Jump to content
Sign in to follow this  
bboecherer

Server 2008 R2 mit Bitlocker verschlüsseln

Recommended Posts

Hallo liebe Community,

 

ich habe hier einen Server 2008 R2 auf einem ESXi laufen. Es gibt zwei Partitionen, auf Laufwerk D liegen die Daten für die AD und für den Exchange Server.

Ist es möglich, Laufwerk D mit Bitlocker zu verschlüsseln?

Ein Kollege von mir testet das auf einem Testsystem, bekommt es aber nicht hin, da anscheinend das zweite Laufwerk währrend des Bootvorgangs noch verschlüsselt ist. Daher die Frage, ob das technisch überhaupt umsetzbar ist.

Vielleicht hat ja auch jemand How Tos / Best Practices zu diesem Thema ...

Als Verschlüsselungssoftware MUSS Bitlocker eingesetzt werden. Daher kommen andere Produkte nicht in Frage.

Der Server besitzt kein TPM-Chip, wir nutzen ein Floppy-Image als Ersatz.

Unbeaufsichtigter Reboot spielt keine Rolle. Muss der Server neu gebootet werden, muss erst manuell das Floppy der VM hinzugefügt werden. Nicht schön, ich weiß, aber in diesem Umfeld absolut akzeptabel.

Innerhalb der VM (ESXi) können wir ein USB-Stick zum speichern des Schlüssels nicht nutzen, da von diesem nicht gebootet werden kann, was nötig wäre, nach dieser Anleitung:

BitLocker: how to use Bitlocker encryption without TPM or USB? | Networknet.nl. Daher der Umweg über das Floppy-Image.

Suche schon einige Tage nach einer Lösung, habe aber bislang kein Hinweis bekommen. Anscheinend ist es auch untypschen, einen Server zu verschlüsseln ...

 

Gruß,

 

B.Böcherer

Share this post


Link to post
Share on other sites

Welche Ideen kann man nur haben. Welchen Sinn hat das Ganze ?

 

Wenn Der Server weg kommt: Meinst Du nicht, dass der Dieb das Floppy-Image auch "mounten" kann ?

 

Ihr solltet darüber Euch darüber im Klaren sein, was Ihr Eurem DC mit Exchange antut.

Share this post


Link to post
Share on other sites

Hi,

 

Sinn dahinter ist es, einen verschlüsselten Server zu haben für den "Fall der Fälle". Es geht da noch nicht einmal nur um Diebstahl.

Ich glaube schon, dass das ziemlich sicher ist. Das Floppy-Image liegt ja nicht auf dem Server, solange er läuft, sondern wird an einem getrennten Ort aufbewahrt. So ist es bei Diebstahl nicht einfach möglich, das Image wieder einzubinden. Zudem muss man ja auch erst einmal wissen, dass dieses Notwendig ist.

Mir wäre ein USB-Stick auch lieber gewesen, allerdings technisch nicht umsetzbar (ESXi 5).

Was tuen wir unserer DC und unserem Exchange denn an? Die Hardware ist sehr potent, so dass die Verschlüssung zwar die Performance drücken wird, aber das dürfte wohl kein so großer Flaschenhals werden, oder?

Share this post


Link to post
Share on other sites

DC und Exchange auf einer Maschine ist nicht supported, und du bekommst Probleme wenn du den DC demoten willst/musst. Geht nur nach De-Installation von Exchange, zumindest war das bei den bisherigen Versionen so...

Edited by Marco31

Share this post


Link to post
Share on other sites

Hi,

 

ob das supported ist, oder nicht, spielt ja im Endeffekt keine Rolle. Die selbe Problematik besteht ja auch dann, wenn ich zwei Server habe, die ich verschlüsseln möchte. Dann habe ich halt zwei Server, die nicht laufen.

Ich möchte die Daten des Exchanges und / oder die der DC auf einer separaten Partition speichern und die dann per Bitlocker verschlüsseln.

Share this post


Link to post
Share on other sites

Auf der einen Seite steht der Schutz gegen Diebstahl. Eine Zugangskontrolle o.ä. ist am Serverraum nicht realiserbar.

Auf der anderen Seite steht der Schutz gegenüber Behörden, die in einem Worst-Case die Hardware konfeszieren könnten.

Zudem besteht auch das Interesse, ob das grds. technisch umsetzbar ist.

Und mir ist immer noch nicht klar, warum man einen Server nicht verschlüsseln sollte. Perfomance spielt an dieser Stelle keine Rolle. Was spricht dagegen?

Share this post


Link to post
Share on other sites

Dann lies Dir bitte den Satz

 

Wenn Der Server weg kommt: Meinst Du nicht, dass der Dieb das Floppy-Image auch "mounten" kann ?

 

nochmal durch.

Share this post


Link to post
Share on other sites

In dem Image ist doch der Schlüssel gespeichert, oder etwa nicht? Das Image liegt aber nicht auf diesem Server, sondern wird nur bei Bedarf dort zur Verfügung gestellt. Wenn der Server gestartet wird, wird das Image entfernt, die Datei verschwindet auf einem USB-Stick, der Stick ist sicher aufbewahrt.

Ich würde es ja auch gerne anders lösen. Ideen? Und bitte keine anderen Produkte vorschlagen.

Und ich möchte ehrlich gesagt auch nicht um den Sinn diskutieren, da das im Vorfeld alles schon passiert ist. Es sind die Nachteile bekannt.

Share this post


Link to post
Share on other sites

Ich kenn den ESX leider nicht, aber wenn er einigemasen so läuft wie ein Hyper-V, dann würde ich das Floppy-Image z.B. auf einer kleinen Netzwerkfestplatte ablegen. (und dannimmer von dort mounten)

Share this post


Link to post
Share on other sites

Das Problem ist, dass es ein bootbares Medium sein muss. Das geht mit ESXi und USB nicht, da das ESX-Bios ein Stick als solches nicht erkennt. Spontan würde ich behaupten, dass das mit einer Netzwerkplatte nicht hinhaut, will aber mal gucken, ob man da tricksen kann

Share this post


Link to post
Share on other sites
Das Problem ist, dass es ein bootbares Medium sein muss. Das geht mit ESXi und USB nicht, da das ESX-Bios ein Stick als solches nicht erkennt. Spontan würde ich behaupten, dass das mit einer Netzwerkplatte nicht hinhaut, will aber mal gucken, ob man da tricksen kann

 

Das Floppy-Image ist doch ein bootfähiges Image, genauso wie ein ISO-Image das bootfähig (wenn es bootfähig gemacht worden) ist.

Also bei Hyper-V ist das kein Problem ein ISO-Image von einem Netzlaufwerk einzubinden/mounten und von dort zu booten. Geht das mit dem ESX nicht??

Share this post


Link to post
Share on other sites

Mein Wissensstand:

DC+Exchange auf einer Maschine gilt nicht als unsupported

MS emphielt jedoch die Maschinen zu trennen.

 

Was nicht supported ist, ist das nachträgliche pro/de moten des Servers, wenn Exchange installiert ist.

 

Korrigiert mich, falls ich falsch liege - habe zur Zeit auch keine Links bei der Hand :)

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...