Partage via

Utiliser BitLocker avec des volumes partagés de cluster (CSV)

  • Article

S’applique à : Azure Stack HCI, version 21H2 ; Windows Server 2022

Présentation de BitLocker

Le chiffrement de lecteur BitLocker est une fonctionnalité de protection des données qui s’intègre au système d’exploitation et répond aux menaces de vol de données ou d’exposition à partir d’ordinateurs perdus, volés ou mis hors service de manière inadéquate.

BitLocker offre une protection optimale lorsqu’il est utilisé avec un module de plateforme sécurisée (TPM) version 1.2 ou ultérieure. Le module TPM est un composant matériel installé dans de nombreux ordinateurs récents par les fabricants d'ordinateurs. Il fonctionne conjointement avec BitLocker pour protéger les données de l’utilisateur et garantir qu’un ordinateur n’a pas été falsifié pendant que le système était hors connexion.

Sur les ordinateurs non dotés d’un module TPM 1.2 ou version ultérieure, vous pouvez toujours utiliser BitLocker pour chiffrer le lecteur du système d’exploitation Windows. Toutefois, avec cette implémentation, l’utilisateur a besoin d’une clé de démarrage USB pour pouvoir démarrer l’ordinateur ou le sortir de la mise en veille prolongée. À partir de Windows 8, vous pouvez définir un mot de passe sur le volume hébergeant le système d'exploitation afin de protéger ce volume sur un ordinateur où le volume TPM n'est pas installé. Aucune de ces options ne permet de vérifier l’intégrité du système avant le démarrage, contrairement à BitLocker utilisé avec un module TPM.

Outre le module TPM, BitLocker vous donne la possibilité de verrouiller le processus de démarrage normal jusqu’à ce que l’utilisateur décline son code confidentiel ou insère un périphérique amovible. Ce périphérique peut être une clé USB contenant une clé de démarrage. Ces mesures de sécurité supplémentaires fournissent une authentification multifacteur et garantissent que l'ordinateur ne démarrera pas ou ne sortira pas de la mise en veille tant que le bon code confidentiel ou la bonne clé de démarrage ne sera pas présenté.

Présentation des volumes partagés de cluster (CSV)

Les volumes partagés de cluster (CSV) permettent à plusieurs nœuds d'un cluster de basculement Windows Server ou Azure Stack HCI de bénéficier simultanément d'un accès en lecture-écriture au même numéro d’unité logique (LUN), ou disque, qui est approvisionné en tant que volume NTFS. Le disque peut être approvisionné en tant que volume ReFS (Resilient File System). Toutefois, le lecteur CSV sera en mode Redirigé, ce qui signifie que l’accès en écriture sera envoyé au nœud coordinateur. Avec les volumes CSV, les rôles en cluster peuvent basculer rapidement d'un nœud vers un autre sans qu'il soit nécessaire de modifier la propriété du lecteur, ni de démonter et remonter un volume. Les volumes partagés de cluster peuvent aussi contribuer à simplifier la gestion d'un nombre potentiellement important de numéros d'unités logiques dans un cluster de basculement.

Ils fournissent un système de fichiers en cluster à usage général, qui se trouve dans une couche située au-dessus de NTFS ou ReFS. Voici quelques exemples d'applications pour les volumes partagés de cluster :

  • Fichiers de disque dur virtuel (VHD/VHDX) en cluster pour les machines virtuelles Hyper-V en cluster
  • Effectuez un scale-out des partages de fichiers pour stocker les données d'application relatives au rôle en cluster Serveur de fichiers avec montée en puissance parallèle. Les données d'application dans le cadre de ce rôle peuvent consister notamment dans des fichiers d'ordinateur virtuel Hyper-V ou des données Microsoft SQL Server. ReFS n'est pas pris en charge pour un serveur de fichiers avec montée en puissance parallèle dans Windows Server 2012 R2 et versions antérieures. Pour plus d'informations sur les serveurs de fichiers avec montée en puissance parallèle, consultez Vue d'ensemble d'un serveur de fichiers avec montée en puissance parallèle pour les données d'application.
  • Instance de cluster de basculement (FCI) Microsoft SQL Server 2014 (ou version ultérieure) - La charge de travail en cluster Microsoft SQL Server dans SQL Server 2012 et versions antérieures ne prend pas en charge l'utilisation de CSV.
  • MSDTC (Microsoft Distributed Transaction Coordinator) Windows Server 2019 ou version ultérieure

