Windows Server 2008 BitLocker

Windows Server 2008 BitLocker

我想在所有域控制器上配置全盘加密。BitLocker 是可以接受的方法吗?域控制器上的全盘加密可能存在哪些问题?

答案1

是的,在 DC 上使用 BitLocker 进行全盘加密是可以接受的。但是,请记住,BitLocker 加密用于脱机磁盘保护。一旦 DC 启动,它将以未加密的文件系统运行。潜在的问题取决于您如何配置 BitLocker。例如,如果您的服务器中没有物理 TPM,则需要将启动密钥保存在 USB 设备上,启动时需要插入该设备。如果将其留在服务器中,这可能会绕过您的保护。假设您的 DC 被物理盗用,而您却将 USB 启动密钥留在里面。那么您的驱动器加密就毫无用处了,因为 USB 密钥已经插入。此外,请记住保留您的恢复密钥,以防您忘记 PIN(可选要求)或需要将磁盘移动到新硬件。

加密驱动器时,性能也会受到轻微影响。

如果您担心低安全性站点中的 DC 的安全性,您可能需要考虑使用只读 DC。

答案2

我一般非常反对在服务器上实施 FDE。服务器应该具有严密的逻辑安全性以抵御电子攻击,并具有合理的物理安全性以防止他人窃取整个服务器。在极少数情况下,如果你无法实施合理的物理安全性,那么 FDE 是合适的。

BitLocker 与 TPM 存储密钥结合使用效果非常好。如果服务器不支持 TPM,它将无法自动启动,根据您的环境,这可能是一个严重的问题。

相关内容