Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Gambaran umum BitLocker
BitLocker Drive Encryption adalah fitur perlindungan data yang terintegrasi dengan sistem operasi dan mengatasi ancaman pencurian atau paparan data dari komputer yang hilang, dicuri, atau dinonaktifkan secara tidak memadai.
BitLocker memberikan perlindungan terbanyak saat digunakan dengan Modul Platform Tepercaya (TPM) versi 1.2 atau yang lebih baru. TPM adalah komponen perangkat keras yang diinstal di banyak komputer yang lebih baru oleh produsen komputer. Ini bekerja dengan BitLocker untuk membantu melindungi data pengguna dan untuk memastikan bahwa komputer belum dirusak saat sistem offline.
Pada komputer yang tidak memiliki TPM versi 1.2 atau yang lebih baru, Anda masih dapat menggunakan BitLocker untuk mengenkripsi drive sistem operasi Windows. Namun, implementasi ini mengharuskan pengguna memasukkan kunci startup USB untuk memulai komputer atau melanjutkan dari hibernasi. Dimulai dengan Windows 8, Anda dapat menggunakan kata sandi volume sistem operasi untuk melindungi volume di komputer tanpa TPM. Tak satu pun dari kedua opsi menyediakan verifikasi integritas sistem pra-startup seperti yang ditawarkan oleh BitLocker dengan TPM.
Selain TPM, BitLocker memberi Anda opsi untuk mengunci proses startup normal hingga pengguna memasok nomor identifikasi pribadi (PIN) atau menyisipkan perangkat yang dapat dilepas. Perangkat ini bisa berupa usb flash drive yang memuat kunci startup. Langkah-langkah keamanan tambahan ini memberikan autentikasi multifaktor dan jaminan bahwa komputer tidak akan memulai atau melanjutkan dari hibernasi hingga PIN atau kunci startup yang benar disajikan.
Gambaran umum Volume Bersama Kluster
Cluster Shared Volumes (CSV) memungkinkan beberapa simpul dalam kluster failover Windows Server atau Azure Local untuk secara bersamaan memiliki akses baca-tulis ke nomor unit logis (LUN) yang sama, atau disk, yang disediakan sebagai volume NTFS. Disk dapat disediakan sebagai Sistem File Tangguh (ReFS). Namun, drive CSV dalam mode dialihkan, yang berarti akses tulis dikirim ke simpul koordinator. Dengan CSV, peran berkluster dapat berpindah dengan cepat dari satu simpul ke simpul lainnya tanpa memerlukan perubahan kepemilikan drive, atau melepas dan memasang ulang volume. CSV juga membantu menyederhanakan pengelolaan sejumlah besar LUN yang berpotensi dalam kluster failover.
CSV menyediakan sistem file berkluster tujuan umum yang berlapis di atas NTFS atau ReFS. Aplikasi CSV meliputi:
- Hard disk virtual yang dikelompokkan (VHD/VHDX) untuk mesin virtual Hyper-V yang dikelompokkan
- Perluas file sharing untuk menyimpan data aplikasi pada peran kluster Scale-Out File Server. Contoh data aplikasi untuk peran ini termasuk file mesin virtual Hyper-V dan data Microsoft SQL Server. ReFS tidak didukung untuk Scale-Out File Server di Windows Server 2012 R2 dan yang lebih lama. Untuk informasi selengkapnya tentang Perluasan Skala Server File, lihat Meluaskan Skala Server File untuk Data Aplikasi.
- Beban kerja kluster Microsoft SQL Server 2014 (atau lebih tinggi) Failover Cluster Instance (FCI) Microsoft SQL Server di SQL Server 2012 dan versi SQL Server yang lebih lama tidak mendukung penggunaan CSV.
