5 votos

tm77 avatar

¿Cuándo utilizar Truecrypt y cuándo no?

Preguntado el 11 de Marzo, 2011
Cuando se hizo la pregunta
2883 visitas
Cuantas visitas ha tenido la pregunta
3 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Tengo alrededor de 30 (este número probablemente crecerá en los próximos años a 50 o más) portátiles sin encriptar que me han encargado encriptar (todo el disco). Estas máquinas serán utilizadas fuera de las instalaciones regularmente por mis usuarios. Estas máquinas están ejecutando Windows 7 y XP (aproximadamente 50/50), pero más Windows 7 cada mes. Tengo experiencia con Truecrypt y no he tenido problemas. Parece ser LA solución para una solución gratuita.

Mi preocupación con Truecrypt es que mis usuarios tendrán 2 contraseñas necesarias para acceder a sus máquinas. Además, tengo que elegir entre tener una sola contraseña para mi organización, o documentar cuidadosamente la contraseña de cada máquina (pesadilla de gestión). En mi opinión, la elección entre una solución de encriptación gestionada y una libre se basa principalmente en el NÚMERO de máquinas que serán encriptadas y soportadas.

Dos preguntas:

  1. Desde el punto de vista de la gestión, ¿cuál es el punto de inflexión de usuarios en el que una solución gestionada se amortizaría con respecto a Truecrypt?
  2. ¿Cuáles son algunas buenas soluciones de terceros? (Voy a considerar Bitlocker, pero el precio para actualizar las licencias de Windows 7 es una desventaja)

Me encantaría saber de algún administrador con experiencia en el soporte de máquinas encriptadas en un entorno corporativo.

Muchas gracias de antemano.

Preguntado el 11 de Marzo, 2011 por tm77

Respuestas

¿Demasiados anuncios?

6voto

gdurham avatar
gdurham Puntos 699

Acabamos de pasar por esto y nos decidimos por truecrypt debido a su historial. Actualmente tenemos 15 usuarios en él y podría crecer bastante. Hay dos opciones:

crear una imagen con una contraseña complicada. Cree el CD de restauración a partir de ella. Luego haga que el usuario lo cambie. No cree otro cd.

O crear una contraseña complicada y que el usuario la cambie después de crear el cd. Después de cambiarla no vuelva a crear el cd. Esto le permite restablecer la contraseña con su contraseña que se aseguró de recordar.

El mayor problema es su tiempo y energía. Buena suerte.

Respondido el 11 de Marzo, 2011 por gdurham (699 Puntos )

2voto

kce avatar
kce Puntos 9227

¿Cuándo utilizar Truecrypt y cuándo no?

Si uno de tus portátiles se pierde, y A) tienes datos confidenciales en la máquina, o B) no puedes confirmar que NO hay datos confidenciales en el portátil, entonces necesitas algún tipo de esquema de encriptación. Por supuesto, tú (y tu organización) tenéis que decidir qué criterios queréis utilizar para considerar qué es confidencial y qué no lo es. Te recomiendo que no descuides este paso; no querrás pasar por todo este trabajo si no es necesario, ni querrás elevar el equivalente de tu organización a la receta de galletas de la oficina a un nivel de secreto que exija AES-256. Si ya has pasado por el proceso, entonces estás listo para ir.

Mi preocupación con Truecrypt es que mis usuarios tendrán 2 contraseñas necesarias para acceder a sus máquinas. Además, tengo que elegir entre tener 1 contraseña para mi organización, o documentar cuidadosamente la contraseña de cada máquina (pesadilla de gestión).

La elección entre utilizar una única contraseña para su flota de portátiles o utilizar contraseñas únicas por máquina depende de algunas cuestiones que debe tener en cuenta:

Si eliges una sola contraseña, ¿la cambiarás cada vez que alguien que la conozca deje el empleo? Si no es así, ¿con qué frecuencia la cambiará? Si eliges una contraseña única, aumentarás la seguridad pero también los gastos generales (sin embargo, no tendrás que rotar la contraseña de cada portátil cada vez que un empleado se vaya). ¿Cómo va a controlar el esquema de rotación de contraseñas?

Mi sugerencia es elegir un esquema de permutación que utilice un número que permanezca físicamente con el portátil, como parte del número de serie. Añade algo más que puedas recordar. El esquema de permutación debería ser relativamente difícil de adivinar, pero lo suficientemente fácil como para que puedas sentarte frente al portátil y no tengas que consultar la documentación. Esto debería reducir parte de la sobrecarga de gestión. Obviamente, si necesitas rotar la contraseña de un portátil, tienes que elegir un nuevo esquema de permutación con el que "generar" tu contraseña. Esto podría ser tan simple como incrementar un dígito... independientemente de documento, documento, documento.

En mi opinión, la elección entre una solución de encriptación gestionada y una libre se basa principalmente en el NÚMERO de máquinas que serán encriptadas y soportadas.

Totalmente de acuerdo aquí. 30 - 50 máquinas parece factible aquí con una solución no gestionada, PERO usted querrá pensar cuidadosamente antes de commit a ello. Pruebe un equipo de prueba para tener una idea de qué tipo de sobrecarga requerirá.

  1. Desde el punto de vista de la gestión, ¿cuál es el punto de inflexión de usuarios en el que una solución gestionada se amortizaría con respecto a Truecrypt?

Esto depende de si tienes más tiempo o más dinero. :D Como he dicho, hay formas de reducir los gastos generales de la solución no gestionada. La sobrecarga puede ser menor de lo que crees.

2. ¿Cuáles son algunas buenas soluciones de terceros? (Voy a considerar Bitlocker, pero el precio para actualizar las licencias de Windows 7 es una desventaja)

En mi opinión, sólo Bitlocker, pero sólo si ya tienes las licencias. TrueCrypt es un excelente producto en mi experiencia. La otra cosa que hay que mencionar sobre Bitlocker, es que todavía no se puede evitar el problema de la contraseña... Creo que la línea oficial de Microsoft es que NO recomiendan almacenar la contraseña en TPM ya que es vulnerable a un ataque de arranque en frío.

Desde TechNet : "El modo de autenticación sólo TPM es el más fácil de desplegar, gestionar y utilizar. También puede ser más apropiado para los ordenadores que están desatendidos o que deben reiniciarse mientras están desatendidos. Sin embargo, el modo sólo TPM ofrece la menor protección de datos. Si algunas partes de su organización tienen datos que se consideran altamente sensibles en ordenadores móviles, considere la posibilidad de implementar BitLocker con autenticación multifactor en esos ordenadores."

Además, la adición empresarial permite utilizar AD para almacenar "claves de recuperación" (presumiblemente copias de los archivos de claves necesarios para el cifrado. Se trata de una bonita versión integrada en Windows de la funcionalidad de disco de recuperación de TrueCrypt.

Respondido el 11 de Marzo, 2011 por kce (9227 Puntos )

0voto

Mike avatar
Mike Puntos 714

Nuestra organización está en proceso de implantar también el cifrado de portátiles. Sé que las pruebas mostraron que TrueCrypt es viable para nuestras necesidades, aunque descubrió los mismos problemas de contraseñas que usted menciona.

gdurham tiene la mejor solución para tratar el tema de las contraseñas y debería evitarte problemas.

El precio asociado a TrueCrypt será el tiempo que te paguen por administrarlo. Esto no es insignificante, así que intenta hacer una evaluación basada en los conocimientos entre la solución "gratuita" y una de pago.

Respondido el 11 de Marzo, 2011 por Mike (714 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X