A BranchCache áttekintése
Hatókör: Windows Server 2012, Windows 8
Ez a témakör informatikai szakemberek számára készült és a BranchCache szolgáltatással kapcsolatos áttekintő információkat tartalmaz, beleértve a BranchCache módjait, szolgáltatásait, képességeit és a BranchCache különböző operációs rendszerekben használható funkcióit.
Megjegyzés
Ezen a témakörön kívül a BranchCache szolgáltatással kapcsolatban az alábbi dokumentáció áll rendelkezésre.
- BranchCache megismerési útmutató
- A BranchCache újdonságai
- BranchCache hálózati rendszerhéj- és Windows PowerShell-parancsok
- A BranchCache telepítési útmutatója
- Alapvető hálózat kiegészítő útmutatója: A kihelyezett gyorsítótáras BranchCache-üzemmód telepítése
- BranchCache – Gyakori kérdések
- BranchCache Windows Server 2008 R2-höz
Kik számára érdekes a BranchCache?
Ha Ön rendszergazda, hálózati vagy tárolási megoldásokért felelős mérnök vagy más informatikai szakember, a BranchCache érdekes lehet az Ön számára a következő esetekben:
Olyan szervezet informatikai struktúráját tervezi vagy annak támogatásáért felel, amely kettő vagy több fizikai hellyel rendelkezik, és a fiókirodákat nagykiterjedésű hálózat (WAN) köti össze a főirodával.
Olyan szervezet informatikai infrastruktúráját tervezi vagy annak támogatásáért felel, amely felhőtechnológiát alkalmaz, és a dolgozók WAN-kapcsolaton keresztül férhetnek hozzá a távoli helyen lévő adatokhoz és alkalmazásokhoz.
Optimalizálni szeretné a WAN sávszélességének használatát a fiókirodák és a főiroda közötti hálózati forgalom csökkentésével.
Olyan tartalomkiszolgálókat helyezett üzembe vagy tervez üzembe helyezni a főirodában, amelyek konfigurációja megegyezik az ebben a témakörben ismertetett konfigurációval.
A fiókirodában használt ügyfélszámítógépek Windows® 8-at vagy Windows® 7-et futtatnak.
Ez a témakör az alábbi szakaszokból áll:
Mi a BranchCache?
BranchCache-üzemmódok
A BranchCache használatára képes tartalomkiszolgálók
A BranchCache és a felhő
A tartalominformációk verziói
Hogyan kezeli a fájlok tartalomfrissítéseit a BranchCache?
A BranchCache telepítési útmutatója
Operációsrendszer-verziók a BranchCache-hez
BranchCache biztonság
Tartalomáramlás és -folyamatok
Gyorsítótár-biztonság
Mi a BranchCache?
A BranchCache a nagykiterjedésű hálózat (WAN) sávszélesség-optimalizálási technológiája, amely megtalálható a Windows Server® 2012 és a Windows® 8 operációs rendszerek, valamint a Windows Server® 2008 R2 és a Windows® 7 egyes kiadásaiban. A WAN sávszélesség-optimalizálását a BranchCache a következőképpen végzi: amikor a felhasználó hozzáfér a távoli kiszolgálókon lévő tartalomhoz, a BranchCache a tartalmat a főirodából vagy a kihelyezett felhőtartalom-kiszolgálókról másolja, majd gyorsítótárba helyezi azt a fiókirodánál, így a fiókirodában található ügyfélszámítógépek helyileg férhetnek hozzá a tartalomhoz a WAN hálózaton keresztül történő elérés helyett.
A fiókirodákban a rendszer a tartalmat a gyorsítótárként konfigurált kiszolgálókon tárolja, vagy ha a fiókirodában nincs kiszolgáló, a Windows 8 vagy Windows 7 rendszerű ügyfélszámítógépeken. Miután egy ügyfélszámítógép tartalmat kért és kapott a főirodától, majd a tartalmat a rendszer gyorsítótárba helyezte a fiókirodában, a fiókirodában található más számítógépek a tartalomhoz helyileg férhetnek hozzá ahelyett, hogy a tartalmat le kellene tölteniük a tartalomkiszolgálóról a WAN-kapcsolaton keresztül.
Ha az ügyfélszámítógépek később ugyanahhoz a tartalomhoz szeretnének hozzáférni, az ügyfelek a tartalom információit töltik le a kiszolgálóról a tényleges tartalom helyett. A tartalominformációk az eredeti tartalom darabjai alapján kiszámított kivonatokból állnak, amelyek az eredeti tartalomhoz viszonyítva rendkívül kis méretűek. Az ügyfélszámítógépek ezt követően a tartalmat a fiókiroda gyorsítótárában keresik a tartalominformációk felhasználásával, függetlenül attól, hogy a gyorsítótár egy ügyfélszámítógépen vagy kiszolgálón található. Az ügyfélszámítógépek és a kiszolgálók a tartalominformációkat emellett a gyorsítótár tartalmának védelmére is használják, hogy ahhoz nem engedélyezett felhasználók ne férhessenek hozzá.
A BranchCache növeli a végfelhasználó hatékonyságát azáltal, hogy javítja a fiókirodákban található ügyfelek és kiszolgálók tartalomlekérdezési válaszidejét, valamint a hálózati teljesítmény javításához is hozzájárulhat a WAN-kapcsolaton keresztül lebonyolított forgalom csökkentésével.
BranchCache-üzemmódok
A BranchCache szolgáltatásnak két működési módja van: elosztott gyorsítótáras mód és központi gyorsítótáras mód.
Ha a BranchCache-t elosztott gyorsítótáras módban telepíti, a fiókiroda tartalom-gyorsítótárát a rendszer elosztja az ügyfélszámítógépek között.
Ha a BranchCache-t központi gyorsítótáras módban telepíti, a fiókiroda tartalom-gyorsítótárát a rendszer egy vagy több kiszolgálón helyezi el (ezek a központi gyorsítótáras kiszolgálók).
Megjegyzés
A BranchCache-t mindkét mód használatával telepítheti, azonban fiókirodánként csak az egyik mód lesz használható. Ha például két fiókirodája van, és az egyikben található kiszolgáló, a másikban viszont nem, a BranchCache-t telepítheti központi gyorsítótáras módban a kiszolgálóval rendelkező irodában, míg a csak ügyfélszámítógépeket használó irodában telepítheti elosztott gyorsítótáras módban.
Az alábbi ábrán a BranchCache mindkét módban telepítve látható.
