Truecryptを使用する場合と使用しない場合は？

Truecryptを使用する場合と使用しない場合は？

ラップトップの1つが紛失し、A）マシンに機密データがあるか、B）ラップトップに機密データがないことを確認できない場合は、何らかの暗号化スキームが必要です。もちろん、あなた（およびあなたの組織）は、何が機密で何が機密でないかを検討するために使用する基準を決定する必要があります。このステップをおろそかにしないことをお勧めします。必要がない場合は、このすべての作業に取り掛かる必要はありません。また、組織のオフィスのCookieレシピに相当するものを、AES-256を必要とする機密レベルにまで引き上げる必要もありません。すでにプロセスを完了している場合は、問題ありません。

Truecryptに関する私の懸念は、ユーザーが自分のマシンにログインするために2つのパスワードが必要になることです。また、組織のパスワードを1つにするか、各マシンのパスワードを注意深く文書化するかを選択する必要があります（管理上の悪夢）。

ラップトップのフリートに単一のパスワードを使用するか、マシンごとに一意のパスワードを使用するかの選択は、考慮する必要のあるいくつかの質問によって異なります。

パスワードを1つ選んだ場合、それを知っている人が退職するたびにパスワードを変更しますか？そうでない場合、どのくらいの頻度で回転させますか？一意のパスワードを選択すると、セキュリティは向上しますが、オーバーヘッドも増加します（ただし、従業員が退職するたびにすべてのラップトップのパスワードをローテーションする必要はありません）。パスワードローテーションスキームをどのように追跡しますか？

ここでの私の提案は、シリアル番号の一部のように、ラップトップに物理的に留まる番号を使用する順列スキームを選択することです。あなたが覚えていることができるこれに何か他のものを追加してください。順列スキームは推測するのが比較的難しいはずですが、ラップトップに座ってドキュメントを参照する必要がないように十分に簡単です。これにより、管理オーバーヘッドの一部が削減されます。明らかに、ラップトップのパスワードをローテーションする必要がある場合は、パスワードを「生成」するための新しい順列スキームを選択する必要があります。これは、ドキュメント、ドキュメント、ドキュメントに関係なく、数字をインクリメントするだけの簡単なものである可能性があります。

私の考えでは、マネージド暗号化ソリューションと無料暗号化ソリューションのどちらを選択するかは、主に暗号化およびサポートされるマシンの数に基づいています。

ここで完全な合意。ここでは、管理されていないソリューションで30〜50台のマシンを実行できるようですが、コミットする前に慎重に検討する必要があります。テストリグを試して、必要なオーバーヘッドの種類を把握してください。

1. 管理の観点から、マネージドソリューションがTruecryptよりも自分でお金を払うユーザーの転換点は何ですか？

これはあなたがより多くの時間またはより多くのお金を持っているかどうかに依存します。 ：D私が言ったように、管理されていないソリューションのオーバーヘッドを減らす方法があります。オーバーヘッドはあなたが思っているより少ないかもしれません。

2.いくつかの優れたサードパーティソリューションは何ですか？ （Bitlockerを検討しますが、Windows 7ライセンスをアップグレードするための価格は無効になります）

私の意見では、Bitlockerのみですが、既にライセンスを持っている場合に限ります。 TrueCryptは私の経験では優れた製品です。 Bitlockerについてもう1つ言及するのは、パスワードの問題から逃れることはできないということです... Microsoftの公式の見解では、コールドブート攻撃に対して脆弱であるため、パスワードをTPMに保存することは推奨されていません。 。

From TechNet ： "TPMのみの認証モードは、展開、管理、および使用が最も簡単です。無人または無人で再起動する必要があるコンピューターにも適している場合があります。ただし、TPMのみモードは最小限のデータ保護を提供します。組織の一部にモバイルコンピューターで機密性が高いと見なされるデータがある場合は、それらのコンピューターに多要素認証を備えたBitLockerを展開することを検討してください。」

さらに、エンタープライズの追加により、ADを使用して「リカバリキー」（おそらく暗号化に必要なキーファイルのコピー）を保存できます。これは、TrueCryptのリカバリディスク機能の優れた統合Windowsバージョンです。