înregistrare Logare
Puncte:0
hkc94501 avatar Server

Pe Windows cum să restricționați accesul la o partiție de disc cu auto-criptare la un anumit serviciu

drapel cy
hkc94501

Configurez un server într-un mediu industrial care va avea un serviciu care injectează active de securitate într-un PCB. Vreau ca serverul să stocheze aceste active pe un disc cu autocriptare unde o partiție criptată poate fi accesată doar de serviciul de injecție. Vreau ca cheile SED să fie sigilate la serviciu de un TPM. Aveți sugestii despre cum să configurați acest lucru sau unde să căutați răspunsuri?

33
0 + 0
tpm
Puncte:0
Jevgenij Martynenko avatar Server
drapel us
Jevgenij Martynenko

Criptarea oferă protecție fizică a datelor. Opțiunile disponibile aici sunt fie BitLocker Drive Encryption, fie Criptarea sistemului de fișiere (EFS).În cazul dvs., BitLocker ar putea fi o opțiune mai ușor și mai sigură de implementat.

Protecția logică a accesului la date poate fi realizată numai folosind permisiunile NTFS. Trebuie să rulați un serviciu sub un cont de utilizator dedicat și să permiteți accesul acestui cont numai la fișierele pe care doriți să le protejați de alți utilizatori sau procese. Contul de serviciu poate fi întărit suplimentar pentru a-l proteja

0 + 0
hkc94501 avatar
drapel cy
hkc94501
Jevgenij, mulțumesc pentru răspuns. Cred că e la jumătatea drumului. Clientul meu are nevoie de o soluție FIPS 140 de nivel 2, așa că Bitlocker este eliminat. De aceea am specificat discul cu auto-criptare. Acesta ar fi un dispozitiv certificat Opal FIPS 140-2 nivel 2. Dispozitivul poate avea partiții criptate și necriptate. Ceea ce vreau cu adevărat să știu este cum gestionează Windows cheile de autentificare a discului. Pot lega o cheie de autentificare de disc la un anumit cont de serviciu?
0
Răspunde
Jevgenij Martynenko avatar
drapel us
Jevgenij Martynenko
Îmi pare rău, nu mi-a fost evident că vorbești despre un produs terță parte. Din păcate, îmi lipsește experiența cu unitatea de auto-criptare menționată. Gestionarea certificatelor poate depinde de furnizor. Deci, cea mai bună sursă de adevăr ar fi site-ul de asistență al furnizorului sau serviciul pentru clienți. În teorie, fiecare serviciu are un depozit personal în stocarea certificatelor.Deci ai putea plasa certificatul acolo și nu ar fi accesibil de către alți utilizatori/servicii. Cheia privată ar putea fi protejată de TPM dacă certificatul este emis local. Dar nu sunt sigur cum se implementează asta în practică. Recomand să contactați asistența furnizorului
0
Răspunde
hkc94501 avatar
drapel cy
hkc94501
Mulțumiri. Operațiunile dispozitivului sunt descrise destul de clar în standardul Opal. Cred că este mai degrabă o problemă a modului în care sistemul de operare gestionează dispozitivul. Windows va recunoaște dispozitivul automat și va configura Bitlocker să-l gestioneze, dar asta nu răspunde la întrebarea mea specifică despre gestionarea cheilor de autorizare. Bitlocker poate gestiona întregul disc sub o singură bandă de autentificare și apoi depinde de NTFS pentru a gestiona accesul la orice volume definite de pe disc. Asta nu mi-ar satisface prea bine cerințele.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.