Uso de BitLocker con volúmenes compartidos de clúster (CSV)
Se aplica a: Windows Server 2022 y las versiones 22H2 y 21H2 de Azure Stack HCI
Introducción a BitLocker
El cifrado de unidad BitLocker es una característica de protección de datos que se integra con el sistema operativo y resuelve las amenazas de robo o exposición de datos de los equipos perdidos, robados o retirados de forma inapropiada.
BitLocker aumenta el nivel de protección si se usa con la versión 1.2 o posterior del Módulo de plataforma segura (TPM). El TPM es un componente de hardware que los fabricantes instalan en muchos equipos nuevos. Funciona con BitLocker para ayudar a proteger los datos del usuario y garantizar que un equipo no haya sido alterado mientras el sistema estaba sin conexión.
En equipos que no tienen la versión 1.2 o posterior de TPM, puede usar BitLocker para cifrar la unidad del sistema operativo Windows. Sin embargo, esta implementación requiere que el usuario inserte una clave de inicio USB cuando desee iniciar el equipo o reanudarlo tras una hibernación. A partir de Windows 8, puede usar una contraseña de volumen del sistema operativo para proteger el volumen en un equipo sin TPM. Ninguna de estas opciones proporciona la comprobación de integridad del sistema de prearranque que ofrece BitLocker con un TPM.
Además del TPM, BitLocker ofrece la opción de bloquear el proceso de inicio normal hasta que el usuario proporcione un número de identificación personal (PIN) o inserte un dispositivo extraíble. Este dispositivo puede ser una unidad flash USB que contenga una clave de inicio. Estas medidas de seguridad adicionales proporcionan una autenticación multifactor y la garantía de que el equipo no se iniciará ni reanudará de la hibernación hasta que se introduzca la clave de inicio o el PIN correcto.
Introducción a los volúmenes compartidos de clúster
Los volúmenes compartidos de clúster (CSV) permiten que varios nodos de un clúster de conmutación por error de Windows Server o Azure Stack HCI tengan acceso de lectura y escritura de forma simultánea al mismo número de unidad lógica (LUN) o disco que se aprovisiona como un volumen NTFS. El disco se puede aprovisionar como Sistema de archivos resistente (ReFS). Sin embargo, la unidad CSV está en modo redirigido, lo que significa que el acceso de escritura se envía al nodo de coordinación. Con CSV, los roles en clúster pueden conmutar por error rápidamente de un nodo a otro sin necesidad de que cambie la propiedad de la unidad o de que se desmonte y se vuelva a montar un volumen. CSV también puede ayudar a simplificar la administración de una cantidad potencialmente grande de LUN en un clúster de conmutación por error.
CSV proporciona un sistema de archivos en clúster de uso general que se superpone sobre NTFS o ReFS. CSV se puede aplicar en los siguientes casos:
- Archivos de discos duros virtuales en clúster (VHD/VHDX) para máquinas virtuales de Hyper-V en clúster.
- Recursos compartidos de archivos de escalabilidad horizontal que almacenan datos de aplicación para el rol en clúster del Servidor de archivos de escalabilidad horizontal. Son ejemplos de los datos de aplicación para este rol los archivos de máquinas virtuales de Hyper-V y datos de Microsoft SQL Server. ReFS no es compatible con un Servidor de archivos de escalabilidad horizontal en Windows Server 2012 R2 y versiones anteriores. Para obtener más información sobre el Servidor de archivos de escalabilidad horizontal, consulte Servidor de archivos de escalabilidad horizontal para datos de aplicación.
- La instancia de clúster de conmutación por error (FCI) de Microsoft SQL Server 2014 (o versiones posteriores). La carga de trabajo en clúster de Microsoft SQL Server en SQL Server 2012 y versiones anteriores de SQL Server no admite el uso de CSV.
- El Coordinador de transacciones distribuidas (MSDTC) de Microsoft de Windows Server 2019 o versiones posteriores.
Uso de BitLocker con volúmenes compartidos de clúster
BitLocker en volúmenes de un clúster se administra en función del modo en que el servicio de clúster "considera" que debe estar protegido el volumen. El volumen puede ser un recurso de disco físico como, por ejemplo, un número de unidad lógica (LUN) en una red de área de almacenamiento (SAN) o un almacenamiento conectado a la red (NAS).
Como alternativa, el volumen puede ser un volumen compartido de clúster (CSV) dentro del clúster. Cuando se usa BitLocker con volúmenes designados para un clúster, el volumen se puede habilitar con BitLocker antes de añadirlo al clúster o cuando se encuentra en este. Establezca el recurso en modo de mantenimiento antes de habilitar BitLocker.