.jpeg "BranchCache-üzemmódok")
Az elosztott gyorsítótáras mód leginkább kis fiókirodák esetében használható, amelyek nem rendelkeznek központi gyorsítótáras kiszolgálóként használható helyi kiszolgálóval. Az elosztott gyorsítótáras üzemmód lehetővé teszi a BranchCache telepítését anélkül, hogy a fiókirodákban további hardvereszközökre lenne szükség.
Ha a fiókiroda, amelyben a BranchCache-t telepíteni szeretné, további infrastruktúrával (például egy vagy több, más feladatokat futtató kiszolgálóval) rendelkezik, a BranchCache központi gyorsítótáras módban való telepítése az alábbi előnyökkel jár:
Gyorsítótár rendelkezésre állásának növelése
A központi gyorsítótáras üzemmód növeli a gyorsítótár hatékonyságát, mivel a tartalom akkor is elérhető, ha az adatokat eredetileg kérő és gyorsítótárba helyező ügyfél kapcsolat nélküli módban van. Mivel a központi gyorsítótáras kiszolgáló mindig elérhető, több tartalom található a gyorsítótárban, így a WAN sávszélességét kevésbé kell kihasználni, és a BranchCache hatékonysága nő.
Központi gyorsítótárazás a több alhálózattal rendelkező fiókirodák esetében
Az elosztott gyorsítótáras mód egyetlen alhálózat esetében használható. Ha a fiókiroda több alhálózattal rendelkezik és elosztott gyorsítótáras módot használ, az egyik alhálózatba letöltött fájlok nem oszthatók meg a másik alhálózatban található ügyfélszámítógépekkel. Ezért a más alhálózatokon található ügyfelek nem értesülnek arról, hogy a fájlt már le van töltve, így letöltik a fájlt a főiroda tartalomkiszolgálójáról, és ennek során lefoglalják a WAN sávszélességét. Ha azonban a szolgáltatást központi gyorsítótáras módban telepíti, ez nem fordulhat elő. A több alhálózattal rendelkező fiókiroda minden ügyfele egyetlen, a központi gyorsítótár kiszolgálóján található gyorsítótárhoz fér hozzá akkor is, ha különböző alhálózaton találhatóak. Emellett Windows Server 2012 esetén a BranchCache lehetővé teszi több központigyorsítótár-kiszolgáló telepítését is fiókirodánként.
Figyelmeztetés
Ha a BranchCache-t a fájlok és mappák SMB-gyorsítótárazásához használja, ne tiltsa le a kapcsolat nélküli fájlokat. Ha letiltja a kapcsolat nélküli fájlokat, a BranchCache SMB-gyorsítótárazás nem működik megfelelően.
A BranchCache használatára képes tartalomkiszolgálók
A BranchCache telepítésekor a rendszer a tartalmat a BranchCache használatára képes tartalomkiszolgálókon tárolja a főirodában. A BranchCache a következő típusú tartalomkiszolgálókat támogatja:
Megjegyzés
Csak forrástartalom – ez azt jelenti, hogy a BranchCache csak annak a tartalomnak az elérését gyorsítja fel, amelyet eredetileg a BranchCache használatára képes tartalomkiszolgálóról kapott az ügyfélszámítógép. Az ügyfélszámítógépek által közvetlenül más forrásból (például az interneten található webkiszolgálókról vagy a Windows Update-ről) megszerzett tartalmakat az ügyfélszámítógépek és a központigyorsítótár-kiszolgálók nem helyezik gyorsítótárba, így a fiókiroda más számítógépeivel nem osztják meg. Ha fel szeretné gyorsítani a Windows Update tartalmának elérését, telepítsen egy Windows Server Update Services (WSUS) alkalmazáskiszolgálót a főirodában, és konfigurálja azt BranchCache tartalomkiszolgálóként.
Webkiszolgálók
A támogatott webes kiszolgálók közé tartoznak a Windows Server 2012 és a Windows Server® 2008 R2 operációs rendszert futtató számítógépek, amelyeken telepítve van a Webkiszolgáló (IIS) kiszolgálói szerepkör, és amelyek a Hypertext Transfer Protocol (HTTP) vagy a HTTP Secure (HTTPS) protokollt használják. Ezenkívül a webkiszolgálón telepítve kell lennie a BranchCache-nek. További információ a Webkiszolgáló (IIS) Windows Server 2012 rendszerben történő használatával kapcsolatban: Webkiszolgáló (IIS).
Fájlkiszolgálók
A támogatott fájlkiszolgálók közé tartoznak a Windows Server 2012 és a Windows Server 2008 R2 rendszerű számítógépek, amelyek rendelkeznek a Fájlszolgáltatások kiszolgálói szerepkörrel, és amelyeken telepítve van a BranchCache hálózati fájlokhoz szerepkör-szolgáltatás. Ezek a fájlkiszolgálók az SMB használatával végzik az információcserét a számítógépek között. A fájlkiszolgáló telepítésének befejezése után meg kell osztania a mappákat is, és a BranchCache engedélyezéséhez a megosztott mappák esetében engedélyeznie kell a kivonatok létrehozását a csoportházirend vagy a helyi számítógép-házirend használatával. További információ a Windows Server 2012 fájl- és tárolási szolgáltatásaival kapcsolatban: Fájl- és tárolószolgáltatások.
Alkalmazáskiszolgálók
A támogatott alkalmazáskiszolgálók közé tartoznak a Windows Server 2012 és a Windows Server 2008 R2 rendszerű számítógépek, amelyeken a háttérben futó intelligens átviteli szolgáltatás (BITS) telepítve és engedélyezve van. Az alkalmazáskiszolgálón továbbá telepítve kell lennie a BranchCache-nek. A Microsoft Windows Server Update Services (WSUS) és a Microsoft System Center Configuration Manager fiókirodai terjesztési pontjának kiszolgálóit például BranchCache tartalomkiszolgálókként telepítheti.
A BranchCache és a felhő
A felhő óriási lehetőségeket kínál a működési költségek csökkentéséhez és a méretezés új szintjének eléréséhez, de ha a feladatokat az azoktól függő személyektől távol helyezi el, azzal növelheti a hálózat költségeit, és csökkentheti a hatékonyságot. A felhasználók nagy teljesítményt várnak el, függetlenül attól, hogy az alkalmazásaikat és az adataikat a rendszer hol tárolja. A BranchCache az adatok megosztott gyorsítótárával képes növelni a hálózati alkalmazások teljesítményét és csökkenteni a sávszélesség-felhasználást. Ez növeli a hatékonyságot a fiókirodákban és a központi irodában, ahol a dolgozók a felhőbe telepített kiszolgálókat használnak.
