Proteggere i volumi condivisi del cluster e le reti dell'area di archiviazione con BitLocker
Questo articolo descrive la procedura per proteggere i volumi condivisi del cluster (CSV) e le reti dell'area di archiviazione (SAN) con BitLocker.
BitLocker protegge sia le risorse disco fisico che i volumi condivisi del cluster versione 2.0 (CSV2.0). BitLocker nei volumi cluster offre un ulteriore livello di protezione che può essere usato per proteggere dati sensibili e a disponibilità elevata. Gli amministratori usano questo livello aggiuntivo di protezione per aumentare la sicurezza per le risorse. Solo alcuni account utente hanno fornito l'accesso per sbloccare il volume BitLocker.
Configurare BitLocker nei volumi condivisi del cluster
I volumi all'interno di un cluster vengono gestiti con l'aiuto di BitLocker in base al modo in cui il servizio cluster vede il volume da proteggere. Il volume può essere una risorsa disco fisico, ad esempio un numero di unità logica (LUN, Logical Unit Number) in una SAN o un'archiviazione collegata alla rete (NAS).
Importante
I nomi SAN usati con BitLocker devono avere ottenuto la certificazione hardware Windows. Per altre informazioni, vedere Windows Hardware Lab Kit.
I volumi designati per un cluster devono eseguire le attività seguenti:
- attivare BitLocker: solo dopo aver completato questa attività, i volumi possono essere aggiunti al pool di archiviazione
- deve mettere la risorsa in modalità di manutenzione prima del completamento delle operazioni di BitLocker.
Windows PowerShell o lo strumento da manage-bde.exe riga di comando è il metodo preferito per gestire BitLocker nei volumi CSV2.0. Questo metodo è consigliato per l'elemento Pannello di controllo BitLocker perché i volumi CSV2.0 sono punti di montaggio. I punti di montaggio sono un oggetto NTFS usato per fornire un punto di ingresso ad altri volumi. I punti di montaggio non richiedono l'uso di una lettera di unità. I volumi privi di lettere di unità non vengono visualizzati nell'elemento Pannello di controllo BitLocker. Inoltre, la nuova opzione di protezione basata su Active Directory necessaria per la risorsa disco cluster o le risorse CSV2.0 non è disponibile nell'elemento Pannello di controllo.
Nota
I punti di montaggio possono essere usati per supportare i punti di montaggio remoti nelle condivisioni di rete basate su SMB. Questo tipo di condivisione non è supportato per la crittografia BitLocker.
Se è disponibile un'archiviazione con provisioning sottile, ad esempio un disco rigido virtuale dinamico (VHD), BitLocker viene eseguito in modalità di crittografia Solo spazio su disco usato . Il manage-bde.exe -WipeFreeSpace comando non può essere usato per eseguire la transizione del volume alla crittografia a volume completo nei volumi di archiviazione con provisioning sottile. L'utilizzo del manage-bde.exe -WipeFreeSpace comando è bloccato per evitare l'espansione di volumi con provisioning insufficiente per occupare l'intero archivio di backup durante la cancellazione dello spazio non occupato (libero).
Protezione basata su Active Directory
È anche possibile usare una protezione Active Directory Domain Services (AD DS) per proteggere i volumi cluster contenuti nell'infrastruttura di Active Directory Domain Services. La protezione ADAccountOrGroup è una protezione basata sull'identificatore di sicurezza del dominio (SID) che può essere associata a un account utente, un account computer o un gruppo. Quando viene effettuata una richiesta di sblocco per un volume protetto, si verificano gli eventi seguenti:
Il servizio BitLocker interrompe la richiesta e usa le API BitLocker protect/unprotect per sbloccare o negare la richiesta.
BitLocker sblocca i volumi protetti senza l'intervento dell'utente provando le protezioni nell'ordine seguente:
Cancella chiave
Chiave di sblocco automatico basata su driver
Protezione ADAccountOrGroup
a. Protezione del contesto del servizio
b. Protezione utente
Chiave di sblocco automatico basata sul Registro di sistema
Nota
Per il corretto funzionamento di questa funzionalità è necessario un controller di dominio Windows Server 2012 o versione successiva.
Attivare BitLocker prima di aggiungere dischi a un cluster usando Windows PowerShell
La crittografia BitLocker è disponibile per i dischi prima che questi dischi vengano aggiunti a un pool di archiviazione del cluster.
