Я настраиваю сервер в промышленной среде, где будет служба, внедряющая активы безопасности в печатную плату. Я хочу, чтобы сервер хранил эти активы на самошифрующемся диске, где один зашифрованный раздел может быть доступен только службе внедрения. Я хочу, чтобы ключи SED были запечатаны в службе с помощью TPM. Есть ли какие-нибудь предложения по настройке или где искать ответы?
решение1
Шифрование обеспечивает физическую защиту данных. По умолчанию у вас есть два варианта: BitLocker Drive Encryption или Encrypting File System (EFS). В вашем случае BitLocker может оказаться более простым и безопасным вариантом для внедрения.
Логическая защита доступа к данным может быть достигнута только с помощью разрешений NTFS. Вы должны запустить службу под выделенной учетной записью пользователя и разрешить этой учетной записи доступ только к тем файлам, которые вы хотите защитить от других пользователей или процессов. Для защиты учетной записи службы можно выполнить дополнительное усиление безопасности