Mivel a BranchCache nem igényel új hardvereket vagy a hálózati topológia módosítását, kiváló megoldás az irodai helyszínek, valamint a nyilvános és a privát felhők közötti kommunikáció javítására.
További információ a Windows Server 2012 felhőtechnológiáiról: Saját felhőalapú infrastruktúra létrehozása.
A tartalominformációk verziói
A tartalominformációknak két verziója van:
A Windows Server 2008 R2 és a Windows 7 rendszerű számítógépekkel kompatibilis tartalominformációk elnevezése 1-es verziójú (V1) adat. A V1 BranchCache fájlszegmentálás esetében a fájlszegmensek nagyobbak, mint a V2 esetében, és rögzített méretűek. Amikor a felhasználó a fájl hosszát is érintő módosítást végez, a nagy és rögzített szegmensméret miatt a rendszer nem csak a módosított szegmenst érvényteleníti, hanem az összes szegmenst a fájl végéig. Amikor a fiókiroda egy másik felhasználója a következő alkalommal meghívja a módosított fájlt, az a WAN sávszélességének csökkentett megtakarításával jár, mivel a rendszer a WAN-kapcsolaton keresztül elküldi a módosított tartalmat és a módosítás utáni összes tartalmat.
A Windows Server 2012 és a Windows 8 rendszerű számítógépekkel kompatibilis tartalominformációk elnevezése 2-es verziójú (V2) adat. A V2 verziójú tartalominformáció kisebb, változó méretű szegmenseket használ, amelyek jobban tűrik a fájlon belüli változásokat. Ez növeli annak valószínűségét, hogy a fájl egy korábbi verziójából származó szegmensek ismét felhasználhatók, amikor a felhasználók egy frissített verzióhoz férnek hozzá, így a fájlnak csak a módosított részét kell beolvasniuk a tartalomkiszolgálóról, és ezáltal kisebb WAN-sávszélességet használnak fel.
Az alábbi táblázatban a tartalominformáció használt verziójára vonatkozó adatok találhatók attól függően, hogy a BranchCache telepítése során az ügyfélszámítógépen, a tartalomkiszolgálón és a központigyorsítótár-kiszolgálón milyen operációs rendszer volt használatban.
Megjegyzés
Az alábbi táblázatban az „OS” mozaikszó operációs rendszert jelent.
| Ügyfél OS | Tartalomkiszolgáló OS | Központigyorsítótár-kiszolgáló OS | Tartalominformáció verziója |
|---|---|---|---|
| Windows Server 2008 R2 és Windows 7 | Windows Server 2012 vagy Windows Server 2008 R2 | Windows Server 2012 vagy Windows Server 2008 R2; nincs az elosztott gyorsítótáras módban | V1 |
| Windows Server 2012 és Windows 8 | Windows Server 2008 R2 | Windows Server 2012 vagy Windows Server 2008 R2; nincs az elosztott gyorsítótáras módban | V1 |
| Windows Server 2012 és Windows 8 | Windows Server 2012 | Windows Server 2008 R2; nincs az elosztott gyorsítótáras módban | V1 |
| Windows Server 2012 és Windows 8 | Windows Server 2012 | Windows Server 2012; nincs az elosztott gyorsítótáras módban | V2 |
Ha Windows Server 2012 rendszerű tartalomkiszolgálóval és központigyorsítótár-kiszolgálóval rendelkezik, azok az információt kérő BranchCache-ügyfél operációs rendszerének megfelelő tartalominformáció-verziót használják. Ha Windows Server 2012 vagy Windows 8 operációs rendszerrel működő számítógép kér tartalmat, a tartalomkiszolgáló és a központigyorsítótár-kiszolgáló V2 tartalominformációt használ; ha Windows Server 2008 R2 vagy Windows 7 operációs rendszerrel működő számítógép kér tartalmat, a tartalomkiszolgáló és a központigyorsítótár-kiszolgáló V1 tartalominformációt használ.
Ha a BranchCache szolgáltatást elosztott gyorsítótáras módban telepíti, a különböző tartalominformáció-verziót használó ügyfelek nem osztják meg egymással a tartalmat.
Hogyan kezeli a fájlok tartalomfrissítéseit a BranchCache?
Amikor a fiókiroda felhasználói módosítják vagy frissítik a dokumentumok tartalmát, a rendszer a módosításokat közvetlenül a tartalomkiszolgálóra írja a főirodában, a BranchCache használata nélkül. Ez attól függetlenül igaz, hogy a felhasználó a dokumentumot a tartalomkiszolgálóról töltötte-e le, vagy egy kihelyezett vagy elosztott gyorsítótárból szerezte-e be a fiókirodában.
Ha a módosított fájlhoz kérelem érkezik a fiókirodában egy másik ügyféltől, a rendszer letölti a fájl új szegmenseit a főiroda kiszolgálójáról, és hozzáadja a fiókirodában lévő elosztott vagy központi gyorsítótárhoz. Emiatt a fiókiroda felhasználói mindig a gyorsítótárazott tartalom legújabb verzióját kapják meg.
A BranchCache telepítési útmutatója
A BranchCache funkció vagy a Fájlszolgáltatások kiszolgálói szerepkör BranchCache hálózati fájlokhoz szerepkör-szolgáltatásának telepítéséhez használhatja a Windows Server 2012 Kiszolgálókezelőjét. Az alábbi táblázat segítségével eldöntheti, hogy a szerepkör-szolgáltatást vagy a funkciót érdemes-e telepíteni.
| Funkció | Számítógép helye | Telepítse ezt a BranchCache elemet |
|---|---|---|
| Tartalomkiszolgáló (BITS-alapú alkalmazáskiszolgáló) | Főiroda vagy felhőadatközpont | BranchCache funkció |
| Tartalomkiszolgáló (webkiszolgáló) | Főiroda vagy felhőadatközpont | BranchCache funkció |
| Tartalomkiszolgáló (SMB protokollt használó fájlkiszolgáló) | Főiroda vagy felhőadatközpont | A Fájlszolgáltatások kiszolgálói szerepkör BranchCache hálózati fájlokhoz szerepkör-szolgáltatása |
| Központi gyorsítótár kiszolgálója | Fiókiroda | BranchCache funkció engedélyezett központi gyorsítótári kiszolgáló üzemmóddal |
| Ügyfélszámítógép engedélyezett BranchCache funkcióval | Fiókiroda | Telepítés nem szükséges, mindössze engedélyezze a BranchCache-t és a BranchCache üzemmódot (elosztott vagy kihelyezett) az ügyfélszámítógépen |
A szerepkör-szolgáltatás vagy a funkció telepítéséhez nyissa meg a Kiszolgálókezelőt, és jelölje ki a számítógépeket, amelyeken engedélyezni szeretné a BranchCache funkciót. A Kiszolgálókezelőben kattintson a Kezelés, majd a Szerepkörök és szolgáltatások hozzáadása lehetőségre. A Szerepkörök és szolgáltatások hozzáadása varázsló elindul. A varázslóban válasszon a következő lehetőségek közül:
A Telepítés típusának kiválasztása oldalon válassza ki a Szerepköralapú vagy szolgáltatásalapú telepítés elemet.
