Proteger volumes compartilhados de cluster e redes de área de armazenamento com BitLocker
Este artigo descreve o procedimento para proteger CSVs (volumes compartilhados de cluster) e SANs (redes de área de armazenamento) com o BitLocker.
O BitLocker protege os recursos de disco físico e os volumes compartilhados de cluster versão 2.0 (CSV2.0). O BitLocker em volumes clusterizados fornece uma camada extra de proteção que pode ser usada para proteger dados confidenciais e altamente disponíveis. Os administradores usam essa camada extra de proteção para aumentar a segurança dos recursos. Somente determinadas contas de usuário forneceram acesso para desbloquear o volume do BitLocker.
Configurar o BitLocker em volumes compartilhados de cluster
Os volumes dentro de um cluster são gerenciados com a ajuda do BitLocker com base em como o serviço de cluster vê o volume a ser protegido. O volume pode ser um recurso de disco físico, como um LUN (número de unidade lógica) em uma SAN ou um NAS (armazenamento anexado à rede).
Importante
AS SANs usadas com o BitLocker devem ter obtido a Certificação de Hardware do Windows. Para obter mais informações, marcar Windows Hardware Lab Kit.
Os volumes designados para um cluster devem executar as seguintes tarefas:
- ativar o BitLocker: somente depois que essa tarefa for concluída, os volumes poderão ser adicionados ao pool de armazenamento
- deve colocar o recurso no modo de manutenção antes que as operações do BitLocker sejam concluídas.
Windows PowerShell ou a manage-bde.exe
ferramenta de linha de comando é o método preferencial para gerenciar o BitLocker em volumes CSV2.0. Esse método é recomendado no item Painel de Controle BitLocker porque os volumes CSV2.0 são pontos de montagem. Os pontos de montagem são um objeto NTFS que é usado para fornecer um ponto de entrada para outros volumes. Os pontos de montagem não exigem o uso de uma letra de unidade. Volumes que não têm letras de unidade não aparecem no item bitLocker Painel de Controle. Além disso, a nova opção de protetor baseada no Active Directory necessária para recursos de disco de cluster ou recursos CSV2.0 não está disponível no item Painel de Controle.
Observação
Os pontos de montagem podem ser usados para dar suporte a pontos de montagem remotos em compartilhamentos de rede baseados em SMB. Esse tipo de compartilhamento não tem suporte para criptografia BitLocker.
Se houver um armazenamento pouco provisionado, como um VHD (disco rígido virtual dinâmico), o BitLocker será executado no modo de criptografia Somente Espaço em Disco Usado . O manage-bde.exe -WipeFreeSpace
comando não pode ser usado para fazer a transição do volume para a criptografia de volume completo em volumes de armazenamento pouco provisionados. O uso do manage-bde.exe -WipeFreeSpace
comando é bloqueado para evitar a expansão de volumes pouco provisionados para ocupar todo o repositório de suporte enquanto limpa o espaço desocupado (gratuito).
Protetor baseado em Active Directory
Um protetor de Active Directory Domain Services (AD DS) também pode ser usado para proteger volumes clusterizados mantidos na infraestrutura do AD DS. O protetor do ADAccountOrGroup é um protetor baseado em SID (identificador de segurança de domínio) que pode ser associado a uma conta de usuário, conta de computador ou grupo. Quando uma solicitação de desbloqueio é feita para um volume protegido, os seguintes eventos ocorrem:
O serviço BitLocker interrompe a solicitação e usa as APIs de proteção/desproteção do BitLocker para desbloquear ou negar a solicitação.
O BitLocker desbloqueará volumes protegidos sem intervenção do usuário ao tentar protetores na seguinte ordem:
Limpar chave
Chave de desbloqueio automático baseada no driver
Protetor do ADAccountOrGroup
a. Protetor de contexto de serviço
b. Protetor de usuário
Chave de desbloqueio automático baseada em Registro
Observação
Um controlador de domínio Windows Server 2012 ou posterior é necessário para que esse recurso funcione corretamente.
Ativar o BitLocker antes de adicionar discos a um cluster usando Windows PowerShell
A criptografia BitLocker está disponível para discos antes que esses discos sejam adicionados a um pool de armazenamento de cluster.
