Huppie Asked: 2009-05-01 04:49:40 +0800 CST2009-05-01 04:49:40 +0800 CST 2009-05-01 04:49:40 +0800 CST 您如何保护笔记本电脑上的公司机密数据? 772 由于大量敏感信息存储在那里,服务器的安全性通常有很多工作要做,但我认为确保公司笔记本电脑(和 USB 棒)的安全更为重要,因为它们更容易丢失(或偷窃)。 所以我想知道的是: 贵公司如何保护笔记本电脑和 USB 驱动器上的机密信息? security laptop 8 个回答 Voted Best Answer nickd 2009-05-01T04:53:23+08:002009-05-01T04:53:23+08:00 我们使用TrueCrypt。对于笔记本电脑,我们也坚持使用 BIOS 密码。 chills42 2009-05-01T04:57:47+08:002009-05-01T04:57:47+08:00 全盘加密。 有很多方法可以做到这一点。 我个人使用过TrueCrypt ,但在这个wikipedia page上有更多选项。 我还曾在一家推出PointSec (Now Check Point)的会计公司工作。他们的解决方案似乎比 truecrypt 更完整,但当然,这是有代价的。 Paul Mrozowski 2009-05-01T04:57:44+08:002009-05-01T04:57:44+08:00 我使用了Utimaco 的 SafeGuard Easy产品。如果不先输入密码,您将无法启动笔记本电脑。它还加密了整个驱动器。如果有人试图破解密码,它会逐渐增加尝试之间的超时时间(就像每次尝试超时时间的 3 倍,所以即使在几次错误尝试之后也会有一个疯狂的长时间延迟)。如果有人通过生成的密钥被锁定,它有一些很好的工具可以远程允许登录,它可以让你为用户设置过期策略。 他们有一些命令行工具,因此您可以将这些更改推送到配置文件中,这很好,因为我们可以通过他们在笔记本上运行的主要应用程序自动执行这些更改。如果笔记本丢失,我们知道用户/密码将在一周内到期(即使他们知道密码),他们最终会被锁定。 cagcowboy 2009-05-01T04:52:28+08:002009-05-01T04:52:28+08:00 整盘 PGP 加密 David Hicks 2009-05-01T11:47:55+08:002009-05-01T11:47:55+08:00 首先不允许它到达那里(至少,这就是我们正在努力的方向......)。技术,以及计算机的工作和使用方式正在发生变化——现在,无论是通过工作中的有线连接,还是通过无线网络,从用户可能出现的每个/大多数地方都可以随时访问互联网是完全合理的。网络,或者递给他们一台内置 3G 宽带加密狗的笔记本电脑。因此,您可以通过 Windows GPO 禁用 USB 驱动器的使用,并让它们通过 VPN 访问数据,可能只需通过终端服务(或 VNC/SSH 或其他)使用应用程序并使用您喜欢的多种安全因素。 cbrulak 2009-05-01T04:53:46+08:002009-05-01T04:53:46+08:00 真正的 crypt 虚拟驱动器。我们可以通过备份标题来管理它们,以防密码丢失,并且由于它们易于使用,让用户使用它们没有问题。请注意,我们只有 5 个人 K. Brian Kelley 2009-05-01T09:13:43+08:002009-05-01T09:13:43+08:00 我们使用内置单点登录的全盘加密解决方案。SafeGuard 就是这样一种解决方案。这允许用户在 POST 完成后登录一次。如果您输入了错误的密码,密码尝试之间的时间长度将继续加倍。如果你重新启动,它会停留在上一个时间段,但会重新开始。因此,暴力破解是不可能的。如果用户键入正确的密码,它将使用相同的用户名\密码组合(或一组缓存的凭据)将他们登录到计算机上。 这不会阻止用户启动然后让笔记本电脑解锁的情况,但它确实保护了“静止”的驱动器。 Fortyrunner 2009-05-07T12:59:36+08:002009-05-07T12:59:36+08:00 不是开玩笑,但最好的方法是首先不要把它放在那里。(同意大卫希克斯的观点)。 可以这样想:如果笔记本电脑被盗或丢失并且包含您公司的所有机密 - 您会感觉如何?即使您使用带有超强密码的 TrueCrypt .. 您的脑海中总会有这样的疑问。 考虑宣传;媒体对事情的看法过于简单化。他们会说“Acme corp 丢失了带有 30,000 条员工记录的笔记本电脑”。它被高度加密的事实可能不足以防止声誉受损。
我们使用TrueCrypt。对于笔记本电脑,我们也坚持使用 BIOS 密码。
全盘加密。
有很多方法可以做到这一点。
我个人使用过TrueCrypt ,但在这个wikipedia page上有更多选项。
我还曾在一家推出PointSec (Now Check Point)的会计公司工作。他们的解决方案似乎比 truecrypt 更完整,但当然,这是有代价的。
我使用了Utimaco 的 SafeGuard Easy产品。如果不先输入密码,您将无法启动笔记本电脑。它还加密了整个驱动器。如果有人试图破解密码,它会逐渐增加尝试之间的超时时间(就像每次尝试超时时间的 3 倍,所以即使在几次错误尝试之后也会有一个疯狂的长时间延迟)。如果有人通过生成的密钥被锁定,它有一些很好的工具可以远程允许登录,它可以让你为用户设置过期策略。
他们有一些命令行工具,因此您可以将这些更改推送到配置文件中,这很好,因为我们可以通过他们在笔记本上运行的主要应用程序自动执行这些更改。如果笔记本丢失,我们知道用户/密码将在一周内到期(即使他们知道密码),他们最终会被锁定。
整盘 PGP 加密
首先不允许它到达那里(至少,这就是我们正在努力的方向......)。技术,以及计算机的工作和使用方式正在发生变化——现在,无论是通过工作中的有线连接,还是通过无线网络,从用户可能出现的每个/大多数地方都可以随时访问互联网是完全合理的。网络,或者递给他们一台内置 3G 宽带加密狗的笔记本电脑。因此,您可以通过 Windows GPO 禁用 USB 驱动器的使用,并让它们通过 VPN 访问数据,可能只需通过终端服务(或 VNC/SSH 或其他)使用应用程序并使用您喜欢的多种安全因素。
真正的 crypt 虚拟驱动器。我们可以通过备份标题来管理它们,以防密码丢失,并且由于它们易于使用,让用户使用它们没有问题。请注意,我们只有 5 个人
我们使用内置单点登录的全盘加密解决方案。SafeGuard 就是这样一种解决方案。这允许用户在 POST 完成后登录一次。如果您输入了错误的密码,密码尝试之间的时间长度将继续加倍。如果你重新启动,它会停留在上一个时间段,但会重新开始。因此,暴力破解是不可能的。如果用户键入正确的密码,它将使用相同的用户名\密码组合(或一组缓存的凭据)将他们登录到计算机上。
这不会阻止用户启动然后让笔记本电脑解锁的情况,但它确实保护了“静止”的驱动器。
不是开玩笑,但最好的方法是首先不要把它放在那里。(同意大卫希克斯的观点)。
可以这样想:如果笔记本电脑被盗或丢失并且包含您公司的所有机密 - 您会感觉如何?即使您使用带有超强密码的 TrueCrypt .. 您的脑海中总会有这样的疑问。
考虑宣传;媒体对事情的看法过于简单化。他们会说“Acme corp 丢失了带有 30,000 条员工记录的笔记本电脑”。它被高度加密的事实可能不足以防止声誉受损。