Ha BranchCache-engedélyezett fájlkiszolgálót telepít, a Kiszolgálói szerepkörök kiválasztása oldalon válassza a Fájlszolgáltatások lehetőséget. A varázsló konfigurációs folyamatában később válassza ki a BranchCache hálózati fájlokhoz lehetőséget is. Ha nem szeretne BranchCache-engedélyezett fájlkiszolgálót telepíteni, ne telepítse a Fájlszolgáltatások szerepkört a BranchCache hálózati fájlokhoz szerepkör-szolgáltatással.
Ha olyan tartalomkiszolgálót telepít, amely nem fájlkiszolgáló, vagy egy központi gyorsítótár kiszolgálóját, a Szolgáltatások kiválasztása oldalon válassza a BranchCache lehetőséget. Ha a fájlkiszolgálón vagy a központi gyorsítótár kiszolgálóján kívül nem szeretne tartalomkiszolgálót telepíteni, ne telepítse a BranchCache funkciót.
Operációsrendszer-verziók a BranchCache-hez
Az alábbi lista a különféle BranchCache funkciókat támogató operációs rendszereket sorolja fel.
A BranchCache ügyfél-számitógépi funkcióihoz támogatott operációs rendszerek
Windows® 8 Enterprise
Windows® 7 Enterprise
Windows® 7 Ultimate
A BranchCache tartalomkiszolgálói funkcióihoz támogatott operációs rendszerek
A Windows Server 2012 operációsrendszer-család használható BranchCache fájlkiszolgálóként.
Emellett a Windows Server® 2008 R2 operációsrendszer-család is használhatók BranchCache fájlkiszolgálóként a következő kivételekkel:
A BranchCache a Windows Server® 2008 R2 Enterprise Hyper-V szolgáltatást használó Server Core telepítéseken nem támogatott.
A BranchCache a Windows Server® 2008 R2 Datacenter Hyper-V szolgáltatást használó Server Core telepítéseken nem támogatott.
A BranchCache központigyorsítótár-kiszolgáló funkcióihoz támogatott operációs rendszerek
A Windows Server 2012 operációsrendszer-család használható BranchCache központigyorsítótár-kiszolgálóként.
Emellett a következő Windows Server® 2008 R2 operációs rendszerek is használhatók BranchCache központigyorsítótár-kiszolgálókként:
Windows Server® 2008 R2 Enterprise
Windows Server 2008 R2 Enterprise Hyper-V-vel
Windows Server 2008 R2 Enterprise Server Core telepítés
Windows Server 2008 R2 Enterprise Server Core telepítés Hyper-V-vel
Windows Server 2008 R2 for Itanium-Based Systems
Windows Server® 2008 R2 Datacenter
Windows Server® 2008 R2 Datacenter Hyper-V-vel
Windows Server 2008 R2 Datacenter Server Core telepítés Hyper-V-vel
BranchCache biztonság
A BranchCache egy biztonságosra tervezett módszert alkalmaz, amely zökkenőmentesen fut a meglévő hálózatbiztonsági architektúrák mellett kiegészítő berendezések vagy összetett kiegészítő biztonsági beállítások szükségessége nélkül.
A BranchCache nem invazív, és nem módosít semmilyen hitelesítési vagy engedélyezési Windows-folyamatot. A BranchCache telepítése után a hitelesítés továbbra is tartományi hitelesítő adatok alapján történik, és nem módosul az engedélyezés és a hozzáférés-vezérlési listák együttes működése sem. Emellett a többi beállítás is ugyanúgy működik tovább, mint a BranchCache telepítése előtt.
A BranchCache biztonsági modellje a metaadatok létrehozására alapul, ami a kivonatok sorozataként nyilvánul meg. Ezek a kivonatok más néven a tartalominformációk.
A tartalominformációk a létrejöttük után a tényleges adatok helyett kerülnek használatba a BranchCache üzenetváltásokban a támogatott protokollok (HTTP, HTTPS és SMB) használatával.
A gyorsítótárazott adatok titkosítva maradnak, és nem tekinthetők meg olyan ügyfelek által, akik nem rendelkeznek engedéllyel az eredeti forrás tartalmainak eléréséhez. Az ügyfeleket az eredeti tartalomforrásnak hitelesítenie és engedélyeznie kell, mielőtt a tartalmak metaadatait megkapnák a helyi irodában való gyorsítótár-hozzáféréshez.
Hogyan hoz létre tartalominformációkat a BranchCache?
Mivel a tartalominformációk több elemből jönnek létre, értékeik mindig egyediek. Ezeket az elemek a következők:
A tényleges tartalom (például weblapok vagy megosztott fájlok), amelyből a kivonatok származnak.
Konfigurációs paraméterek, például a kivonatolási algoritmus és a blokkméret. A tartalominformációk létrehozásához a tartalomkiszolgáló szegmensekre bontja a tartalmat, majd azokat blokkokra osztja. A BranchCache biztonságos kriptográfiai kivonatokat használ az egyes blokkok és szegmensek ellenőrzésére, és támogatja az SHA256 kivonatolási algoritmust.
Egy kiszolgálói titok. Minden tartalomkiszolgálót egy kiszolgálói titokkal kell beállítani, amely egy tetszőleges hosszúságú bináris érték.
Megjegyzés
A kiszolgálói titok használata biztosítja, hogy az ügyfélszámítógépek ne generálhassák maguknak a tartalominformációkat. Ez megakadályozza, hogy a rosszindulatú felhasználók a BranchCache-engedélyezett ügyfélszámítógépeken találgatásos támadásokkal kideríthessék az egyes tartalomverziók közötti kisebb változásokat, ha az ügyfélszámítógép egy régebbi verzióhoz rendelkezett hozzáféréssel, de a jelenlegihez már nem.
A tartalominformációk részletei
A BranchCache a kiszolgálói titkot használja kulcsként a tartalomspecifikus kivonatok létrehozásához, amelyeket elküld az engedélyezett ügyfeleknek. A kivonat létrehozásához a kivonatolási algoritmust a kiszolgálói titok és az adatkivonat kombinációjára használja a rendszer.
