Condividi tramite

Usare BitLocker con i volumi condivisi cluster (CSV)

  • Articolo

Si applica a: Azure Stack HCI, versione 21H2; Windows Server 2022

Panoramica di BitLocker

Crittografia unità BitLocker è una funzionalità di protezione dei dati che si integra con il sistema operativo e risolve le minacce di furti di dati o esposizione da computer smarriti, rubati o inadeguati.

BitLocker offre la maggior parte della protezione quando viene usato con un modulo TPM (Trusted Platform Module) versione 1.2 o successiva. Il TPM è un componente hardware installato in molti computer più recenti dai produttori di computer. Funziona con BitLocker per proteggere i dati utente e per assicurarsi che un computer non sia stato manomesso mentre il sistema era offline.

Nei computer che non dispongono di un TPM versione 1.2 o successiva, è comunque possibile usare BitLocker per crittografare l'unità del sistema operativo Windows. Tuttavia, questa implementazione richiederà all'utente di inserire una chiave di avvio USB per avviare il computer o riavviare il sistema dallo stato di ibernazione. A partire da Windows 8, è possibile usare una password del volume del sistema operativo per proteggere il volume in un computer senza TPM. Nessuna delle due opzioni fornisce la verifica dell'integrità del sistema di pre-avvio offerta da BitLocker con un TPM.

Oltre al TPM, BitLocker consente di bloccare il normale processo di avvio fino a quando l'utente non fornisce un PIN (Personal Identification Number) o inserisce un dispositivo rimovibile. Questo dispositivo potrebbe essere un'unità flash USB, che contiene una chiave di avvio. Queste misure di sicurezza aggiuntive forniscono l'autenticazione a più fattori e garantiscono che il computer non avvii o riprenda dall'ibernazione fino a quando non viene presentato il PIN o la chiave di avvio corretta.

Panoramica dei volumi condivisi del cluster

I volumi condivisi cluster (CSV) consentono a più nodi in un cluster di failover di Windows Server o azure Stack HCI di avere contemporaneamente l'accesso in lettura/scrittura allo stesso numero di unità logica (LUN) o disco di cui viene effettuato il provisioning come volume NTFS. È possibile effettuare il provisioning del disco come Resilient File System (ReFS). Tuttavia, l'unità CSV sarà in modalità reindirizzata, il che significa che l'accesso in scrittura verrà inviato al nodo coordinatore. Con CSV, i ruoli in cluster possono eseguire rapidamente il failover da un nodo a un altro senza dover modificare la proprietà dell'unità o smontare e rimontare un volume. CSV semplifica anche la gestione di un numero potenzialmente elevato di LUN in un cluster di failover.

CSV offre un file system generico e cluster su più livelli sopra NTFS o ReFS. Le applicazioni CSV includono:

  • File del disco rigido virtuale in cluster (VHD/VHDX) per le macchine virtuali Hyper-V in cluster
  • Aumentare le condivisioni file per archiviare i dati dell'applicazione per il ruolo cluster di file server Scale-Out. Esempi dei dati applicazione per questo ruolo includono i file di VM Hyper-V e i dati di Microsoft SQL Server. ReFS non è supportato per un file server Scale-Out in Windows Server 2012 R2 e versioni successive. Per altre informazioni su Scale-Out file server, vedere File server di scalabilità orizzontale per i dati dell'applicazione.
  • Microsoft SQL Server 2014 (o versione successiva) dell'istanza del cluster di failover Microsoft SQL Server carico di lavoro in cluster in SQL Server 2012 e versioni precedenti di SQL Server non supportano l'uso di CSV.
  • Windows Server 2019 o versione successiva Microsoft Distributed Transaction Control (MSDTC)

Usare BitLocker con volumi condivisi del cluster

BitLocker nei volumi all'interno di un cluster viene gestito in base al modo in cui il servizio cluster "visualizza" il volume da proteggere. Il volume può essere una risorsa disco fisico, ad esempio un numero di unità logica (LUN) in una rete di archiviazione (SAN) o un'archiviazione collegata alla rete (NAS).

In alternativa, il volume può essere un volume condiviso cluster (CSV) all'interno del cluster. Quando si usa BitLocker con volumi designati per un cluster, è possibile abilitare il volume con BitLocker prima dell'aggiunta al cluster o quando si trova nel cluster. Impostare la risorsa in modalità di manutenzione prima di abilitare BitLocker.

