Windows 2008 BitLocker

Question

我想在我所有的域控制器上配置整个磁盘加密。BitLocker是一种可以接受的方法吗？域控制器上整个磁盘加密的潜在问题是什么？

Answer 1

是的，在DC上使用BitLocker进行整个磁盘加密是可以接受的。但是，请记住，BitLocker加密是用于脱机磁盘保护的。一旦DC启动，它将运行与文件系统不加限制。潜在的问题取决于您如何配置BitLocker。例如，如果服务器中没有物理TPM，则需要在USB设备上保存一个启动密钥，该启动键需要插入才能启动。如果留在服务器中，这可能会规避您的保护。如果你的DC被物理窃取，而你把USB启动键留在里面。您的驱动器加密是无用的，因为USB密钥已经插入。此外，请记住保持您的恢复键，以防您忘记了PIN (可选要求)，或需要将磁盘移动到新的硬件。

在加密驱动器时也会受到轻微的性能影响。

如果您担心低安全站点中DC的安全性，您可能需要考虑使用只读DC。

Answer 2

我通常非常反对服务器上的FDE。服务器应该有严密的逻辑安全来防止电子攻击，并且要有合理的物理安全来防止人们窃取所有的东西。在罕见的情况下，您无法实现合理的物理安全，那么FDE是合适的。

BitLocker与TPM存储密钥相结合，工作非常好。如果服务器不支持TPM，它将无法自动启动，这可能是一个严重的问题，这取决于您的环境。