Question Windows Server 2008 BitLocker


Je souhaite configurer le chiffrement de disque entier sur tous mes contrôleurs de domaine. BitLocker est-il une méthode acceptable pour cela? Quels sont les problèmes potentiels liés au chiffrement de disque entier sur un contrôleur de domaine?


5
2018-02-29 15:43


origine


Veuillez lire le FAQ. Les questions ouvertes demandant une discussion sont hors sujet. Si vous avez une question technique à ce sujet, c'est bien, mais demander simplement à l'expérience des gens et s'il est ou non une "bonne idée" est totalement subjectif. - MDMarra
Excellente édition pour enregistrer la question :) - MDMarra


Réponses:


Oui, l’utilisation de BitLocker pour le chiffrement du disque entier sur un contrôleur de domaine est acceptable. Cependant, n'oubliez pas que le chiffrement BitLocker sert à la protection de disque HORS LIGNE. Une fois le CD démarré, il s'exécutera avec le système de fichiers non enregistré. Les problèmes potentiels dépendent de la manière dont vous configurez BitLocker. Par exemple, si vous n'avez pas de TPM physique sur vos serveurs, vous aurez besoin d'une clé de démarrage enregistrée sur un périphérique USB qui devra être inséré pour le démarrage. Cela pourrait potentiellement contourner votre protection s'il était laissé sur le serveur. Dites si votre contrôleur de domaine est physiquement volé et que vous avez laissé la clé de démarrage USB. Le chiffrement de votre disque est alors inutile, car la clé USB est déjà insérée. Pensez également à conserver votre clé de récupération au cas où vous oublieriez un code PIN (option facultative) ou que vous deviez déplacer les disques vers un nouveau matériel.

Il y a également une légère baisse des performances lors du cryptage du lecteur.

Si vous craignez pour la sécurité de vos contrôleurs de domaine dans un site à faible sécurité, vous pouvez envisager d’utiliser plutôt des contrôleurs de disque en lecture seule.


2
2018-02-29 16:07



Savez-vous si l'impact sur les performances est négligeable? - Fred Marr
@FredMarr Au cours du processus de chiffrement initial, la CPU et les disques sont soumis à une charge beaucoup plus importante que d'habitude. Cela dit, un contrôleur de domaine devrait pouvoir conserver la totalité de sa base de données AD dans la RAM, ce qui éviterait tout problème d’entrées / sorties de disque élevées. À moins que vous n'exécutiez d'autres services sur le DC, c'est-à-dire. - MDMarra


Je suis généralement très contre FDE sur les serveurs. Les serveurs doivent avoir une sécurité logique stricte pour empêcher les attaques électroniques et une sécurité physique raisonnable pour empêcher les gens de tout voler. Dans les rares cas où vous ne pouvez pas mettre en œuvre une sécurité physique raisonnable, FDE est approprié.

BitLocker combiné avec les clés stockées TPM fonctionne extrêmement bien. Si le serveur ne prend pas en charge TPM, il ne sera pas en mesure de démarrer automatiquement, ce qui peut poser un grave problème selon votre environnement.


2
2018-02-29 16:05