Windows PowerShell o l'interfaccia della riga di comando Manage-BDE è il metodo preferito per gestire BitLocker nei volumi CSV. Questo metodo è consigliato sull'elemento di bitLocker Pannello di controllo perché i volumi CSV sono punti di montaggio. I punti di montaggio sono un oggetto NTFS utilizzato per fornire un punto di ingresso ad altri volumi. I punti di montaggio non richiedono l'uso di una lettera di unità. I volumi che non dispongono di lettere di unità non vengono visualizzati nell'elemento Pannello di controllo BitLocker.

BitLocker sbloccherà i volumi protetti senza l'intervento dell'utente provando le protezioni nell'ordine seguente:

  1. Cancella chiave

  2. Chiave di sblocco automatico basata su driver

  3. Protezione ADAccountOrGroup

    1. Protezione del contesto del servizio

    2. Protezione utente

  4. Chiave di sblocco automatico basata sul Registro di sistema

Il cluster di failover richiede l'opzione di protezione basata su Active Directory per la risorsa disco del cluster. In caso contrario, le risorse CSV non sono disponibili nell'elemento Pannello di controllo.

Protezione Active Directory Domain Services (AD DS) per la protezione dei volumi in cluster contenuti nell'infrastruttura di Active Directory Domain Services. La protezione ADAccountOrGroup è una protezione basata su SID (Domain Security Identifier) che può essere associata a un account utente, a un account computer o a un gruppo. Quando viene effettuata una richiesta di sblocco per un volume protetto, il servizio BitLocker interrompe la richiesta e usa le API di protezione/rimozione della protezione bitLocker per sbloccare o negare la richiesta.

Nuove funzionalità

Nelle versioni precedenti di Windows Server e Azure Stack HCI, l'unica protezione di crittografia supportata è la protezione basata su SID in cui l'account usato è CNO (Cluster Name Object) creato in Active Directory come parte della creazione del clustering di failover. Si tratta di una progettazione sicura perché la protezione è archiviata in Active Directory e protetta dalla password CNO. Semplifica anche il provisioning e lo sblocco dei volumi perché ogni nodo del cluster di failover ha accesso all'account CNO.

Il lato negativo è tre volte:

  • Questo metodo ovviamente non funziona quando viene creato un cluster di failover senza alcun accesso a un controller di Active Directory nel data center.

  • Lo sblocco del volume, come parte del failover, potrebbe richiedere troppo tempo (ed eventualmente timeout) se il controller di Active Directory non risponde o è lento.

  • Il processo online dell'unità avrà esito negativo se un controller di Active Directory non è disponibile.

È stata aggiunta una nuova funzionalità che il clustering di failover genererà e manterrà la propria protezione con chiave BitLocker per un volume. Verrà crittografata e salvata nel database del cluster locale. Poiché il database del cluster è un archivio replicato supportato dal volume di sistema in ogni nodo del cluster, anche il volume di sistema in ogni nodo del cluster deve essere protetto da BitLocker. Il clustering di failover non lo applichererà perché alcune soluzioni potrebbero non volere o dover crittografare il volume di sistema. Se l'unità di sistema non è Bitlockered, il cluster di failover contrassegna questo come evento di avviso durante il processo online e sbloccato. La convalida del cluster di failover registrerà un messaggio se rileva che si tratta di un'installazione del gruppo di lavoro o meno di Active Directory e il volume di sistema non è crittografato.

Installazione della crittografia BitLocker

BitLocker è una funzionalità che deve essere aggiunta a tutti i nodi del cluster.

Aggiunta di BitLocker tramite Server Manager

  1. Aprire Server Manager selezionando l'icona Server Manager o eseguendo servermanager.exe.

  2. Selezionare Gestisci dalla barra di spostamento Server Manager e selezionare Aggiungi ruoli e funzionalità per avviare l'Aggiunta guidata ruoli e funzionalità.

  3. Dopo aver aperto l'Aggiunta guidata ruoli e funzionalità , selezionare Avanti nel riquadro Prima di iniziare (se visualizzato).

  4. Selezionare Installazione basata su ruoli o basata su funzionalità nel riquadro Tipo di installazione del riquadro Aggiungi ruoli e funzionalità guidata e selezionare Avanti per continuare.

  5. Selezionare l'opzione Seleziona un server dal pool di server nel riquadro Selezione server e confermare il server per l'installazione della funzionalità BitLocker.

