Windows Server 2008 BitLocker

我想在我所有的域控制器上configuration整个磁盘encryption。 BitLocker是一个可以接受的方法吗? 整个磁盘encryption在域控制器上有什么潜在的问题?

是的,使用BitLocker在DC上进行整盘encryption是可以接受的。 但是,请记住,BitLockerencryption用于脱机磁盘保护。 一旦DC引导,它将运行与文件系统unencrpyted。 潜在的问题是基于您如何configurationBitLocker。 例如,如果您的服务器中没有物理TPM,则需要在USB设备上保存启动密钥,以便启动。 如果留在服务器中,这可能会绕过你的保护。 说出你的数据中心是否被盗,而你把USB启动钥匙放入。由于USB钥匙已经插入,你的驱动器encryption将变得毫无用处。 此外,请记住保留恢复密钥,以防忘记PIN(可选要求)或需要将磁盘移动到新硬件。

encryption驱动器时也会遇到轻微的性能下降。

如果您担心在低安全性站点上的DC上的安全性,则可能需要考虑使用只读DC。

我通常在服务器上非常反对FDE。 服务器应该具有严格的逻辑安全性,以防止电子攻击,并提供合理的人身安全,防止人们窃取整个事物。 在罕见的情况下,你不能实施合理的人身安全,那么FDE是适当的。

BitLocker与TPM存储的密钥结合使用效果非常好。 如果服务器不支持TPM,则将无法自动启动,这可能是一个严重的问题,具体取决于您的环境。