Нам необходимо развернуть веб-приложение на клиентском сайте, где оно будет находиться в их локальной интрасети.
Частью нашего требования является обеспечение базовой безопасности для защиты нашей IP. Я понимаю, что ничего не исправить со 100% гарантией, но мы просто стараемся сделать это немного сложнее для большинства людей.
На сервере будет установлен сервер 2008, и я рассматривал возможность использования битлокера как дешевого и неприятного способа его защиты.
Насколько я понимаю, при условии, что mobo поддерживает его, мы можем использовать режим Transparent bitlocker, а это означает, что перемещение жесткого диска на другой компьютер будет означать, что жесткий диск будет нечитаемым на этой машине, что приведет к какой-то атаке с холодной загрузкой для кражи ключей шифрования.
Верно ли это предположение, и в случае, если материнская плата или любой другой компонент выходит из строя на ПК, и нам нужно его заменить, теряем ли мы доступ к нашим данным или есть способ их расшифровать (очевидно, доступный только для нашей компании)
РЕДАКТИРОВАТЬ: у нас есть юридические документы, которые охватывают это, и мы будем физически блокировать компьютер, и у клиента не будет доступа к компьютеру (вход в Windows), кроме как через веб-сайт, который мы размещаем на нем.
Вы можете восстановить данные с помощью ключа восстановления, если у вас есть аппаратное обеспечение.
Тем не менее, Bitlocker на самом деле не кажется хорошим выбором, если у них будет физический доступ к машине, поскольку после запуска данные дешифруются. Лично я никогда бы не стал развертывать в своей среде сервер, зашифрованный с помощью ключа, которого у меня не было.
Даже если им не разрешено входить в систему (что является еще одним отключением), они могут просто использовать wget / curl, чтобы получить весь веб-контент на сервере и проанализировать его на другом компьютере. Вы на самом деле ничего не защищаете.
Я думаю, что вы хотите предоставить своим клиентам стандартные соглашения о неразглашении. Похоже, у вас есть проблема с политикой / лицензированием, а не техническая.
BitLocker обеспечивает полное шифрование диска с несколькими способами защиты ключей шифрования. Один из способов - использовать микросхему TPM, которая обычно является частью материнской платы (хотя некоторые компьютеры используют шину LPC для подключения микросхемы). Если на вашей материнской плате уже есть TPM, на ней может храниться ключ шифрования.
При инициализации BitLocker вам будет предложено сохранить или распечатать ключ восстановления. Это используется в случае, если TPM не может предоставить ключ (чаще всего из-за того, что кто-то испортил настройки BIOS, настройки запуска Windows или обновил BIOS).
Без ключа восстановления перемещение жесткого диска на другую машину или изменение способа загрузки компьютера приведет к нечитаемости диска. Защитите этот ключ восстановления, иначе вы в какой-то момент попросите заблокировать доступ к системе.
Как отмечали другие, после запуска системы Windows в некоторой степени не обращает внимания на шифрование. Если вы настроите ОС таким образом, чтобы не было элементов управления доступом, препятствующих просмотру файлов кем-либо, то файлы не будут защищены. BitLocker не позволяет кому-либо забрать диски и получить что-нибудь полезное, он не защищает диски от ОС, как настроено.