Рекомендуемое решение для шифрования диска
Нет, это не синхронизирует аппаратные средства или часы программного обеспечения хоста. Аппаратные часы VM являются виртуальными и синхронизируются (по крайней мере, с ESX) с хостом во время начальной загрузки. После этого VM поддерживает свое собственное время. Поскольку VMware лучше выполнять ntpd в VM, для Xen я не знаю, но я предполагаю, что это - то же.
Truecrypt: http://www.truecrypt.org/
зашифрует мобильные, внутренние диски полностью, можно даже зашифровать целый системный раздел на лету и затем установить пароль загрузчика - дает Вам больше безопасности на ноутбуках.
и его открытый исходный код - свободный.
http://4sysops.com/archives/system-drive-encryption-truecrypt-5-vs-bitlocker/
Bitlocker хорош также, но должен планировать, я предложил бы использование truecrypt.
-
1@rihatum спасибо за ответ. Вы используете TrueCrypt сами? Какие-либо проблемы с ним? – Chris Driver 19 January 2010 в 14:50
-
2Моя мысль - то, что Bitlocker был бы более интересным, если бы Вы уже делаете автоматическое развертывание ноутбуков, имеете соглашения о категории лицензионных услуг и актуальный Windows Server 2008 + инфраструктура, работающая... затем он развернулся бы с в основном нулевым влиянием и был бы очевидным выбором особенно с AD интеграцией для восстановления - но большинство меньших магазинов, которые я знаю, использует TrueCrypt и любит его. – Oskar Duveborn 19 January 2010 в 15:14
С инструментами нападения Злой девицы (EM), теперь доступными для TrueCrypt, я пошел бы для BitLocker, если бы у меня был бюджет, потому что подобные они нападения вполне более сложны, и он интегрируется лучше с AD и т.д., как Oskar Duveborn заявил.
Я предполагаю, что Вы читаете статьи Joanna Rutkowska на обоих продуктах:
http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html
http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html
Но если Вы уверены, что Ваши коллеги будут всегда проявлять хорошую заботу о своих ноутбуках - со случаем безопасности и всеми, можно пойти для TrueCrypt.
Сторона отмечает
помните, что полное шифрование диска не защитит Ваши данные изнутри [ОС], например, если Ваш компьютер повреждается вирусом при выполнении.
помните, что технические решения являются просто частью цепочки безопасности (см. http://xkcd.com/538/ для деталей).
Редактирование (01-20-2010)
Additionnal детализирует о нападениях EM и BitLocker:
Отметьте, чем BitLocker будет более эластичным, чем TrueCrypt только если используемый на TPM-поддерживающем компьютере.
Существуют способы победить BitLocker+TPM (статья, статья), но никакие общедоступные инструменты доступный AFAIK. Таким образом, в то время как BitLocker более эластичен к оппортунистическим нападениям EM (он берет больше для перестраивания имитировавшего экрана взаимодействия с пользователем для BitLocker, чем просто копия инструмент EM для trucrypt на флеш-карте), это не является на 100% пуленепробиваемым (никакое решение не).
-
1
В то время как TrueCrypt подходит для малого офиса / сценарий домашнего офиса, существует много причин пойти для заплаченного решения в большем бизнесе:
- Консоль управления
- Интеграция с Active Directory, так, чтобы конечные пользователи только вошли в систему однажды.
- Удаленные сбросы пароля. Конечный пользователь должен будет позвонить Вам для сброса пароля?
- Удаленный переключатель уничтожения. Некоторое предложение это также.
Я в настоящее время рассматриваю пару решений других производителей, Общей Защиты McAfee для Данных (раньше известный как SafeBoot), и Конечная точка Symantec Encyrption.
Одна причина я не изучал BitLocker, состоит в том, что у меня уже есть несколько машин на Vista Business, и я не хотел обновлять / повторно настраивают их.
Я также изучил решение PGP, но оно требует выделенному серверу или сертифицированному решению для виртуального сервера управлять программным обеспечением, и это было слишком большой сложностью для моего сценария.
Никакие проблемы с truecrypt whatosever; пока Вы выполняете шаги на там веб-сайтах для разных уровней шифрования.
