Schützen freigegebener Clustervolumes und SANs (Storage Area Networks) mit BitLocker

  • Artikel

In diesem Thema für IT-Experten wird beschrieben, wie der Schutz von CSVs (Cluster Shared Volumes, freigegebene Clustervolumes) und SANs mit BitLocker erfolgt.

BitLocker schützt sowohl physische Datenträgerressourcen als auch freigegebene Clustervolumes der Version 2.0 (CSV2.0). BitLocker für Clustervolumes bietet eine zusätzliche Schutzebene für Administratoren, die mit dem Schutz vertraulicher und hoch verfügbarer Daten befasst sind. Durch zusätzliche Schutzvorrichtungen für das Clustervolume können Administratoren eine zusätzliche Sicherheitsbarriere für Unternehmensressourcen hinzufügen, indem das Entsperren des BitLocker-Volumes nur bestimmten Benutzerkonten erlaubt wird.

Konfigurieren von BitLocker für freigegebene Clustervolumes

Verwenden von BitLocker mit Clustervolumes

Wie BitLocker Clustervolumes verwaltet, hängt von der Sicht des Clusterdiensts auf die zu schützenden Volumes ab. Das Volume kann eine physische Datenträgerressource wie eine logische Gerätenummer (Logical Unit Number, LUN) auf einem SAN (Storage Area Network) oder einem NAS (Network Attached Storage) sein.

Wichtig  

Für SANs, die mit BitLocker verwendet werden, ist die Windows-Hardwarezertifizierung erforderlich. Weitere Informationen finden Sie unter Windows Hardware Lab Kit.

 

Alternativ kann es sich bei dem Volume um ein freigegebenes Clustervolume (einen freigegebenen Namespace) innerhalb des Clusters handeln. Windows Server 2012 umfasst eine Erweiterung der CSV-Architektur (jetzt CSV2.0), um Unterstützung für BitLocker bereitzustellen. Wenn BitLocker mit Volumes verwendet wird, die für einen Cluster bestimmt sind, muss BitLocker für das Volume aktiviert werden, bevor das Volume dem Speicherpool im Cluster hinzugefügt wird, oder die Ressource muss vor dem Abschluss der BitLocker-Vorgänge in den Wartungsmodus versetzt werden.

Windows PowerShell oder die Befehlszeilenschnittstelle „manage-bde“ sind die bevorzugte Methode zur Verwaltung von BitLocker auf CSV2.0-Volumes. Diese Methode ist der BitLocker-Systemsteuerungsoption vorzuziehen, weil es sich bei CSV2.0-Volumes um Bereitstellungspunkte handelt. Bereitstellungspunkte entsprechen einem NTFS-Objekt, das einen Einstiegspunkt in andere Volumes bereitstellt. Bereitstellungspunkte erfordern keine Laufwerkbuchstaben. Volumes ohne Laufwerkbuchstaben werden in der BitLocker-Systemsteuerungsoption nicht angezeigt. Außerdem ist die neue Active Directory-basierte Schutzoption, die für Clusterdatenträger- oder CSV2.0-Ressourcen erforderlich ist, über die Systemsteuerungsoption nicht verfügbar.

Hinweis  

Bereitstellungspunkte können zur Unterstützung von Remotebereitstellungspunkten auf SMB-basierten Netzwerkfreigaben verwendet werden. Diese Art der Freigabe wird für die BitLocker-Verschlüsselung nicht unterstützt.

 

Bei spärlich bereitgestelltem Speicher wie einer dynamischen virtuellen Festplatte (Virtual Hard Disk, VHD) wird BitLocker im Modus „Nur verwendeten Speicherplatz verschlüsseln“ ausgeführt. Bei diesen Volumetypen kann der Befehl manage-bde –WipeFreeSpace nicht verwendet werden, um das Volume in die vollständige Volumeverschlüsselung zu überführen. Das liegt daran, dass die vollständige Verschlüsselung einen Endmarker für das Volume erfordert und die dynamische VHD-Erweiterung kein statisches Ende des Volumemarkers enthält.

Active Directory-basierter Schutz

Sie können auch Active Directory-Domänendienste (AD DS) für den Schutz von Clustervolumes in der AD DS-Infrastruktur verwenden. Die ADAccountOrGroup-Schutzkomponente ist ein Domänensicherheits-ID (SID)-basierter Schutz, der an ein Benutzerkonto, Computerkonto oder eine Gruppe gebunden werden kann. Wenn für ein geschütztes Volume eine Anforderung zum Entsperren gestellt wird, unterbricht der BitLocker-Dienst die Anforderung und verwendet die BitLocker-APIs zum Aktivieren oder Aufheben des Schutzes, um die Anforderung zu entsperren oder zu verweigern. BitLocker entsperrt die geschützten Volumes ohne Eingreifen des Benutzers. Die Schutzkomponenten werden in der folgenden Reihenfolge angewendet:

  1. Unverschlüsselter Schlüssel

  2. Treiberbasierte automatische Schlüsselentsperrung

  3. ADAccountOrGroup-Schutz

    1. Dienstkontextschutz

    2. Benutzerschutz

  4. Registrierungsbasierte automatische Schlüsselentsperrung

Hinweis  

Ein Domänencontroller ab Version Windows Server 2012 ist erforderlich, damit dieses Feature ordnungsgemäß funktioniert.

 

Aktivieren von BitLocker, bevor einem Cluster Datenträger mit Windows PowerShell hinzugefügt werden

Die BitLocker-Verschlüsselung steht Datenträgern vor und nach dem Hinzufügen zu einem Clusterspeicherpool zur Verfügung. Die Verschlüsselung der Volumes vor dem Hinzufügen zu einem Cluster hat den Vorteil, dass die Datenträgerressource kein Anhalten der Ressource erfordert, um den Vorgang abzuschließen. So aktivieren Sie BitLocker für einen Datenträger, bevor dieser einem Cluster hinzugefügt wird

  1. Installieren Sie das Feature für die BitLocker-Laufwerkverschlüsselung, falls es noch nicht installiert ist.

  2. Stellen Sie sicher, dass der Datenträger mit NTFS formatiert ist und ein Laufwerkbuchstabe zugewiesen wurde.

  3. Aktivieren Sie BitLocker mit einer Schutzkomponente Ihrer Wahl für das Volume. Im folgenden Windows PowerShell-Skriptbeispiel wird eine Kennwortschutzvorrichtung verwendet.

    Enable-BitLocker E: -PasswordProtector -Password $pw

  4. Ermitteln Sie den Namen des Clusters mit Windows PowerShell.

    Get-Cluster

  5. Fügen Sie dem Volume eine ADAccountOrGroup-Schutzvorrichtung hinzu, indem Sie den Clusternamen z. B. mit folgendem Befehl verwenden:

    Add-BitLockerProtector E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$

    Warnung  

    Eine ADAccountOrGroup-Schutzvorrichtung muss mithilfe des Cluster-CNOs (Cluster Name Object) hinzufügt werden, damit ein Volume mit BitLocker-Unterstützung in einem freigegebenen Clustervolume gemeinsam genutzt werden kann bzw. in einem herkömmlichen Failovercluster einen ordnungsgemäßen Failover ausführt.

     

  6. Wiederholen Sie die Schritte 1 bis 6 für jeden Datenträger im Cluster.

  7. Fügen Sie dem Cluster das oder die Volume(s) hinzu.

Aktivieren von BitLocker für einen Clusterdatenträger mithilfe von Windows PowerShell

Wenn der Clusterdienst bereits eine Datenträgerressource besitzt, muss diese in den Wartungsmodus versetzt werden, bevor BitLocker aktiviert werden kann. Führen Sie die folgenden Schritte aus, um BitLocker für einen Clusterdatenträger zu aktivieren:

  1. Installieren Sie das Feature für die BitLocker-Laufwerkverschlüsselung, falls es noch nicht installiert ist.

  2. Überprüfen Sie den Status des Clusterdatenträgers mithilfe von Windows PowerShell.

    Get-ClusterResource "Cluster Disk 1"

  3. Versetzen Sie die physische Datenträgerressource mit Windows PowerShell in den Wartungsmodus.

    Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource

  4. Aktivieren Sie BitLocker mit einer Schutzkomponente Ihrer Wahl für das Volume. Im folgenden Beispiel wird eine Kennwortschutzvorrichtung verwendet.

