Fre*_*arr 5 windows-server-2008 encryption bitlocker
我想在我的所有域控制器上配置整个磁盘加密。BitLocker 是一种可以接受的方法吗?域控制器上的全盘加密有哪些潜在问题?
是的,在 DC 上使用 BitLocker 进行整个磁盘加密是可以接受的。但是,请记住,BitLocker 加密用于离线磁盘保护。DC 启动后,它将在文件系统未加密的情况下运行。潜在问题取决于您配置 BitLocker 的方式。例如,如果您的服务器中没有物理 TPM,则需要将启动密钥保存在 USB 设备上,需要插入该设备才能启动。如果留在服务器中,这可能会绕过您的保护。假设您的 DC 被盗,并且您留下了 USB 启动密钥。那么您的驱动器加密就毫无用处,因为 USB 密钥已经插入。另外,请记住保留您的恢复密钥,以防您忘记 PIN(可选要求)或需要将磁盘移动到新硬件。
加密驱动器时,性能也会受到轻微影响。
如果您担心低安全站点中 DC 的安全性,您可能需要考虑使用只读 DC。
| 归档时间: |
|
| 查看次数: |
687 次 |
| 最近记录: |