问除了全磁盘加密之外，如何决定是否要密码保护密钥文件

EN

TL;TR

这真的取决于组织。需要考虑的事项：

1. 他们有多认真对待保安？
2. 是否有大量的旅行会增加妥协的风险？
3. 偷来的电脑或物理移除驱动器是否有风险？

把它放在适当的位置的开销很低。对于一家有很多公司旅行的大公司来说，保持数据安全是值得的。在这个时代，我真的不相信你会太小心。为了指导他们勾勒出一天中不安全的数据所涉及的风险，并解释这些解决方案相对来说是非侵入性的和易于实现的。那是我的0.02美元。

详细信息

密码保护到底是保护你的什么呢？在FDE中，您易受哪些特定方案的攻击，但关键文件上没有密码？如果你也在那些关键文件上使用密码，你会受到保护吗？这些是现实的情况吗？

FDE保护整个音量。如果该卷与可引导卷分开，那么您可以在该卷上保护您的文件，并卸载该卷。假设使用了推荐的良好安全配置。通常，一旦安装卷，它是可访问的。如果文件离开该卷，那么它们是不受保护的，如果它们是敏感的，则应该加密密码。

如果卷是可引导的，那么一旦BIOS启动并输入正确的密码，整个卷将被解密和访问*。这意味着对您的计算机的主动攻击可以访问您的文件没有问题。在这种情况下，您绝对需要保护任何您认为敏感的文件。

笔记本电脑的哪些配置细节会影响此决定？例如，基于密码的加密与基于TPM的加密？像自动屏幕锁这样的防御措施有多相关？

有许多可以影响FDE的配置细节。这些都取决于你所使用的。

如果你担心你的硬盘会被从你的电脑上删除，那么基于TPM的加密是很好的。TPM将FDE的音量绑定到特定的设备上。加密密钥存储在TPM中，并且只存储在TPM中。然而，这本身并不是完全安全的。使用此配置，计算机将进行FDE‘’ed，但在没有任何密码验证的情况下启动。有些解决方案提供与TPM一起配置密码或物理USB密钥。这提供了身份验证，同时将实际的加密密钥保留在硬件中。这是最好的解决方案，因为TPM中的密钥是安全的，并且内存中没有软件。Bitlocker提供了此配置。这个答案包含了一篇关于对FDE解决方案的冷引导攻击的有趣的论文.

自动屏幕锁定总是一个好主意。如果有人试图通过重新启动绕过，他们会遇到FDE。如果有人有你的密码..。嗯，出了什么大问题。

用户需要遵循哪些密码管理流程？用户是否可以使用与关键文件相同的密码进行全磁盘加密？如果没有-你怎么阻止他们？

密码管理可能是所有这些中最重要的部分。为了一个以上的目的使用相同的密码是错误的做法。我不相信这是在软件解决方案中强制执行的。没有安全的方法来强制执行这件事。如果软件正确地使用盐渍密码，那么软件就无法判断是否在多个实例中使用了密码。这确实取决于用户。对于敏感文件，我不会使用与FDE相同的密码。

套用你的话说：“现在”人们也把所有的东西都扔到云存储里，然后把它寄到世界各地。

一旦文件离开加密的磁盘，它们唯一的保护就是密码。

既然你说的是“一个组织”，就很难预测人们在这方面的行为。您的用户可能“预期将遵循密码管理过程”，但这并不能保证他们总是会这样做。

保留密码加密

整个磁盘加密和文件/文件夹加密(潜在)解决了两个不同的问题。整个磁盘加密保护计算机所有者，而文件/文件夹加密(can)保护数据所有者。通常这是两个不同的人。