    Enable-BitLocker E: -PasswordProtector -Password $pw

  5. Ermitteln Sie den Namen des Clusters mit Windows PowerShell.

    Get-Cluster

  6. Fügen Sie dem Volume eine ADAccountOrGroup-Schutzvorrichtung mit dem Clusternamensobjekt (Cluster Name Object, CNO) hinzu. Verwenden Sie z. B. den folgenden Befehl:

    Add-BitLockerProtector E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$

    Warnung  

    Eine ADAccountOrGroup-Schutzvorrichtung muss mithilfe des Cluster-CNOs (Cluster Name Object) hinzufügt werden, damit ein Volume mit BitLocker-Unterstützung in einem freigegebenen Clustervolume gemeinsam genutzt werden kann bzw. in einem herkömmlichen Failovercluster einen ordnungsgemäßen Failover ausführt.

     

  7. Wiederholen Sie die Schritte 1 bis 6 für jeden Datenträger im Cluster.

  8. Fügen Sie dem Cluster das oder die Volume(s) hinzu.

Hinzufügen von BitLocker-verschlüsselten Volumes zu einem Cluster mit „manage-bde“

Sie können „manage-bde“ auch verwenden, um BitLocker für Clustervolumes zu aktivieren. Führen Sie die folgenden Schritte aus, um einem vorhandenen Cluster eine physische Datenträgerressource oder ein CSV2.0-Volume hinzuzufügen:

  1. Stellen Sie sicher, dass das Feature für die BitLocker-Laufwerkverschlüsselung auf dem Computer installiert ist.

  2. Stellen Sie sicher, dass der neue Speicher als NTFS formatiert ist.

  3. Verschlüsseln Sie das Volume, fügen Sie einen Wiederherstellungsschlüssel und den Clusteradministrator als Schutzschlüssel hinzu, indem Sie die Befehlszeilenschnittstelle „manage-bde“ verwenden (siehe Beispiel):

    • Manage-bde -on -used <drive letter> -RP -sid domain\CNO$ -sync

      1. BitLocker überprüft, ob der Datenträger bereits zum Cluster gehört. Wenn dies der Fall ist, wird den Administratoren ein „hard block“ (harter Block) gemeldet. Andernfalls wird die Verschlüsselung fortgesetzt.

      2. Die Verwendung des -sync-Parameters ist optional. Bei Verwendung des Parameters wartet der Befehl, bis die Volumeverschlüsselung abgeschlossen ist, bevor das Volume für die Verwendung im Clusterspeicherpool freigegeben wird.

  4. Öffnen Sie das Failovercluster-Manager-Snap-In oder die PowerShell-Cmdlets für Cluster, um den zu gruppierenden Datenträger zu aktivieren.

    • Nachdem der Datenträger gruppiert wurde, kann er auch für CSV aktiviert werden.

  5. Während des Onlineschaltens der Ressource überprüft der Cluster, ob der Datenträger von BitLocker verschlüsselt wurde.

    1. Wenn BitLocker für das Volume nicht aktiviert ist, wird der Cluster auf herkömmliche Weise online geschaltet.

    2. Wenn BitLocker für das Volume aktiviert ist, werden die folgenden Prüfschritte ausgeführt:

      • Wenn das Volume gesperrt ist, nimmt BitLocker die Identität des CNOs an und entsperrt das Volume mithilfe der CNO-Schutzvorrichtung. Bei einem Vorgangsfehler wird eine Ereignismeldung darüber protokolliert, dass das Volume nicht entsperrt und der Onlinevorgang nicht ausgeführt werden konnte.

  6. Nachdem der Datenträger im Speicherpool online ist, kann er einem CSV hinzugefügt werden. Klicken Sie dazu mit der rechten Maustaste auf die Datenträgerressource, und wählen Sie Zu freigegebenen Clustervolumes hinzufügen aus.

CSVs können sowohl verschlüsselte als auch unverschlüsselte Volumes enthalten. Zum Überprüfen des Status eines bestimmten Volumes für die BitLocker-Verschlüsselung können Administratoren den Befehl „manage-bde -status“ mit einem Volumepfad im CSV-Namespace verwenden, wie in der Beispielbefehlszeile unten veranschaulicht.

manage-bde -status "C:\ClusterStorage\volume1"

Physische Datenträgerressourcen

Anders als bei CSV2.0-Volumes kann jeweils nur ein Clusterknoten auf physische Datenträgerressourcen zugreifen. Für Vorgänge zum Verschlüsseln, Entschlüsseln, Sperren oder Entsperren von Volumes ist also ein Kontext erforderlich. Beispielsweise können Sie keine physische Datenträgerressource entsperren oder entschlüsseln, wenn Sie den Clusterknoten, der die Datenträgerressource besitzt, nicht verwalten. Die Datenträgerressource ist in diesem Fall nicht verfügbar.