- Windows Server 2019 atau Koordinator Transaksi Terdistribusi Microsoft (MSDTC) yang lebih tinggi
Gunakan BitLocker dengan Cluster Shared Volumes
BitLocker pada volume dalam kluster dikelola berdasarkan bagaimana layanan kluster "melihat" volume yang akan dilindungi. Volume dapat menjadi sumber daya disk fisik seperti nomor unit logis (LUN) pada jaringan area penyimpanan (SAN) atau penyimpanan terpasang jaringan (NAS).
Atau, volume dapat berupa Cluster Shared Volume (CSV) dalam kluster. Saat menggunakan BitLocker dengan volume yang ditunjuk untuk kluster, volume dapat diaktifkan dengan BitLocker sebelum penambahannya ke kluster atau ketika berada di kluster. Masukkan sumber daya ke dalam mode pemeliharaan sebelum mengaktifkan BitLocker.
Windows PowerShell atau antarmuka baris perintah Manage-BDE adalah metode yang lebih disukai untuk mengelola BitLocker pada volume CSV. Metode ini direkomendasikan melalui item Panel Kontrol BitLocker karena volume CSV adalah titik pemasangan. Titik pemasangan adalah objek NTFS yang digunakan untuk menyediakan titik masuk ke volume lain. Titik sambungan tidak memerlukan penggunaan huruf drive. Volume yang tidak memiliki huruf drive tidak muncul dalam elemen Panel Kontrol BitLocker.
BitLocker membuka kunci volume yang dilindungi tanpa intervensi pengguna dengan mencoba pelindung dalam urutan berikut:
Bersihkan Kunci
Kunci buka kunci otomatis berbasis driver
Pelindung ADAccountOrGroup
Pelindung konteks layanan
Pelindung pengguna
Kunci buka kunci otomatis berbasis registri
Kluster Failover memerlukan opsi pelindung berbasis Direktori Aktif untuk sumber daya disk kluster. Jika tidak, sumber daya CSV tidak tersedia di item Panel Kontrol.
Pelindung Active Directory Domain Services (AD DS) untuk melindungi volume terkluster yang disimpan dalam infrastruktur AD DS Anda. Pelindung ADAccountOrGroup adalah pelindung berbasis pengidentifikasi keamanan domain (SID) yang dapat terikat ke akun pengguna, akun komputer, atau grup. Ketika permintaan buka kunci dibuat untuk volume yang dilindungi, layanan BitLocker mengganggu permintaan dan menggunakan BITLocker melindungi/membuka proteksi API untuk membuka kunci atau menolak permintaan.
Fungsionalitas baru
Di versi Windows Server dan Azure Local sebelumnya, satu-satunya pelindung enkripsi yang didukung adalah pelindung berbasis SID tempat akun yang digunakan adalah Objek Nama Kluster (CNO) yang dibuat di Direktori Aktif sebagai bagian dari pembuatan Pengklusteran Failover. Ini adalah desain yang aman karena pelindung disimpan di Direktori Aktif dan dilindungi oleh kata sandi CNO. Selain itu, ini memudahkan provisi dan pembukaan kunci volume karena setiap node Kluster Failover memiliki akses ke akun CNO.
Kelemahannya ada tiga aspek:
Metode ini jelas tidak berfungsi ketika Kluster Failover dibuat tanpa akses ke pengontrol Direktori Aktif di pusat data.
Buka kunci volume, sebagai bagian dari failover, mungkin memakan waktu terlalu lama (dan mungkin waktu habis) jika pengontrol Direktori Aktif tidak responsif atau lambat.
Proses online drive gagal jika pengontrol Direktori Aktif tidak tersedia.