Utiliser BitLocker avec des volumes partagés de cluster

BitLocker sur les volumes au sein d'un cluster est géré en fonction de la façon dont le service de cluster « visualise » le volume à protéger. Le volume peut être une ressource disque physique telle qu’un numéro d’unité logique (LUN) sur un réseau de zone de stockage (SAN) ou un stockage NAS (Network Attached Storage).

Le volume peut également être un volume partagé de cluster (CSV) au sein du cluster. Lorsque vous utilisez BitLocker avec des volumes désignés pour un cluster, le volume peut être activé avec BitLocker avant son ajout au cluster ou lorsqu'il se trouve dans le cluster. Mettez la ressource en mode de maintenance avant d'activer BitLocker.

Windows PowerShell ou l’interface de ligne de commande Manage-BDE est la méthode privilégiée pour gérer BitLocker sur les volumes CSV. Cette méthode est recommandée par rapport à l’élément Panneau de configuration de BitLocker, car les volumes CSV sont des points de montage. Les points de montage représentent un objet NTFS qui est utilisé pour fournir un point d’entrée vers d’autres volumes. Les points de montage ne nécessitent pas l’utilisation d’une lettre de lecteur. Les volumes qui n’ont pas de lettres de lecteur n’apparaissent pas dans l’élément Panneau de configuration de BitLocker.

BitLocker déverrouillera les volumes protégés sans intervention de l’utilisateur en essayant les protecteurs dans l’ordre suivant :

  1. Clé en clair

  2. Clé de déverrouillage automatique basée sur le pilote

  3. Protecteur ADAccountOrGroup

    1. Protecteur de contexte de service

    2. Protecteur utilisateur

  4. Clé de déverrouillage automatique basée sur le registre

Le cluster de basculement nécessite l’option de protection basée sur Active Directory pour la ressource disque de cluster. Sinon, les ressources CSV ne sont pas disponibles dans l’élément Panneau de configuration.

Un protecteur Active Directory Domain Services (AD DS) pour la protection des volumes en cluster contenus dans votre infrastructure AD DS. Le protecteur ADAccountOrGroup est un protecteur basé sur l'identificateur de sécurité (SID) du domaine qui peut être lié à un compte d’utilisateur, à un compte d’ordinateur ou à un groupe. Lorsqu'une demande de déverrouillage est effectuée pour un volume protégé, le service BitLocker interrompt la demande et utilise les API de protection/déprotection BitLocker pour déverrouiller ou refuser cette demande.

Nouvelle fonctionnalité

Dans les versions précédentes de Windows Server et Azure Stack HCI, le seul protecteur de chiffrement pris en charge est le protecteur basé sur le SID, où le compte utilisé est le CNO (Cluster Name Object) créé dans Active Directory dans le cadre de la création du clustering de basculement. Il s’agit d’une conception sécurisée, car le protecteur est stocké dans Active Directory et protégé par le mot de passe CNO. En outre, il facilite l’approvisionnement et le déverrouillage des volumes, car chaque nœud du cluster de basculement a accès au compte CNO.

L'inconvénient est triple :

  • Cette méthode ne fonctionne évidemment pas lorsqu’un cluster de basculement est créé sans aucun accès à un contrôleur Active Directory dans le centre de données.

  • Le déverrouillage du volume, dans le cadre du basculement, peut prendre trop de temps (et éventuellement s'interrompre) si le contrôleur Active Directory ne répond pas ou est lent.

  • Le processus de mise en ligne du lecteur échoue si aucun contrôleur Active Directory n'est disponible.

Une nouvelle fonctionnalité a été ajoutée pour que le clustering de basculement génère et gère son propre protecteur de clé BitLocker pour un volume. Elle sera chiffrée et enregistrée dans la base de données de cluster locale. Étant donné que la base de données de cluster est un magasin répliqué qui dépend du volume système de chaque nœud du cluster, le volume système de chaque nœud du cluster doit également être protégé par BitLocker. Le clustering de basculement ne l’applique pas, car il se peut que certaines solutions n’aient pas besoin de chiffrer le volume système. Si le lecteur système n’est pas protégé par BitLocker, le cluster de basculement le signale comme un événement d’avertissement pendant le processus de mise en ligne et le déverrouillage. Le processus de validation du cluster de basculement génère un message s'il détecte qu'il s'agit d'une configuration sans Active Directory ou d'un groupe de travail et que le volume système n'est pas chiffré.

Installation du chiffrement BitLocker

BitLocker est une fonctionnalité qui doit être ajoutée à tous les nœuds du cluster.

Ajout de BitLocker à l’aide du Gestionnaire de serveur

  1. Ouvrez le Gestionnaire de serveur en sélectionnant l’icône de Gestionnaire de serveur ou en exécutant servermanager.exe.

  2. Sélectionnez Gérer sur la barre de navigation du Gestionnaire de serveur, puis choisissez Ajouter des rôles et des fonctionnalités pour démarrer l'Assistant Ajout de rôles et de fonctionnalités.

  3. Une fois l'Assistant Ajout de rôles et de fonctionnalités ouvert, sélectionnez Suivant dans le volet Avant de commencer (s'il est affiché).

  4. Sélectionnez Installation basée sur un rôle ou une fonctionnalité dans le volet Type d'installation de l'Assistant Ajout de rôles et de fonctionnalités, puis sélectionnez Suivant pour continuer.

  5. Sélectionnez Sélectionner un serveur dans le pool de serveursdans le volet Sélection du serveur, puis confirmez le serveur à utiliser pour l'installation de la fonctionnalité BitLocker.

  6. Sélectionnez Suivant dans le volet Rôles de serveur de l'Assistant Ajout de rôles et de fonctionnalités pour passer au volet Fonctionnalités.

  7. Cochez la case située en regard de Chiffrement de lecteur BitLocker dans le volet Fonctionnalités de l'Assistant Ajout de rôles et de fonctionnalités. L’Assistant affiche les fonctionnalités de gestion supplémentaires disponibles pour BitLocker. Si vous ne souhaitez pas installer ces fonctionnalités, désactivez l'option Inclure les outils de gestion et sélectionnez Ajouter des fonctionnalités. Une fois la sélection des fonctionnalités facultatives terminée, sélectionnez Suivant pour continuer.

    Remarque

    La fonctionnalité Stockage étendu est requise pour l’activation de BitLocker. Cette fonction permet de prendre en charge les disques durs chiffrés sur les systèmes compatibles.

  8. Sélectionnez Installer dans le volet Confirmation de l'Assistant Ajout de rôles et de fonctionnalités pour lancer l'installation de la fonctionnalité BitLocker. Un redémarrage est nécessaire pour finaliser l'installation de la fonctionnalité BitLocker. La sélection de l'option Redémarrer automatiquement le serveur de destination, si nécessaire dans le volet Confirmation forcera le redémarrage de l'ordinateur une fois l'installation terminée.

  9. Si la case Redémarrer automatiquement le serveur de destination, si nécessaire est décochée, le volet Résultats de l'Assistant Ajout de rôles et de fonctionnalités indique si l'installation de la fonctionnalité BitLocker est un succès ou un échec. Si nécessaire, une notification indiquant qu'une action supplémentaire est nécessaire pour finaliser l'installation de la fonctionnalité, comme le redémarrage de l'ordinateur, apparaît dans le texte des résultats.

Ajouter BitLocker à l’aide de PowerShell

Utilisez la commande suivante pour chaque serveur :

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Pour exécuter la commande sur tous les serveurs du cluster en même temps, utilisez le script suivant, en modifiant la liste des variables au début pour les adapter à votre environnement :

Renseignez ces variables avec vos valeurs.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

Cette partie exécute la cmdlet Install-WindowsFeature sur tous les serveurs de $ServerList, en transmettant la liste des fonctionnalités dans $FeatureList.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Ensuite, redémarrez tous les serveurs :

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

Plusieurs rôles et fonctionnalités peuvent être ajoutés en même temps. Par exemple, pour ajouter BitLocker, le clustering de basculement et le rôle Serveur de fichiers, la liste $FeatureList doit inclure tous les fichiers nécessaires séparés par une virgule. Par exemple :

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", "Failover-Clustering", "FS-FileServer"

Approvisionner un volume chiffré

L'approvisionnement d'un lecteur avec le chiffrement BitLocker peut être effectué soit lorsque le lecteur fait partie du cluster de basculement, soit en dehors, avant de l'ajouter. Pour créer automatiquement le protecteur de clé externe, le lecteur doit être une ressource dans le cluster de basculement avant d'activer BitLocker. Si BitLocker est activé avant l'ajout du lecteur au cluster de basculement, des étapes manuelles supplémentaires doivent être suivies pour créer le protecteur de clé externe.

Pour l'approvisionnement des volumes chiffrés, les commandes PowerShell doivent être exécutées avec des privilèges administratifs. Il existe deux options pour chiffrer les lecteurs et faire en sorte que le clustering de basculement puisse créer et utiliser ses propres clés BitLocker.

  • Clé de récupération interne

  • Fichier de clé de récupération externe

Chiffrer à l’aide d’une clé de récupération

Le chiffrement des lecteurs à l’aide d’une clé de récupération permet de créer une clé de récupération BitLocker et de l’ajouter dans la base de données de cluster. Lorsque le lecteur est en ligne, il doit uniquement consulter la ruche de clusters locale pour accéder à la clé de récupération.

Déplacez la ressource disque vers le nœud où le chiffrement BitLocker sera activé :

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Mettez la ressource disque en mode de maintenance :

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

Une boîte de dialogue contenant le message suivant s’affiche :

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 1'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Pour continuer, appuyez sur Oui.

Pour activer le chiffrement BitLocker, exécutez :

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

Une fois la commande entrée, un avertissement contenant un mot de passe de récupération numérique s'affiche. Enregistrez le mot de passe dans un emplacement sécurisé car vous en aurez encore besoin lors d'une prochaine étape. L’avertissement se présente comme suit :


WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

Pour obtenir les informations relatives aux protecteurs BitLocker du volume, vous pouvez exécuter la commande suivante :

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

L’ID du protecteur de clé et le mot de passe de récupération s’affichent.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

L’ID du protecteur de clé et le mot de passe de récupération seront requis et enregistrés dans une nouvelle propriété privée du disque physique appelée BitLockerProtectorInfo. Cette nouvelle propriété sera utilisée lorsque la ressource sortira du mode de maintenance. Le format du protecteur est une chaîne où l’ID du protecteur et le mot de passe sont séparés par le signe « : ».

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

Pour vérifier que la clé et la valeur de BitlockerProtectorInfo sont définies, exécutez la commande suivante :

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Maintenant que les informations sont présentes, le disque peut être sorti du mode de maintenance une fois le processus de chiffrement terminé.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

La mise en ligne de la ressource peut échouer en cas de problème de stockage, de mot de passe de récupération incorrect ou autre problème. Vérifiez que la clé BitlockerProtectorInfo contient les informations appropriées. Si ce n’est pas le cas, les commandes fournies précédemment doivent être réexécutées. Si le problème n’est pas lié à cette clé, nous vous recommandons de contacter le groupe approprié au sein de votre organisation ou le fournisseur de stockage pour y remédier.

Si la ressource est mise en ligne, cela signifie que les informations sont correctes. Pendant le processus de sortie du mode de maintenance, la clé BitlockerProtectorInfo est supprimée et chiffrée sous la ressource dans la base de données de cluster.

Chiffrement à l’aide d’un fichier de clé de récupération externe

Le chiffrement des lecteurs à l’aide d’un fichier de clé de récupération permet de créer une clé de récupération BitLocker et d’y accéder à partir d’un emplacement auquel tous les nœuds ont accès, comme un serveur de fichiers. Au moment où le lecteur est en ligne, le nœud propriétaire se connecte à la clé de récupération.

Déplacez la ressource disque vers le nœud où le chiffrement BitLocker sera activé :

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Mettez la ressource disque en mode de maintenance :

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

Une boîte de dialogue s’affiche.

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 2'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Pour continuer, appuyez sur Oui.

Pour activer le chiffrement BitLocker et créer le fichier de protection de clé localement, exécutez la commande suivante. Il est recommandé de créer d’abord le fichier localement, puis de le déplacer vers un emplacement accessible à tous les nœuds.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

Pour obtenir les informations relatives aux protecteurs BitLocker du volume, vous pouvez exécuter la commande suivante :

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

Cela affiche à la fois l'ID du protecteur de clé et le nom du fichier de clé qu'il crée.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

À première vue, lorsque vous accéderez au dossier dans lequel il a été spécifié de le créer, vous ne le verrez pas. Il sera créé en tant que fichier caché. Par exemple :

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Comme le fichier est créé localement, il doit être copié à un emplacement réseau à l’aide de la commande Copy-Item pour que tous les nœuds y aient accès.

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Étant donné que le lecteur utilisera un fichier et qu'il se trouve sur un partage réseau, sortez le lecteur du mode de maintenance en spécifiant le chemin d'accès au fichier. Une fois que le lecteur a terminé le chiffrement, la commande de reprise est la suivante :

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Une fois le lecteur approvisionné, le fichier *.BEK peut être supprimé du partage car il n’est plus nécessaire.

Nouvelles applets de commande PowerShell

Avec cette nouvelle fonctionnalité, deux nouvelles cmdlets ont été créées pour mettre la ressource en ligne ou pour reprendre la ressource manuellement à l'aide de la clé de récupération ou du fichier de clé de récupération.

Start-ClusterPhysicalDiskResource

Exemple 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Exemple 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

Exemple 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Exemple 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Nouveaux événements

Plusieurs nouveaux événements ont été ajoutés dans le canal d'événements Microsoft-Windows-FailoverClustering/Operational.

Lorsqu'il réussit à créer le protecteur de clé ou le fichier de protection de clé, l'événement affiché est semblable au suivant :

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

Si la création du protecteur de clé ou du fichier de protection de clé échoue, l'événement affiché est semblable au suivant :

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Comme mentionné précédemment, étant donné que la base de données de cluster est un magasin répliqué qui dépend du volume système de chaque nœud du cluster, le volume système de chaque nœud du cluster doit être protégé par BitLocker. Le clustering de basculement ne l’applique pas, car il se peut que certaines solutions n’aient pas besoin de chiffrer le volume système. Si le lecteur système n’est pas sécurisé par BitLocker, le cluster de basculement le signale comme un événement pendant le processus de déverrouillage/mise en ligne. L’événement affiché est semblable au suivant :

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

Le processus de validation du cluster de basculement génère un message s'il détecte qu'il s'agit d'une configuration sans Active Directory ou d'un groupe de travail et que le volume système n'est pas chiffré.