Windows Server 2008 BitLocker

Je souhaite configurer le encryption du disque entier sur tous mes controllers de domaine. BitLocker est-elle une méthode acceptable pour ce faire? Quels sont les problèmes potentiels liés au encryption complet du disque sur un controller de domaine?

Oui, l'utilisation de BitLocker pour le chiffrement complet du disque sur un DC est acceptable. Cependant, gardez à l'esprit que le encryption BitLocker est pour la protection sur disque OFFLINE. Une fois que le DC démarre, il fonctionnera sans que le système de files ne soit synchronisé. Les problèmes potentiels sont basés sur la façon dont vous configurez BitLocker. Par exemple, si vous n'avez pas de TPM physique dans vos servers, vous aurez besoin d'une key de démarrage enregistrée sur un périphérique USB qui devrait être inséré pour le démarrage. Cela pourrait éventuellement contourner votre protection si elle était laissée dans le server. Dites si votre DC est physiquement volé et que vous avez quitté la key de démarrage USB. Le chiffrement de votre lecteur est alors inutile car la key USB est déjà insérée. Aussi, n'oubliez pas de garder votre key de récupération, au cas où vous oubliez un NIP (option) ou si vous souhaitez déplacer les disques vers un nouveau matériel.

Il y a également un léger coup de performance lors du encryption du lecteur.

Si vous êtes préoccupé par la security sur vos DC dans un site à faible security, vous pouvez envisager d'utiliser les DC en lecture seule.

Je suis généralement très contre FDE sur les servers. Les servers devraient avoir une security logique rigoureuse pour éviter les attaques électroniques et une security physique raisonnable pour empêcher les gens de voler tout cela. Dans la situation rare où vous ne pouvez pas implémenter une security physique raisonnable, FDE est approprié.

BitLocker combiné avec les keys stockées TPM fonctionne très bien. Si le server ne prend pas en charge TPM, il ne pourra pas démarrer automatiquement, ce qui peut être un problème sérieux selon votre environnement.