Einschränkungen für BitLocker-Aktionen bei Clustervolumes

Die folgende Tabelle enthält Informationen sowohl zu physischen Datenträgerressourcen (d. h. Clustervolumes mit herkömmlichem Failover) und freigegebenen Clustervolumes (CSVs) als auch zu den Aktionen, die jeweils von BitLocker zugelassen werden.

Aktion

Für den Besitzerknoten des Failovervolumes

Für den Metadatenserver (MDS) des CSVs

Für den (Datenserver)-DS des CSVs

Wartungsmodus

Manage-bde –on

Blockiert

Blockiert

Blockiert

Zugelassen

Manage-bde –off

Blockiert

Blockiert

Blockiert

Zugelassen

Manage-bde Pause/Resume

Blockiert

Blockiert**

Blockiert

Zugelassen

Manage-bde –lock

Blockiert

Blockiert

Blockiert

Zugelassen

manage-bde –wipe

Blockiert

Blockiert

Blockiert

Zugelassen

Entsperren

Automatisch per Clusterdienst

Automatisch per Clusterdienst

Automatisch per Clusterdienst

Zugelassen

manage-bde –protector –add

Zugelassen

Zugelassen

Blockiert

Zugelassen

manage-bde -protector -delete

Zugelassen

Zugelassen

Blockiert

Zugelassen

manage-bde –autounlock

Zugelassen (nicht empfohlen)

Zugelassen (nicht empfohlen)

Blockiert

Zugelassen (nicht empfohlen)

Manage-bde -upgrade

Zugelassen

Zugelassen

Blockiert

Zugelassen

Verkleinern

Zugelassen

Zugelassen

Blockiert

Zugelassen

Erweitern

Zugelassen

Zugelassen

Blockiert

Zugelassen

 

Hinweis  

Obwohl der Befehl „manage-bde -pause“ in den Clustern blockiert ist, setzt der Clusterdienst eine angehaltene Verschlüsselung oder Entschlüsselung auf dem MDS-Knoten automatisch fort.

 

Wenn auf einer physischen Datenträgerressource während der Konvertierung ein Failoverereignis auftritt, erkennt der neue besitzende Knoten, dass die Konvertierung nicht vollständig ist und schließt den Konvertierungsvorgang ab.

Weitere Überlegungen zur Verwendung von BitLocker für CSV2.0

Bei der Verwendung von BitLocker für Clusterspeicher müssen einige weitere Aspekte berücksichtigt werden:

  • BitLocker-Volumes müssen initialisiert und die Verschlüsselung gestartet worden sein, bevor sie einem CSV2.0-Volume hinzugefügt werden können.

  • Wenn ein Administrator ein CSV-Volume entschlüsseln muss, entfernen Sie das Volume aus dem Cluster, oder versetzen Sie den Datenträger in den Wartungsmodus. Sie können das CSV dem Cluster wieder hinzufügen, während auf den Abschluss der Entschlüsselung gewartet wird.

  • Wenn ein Administrator mit der Verschlüsselung eines CSV-Volumes beginnen muss, entfernen Sie das Volume aus dem Cluster, oder versetzen Sie es in den Wartungsmodus.

  • Wenn die Konvertierung bei laufender Verschlüsselung angehalten wird und das CSV-Volume im Cluster offline ist, wird die Konvertierung vom Clusterthread (Integritätsprüfung) automatisch fortgesetzt, sobald das Volume im Cluster wieder online ist.

  • Wenn die Konvertierung bei laufender Verschlüsselung angehalten wird, und eine physische Datenträgerressource im Cluster offline ist, wird die Konvertierung vom BitLocker-Treiber automatisch fortgesetzt, sobald das Volume im Cluster wieder online ist.

  • Wenn die Konvertierung bei laufender Verschlüsselung angehalten wird, während sich das CSV-Volume im Wartungsmodus befindet, wird die Konvertierung vom Clusterthread (Integritätsprüfung) automatisch fortgesetzt, sobald der Wartungsmodus für das Volume beendet wird.

  • Wenn die Konvertierung bei laufender Verschlüsselung angehalten wird, während sich das Datenträgerressourcenvolume im Wartungsmodus befindet, wird die Konvertierung vom BitLocker-Treiber automatisch fortgesetzt, sobald der Wartungsmodus für das Volume beendet wird.