Регистрация Войти
Рейтинг:0
hkc94501 avatar Server

В Windows, как ограничить доступ к разделу самошифрующегося диска для определенной службы

флаг cy
hkc94501

Я настраиваю сервер в промышленной среде, у которого будет служба, которая внедряет активы безопасности в печатную плату. Я хочу, чтобы сервер хранил эти активы на самошифрующемся диске, где один зашифрованный раздел может быть доступен только службе внедрения. Я хочу, чтобы ключи SED были запечатаны для службы доверенным платформенным модулем. Любые предложения о том, как настроить это или где искать ответы?

33
0 + 0
Рейтинг:0
Jevgenij Martynenko avatar Server
флаг us
Jevgenij Martynenko

Шифрование обеспечивает физическую защиту данных. Стандартными вариантами здесь являются либо шифрование диска BitLocker, либо шифрование файловой системы (EFS).В вашем случае BitLocker может оказаться более простым и безопасным вариантом реализации.

Логическая защита доступа к данным может быть достигнута только с использованием разрешений NTFS. Вы должны запускать службу под выделенной учетной записью пользователя и разрешать этой учетной записи доступ только к тем файлам, которые вы хотите защитить от других пользователей или процессов. Для защиты учетной записи службы можно выполнить дальнейшее усиление безопасности.

0 + 0
hkc94501 avatar
флаг cy
hkc94501
Евгений, спасибо за ответ. Я думаю, что это половина пути. Моему клиенту требуется решение уровня 2 FIPS 140, поэтому Bitlocker отсутствует. Вот почему я указал самошифрующийся диск. Это будет сертифицированное устройство Opal FIPS 140-2 уровня 2. Устройство может иметь зашифрованные и незашифрованные разделы. Что я действительно хочу знать, так это то, как Windows управляет ключами проверки подлинности диска. Можно ли привязать ключ проверки подлинности диска к определенной учетной записи службы?
0
Ответить
Jevgenij Martynenko avatar
флаг us
Jevgenij Martynenko
Извините, мне было не очевидно, что вы говорите о стороннем продукте. К сожалению, мне не хватает опыта работы с упомянутым самошифрующимся диском. Управление сертификатами может зависеть от поставщика. Таким образом, лучшим источником правды будет сайт поддержки поставщика или служба поддержки клиентов. Теоретически каждая служба имеет личное хранилище в хранилище сертификатов.Таким образом, вы можете разместить сертификат там, и он не будет доступен другим пользователям/службам. Закрытый ключ может быть защищен доверенным платформенным модулем, если сертификат выдан локально. Но я не уверен, как это реализовано на практике. Рекомендую обратиться в поддержку производителя
0
Ответить
hkc94501 avatar
флаг cy
hkc94501
Спасибо. Операции с устройствами довольно четко прописаны в стандарте Opal. Я думаю, что это больше вопрос того, как операционная система управляет устройством. Windows автоматически распознает устройство и настроит Bitlocker для управления им, но это не отвечает на мой конкретный вопрос об управлении ключами авторизации. Bitlocker может управлять всем диском в рамках одной полосы аутентификации, а затем зависеть от NTFS для управления доступом к любым томам, которые вы определяете на диске. Это не совсем соответствовало бы моим требованиям.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.