Hallo,
Ik heb op kantoor een file server die ook als print en license server fungeert, en ik zoek een soort van "best practices" voor het beveiligen daarvan. Ik heb echter een beetje een bijzondere situatie, misschien heeft iemand wat advies voor mij?
De server (met Windows 7 Ultimate erop) moet 24/7 aanstaan en heeft een RAID5 array die gesplitst is in een system partitie en een storage partitie. Ik ben zelf maar een paar keer per jaar op kantoor (woon in het buitenland) en zoek dus een manier om de server te beveiligen tegen data diefstal bij een geval dat een inbreker de server meeneemt.Toen ik nog in Nederland woonde was alles encrypted met Truecrypt en bij een restart moest ik tijdens het opstarten het wachtwoord fysiek invullen. Omdat dit nu niet meer mogelijk voor mij is, moest ik een andere manier vinden om dit te doen.
Ik heb ondertussen uiteindelijk gekozen om de system partitie te encrypten met Microsoft's Bitlocker, en de sleutel daarvoor op een USB key te plaatsen. Als de computer opstart, zoekt hij de USB key, vindt de sleutel en start automatisch op.
De storage partitie heb ik met Truecrypt gecodeerd, en de sleutel daarvoor staat op de system partitie. Ik heb verder een script geschreven waarbij deze partitie vanzelf gemount wordt met die key.
Het enige probleem is dus, dat de USB sleutel in de server moet blijven zodat hij vanzelf kan opstarten. Ik heb het nu ergens opgeborgen en op de muur geplakt, en een USB verlengkabel naar de server getrokken. Dit met een gedachte dat een dief geen tijd zou hebben om alle randapparatuur mee te nemen en de USB kabels uit zou trekken om de server mee te nemen.
Dit is natuurlijk niet echt veilig. Als de dief een beetje slim is zou hij dit wel door kunnen hebben en is mijn hele beveiliging zo goed als nutteloos.
Heeft iemand een idee hoe ik een server die 24/7 aan moet staan maar toch remote gereboot moet kunnen worden, toch tegen dit soort dingen te beveiligen? het liefst zou ik dus Bitlocker een sleutel laten opzoeken op het netwerk (dan kan ik het via VPN op een andere locatie plaatsen), maar dat kan niet.
Help?
Groeten!
Ik heb op kantoor een file server die ook als print en license server fungeert, en ik zoek een soort van "best practices" voor het beveiligen daarvan. Ik heb echter een beetje een bijzondere situatie, misschien heeft iemand wat advies voor mij?
De server (met Windows 7 Ultimate erop) moet 24/7 aanstaan en heeft een RAID5 array die gesplitst is in een system partitie en een storage partitie. Ik ben zelf maar een paar keer per jaar op kantoor (woon in het buitenland) en zoek dus een manier om de server te beveiligen tegen data diefstal bij een geval dat een inbreker de server meeneemt.Toen ik nog in Nederland woonde was alles encrypted met Truecrypt en bij een restart moest ik tijdens het opstarten het wachtwoord fysiek invullen. Omdat dit nu niet meer mogelijk voor mij is, moest ik een andere manier vinden om dit te doen.
Ik heb ondertussen uiteindelijk gekozen om de system partitie te encrypten met Microsoft's Bitlocker, en de sleutel daarvoor op een USB key te plaatsen. Als de computer opstart, zoekt hij de USB key, vindt de sleutel en start automatisch op.
De storage partitie heb ik met Truecrypt gecodeerd, en de sleutel daarvoor staat op de system partitie. Ik heb verder een script geschreven waarbij deze partitie vanzelf gemount wordt met die key.
Het enige probleem is dus, dat de USB sleutel in de server moet blijven zodat hij vanzelf kan opstarten. Ik heb het nu ergens opgeborgen en op de muur geplakt, en een USB verlengkabel naar de server getrokken. Dit met een gedachte dat een dief geen tijd zou hebben om alle randapparatuur mee te nemen en de USB kabels uit zou trekken om de server mee te nemen.
Dit is natuurlijk niet echt veilig. Als de dief een beetje slim is zou hij dit wel door kunnen hebben en is mijn hele beveiliging zo goed als nutteloos.
Heeft iemand een idee hoe ik een server die 24/7 aan moet staan maar toch remote gereboot moet kunnen worden, toch tegen dit soort dingen te beveiligen? het liefst zou ik dus Bitlocker een sleutel laten opzoeken op het netwerk (dan kan ik het via VPN op een andere locatie plaatsen), maar dat kan niet.
Help?
Groeten!
:strip_icc():strip_exif()/u/105199/crop5cb76c6d18020_cropped.jpeg?f=community)
:strip_exif()/u/243981/luckyy_oranje.gif?f=community)