您如何保护笔记本电脑上的公司机密数据？

服务器的安全性通常要做很多事情，因为许多敏感信息存储在服务器上，但是我认为确保公司笔记本电脑（和USB-Sticks）的安全性更为重要，因为它们很容易丢失（或偷）。

因此，我想知道的是： 贵公司如何保护笔记本电脑和USB驱动器上的机密信息？

我们使用TrueCrypt。对于笔记本电脑，我们也坚持使用BIOS密码。

整个磁盘加密。

有很多方法可以做到这一点。

我个人使用过TrueCrypt，但是此Wikipedia页面上还有更多选项。

我还曾经在为PointSec（现在的Check Point）推出的会计公司工作。他们的解决方案似乎比truecrypt更完整，但当然要付出代价。

我使用了Utimaco的名为SafeGuard Easy的产品。您无法在没有输入密码的情况下启动笔记本电脑。它还加密了整个驱动器。如果有人尝试破解密码，则会逐渐增加两次尝试之间的超时时间（每次尝试的超时时间大约是3倍，因此即使只有几次不正确的尝试，也会有疯狂的长时间延迟）。它有一些不错的工具，可以在有人通过生成的密钥锁定用户的情况下远程允许登录，它还可以使您为用户设置过期策略。

他们有一些命令行工具，因此您可以将这些更改下推到配置文件中，这很好，因为我们可以通过它们在笔记本电脑上运行的主要应用程序将其自动化。如果笔记本丢失了，我们知道用户/密码将在一周内过期（即使他们知道密码），他们最终将被锁定。

整个磁盘PGP加密

首先不要让它到达那里（至少，这就是我们正在努力的方向...）。技术以及计算机的工作方式和使用方式正在发生变化-通过工作中的有线连接，无线方式，可以期望用户可以在每个/大多数地方获得始终可用的Internet访问，这是完全合理的网络，或交给他们带有内置3G宽带加密狗的笔记本电脑。因此，您可以通过Windows GPO禁用USB驱动器，并使其通过VPN访问数据，这很可能只是通过终端服务（或VNC / SSH或任何其他方式）使用应用程序，并使用您喜欢的许多因素来实现的。

真正的加密虚拟驱动器。我们可以通过备份标头来管理它们，以防万一passwd丢失，并且因为它们易于使用，让用户使用它们没有问题。请注意，我们只有5个人

我们使用内置了单点登录的整个磁盘加密解决方案。SafeGuard就是这样一种解决方案。这使用户可以在POST完成后立即登录一次。如果输入了错误的密码，两次密码尝试之间的时间长度将继续加倍。如果重新启动，它将停留在最后一个时间段，但是重新开始。因此，强行强制实际上是不可能的。如果用户键入正确的密码，它将使用相同的用户名\密码组合（或一组缓存的凭据）将其登录到计算机上。

这不会阻止用户引导然后将笔记本电脑解锁的情况，但确实可以保护驱动器“处于静止状态”。

不必开玩笑，但是最好的方法是不要放在第一位。（同意大卫·希克斯）。

这样想：如果笔记本电脑被盗或丢失，并且包含了所有公司机密，您会感觉如何？即使您将TrueCrypt与超强密码一起使用，也始终会存有疑问。

考虑宣传；新闻界对事情的看法过于简单。他们会说“ Acme公司失去了拥有30,000条员工记录的笔记本电脑”。对其进行高度加密的事实可能不足以防止声誉受损。