Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор BitLocker
Шифрование диска BitLocker — это функция защиты данных, которая интегрируется с операционной системой и устраняет угрозы кражи или раскрытия данных от потерянных, украденных или неадекватно списанных компьютеров.
BitLocker обеспечивает большую защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или более поздней. TPM — это аппаратный компонент, установленный на многих новых компьютерах производителями компьютеров. Он взаимодействует с BitLocker, чтобы помочь защитить данные пользователей и убедиться, что компьютер не подвергался изменениям, пока система была отключена.
На компьютерах, у которых нет TPM-модуля версии 1.2 или более поздней, вы по-прежнему можете использовать BitLocker для шифрования диска операционной системы Windows. Однако эта реализация требует, чтобы пользователь вставлял usb-ключ запуска для запуска компьютера или возобновления с гибернации. Начиная с Windows 8, вы можете использовать пароль тома операционной системы для защиты тома на компьютере без доверенного платформенного модуля. Ни одна из возможностей не предусматривает проверку целостности системы перед запуском, предлагаемую BitLocker при помощи доверенного платформенного модуля.
Помимо доверенного платформенного модуля, BitLocker дает вам возможность заблокировать обычный процесс запуска до тех пор, пока пользователь не предоставит личный идентификационный номер (ПИН-код) или не вставит съемное устройство. Это устройство может быть USB-флэш-накопителем, содержащим ключ запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и гарантируют, что компьютер не будет запускаться или возобновлять работу из режима гибернации до тех пор, пока не будет представлен правильный ПИН-код или ключ пуска.
Обзор объединенных томов кластера
Общие тома кластера (CSV) позволяют нескольким узлам в отказоустойчивом кластере Windows Server или локальном Azure одновременно иметь доступ на чтение и запись к одному и тому же логическому номеру единицы (LUN) или диску, подготовленному в качестве тома NTFS. Диск можно подготовить как отказоустойчивую файловую систему (ReFS). Однако диск CSV работает в перенаправленном режиме, что означает, что доступ на запись осуществляется через узел координатора. С помощью CSV кластеризованные роли могут быстро переключаться с одного узла на другой, не требуя изменения владельца диска или необходимости отключать и заново подключать том. Тома CSV также помогают упростить управление потенциально большим числом LUN в отказоустойчивом кластере.
CSV предоставляет универсальную кластерную файловую систему, расположенную над NTFS или ReFS. Применение CSV включает:
- Кластеризованные файлы виртуального жесткого диска (VHD/VHDX) для кластеризованных виртуальных машин Hyper-V
- Горизонтальное масштабирование общих папок для хранения данных приложения для кластеризованной роли Scale-Out файлового сервера. К примерам данных приложений для этой роли относятся файлы виртуальных машин Hyper-V и данные Microsoft SQL Server. ReFS не поддерживается для Scale-Out файлового сервера в Windows Server 2012 R2 и более ранних версий. Дополнительные сведения о файловом сервере Scale-Out см. в разделе Scale-Out файловый сервер для данных приложения.
- Кластеризованная рабочая нагрузка экземпляра отказоустойчивого кластера (FCI) Microsoft SQL Server 2014 (или более поздней версии) в SQL Server 2012 и более ранних версиях SQL Server не поддерживает использование CSV.
- Windows Server 2019 или более поздней версии Microsoft Distributed Transaction Control (MSDTC)
Использование BitLocker с общими томами кластера
BitLocker на томах в кластере управляется в зависимости от того, как служба кластера "видит" защищаемый том. Том может быть ресурсом физического диска, например, логическим номером единицы (LUN) в сети хранения данных (SAN) или сетевом хранилище данных (NAS).
Кроме того, том может быть общим томом кластера (CSV). При использовании BitLocker с томами, предназначенными для кластера, том можно включить с помощью BitLocker перед его добавлением в кластер или когда он уже находится в кластере. Перед включением BitLocker поместите ресурс в режим обслуживания.
