Exchange 2010 Datenbank und Transaktionslogs auf verschlüsseltem Laufwerk mit Truecrypt - Bitlocker möglich?
Hallo Kollegen,
ich stehe gerade vor einer kleinen Herausforderung:
Mein Chef hat mich gebeten eine Möglichkeit zu finden u.a. unseren Exchange Server bzw. dessen
Datenbank zu verschlüsseln. Damit im Falles eines Einbruchs niemand etwas mit dem Server und/oder
den Daten darauf anfangen kann. Das betrifft selbstverständlich auch die Datenbank des Exchange Servers (2010)
und auch die Transaktionslogs.
Da wir die DB und die Logs auf getrennten Paritionen (und Laufwerken -> ESXi) lagern, wäre eine Full-Disk-Encryption
mein Mittel der Wahl. Dabei dachte ich speziell an Truecrypt und/oder Bitlocker.
Ich habe schon ein wenig herum experimentiert mit Automount Funktionen von Bitlocker und Truecrypt.
Bitlocker funktioniert anstandslos mit Automount, allerdings ist die einzige Hürde das Windows PW das man nach dem
hoch fahren des Systems (auch wenn die Systemplatte mit Bitlocker verschlüsselt ist) nehmen muss.
Das ganze habe ich bisher auf meinem Geschäftsnotebook getestet. Bin mir aber nicht sicher wie es aussieht wenn man
z.B. mit KonBoot an das PW ran geht oder mit div. Linux Tools das PW resettet.
Mit Truecrypt funktioniert der Automount nur wenn auch die Systemplatte (auf der Truecrypt installiert wurde) ebenfalls mit
Truecrypt gesichert ist, da Truecrypt sonst das caching der Passwörter für Conainterfiles und/oder Festplatten verweigert.
Da bei einem Exchange Server eigentlich nur ein sauberes Automount der Laufwerke für die DB und die Logs in Frage kommt,
wäre es mal interessant zu wissen ob jemand von Euch mal ein ähnliches Szenario getestet oder sogar im Produktiv Betrieb
eingesetzt hat.
Ich weis leider nicht wie sich Exchange verhällt wenn man ihm das Laufwerk mit der DB und den Logs erst nach dem System
Start manuell freischaltet indem man z.B. bei Truecrypt die Laufwerke von Hand mountet. Auch hier wäre eine Aussage über das
Verhalten des Exchange Servers mal sehr nützlich. Ich vermute ja dass es zu unabsehbaren und schweren Problemen kommen
wird, wenn die DB und die Log Files nicht automatisch beim Windows Start bereitgestellt werden oder erst verzögert starten.
Eine weitere Frage auf die ich bisher keine Antwort gefunden habe wäre: Ist die Exchange DB an sich in irgend einer Weise verschlüsselt?
Oder kann man den Exchange so konfigurieren dass er die DB verschlüsselt mit Bordmitteln? Und wie sicher wäre eine solche Verschlüsselung
im Vergleich zu Bitlocker/Truecrypt?
Bin mal gespannt auf Eure Anworten... Wenn niemand einen Rat weis, werde ich wohl oder übel ein Testsystem aufsetzen müssen und das ganze
einfach mal ausprobieren.
Mfg.
ich stehe gerade vor einer kleinen Herausforderung:
Mein Chef hat mich gebeten eine Möglichkeit zu finden u.a. unseren Exchange Server bzw. dessen
Datenbank zu verschlüsseln. Damit im Falles eines Einbruchs niemand etwas mit dem Server und/oder
den Daten darauf anfangen kann. Das betrifft selbstverständlich auch die Datenbank des Exchange Servers (2010)
und auch die Transaktionslogs.
Da wir die DB und die Logs auf getrennten Paritionen (und Laufwerken -> ESXi) lagern, wäre eine Full-Disk-Encryption
mein Mittel der Wahl. Dabei dachte ich speziell an Truecrypt und/oder Bitlocker.
Ich habe schon ein wenig herum experimentiert mit Automount Funktionen von Bitlocker und Truecrypt.
Bitlocker funktioniert anstandslos mit Automount, allerdings ist die einzige Hürde das Windows PW das man nach dem
hoch fahren des Systems (auch wenn die Systemplatte mit Bitlocker verschlüsselt ist) nehmen muss.
Das ganze habe ich bisher auf meinem Geschäftsnotebook getestet. Bin mir aber nicht sicher wie es aussieht wenn man
z.B. mit KonBoot an das PW ran geht oder mit div. Linux Tools das PW resettet.
Mit Truecrypt funktioniert der Automount nur wenn auch die Systemplatte (auf der Truecrypt installiert wurde) ebenfalls mit
Truecrypt gesichert ist, da Truecrypt sonst das caching der Passwörter für Conainterfiles und/oder Festplatten verweigert.
Da bei einem Exchange Server eigentlich nur ein sauberes Automount der Laufwerke für die DB und die Logs in Frage kommt,
wäre es mal interessant zu wissen ob jemand von Euch mal ein ähnliches Szenario getestet oder sogar im Produktiv Betrieb
eingesetzt hat.
Ich weis leider nicht wie sich Exchange verhällt wenn man ihm das Laufwerk mit der DB und den Logs erst nach dem System
Start manuell freischaltet indem man z.B. bei Truecrypt die Laufwerke von Hand mountet. Auch hier wäre eine Aussage über das
Verhalten des Exchange Servers mal sehr nützlich. Ich vermute ja dass es zu unabsehbaren und schweren Problemen kommen
wird, wenn die DB und die Log Files nicht automatisch beim Windows Start bereitgestellt werden oder erst verzögert starten.
Eine weitere Frage auf die ich bisher keine Antwort gefunden habe wäre: Ist die Exchange DB an sich in irgend einer Weise verschlüsselt?
Oder kann man den Exchange so konfigurieren dass er die DB verschlüsselt mit Bordmitteln? Und wie sicher wäre eine solche Verschlüsselung
im Vergleich zu Bitlocker/Truecrypt?
Bin mal gespannt auf Eure Anworten... Wenn niemand einen Rat weis, werde ich wohl oder übel ein Testsystem aufsetzen müssen und das ganze
einfach mal ausprobieren.
Mfg.
Please also mark the comments that contributed to the solution of the article
Content-ID: 249439
Url: https://administrator.de/contentid/249439
Printed on: December 7, 2024 at 21:12 o'clock
6 Comments
Latest comment
Moin,
mit Bitlocker ist es auf jeden Fall möglich. Microsoft hat dazu auch eine Case Study veröffentlicht. Auch das BSI verliert darüber ein Wort und bezieht sich auf Bitlocker.
Solltet ihr einen Failover-Cluster nutzen gibt es für Windows Server 2008R2 einen Hotfix | Hotfix.
Gruß,
Dani
mit Bitlocker ist es auf jeden Fall möglich. Microsoft hat dazu auch eine Case Study veröffentlicht. Auch das BSI verliert darüber ein Wort und bezieht sich auf Bitlocker.
Solltet ihr einen Failover-Cluster nutzen gibt es für Windows Server 2008R2 einen Hotfix | Hotfix.
Ist die Exchange DB an sich in irgend einer Weise verschlüsselt?
Standardmäßig nicht. Du kannst die DB einfach gesagt an einem anderen Exchange-Server einhängen.Gruß,
Dani
Moin,
ich hab eure Struktur noch nicht ganz verstanden. Läuft euer Exchange Server auf einem Hypervisior oder noch einem physikalischen Server?
Gruß,
Dani
ich hab eure Struktur noch nicht ganz verstanden. Läuft euer Exchange Server auf einem Hypervisior oder noch einem physikalischen Server?
Truecrypt verlangt in jedem Fall bei jedem Boot das PW an der Preboot Authentification.
Bitlocker lässt sich ebenfalls entsprechend konfigurieren, dass ein Passwort, PIN oder USB-Token vorhanden sein muss um hochfahren zukönnen.Gruß,
Dani
Moin,
Allerdings frage ich mich gerade, wo eure Server stehen, im Büro bei der Sekretärin als Fußwärmer?
Gruß,
Dani
Frage: Kannst Du mir sagen wo genau ich die PW Abfrage beim Systemlaufwerk einstellen kann? Mir fehlen dort einfach die Optionen.
Kannst du hier nachschauen.Allerdings frage ich mich gerade, wo eure Server stehen, im Büro bei der Sekretärin als Fußwärmer?
Gruß,
Dani