Windows Server 2008 BitLocker

Sim, o uso da criptografia de disco inteira do BitLocker em um DC é aceitável. No entanto, lembre-se de que a criptografia do BitLocker é para proteção de disco OFFLINE. Uma vez que o DC inicializa, ele será executado com o sistema de arquivos sem criptografia. Os possíveis problemas são baseados em como você configura o BitLocker. Por exemplo, se você não tiver um TPM físico em seus servidores, precisará de uma chave de inicialização salva em um dispositivo USB que precise ser inserido para inicialização. Isso poderia contornar a sua proteção, se deixado no servidor. Diga se o seu DC foi fisicamente roubado e você deixou a chave de inicialização do USB. A criptografia da sua unidade é inútil, pois a chave USB já está inserida. Além disso, lembre-se de manter sua chave de recuperação, caso você esqueça um PIN (requisito opcional) ou precise mover os discos para um novo hardware.

Há também um pequeno impacto no desempenho ao criptografar a unidade.

Se você está preocupado com a segurança de seus DCs em um site de baixa segurança, convém considerar o uso de DCs somente leitura.

Geralmente sou muito contra o FDE nos servidores. Os servidores devem ter segurança lógica para evitar ataques eletrônicos e segurança física razoável para impedir que as pessoas roubem tudo. Na rara situação em que você não pode implementar segurança física razoável, o FDE é apropriado.

O BitLocker combinado com as chaves armazenadas do TPM funciona muito bem. Se o servidor não suportar o TPM, ele não poderá inicializar automaticamente, o que pode ser um problema sério, dependendo do ambiente.