Windows PowerShell или интерфейс командной строки Manage-BDE — это предпочтительный способ управления BitLocker на томах CSV. Этот метод рекомендуется использовать для элемента панели управления BitLocker, так как тома CSV являются точками подключения. Точки монтирования — это объект NTFS, используемый для предоставления точки входа другим томам. Точки подключения не требуют использования буквы диска. Тома, которые не имеют букв диска, не отображаются в элементе панели управления BitLocker.
BitLocker разблокирует защищенные тома без вмешательства пользователя, используя защитные средства в следующем порядке:
Очистить ключ
Ключ автоматической разблокировки на основе драйверов
Протектор ADAccountOrGroup
Защитник контекста сервиса
Средство защиты пользователей
Ключ автоматической разблокировки на основе реестра
Для отказоустойчивого кластера требуется параметр защиты на основе Active Directory для дискового ресурса кластера. В противном случае ресурсы CSV недоступны в элементе панели управления.
Средство защиты доменных служб Active Directory (AD DS) для защиты кластеризованных томов, находящихся в инфраструктуре AD DS. Защита ADAccountOrGroup — это идентификатор безопасности домена (SID), который может быть привязан к учетной записи пользователя, учетной записи компьютера или группе. Когда запрос разблокировки выполняется для защищенного тома, служба BitLocker прерывает запрос и использует API-интерфейсы защиты BitLocker, чтобы разблокировать или запретить запрос.
Новые функции
В предыдущих версиях Windows Server и Azure Local единственной поддерживаемой защитой шифрования была защита на основе SID, где используемая учетная запись — это объект имени кластера (CNO), который создается в Active Directory в рамках создания отказоустойчивой кластеризации. Это безопасная конструкция, так как средство защиты хранится в Active Directory и защищено паролем CNO. Кроме того, эта функция упрощает подготовку и разблокировку томов, так как каждый узел отказоустойчивого кластера имеет доступ к учетной записи CNO.
Недостаток заключается в трех аспектах:
Этот метод, очевидно, не работает при создании отказоустойчивого кластера без доступа к контроллеру Active Directory в центре обработки данных.
Разблокировка тома в рамках процесса перехода на резервный ресурс может занять слишком много времени (и, возможно, завершиться сбоем по тайм-ауту), если контроллер Active Directory не отвечает или работает медленно.
Процесс онлайн-активации диска завершается ошибкой, если контроллер Active Directory недоступен.
Добавлена новая функция, позволяющая отказоустойчивой кластеризации создавать и поддерживать собственное средство защиты ключей BitLocker для тома. Он будет зашифрован и сохранен в локальной базе данных кластера. Так как база данных кластера — это реплицированное хранилище, поддерживаемое системным томом на каждом узле кластера, системный том на каждом узле кластера также должен быть защищен BitLocker. Отказоустойчивая кластеризация не обязует использовать его, так как некоторые решения могут не захотеть или не нуждаться в шифровании системного тома. Если системный диск не разблокирован, отказоустойчивый кластер помечает это как предупреждение во время онлайн-процесса разблокировки. Проверка отказоустойчивого кластера регистрирует сообщение, если обнаруживается, что это установка без Active Directory или рабочей группы и системный том не зашифрован.
Установка шифрования BitLocker
BitLocker — это функция, которую необходимо добавить ко всем узлам кластера.
Добавление BitLocker с помощью диспетчера серверов
Откройте диспетчер серверов , выбрав значок диспетчера серверов или выполнив servermanager.exe.
Выберите "Управление" на панели навигации диспетчера серверов и выберите "Добавить роли и компоненты ", чтобы запустить мастер добавления ролей и компонентов.
При открытии Мастера добавления ролей и функций нажмите кнопку "Далее" в области "Перед началом работы" (если показано).
Выберите установку на основе ролей или компонентов на вкладке тип установки в мастере добавления ролей и компонентов и нажмите кнопку Далее.
Выберите сервер из параметра пула серверов в области выбора сервера и подтвердите сервер для установки компонента BitLocker.
Нажмите кнопку "Далее " на панели " Роли сервера " мастера добавления ролей и компонентов , чтобы перейти к панели "Компоненты ".