Ez a kivonat a szegmenstitok. A BranchCache a szegmenstitkokat használja a biztonságos kommunikációhoz. Emellett a BranchCache létrehoz egy blokk-kivonatlistát is, amely a kivonatolt adatblokkok listája, valamint egy adatkivonatot, amely a blokk-kivonatlista kivonatolásával jön létre.
A tartalominformációk a következőket foglalják magukban:
A blokk-kivonatlista:
BlockHashi = Hash(dataBlocki) 1<=i<=nAz adatkivonat (HoD):
HoD = Hash(BlockHashList)Szegmenstitok (Kp):
Kp = HMAC(Ks, HoD)
A BranchCache a Peer Content Caching protokollt és a Retrieval Framework protokollt használja az olyan folyamatok megvalósítására, amelyek szükségesek a tartalom-gyorsítótárak közötti biztonságos gyorsítótárazáshoz és visszaállításhoz.
Emellett a BranchCache olyan biztonsági szinten kezeli a tartalominformációkat, mint amelyet a tényleges tartalom kezelésekor és átvitelekor alkalmaz.
Tartalomáramlás és -folyamatok
A tartalominformációk és a tényleges tartalom áramlása négy fázisra osztható:
BranchCache-folyamatok: Tartalomkérelem
BranchCache-folyamatok: Tartalom helyének meghatározása
BranchCache-folyamatok: Tartalom lekérése
BranchCache-folyamatok: Tartalom gyorsítótárazása
A következő szakaszok ezeket a fázisokat ismertetik.
BranchCache-folyamatok: Tartalomkérelem
Az első fázisban a fiókiroda ügyfélszámítógépe valamilyen tartalmat, például fájlt vagy weblapot kérelmez egy távoli tartalomkiszolgálóról például a főirodában. A tartalomkiszolgáló ellenőrzi, hogy az ügyfélszámítógép rendelkezik-e engedéllyel a kért tartalom fogadására. Ha az ügyfélszámítógép rendelkezik engedéllyel, és mind a tartalomkiszolgálónál, mint az ügyfélnél engedélyezve van a BranchCache funkció, a tartalomkiszolgáló létrehozza a tartalominformációkat.
Ezután a tartalomkiszolgáló elküldi a tartalominformációkat az ügyfélszámítógépnek annak a protokollnak a használatával, mint amelyet a tényleges tartalomhoz használt volna. Ha például az ügyfélszámítógép HTTP-n keresztül kérdezett le egy weblapot, a tartalomkiszolgáló HTTP-n keresztül küldi a tartalominformációkat. Ezért a vezetékszintű biztonság garantálja, hogy a tartalom és a tartalominformáció megegyezik.
A tartalominformációk (adatkivonat és szegmenstitok) első részének fogadását követően az ügyfélszámítógép az alábbi műveleteket hajtja végre:
Felhasználja a szegmenstitkot (Kp) titkosítási kulcsként (Ke).
Az adatkivonatból és a szegmenstitokból létrehozza a szegmensazonosítót (HoHoDk):
HoHoDk = HMAC(Kp, HoD + C), where C is the ASCII string “MS_P2P_CACHING” with NUL terminator.
Ebben a rétegben az elsődleges fenyegetés a szegmenstitok által jelentett kockázat, mindazonáltal a BranchCache a szegmenstitok védelme érdekében titkosítja a tartalomadatblokkokat. A BranchCache ezt a tartalomblokkoknak helyet adó tartalomszegmens szegmenstitkából származtatott titkosítási kulcs használatával hajtja végre. Ez a megközelítés biztosítja, hogy a kiszolgálótitokkal nem rendelkező entitások ne legyenek képesek felderíteni az adatblokkokban található tényleges tartalmat. A szegmenstitkot a rendszer a nem titkosított szöveges szegmenssel azonos biztonsági szinten kezeli, mivel egy adott szegmens szegmenstitkának ismeretében egy entitás képessé válhat a szegmens társaktól való megszerzésére, majd a titkosítás feloldására. A kiszolgálótitok ismerete nem fed fel azonnal semmilyen adott, nem titkosított szöveget, de a segítségével származtathatók bizonyos adatok a titkosított szövegből, majd egyes részben ismert adatok kitehetők találgatásos támadásnak. Ennélfogva a kiszolgálótitok bizalmasan kezelendő.
BranchCache-folyamatok: Tartalom helyének meghatározása
Miután az ügyfélszámítógép fogadta a tartalomadatokat, az ügyfél a szegmensazonosító felhasználóval meghatározza a keresett tartalom helyét a helyi fiókiroda gyorsítótárában, függetlenül attól, hogy a gyorsítótár el van-e osztva az ügyfélszámítógépek között, vagy egy központigyorsítótár-kiszolgálón található.
Ha az ügyfélszámítógép a központi gyorsítótár üzemmódhoz lett konfigurálva, akkor a konfigurálása a központigyorsítótár-kiszolgáló számítógépnevével történt, és a tartalom lekérése céljából kapcsolódik az adott kiszolgálóhoz.
Ha viszont az ügyfélszámítógép az elosztott gyorsítótár üzemmódhoz lett konfigurálva, akkor lehetséges, hogy a tartalom a fiókiroda több számítógépének több gyorsítótárában tárolódik. Az ügyfélszámítógépnek a tartalom lekérését megelőzően fel kell derítenie a tartalom helyét.
Ha az elosztott gyorsítótár üzemmódhoz vannak konfigurálva, az ügyfélszámítógépek egy a Web Services Dynamic Discovery (WS-Discovery) protokollon alapuló felderítési protokoll felhasználásával azonosítják a tartalom helyét. Az ügyfelek WS-Discovery próbaüzenetek csoportos küldésével derítik fel a gyorsítótárban található tartalom helyét a hálózatban. A próbaüzenetek tartalmazzák a szegmensazonosítót, ami lehetővé teszi, hogy az ügyfelek ellenőrizzék, hogy a lekért tartalom egyezik-e a saját gyorsítótárukban tárolt tartalommal. Ha a szegmensazonosító egyezik a helyi gyorsítótárban található tartalommal, akkor a kiinduló próbaüzenetet fogadó ügyfelek egyedi próba-egyezés üzenetekkel válaszolnak a lekérdező ügyfélnek.
A WS-Discovery folyamat sikere attól függ, hogy a felderítést végző ügyfél a tartalomkiszolgáló által nyújtott helyes tartalominformációval rendelkezik-e a kért tartalomhoz.