El método preferido para administrar BitLocker en volúmenes CSV es Windows PowerShell o la interfaz de línea de comandos Manage-BDE. Este método se recomienda en lugar del elemento Panel de control de BitLocker, porque los volúmenes CSV son puntos de montaje. Los puntos de montaje son un objeto NTFS que se usa para proporcionar un punto de entrada a otros volúmenes. Los puntos de montaje no requieren el uso de una letra de unidad. Los volúmenes que carecen de letras de unidad no aparecen en el elemento Panel de control de BitLocker.
BitLocker desbloquea los volúmenes protegidos sin intervención del usuario, para lo que se intenta usar los protectores en el siguiente orden:
Clave sin cifrado
Clave de desbloqueo automático basada en controladores
Protector ADAccountOrGroup
Protector de contexto de servicio
Protector de usuario
Clave de desbloqueo automático basada en controladores
El clúster de conmutación por error requiere la opción del protector basado en Active Directory para el recurso de disco del clúster. De lo contrario, los recursos CSV no están disponibles en el elemento Panel de control.
Un protector de Active Directory Domain Services (AD DS) para proteger los volúmenes en clúster que se mantienen dentro de la infraestructura de AD DS. El protector ADAccountOrGroup se basa en identificadores de seguridad (SID) de dominio que se puede enlazar a una cuenta de usuario, cuenta de equipo o grupo. Cuando se realiza una solicitud de desbloqueo de un volumen protegido, el servicio de BitLocker interrumpe la solicitud y usa las API de protección/desprotección de BitLocker para desbloquear o denegar la solicitud.
Nueva funcionalidad
En versiones anteriores de Windows Server y Azure Stack HCI, el único protector de cifrado admitido es el protector basado en SID, donde la cuenta que se usa es el objeto de nombre de clúster (CNO) que se crea en Active Directory como parte de la creación de los clústeres de conmutación por error. Se trata de un diseño seguro porque el protector se almacena en Active Directory y se protege mediante la contraseña de CNO. Además, facilita el aprovisionamiento y desbloqueo de volúmenes, porque cada nodo de clúster de conmutación por error tiene acceso a la cuenta de CNO.
Esto tiene un triple inconveniente:
Obviamente, este método no funciona cuando se crea un clúster de conmutación por error sin acceso a un controlador de Active Directory en el centro de datos.
El desbloqueo del volumen, como parte de la conmutación por error, puede tardar demasiado tiempo (y posiblemente agotar el tiempo de espera) si el controlador de Active Directory no responde o es lento.
Se produce un error en el proceso en línea de la unidad si un controlador de Active Directory no está disponible.
Se ha agregado una nueva funcionalidad para que los clústeres de conmutación por error generen y mantengan su propio protector de claves de BitLocker para un volumen. Se cifrará y guardará en la base de datos del clúster local. Puesto que la base de datos del clúster es un almacén replicado respaldado por el volumen del sistema en cada nodo del clúster, el volumen del sistema de cada nodo del clúster también debe estar protegido por BitLocker. Los clústeres de conmutación por error no lo aplican, ya que es posible que algunas soluciones no quieran o no necesiten cifrar el volumen del sistema. Si la unidad del sistema no está protegida por BitLocker, el clúster de conmutación por error lo marca como un evento de advertencia durante el proceso en línea y de desbloqueo. La validación del clúster de conmutación por error registra un mensaje si detecta que se trata de una configuración sin Active Directory o de grupo de trabajo y el volumen del sistema no está cifrado.
Instalación del cifrado de BitLocker
BitLocker es una característica que se debe agregar a todos los nodos del clúster.
Adición de BitLocker mediante el Administrador del servidor
Para abrir el Administrador del servidor, seleccione el icono del Administrador del servidor o ejecute servermanager.exe.
Seleccione Administrar en la barra de navegación del Administrador del servidor y seleccione Agregar roles y características para iniciar el Asistente para agregar roles y características.
Con el Asistente para agregar roles y características abierto, selecciona Siguiente en el panel Antes de comenzar (si se muestra).
Selecciona instalación basada en rol o característica en el panel Tipo de instalación del panel Asistente para agregar roles y características y selecciona Siguiente para continuar.
Seleccione la opción Seleccionar un servidor del grupo de servidores en el panel Selección de servidor y confirme el servidor para la instalación de la característica de BitLocker.
Selecciona Siguiente en el panel Roles de servidor del asistente para agregar roles y características para ir al panel Características .
