Partilhar via

Utilizar o BitLocker com Volumes Partilhados de Cluster (CSV)

  • Artigo

Aplica-se a: Azure Stack HCI, versão 21H2; Windows Server 2022

Descrição geral do BitLocker

A Encriptação de Unidade bitLocker é uma funcionalidade de proteção de dados que se integra no sistema operativo e resolve as ameaças de roubo ou exposição de dados de computadores perdidos, roubados ou inadequadamente desativados.

O BitLocker fornece a maior proteção quando usado com um Trusted Platform Module (TPM) versão 1.2 ou posterior. O TPM é um componente de hardware instalado em muitos computadores mais recentes por fabricantes de computadores. Funciona com o BitLocker para ajudar a proteger os dados do utilizador e para garantir que um computador não foi adulterado enquanto o sistema estava offline.

Em computadores que não tenham uma versão TPM 1.2 ou posterior, ainda pode utilizar o BitLocker para encriptar a unidade do sistema operativo Windows. No entanto, esta implementação exigirá que o utilizador introduzir uma chave de arranque USB para iniciar o computador ou retomar do estado de hibernação. A partir do Windows 8, pode utilizar uma palavra-passe de volume do sistema operativo para proteger o volume num computador sem o TPM. Nenhuma das opções fornece a verificação de integridade do sistema de pré-arranque oferecida pelo BitLocker com um TPM.

Além do TPM, o BitLocker dá-lhe a opção de bloquear o processo de arranque normal até que o utilizador forneça um número de identificação pessoal (PIN) ou insira um dispositivo amovível. Este dispositivo pode ser uma pen USB, que contém uma chave de arranque. Estas medidas de segurança adicionais fornecem autenticação multifator e garantem que o computador não iniciará ou retomará a partir da hibernação até que o PIN ou a chave de arranque corretos sejam apresentados.

Descrição geral dos Volumes Partilhados de Cluster

Os Volumes Partilhados de Cluster (CSV) permitem que vários nós num cluster de ativação pós-falha do Windows Server ou no Azure Stack HCI tenham acesso de leitura-escrita ao mesmo número de unidade lógica (LUN) ou disco, que é aprovisionado como um volume NTFS. O disco pode ser aprovisionado como Sistema de Ficheiros Resiliente (ReFS). No entanto, a unidade CSV estará no modo redirecionado, o que significa que o acesso de escrita será enviado para o nó coordenador. Com o CSV, as funções agrupadas podem efetuar a ativação pós-falha rapidamente de um nó para outro sem que seja necessária uma alteração na propriedade da unidade ou desmontar e desmontar um volume. O CSV ajuda a simplificar a gestão de um número potencialmente grande de LUNs num cluster de ativação pós-falha.

O CSV fornece um sistema de ficheiros em cluster para fins gerais que está em camadas acima de NTFS ou ReFS. As aplicações CSV incluem:

  • Ficheiros de disco rígido virtual em cluster (VHD/VHDX) para máquinas virtuais Hyper-V em cluster
  • Aumente horizontalmente as partilhas de ficheiros para armazenar dados da aplicação para a função em cluster do Servidor de Ficheiros Scale-Out. Os exemplos de dados de aplicação desta função não incluem ficheiros de máquinas virtuais do Hyper-V e dados do Microsoft SQL Server. O ReFS não é suportado para um Servidor de Ficheiros Scale-Out no Windows Server 2012 R2 e abaixo. Para obter mais informações sobre Scale-Out Servidor de Ficheiros, veja Servidor de Ficheiros de Escalamento Horizontal para Dados da Aplicação.
  • Microsoft SQL Server 2014 (ou superior) Instância de Cluster de Ativação Pós-falha (FCI) A Microsoft SQL Server carga de trabalho em cluster no SQL Server 2012 e versões anteriores do SQL Server não suportam a utilização do CSV.
  • Windows Server 2019 ou superior Controlo de Transações Distribuídas da Microsoft (MSDTC)

Utilizar o BitLocker com Volumes Partilhados de Cluster

O BitLocker em volumes dentro de um cluster é gerido com base na forma como o serviço de cluster "visualiza" o volume a proteger. O volume pode ser um recurso de disco físico, como um número de unidade lógica (LUN) numa rede de armazenamento (SAN) ou armazenamento ligado à rede (NAS).

Em alternativa, o volume pode ser um Volume Partilhado de Cluster (CSV) dentro do cluster. Ao utilizar o BitLocker com volumes designados para um cluster, o volume pode ser ativado com o BitLocker antes da respetiva adição ao cluster ou quando estiver no cluster. Coloque o recurso no modo de manutenção antes de ativar o BitLocker.

