Назад | Перейти на главную страницу

Как защитить данные на Windows Server

Я арендую неуправляемый выделенный (физический) сервер под управлением Windows Server (в настоящее время 2012 R2, но его можно заменить на другую версию Standard edition). У меня есть настраиваемая служба Windows, которая обращается к базе данных. Я использую веб-версию SQL Server, поэтому я не могу защитить данные в состоянии покоя. Я попытался зашифровать диск C с помощью BitLocker, но поскольку на сервере нет микросхемы TPM, и поэтому требуется ввод пароля перед загрузкой ОС, поскольку у меня нет доступа к KVM, и поскольку сервер не может быть доступ через удаленный рабочий стол до загрузки ОС, мне пришлось перезагрузить ОС.

Я был бы счастлив создать диск D для данных и зашифровать его, но я хочу, чтобы при перезагрузке сервера служба Windows запускалась и имела доступ к данным на этом диске D, без участия человека. для ввода пароля. Я думаю, что для этого потребуется некоторая конфигурация, которая использует проверку подлинности Windows пользователя, под которым работает служба Windows, для доступа к диску D.

Есть ли способ настроить BitLocker для такой работы, или, если нет, существует ли стороннее программное обеспечение, которое могло бы решить эту проблему?

Имейте в виду, что все, что угодно, кроме использования TPM и шифрования всей машины, считается довольно неуклюжим и / или небезопасным. Поэтому лучший совет - посмотреть, можно ли оснастить ваше серверное оборудование микросхемой TPM. Системная плата должна иметь так называемый «заголовок TPM». Назовите системную плату, если вам нужна помощь. Новое оборудование, скажем, 2016 года и новее, имеет даже псевдо TPM, реализованный в механизме управления Intel («Intel PTT»), поэтому его можно эмулировать с помощью прошивки системы - его нужно будет включить в BIOS. У AMD есть аналог этого: «TPM микропрограммы».

Посмотрите, предлагает ли это ваше оборудование.

Если это не так, то, что вы можете сделать (мы сделали это уже десять лет назад), - это -encrypt d: -установить тип запуска службы, которой требуется d: присутствовать, на «вручную» -создать запланированную задачу, которая запускается при запуске системы и запускает пакет, который идет:

manage-bde -unlock d: -rp 111111-222222-....youRecoveryPassword…
net start yourservice

затем разместите пакет на общем ресурсе другого сервера (доступного для системной учетной записи вашего компьютера), чтобы в случае кражи сервера и отделения от вашей сети d: не был разблокирован.

Это работает. Но лучше зашифровать все это. Для обеспечения максимальной безопасности вы можете объединить оба варианта: A encrypt c: используя TPM B unlock d: используя скрипт.