Questions tagged «disk-encryption»

12
您如何处理职员和个人笔记本电脑?
今天,我们的一位开发人员从家里偷了他的笔记本电脑。显然,他对公司的源代码有完整的svn检出,以及SQL数据库的完整副本。 这是我个人反对允许公司在个人笔记本电脑上工作的一个重要原因。 但是,即使这是公司拥有的笔记本电脑,我们仍然会遇到相同的问题,尽管我们在整个磁盘上实施加密(WDE)的能力要强一些。 问题是: 贵公司如何处理非公司拥有的硬件上的公司数据? WDE是明智的解决方案吗?它会产生大量的读/写开销吗? 除了更改从那里存储/访问的东西的密码外,您还有其他建议吗?

1
具有Windows DPAPI加密密钥管理的BitLocker
我们需要在可从Hyper-V虚拟机访问的iSCSI LUN上实施静态加密。 我们已经在Hyper-V虚拟服务器上使用Windows Server 2012使用BitLocker实施了可行的解决方案,该服务器具有对SAN上LUN的iSCSI访问权限。我们可以通过使用THIS POST中定义的“软盘密钥存储”技巧成功地做到这一点。但是,这种方法对我来说似乎是“骗子”。 在我的继续研究中,我发现Amazon Corporate IT团队发布了一份WHITEPAPER,该白皮书准确地概述了我在一个更优雅的解决方案中所需要的内容,而没有“软盘黑客”。在此白皮书的第7页上,他们声明他们实现了Windows DPAPI加密密钥管理来安全地管理其BitLocker密钥。这正是我要执行的操作,但是他们表示必须编写脚本才能执行此操作,但是他们没有提供脚本,甚至没有提供有关如何创建脚本的指针。 是否有人详细说明如何创建“与服务结合的脚本以及受服务器的计算机帐户DPAPI密钥保护的密钥存储文件”(如白皮书中所述)以管理和自动解锁BitLocker卷?任何建议表示赞赏。 -编辑1- 根据以下Evan的回答,这是我已经弄清楚的内容,但我仍然很困惑。 我假设使用PsExec并运行以下命令,PowerShell在System帐户下运行,并且它将“加密带有计算机帐户密码的字符串”,如Evan所述。它是否正确? PsExec.exe -i -s Powershell.exe 然后从PS内部,(以本文为参考),我运行以下命令来生成SecureString密码: ConvertTo-SecureString -String "MyBitLockerPassword" -AsPlainText –Force | ConvertFrom-SecureString | Out-File C:\securestring.txt 这给了我一个包含安全字符串的文件,格式为“ 01000000d08c…”(总共524个字符)。然后,我现在可以创建一个计划任务以在启动时运行,该任务使用以下命令加载密码(作为SecureString)并将其传递给Unlock-BitLocker命令: $SecureBitLockerPassword = Get-Content C:\securestring.txt | ConvertTo-SecureString Unlock-BitLocker -MountPoint "E:" -Password $ SecureBitLockerPassword 但是,如果我只是将加密的密码作为文件存储在硬盘上,那么加密和解密密码有什么意义呢?这与以纯文本格式存储密码并使用以下内容(无需创建安全字符串文件)一样安全吗? $SecureString = ConvertTo-SecureString " MyBitLockerPassword " …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.