Установите флажок напротив шифрования диска BitLocker в области "Компоненты" мастера добавления ролей и компонентов. В мастере будут отображены дополнительные возможности управления, доступные для BitLocker. Если вы не хотите устанавливать эти функции, отключите параметр " Включить средства управления " и выберите "Добавить компоненты". После завершения выбора дополнительных компонентов нажмите кнопку "Далее ".
Замечание
Функция расширенного хранилища — это обязательный компонент для включения BitLocker. Эта функция обеспечивает поддержку зашифрованных жестких дисков в системах с поддержкой.
Выберите "Установить" на панели подтверждениямастера добавления ролей и компонентов , чтобы начать установку компонентов BitLocker. Для завершения установки BitLocker требуется выполнить перезагрузку. Если в области подтверждения выбрана опция "Перезапустить целевой сервер автоматически при необходимости", компьютер перезагрузится после завершения установки.
Если флажок Перезапустить целевой сервер автоматически, если требуется не выбран, в области РезультатовМастера добавления ролей и компонентов отобразится успешное выполнение или сбой установки функции BitLocker. При необходимости в тексте результатов будет отображаться уведомление о дополнительных действиях, которые необходимо выполнить для завершения установки компонента, таких как перезагрузка компьютера.
Добавление BitLocker с помощью PowerShell
Используйте следующую команду для каждого сервера:
Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools
Чтобы выполнить команду на всех серверах кластера одновременно, используйте следующий сценарий, изменив список переменных в начале, чтобы соответствовать вашей среде:
Заполните эти переменные значениями.
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker"
Эта часть запускает командлет Install-WindowsFeature на всех серверах из $ServerList, передавая список функций из $FeatureList.
Invoke-Command ($ServerList) {
Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools
}
Затем перезапустите все серверы:
$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos
Одновременно можно добавить несколько ролей и компонентов. Например, чтобы добавить BitLocker, отказоустойчивую кластеризацию и роль файлового сервера, $FeatureList будет включать все необходимые элементы, разделенные запятой. Рассмотрим пример.
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”
Подготовка зашифрованного тома
Подготовка диска с шифрованием BitLocker может быть выполнена, когда диск является частью отказоустойчивого кластера или вне кластера перед добавлением. Чтобы автоматически создать средство защиты внешних ключей, перед включением BitLocker диск должен быть ресурсом в отказоустойчивом кластере. Если BitLocker включен перед добавлением диска в отказоустойчивый кластер, необходимо выполнить дополнительные действия вручную, чтобы создать средство защиты внешних ключей.
Подготовка зашифрованных томов потребует выполнения команд PowerShell с правами администратора. Существуют два варианта шифрования дисков, чтобы отказоустойчивая кластеризация могла создавать и использовать собственные ключи BitLocker.
Внутренний ключ восстановления
Файл ключа внешнего восстановления
Шифрование с помощью ключа восстановления
Шифрование дисков с помощью ключа восстановления позволит создать и добавить ключ восстановления BitLocker в базу данных кластера. Когда диск подключается, ему нужно обратиться только к локальному кластеру реестра для получения ключа восстановления.
Переместите ресурс диска на узел, где будет включено шифрование BitLocker:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1
Поместите ресурс диска в режим обслуживания:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource
Откроется диалоговое окно, которое говорит:
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Чтобы продолжить, нажмите кнопку "Да".
Чтобы включить шифрование BitLocker, выполните следующую команду:
Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector
После ввода команды появится предупреждение и предоставляется числовой пароль восстановления. Сохраните пароль в безопасном расположении, так как он также необходим в предстоящем шаге. Предупреждение выглядит примерно так:
WARNING: ACTIONS REQUIRED:
1. Save this numerical recovery password in a secure location away from your computer:
271733-258533-688985-480293-713394-034012-061963-682044
To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.
Чтобы получить сведения о защите BitLocker для тома, можно выполнить следующую команду:
(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector
При этом будет отображаться идентификатор предохранителя ключей и строка пароля восстановления.
KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :
Идентификатор защиты ключей и пароль восстановления будут необходимы и сохранены в новом частном свойстве физического диска с именем BitLockerProtectorInfo. Это новое свойство будет использоваться при выходе ресурса из режима обслуживания. Формат предохранителя будет строкой, в которой идентификатор предохранителя и пароль разделены символом ":".
Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create
Чтобы убедиться, что ключ и значение BitlockerProtectorInfo заданы, выполните команду:
Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo
Теперь, когда информация присутствует, диск можно извлечь из режима обслуживания после завершения процесса шифрования.
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource
Если ресурс не в сети, это может быть проблема с хранилищем, неправильный пароль восстановления или некоторые проблемы. Убедитесь, что ключ BitlockerProtectorInfo содержит правильные сведения. Если это не так, команды, указанные ранее, должны выполняться снова. Если проблема не связана с этим ключом, рекомендуется обратиться к соотвествующей группе в вашей организации или к поставщику хранилища для решения этой проблемы.
Если ресурс становится доступным онлайн, информация верная. В процессе выхода из режима обслуживания ключ BitlockerProtectorInfo удаляется и шифруется под ресурсом в базе данных кластера.
Шифрование с помощью файла внешнего ключа восстановления
Шифрование дисков с помощью файла ключа восстановления позволит создать и получить доступ к ключу восстановления BitLocker из расположения, к которому имеют доступ все узлы, например файловый сервер. Когда диск подключается, владеющий узел подключится к ключу восстановления.
Переместите ресурс диска на узел, где будет включено шифрование BitLocker:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2
Поместите ресурс диска в режим обслуживания:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource
Откроется диалоговое окно
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Чтобы продолжить, нажмите кнопку "Да".
Чтобы включить шифрование BitLocker и создать файл защиты ключей локально, выполните следующую команду. Сначала создайте файл, а затем переместите его в расположение, доступное всем узлам.
Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster
Чтобы получить сведения о защите BitLocker для тома, можно выполнить следующую команду:
(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector
При этом будет отображаться идентификатор предохранителя ключа и имя файла ключа, которое он создает.
KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
При переходе к папке, в которой она была создана, вы не увидите ее на первый взгляд. Причина заключается в том, что он будет создан как скрытый файл. Рассмотрим пример.
C:\Windows\Cluster\>dir f03
Directory of C:\\Windows\\Cluster
File Not Found
C:\Windows\Cluster\>dir /a f03
Directory of C:\Windows\Cluster
<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
C:\Windows\Cluster\>attrib f03
A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Так как он создается на локальном пути, его необходимо скопировать в сетевой путь, чтобы все узлы имели к нему доступ с помощью команды Copy-Item .
Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir
Так как диск будет использовать файл и находится в общей сетевой папке, доведите диск из режима обслуживания, указав путь к файлу. После завершения работы диска с шифрованием команда возобновления будет:
Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
После завершения подготовки диска файл *.BEK можно удалить из общего доступа и он больше не нужен.
Новые командлеты PowerShell
С помощью этой новой функции были созданы два новых командлета для подключения ресурса к сети или возобновления ресурса вручную с помощью ключа восстановления или файла ключа восстановления.
Start-ClusterPhysicalDiskResource
Пример 1
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
Пример 2
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Resume-ClusterPhysicalDiskResource
Пример 1
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
Пример 2
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Новые события
В канале событий Microsoft-Windows-FailoverClustering/Operational добавлены несколько новых событий.
При успешном создании защитника ключа или файла защитника ключа показанное событие будет похоже на следующее:
Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.
Если возникает сбой при создании защитного устройства для ключа или файла защитного устройства для ключа, это событие будет похоже на следующее:
Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume
Как упоминалось ранее, так как база данных кластера — это реплицированное хранилище, поддерживаемое системным томом на каждом узле кластера, рекомендуется также защитить системный том на каждом узле кластера. Отказоустойчивая кластеризация не будет это применять, так как некоторые решения могут не хотеть или не нуждаться в шифровании системного тома. Если системный диск не защищен с помощью BitLocker, кластер отказоустойчивости пометит это как событие во время разблокировки или в процессе выхода в онлайн. Показанное событие будет похоже на следующее:
Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1
Проверка отказоустойчивого кластера регистрирует сообщение, если обнаруживает, что это настройка без Active Directory или в виде рабочей группы, а системный том не зашифрован.