bboecherer 10 Geschrieben 28. August 2012 Melden Teilen Geschrieben 28. August 2012 Hallo liebe Community, ich habe hier einen Server 2008 R2 auf einem ESXi laufen. Es gibt zwei Partitionen, auf Laufwerk D liegen die Daten für die AD und für den Exchange Server. Ist es möglich, Laufwerk D mit Bitlocker zu verschlüsseln? Ein Kollege von mir testet das auf einem Testsystem, bekommt es aber nicht hin, da anscheinend das zweite Laufwerk währrend des Bootvorgangs noch verschlüsselt ist. Daher die Frage, ob das technisch überhaupt umsetzbar ist. Vielleicht hat ja auch jemand How Tos / Best Practices zu diesem Thema ... Als Verschlüsselungssoftware MUSS Bitlocker eingesetzt werden. Daher kommen andere Produkte nicht in Frage. Der Server besitzt kein TPM-Chip, wir nutzen ein Floppy-Image als Ersatz. Unbeaufsichtigter Reboot spielt keine Rolle. Muss der Server neu gebootet werden, muss erst manuell das Floppy der VM hinzugefügt werden. Nicht schön, ich weiß, aber in diesem Umfeld absolut akzeptabel. Innerhalb der VM (ESXi) können wir ein USB-Stick zum speichern des Schlüssels nicht nutzen, da von diesem nicht gebootet werden kann, was nötig wäre, nach dieser Anleitung: BitLocker: how to use Bitlocker encryption without TPM or USB? | Networknet.nl. Daher der Umweg über das Floppy-Image. Suche schon einige Tage nach einer Lösung, habe aber bislang kein Hinweis bekommen. Anscheinend ist es auch untypschen, einen Server zu verschlüsseln ... Gruß, B.Böcherer Zitieren Link zu diesem Kommentar
zahni 561 Geschrieben 28. August 2012 Melden Teilen Geschrieben 28. August 2012 Welche Ideen kann man nur haben. Welchen Sinn hat das Ganze ? Wenn Der Server weg kommt: Meinst Du nicht, dass der Dieb das Floppy-Image auch "mounten" kann ? Ihr solltet darüber Euch darüber im Klaren sein, was Ihr Eurem DC mit Exchange antut. Zitieren Link zu diesem Kommentar
bboecherer 10 Geschrieben 29. August 2012 Autor Melden Teilen Geschrieben 29. August 2012 Hi, Sinn dahinter ist es, einen verschlüsselten Server zu haben für den "Fall der Fälle". Es geht da noch nicht einmal nur um Diebstahl. Ich glaube schon, dass das ziemlich sicher ist. Das Floppy-Image liegt ja nicht auf dem Server, solange er läuft, sondern wird an einem getrennten Ort aufbewahrt. So ist es bei Diebstahl nicht einfach möglich, das Image wieder einzubinden. Zudem muss man ja auch erst einmal wissen, dass dieses Notwendig ist. Mir wäre ein USB-Stick auch lieber gewesen, allerdings technisch nicht umsetzbar (ESXi 5). Was tuen wir unserer DC und unserem Exchange denn an? Die Hardware ist sehr potent, so dass die Verschlüssung zwar die Performance drücken wird, aber das dürfte wohl kein so großer Flaschenhals werden, oder? Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 (bearbeitet) DC und Exchange auf einer Maschine ist nicht supported, und du bekommst Probleme wenn du den DC demoten willst/musst. Geht nur nach De-Installation von Exchange, zumindest war das bei den bisherigen Versionen so... bearbeitet 29. August 2012 von Marco31 Zitieren Link zu diesem Kommentar
bboecherer 10 Geschrieben 29. August 2012 Autor Melden Teilen Geschrieben 29. August 2012 Hi, ob das supported ist, oder nicht, spielt ja im Endeffekt keine Rolle. Die selbe Problematik besteht ja auch dann, wenn ich zwei Server habe, die ich verschlüsseln möchte. Dann habe ich halt zwei Server, die nicht laufen. Ich möchte die Daten des Exchanges und / oder die der DC auf einer separaten Partition speichern und die dann per Bitlocker verschlüsseln. Zitieren Link zu diesem Kommentar
zahni 561 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Beantworte doch mal meine Frage. Welche Sicherheitsprobleme möchtest Du mir der Verschlüsselung lösen ? Zitieren Link zu diesem Kommentar
