Windows Server 2008 BitLocker

Je souhaite configurer le encryption du disque entier sur tous mes controllers de domaine. BitLocker est-elle une méthode acceptable pour ce faire? Quels sont les problèmes potentiels liés au encryption complet du disque sur un controller de domaine?

2 Solutions collect form web for “Windows Server 2008 BitLocker”

Oui, l'utilisation de BitLocker pour le chiffrement complet du disque sur un DC est acceptable. Cependant, gardez à l'esprit que le encryption BitLocker est pour la protection sur disque OFFLINE. Une fois que le DC démarre, il fonctionnera sans que le système de files ne soit synchronisé. Les problèmes potentiels sont basés sur la façon dont vous configurez BitLocker. Par exemple, si vous n'avez pas de TPM physique dans vos servers, vous aurez besoin d'une key de démarrage enregistrée sur un périphérique USB qui devrait être inséré pour le démarrage. Cela pourrait éventuellement contourner votre protection si elle était laissée dans le server. Dites si votre DC est physiquement volé et que vous avez quitté la key de démarrage USB. Le chiffrement de votre lecteur est alors inutile car la key USB est déjà insérée. Aussi, n'oubliez pas de garder votre key de récupération, au cas où vous oubliez un NIP (option) ou si vous souhaitez déplacer les disques vers un nouveau matériel.

Il y a également un léger coup de performance lors du encryption du lecteur.

Si vous êtes préoccupé par la security sur vos DC dans un site à faible security, vous pouvez envisager d'utiliser les DC en lecture seule.

Je suis généralement très contre FDE sur les servers. Les servers devraient avoir une security logique rigoureuse pour éviter les attaques électroniques et une security physique raisonnable pour empêcher les gens de voler tout cela. Dans la situation rare où vous ne pouvez pas implémenter une security physique raisonnable, FDE est approprié.

BitLocker combiné avec les keys stockées TPM fonctionne très bien. Si le server ne prend pas en charge TPM, il ne pourra pas démarrer automatiquement, ce qui peut être un problème sérieux selon votre environnement.

  • Comment puis-je (peut-je) étendre la scope dans le server DHCP pour utiliser toutes les adresses IP disponibles
  • Comment surveiller l'utilisation et les performances du processeur sur un serveur Hyper-V avec plusieurs VM
  • Processeur (_Total) \% Temps d'inactivité incompatible avec Processor (_Total) \% Temps de processeur
  • Le server Windows démarre dans les options de récupération système
  • Quels SPN sont nécessaires pour un service Web intranet qui lit des registres distants
  • Logiciel Windows Server Constante de volume RAID "Redondance échouée"
  • Le lecteur de carte Windows XP a échoué
  • Configuration des profils itinérants de Windows 2008 R2
  • Serveur d'printing Windows Server 2008R2, l'access par CNAME ne fonctionne pas
  • La sauvegarde ne démarre pas
  • Fournisseur Oracle OLE DB pour Windows Server 2008 R2
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.