  6. Selezionare Avanti nel riquadro Ruoli server della procedura guidata Aggiungi ruoli e funzionalità per passare al riquadro Funzionalità .

  7. Selezionare la casella di controllo accanto a Crittografia unità BitLocker nel riquadro Funzionalità della procedura guidata Aggiungi ruoli e funzionalità . La procedura guidata mostrerà le funzionalità di gestione aggiuntive disponibili per BitLocker. Se non si vogliono installare queste funzionalità, deselezionare l'opzione Includi strumenti di gestione e selezionare Aggiungi funzionalità. Al termine della selezione delle funzionalità facoltative, selezionare Avanti per continuare.

    Nota

    La funzionalità Di archiviazione avanzata è una funzionalità necessaria per l'abilitazione di BitLocker. Questa funzionalità abilita il supporto per i dischi rigidi crittografati nei sistemi in grado di supportare.

  8. Selezionare Installa nel riquadro Confermadell'Aggiunta guidata ruoli e funzionalità per avviare l'installazione delle funzionalità di BitLocker. Per completare l'installazione della funzionalità BitLocker è necessario riavviare. Selezionando l'opzione Riavvia automaticamente il server di destinazione se necessario nel riquadro Conferma verrà forzato il riavvio del computer al termine dell'installazione.

  9. Se la casella di controllo Riavvia automaticamente il server di destinazione se necessario non è selezionata, il riquadro Risultatidell'Aggiunta guidata ruoli e funzionalità visualizzerà l'esito positivo o negativo dell'installazione della funzionalità BitLocker. Se necessario, nel testo dei risultati verrà visualizzata una notifica di azione aggiuntiva necessaria per completare l'installazione della funzionalità, ad esempio il riavvio del computer.

Aggiungere BitLocker con PowerShell

Usare il comando seguente per ogni server:

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Per eseguire il comando in tutti i server cluster contemporaneamente, usare lo script seguente, modificando l'elenco di variabili all'inizio per adattarsi all'ambiente:

Compilare queste variabili con i valori.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

Questa parte esegue il cmdlet Install-WindowsFeature in tutti i server in $ServerList, passando l'elenco di funzionalità in $FeatureList.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Riavviare quindi tutti i server:

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

È possibile aggiungere più ruoli e funzionalità contemporaneamente. Ad esempio, per aggiungere BitLocker, Clustering di failover e il ruolo File Server, il $FeatureList includerà tutti gli elementi necessari separati da una virgola. Ad esempio:

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", "Failover-Clustering", "FS-FileServer"

Effettuare il provisioning di un volume crittografato

Il provisioning di un'unità con crittografia BitLocker può essere eseguito quando l'unità fa parte del cluster di failover o all'esterno prima di aggiungerla. Per creare automaticamente la protezione con chiave esterna, l'unità deve essere una risorsa nel cluster di failover prima di abilitare BitLocker. Se BitLocker è abilitato prima di aggiungere l'unità al cluster di failover, è necessario eseguire ulteriori passaggi manuali per creare la protezione con chiave esterna.

Il provisioning di volumi crittografati richiederà l'esecuzione dei comandi di PowerShell con privilegi amministrativi. Sono disponibili due opzioni per crittografare le unità e avere clustering di failover in grado di creare e usare le proprie chiavi BitLocker.

  • Chiave di ripristino interna

  • File di chiave di ripristino esterno

Crittografare usando una chiave di ripristino

La crittografia delle unità tramite una chiave di ripristino consentirà di creare e aggiungere una chiave di ripristino BitLocker nel database cluster. Poiché l'unità è online, deve solo consultare l'hive del cluster locale per la chiave di ripristino.

Spostare la risorsa disco nel nodo in cui verrà abilitata la crittografia BitLocker:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Inserire la risorsa disco in modalità di manutenzione:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

Verrà visualizzata una finestra di dialogo con il messaggio seguente:

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 1'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Per continuare, premere .

Per abilitare la crittografia BitLocker, eseguire:

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

Dopo aver immesso il comando, verrà visualizzato un avviso che fornisce una password di ripristino numerica. Salvare la password in una posizione sicura perché sarà necessaria anche in un passaggio successivo. L'avviso sarà simile al seguente:


WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

Per ottenere le informazioni sulla protezione BitLocker per il volume, è possibile eseguire il comando seguente:

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

Verranno visualizzati sia l'ID di protezione della chiave che la stringa della password di ripristino.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

L'ID di protezione con chiave e la password di ripristino saranno necessari e salvati in una nuova proprietà privata del disco fisico denominata BitLockerProtectorInfo. Questa nuova proprietà verrà usata quando la risorsa esce dalla modalità di manutenzione. Il formato della protezione sarà una stringa in cui l'ID di protezione e la password sono separati da un ":".

