08.07.2025
1142
5
0Serverinstallationen / TPM / Best Practices / Restore
Es geht um einen möglichen Konflikt zwischen einfacher Wiederherstellbarkeit (oder auch das Verschieben von Hyper-V VMs auf andere Hosts) und der Nutzung von TPM auf Servern (egal ob physisch oder virtuell). Ein Backupsystem kann meines Wissens nach keinen Code aus dem TPM-Modul auslesen und in ein Zielesystem schreiben.
Mich interessiert, wie es in der Praxis aussieht (TPM auf neuen Server an oder aus? - Wenn man Bitlocker, Secured-Core-Server... nicht verwenden möchte/muss )?
Im Wesentlichen geht es um den Grundgedanken, sich für die Wiederherstellbarkeit keine zusätzlichen Schwierigkeiten an Bord holt (bzw. sich auf diese vorbereitet).
Wie macht ihr es?
Mich interessiert, wie es in der Praxis aussieht (TPM auf neuen Server an oder aus? - Wenn man Bitlocker, Secured-Core-Server... nicht verwenden möchte/muss )?
Im Wesentlichen geht es um den Grundgedanken, sich für die Wiederherstellbarkeit keine zusätzlichen Schwierigkeiten an Bord holt (bzw. sich auf diese vorbereitet).
Wie macht ihr es?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673739
Url: https://administrator.de/forum/server-tpm-backup-wiederherstellung-673739.html
Ausgedruckt am: 12.07.2025 um 23:07 Uhr
5 Kommentare
Neuester Kommentar
Für Hyper-V kannst du dich einlesen:
techcommunity.microsoft.com/blog/itopstalkblog/hyper-v-virtual-t ...
techcommunity.microsoft.com/blog/itopstalkblog/hyper-v-virtual-t ...
Wie es in den jeweiligen Konstellation funktioniert/oder nicht funktioniert, ist mir bewusst.
Ich interessiere mich für eure Präferenz (TPM an oder aus), wenn Ihr freie Entscheidung habt.
Ich interessiere mich für eure Präferenz (TPM an oder aus), wenn Ihr freie Entscheidung habt.
Hallo,
wie willst Du ein virtualisiertes Windows 11 ohne vTPM denn betreiben? Wo hat man da denn eine freie Entscheidung?
Ich verstehe offenbar die Frage nicht richtig.
MfG,
MacLeod
wie willst Du ein virtualisiertes Windows 11 ohne vTPM denn betreiben? Wo hat man da denn eine freie Entscheidung?
Ich verstehe offenbar die Frage nicht richtig.
MfG,
MacLeod
1
@MacLeod
Ich glaube er redet hier nur von Server Betriebsystemen aber ich könnte mich täuschen.
@to
Ich denke, dass ist nicht pauschal beantwortbar.
Ich sehe durchaus einen Einsatzzweck im bereich mobiler Workstations oder wenn die VMs irgendwo in einer Cloud liegen. Außnahmen wie Win11 sind natürlich ein anderes Thema.
Ich frage mich halt immer, was im schlimmsten Fall ein Angreifer erreichen möchte.
Szenario 1: Man will Daten erbeuten. Hier sehe ich die Gefahr eher beim User, denn hier sucht man sich das schwächste Glied in der Kette raus. Einmal die Zugangsdaten ergattert hat der Angreifer Zugriff auf all die Daten, welche er im Kontext des Users bekommen kann.
Szenario 2: Es geht darum Schaden anzurichten um anschließend Lösegeld zu verlangen. Hier bringt dir deine Verschlüsselung meist wenig, da deine Daten jetzt wahrscheinlich doppelt verschlüsselt sind.
Steht die Hardware nur bei dir lokal und wird zusätzlich durch potente Firewalls und strickten, internen Sicherheitsvorkehrungen geschützt(auch das ist nicht perfekt. Siehe die ganzen Sicherheitsfirmen, die links und rechts Datenschutzvorfälle oder Sicherheitslücken haben), kommt eher das Thema Ausfallsicherheit und Desaster Recovery zum tragen.
Hier möchte man sich natürlich nicht zu viele Steine in den Weg legen nach dem Motto security by obscurity. Dinge wie Live-Migration oder Replikation sind dann nicht mehr ohne weiteres möglich. Hier ist es meiner Meinung nach wichtiger die sensiblen Daten/Datenbanken etc. - neben dem üblichen Backup der VM - einzeln zu verschlüsseln und auch einzeln zu sichern. Ich möchte in so einem Fall entweder meine korrupten VMs wiederherstellen können(egal auf welcher Maschine die ursprünglich mal lagen) oder austauschen können(neu aufsetzen) und dann die Daten im zweiten schritt wieder zurückspielen. Dies gilt auch für den Host.
Das sind nur ein paar Gedanken von mir. Andere haben da bestimmt gegenteilige Ansichten. Ich sehe hier aber keine best practice Regel, die man befolgen könnte. Das Risiko und den Nutzen muss hier glaube ich jeder für sich selber wählen.
Ich glaube er redet hier nur von Server Betriebsystemen aber ich könnte mich täuschen.
@to
Ich denke, dass ist nicht pauschal beantwortbar.
Ich sehe durchaus einen Einsatzzweck im bereich mobiler Workstations oder wenn die VMs irgendwo in einer Cloud liegen. Außnahmen wie Win11 sind natürlich ein anderes Thema.
Ich frage mich halt immer, was im schlimmsten Fall ein Angreifer erreichen möchte.
Szenario 1: Man will Daten erbeuten. Hier sehe ich die Gefahr eher beim User, denn hier sucht man sich das schwächste Glied in der Kette raus. Einmal die Zugangsdaten ergattert hat der Angreifer Zugriff auf all die Daten, welche er im Kontext des Users bekommen kann.
Szenario 2: Es geht darum Schaden anzurichten um anschließend Lösegeld zu verlangen. Hier bringt dir deine Verschlüsselung meist wenig, da deine Daten jetzt wahrscheinlich doppelt verschlüsselt sind.
Steht die Hardware nur bei dir lokal und wird zusätzlich durch potente Firewalls und strickten, internen Sicherheitsvorkehrungen geschützt(auch das ist nicht perfekt. Siehe die ganzen Sicherheitsfirmen, die links und rechts Datenschutzvorfälle oder Sicherheitslücken haben), kommt eher das Thema Ausfallsicherheit und Desaster Recovery zum tragen.
Hier möchte man sich natürlich nicht zu viele Steine in den Weg legen nach dem Motto security by obscurity. Dinge wie Live-Migration oder Replikation sind dann nicht mehr ohne weiteres möglich. Hier ist es meiner Meinung nach wichtiger die sensiblen Daten/Datenbanken etc. - neben dem üblichen Backup der VM - einzeln zu verschlüsseln und auch einzeln zu sichern. Ich möchte in so einem Fall entweder meine korrupten VMs wiederherstellen können(egal auf welcher Maschine die ursprünglich mal lagen) oder austauschen können(neu aufsetzen) und dann die Daten im zweiten schritt wieder zurückspielen. Dies gilt auch für den Host.
Das sind nur ein paar Gedanken von mir. Andere haben da bestimmt gegenteilige Ansichten. Ich sehe hier aber keine best practice Regel, die man befolgen könnte. Das Risiko und den Nutzen muss hier glaube ich jeder für sich selber wählen.