Nota
Il vantaggio della crittografia BitLocker può anche essere reso disponibile per i dischi dopo l'aggiunta a un pool di archiviazione del cluster. Il vantaggio della crittografia dei volumi prima di aggiungerli a un cluster è che la risorsa disco non deve essere sospesa per completare l'operazione. Per attivare BitLocker per un disco prima di aggiungerlo a un cluster:
Installare la funzionalità Crittografia unità BitLocker se non è già installata.
Verificare che il disco sia formattato con NTFS e che a esso sia assegnata una lettera di unità.
Identificare il nome del cluster con Windows PowerShell.
Get-ClusterAbilitare BitLocker in un volume con una protezione ADAccountOrGroup usando il nome del cluster. Ad esempio, usare un comando come:
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$Warning
Una protezione ADAccountOrGroup deve essere configurata usando l'oggetto CNO del cluster per consentire a un volume abilitato per BitLocker di essere condiviso in un volume condiviso del cluster o di eseguire correttamente il failover in un cluster di failover tradizionale.
Ripetere i passaggi precedenti per ogni disco nel cluster.
Aggiungere i volumi al cluster.
Attivazione di BitLocker per un disco cluster tramite Windows PowerShell
Quando il servizio cluster è già proprietario di una risorsa disco, la risorsa disco deve essere impostata in modalità di manutenzione prima di poter abilitare BitLocker. Per attivare BitLocker per un disco cluster usando Windows PowerShell, seguire questa procedura:
Installare la funzionalità di crittografia dell'unità BitLocker se non è già installata.
Controllare lo stato del disco del cluster usando Windows PowerShell.
Get-ClusterResource "Cluster Disk 1"Impostare la risorsa disco fisico in modalità di manutenzione usando Windows PowerShell.
Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResourceIdentificare il nome del cluster con Windows PowerShell.
Get-ClusterAbilitare BitLocker per un volume con una protezione ADAccountOrGroup usando il nome del cluster. Ad esempio, usare un comando come:
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$Warning
Una protezione ADAccountOrGroup deve essere configurata usando l'oggetto CNO del cluster per consentire a un volume abilitato per BitLocker di essere condiviso in un volume condiviso dal cluster o di eseguire correttamente il failover in un cluster di failover tradizionale.
Usare Resume-ClusterResource per ripristinare la risorsa disco fisico dalla modalità di manutenzione:
Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResourceRipetere i passaggi precedenti per ogni disco nel cluster.
Aggiunta di volumi crittografati con BitLocker a un cluster tramite manage-bde.exe
Manage-bde.exe può essere usato anche per abilitare BitLocker nei volumi cluster. I passaggi necessari per aggiungere una risorsa disco fisico o un volume CSV2.0 a un cluster esistente sono:
Verificare che la funzionalità di crittografia dell'unità BitLocker sia installata nel computer.
Verificare che la nuova risorsa di archiviazione sia formattata come NTFS.
Crittografare il volume, aggiungere una chiave di ripristino e aggiungere l'amministratore del cluster come chiave di protezione usando
manage-bde.exein una finestra del prompt dei comandi. Ad esempio:manage-bde.exe -on -used <drive letter> -RP -sid domain\CNO$ -sync- BitLocker verificherà se il disco fa già parte di un cluster. In caso affermativo, gli amministratori incontreranno un blocco rigido. In caso contrario, la crittografia continua.
- L'uso del parametro -sync è facoltativo. Tuttavia, l'uso del parametro -sync offre il vantaggio di garantire che il comando attenda fino al completamento della crittografia per il volume. Il volume viene quindi rilasciato per l'uso nel pool di archiviazione del cluster.
Aprire lo snap-in Gestione cluster di failover o i cmdlet di PowerShell del cluster per abilitare il clustering del disco.
- Una volta cluster, il disco è abilitato per csv.
Durante l'operazione online della risorsa, il cluster verifica se il disco è crittografato con BitLocker.
- Se il volume non è abilitato per BitLocker, si verificano le tradizionali operazioni online del cluster.
- Se il volume è abilitato per BitLocker, BitLocker controlla se il volume è bloccato. Se il volume è bloccato, BitLocker rappresenta l'oggetto CNO e sblocca il volume usando la protezione CNO. Se queste azioni di BitLocker hanno esito negativo, viene registrato un evento. L'evento registrato indica che il volume non è stato sbloccato e che l'operazione online non è riuscita.
Una volta che il disco è online nel pool di archiviazione, è possibile aggiungerlo a un csv facendo clic con il pulsante destro del mouse sulla risorsa disco e scegliendo "Aggiungi ai volumi condivisi del cluster".
