ใน Windows วิธีจำกัดการเข้าถึงพาร์ติชัน Self-Encrypting-Disk สำหรับบริการเฉพาะ

hkc94501

15/1/23 05:27

ฉันกำลังตั้งค่าเซิร์ฟเวอร์ในสภาพแวดล้อมอุตสาหกรรมที่จะมีบริการที่แทรกสินทรัพย์ความปลอดภัยลงใน PCB ฉันต้องการให้เซิร์ฟเวอร์จัดเก็บทรัพย์สินเหล่านี้ไว้ในดิสก์ที่เข้ารหัสด้วยตนเอง โดยบริการฉีดเข้าถึงพาร์ติชันที่เข้ารหัสหนึ่งพาร์ติชันเท่านั้น ฉันต้องการให้คีย์ SED ถูกผนึกเข้ากับบริการโดย TPM มีคำแนะนำเกี่ยวกับวิธีตั้งค่าหรือค้นหาคำตอบจากที่ใด

0 + 0

ไฟร์วอลล์

ฮาร์ดไดรฟ์

tpm

Score:0

Server

Jevgenij Martynenko

15/1/23 06:44

การเข้ารหัสให้การปกป้องข้อมูลทางกายภาพ ทันทีที่แกะกล่อง ตัวเลือกของคุณคือ BitLocker Drive Encryption หรือ Encrypting File System (EFS)ในกรณีของคุณ BitLocker อาจเป็นตัวเลือกที่ง่ายกว่าและปลอดภัยกว่าในการติดตั้ง

การป้องกันการเข้าถึงข้อมูลเชิงตรรกะสามารถทำได้โดยใช้สิทธิ์ NTFS เท่านั้น คุณต้องเรียกใช้บริการภายใต้บัญชีผู้ใช้เฉพาะ และอนุญาตให้บัญชีนี้เข้าถึงไฟล์ที่คุณต้องการปกป้องจากผู้ใช้หรือกระบวนการอื่นเท่านั้น การเสริมความปลอดภัยเพิ่มเติมสามารถทำได้ในบัญชีบริการเพื่อป้องกัน

0 + 0

hkc94501

15/1/23 08:55

Jevgenij ขอบคุณสำหรับคำตอบของคุณ ฉันคิดว่ามันครึ่งทางแล้ว ลูกค้าของฉันต้องการโซลูชัน FIPS 140 ระดับ 2 ดังนั้น Bitlocker จึงหยุดทำงาน นั่นคือเหตุผลที่ฉันระบุดิสก์ที่เข้ารหัสตัวเอง นี่จะเป็นอุปกรณ์ที่ได้รับการรับรอง Opal FIPS 140-2 ระดับ 2 อุปกรณ์สามารถมีพาร์ติชันที่เข้ารหัสและไม่ได้เข้ารหัส สิ่งที่ฉันอยากรู้จริงๆ คือวิธีที่ Windows จัดการคีย์การรับรองความถูกต้องของดิสก์ ฉันสามารถผูกคีย์การตรวจสอบความถูกต้องของดิสก์กับบัญชีบริการเฉพาะได้หรือไม่

ตอบกลับ

Jevgenij Martynenko

15/1/23 14:30

ขออภัย ฉันไม่เห็นว่าคุณกำลังพูดถึงผลิตภัณฑ์ของบุคคลที่สาม น่าเศร้าที่ฉันขาดประสบการณ์เกี่ยวกับไดรฟ์ที่เข้ารหัสด้วยตนเอง การจัดการใบรับรองอาจขึ้นอยู่กับผู้จำหน่าย ดังนั้นแหล่งความจริงที่ดีที่สุดคือไซต์สนับสนุนของผู้ขายหรือฝ่ายบริการลูกค้า ในทางทฤษฎี แต่ละบริการมีร้านค้าส่วนตัวในที่เก็บใบรับรองคุณจึงสามารถวางใบรับรองไว้ที่นั่นและผู้ใช้/บริการอื่นจะไม่สามารถเข้าถึงได้ คีย์ส่วนตัวอาจได้รับการป้องกันโดย TPM หากออกใบรับรองในเครื่อง แต่ฉันไม่แน่ใจว่านำไปใช้ในทางปฏิบัติอย่างไร ฉันขอแนะนำให้ติดต่อฝ่ายสนับสนุนของผู้จำหน่าย

ตอบกลับ

hkc94501

16/1/23 03:01

ขอบคุณ. การทำงานของอุปกรณ์ค่อนข้างชัดเจนในมาตรฐานโอปอล ฉันคิดว่ามันเป็นปัญหาที่ระบบปฏิบัติการจัดการอุปกรณ์มากกว่า Windows จะจดจำอุปกรณ์โดยอัตโนมัติและกำหนดค่า Bitlocker เพื่อจัดการ แต่นั่นไม่ได้ตอบคำถามเฉพาะของฉันเกี่ยวกับการจัดการคีย์การให้สิทธิ์ Bitlocker อาจจัดการดิสก์ทั้งหมดภายใต้แบนด์การตรวจสอบสิทธิ์เดียว จากนั้นจึงขึ้นอยู่กับ NTFS เพื่อจัดการการเข้าถึงไดรฟ์ข้อมูลใดก็ตามที่คุณกำหนดบนดิสก์ นั่นจะไม่ตรงกับความต้องการของฉันเลย

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: On Windows how to restrict access to a Self-Encrypting-Disk partitiion to a specific service

TH: ใน Windows วิธีจำกัดการเข้าถึงพาร์ติชัน Self-Encrypting-Disk สำหรับบริการเฉพาะ

RO: Pe Windows cum să restricționați accesul la o partiție de disc cu auto-criptare la un anumit serviciu

RU: В Windows, как ограничить доступ к разделу самошифрующегося диска для определенной службы

VI: Trên Windows, cách hạn chế quyền truy cập vào phân vùng Đĩa tự mã hóa đối với một dịch vụ cụ thể

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา