phalanx82
Goto Top

Exchange 2010 Datenbank und Transaktionslogs auf verschlüsseltem Laufwerk mit Truecrypt - Bitlocker möglich?

Hallo Kollegen,

ich stehe gerade vor einer kleinen Herausforderung:

Mein Chef hat mich gebeten eine Möglichkeit zu finden u.a. unseren Exchange Server bzw. dessen
Datenbank zu verschlüsseln. Damit im Falles eines Einbruchs niemand etwas mit dem Server und/oder
den Daten darauf anfangen kann. Das betrifft selbstverständlich auch die Datenbank des Exchange Servers (2010)
und auch die Transaktionslogs.

Da wir die DB und die Logs auf getrennten Paritionen (und Laufwerken -> ESXi) lagern, wäre eine Full-Disk-Encryption
mein Mittel der Wahl. Dabei dachte ich speziell an Truecrypt und/oder Bitlocker.

Ich habe schon ein wenig herum experimentiert mit Automount Funktionen von Bitlocker und Truecrypt.
Bitlocker funktioniert anstandslos mit Automount, allerdings ist die einzige Hürde das Windows PW das man nach dem
hoch fahren des Systems (auch wenn die Systemplatte mit Bitlocker verschlüsselt ist) nehmen muss.
Das ganze habe ich bisher auf meinem Geschäftsnotebook getestet. Bin mir aber nicht sicher wie es aussieht wenn man
z.B. mit KonBoot an das PW ran geht oder mit div. Linux Tools das PW resettet.

Mit Truecrypt funktioniert der Automount nur wenn auch die Systemplatte (auf der Truecrypt installiert wurde) ebenfalls mit
Truecrypt gesichert ist, da Truecrypt sonst das caching der Passwörter für Conainterfiles und/oder Festplatten verweigert.

Da bei einem Exchange Server eigentlich nur ein sauberes Automount der Laufwerke für die DB und die Logs in Frage kommt,
wäre es mal interessant zu wissen ob jemand von Euch mal ein ähnliches Szenario getestet oder sogar im Produktiv Betrieb
eingesetzt hat.

Ich weis leider nicht wie sich Exchange verhällt wenn man ihm das Laufwerk mit der DB und den Logs erst nach dem System
Start manuell freischaltet indem man z.B. bei Truecrypt die Laufwerke von Hand mountet. Auch hier wäre eine Aussage über das
Verhalten des Exchange Servers mal sehr nützlich. Ich vermute ja dass es zu unabsehbaren und schweren Problemen kommen
wird, wenn die DB und die Log Files nicht automatisch beim Windows Start bereitgestellt werden oder erst verzögert starten.

Eine weitere Frage auf die ich bisher keine Antwort gefunden habe wäre: Ist die Exchange DB an sich in irgend einer Weise verschlüsselt?
Oder kann man den Exchange so konfigurieren dass er die DB verschlüsselt mit Bordmitteln? Und wie sicher wäre eine solche Verschlüsselung
im Vergleich zu Bitlocker/Truecrypt?

Bin mal gespannt auf Eure Anworten... Wenn niemand einen Rat weis, werde ich wohl oder übel ein Testsystem aufsetzen müssen und das ganze
einfach mal ausprobieren.


Mfg.

Content-ID: 249439

Url: https://administrator.de/contentid/249439

Ausgedruckt am: 08.11.2024 um 21:11 Uhr

Dani
Lösung Dani 17.09.2014, aktualisiert am 18.09.2014 um 12:21:38 Uhr
Goto Top
Moin,
mit Bitlocker ist es auf jeden Fall möglich. Microsoft hat dazu auch eine Case Study veröffentlicht. Auch das BSI verliert darüber ein Wort und bezieht sich auf Bitlocker.

Solltet ihr einen Failover-Cluster nutzen gibt es für Windows Server 2008R2 einen Hotfix | Hotfix.

Ist die Exchange DB an sich in irgend einer Weise verschlüsselt?
Standardmäßig nicht. Du kannst die DB einfach gesagt an einem anderen Exchange-Server einhängen.


Gruß,
Dani
Phalanx82
Phalanx82 18.09.2014 um 12:27:13 Uhr
Goto Top
Hallo Dani,

Danke für die Antwort. Den Artikel über das BSI habe ich vor dem Posting schon gelesen. Allerdings ist mir immernoch
schleierhaft was passiert wenn man nicht nur die Festplatten klaut, sondern den ganzen Server... Wenn es nur die Platten
sind, will Bitlocker das PW zum entschlüsseln. Das habe ich bereits an anderer Stelle gelesen. Aber wenn man die ganze
Kiste mit nimmt, will der Server nur das Windows PW des Users (Admins). Da wäre die Frage ob dies dann knackbar oder
umgehbar wäre mit Tools wie KonBoot z.B.
Truecrypt verlangt in jedem Fall bei jedem Boot das PW an der Preboot Authentification. Ich persönlich würde mittlerweile
nach meinen Recherchen dazu tendieren das Boot LW mit Truecrypt sicher zu verschlüsseln und den Rest mit Bitlocker und
Automount Funktion, da Windows dann die Passwörter in seinen Datensafe ablegt und bei Automount darauf zugreifen kann.

Die Info mit der Exchange DB dachte ich mir schon zu 99%. Habe bisher noch keine DB an einem anderen Server einfügen müssen
für ein Desaster Recovery, aber das wird noch kommen als Feuerwehr Übung. Ich müsste also nochmal KonBoot testen gegen einen
Bitlocker und schauen was der macht.


Mfg.
Dani
Dani 18.09.2014 um 12:37:31 Uhr
Goto Top
Moin,
ich hab eure Struktur noch nicht ganz verstanden. Läuft euer Exchange Server auf einem Hypervisior oder noch einem physikalischen Server?

Truecrypt verlangt in jedem Fall bei jedem Boot das PW an der Preboot Authentification.
Bitlocker lässt sich ebenfalls entsprechend konfigurieren, dass ein Passwort, PIN oder USB-Token vorhanden sein muss um hochfahren zukönnen.


Gruß,
Dani
Phalanx82
Phalanx82 18.09.2014 um 14:41:59 Uhr
Goto Top
Hallo Dani,

also mal konkret:

Es handelt sich um einen SBS2011 der auf einem ESXi als Gast läuft. Primär geht es um die Verschlüsselung
der ExchangeDB+Logs und diverser Ordner auf anderen Laufwerken wo sensible Kundendaten drin liegen.

Bei Bitlocker habe ich keine Funktion gefunden die das Abfragen einer Pin beim Systemboot ermöglicht. Generell
hat man beim Systemlaufwerk weit weniger Optionen als bei einem Datenlaufwerk. Teilweise auch logisch:
Datenlaufwerk hat die Option für Automount, das Systemlaufwerk nicht. Ich habe zum testen mein Geschäftsnotebook
mit der Systemplatte (SSD) und einer Datenplatten mit Bitlocker verschlüsselt. Bei der Einrichtung von Bitlocker gab es
Optionen für das Datenlaufwerk was Pin oder Smartcard anging. Letzteres fällt aber beim Server flach, da man die Smartcard
dann stecken lassen müsste, was kontra produktiv ist wenn der Server geklaut wird... Dann könnte ich mir die Verschlüsselung
sparen ;) Auch ist es nicht praktikabel falls man den Server mal neu starten müsste über VPN oder falls es mal zu einem
ungeplanten Neustart kommen würde... Windows Updates / Bluescreen / whatever... fährt die Kiste nicht mehr hoch und man ist
ggf. beim Kunden unterwegs.

Daher auf jeden Fall eine PW Abfrage beim Boot des Servers, was dank ESXi und vSphere Client in Verbindung mit einem VPN
kein Thema wäre, dieses aus der Ferne zu bestätigen.

Frage: Kannst Du mir sagen wo genau ich die PW Abfrage beim Systemlaufwerk einstellen kann? Mir fehlen dort einfach die Optionen.

Mfg.
Dani
Dani 20.09.2014 um 10:57:58 Uhr
Goto Top
Moin,
Frage: Kannst Du mir sagen wo genau ich die PW Abfrage beim Systemlaufwerk einstellen kann? Mir fehlen dort einfach die Optionen.
Kannst du hier nachschauen.

Allerdings frage ich mich gerade, wo eure Server stehen, im Büro bei der Sekretärin als Fußwärmer? face-smile


Gruß,
Dani
Phalanx82
Phalanx82 20.09.2014 um 11:50:21 Uhr
Goto Top
Zitat von @Dani:

Moin,
> Frage: Kannst Du mir sagen wo genau ich die PW Abfrage beim Systemlaufwerk einstellen kann? Mir fehlen dort einfach die
Optionen.
Kannst du hier nachschauen.

Dankeschön Dani face-smile

Allerdings frage ich mich gerade, wo eure Server stehen, im Büro bei der Sekretärin als Fußwärmer? face-smile

Nicht ganz. Stehen im Keller, einen Stock unter uns. Allerdings ist das Gebäude teils gewerblich (Wir) und teils
Privatwohnungen. Der Keller ist zwar abgeschlossen aber wie man es kennt nur mit ein paar Holzbretter Türen.
Serverrack ist auch abgeschlossen und CCTV Kamera ist auch verbaut, aber wer will kann da natürlich auch rein.
Im Keller bekommt das niemand mit wenns mal kurz Krach macht...
Daher müssen wir bei uns jetzt die Kundendaten etc. verschlüsseln für den Fall der Fälle...

Gruß,
Dani

Gruß zurück, ich werde berichten wie es mit Performance und Ergonomie aussieht wenns produktiv ist.