До bitlocker, поскольку Oskar уже упомянул, что будет легче справиться - но, если должный стоить Вам, не может пойти до bitlocker, можно всегда использовать truecrypt - очень хороший.
-
1Имейте Вас, имел прямой опыт с помощью него для завершенного шифрования computer' s диск, включая системный раздел? Какая скорость влияет (если таковые имеются), Вы видели? Был Ваш опыт в системе Windows? – T.J. Crowder 19 January 2010 в 16:42
Шифрование PGP имеет хороший продукт шифрования для меня. Можно попробовать его. Это обеспечивает много решения для шифрования, и поддерживайте все версии окон 7.
-
1@sky100 Так сделали, Вы активно использовали шифрование диска PGP? Tom Willwerth (в другом ответе на мой вопрос) упоминает, что PGP требует выделенного сервера / виртуальный сервер для управления. Имеет место это для Вас? – Chris Driver 20 January 2010 в 12:20
-
2Выезд Драйвера @Chris www.pgp.com/products/wholediskencryption Видит " Централизованное управление Requirements" под Техническими Спецификациями. Этот Универсальный Сервер PGP - то, к чему я обращался. – Tom Willwerth 20 January 2010 в 16:24
-
3
Для ответа на вторую часть вопроса Microsoft по-разному требовали ЦП наверху 5-6% для Workstation\Notebooks и 10-15% для серверов с Bitlocker. Влияние производительности на жесткий диск зависит от того, насколько мощный Ваш ЦП для актуальнейшего ноутбука/рабочего стола генерала и системы приводов ЦП, влияние не примечательно. Я выполнил аналогичные системы с и без Bitlocker, и это определенно было моим опытом.
Однако это зависит от платформы - Alexander Weiß в 4 Sysops сделал некоторые сравнения производительности и нашел, что 29% к 50%-му сокращению последовательной скорости передачи HDD для Atom привели в действие нетбук, это происходит совершенно из-за слабых мест нетбука низкой мощности ЦП. Подобные сокращения вероятны, если у Вас будет безумно быстрый SSD - то более высокие скорости передачи данных создадут намного более серьезную нагрузку для ЦП.
Небольшой совет. Я только что узнал, что лицензия TrueCrypt содержит легальное "прерывание", которое позволяет им предъявлять иск любому пользователю программного обеспечения, даже пользователь следует за 100% условий лицензионного соглашения.
http://lists.freedesktop.org/archives/distributions/2008-October/000276.html
Им сообщил об этом давным-давно Fedora и не сделали зафиксировал его в текущей версии, таким образом, это кажется мне, это - на самом деле преднамеренное прерывание.
Следующая проблема, с которой я сталкиваюсь, отображает (Acronis/Ghost/..) зашифрованные диски не будут работать, если я не выполню обработку изображений сектора сектором. Это означает, что зашифрованный раздел на 80 ГБ создает файл изображения на 80 ГБ :(
Просто выполненное Резервное копирование от беговой дорожки, таким образом, у Вас будет незашифрованное изображение. Acronis должен смочь сделать это, если я не ошибаюсь. При тихой необходимости в безопасности для изображения также можно поместить его в сейф или на зашифрованном диске сервера. Я пошел бы с незашифрованными резервными копиями для данных, потому что мне нравятся отказоустойчивые резервные копии.
Если быстрое восстановление системы будет необходимо, то Вы, вероятно, не обойдете обработку изображений зашифрованного диска.
-
1Спасибо за это. Если you' ре корректный you' ve решил мою проблему :) – Chris Driver 19 May 2010 в 19:31
Полное-шифрование диска, вероятно, не что вы хотите. Если вы войдете в свой компьютер, шифрование всего-диска просто расшифрует все... в это время. Это означает, что любая вредоносная программа получает доступ ко всему, когда вы входите в систему.
Может быть полезным более детальное шифрование на уровне файлов-.
Раскрытие информации:Я работаю в компании, занимающейся шифрованием на файловом-уровне, и не собираюсь рекомендовать конкретное решение, но советую поискать альтернативы всему-диску.