osterhase09 10 Geschrieben 18. Juni 2011 Melden Teilen Geschrieben 18. Juni 2011 Hallo, ich würde gerne in einem kleinen (!) Betrieb die sensiblen Daten vor Dritten schützen. Konkret: Sollte ein Diebstahl trotz Alarmanlage und physikalischen Sicherungen gelingen, dann sollten wenigstens die Festplatten mit den Daten nicht ohne weiteres auslesbar sein. Zur Zeit läuft auf dem Server ein Intel-Software-RAID1 mit Win Server 2008. Dass sich Bitlocker hiermit nicht verträgt, ist mir schon klar, Investitionen in Hardware sind durchaus eingeplant. Einen TPM-Chip hat das Intel Serverboard leider nicht... Der Server ist in der aktuellen Konfiguration aus Performancesicht mehr als ausreichend, eine komplette Neuinvestition möchte ich eigentlich vermeiden. Was schlagt ihr vor? Gibt es RAID-Controller (RAID1 mit zwei Platten reicht weiterhin aus), die eine Verschlüsselung hardwareseitig unterstützen? Oder sollte man lieber auf Bitlocker mit Hardware-RAID setzen? Oder TrueCrypt? Bin für Anregungen dankbar. Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 18. Juni 2011 Melden Teilen Geschrieben 18. Juni 2011 Andere Verschlüsselungssoftware wie z.B. Truecrypt. Zitieren Link zu diesem Kommentar
osterhase09 10 Geschrieben 18. Juni 2011 Autor Melden Teilen Geschrieben 18. Juni 2011 Andere Verschlüsselungssoftware wie z.B. Truecrypt. Warum würdest Du Truecrypt Bitlocker vorziehen? (Bei Bitlocker sehe ich den Vorteil in der komfortablen Integration ins Betriebssystem...) Kann ich davon ausgehen, dass sowohl Truecryp als auch Bitlocker mit gängigen Hardware-RAID Controllern vernünftig funktionieren? Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 18. Juni 2011 Melden Teilen Geschrieben 18. Juni 2011 Das war nur ein Vorschlag, wenn Bitlocker wegen fehlendem TPM Chip nicht funktioniert. Wobei man auch BL mit USB Stick ohne TPM nutzen kann. Solchen Verschlüsslungstools sollte (habs selbst noch nicht getestet) die drunterliegende Hardware egal sein. Man muss wie bei allem wissen was will ich erreichen. Das Problem ist bei BL als auch bei TC, dass der Rechner nur bootet, wenn jemand mit dem Key (egal ob Pin, Passwort oder USB Stick) den Server startet und wenn kein Berechtigter da ist hat man sich ausgesperrt. Wenn man das umgehen will (TPM ohne Pin oder USB Stick) fehlt etwas Sicherheit (Server kann komplett geklaut werden und gestartet werden) und man kann auch ganz sein lassen. Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 18. Juni 2011 Melden Teilen Geschrieben 18. Juni 2011 Server2008 oder R2? Systempartition oder eigene Datenpartition? Bitlocker ist in fast jedem Fall eine zu evaluierende Option! Cheers, Daniel Zitieren Link zu diesem Kommentar
osterhase09 10 Geschrieben 18. Juni 2011 Autor Melden Teilen Geschrieben 18. Juni 2011 Die Konsequenzen sind klar, sind in der speziellen Situation aber nicht kritisch bzw. treten defakto nie ein. Soll heißen: Ein Befugter mit Key ist immer im Haus. Auf welcher Ebene greift eigentlich Bitlocker ein? Sprich: Läuft das auch auf einem Software-Raid bspw. von Intel oder nicht? Habe darüber etwas widersprüchliche Angaben gefunden... Aber bevor das eine experimentelle Lösung wird, hole ich lieber einen RAID-Controller ins Boot.... Zitieren Link zu diesem Kommentar
osterhase09 10 Geschrieben 18. Juni 2011 Autor Melden Teilen Geschrieben 18. Juni 2011 Server2008 oder R2? Systempartition oder eigene Datenpartition? Bitlocker ist in fast jedem Fall eine zu evaluierende Option! Cheers, Daniel 2008, nicht R2 Kritisch ist nur die Datenpartition (insg. 70GB, mit 120.000 Word/Gescannten Dateien sowie einer Datenbank von dem Branchenprogramm). Für die Performance der Anwendung ist fast nur die Latenz beim Datenzugriff relevant, es werden keine großen Datenmengen durch die Gegend geschoben. Das Betriebssystem an sich ist hier relativ belanglos und muss nicht geschützt werden. Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 18. Juni 2011 Melden Teilen Geschrieben 18. Juni 2011 Also Software-Raid ist unsupported. Hardware-Raid ist supported. R2 wäre besser, aber so ist es ja oft.. Prüfe dch bitte ob EFS nicht eher zu deinen Anforderungen passt! Cheers, Daniel Zitieren Link zu diesem Kommentar
osterhase09 10 Geschrieben 18. Juni 2011 Autor Melden Teilen Geschrieben 18. Juni 2011 Also Software-Raid ist unsupported. Hardware-Raid ist supported. R2 wäre besser, aber so ist es ja oft.. Prüfe dch bitte ob EFS nicht eher zu deinen Anforderungen passt! Cheers, Daniel Danke für den Hinweis! EFS wäre natürlich einfacher umzusetzen, da die Hardware nicht angerührt werden muss und es würde (ohne TPM) auch noch die "vollständige Fernwartbarkeit" erhalten, da beim Neustart keine Keys eingegeben werden müssen (oder hat man die Situation der Key Eingabe während des Boot-Vorgangs nur beim verschlüsseln der Systempartition? Wann wird der Key bei einer Datenpartition abgefragt?). Auf der anderen Seite: Eine Unterscheidung auf Benutzerebene ist nicht notwendig. Alle User hätten Zugriff auf die verschlüsselte Daten. Diese liegen auch alle auf einer Partition, die komplett verschlüsselt werden könnte... Gibt es aus Performancesicht einen wesentlichen Unterschied? (Wie gesagt, relevant ist praktisch nur die Zugriffszeit, nicht der Datendurchsatz)... Oder andere ganz wesentliche Pro/Contra-Argumente, die sich nicht unmittelbar aus den Info-Seiten von Microsoft ergeben? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.