A Tartalom lekérése fázis során az adatokat érintő elsődleges fenyegetés az információk felfedése, mivel a tartalominformációkhoz való hozzáférés a tartalomhoz való engedélyezett hozzáférést foglalja magában. Ennek a kockázatnak a mérséklése érdekében a felderítési folyamat nem fedi fel a tartalominformációkat, leszámítva a szegmensazonosítót, amely a tartalmat magában foglaló, titkosítás nélküli szöveges szegmensből semmit nem fed fel.
Ezenfelül egy, az azonos alhálózaton található, rosszindulatú felhasználó által működtetett ügyfélszámítógép láthatja a BranchCache az útválasztón keresztül haladó, az eredeti tartalom felé irányuló felderítési adatforgalmát.
Ha a kért tartalom nem található a fiókirodában, az ügyfél a tartalmat a WAN-kapcsolaton keresztül közvetlenül a tartalomkiszolgálóról kéri le.
A tartalom a fogadását követően a helyi gyorsítótárba kerül az ügyfélszámítógépen vagy a központigyorsítótár-kiszolgálón. Ebben az esetben a tartalominformáció megakadályozza, hogy egy ügyfél vagy egy központigyorsítótár-kiszolgáló hozzáadjon bármely, a kivonatoknak nem megfelelő tartalmat a helyi gyorsítótárhoz. A tartalom kivonatokkal való egyeztetésének ellenőrzési folyamata biztosítja, hogy csak érvényes tartalom kerüljön a gyorsítótárba, és hogy a helyi gyorsítótár egysége megmaradjon.
BranchCache-folyamatok: Tartalom lekérése
Miután egy ügyfélszámítógép azonosítja a kívánt tartalmat a tartalomszolgáltatón, amely vagy egy központigyorsítótár-kiszolgáló, vagy egy elosztott gyorsítótár üzemmódban futó ügyfélszámítógép, az ügyfélszámítógép megkezdi a tartalom lekérésének folyamatát.
Az ügyfélszámítógép először egy, az első kért blokkra vonatkozó kérelmet küld a tartalomszolgáltatónak. A kérelem tartalmazza a kívánt tartalmat azonosító szegmensazonosítót és blokktartományt. Mivel csak egy blokk érkezik vissza, a blokktartomány csak egyetlen blokkot tartalmaz. (A több blokkra vonatkozó kérelmek jelenleg nem támogatottak.) A kérelmet az ügyfél a függőben lévő kérelmek helyi listáján tárolja.
Egy ügyféltől érkező érvényes kérelemüzenet fogadását követően a tartalomszolgáltató ellenőrzi, hogy a kérelemben megadott blokk létezik-e a tartalomszolgáltató tartalom-gyorsítótárában.
Ha a tartalomszolgáltatónak birtokában van a tartalomblokk, elküld egy választ, amely tartalmazza a szegmensazonosítót, a blokkazonosítót, a titkosított adatblokkot és a blokk titkosításához használt inicializáló vektort.
Ha a tartalomszolgáltató nem rendelkezik a kért tartalomblokkal, üres válaszüzenetet küld vissza. Ebben értesíti az ügyfélszámítógépet, hogy a kért blokk nem található meg a tartalomszolgáltatón. Az üres válaszüzenet a kért blokk szegmensazonosítóját és blokkazonosítóját tartalmazza, továbbá egy nulla méretű adatblokkot.
Amikor az ügyfélszámítógép megkapja a tartalomszolgáltató válaszát, ellenőrzi, hogy az üzenet megfelel-e a függőben lévő kérések listáján található valamelyik kérelemüzenetnek. (A szegmensazonosítónak és a blokkindexnek meg kell egyeznie egy függőben lévő kérésben szereplő ugyanezen adatokkal.)
Ha az ellenőrzési folyamat sikertelen, és az ügyfélszámítógép függőben lévő kérelmeinek listáján nincs megfelelő kérelemüzenet, az ügyfélszámítógép elveti az üzenetet.
Ha az ellenőrzési folyamat sikeres, és az ügyfélszámítógép függőben lévő kérelmeinek listáján található megfelelő kérelemüzenet, az ügyfélszámítógép feloldja a blokk titkosítását. Ezt követően az ügyfél az eredeti tartalomkiszolgálóról kezdetben lekért tartalominformációkban szereplő megfelelő blokk-kivonat szerint hitelesíti a visszafejtett blokkot.
Ha a blokk hitelesítése sikeres, a visszafejtett blokk a gyorsítótárba kerül.
Ez a folyamat addig ismétlődik, amíg az ügyfél nem rendelkezik az összes kért blokkal.
Megjegyzés
Ha a tartalom teljes szegmensei nem egy számítógépen léteznek, a lekérdezési protokoll több forrásból kéri le, majd állítja össze a tartalmat: az elosztott gyorsítótár módban működő ügyfélszámítógépekről, egy központigyorsítótár-kiszolgálóról, és – ha a fiókiroda gyorsítótárai nem rendelkeznek a teljes tartalommal – a főiroda eredeti tartalomkiszolgálójáról.
Mielőtt a BranchCache elküldené a tartalominformációkat vagy a tartalmat, titkosítja az adatokat. A BranchCache titkosítja a válaszüzenetben található blokkot.Windows 7 esetében a BranchCache által használt alapértelmezett titkosítási algoritmus az AES-128, a titkosítási kulcs Ke, a kulcs mérete pedig a titkosítási algoritmus által előírtaknak megfelelően 128 bit. A BranchCache létrehoz egy, a titkosítási algoritmushoz megfelelő inicializáló vektort, és titkosítja a blokkot a titkosítási kulcs segítségével. Ezt követően a BranchCache bejegyzi a titkosítási algoritmust és az inicializáló vektort az üzenetbe. A kiszolgálók és az ügyfelek soha nem cserélik ki, osztják meg egymás között vagy küldik el egymásnak a titkosítási kulcsot. Az ügyfél a titkosítási kulcsot a forrástartalomnak helyet adó tartalomkiszolgálótól kapja meg. Ezután a kiszolgálótól kapott titkosítási algoritmus és inicializáló vektor segítségével visszafejti a blokkot. A letöltési protokollba nincs beépítve más kifejezett hitelesítési vagy engedélyezési eljárás.
Biztonsági fenyegetések
Ebben a rétegben az elsődleges biztonsági fenyegetések a következők:
Adatok illetéktelen módosítása:
Egy lekérdezőt kiszolgáló ügyfél illetéktelenül módosítja az adatokat. A BranchCache biztonsági modellje kivonatok használatával ellenőrzi, hogy sem az ügyfél, sem a kiszolgáló nem módosította-e az adatokat.
