Tham gia Đăng nhập
Điểm:0
hkc94501 avatar Server

Trên Windows, cách hạn chế quyền truy cập vào phân vùng Đĩa tự mã hóa đối với một dịch vụ cụ thể

lá cờ cy
hkc94501

Tôi đang thiết lập một máy chủ trong môi trường công nghiệp sẽ có dịch vụ đưa tài sản bảo mật vào PCB. Tôi muốn máy chủ lưu trữ các nội dung này trên đĩa tự mã hóa trong đó dịch vụ tiêm chỉ có thể truy cập một phân vùng được mã hóa. Tôi muốn các khóa SED được niêm phong vào dịch vụ bằng TPM. Bạn có đề xuất nào về cách thiết lập tính năng này hoặc tìm câu trả lời ở đâu không?

33
0 + 0
tpm
Điểm:0
Jevgenij Martynenko avatar Server
lá cờ us
Jevgenij Martynenko

Encryption provides physical data protection. Out-of-the-box your options here are either BitLocker Drive Encryption or Encrypting File System (EFS). In your case, BitLocker might be an easier and more secure option to implement.

Logical data access protection can only be achieved using NTFS permissions. You must run a service under a dedicated user account and only allow this account access to the files you want to protect from other users or processes. Further security hardening can be done to the service account to protect it

0 + 0
hkc94501 avatar
lá cờ cy
hkc94501
Jevgenij, Cảm ơn câu trả lời của bạn. Tôi nghĩ rằng nó đã đi được một nửa. Khách hàng của tôi yêu cầu giải pháp FIPS 140 cấp 2 nên Bitlocker không hoạt động. Đó là lý do tại sao tôi chỉ định đĩa tự mã hóa. Đây sẽ là thiết bị được chứng nhận Opal FIPS 140-2 cấp 2. Thiết bị có thể có các phân vùng được mã hóa và không được mã hóa. Điều tôi thực sự muốn biết là cách Windows quản lý các khóa xác thực đĩa. Tôi có thể liên kết khóa xác thực đĩa với một tài khoản dịch vụ cụ thể không?
0
Hồi đáp
Jevgenij Martynenko avatar
lá cờ us
Jevgenij Martynenko
Xin lỗi, tôi không rõ là bạn đang nói về sản phẩm của bên thứ ba. Đáng buồn thay, tôi thiếu kinh nghiệm với ổ đĩa tự mã hóa đã đề cập. Quản lý chứng chỉ có thể phụ thuộc vào nhà cung cấp. Vì vậy, nguồn sự thật tốt nhất sẽ là trang web hỗ trợ hoặc dịch vụ khách hàng của nhà cung cấp. Về lý thuyết, mỗi dịch vụ đều có Personal store trong bộ lưu trữ chứng chỉ.Vì vậy, bạn có thể đặt chứng chỉ ở đó và người dùng/dịch vụ khác sẽ không thể truy cập được. Khóa riêng có thể được TPM bảo vệ nếu chứng chỉ được cấp cục bộ. Nhưng tôi không chắc điều đó được thực hiện như thế nào trong thực tế. Tôi khuyên bạn nên liên hệ với bộ phận hỗ trợ của nhà cung cấp
0
Hồi đáp
hkc94501 avatar
lá cờ cy
hkc94501
Cảm ơn. Hoạt động của thiết bị được mô tả khá rõ ràng trong tiêu chuẩn Opal. Tôi nghĩ vấn đề nằm ở cách hệ điều hành quản lý thiết bị. Windows sẽ tự động nhận dạng thiết bị và định cấu hình Bitlocker để quản lý thiết bị nhưng điều đó không trả lời câu hỏi cụ thể của tôi về việc quản lý khóa ủy quyền. Bitlocker có thể quản lý toàn bộ đĩa dưới một dải xác thực duy nhất và sau đó phụ thuộc vào NTFS để quản lý quyền truy cập vào bất kỳ ổ đĩa nào bạn xác định trên đĩa. Điều đó sẽ không hoàn toàn đáp ứng yêu cầu của tôi.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.