Observação
A vantagem da criptografia BitLocker pode até mesmo ser disponibilizada para discos depois que eles são adicionados a um pool de armazenamento de cluster. A vantagem de criptografar volumes antes de adicioná-los a um cluster é que o recurso de disco não precisa ser suspenso para concluir a operação. Para ativar o BitLocker para um disco antes de adicioná-lo a um cluster:
Instale o recurso de Criptografia de Unidade do BitLocker se ele ainda não estiver instalado.
Verifique se o disco é formatado pelo NTFS e tem uma letra de unidade atribuída a ele.
Identifique o nome do cluster com Windows PowerShell.
Get-Cluster
Habilite o BitLocker em um volume com um protetor ADAccountOrGroup usando o nome do cluster. Por exemplo, use um comando como:
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
Aviso
Um protetor ADAccountOrGroup deve ser configurado usando o CNO do cluster para um volume habilitado para BitLocker para ser compartilhado em um Volume Compartilhado de Cluster ou para fazer failover corretamente em um cluster de failover tradicional.
Repita as etapas anteriores para cada disco no cluster.
Adicione os volumes ao cluster.
Ativar o BitLocker para um disco clusterizado usando Windows PowerShell
Quando o serviço de cluster já possui um recurso de disco, o recurso de disco precisa ser definido no modo de manutenção antes que o BitLocker possa ser habilitado. Para ativar o BitLocker para um disco clusterizado usando Windows PowerShell, execute as seguintes etapas:
Instale o recurso de criptografia de unidade do BitLocker se ele ainda não estiver instalado.
Verifique a status do disco de cluster usando Windows PowerShell.
Get-ClusterResource "Cluster Disk 1"
Coloque o recurso de disco físico no modo de manutenção usando Windows PowerShell.
Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource
Identifique o nome do cluster com Windows PowerShell.
Get-Cluster
Habilite um volume do BitLocker com um protetor ADAccountOrGroup usando o nome do cluster. Por exemplo, use um comando como:
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
Aviso
Um protetor ADAccountOrGroup deve ser configurado usando o CNO do cluster para que um volume habilitado para BitLocker seja compartilhado em um volume compartilhado por cluster ou para fazer failover corretamente em um cluster de failover tradicional.
Use Resume-ClusterResource para retirar o recurso de disco físico do modo de manutenção:
Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResource
Repita as etapas anteriores para cada disco no cluster.
Adicionar volumes criptografados do BitLocker a um cluster usando manage-bde.exe
Manage-bde.exe
também pode ser usado para habilitar o BitLocker em volumes clusterizados. As etapas necessárias para adicionar um recurso de disco físico ou volume CSV2.0 a um cluster existente são:
Verifique se o recurso de criptografia de unidade do BitLocker está instalado no computador.
Verifique se o novo armazenamento é formatado como NTFS.
Criptografe o volume, adicione uma chave de recuperação e adicione o administrador do cluster como uma chave protetora usando
manage-bde.exe
em uma janela prompt de comando. Por exemplo:manage-bde.exe -on -used <drive letter> -RP -sid domain\CNO$ -sync
- O BitLocker marcar para ver se o disco já faz parte de um cluster. Se for, os administradores encontrarão um bloco rígido. Caso contrário, a criptografia continuará.
- Usar o parâmetro -sync é opcional. No entanto, o uso do parâmetro -sync tem a vantagem de garantir que o comando aguarde até que a criptografia do volume seja concluída. Em seguida, o volume é liberado para uso no pool de armazenamento de cluster.
Abra o snap-in do Gerenciador de Cluster de Failover ou cmdlets do PowerShell de cluster para permitir que o disco seja clusterizado.
- Depois que o disco é clusterizado, ele é habilitado para CSV.
Durante a operação do recurso online, o cluster verifica se o disco é criptografado por BitLocker.
- Se o volume não estiver habilitado para BitLocker, ocorrerão operações online de cluster tradicionais.
- Se o volume estiver habilitado para BitLocker, o BitLocker verificará se o volume está bloqueado. Se o volume estiver bloqueado, o BitLocker representará o CNO e desbloqueará o volume usando o protetor CNO. Se essas ações por BitLocker falharem, um evento será registrado. O evento registrado afirmará que o volume não pôde ser desbloqueado e que a operação online falhou.
Depois que o disco estiver online no pool de armazenamento, ele pode ser adicionado a um CSV clicando com o botão direito do mouse no recurso de disco e escolhendo "Adicionar aos volumes compartilhados de cluster".
