我需要在free esxi下运行多个2008 R2虚拟机。 存储将在主机本地。 据我了解,从Microsoft或VMware的angular度来看,BitLocker在VM环境中不是受支持的选项。
我有什么select?
如果你正在寻找一个最佳的全卷encryption解决scheme,我不知道。 最佳解决scheme将在主机/存储级别提供encryption。 这对于Hyper-V来说很容易,但对于ESX来说并不是那么容易。 我很惊讶微软在Hyper-V营销中并没有更多地使用这个function,但实际情况是,这种情况令人遗憾地表明,当谈到做出决定时,安全对于大多数组织/供应商来说是多么重要,而不像谈话那么重要。
当Microsoft和VMWare说他们不支持它时,他们的意思是不应该在来宾级别使用BitLocker,因为这不是最佳解决scheme。 这是由于有可能使用像vss2core.exe这样的实用程序来获取客户内存的内存快照,这可能有助于攻击encryption密钥。 不是微不足道的,但绝对是一个坚定的对手可以做的事情。
否则,BitLocker可以很好地适应客人。 一个警告是你不应该使用dynamic扩展磁盘,因为2008 R2会encryption所有的数据,并会马上最大化你的磁盘。 您甚至可以将启动密钥(而不是恢复密钥)放在虚拟软盘或系统分区上,以启用无人参与的启动。 请注意,启动密钥不启用恢复(又名解密)的数据。 您还需要启用“启动时需要额外身份validation”的GPO设置,因为默认情况下需要使用TPM芯片才能为操作系统卷启用BitLocker。