我们需要在客户端部署一个基于Web的应用程序,在这个客户端它将在本地的Intranet中。
我们的部分要求是提供一些基本的安全措施来保护我们的IP。 我意识到,没有100%的保证,但我们只是想让大多数人有点难。
服务器将运行服务器2008年,我正在考虑使用bitlocker作为一种廉价和讨厌的方式来保护它。
根据我的理解,假设主板支持它,我们可以使用透明的BitLocker模式,这意味着将硬盘移动到另一台PC将意味着该硬盘在该设备上不可读,禁止某种冷启动攻击来窃取encryption密钥。
这个假设是否正确,如果主板或其他任何组件在PC上出现故障,我们需要更换,否则我们将无法访问我们的数据,或者有办法解密它(只有我们公司才能访问)
编辑:我们有法律文件,涵盖这一点,我们将locking电脑物理和客户端将无法访问电脑(Windowslogin),而不是通过我们的网站,
BitLocker通过多种方式提供全盘encryption以保护encryption密钥。 一种方法是使用TPM芯片,这通常是主板的一部分(尽pipe一些计算机使用LPC总线来连接芯片)。 如果您的主板已经有TPM,那么它可以存储encryption密钥。
初始化BitLocker时,系统会提示您保存或打印恢复密钥。 如果TPM无法提供密钥(通常是因为有人与BIOS设置混淆,Windows启动设置或进行了BIOS升级),则使用此选项。
如果没有“恢复密钥”将硬盘驱动器移动到另一台计算机上,或者与计算机启动方式混淆,将导致驱动器无法读取。 保护该恢复密钥,或者您要求在某个时候被locking在系统之外。
正如其他人指出的那样,一旦系统运行,Windows对encryption有些遗忘。 如果您configuration操作系统,以便没有访问控制阻止某人查看文件,则文件将不受保护。 BitLocker可以防止有人拿走驱动器并使用任何有用的东西,但它不会像configuration的那样保护驱动器不受操作系统的影响。
如果机器中有硬件死亡,您可以使用恢复密钥恢复数据。
也就是说,Bitlocker看起来并不是一个好的select,因为一旦它运行,数据就被解密了。 我个人决不会在我的环境中部署一台服务器,而这个服务器是用我没有的密钥encryption的。
即使他们不允许login到机器(这是另一个closures),他们可以使用wget / curl来获取服务器上的所有Web内容,并在另一台机器上parsing它。 你并没有真正保护任何东西。
我想你想要的是向你的客户发行标准的NDA。 你似乎有一个政策/许可问题,而不是技术问题。