如何加密在 esxi 下运行的 2008 Server

Question

如果你正在寻找最佳的全卷加密解决方案，我不知道有哪一种。最佳解决方案是在主机/存储级别提供加密。对于 Hyper-V 来说这很容易做到，但对于 ESX 来说就不那么容易了。我很惊讶微软在 Hyper-V 营销中没有更多地使用这一点，但现实是这种情况遗憾地表明了安全性对大多数组织/供应商在制定决策时有多么重要——并没有说得那么重要。

当微软和 VMWare 表示不支持 BitLocker 时，他们的意思是您不应该在客户机级别使用 BitLocker，因为它不是最佳解决方案。这是因为可以使用 vss2core.exe 之类的实用程序获取客户机内存的内存快照，这可以方便攻击加密密钥。这并非小事，但绝对是坚定的对手可以做的事情。

否则，BitLocker 在客户机上运行良好。需要注意的是，您不应使用动态扩展磁盘，因为 2008 R2 将加密所有数据并立即使磁盘达到最大容量。您甚至可以将启动密钥（而不是恢复密钥）放在虚拟软盘或系统分区上以启用无人值守启动。请注意，启动密钥不会启用数据的恢复（又称解密）。您还需要启用 GPO 设置以“启动时需要额外的身份验证”，因为默认情况下您需要 TPM 芯片才能为操作系统卷启用 BitLocker。

Answer 1

如果你正在寻找最佳的全卷加密解决方案，我不知道有哪一种。最佳解决方案是在主机/存储级别提供加密。对于 Hyper-V 来说这很容易做到，但对于 ESX 来说就不那么容易了。我很惊讶微软在 Hyper-V 营销中没有更多地使用这一点，但现实是这种情况遗憾地表明了安全性对大多数组织/供应商在制定决策时有多么重要——并没有说得那么重要。

当微软和 VMWare 表示不支持 BitLocker 时，他们的意思是您不应该在客户机级别使用 BitLocker，因为它不是最佳解决方案。这是因为可以使用 vss2core.exe 之类的实用程序获取客户机内存的内存快照，这可以方便攻击加密密钥。这并非小事，但绝对是坚定的对手可以做的事情。

否则，BitLocker 在客户机上运行良好。需要注意的是，您不应使用动态扩展磁盘，因为 2008 R2 将加密所有数据并立即使磁盘达到最大容量。您甚至可以将启动密钥（而不是恢复密钥）放在虚拟软盘或系统分区上以启用无人值守启动。请注意，启动密钥不会启用数据的恢复（又称解密）。您还需要启用 GPO 设置以“启动时需要额外的身份验证”，因为默认情况下您需要 TPM 芯片才能为操作系统卷启用 BitLocker。

如何加密在 esxi 下运行的 2008 Server

答案1

相关内容