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

Per verificare che la chiave e il valore bitlockerProtectorInfo siano impostati, eseguire il comando :

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Ora che le informazioni sono presenti, il disco può essere disconnesso dalla modalità di manutenzione al termine del processo di crittografia.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

Se la risorsa non riesce a essere online, potrebbe trattarsi di un problema di archiviazione, di una password di ripristino non corretta o di un problema. Verificare che la chiave BitlockerProtectorInfo contenga le informazioni appropriate. In caso contrario, i comandi specificati in precedenza devono essere eseguiti di nuovo. Se il problema non riguarda questa chiave, è consigliabile ottenere con il gruppo appropriato all'interno dell'organizzazione o con il fornitore di archiviazione per risolvere il problema.

Se la risorsa viene online, le informazioni sono corrette. Durante il processo di uscita dalla modalità di manutenzione, la chiave BitlockerProtectorInfo viene rimossa e crittografata sotto la risorsa nel database del cluster.

Crittografia con il file della chiave di ripristino esterna

La crittografia delle unità tramite un file di chiave di ripristino consentirà di creare e accedere a una chiave di ripristino di BitLocker da un percorso a cui tutti i nodi hanno accesso, ad esempio un file server. Man mano che l'unità sarà online, il nodo proprietario si connetterà alla chiave di ripristino.

Spostare la risorsa disco nel nodo in cui verrà abilitata la crittografia BitLocker:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Inserire la risorsa disco in modalità di manutenzione:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

Verrà visualizzata una finestra di dialogo

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 2'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Per continuare, premere .

Per abilitare la crittografia BitLocker e creare il file di protezione della chiave in locale, eseguire il comando seguente. È consigliabile creare il file in locale e quindi spostarlo in una posizione accessibile a tutti i nodi.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

Per ottenere le informazioni sulla protezione BitLocker per il volume, è possibile eseguire il comando seguente:

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

Verranno visualizzati sia l'ID di protezione della chiave che il nome del file di chiave creato.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

Quando si passa alla cartella in cui è stata specificata la creazione, non verrà visualizzata a prima vista. Il motivo è che verrà creato come file nascosto. Ad esempio:

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Poiché viene creato in un percorso locale, è necessario copiarlo in un percorso di rete in modo che tutti i nodi possano accedervi usando il comando Copy-Item .

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Poiché l'unità usa un file e si trova in una condivisione di rete, disconnesse l'unità dalla modalità di manutenzione specificando il percorso del file. Dopo aver completato l'unità con la crittografia, il comando per riprenderlo sarà:

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Dopo il provisioning dell'unità, *. Il file BEK può essere rimosso dalla condivisione e non è più necessario.

Nuovi cmdlet di PowerShell

Con questa nuova funzionalità sono stati creati due nuovi cmdlet per portare online la risorsa o riprendere manualmente la risorsa usando la chiave di ripristino o il file della chiave di ripristino.

Start-ClusterPhysicalDiskResource

Esempio 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Esempio 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

Esempio 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Esempio 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Nuovi eventi

Esistono diversi nuovi eventi che sono stati aggiunti nel canale eventi Microsoft-Windows-FailoverClustering/Operational.

Quando l'operazione ha esito positivo nella creazione del file di protezione con chiave o protezione con chiave, l'evento visualizzato sarà simile al seguente:

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

Se si verifica un errore durante la creazione del file di protezione con chiave o protezione con chiave, l'evento visualizzato sarà simile al seguente:

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Come accennato in precedenza, poiché il database del cluster è un archivio replicato supportato dal volume di sistema in ogni nodo del cluster, è consigliabile proteggere anche il volume di sistema in ogni nodo del cluster. Il clustering di failover non lo applichererà perché alcune soluzioni potrebbero non volere o dover crittografare il volume di sistema. Se l'unità di sistema non è protetta da BitLocker, il cluster di failover contrassegna questo come evento durante il processo di sblocco/online. L'evento visualizzato sarà simile al seguente:

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

La convalida del cluster di failover registrerà un messaggio se rileva che si tratta di un'installazione del gruppo di lavoro o meno di Active Directory e il volume di sistema non è crittografato.