bboecherer 10 Geschrieben 29. August 2012 Autor Melden Teilen Geschrieben 29. August 2012 Auf der einen Seite steht der Schutz gegen Diebstahl. Eine Zugangskontrolle o.ä. ist am Serverraum nicht realiserbar. Auf der anderen Seite steht der Schutz gegenüber Behörden, die in einem Worst-Case die Hardware konfeszieren könnten. Zudem besteht auch das Interesse, ob das grds. technisch umsetzbar ist. Und mir ist immer noch nicht klar, warum man einen Server nicht verschlüsseln sollte. Perfomance spielt an dieser Stelle keine Rolle. Was spricht dagegen? Zitieren Link zu diesem Kommentar
zahni 561 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Dann lies Dir bitte den Satz Wenn Der Server weg kommt: Meinst Du nicht, dass der Dieb das Floppy-Image auch "mounten" kann ? nochmal durch. Zitieren Link zu diesem Kommentar
bboecherer 10 Geschrieben 29. August 2012 Autor Melden Teilen Geschrieben 29. August 2012 In dem Image ist doch der Schlüssel gespeichert, oder etwa nicht? Das Image liegt aber nicht auf diesem Server, sondern wird nur bei Bedarf dort zur Verfügung gestellt. Wenn der Server gestartet wird, wird das Image entfernt, die Datei verschwindet auf einem USB-Stick, der Stick ist sicher aufbewahrt. Ich würde es ja auch gerne anders lösen. Ideen? Und bitte keine anderen Produkte vorschlagen. Und ich möchte ehrlich gesagt auch nicht um den Sinn diskutieren, da das im Vorfeld alles schon passiert ist. Es sind die Nachteile bekannt. Zitieren Link zu diesem Kommentar
nawas 32 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Ich kenn den ESX leider nicht, aber wenn er einigemasen so läuft wie ein Hyper-V, dann würde ich das Floppy-Image z.B. auf einer kleinen Netzwerkfestplatte ablegen. (und dannimmer von dort mounten) Zitieren Link zu diesem Kommentar
bboecherer 10 Geschrieben 29. August 2012 Autor Melden Teilen Geschrieben 29. August 2012 Das Problem ist, dass es ein bootbares Medium sein muss. Das geht mit ESXi und USB nicht, da das ESX-Bios ein Stick als solches nicht erkennt. Spontan würde ich behaupten, dass das mit einer Netzwerkplatte nicht hinhaut, will aber mal gucken, ob man da tricksen kann Zitieren Link zu diesem Kommentar
zahni 561 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Man könnte natürlich einen Datastor im VmWare per NFS bereitellen. Doch was ist, wenn der auch geklaut wird ? Zitieren Link zu diesem Kommentar
nawas 32 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Das Problem ist, dass es ein bootbares Medium sein muss. Das geht mit ESXi und USB nicht, da das ESX-Bios ein Stick als solches nicht erkennt. Spontan würde ich behaupten, dass das mit einer Netzwerkplatte nicht hinhaut, will aber mal gucken, ob man da tricksen kann Das Floppy-Image ist doch ein bootfähiges Image, genauso wie ein ISO-Image das bootfähig (wenn es bootfähig gemacht worden) ist. Also bei Hyper-V ist das kein Problem ein ISO-Image von einem Netzlaufwerk einzubinden/mounten und von dort zu booten. Geht das mit dem ESX nicht?? Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 DC und Exchange auf einer Maschine ist nicht supported Dafür hast du sicher auch eine Quelle, oder? Bye Norbert Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Mein Wissensstand: DC+Exchange auf einer Maschine gilt nicht als unsupported MS emphielt jedoch die Maschinen zu trennen. Was nicht supported ist, ist das nachträgliche pro/de moten des Servers, wenn Exchange installiert ist. Korrigiert mich, falls ich falsch liege - habe zur Zeit auch keine Links bei der Hand :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.