撃に対して脆弱であるため、パスワードをTPMに保存することは推奨されていません。 。

From TechNet : "TPMのみの認証モードは、展開、管理、および使用が最も簡単です。無人または無人で再起動する必要があるコンピューターにも適している場合があります。ただし、TPMのみモードは最小限のデータ保護を提供します。組織の一部にモバイルコンピューターで機密性が高いと見なされるデータがある場合は、それらのコンピューターに多要素認証を備えたBitLockerを展開することを検討してください。」

さらに、エンタープライズの追加により、ADを使用して「リカバリキー」(おそらく暗号化に必要なキーファイルのコピー)を保存できます。これは、TrueCryptのリカバリディスク機能の優れた統合Windowsバージョンです。

2
user62491

私たちはこれを通り抜けて、その実績のためにtruecryptを決定しました。現在15人のユーザーがいて、かなり大きくなる可能性があります。 2つのオプションがあります:

複雑なパスワードで画像を作成します。これから復元CDを作成します。次に、ユーザーに変更してもらいます。別のCDを作成しないでください。

または、複雑なパスワードを作成し、CDの作成後にユーザーにパスワードを変更してもらいます。変更後、CDを再作成しないでください。これにより、忘れないようにしたパスワードでパスワードをリセットできます。

最大の問題はあなたの時間とエネルギーです。幸運を!

6
gdurham

私たちの組織は、ラップトップの暗号化も実装中です。あなたが言及したのと同じパスワードの問題を発見しましたが、テストはTrueCryptが私たちのニーズに対して実行可能であることを示したことを知っています。

gdurhamは、パスワードの問題に対処するための最良の解決策を持っており、問題を回避できるはずです。

TrueCryptに関連する価格は、彼らがそれを管理するためにあなたに支払う時間になります。これは重要ではないので、「無料」ソリューションと有料ソリューションの間の既知の情報に基づいて評価を試みてください。

0
Mike