私は、セキュリティ資産を PCB に注入するサービスを備えた産業環境にサーバーをセットアップしています。サーバーがこれらの資産を自己暗号化ディスクに保存し、暗号化されたパーティションの 1 つに注入サービスのみがアクセスできるようにしたいと考えています。SED キーを TPM によってサービスに封印したいと考えています。これをセットアップする方法や、答えを探す場所について何かアドバイスはありますか?
答え1
暗号化により物理的なデータ保護が実現します。すぐに使用できるオプションは、BitLocker ドライブ暗号化または暗号化ファイル システム (EFS) のいずれかです。お客様の場合、BitLocker の方が実装が簡単で安全なオプションである可能性があります。
論理的なデータアクセス保護は、NTFSアクセス許可を使用してのみ実現できます。専用のユーザーアカウントでサービスを実行し、他のユーザーやプロセスから保護するファイルへのアクセスをこのアカウントのみに許可する必要があります。サービスアカウントをさらにセキュリティ強化して保護することができます。