Windows PowerShell ou a interface de linha de comandos Manage-BDE é o método preferencial para gerir o BitLocker em volumes CSV. Este método é recomendado através do item bitLocker Painel de Controlo porque os volumes CSV são pontos de montagem. Os pontos de montagem são um objeto NTFS que é utilizado para fornecer um ponto de entrada a outros volumes. Os pontos de montagem não requerem a utilização de uma letra de unidade. Os volumes sem letras de unidade não aparecem no item bitLocker Painel de Controlo.

O BitLocker desbloqueará volumes protegidos sem intervenção do utilizador ao tentar proteger os protetores pela seguinte ordem:

  1. Limpar Chave

  2. Chave de desbloqueio automático baseada no controlador

  3. Protetor ADAccountOrGroup

    1. Proteção de contexto do serviço

    2. Proteção de utilizador

  4. Chave de desbloqueio automático baseada no registo

O Cluster de Ativação Pós-falha requer a opção de proteção baseada no Active Directory para o recurso de disco de cluster. Caso contrário, os recursos CSV não estão disponíveis no item Painel de Controlo.

Um protetor de Active Directory Domain Services (AD DS) para proteger volumes agrupados mantidos na sua infraestrutura do AD DS. O protetor ADAccountOrGroup é um protetor baseado em identificador de segurança de domínio (SID) que pode ser vinculado a uma conta de utilizador, conta de computador ou grupo. Quando é feito um pedido de desbloqueio para um volume protegido, o serviço BitLocker interrompe o pedido e utiliza as APIs de proteção/desproteção do BitLocker para desbloquear ou negar o pedido.

Nova funcionalidade

Nas versões anteriores do Windows Server e do Azure Stack HCI, o único protetor de encriptação suportado é o protetor baseado em SID em que a conta que está a ser utilizada é o Objeto de Nome de Cluster (CNO) que é criado no Active Directory como parte da criação do Clustering de Ativação Pós-falha. Esta é uma estrutura segura porque o protetor está armazenado no Active Directory e protegido pela palavra-passe CNO. Além disso, facilita o aprovisionamento e o desbloqueio de volumes porque todos os nós do Cluster de Ativação Pós-falha têm acesso à conta CNO.

A desvantagem é três vezes:

  • Este método obviamente não funciona quando um Cluster de Ativação Pós-falha é criado sem qualquer acesso a um controlador do Active Directory no datacenter.

  • O desbloqueio de volume, como parte da ativação pós-falha, pode demorar demasiado tempo (e possivelmente exceder o tempo limite) se o controlador do Active Directory não responder ou estiver lento.

  • O processo online da unidade falhará se um controlador do Active Directory não estiver disponível.

Foi adicionada uma nova funcionalidade que o Clustering de Ativação Pós-falha irá gerar e manter o seu próprio protetor de Chave BitLocker para um volume. Será encriptado e guardado na base de dados do cluster local. Uma vez que a base de dados do cluster é um arquivo replicado apoiado pelo volume do sistema em cada nó de cluster, o volume do sistema em cada nó de cluster também deve estar protegido pelo BitLocker. O Clustering de Ativação Pós-falha não o irá impor, uma vez que algumas soluções podem não querer ou precisar de encriptar o volume do sistema. Se a unidade do sistema não estiver bitlockered, o Cluster de Ativação Pós-falha irá sinalizar isto como um evento de aviso durante o processo online e desbloquear. A validação do Cluster de Ativação Pós-falha irá registar uma mensagem se detetar que se trata de uma configuração sem Active Directory ou de grupo de trabalho e que o volume do sistema não está encriptado.

Instalar a encriptação BitLocker

O BitLocker é uma funcionalidade que tem de ser adicionada a todos os nós do Cluster.

Adicionar o BitLocker com o Gestor de Servidor

  1. Abra Gestor de Servidor selecionando o ícone de Gestor de Servidor ou executando servermanager.exe.

  2. Selecione Gerir na barra de Navegação Gestor de Servidor e selecione Adicionar Funções e Funcionalidades para iniciar o Assistente de Adicionar Funções e Funcionalidades.

  3. Com o Assistente para Adicionar Funções e Funcionalidades aberto, selecione Seguinte no painel Antes de começar (se for apresentado).

  4. Selecione Instalação baseada em funções ou baseada em funcionalidades no painel Tipo de instalação do painel Adicionar Funções e Funcionalidades e selecione Seguinte para continuar.

