Ich richte einen Server in einer industriellen Umgebung ein, der einen Dienst haben wird, der Sicherheitsressourcen in eine Leiterplatte einfügt. Ich möchte, dass der Server diese Ressourcen auf einer selbstverschlüsselnden Festplatte speichert, wobei eine verschlüsselte Partition nur vom Einfügungsdienst aufgerufen werden kann. Ich möchte, dass die SED-Schlüssel durch ein TPM gegenüber dem Dienst versiegelt werden. Gibt es irgendwelche Vorschläge, wie man das einrichtet oder wo man nach Antworten suchen kann?
Antwort1
Verschlüsselung bietet physischen Datenschutz. Standardmäßig stehen Ihnen hier entweder die BitLocker-Laufwerkverschlüsselung oder das verschlüsselnde Dateisystem (EFS) zur Verfügung. In Ihrem Fall ist BitLocker möglicherweise die einfachere und sicherere Option zur Implementierung.
Logischer Datenzugriffsschutz kann nur mit NTFS-Berechtigungen erreicht werden. Sie müssen einen Dienst unter einem dedizierten Benutzerkonto ausführen und diesem Konto nur den Zugriff auf die Dateien erlauben, die Sie vor anderen Benutzern oder Prozessen schützen möchten. Weitere Sicherheitshärtungen können für das Dienstkonto vorgenommen werden, um es zu schützen