I csv includono volumi crittografati e non crittografati. Per controllare lo stato di un determinato volume per la crittografia BitLocker, eseguire il manage-bde.exe -status comando come amministratore con un percorso al volume. Il percorso deve essere uno che si trova all'interno dello spazio dei nomi CSV. Ad esempio:
manage-bde.exe -status "C:\ClusterStorage\volume1"
Risorse disco fisico
A differenza dei volumi CSV2.0, le risorse disco fisico possono essere accessibili solo da un nodo del cluster alla volta. Questa condizione significa che operazioni come la crittografia, la decrittografia, il blocco o lo sblocco dei volumi richiedono un contesto da eseguire. Ad esempio, una risorsa disco fisico non può sbloccare o decrittografare se non amministra il nodo del cluster proprietario della risorsa disco perché la risorsa disco non è disponibile.
Restrizioni per le azioni BitLocker con i volumi del cluster
La tabella seguente contiene informazioni sia sulle risorse del disco fisico (ovvero i volumi del cluster di failover tradizionali) che sui volumi condivisi del cluster (CSV) e sulle azioni consentite da BitLocker in ogni situazione.
| Azione | Nel nodo proprietario del volume di failover | Nel server di metadati (MDS) di CSV | On (Data Server) DS of CSV | Modalità di manutenzione |
|---|---|---|---|---|
Manage-bde.exe -on |
Blocked (Bloccato) | Blocked (Bloccato) | Blocked (Bloccato) | Permesse |
Manage-bde.exe -off |
Blocked (Bloccato) | Blocked (Bloccato) | Blocked (Bloccato) | Permesse |
Manage-bde.exe Pause/Resume |
Blocked (Bloccato) | Bloccato** | Blocked (Bloccato) | Permesse |
Manage-bde.exe -lock |
Blocked (Bloccato) | Blocked (Bloccato) | Blocked (Bloccato) | Permesse |
Manage-bde.exe -wipe |
Blocked (Bloccato) | Blocked (Bloccato) | Blocked (Bloccato) | Permesse |
| Sbloccare | Automatico tramite il servizio cluster | Automatico tramite il servizio cluster | Automatico tramite il servizio cluster | Permesse |
Manage-bde.exe -protector -add |
Permesse | Permesse | Blocked (Bloccato) | Permesse |
Manage-bde.exe -protector -delete |
Permesse | Permesse | Blocked (Bloccato) | Permesse |
Manage-bde.exe -autounlock |
Consentito (scelta non consigliata) | Consentito (scelta non consigliata) | Blocked (Bloccato) | Consentito (scelta non consigliata) |
Manage-bde.exe -upgrade |
Permesse | Permesse | Blocked (Bloccato) | Permesse |
| Ridurre | Permesse | Permesse | Blocked (Bloccato) | Permesse |
| Estendere | Permesse | Permesse | Blocked (Bloccato) | Permesse |
Nota
Anche se il manage-bde.exe -pause comando è bloccato nei cluster, il servizio cluster riprende automaticamente una crittografia o decrittografia sospesa dal nodo MDS.
Nel caso in cui una risorsa disco fisico subisca un evento di failover durante la conversione, il nuovo nodo proprietario rileva che la conversione non è completa e completa il processo di conversione.
Altre considerazioni sull'uso di BitLocker in CSV2.0
Altre considerazioni da tenere in considerazione per BitLocker nell'archiviazione in cluster includono:
- I volumi BitLocker devono essere inizializzati e iniziare la crittografia prima che siano disponibili per l'aggiunta a un volume CSV2.0
- Se un amministratore deve decrittografare un volume CSV, rimuovere il volume dal cluster o impostarlo in modalità di manutenzione del disco. Il csv può essere aggiunto di nuovo al cluster in attesa del completamento della decrittografia
- Se un amministratore deve iniziare a crittografare un volume CSV, rimuovere il volume dal cluster o impostarlo in modalità di manutenzione
- Se la conversione viene sospesa con la crittografia in corso e il volume CSV è offline dal cluster, il thread del cluster (controllo integrità) riprende automaticamente la conversione quando il volume è online nel cluster
- Se la conversione viene sospesa con la crittografia in corso e un volume di risorse disco fisico è offline dal cluster, il driver BitLocker riprende automaticamente la conversione quando il volume è online nel cluster
- Se la conversione viene sospesa con la crittografia in corso, mentre il volume CSV è in modalità di manutenzione, il thread del cluster (controllo integrità) riprende automaticamente la conversione quando si sposta di nuovo il volume dalla manutenzione
- Se la conversione viene sospesa con la crittografia in corso, mentre il volume delle risorse del disco è in modalità di manutenzione, il driver BitLocker riprende automaticamente la conversione quando il volume viene spostato di nuovo dalla modalità di manutenzione
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per