我租用了一台非托管的专用(物理)服务器,运行 Windows Server(当前为 2012 R2,但可以更改为标准版的其他版本)。我有一个访问数据库的自定义 Windows 服务。我运行的是 SQL Server 的 Web 版本,因此无法保护静态数据。我尝试使用 BitLocker 加密 C 盘,但由于服务器没有 TPM 芯片,因此需要在加载操作系统之前输入密码,因为我没有 KVM 访问权限,并且由于在加载操作系统之前无法通过远程桌面访问服务器,因此我不得不重新加载操作系统。
我很乐意为数据创建一个 D 盘并对其进行加密,但我希望当服务器重新启动时,Windows 服务开始运行,并且可以访问该 D 盘上的数据,而无需输入密码。我认为这需要一些配置,使用 Windows 服务运行的用户的 Windows 身份验证来访问 D 盘。
是否有某种方法可以配置 BitLocker 以像这样工作,如果没有,是否有第三方软件可以解决这个问题?
答案1
请注意,除了使用 TPM 和加密整个机器之外的任何方法都被认为是相当笨拙和/或不安全的。因此,最好的建议是查看您的服务器硬件是否可以配备 TPM 芯片。主板必须有一个所谓的“TPM 标头”。如果需要帮助,请说出主板的名称。较新的硬件,比如 2016 年及更新的硬件,甚至在英特尔管理引擎(“英特尔 PTT”)中实现了伪 TPM,因此它可以由系统固件模拟 - 它需要在 BIOS 中启用。AMD 有一个与之相当的东西:“固件 TPM”。
看看您的硬件是否提供此功能。
如果没有,您可以做的(我们十年前就已经这样做了)是 -加密 d: -将需要 d:存在的服务的启动类型设置为“手动” -创建在系统启动时运行的计划任务并启动批处理:
manage-bde -unlock d: -rp 111111-222222-....youRecoveryPassword…
net start yourservice
然后将批次放在不同服务器的共享上(可通过您机器的系统帐户访问),这样如果服务器被盗并与您的网络分离,d: 将不会被解锁。
可以。但最好加密整个东西。你可以将两者结合起来以获得最佳安全性:A 使用 TPM 加密 c:B 使用脚本解锁 d:。