windows-server-2008 – Windows Server 2008 BitLocker

是的,在DC上使用BitLocker进行全盘加密是可以接受的.但是,请记住,BitLocker加密用于脱机磁盘保护. DC启动后,它将在文件系统未运行的情况下运行.潜在问题取决于您配置BitLocker的方式.例如,如果服务器中没有物理TPM,则需要在USB设备上保存一个启动密钥,该启动密钥需要插入才能启动.如果留在服务器中,这可能会绕过您的保护.假设您的DC在物理上被盗并且您已经离开了USB启动密钥.由于USB密钥已经插入,因此您的驱动器加密无用.此外,请记住保留恢复密钥,以防忘记PIN(可选要求),或者需要将磁盘移动到新硬件.

加密驱动器时也会有轻微的性能损失.

如果您担心低安全性站点中DC的安全性,您可能需要考虑使用只读DC.