  5. Selecione a opção Selecionar um servidor no conjunto de servidores no painel Seleção do Servidor e confirme o servidor da instalação da funcionalidade BitLocker.

  6. Selecione Seguinte no painel Funções do Servidor do assistente Adicionar Funções e Funcionalidades para avançar para o painel Funcionalidades .

  7. Selecione a caixa de verificação junto a Encriptação de Unidade bitLocker no painel Funcionalidades do assistente Adicionar Funções e Funcionalidades . O assistente apresentará as funcionalidades de gestão adicionais disponíveis para o BitLocker. Se não quiser instalar estas funcionalidades, desmarque a opção Incluir ferramentas de gestão e selecione Adicionar Funcionalidades. Assim que a seleção de funcionalidades opcionais estiver concluída, selecione Seguinte para continuar.

    Nota

    A funcionalidade Armazenamento Avançado é uma funcionalidade necessária para ativar o BitLocker. Esta funcionalidade permite o suporte para Discos Rígidos Encriptados em sistemas compatíveis.

  8. Selecione Instalar no painel Confirmação do Assistente para Adicionar Funções e Funcionalidades para iniciar a instalação da funcionalidade BitLocker. A funcionalidade BitLocker requer um reinício para ser concluída. Selecionar a opção Reiniciar o servidor de destino automaticamente se necessário no painel Confirmação forçará o reinício do computador após a conclusão da instalação.

  9. Se a caixa de verificação Reiniciar o servidor de destino automaticamente se necessário não estiver selecionada, o painel Resultados do Assistente para Adicionar Funções e Funcionalidades apresentará o êxito ou a falha da instalação da funcionalidade BitLocker. Se necessário, será apresentada no texto de resultados uma notificação de ações adicionais necessárias para concluir a instalação da funcionalidade, como o reinício do computador.

Adicionar o BitLocker com o PowerShell

Utilize o seguinte comando para cada servidor:

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Para executar o comando em todos os servidores de cluster ao mesmo tempo, utilize o seguinte script, modificando a lista de variáveis no início para se ajustarem ao seu ambiente:

Preencha estas variáveis com os seus valores.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

Esta parte executa o cmdlet Install-WindowsFeature em todos os servidores no $ServerList, transmitindo a lista de funcionalidades no $FeatureList.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Em seguida, reinicie todos os servidores:

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

Podem ser adicionadas várias funções e funcionalidades ao mesmo tempo. Por exemplo, para adicionar BitLocker, Clustering de Ativação Pós-falha e a função servidor de ficheiros, o $FeatureList incluiria todos os necessários separados por uma vírgula. Por exemplo:

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", "Failover-Clustering", "FS-FileServer"

Aprovisionar um volume encriptado

O aprovisionamento de uma unidade com encriptação BitLocker pode ser feito quando, em seguida, a unidade faz parte do Cluster de Ativação Pós-falha ou exterior antes de a adicionar. Para criar automaticamente o Protetor de Chaves Externas, a unidade tem de ser um recurso no Cluster de Ativação Pós-falha antes de ativar o BitLocker. Se o BitLocker estiver ativado antes de adicionar a unidade ao Cluster de Ativação Pós-falha, têm de ser realizados passos manuais adicionais para criar o Protetor de Chaves Externas.

O aprovisionamento de volumes encriptados exigirá que os comandos do PowerShell sejam executados com privilégios administrativos. Existem duas opções para encriptar as unidades e fazer com que o Clustering de Ativação Pós-falha possa criar e utilizar as suas próprias chaves BitLocker.

  • Chave de recuperação interna

  • Ficheiro de chave de recuperação externa

Encriptar com uma chave de recuperação

Encriptar as unidades com uma chave de recuperação permitirá criar e adicionar uma chave de recuperação BitLocker à base de dados do Cluster. À medida que a unidade está a ficar online, só precisa de consultar o ramo de registo do cluster local para obter a chave de recuperação.

Mova o recurso do disco para o nó onde a encriptação BitLocker será ativada:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Coloque o recurso do disco no Modo de Manutenção:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

Será apresentada uma caixa de diálogo que diz:

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 1'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Para continuar, prima Sim.

Para ativar a encriptação BitLocker, execute:

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

Depois de introduzir o comando, será apresentado um aviso que fornece uma palavra-passe de recuperação numérica. Guarde a palavra-passe numa localização segura, uma vez que também será necessária num próximo passo. O aviso terá um aspeto semelhante ao seguinte:


WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

Para obter as informações do protetor BitLocker para o volume, pode executar o seguinte comando:

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

Esta ação irá apresentar o ID do protetor de chaves e a cadeia de palavra-passe de recuperação.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

O ID do protetor de chaves e a palavra-passe de recuperação serão necessários e guardados numa nova propriedade privada de disco físico denominada BitLockerProtectorInfo. Esta nova propriedade será utilizada quando o recurso sair do Modo de Manutenção. O formato do protetor será uma cadeia onde o ID do protetor e a palavra-passe são separados por ":".

