我想在所有域控制器上配置全盘加密。BitLocker 是可以接受的方法吗?域控制器上的全盘加密可能存在哪些问题?
答案1
是的,在 DC 上使用 BitLocker 进行全盘加密是可以接受的。但是,请记住,BitLocker 加密用于脱机磁盘保护。一旦 DC 启动,它将以未加密的文件系统运行。潜在的问题取决于您如何配置 BitLocker。例如,如果您的服务器中没有物理 TPM,则需要将启动密钥保存在 USB 设备上,启动时需要插入该设备。如果将其留在服务器中,这可能会绕过您的保护。假设您的 DC 被物理盗用,而您却将 USB 启动密钥留在里面。那么您的驱动器加密就毫无用处了,因为 USB 密钥已经插入。此外,请记住保留您的恢复密钥,以防您忘记 PIN(可选要求)或需要将磁盘移动到新硬件。
加密驱动器时,性能也会受到轻微影响。
如果您担心低安全性站点中的 DC 的安全性,您可能需要考虑使用只读 DC。
答案2
我一般非常反对在服务器上实施 FDE。服务器应该具有严密的逻辑安全性以抵御电子攻击,并具有合理的物理安全性以防止他人窃取整个服务器。在极少数情况下,如果你无法实施合理的物理安全性,那么 FDE 是合适的。
BitLocker 与 TPM 存储密钥结合使用效果非常好。如果服务器不支持 TPM,它将无法自动启动,根据您的环境,这可能是一个严重的问题。