分支机构与小企业服务器安全指南
1. 分支机构服务器安全
1.1 BitLocker 加密技术
BitLocker 是 Windows Server 2008 中的一项可选加密功能,它能有效保护数据安全,但在使用时需注意以下几点:
-签名无效与恢复情况:若攻击者物理持有存储卷或计算机,可能导致签名无效,BitLocker 会锁定恢复密码和常规密钥保护器。若重新获得存储卷,需使用 BitLocker 修复工具、FVEK 备份副本及恢复密码。因此,要通过 AD DS 系统或 WMI 提供程序备份这些项目。
-安装与使用条件:由于加密和解密操作在过滤驱动程序中实现,需先安装该功能才能使用 BitLocker,且安装或移除该功能需重启服务器。
-集群支持情况:BitLocker 不支持集群,若配置了故障转移集群中的服务器,不能用其保护共享卷。
-性能影响:和所有加密产品与技术一样,BitLocker 会对性能有一定影响。多数情况下,性能影响不明显,低于 5%。但服务器进行密集磁盘操作或负载很重时,容量规划需考虑此因素。
-启动时的用户干预权衡:默认情况下,BitLocker 使用 TPM 作为密钥保护器,完整性验证成功后会自动解锁 Windows 操作系统卷,无需用户干预。然而,这意味着小偷拿走整个服务器也能开机。为降低风险,可结合使用 TPM 和 PIN 或 USB 闪存驱动器(启动密钥),但这会使服务器无法自动重启。多数情况下,建议使用 TPM
