Я хочу настроить шифрование всего диска на всех своих контроллерах домена. Является ли BitLocker приемлемым методом для этого? Каковы потенциальные проблемы с шифрованием всего диска на контроллере домена?
Я вообще категорически против FDE на серверах. Серверы должны иметь строгую логическую безопасность, чтобы предотвратить электронные атаки, и разумную физическую безопасность, чтобы люди не могли украсть все это. В редких случаях, когда вы не можете реализовать разумную физическую безопасность, подходит FDE.
BitLocker в сочетании с ключами, хранящимися в TPM, работает очень хорошо. Если сервер не поддерживает TPM, он не сможет загрузиться автоматически, что может быть серьезной проблемой в зависимости от вашей среды.
Да, использование BitLocker для шифрования всего диска на контроллере домена допустимо. Однако имейте в виду, что шифрование BitLocker предназначено для автономной защиты диска. После загрузки DC он будет работать с незашифрованной файловой системой. Возможные проблемы зависят от того, как вы настраиваете BitLocker. Например, если у вас нет физического TPM на ваших серверах, вам понадобится ключ запуска, сохраненный на USB-устройстве, который необходимо будет вставить для загрузки. Это может потенциально обойти вашу защиту, если оставить его на сервере. Допустим, ваш DC украден физически, а вы оставили USB-ключ запуска. Шифрование вашего диска бесполезно, так как USB-ключ уже вставлен. Кроме того, не забудьте сохранить ключ восстановления на случай, если вы забудете ПИН-код (необязательно) или вам потребуется переместить диски на новое оборудование.
Также есть небольшое снижение производительности при шифровании диска.
Если вы беспокоитесь о безопасности своих контроллеров домена на сайте с низким уровнем безопасности, вы можете рассмотреть возможность использования контроллеров домена только для чтения.