Fungsionalitas baru telah ditambahkan, di mana Pengklusteran Failover menghasilkan dan memelihara pelindung kunci BitLocker-nya sendiri pada sebuah volume. Ini akan dienkripsi dan disimpan dalam database kluster lokal. Karena database kluster adalah penyimpanan yang direplikasi yang didukung oleh volume sistem pada setiap node kluster, volume sistem pada setiap node kluster juga harus dilindungi BitLocker. Pengklusteran Failover tidak memberlakukannya karena beberapa solusi mungkin tidak ingin atau perlu mengenkripsi volume sistem. Jika drive sistem tidak dienkripsi dengan BitLocker, Kluster Failover menandai sebagai peringatan selama proses aktivasi dan buka kunci. Validasi Kluster Failover mencatat pesan jika mendeteksi bahwa ini adalah penyiapan tanpa Active Directory atau dalam kelompok kerja dan volume sistem tersebut tidak dienkripsi.
Menginstal enkripsi BitLocker
BitLocker adalah fitur yang harus ditambahkan ke semua simpul Kluster.
Menambahkan BitLocker menggunakan Manajer Server
Buka Manajer Server dengan memilih ikon Manajer Server atau menjalankan servermanager.exe.
Pilih Kelola dari bilah Navigasi Manajer Server dan pilih Tambahkan Peran dan Fitur untuk memulai Wizard Tambahkan Peran dan Fitur.
Setelah Wizard Tambahkan Peran dan Fitur terbuka, pilih Berikutnya di panel Sebelum Memulai (jika ditampilkan).
Pilih Penginstalan berbasis peran atau berbasis fitur pada panel Jenis penginstalan panel Wizard Tambahkan Peran dan Fitur dan pilih Berikutnya untuk melanjutkan.
Pilih opsi Pilih server dari kumpulan server di panel Pemilihan Server dan konfirmasi server untuk penginstalan fitur BitLocker.
Pilih Berikutnya di panel Peran Server dari wizard Tambahkan Peran dan Fitur untuk melanjutkan ke panel Fitur .
Pilih kotak centang di samping Enkripsi Drive BitLocker dalam panel Fitur pada panduan Tambahkan Peran dan Fitur. Wizard akan menampilkan fitur manajemen tambahan yang tersedia untuk BitLocker. Jika Anda tidak ingin menginstal fitur ini, batal pilih opsi Sertakan alat manajemen dan pilih Tambahkan Fitur. Setelah pemilihan fitur opsional selesai, pilih Berikutnya untuk melanjutkan.
Nota
Fitur Enhanced Storage adalah fitur yang diperlukan untuk mengaktifkan BitLocker. Fitur ini memungkinkan dukungan untuk Hard Drive Terenkripsi pada sistem yang mampu.
Pilih Instal pada panel Konfirmasiwizard Tambahkan Peran dan Fitur untuk memulai penginstalan fitur BitLocker. Fitur BitLocker memerlukan penghidupan ulang untuk menyelesaikannya. Memilih opsi Hidupkan ulang server tujuan secara otomatis jika diperlukan di panel Konfirmasi akan memaksa mulai ulang komputer setelah penginstalan selesai.
Jika kotak centang Hidupkan ulang server tujuan secara otomatis jika diperlukan tidak dipilih, panel HasilWizard Tambahkan Peran dan Fitur akan menampilkan keberhasilan atau kegagalan penginstalan fitur BitLocker. Jika diperlukan, pemberitahuan tindakan tambahan yang diperlukan untuk menyelesaikan penginstalan fitur, seperti penghidupan ulang komputer, akan ditampilkan dalam teks hasil.
Menambahkan BitLocker menggunakan PowerShell
Gunakan perintah berikut untuk setiap server:
Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools
Untuk menjalankan perintah pada semua server kluster secara bersamaan, gunakan skrip berikut, memodifikasi daftar variabel di awal agar sesuai dengan lingkungan Anda:
Isi variabel ini dengan nilai Anda.
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker"
Bagian ini menjalankan cmdlet Install-WindowsFeature di semua server di $ServerList, meneruskan daftar fitur dalam $FeatureList.