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

Para verificar se a chave e o valor BitlockerProtectorInfo estão definidos, execute o comando:

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Agora que as informações estão presentes, o disco pode ser retirado do modo de manutenção assim que o processo de encriptação estiver concluído.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

Se o recurso não ficar online, poderá ser um problema de armazenamento, uma palavra-passe de recuperação incorreta ou algum problema. Verifique se a chave BitlockerProtectorInfo tem as informações adequadas. Caso contrário, os comandos indicados anteriormente devem ser executados novamente. Se o problema não estiver relacionado com esta chave, recomendamos que aceda ao grupo adequado na sua organização ou ao fornecedor de armazenamento para resolver o problema.

Se o recurso estiver online, as informações estão corretas. Durante o processo de saída do modo de manutenção, a chave BitlockerProtectorInfo é removida e encriptada no recurso na base de dados do cluster.

Encriptar com o ficheiro de Chave de Recuperação Externa

Encriptar as unidades através de um ficheiro de chave de recuperação permitirá criar e aceder a uma chave de recuperação BitLocker a partir de uma localização à qual todos os nós têm acesso, como um servidor de ficheiros. À medida que a unidade está a ficar online, o nó proprietário ligar-se-á à chave de recuperação.

Mova o recurso do disco para o nó onde a encriptação BitLocker será ativada:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Coloque o recurso do disco no Modo de Manutenção:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

Será apresentada uma caixa de diálogo

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 2'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Para continuar, prima Sim.

Para ativar a encriptação BitLocker e criar o ficheiro de proteção de chaves localmente, execute o seguinte comando. É recomendado criar o ficheiro localmente primeiro e, em seguida, movê-lo para uma localização acessível a todos os nós.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

Para obter as informações do protetor BitLocker para o volume, pode executar o seguinte comando:

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

Esta ação irá apresentar o ID do protetor de chaves e o nome de ficheiro de chave que cria.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

Ao aceder à pasta que foi especificada ao criá-la, não a verá à primeira vista. O raciocínio é que será criado como um ficheiro oculto. Por exemplo:

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Uma vez que é criado num caminho local, tem de ser copiado para um caminho de rede para que todos os nós tenham acesso ao mesmo com o comando Copiar Item .

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Uma vez que a unidade irá utilizar um ficheiro e está localizada numa partilha de rede, coloque a unidade fora do modo de manutenção especificando o caminho para o ficheiro. Assim que a unidade estiver concluída com a encriptação, o comando a retomar será:

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Depois de a unidade ter sido aprovisionada, o *. O ficheiro BEK pode ser removido da partilha e já não é necessário.

Novos cmdlets do PowerShell

Com esta nova funcionalidade, foram criados dois novos cmdlets para colocar o recurso online ou retomar o recurso manualmente com a chave de recuperação ou o ficheiro de chave de recuperação.

Start-ClusterPhysicalDiskResource

Exemplo 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Exemplo 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

Exemplo 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Exemplo 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Novos eventos

Existem vários novos eventos que foram adicionados no canal de eventos Microsoft-Windows-FailoverClustering/Operational.

Quando for bem-sucedido na criação do protetor de chaves ou do ficheiro de proteção de chaves, o evento apresentado será semelhante a:

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

Se ocorrer uma falha na criação do protetor de chaves ou do ficheiro de proteção de chaves, o evento apresentado será semelhante a:

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Conforme mencionado anteriormente, uma vez que a base de dados do cluster é um arquivo replicado apoiado pelo volume do sistema em cada nó de cluster, recomenda-se que o volume do sistema em cada nó de cluster também esteja protegido pelo BitLocker. O Clustering de Ativação Pós-falha não o irá impor, uma vez que algumas soluções podem não querer ou precisar de encriptar o volume do sistema. Se a unidade de sistema não estiver protegida pelo BitLocker, o Cluster de Ativação Pós-falha irá sinalizar isto como um evento durante o processo de desbloqueio/online. O evento apresentado seria semelhante a:

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

A validação do Cluster de Ativação Pós-falha irá registar uma mensagem se detetar que se trata de uma configuração sem Active Directory ou de grupo de trabalho e que o volume do sistema não está encriptado.