随着 Windows XP 扩展支持的全面结束和 Windows 7 主流支持的终结,有迹象表明 Windows 10 支持正在企业中迅速扩展。即使是那些由于各种原因和情况而一直推迟支持 Windows 10 的公司,现在也必须认真对待了。
企业需要结合 Windows 10 合规性解决各种问题,但本专栏的重点是如何尽可能地防止信息泄漏,因为我们知道,PC 和移动设备带出办公室后不可能 100% 没有丢失或被盗的风险,而且始终存在数据或信息被提取的风险。本专栏的重点是硬盘加密,这是操作系统升级、个人电脑更换和扩展等必不可少的关键措施之一。
36% 的信息泄漏是由 PC 和其他设备被盗、丢失或放错位置造成的。
笔记本电脑和移动设备在办公室外的使用正在企业中迅速扩大,许多公司可能正在考虑更换或扩展 PC,为兼容 Windows 10 做准备。
需要考虑的最重要方面是应对信息泄露的风险。事实上,从被盗、丢失或放错位置的个人电脑中非法提取数据的信息泄漏事件正在增加。根据日本网络安全协会的一项调查,在所有个人信息泄露事件中,失窃、丢失和放错位置的 PC 约占 36%。
*参考资料:日本网络安全协会,”2015 年信息安全事件调查报告 [初步报告]”。
操作系统登录密码和 BIOS 密码不足
你可能会想,”我的电脑很安全,因为我有登录密码”,但互联网上有免费的破解工具,你的密码可能在几分钟内就被破解了。
熟悉个人电脑的人可能会认为,BIOS 密码系统需要在操作系统启动前输入,因此应该更安全,但这也是一个误解:BIOS 密码并不直接保护个人电脑的硬盘,因此不能保护物理硬盘。
它对抗裂纹活动不够有效。
使用 “BitLocker “或类似软件进行硬盘加密至关重要。
加密软件(或功能)利用特殊技术对硬盘上的数据进行加密,使第三方难以非法读取数据,是防止个人电脑被带出办公室后信息泄露不可或缺的措施。Windows 10 标配的硬盘加密功能 BitLocker 就是这样一个例子。
但 BitLocker 真的足够吗?市场上的其他硬盘加密软件又如何呢?您需要仔细研究这些软件,了解它们具有哪些机制和功能,以及是否可以从企业基础架构管理者的角度进行操作。
选择硬盘加密软件的 5 个要点
有些硬盘加密软件在安装时需要进行繁琐的设置,如果员工忘记密码,程序会很麻烦,或者只能加密硬盘的特定区域。BitLocker 只能用于 Windows 操作系统,其他操作系统必须使用不同的软件进行保护。
在考虑和选择与 Windows 10 兼容的硬盘加密软件时,有必要结合贵公司的运营情况,提前进行充分考虑,以免造成遗憾。因此,我们特别强调了五个要点。
加密范围。
仅数据区还是包括操作系统在内的全磁盘系统?
非加密区域会增加安全风险,例如安装未经授权的程序,这些程序可以通过更换硬盘到另一台 PC 来实现非加密。为消除风险,建议使用全盘加密方法。
全磁盘加密方法也会对操作系统和用户数据进行加密。即使使用了破解工具,操作系统也不会启动,破解工具本身也无法使用。这也有助于防止通过硬盘提取造成数据被盗。
建议避免使用市场上的密码分析工具或提供密码解锁服务的数据恢复公司。有些软件可以用来解锁只有管理员权限的加密,但在使用特定 ID 进行内部欺诈成为问题的时候,这不足以作为防止信息泄露的措施。
易于实施和运行管理
是否可以通过管理控制台进行集中管理?
如果需要为每台 PC 手动引入和设置安全策略等,目标 PC 越多,设置所需的时间和精力就越多。最好的解决方案是可以安装在目标 PC 上,而无需进行任何困难的配置。
此外,最好在专用服务器上进行集中管理,这样可以方便地通过管理控制台进行管理;如果不能及时监控每台 PC 的状态,在加密被破坏时就很难迅速做出反应。
有些公司可能混合使用 Windows 和 Mac 操作系统,但为了在全公司范围内管理硬盘加密措施,最好能够在同一策略下对它们进行集中管理。
忘记密码时应采取的措施
假设是否有恢复密钥泄漏。
一些硬盘加密软件产品有密钥信息,用于在忘记密码的情况下进行恢复。在这种情况下,密钥信息会通知相关最终用户,但如果密钥信息被泄露,代价就会很高。账户锁和紧急登录也是如此。最好能有一个系统,在不使用密钥信息等重要信息的情况下,允许密码重发或一次性登录。
电脑启动时的验证方法。
是否可以在操作系统合作中登录。
有些硬盘加密软件使用 “两阶段验证方法”,即在电脑开机后首先出现加密软件的验证屏幕,验证后出现操作系统验证屏幕,要求用户登录。这种方法需要管理多个认证信息和两次登录认证,增加了用户的时间和精力。此外,有些用户可能会因为记不住密码而把写有密码的便签纸留在电脑上。
安全与运行效率之间的平衡非常重要。用于工作的 PC 应能在 PC 启动时一次性快速登录。建议使用单点登录系统,将硬盘加密软件的登录与操作系统的登录联系起来。
如果出现启动问题
恢复起来是否省心省力?
由于系统区域损坏而无法启动操作系统,或由于某种故障而无法禁用加密等问题,对用户来说都是非常严重的。如果装有业务数据的个人计算机当天或几天内无法使用,或者在最坏的情况下无法再次使用,将对业务和运营造成严重损害。
硬盘加密软件已采取措施,允许管理员强制解密,以防万一,但不同软件的方法各不相同。有些软件要求在执行解密前使用单独的硬盘,这可能会给管理员带来麻烦。为了尽快恢复操作,建议选择无需特殊准备即可解密的系统。
使用 BitLocker 进行硬盘加密与市场上的其他硬盘加密软件一样,可以加强安全性。建议从公司基础设施管理员的角度采取适当措施。
查看以前的文章。