Invoke-Command ($ServerList) {
Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools
}
Selanjutnya, hidupkan ulang semua server:
$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos
Beberapa peran dan fitur dapat ditambahkan secara bersamaan. Misalnya, untuk menambahkan BitLocker, Pengklusteran Failover, dan peran Server File, $FeatureList akan menyertakan semua yang diperlukan, yang dipisahkan oleh koma. Contohnya:
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”
Menyediakan volume terenkripsi
Penyediaan drive dengan enkripsi BitLocker dapat dilakukan baik ketika drive menjadi bagian dari cluster failover atau sebelum ditambahkan ke dalam cluster. Untuk membuat External Key Protector secara otomatis, drive harus menjadi sumber di dalam Failover Cluster sebelum BitLocker diaktifkan. Jika BitLocker diaktifkan sebelum menambahkan drive ke Kluster Failover, langkah-langkah manual tambahan untuk membuat Pelindung Kunci Eksternal harus dilakukan.
Penyediaan volume terenkripsi akan memerlukan perintah PowerShell yang dijalankan dengan hak istimewa administratif. Ada dua opsi untuk mengenkripsi drive, sehingga Kluster Failover dapat membuat dan menggunakan kunci BitLocker-nya sendiri.
Kunci pemulihan internal
File kunci pemulihan eksternal
Mengenkripsi menggunakan kunci pemulihan
Mengenkripsi drive menggunakan kunci pemulihan akan memungkinkan kunci pemulihan BitLocker dibuat dan ditambahkan ke dalam database Kluster. Ketika drive mulai aktif, drive hanya perlu memeriksa kluster lokal untuk kunci pemulihan.
Pindahkan sumber daya disk ke simpul tempat enkripsi BitLocker akan diaktifkan:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1
Masukkan sumber daya disk ke dalam Mode Pemeliharaan:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource
Kotak dialog akan muncul yang mengatakan:
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Untuk melanjutkan, tekan Ya.
Untuk mengaktifkan enkripsi BitLocker, jalankan:
Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector
Setelah memasukkan perintah, peringatan muncul dan menyediakan kata sandi pemulihan numerik. Simpan kata sandi di lokasi yang aman karena juga diperlukan dalam langkah mendatang. Peringatan terlihat mirip dengan ini:
WARNING: ACTIONS REQUIRED:
1. Save this numerical recovery password in a secure location away from your computer:
271733-258533-688985-480293-713394-034012-061963-682044
To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.
Untuk mendapatkan informasi pelindung BitLocker untuk volume, perintah berikut dapat dijalankan:
(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector
Ini akan menampilkan ID pelindung kunci dan string kata sandi pemulihan.
KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :
ID pelindung kunci dan kata sandi pemulihan akan diperlukan dan disimpan ke properti privat disk fisik baru yang disebut BitLockerProtectorInfo. Properti baru ini akan digunakan ketika sumber daya keluar dari Mode Pemeliharaan. Format pelindung akan menjadi string di mana ID pelindung dan kata sandi dipisahkan oleh ":".
Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create
Untuk memverifikasi bahwa kunci dan nilai BitlockerProtectorInfo diatur, jalankan perintah :
Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo
Sekarang setelah informasi ada, disk dapat dibawa keluar dari mode pemeliharaan setelah proses enkripsi selesai.
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource
Jika sumber daya gagal online, itu bisa menjadi masalah penyimpanan, kata sandi pemulihan yang salah, atau beberapa masalah. Verifikasi kunci BitlockerProtectorInfo memiliki informasi yang tepat. Jika tidak, perintah yang sebelumnya diberikan harus dijalankan lagi. Jika masalahnya tidak dengan kunci ini, sebaiknya gunakan grup yang tepat dalam organisasi Anda atau vendor penyimpanan untuk mengatasi masalah tersebut.
Jika sumber daya menjadi online, informasinya akan benar. Selama proses keluar dari mode pemeliharaan, kunci BitlockerProtectorInfo dihapus dan dienkripsi di bawah sumber daya dalam database kluster.