Seleccione la casilla junto a Cifrado BitLocker de unidades en el panel Características del asistente Agregar roles y características. El asistente mostrará las características de administración adicionales disponibles para BitLocker. Si no desea instalar estas características, anule la selección de la opción Incluir herramientas de administración y seleccione Agregar características. Una vez completada la selección de características opcionales, seleccione Siguiente para continuar.
Nota
La característica Almacenamiento mejorado es una característica necesaria para habilitar BitLocker. Esta característica permite la compatibilidad con unidades de disco duro cifradas en sistemas compatibles.
Selecciona Instalar en el panel Confirmación del Asistente para agregar roles y características para comenzar la instalación de la característica de BitLocker. La característica de BitLocker requiere un reinicio para su finalización. Al seleccionar la opción Reiniciar automáticamente el servidor de destino en caso necesario en el panel Confirmación se forzará el reinicio del equipo una vez completada la instalación.
Si la casilla Reiniciar automáticamente el servidor de destino en caso necesario no está seleccionada, el panel Resultados del Asistente para agregar roles y características mostrará si la instalación de la característica de BitLocker se ha realizado correctamente o con errores. Si es necesario, se mostrará una notificación de acción adicional necesaria para completar la instalación de la característica, como el reinicio del equipo, en el texto de resultados.
Adición de BitLocker mediante PowerShell
Use el siguiente comando para cada servidor:
Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools
Para ejecutar el comando en todos los servidores del clúster al mismo tiempo, use el siguiente script y modifique la lista de variables al principio para que se adapte a su entorno:
Rellene estas variables con sus valores.
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker"
Esta parte ejecuta el cmdlet Install-WindowsFeature en todos los servidores de $ServerList y pasa la lista de características en $FeatureList.
Invoke-Command ($ServerList) {
Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools
}
A continuación, reinicie todos los servidores:
$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos
Se pueden agregar varios roles y características al mismo tiempo. Por ejemplo, para agregar BitLocker, los clústeres de conmutación por error y el rol del servidor de archivos, $FeatureList incluirá todos los valores necesarios separados por una coma. Por ejemplo:
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”
Aprovisionamiento de un volumen cifrado
El aprovisionamiento de una unidad con cifrado de BitLocker se puede realizar cuando la unidad forma parte del clúster de conmutación por error o fuera, antes de agregarla. Para crear automáticamente el protector de claves externas, la unidad debe ser un recurso en el clúster de conmutación por error antes de habilitar BitLocker. Si BitLocker está habilitado antes de agregar la unidad al clúster de conmutación por error, deben realizarse pasos manuales adicionales para crear el protector de claves externas.
El aprovisionamiento de volúmenes cifrados requerirá que los comandos de PowerShell se ejecuten con privilegios administrativos. Hay dos opciones para cifrar las unidades y hacer que los clústeres de conmutación por error puedan crear y usar sus propias claves de BitLocker.
Clave de recuperación interna
Archivo de clave de recuperación externa
Cifrado mediante una clave de recuperación
El cifrado de las unidades mediante una clave de recuperación permitirá crear una clave de recuperación de BitLocker y agregarla a la base de datos del clúster. Cuando se conecte la unidad, solo necesitará consultar el subárbol del clúster local para obtener la clave de recuperación.
Mueva el recurso de disco al nodo donde se habilitará el cifrado de BitLocker:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1
Establezca el recurso de disco en modo de mantenimiento:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource
Aparecerá un cuadro de diálogo que indica lo siguiente:
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Para continuar, seleccione Sí.
Para habilitar el cifrado de BitLocker, ejecute el siguiente comando:
Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector
Una vez que escribe el comando, aparece una advertencia que proporciona una contraseña de recuperación numérica. Guarde la contraseña en una ubicación segura, ya que también se necesita para un paso que dará en el futuro. La advertencia es como esta:
WARNING: ACTIONS REQUIRED:
1. Save this numerical recovery password in a secure location away from your computer:
271733-258533-688985-480293-713394-034012-061963-682044
To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.
Para obtener la información del protector de BitLocker para el volumen, se puede ejecutar el siguiente comando:
(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector
De esta forma, se mostrará el id. del protector de claves y la cadena de la contraseña de recuperación.
KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :
El id. del protector de claves y la contraseña de recuperación se necesitarán y se guardarán en una nueva propiedad privada del disco físico denominada BitLockerProtectorInfo. Esta nueva propiedad se usará cuando el recurso salga del modo de mantenimiento. El formato del protector será una cadena donde el id. del protector y la contraseña están separados por ":".
Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create
Para comprobar que se han establecido la clave y el valor de BitlockerProtectorInfo, ejecute este comando:
Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo
Ahora que la información está presente, el disco se puede sacar del modo de mantenimiento una vez completado el proceso de cifrado.
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource
Si el recurso no se puede conectar, puede tratarse de un problema de almacenamiento, una contraseña de recuperación incorrecta o algún otro problema. Compruebe si la clave de BitlockerProtectorInfo tiene la información adecuada. Si no es así, deben volver a ejecutarse los comandos anteriores. Si el problema no está en la clave, se recomienda ponerse en contacto con el grupo adecuado de su organización o el proveedor de almacenamiento para resolverlo.
Si el recurso se conecta, la información es correcta. Durante el proceso de salir del modo de mantenimiento, la clave de BitlockerProtectorInfo se quita y se cifra en el recurso de la base de datos del clúster.
Cifrado mediante el archivo de clave de recuperación externa
El cifrado de las unidades mediante un archivo de clave de recuperación permitirá crear una clave de recuperación de BitLocker y acceder a esta desde una ubicación a la que todos los nodos tengan acceso, como un servidor de archivos. Cuando se conecte la unidad, el nodo propietario se conectará a la clave de recuperación.
Mueva el recurso de disco al nodo donde se habilitará el cifrado de BitLocker:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2
Establezca el recurso de disco en modo de mantenimiento:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource
Aparece un cuadro de diálogo
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Para continuar, seleccione Sí.
Para habilitar el cifrado de BitLocker y crear el archivo del protector de claves en un entorno local, ejecute el siguiente comando. Primero se recomienda crear el archivo en un entorno local y, a continuación, moverlo a una ubicación accesible para todos los nodos.
Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster
Para obtener la información del protector de BitLocker para el volumen, se puede ejecutar el siguiente comando:
(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector
De esta forma, se mostrará el id. del protector de claves y el nombre de archivo de la clave que se crea.
KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
Al desplazarse a la carpeta en la que se especificó su creación, no la verá a primera vista. El motivo es que se creará como un archivo oculto. Por ejemplo:
C:\Windows\Cluster\>dir f03
Directory of C:\\Windows\\Cluster
File Not Found
C:\Windows\Cluster\>dir /a f03
Directory of C:\Windows\Cluster
<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
C:\Windows\Cluster\>attrib f03
A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Puesto que se crea en una ruta de acceso local, se debe copiar a una ruta de acceso de red para que todos los nodos tengan acceso a ella mediante el comando Copy-Item.
Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir
Como la unidad va a usar un archivo y se encuentra en un recurso compartido de red, especifique la ruta de acceso del archivo para sacar la unidad del modo de mantenimiento. Una vez completado el cifrado de la unidad, el comando para reanudarla es el siguiente:
Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Una vez aprovisionada la unidad, el archivo *.BEK se puede quitar del recurso compartido y ya no es necesario.
Nuevos cmdlets de PowerShell
Con esta nueva característica, se han creado dos nuevos cmdlets para conectar el recurso o reanudarlo manualmente mediante la clave de recuperación o el archivo de clave de recuperación.
Start-ClusterPhysicalDiskResource
Ejemplo 1
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
Ejemplo 2
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Resume-ClusterPhysicalDiskResource
Ejemplo 1
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
Ejemplo 2
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Nuevos eventos
Hay varios eventos nuevos que se han agregado y que se encuentran en el canal de eventos Microsoft-Windows-FailoverClustering/Operational.
Cuando se crea correctamente el protector de claves o el archivo del protector de claves, el evento mostrado es similar al siguiente:
Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.
Si se produce un error al crear el protector de claves o el archivo del protector de claves, el evento mostrado es similar al siguiente:
Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume
Como se ha mencionado anteriormente, puesto que la base de datos del clúster es un almacén replicado respaldado por el volumen del sistema en cada nodo del clúster, se recomienda que el volumen del sistema de cada nodo del clúster también esté protegido por BitLocker. Los clústeres de conmutación por error no lo aplicarán, ya que es posible que algunas soluciones no quieran o no necesiten cifrar el volumen del sistema. Si BitLocker no protege la unidad del sistema, el clúster de conmutación por error lo marcará como un evento durante el proceso en línea o de desbloqueo. El evento mostrado será similar al siguiente:
Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1
La validación del clúster de conmutación por error registra un mensaje si detecta que se trata de una configuración sin Active Directory o de grupo de trabajo y el volumen del sistema no está cifrado.