Os CSVs incluem volumes criptografados e não criptografados. Para marcar o status de um volume específico para criptografia BitLocker execute o manage-bde.exe -status
comando como um administrador com um caminho para o volume. O caminho deve ser aquele que está dentro do namespace CSV. Por exemplo:
manage-bde.exe -status "C:\ClusterStorage\volume1"
Recursos de disco físico
Ao contrário dos volumes CSV2.0, os recursos de disco físico só podem ser acessados por um nó de cluster por vez. Essa condição significa que operações como criptografar, descriptografar, bloquear ou desbloquear volumes exigem um contexto a ser executado. Por exemplo, um recurso de disco físico não poderá desbloquear ou descriptografar se ele não estiver administrando o nó de cluster que possui o recurso de disco porque o recurso de disco não está disponível.
Restrições às ações do BitLocker com volumes de cluster
A tabela a seguir contém informações sobre recursos de disco físico (ou seja, volumes de cluster de failover tradicionais) e CSV (volumes compartilhados de cluster) e as ações permitidas pelo BitLocker em cada situação.
Ação | No nó proprietário do volume de failover | No MDS (Servidor de Metadados) do CSV | Em (Servidor de Dados) DS do CSV | Modo de Manutenção |
---|---|---|---|---|
Manage-bde.exe -on |
Bloqueado | Bloqueado | Bloqueado | Permitido |
Manage-bde.exe -off |
Bloqueado | Bloqueado | Bloqueado | Permitido |
Manage-bde.exe Pause/Resume |
Bloqueado | Bloqueado** | Bloqueado | Permitido |
Manage-bde.exe -lock |
Bloqueado | Bloqueado | Bloqueado | Permitido |
Manage-bde.exe -wipe |
Bloqueado | Bloqueado | Bloqueado | Permitido |
Desbloquear | Automático por meio do serviço de cluster | Automático por meio do serviço de cluster | Automático por meio do serviço de cluster | Permitido |
Manage-bde.exe -protector -add |
Permitido | Permitido | Bloqueado | Permitido |
Manage-bde.exe -protector -delete |
Permitido | Permitido | Bloqueado | Permitido |
Manage-bde.exe -autounlock |
Permitido (não recomendado) | Permitido (não recomendado) | Bloqueado | Permitido (não recomendado) |
Manage-bde.exe -upgrade |
Permitido | Permitido | Bloqueado | Permitido |
Psiquiatra | Permitido | Permitido | Bloqueado | Permitido |
Estender | Permitido | Permitido | Bloqueado | Permitido |
Observação
Embora o manage-bde.exe -pause
comando esteja bloqueado em clusters, o serviço de cluster retoma automaticamente uma criptografia pausada ou descriptografia do nó MDS.
No caso em que um recurso de disco físico experimenta um evento de failover durante a conversão, o novo nó proprietário detecta que a conversão não está concluída e conclui o processo de conversão.
Outras considerações ao usar o BitLocker no CSV2.0
Algumas outras considerações a serem consideradas para o BitLocker no armazenamento clusterizado incluem:
- Os volumes do BitLocker precisam ser inicializados e iniciar a criptografia antes de estarem disponíveis para adicionar a um volume CSV2.0
- Se um administrador precisar descriptografar um volume CSV, remova o volume do cluster ou coloque-o no modo de manutenção de disco. O CSV pode ser adicionado de volta ao cluster enquanto aguarda a conclusão da descriptografia
- Se um administrador precisar começar a criptografar um volume CSV, remova o volume do cluster ou coloque-o no modo de manutenção
- Se a conversão for pausada com a criptografia em andamento e o volume CSV estiver offline do cluster, o thread de cluster (integridade marcar) retomará automaticamente a conversão quando o volume estiver online para o cluster
- Se a conversão for pausada com a criptografia em andamento e um volume de recurso de disco físico estiver offline do cluster, o driver BitLocker retomará automaticamente a conversão quando o volume estiver online para o cluster
- Se a conversão for pausada com a criptografia em andamento, enquanto o volume CSV estiver no modo de manutenção, o thread de cluster (integridade marcar) retomará automaticamente a conversão ao mover o volume de volta da manutenção
- Se a conversão for pausada com a criptografia em andamento, enquanto o volume de recursos de disco estiver no modo de manutenção, o driver BitLocker retomará automaticamente a conversão quando o volume é movido de volta do modo de manutenção