Információk felfedése:
A BranchCache titkosított tartalmat küld a megfelelő szegmensazonosítót megadó ügyfeleknek. A szegmensazonosítók nyilvánosak, így bármely ügyfél kaphat titkosított tartalmat. Ha azonban egy rosszindulatú felhasználó jut hozzá a titkosított tartalomhoz, annak visszafejtéséhez még ismernie kell a titkosító kulcsot is. A felső rétegbe ágyazott protokoll végzi a hitelesítést, majd megadja a tartalommal kapcsolatos információkat a hitelesített és engedélyezett ügyfélnek. A tartalmi információk biztonsági szintje megegyezik a tartalomhoz rendelt biztonsági szinttel, a BranchCache pedig sosem teszi közzé a tartalommal kapcsolatos információkat.
Egy támadó a tartalom megszerzésén fáradozik. Az AES128 használatával a BranchCache az ügyfelek közötti valamennyi átvitelt titkosítja, ahol a titkos kód a Ke, így védve az adatokat a támadóktól. A tartalmi kiszolgálóról letöltött tartalommal kapcsolatos információ ugyanúgy védett, mint maga az adat volna, ezért nem jobban vagy kevésbé kitett az információfelfedés veszélyének, mintha a BranchCache egyáltalán nem lett volna használatban.
Szolgáltatás-megtagadás:
Az ügyfelet túlterhelik az adatkérések. A BranchCache protokollok várakozásilista-kezelő számlálókat és időzítőket is magukban foglalnak, így akadályozva meg az ügyfelek esetleges túlterhelését.
BranchCache-folyamatok: Tartalom gyorsítótárazása
Elosztott gyorsítótáras üzemmódban a fiókirodákban levő ügyfélszámítógépek és központigyorsítótár-kiszolgálók tartalom-gyorsítótárai az idő múlásával, a tartalom WAN-kapcsolaton keresztül történő lekérdezésével épülnek fel.
Ha az ügyfélszámítógépek központi gyorsítótáras üzemmódra vannak beállítva, azok saját helyi gyorsítótárukba mentik az adatokat, illetve továbbítani is képesek azokat a központigyorsítótár-kiszolgáló irányába. A Hosted Cache Protocol olyan megoldást biztosít az ügyfelek számára, amely a központigyorsítótár-kiszolgálót információval látja el a tartalom és a szegmens elérhetőségére vonatkozóan. A központigyorsítótár-kiszolgálóra történő tartalomfeltöltéshez az ügyfél tájékoztatja a kiszolgálót arról, hogy rendelkezik elérhető szegmenssel. A központigyorsítótár-kiszolgáló ezután a felajánlott szegmenssel kapcsolatos összes tartalominformációt beszerzi, majd letölti a ténylegesen szükséges, szegmensen belüli blokkokat. Ez a folyamat ismétlődik mindaddig, amíg az ügyfél rendelkezik felajánlott szegmensekkel a központigyorsítótár-kiszolgáló irányába.
A központigyorsítótár-kiszolgáló Hosted Cache Protocol használatával történő frissítéséhez az alábbi követelményeknek kell teljesülniük:
Az ügyfélszámítógépnek blokkokra bontott szegmensekkel kell rendelkeznie, amelyeket felajánlhat a központigyorsítótár-kiszolgáló irányába. Az ügyfél köteles tartalominformációkat szolgáltatni a felajánlott szegmensről, amelyeknek a következőket kell tartalmazniuk: a szegmens azonosítóját, a szegmens adatkivonatát, a szegmenstitkot, valamint a szegmensen belüli összes blokk-kivonat listáját.
A Windows Server 2008 R2 rendszert futtató központigyorsítótár-kiszolgálók esetében szükséges a központigyorsítótár-kiszolgáló tanúsítványának és a hozzá tartozó titkos kulcsának megléte, a tanúsítványt kiállító hitelesítésszolgáltatót (CA) pedig a fiókirodában lévő ügyfélszámítógépeknek megbízhatónak kell tekintetnie. Ezáltal az ügyfél és a kiszolgáló a HTTPS kiszolgálóhitelesítési folyamatban sikeresen vehet részt.
Fontos
A Windows Server 2012 rendszert futtató központigyorsítótár-kiszolgálók esetében nem szükséges a központigyorsítótár-kiszolgáló tanúsítványának és a hozzá tartozó titkos kulcsának megléte.
Az ügyfélszámítógép a központigyorsítótár-kiszolgáló számítógépneve és a központigyorsítótár-kiszolgáló által a BranchCache-adatforgalom követésére használt Transmission Control Protocol (TCP) portszáma szerint van beállítva. A központigyorsítótár-kiszolgáló tanúsítványa ehhez a porthoz kötött. A központigyorsítótár-kiszolgáló számítógépneve lehet teljes tartománynév (FQDN), ha a központigyorsítótár-kiszolgáló egy tartományba tartozó számítógép, vagy lehet a számítógép NetBIOS-neve, ha a központigyorsítótár-kiszolgáló nem tartozik tartományba.
Az ügyfélszámítógép aktívan figyeli a bejövő blokk-kéréseket. A figyeléshez használt port megnevezése az ügyfélnek a központigyorsítótár-kiszolgáló irányába továbbított üzeneteiben szerepel. A központigyorsítótár-kiszolgáló így képes a BranchCache protokollok használatára a szegmensben lévő adatblokkok lekérdezésekor az ügyfélszámítógéphez történő csatlakozás során.
Az inicializált központigyorsítótár-kiszolgáló elkezdi figyelni a bejövő HTTP-kérelmeket.
Ha a központigyorsítótár-kiszolgáló úgy van beállítva, hogy az ügyfélszámítógép hitelesítése szükséges, akkor az ügyfélnek és a központigyorsítótár-kiszolgálónak is támogatnia kell a HTTPS-hitelesítést.
A gyorsítótár feltöltése központi gyorsítótáras üzemmódban
A központigyorsítótár kiszolgáló gyorsítótárához való tartalom-hozzáadás folyamata a fiókirodában azzal indul, hogy az ügyfél INITIAL_OFFER_MESSAGE üzenetet küld, amely tartalmazza a szegmens azonosítóját. Az INITIAL_OFFER_MESSAGE kérésben található szegmensazonosító a megfelelő szegmens adatkivonatának, a blokk-kivonatok listájának, valamint a központigyorsítótár-kiszolgáló blokkgyorsítótárából történő szegmenstitok lekérdezéséhez használatos. Ha a központigyorsítótár-kiszolgáló már rendelkezik az adott szegmens valamennyi tartalominformációjával, az INITIAL_OFFER_MESSAGE üzenetre adott válasz OK lesz, és nem történik a blokkok letöltésére irányuló kérelem.