Mengenkripsi menggunakan file Kunci Pemulihan Eksternal
Mengenkripsi drive menggunakan file kunci pemulihan akan memungkinkan kunci pemulihan BitLocker dibuat dan diakses dari lokasi yang dapat diakses semua simpul, seperti server file. Ketika drive sedang online, node pemilik akan menghubungkan ke kunci pemulihan.
Pindahkan sumber daya disk ke simpul tempat enkripsi BitLocker akan diaktifkan:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2
Masukkan sumber daya disk ke dalam Mode Pemeliharaan:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource
Kotak dialog muncul
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Untuk melanjutkan, tekan Ya.
Untuk mengaktifkan enkripsi BitLocker dan membuat file pelindung kunci secara lokal, jalankan perintah berikut. Membuat file secara lokal terlebih dahulu lalu memindahkannya ke lokasi yang dapat diakses oleh semua simpul disarankan.
Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster
Untuk mendapatkan informasi pelindung BitLocker untuk volume, perintah berikut dapat dijalankan:
(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector
Ini akan menampilkan ID pelindung kunci dan nama file kunci yang dibuatnya.
KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
Ketika masuk ke folder yang ditentukan membuatnya, Anda tidak akan melihatnya sekilas. Alasannya adalah bahwa itu akan dibuat sebagai file tersembunyi. Contohnya:
C:\Windows\Cluster\>dir f03
Directory of C:\\Windows\\Cluster
File Not Found
C:\Windows\Cluster\>dir /a f03
Directory of C:\Windows\Cluster
<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
C:\Windows\Cluster\>attrib f03
A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Karena ini dibuat di jalur lokal, ini harus disalin ke jalur jaringan sehingga semua simpul akan memiliki akses ke jalur tersebut menggunakan perintah Salin-Item .
Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir
Karena drive akan menggunakan file dan terletak di berbagi jaringan, keluarkan drive dari mode pemeliharaan yang menentukan jalur ke file. Setelah drive selesai dengan enkripsi, perintah untuk melanjutkannya adalah:
Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Setelah drive disediakan, berkas *.BEK dapat dihapus dari penyimpanan bersama dan tidak dibutuhkan lagi.
Cmdlet baru PowerShell
Dengan fitur baru ini, dua cmdlet baru telah dibuat untuk membawa sumber daya online atau melanjutkan sumber daya secara manual menggunakan kunci pemulihan atau file kunci pemulihan.
Start-ClusterPhysicalDiskResource
Contoh 1
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
Contoh 2
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Resume-ClusterPhysicalDiskResource
Contoh 1
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
Contoh 2
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Aktivitas baru
Ada beberapa peristiwa baru yang telah ditambahkan dalam saluran peristiwa Microsoft-Windows-FailoverClustering/Operational.
Ketika berhasil membuat protektor kunci atau file pelindung kunci, peristiwa yang ditampilkan akan mirip dengan:
Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.
Jika ada kegagalan dalam membuat file pelindung kunci atau pelindung kunci, peristiwa yang ditampilkan akan mirip dengan:
Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume
Seperti disebutkan sebelumnya, karena database kluster adalah penyimpanan yang direplikasi yang didukung oleh volume sistem pada setiap node kluster, disarankan volume sistem pada setiap node kluster juga harus dilindungi BitLocker. Pengelompokan Failover tidak akan menetapkannya karena beberapa solusi mungkin tidak ingin atau tidak perlu mengenkripsi volume sistem tersebut. Jika drive sistem tidak diamankan oleh BitLocker, Failover Cluster akan menandai ini sebagai event selama proses buka kunci/online. Peristiwa yang ditampilkan akan mirip dengan:
Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1
Validasi Kluster Failover mencatat pesan jika mendeteksi bahwa ini adalah pengaturan tanpa Active Directory atau grup kerja dan volume sistem tidak dienkripsi.