Как бы вы управляли ключами с TrueCrypt в деловой среде?
Что может быть одним из лучших вариантов реализации TrueCrypt на всех внешних устройствах, чтобы в случае потери или кражи любого из них данные не могли быть прочитаны другим человеком, а могли управляться так, чтобы пользователи случайно не забыли весь свой жесткий диск? потеряв ключ шифрования?
Каждая машина и пользователь не обязательно должны быть зашифрованы друг от друга, однако, если это будет управляемым, очевидно, что чем больше безопасность, тем лучше.
Это относится к домену Windows, который в основном является Windows XP / Server 2003. Однако в будущем планируется перейти на Windows 7 и Server 2008.
Как бы вы сценарий установки для Active Directory?
3 ответа
Одним из предложений может быть шифрование тома только с помощью ключа шифрования (без ключевой фразы), но ключ всегда должен быть зашифрован на ноутбуках / рабочих станциях с EFS (только для Windows), так что в действительности и пароль пользователя (необязательно, ключ агента резервного копирования) и ключ шифрования используется Truecrypt.
Таким образом, доступ к зашифрованным устройствам будет "прозрачным" для пользователей, и вы сможете централизованно управлять паролями, ключами резервного копирования EFS и т. Д., Не беспокоясь о потерянных ключах и т. Д.
Использование Truecrypt в корпоративной среде может быть проблемой. Наша стратегия заключалась в том, чтобы создать сценарий установки для ввода универсального пароля и сохранить iso для восстановления для truecrypt в пользовательском каталоге "Мои документы". Этот каталог регулярно копируется на центральный сервер для пользователей наших ноутбуков. Iso содержит ключ, зашифрованный с помощью общего пароля во время начальной установки. Пользователь может легко изменить свою парольную фразу на ноутбуке, которая не меняет фактический ключ, используемый для шифрования жесткого диска, который хранится на ISO, закодированном с помощью общего пароля.
Если восстановление когда-либо необходимо, мы запишем аварийный компакт-диск, загрузим пользователя с iso, введем общий пароль, а затем получим возможность расшифровать жесткий диск или заменить ключ на оригинальный ключ. Это дает нам возможность сбросить пароль шифрования или расшифровать ноутбук, если пользователь недоступен.
Вы должны указать свою ОС, но почему бы не сохранить все ключи в резервном хранилище где-нибудь в безопасности? Кроме того, я бы использовал парольную фразу в сочетании с ключом, если вы еще этого не сделали, если ключ находится на чем-то вроде флэш-накопителя, скорее всего, они могут потерять его с ноутбуком (то есть, они находятся в одной сумке), делая во-первых, шифрование практически бесполезно.