When to use Truecrypt and when not to?

如果您的某台笔记本电脑丢失了,并且A)在机器上有机密数据,或者B)无法确认笔记本电脑上没有机密数据,那么您需要某种加密方案.当然,您(和您的组织)需要决定您要使用哪些标准来考虑什么是机密和什么不是.我建议你不要忽视这一步;如果没有必要,你不想完成所有这些工作,也不想将你的组织相当于办公室的cookie配方提升到需要AES-256的保密级别.如果你已经完成了这个过程,那么你很高兴.

My concern with Truecrypt is that my users will have 2 passsword needed to login to their machines. Also,I need to choose to either have 1 password for my organization,or carefully document each machine’s password (management nightmare).

在您的笔记本电脑上使用单个密码或在每台机器上使用唯一密码之间的选择取决于您需要考虑的一些问题：

如果你选择一个密码,每当有人知道它的时候,你会改变它吗？如果没有,你会多久旋转一次？如果您选择一个唯一的密码,您将获得更高的安全性,但也增加了开销(但每次员工离开时,您不必为每台笔记本电脑旋转密码).您将如何跟踪密码轮换方案？

我的建议是选择一种排列方案,该方案使用与笔记本电脑实际停留的数字,就像序列号的一部分一样.添加其他内容,您可以记住.排列方案应该相对难以猜测,但很容易,以便您可以坐在笔记本电脑上而不必参考文档.这应该减少一些管理开销.显然,如果您需要旋转笔记本电脑的密码,您需要选择一个新的排列方案来“生成”您的密码.这可能是一个简单的增加数字…无论文档,文档,文档.

In my mind,choosing between a managed and a free encryption solution is primarily based on the NUMBER of machines that will be encrypted and supported.

在这里达成协议.这里有30到50台机器可以使用未经管理的解决方案,但是你需要在承诺之前仔细考虑.尝试使用测试装置来了解它需要什么样的开销.

1. From a management standpoint,what is the tipping point of users where a managed solution would pay for itself over Truecrypt?

这取决于您是否有更多时间或更多钱. ：D就像我说的,有一些方法可以减少未管理解决方案的开销.开销可能比你想象的要少.

2. What are some good third party solutions? (I will consider Bitlocker,but the price to upgrade Windows 7 licenses is a turn-off)

在我看来,只有Bitlocker,但只有你已经拥有许可证.根据我的经验,TrueCrypt是一款出色的产品.关于Bitlocker的另一件事是,你仍然无法摆脱密码问题…我相信微软的官方路线是他们不建议将密码存储在TPM中,因为它容易受到冷启动攻击.

从TechNet开始：
“仅TPM身份验证模式最易于部署,管理和使用.对于无人值守或无人值守时必须重新启动的计算机,它可能更合适.但是,仅TPM模式提供的数据保护最少.您的组织的某些部分拥有在移动计算机上被视为高度敏感的数据,请考虑在这些计算机上部署具有多重身份验证的BitLocker.“

此外,企业添加允许您使用AD来存储“恢复密钥”(可能是加密所需的密钥文件的副本.这是一个很好的集成Windows版本的TrueCrypt的恢复磁盘功能.