Jump to content

Server 2008 R2 mit Bitlocker verschlüsseln


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebe Community,

 

ich habe hier einen Server 2008 R2 auf einem ESXi laufen. Es gibt zwei Partitionen, auf Laufwerk D liegen die Daten für die AD und für den Exchange Server.

Ist es möglich, Laufwerk D mit Bitlocker zu verschlüsseln?

Ein Kollege von mir testet das auf einem Testsystem, bekommt es aber nicht hin, da anscheinend das zweite Laufwerk währrend des Bootvorgangs noch verschlüsselt ist. Daher die Frage, ob das technisch überhaupt umsetzbar ist.

Vielleicht hat ja auch jemand How Tos / Best Practices zu diesem Thema ...

Als Verschlüsselungssoftware MUSS Bitlocker eingesetzt werden. Daher kommen andere Produkte nicht in Frage.

Der Server besitzt kein TPM-Chip, wir nutzen ein Floppy-Image als Ersatz.

Unbeaufsichtigter Reboot spielt keine Rolle. Muss der Server neu gebootet werden, muss erst manuell das Floppy der VM hinzugefügt werden. Nicht schön, ich weiß, aber in diesem Umfeld absolut akzeptabel.

Innerhalb der VM (ESXi) können wir ein USB-Stick zum speichern des Schlüssels nicht nutzen, da von diesem nicht gebootet werden kann, was nötig wäre, nach dieser Anleitung:

BitLocker: how to use Bitlocker encryption without TPM or USB? | Networknet.nl. Daher der Umweg über das Floppy-Image.

Suche schon einige Tage nach einer Lösung, habe aber bislang kein Hinweis bekommen. Anscheinend ist es auch untypschen, einen Server zu verschlüsseln ...

 

Gruß,

 

B.Böcherer

Link zu diesem Kommentar

Hi,

 

Sinn dahinter ist es, einen verschlüsselten Server zu haben für den "Fall der Fälle". Es geht da noch nicht einmal nur um Diebstahl.

Ich glaube schon, dass das ziemlich sicher ist. Das Floppy-Image liegt ja nicht auf dem Server, solange er läuft, sondern wird an einem getrennten Ort aufbewahrt. So ist es bei Diebstahl nicht einfach möglich, das Image wieder einzubinden. Zudem muss man ja auch erst einmal wissen, dass dieses Notwendig ist.

Mir wäre ein USB-Stick auch lieber gewesen, allerdings technisch nicht umsetzbar (ESXi 5).

Was tuen wir unserer DC und unserem Exchange denn an? Die Hardware ist sehr potent, so dass die Verschlüssung zwar die Performance drücken wird, aber das dürfte wohl kein so großer Flaschenhals werden, oder?

Link zu diesem Kommentar

Hi,

 

ob das supported ist, oder nicht, spielt ja im Endeffekt keine Rolle. Die selbe Problematik besteht ja auch dann, wenn ich zwei Server habe, die ich verschlüsseln möchte. Dann habe ich halt zwei Server, die nicht laufen.

Ich möchte die Daten des Exchanges und / oder die der DC auf einer separaten Partition speichern und die dann per Bitlocker verschlüsseln.

Link zu diesem Kommentar

Auf der einen Seite steht der Schutz gegen Diebstahl. Eine Zugangskontrolle o.ä. ist am Serverraum nicht realiserbar.

Auf der anderen Seite steht der Schutz gegenüber Behörden, die in einem Worst-Case die Hardware konfeszieren könnten.

Zudem besteht auch das Interesse, ob das grds. technisch umsetzbar ist.

Und mir ist immer noch nicht klar, warum man einen Server nicht verschlüsseln sollte. Perfomance spielt an dieser Stelle keine Rolle. Was spricht dagegen?

Link zu diesem Kommentar

In dem Image ist doch der Schlüssel gespeichert, oder etwa nicht? Das Image liegt aber nicht auf diesem Server, sondern wird nur bei Bedarf dort zur Verfügung gestellt. Wenn der Server gestartet wird, wird das Image entfernt, die Datei verschwindet auf einem USB-Stick, der Stick ist sicher aufbewahrt.

Ich würde es ja auch gerne anders lösen. Ideen? Und bitte keine anderen Produkte vorschlagen.

Und ich möchte ehrlich gesagt auch nicht um den Sinn diskutieren, da das im Vorfeld alles schon passiert ist. Es sind die Nachteile bekannt.

Link zu diesem Kommentar
Das Problem ist, dass es ein bootbares Medium sein muss. Das geht mit ESXi und USB nicht, da das ESX-Bios ein Stick als solches nicht erkennt. Spontan würde ich behaupten, dass das mit einer Netzwerkplatte nicht hinhaut, will aber mal gucken, ob man da tricksen kann

 

Das Floppy-Image ist doch ein bootfähiges Image, genauso wie ein ISO-Image das bootfähig (wenn es bootfähig gemacht worden) ist.

Also bei Hyper-V ist das kein Problem ein ISO-Image von einem Netzlaufwerk einzubinden/mounten und von dort zu booten. Geht das mit dem ESX nicht??

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...