Я храню клиентские файлы на своих офисных компьютерах, и персонал должен иметь доступ к этим файлам. Клиентские файлы должны быть полностью конфиденциальными из-за личных данных.

До сих пор я использовал Windows EFS и преобразовал все свои файлы в PDF, используя "шифрование Adobe PDF" с шифрованием сертификатов.

Я думал, что EFS защитит, если диск будет украден, и зашифрованные файлы PDF защитят, если сотрудник скопирует файлы и заберет их домой.

Могу ли я использовать TrueCrypt для шифрования всего диска без предварительной загрузки? Таким образом, сотрудники могут перезагрузить компьютер, не сообщая им пароль TrueCrypt?

1 ответ1

0

С TrueCrypt нет никакого способа избавиться от процесса аутентификации перед загрузкой - он должен иметь надежный пароль или парольную фразу, или он вообще не обеспечивает никакой защиты.

Проще говоря, если сотрудники могут загружаться в Windows, не взаимодействуя с TrueCrypt, то может и тот, кто крадет компьютер, и этот человек может также расшифровать диск на досуге.

Если это вопрос удобства, а не доверия, вы можете подумать о том, чтобы YubiKey был запрограммирован со всей или частью парольной фразы TrueCrypt - их можно быстро вставить в компьютер для завершения перезагрузки, а затем заблокировать в ящике стола или в сейфе до в следующий раз они нужны.

В противном случае, если вы хотите, чтобы система загружалась непосредственно в Windows, все еще используя полное шифрование диска, вам понадобится другое решение. BitLocker+TPM+Secure Boot приходит на ум в среде Windows как очевидный вариант, но имейте в виду, что вам, возможно, придется внести некоторые изменения в конфигурацию, чтобы обеспечить разумный уровень безопасности - по крайней мере, ограничить доступ к BIOS, заблокировать загрузку со съемных носителей и убедитесь, что все параметры восстановления Windows настроены на использование пароля администратора. Очевидным недостатком этого является то, что он требует аппаратной поддержки внутри самой материнской платы.

Если проблема заключается в доверии или требовании политики об отсутствии общих паролей, существуют различные коммерческие продукты для шифрования, которые имеют различные параметры для процесса предварительной загрузки. Некоторые из них могут проходить проверку подлинности на сервере в офисной сети, так что компьютеры могут свободно загружаться при использовании в офисе, некоторые из них предлагают надежное управление пользователями, так что каждый имеет свои учетные данные для загрузки системы, а некоторые предлагают поддержка аппаратных токенов - смарт-карт и USB-ключей. Это ориентированные на предприятия функции, поэтому продукты, которые их реализуют, обычно не дешевы, но они есть.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .