Bagikan melalui

Menggunakan BitLocker dengan Cluster Shared Volumes (CSV)

  • Artikel

Berlaku untuk: Azure Stack HCI, versi 21H2; Server Windows 2022

Gambaran umum BitLocker

BitLocker Drive Encryption adalah fitur perlindungan data yang terintegrasi dengan sistem operasi dan mengatasi ancaman pencurian data atau paparan dari komputer yang hilang, dicuri, atau tidak dinonaktifkan.

BitLocker memberikan perlindungan paling banyak saat digunakan dengan Trusted Platform Module (TPM) versi 1.2 atau yang lebih baru. TPM adalah komponen perangkat keras yang diinstal di banyak komputer yang lebih baru oleh produsen komputer. TPM bekerja dengan BitLocker untuk membantu melindungi data pengguna dan untuk memastikan bahwa komputer belum dirusak saat sistem sedang offline.

Pada komputer yang tidak memiliki TPM versi 1.2 atau versi lebih baru, Anda masih dapat menggunakan BitLocker untuk mengenkripsi drive sistem operasi Windows. Namun, implementasi ini akan mengharuskan pengguna memasukkan kunci startup USB untuk memulai komputer atau melanjutkan dari hibernasi. Dimulai dengan Windows 8, Anda dapat menggunakan kata sandi volume sistem operasi guna melindungi volume pada komputer tanpa TPM. Tidak ada opsi yang menyediakan verifikasi integritas sistem pra-startup yang ditawarkan oleh BitLocker dengan TPM.

Selain TPM, BitLocker memberi Anda opsi untuk mengunci proses startup normal sampai pengguna memberikan nomor identifikasi pribadi (PIN) atau menyisipkan perangkat yang dapat dilepas. Perangkat ini bisa berupa USB flash drive, yang berisi kunci startup. Langkah-langkah keamanan tambahan ini memberikan autentikasi multifaktor dan jaminan bahwa komputer tidak akan memulai atau melanjutkan dari hibernasi sampai PIN atau kunci startup yang benar disajikan.

Gambaran umum Cluster Shared Volumes

Cluster Shared Volumes (CSV) memungkinkan beberapa node dalam kluster failover Windows Server atau Azure Stack HCI untuk secara bersamaan memiliki akses baca-tulis ke nomor unit logis yang sama (LUN), atau disk, yang disediakan sebagai volume NTFS. Disk dapat disediakan sebagai Resilient File System (ReFS). Namun, drive CSV akan berada dalam mode pengalihan yang berarti akses tulis akan dikirim ke node koordinator. Dengan CSV, peran dalam kluster dapat melakukan failover dengan cepat dari satu node ke node lainnya tanpa memerlukan perubahan dalam kepemilikan drive, atau melepas dan memasang kembali volume. CSV juga membantu menyederhanakan pengelolaan sejumlah besar LUNs dalam kluster failover.

CSV menyediakan sistem file berkerumun tujuan umum yang berlapis di atas NTFS atau ReFS. Aplikasi meliputi:

  • File hard disk virtual (VHD/VHDX) dalam kluster untuk mesin virtual Hyper-V dalam kluster
  • Perluasan skala berbagi file untuk menyimpan data aplikasi untuk peran dalam kluster Meluaskan Skala Server File. Contoh data aplikasi untuk peran ini termasuk file mesin virtual Hyper-V dan data Microsoft SQL Server. ReFS tidak didukung untuk Perluasan Skala Server File di Windows Server 2012 R2 dan di bawahnya. Untuk informasi selengkapnya tentang Perluasan Skala Server File, lihat Meluaskan Skala Server File untuk Data Aplikasi.
  • Beban kerja dalam kluster Microsoft SQL Server Instans Kluster Failover (FCI) Microsoft SQL Server 2014 (atau lebih tinggi) di SQL Server 2012 dan versi SQL Server yang lebih lama tidak mendukung penggunaan CSV.
  • Windows Server 2019 atau Koordinator Transaksi Terdistribusi Microsoft (MSDTC) yang lebih tinggi

Menggunakan BitLocker dengan Cluster Shared Volumes

BitLocker pada volume dalam kluster dikelola berdasarkan cara layanan kluster "melihat" volume yang akan dilindungi. Volume dapat menjadi sumber daya disk fisik seperti nomor unit logis (LUN) pada jaringan area penyimpanan (SAN) atau penyimpanan yang tersemat jaringan (NAS).

Atau, volumenya bisa berupa Cluster Shared Volume (CSV) di dalam kluster. Saat menggunakan BitLocker dengan volume yang ditujukan untuk kluster, volume dapat diaktifkan dengan BitLocker sebelum penambahannya ke kluster atau saat berada di kluster. Masukkan sumber daya ke mode pemeliharaan sebelum mengaktifkan BitLocker.

Windows PowerShell atau antarmuka baris perintah Manage-BDE adalah metode yang lebih disukai untuk mengelola BitLocker pada volume CSV. Metode ini direkomendasikan di atas item Panel Kontrol BitLocker karena volume CSV adalah titik pemasangan. Titik pemasangan adalah objek NTFS yang digunakan untuk memberikan titik masuk ke volume lain. Titik pemasangan tidak memerlukan penggunaan huruf drive. Volume yang tidak memiliki huruf drive tidak muncul di item Panel Kontrol BitLocker.

BitLocker akan membuka volume yang dilindungi tanpa campur tangan pengguna dengan mencoba pelindung dalam urutan berikut:

  1. Kunci Penghapusan

  2. Kunci buka kunci otomatis berbasis driver

  3. Pelindung ADAccountOrGroup

    1. Pelindung konteks layanan

    2. Pelindung pengguna

  4. Kunci buka kunci otomatis berbasis registri

Kluster Failover memerlukan opsi pelindung berbasis Active Directory untuk sumber daya disk kluster. Jika tidak, sumber daya CSV tidak tersedia di item Panel Kontrol.

Pelindung Active Directory Domain Services (AD DS) untuk melindungi volume dalam kluster yang disimpan dalam infrastruktur AD DS Anda. Pelindung ADAccountOrGroup adalah pelindung berbasis pengenal keamanan domain (SID) yang dapat terikat ke akun pengguna, akun mesin, atau grup. Saat permintaan buka kunci dibuat untuk volume yang dilindungi, layanan BitLocker mengganggu permintaan dan menggunakan API lindungi/jangan lindungi BitLocker untuk membuka kunci atau menolak permintaan.

Fungsionalitas baru

Dalam versi Windows Server sebelumnya dan Azure Stack HCI, satu-satunya pelindung enkripsi yang didukung adalah pelindung berbasis SID yang mana akun yang digunakan adalah Cluster Name Object (CNO) yang dibuat di Active Directory sebagai bagian dari pembuatan Pengklusteran Failover. Ini adalah desain yang aman karena pelindung disimpan di Active Directory dan dilindungi oleh kata sandi CNO. Selain itu, membuat provisi dan membuka kunci volume menjadi mudah karena setiap node Kluster Failover memiliki akses ke akun CNO.

Kelemahannya adalah tiga kali lipat:

  • Metode ini jelas tidak berfungsi ketika Kluster Failover dibuat tanpa akses ke pengontrol Active Directory di pusat data.

  • Buka kunci volume, sebagai bagian dari failover, mungkin memakan waktu terlalu lama (dan mungkin waktu habis) jika pengontrol Active Directory tidak responsif atau lambat.

  • Proses online drive akan gagal jika pengontrol Active Directory tidak tersedia.

Fungsionalitas baru telah ditambahkan bahwa Pengklusteran Failover akan menghasilkan dan memelihara pelindung BitLocker Key sendiri untuk volume. Ini akan dienkripsi dan disimpan dalam database kluster lokal. Karena database kluster adalah replikasi penyimpanan yang didukung oleh volume sistem pada setiap node kluster, volume sistem pada setiap node kluster harus BitLocker dilindungi juga. Pengklusteran Failover Clustering tidak akan memberlakukannya karena beberapa solusi mungkin tidak ingin atau perlu mengenkripsi volume sistem. Jika drive sistem buka Bitlockered, Kluster Failover akan menandai ini sebagai peristiwa peringatan selama proses online dan buka kunci. Validasi Kluster Failover akan mencatat pesan jika mendeteksi bahwa ini adalah pengaturan grup kerja atau tanpa Active Directory dan volume sistem tidak dienkripsi.

Menginstal enkripsi BitLocker

BitLocker adalah fitur yang harus ditambahkan ke semua node Kluster.

Menambahkan BitLocker menggunakan Server Manager

  1. Buka Server Manager dengan memilih ikon Pengelola Server atau menjalankan servermanager.exe.

  2. Pilih Kelola dari bilah Navigasi Pengelola Server dan pilih Tambahkan Peran dan Fitur untuk memulai Panduan Tambahkan Peran dan Fitur.

  3. Dengan membuka Panduan Tambahkan Peran dan Fitur, pilih Berikutnya di panel Sebelum Anda memulai (jika ditampilkan).

  4. Pilih Penginstalan berbasis peran atau berbasis fitur pada panel Tipe penginstalan panel Wizard Tambahkan Peran dan Fitur, lalu pilih Berikutnya untuk melanjutkan.

  5. Pilih opsi Pilih server dari kumpulan server di panel Pemilihan Server dan konfirmasi server untuk penginstalan fitur BitLocker.

  6. Pilih Berikutnya di panel Peran Server dari wizard Tambahkan Peran dan Fitur untuk melanjutkan ke panel Fitur.

  7. Pilih kotak centang di samping Enkripsi Drive BitLocker di dalam panel Fitur wizard Tambahkan Peran dan Fitur. Wizard akan menampilkan fitur manajemen tambahan yang tersedia untuk BitLocker. Jika Anda tidak ingin menginstal fitur ini, batal pilih opsi Sertakan alat manajemen dan pilih Tambahkan Fitur. Setelah pemilihan fitur opsional selesai, pilih Berikutnya untuk melanjutkan.

    Catatan

    Fitur Penyimpanan yang Ditingkatkan adalah fitur yang diperlukan untuk mengaktifkan BitLocker. Fitur ini memungkinkan dukungan untuk Hard Drive Terenkripsi pada sistem yang mampu.

  8. Pilih Instal di panel KonfirmasiWizard Tambahkan Peran dan Fitur untuk memulai penginstalan fitur BitLocker. Fitur BitLocker memerlukan penghidupan ulang untuk menyelesaikannya. Memilih opsi Hidupkan ulang server tujuan secara otomatis jika diperlukan di panel Konfirmasi akan memaksa untuk menghidupkan ulang komputer setelah penginstalan selesai.

  9. Jika kotak centang Hidupkan ulang server tujuan secara otomatis jika diperlukan tidak dipilih, panel HasilWizard Tambahkan Peran dan Fitur akan menampilkan keberhasilan atau kegagalan penginstalan fitur BitLocker. Jika diperlukan, pemberitahuan tindakan tambahan yang diperlukan untuk menyelesaikan penginstalan fitur, seperti penghidupan ulang komputer, akan ditampilkan dalam teks hasil.

Menambahkan BitLocker menggunakan PowerShell

Gunakan perintah berikut untuk setiap server:

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Untuk menjalankan perintah di semua server kluster secara bersamaan, gunakan skrip berikut, yang memodifikasi daftar variabel di awal agar sesuai dengan lingkungan Anda:

Isi variabel-variabel ini dengan nilai Anda.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

Bagian ini menjalankan cmdlet Install-WindowsFeature di semua server di $ServerList, melewati daftar fitur di $FeatureList.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Selanjutnya, hidupkan ulang semua server:

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

Beberapa peran dan fitur dapat ditambahkan secara bersamaan. Misalnya, untuk menambahkan BitLocker, Pengklusteran Failover, dan peran File Server, $FeatureList akan mencakup semua yang diperlukan dipisahkan oleh koma. Contohnya:

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", "Failover-Clustering", "FS-FileServer"

Memprovisikan volume terenkripsi

Provisi drive dengan enkripsi BitLocker dapat dilakukan baik ketika drive merupakan bagian dari Kluster Failover atau di luar sebelum menambahkannya. Untuk membuat Pelindung Kunci Eksternal secara otomatis, drive harus menjadi sumber daya di Kluster Failover sebelum mengaktifkan BitLocker. Jika BitLocker diaktifkan sebelum menambahkan drive ke Kluster Failover, langkah manual tambahan untuk membuat Pelindung Kunci Eksternal harus dilakukan.

Provisi volume terenkripsi akan memerlukan perintah PowerShell yang dijalankan dengan hak administratif. Ada dua opsi untuk mengenkripsi drive dan agar Pengklusteran Failover dapat membuat dan menggunakan kunci BitLocker sendiri.

  • Kunci pemulihan internal

  • File kunci pemulihan eksternal

Mengenkripsi menggunakan kunci pemulihan

Mengenkripsi drive menggunakan kunci pemulihan akan memungkinkan kunci pemulihan BitLocker dibuat dan ditambahkan ke dalam database Kluster. Karena drive akan menjadi online, hanya perlu berkonsultasi dengan sarang kluster lokal untuk kunci pemulihan.

Pindahkan sumber daya disk ke node tempat enkripsi BitLocker akan diaktifkan:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Masukkan sumber daya disk ke Mode Pemeliharaan:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

Kotak dialog akan muncul yang bertuliskan:

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 1'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Untuk melanjutkan, tekan Ya.

Untuk mengaktifkan enkripsi BitLocker, jalankan:

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

Setelah memasuki perintah, peringatan akan menunjukkan bahwa menyediakan kata sandi pemulihan numerik. Simpan kata sandi di lokasi yang aman karena juga akan diperlukan dalam langkah yang akan datang. Peringatan akan tampak seperti ini:


WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

Untuk mendapatkan informasi pelindung BitLocker untuk volume, perintah berikut dapat dijalankan:

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

Ini akan menampilkan ID pelindung utama dan string kata sandi pemulihan.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

ID pelindung utama dan kata sandi pemulihan akan diperlukan dan disimpan ke dalam properti pribadi disk fisik baru yang disebut BitLockerProtectorInfo. Properti baru ini akan digunakan saat sumber daya keluar dari Mode Pemeliharaan. Format pelindung akan menjadi string dengan ID pelindung dan kata sandi dipisahkan oleh ":".

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

Untuk memverifikasi bahwa kunci dan nilai BitlockerProtectorInfo diatur, jalankan perintah:

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Sekarang setelah informasi hadir, disk bisa dibawa keluar dari mode pemeliharaan setelah proses enkripsi selesai.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

Jika sumber daya gagal online, ini bisa menjadi masalah penyimpanan, kata sandi pemulihan yang salah, atau beberapa masalah. Pastikan kunci BitlockerProtectorInfo memiliki informasi yang tepat. Jika tidak, perintah yang diberikan sebelumnya harus dijalankan lagi. Jika masalahnya bukan dengan kunci ini, kami merekomendasikan untuk mendapatkan grup yang tepat dalam organisasi Anda atau vendor penyimpanan guna menyelesaikan masalah.

Jika sumber daya menjadi online, informasinya benar. Selama proses keluar dari mode pemeliharaan, kunci BitlockerProtectorInfo dihapus dan dienkripsi di bawah sumber daya dalam database kluster.

Mengenkripsi menggunakan file Kunci Pemulihan Eksternal

Mengenkripsi drive menggunakan file kunci pemulihan akan memungkinkan kunci pemulihan BitLocker dibuat dan diakses dari lokasi yang dapat diakses oleh semua node, seperti server file. Saat drive menjadi online, node pemilik akan terhubung ke kunci pemulihan.

Pindahkan sumber daya disk ke node tempat enkripsi BitLocker akan diaktifkan:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Masukkan sumber daya disk ke Mode Pemeliharaan:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

Kotak dialog akan muncul

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 2'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Untuk melanjutkan, tekan Ya.

Untuk mengaktifkan enkripsi BitLocker dan membuat file pelindung kunci secara lokal, jalankan perintah berikut. Dianjurkan untuk membuat file secara lokal terlebih dahulu dan kemudian memindahkannya ke lokasi yang dapat diakses oleh semua node.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

Untuk mendapatkan informasi pelindung BitLocker untuk volume, perintah berikut dapat dijalankan:

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

Ini akan menampilkan ID pelindung kunci dan nama file kunci yang dibuatnya.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

Saat membua folder yang ditentukan untuk membuatnya, Anda tidak akan melihatnya pada pandangan pertama. Alasannya adalah bahwa ini akan dibuat sebagai file tersembunyi. Contohnya:

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Karena dibuat pada jalur lokal, ini harus disalin ke jalur jaringan sehingga semua node akan memiliki akses ke sana menggunakan perintah Copy-Item.

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Karena drive akan menggunakan file dan terletak pada berbagi jaringan, bawa drive keluar dari mode pemeliharaan yang menentukan jalur ke file. Setelah drive selesai dengan enkripsi, perintah untuk melanjutkannya adalah:

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Setelah drive diprovisikan, file *.BEK dapat dihapus dari berbagi dan tidak lagi diperlukan.

Cmdlet PowerShell baru

Dengan fitur baru ini, dua cmdlet baru telah dibuat untuk membawa sumber daya secara online atau melanjutkan sumber daya secara manual menggunakan kunci pemulihan atau file kunci pemulihan.

Start-ClusterPhysicalDiskResource

Contoh 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Contoh 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

Contoh 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Contoh 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Peristiwa baru

Ada beberapa peristiwa baru yang telah ditambahkan yang ada di saluran peristiwa Microsoft-Windows-FailoverClustering/Operasional.

Saat berhasil membuat pelindung kunci atau file pelindung kunci, peristiwa yang ditampilkan akan mirip dengan:

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

Jika ada kegagalan dalam membuat pelindung kunci atau file pelindung kunci, peristiwa yang ditampilkan akan mirip dengan:

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Seperti disebutkan sebelumnya, karena database kluster adalah replikasi penyimpanan yang didukung oleh volume sistem pada setiap node kluster, disarankan volume sistem pada setiap node kluster juga harus dilindungi BitLocker. Pengklusteran Failover Clustering tidak akan memberlakukannya karena beberapa solusi mungkin tidak ingin atau perlu mengenkripsi volume sistem. Jika drive sistem tidak diamankan oleh BitLocker, Kluster Failover akan menandai ini sebagai peristiwa selama proses buka kunci/online. Peristiwa yang ditampilkan akan mirip dengan:

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

Validasi Kluster Failover akan mencatat pesan jika mendeteksi bahwa ini adalah pengaturan grup kerja atau tanpa Active Directory dan volume sistem tidak dienkripsi.