Ha a központigyorsítótár-kiszolgáló nem rendelkezik a szegmensben lévő blokk-kivonatokkal társított összes felajánlott adatblokkal, az INITIAL_OFFER_MESSAGE üzenetre adott válasz INTERESTED. Az ügyfél ezután elküldi a SEGMENT_INFO_MESSAGE üzenetet, amely tájékoztat az egyetlen felajánlott szegmensről. A központigyorsítótár-kiszolgáló egy OK üzenettel válaszol, és kezdeményezi a hiányzó blokkok letöltését a felajánló ügyfélszámítógépről.
A szegmens adatkivonatának, a blokk-kivonatok listájának és a szegmens titkának használatával van biztosítva, hogy a letöltött tartalom nem lett illetéktelenül vagy másképp módosítva. A letöltött blokkok ezután hozzáadódnak a ///központigyorsítótár-kiszolgáló blokk-gyorsítótárához.
Gyorsítótár-biztonság
Ez a szakasz tájékoztatást nyújt arról, hogy a BranchCache hogyan biztosítja a gyorsítótárazott adatokat az ügyfélszámítógépeken és a központigyorsítótár-kiszolgálókon.
Ügyfélszámítógép gyorsítótár-biztonsága
A legnagyobb veszélyt a BranchCache által tárolt adatokra az illetéktelen módosítások jelentik. Ha egy támadó képes illetéktelenül módosítani a gyorsítótárban tárolt tartalmakat és tartalominformációkat, akkor ezt követően ennek alkalmazásával lehetséges támadást indítani a BranchCache-t használó számítógépek ellen. Támadás úgy indítható, hogy a támadó rosszindulatú szoftvereket illeszt be más adatok helyett. A BranchCache azzal csökkenti az ilyen veszélyek kockázatát, hogy a tartalominformációk között található blokk-kivonatok használatával érvényesíti a tartalmakat. Ha egy támadó megpróbálja illetéktelenül módosítani ezeket az adatokat, a rendszer elveti és az eredeti forrásból származó érvényes adatokra cseréli azokat.
Másodlagos veszélyt jelent a BranchCache által tárolt adatokra az információk felfedése. Elosztott gyorsítótáras üzemmódban az ügyfél kizárólag azokat a tartalmakat gyorsítótárazza, amelyeket maga igényelt, azonban az ilyen adatok egyszerű szövegként vannak tárolva, és veszélynek lehetnek kitéve. Hogy a gyorsítótár-hozzáférés jobban korlátozható legyen kizárólag a BranchCache szolgáltatásra, a helyi gyorsítótárat a hozzáférés-vezérlési listában meghatározott, a fájlrendszerre vonatkozó engedélyek védik. Bár a hozzáférés-vezérlési lista hatékonyan akadályozza meg, hogy jogosulatlan felhasználók hozzáférjenek a gyorsítótárhoz, továbbra is fennáll a lehetőség, hogy a rendszergazdai jogosultságokkal rendelkező felhasználók a hozzáférés-vezérlési listában meghatározott engedélyek manuális módosításával hozzáférjenek a gyorsítótárhoz. A BranchCache nem véd a rendszergazdai fiókokkal való rosszindulatú visszaélések ellen.
A tartalom-gyorsítótárban tárolt adatok nem titkosítottak, így ha fennáll az adatszivárgás veszélye, alkalmazzon olyan titkosítási technológiákat, mint például a BitLocker vagy a titkosított fájlrendszer (EFS). A BranchCache által használt helyi gyorsítótár nem növeli az információfelfedés veszélyét a fiókirodában lévő számítógépek esetében – a gyorsítótár csak olyan fájlok másolatait tartalmazza, amelyek a lemezen máshol titkosítatlanul megtalálhatóak. A teljes lemez titkosítása különösen fontos az olyan környezetekben, ahol az ügyfelek fizikai biztonságát nehéz biztosítani. A teljes lemez titkosítása például segít biztosítani az olyan hordozható számítógépeken lévő érzékeny adatokat, amelyek esetleg elhagyják a fiókiroda környezetét.
A központigyorsítótár-kiszolgáló gyorsítótár-biztonsága
Központi gyorsítótár üzemmódban a központigyorsítótár-kiszolgáló biztonságára az információfelfedés jelenti a legnagyobb veszélyt. A BranchCache a központi gyorsítótáras környezetekben az elosztott gyorsítótáras üzemmódhoz hasonlóan viselkedik, és a gyorsítótárazott adatok védelmét a fájlrendszerre vonatkozó engedélyekkel biztosítja. A különbség, hogy a központigyorsítótár-kiszolgáló az összes olyan tartalmat tárolja, amelyet a fiókirodában lévő bármely, a BranchCache szolgáltatást használó számítógép igényel, és nem csupán azokat az adatokat, amelyeket egyetlen ügyfél igényel. Az ebbe a gyorsítótárba való jogosulatlan behatolás következményei sokkal súlyosabbak lehetnek, mivel itt sokkal több adat van veszélyben.
Azokban a központi gyorsítótáras környezetekben, ahol a központigyorsítótár-kiszolgáló a Windows Server 2008 R2 rendszert futtatja, titkosítási technológiák, például a BitLocker vagy az EFS használata javasolt, ha a fiókirodában lévő ügyfelek bármelyike hozzáférhet bizalmas adatokhoz nagykiterjedésű hálózati kapcsolaton keresztül. Szükséges továbbá a központi gyorsítótárhoz való fizikai hozzáférést is megakadályozni, mivel ha a támadó fizikai hozzáféréssel rendelkezik, az adatok titkosítása csak akkor működik, amikor a számítógép ki van kapcsolva. Ha a számítógép be van kapcsolva vagy alvó állapotban van, a lemez titkosítása nem sok védelmet nyújt.
Megjegyzés
A Windows Server 2012 rendszert futtató központigyorsítótár-kiszolgálók alapértelmezés szerint a gyorsítótárban lévő összes adatot titkosítják, így további titkosítási technológiák alkalmazása nem szükséges.
Még ha egy ügyfél központi gyorsítótár üzemmódban van is konfigurálva, az adatokat továbbra is helyben gyorsítótárazza, így érdemes lehet lépéseket tenni a központigyorsítótár-kiszolgálón lévő gyorsítótáron kívül a helyi gyorsítótár védelmére is.