Usare BitLocker con i volumi condivisi cluster (CSV)
Si applica a: Windows Server 2022; Azure Stack HCI, versioni 22H2 e 21H2
Panoramica di Bitlocker
Crittografia unità BitLocker è una funzionalità di protezione dei dati che si integra con il sistema operativo e gestisce le minacce di furto dei dati o l'esposizione causata dallo smarrimento, il furto o la disattivazione inappropriata dei computer.
BitLocker offre la maggior parte della protezione quando viene usato con un modulo TPM (Trusted Platform Module) versione 1.2 o successiva. Il TPM è un componente hardware installato dai produttori in molti computer recenti. Funziona con BitLocker per proteggere i dati degli utenti e per garantire che un computer non sia stato manomesso mentre il sistema era offline.
Sui computer senza TPM versione 1.2 o successiva, è ugualmente possibile usare BitLocker per crittografare l'unità del sistema operativo Windows. Tuttavia, questa implementazione richiede che l'utente inserisca una chiave di avvio USB per avviare il computer o riprenderlo dall'ibernazione. A partire da Windows 8, è possibile usare una password del volume per proteggere questo volume in un computer senza TPM. Entrambe le opzioni non forniscono la verifica dell'integrità del sistema prima dell'avvio assicurata da BitLocker con un TPM.
Oltre al TPM, BitLocker offre la possibilità di bloccare il normale processo di avvio fino a quando l'utente non fornisce un PIN (Personal Identification Number) o inserisce un dispositivo rimovibile. Questo dispositivo potrebbe essere un'unità flash USB che contiene una chiave di avvio. Queste misure di sicurezza aggiuntive consentono l'autenticazione a più fattori e garantiscono che il computer non venga avviato o l'esecuzione non venga ripresa dallo stato di ibernazione fino a quando non viene fornito il PIN corretto o la chiave di avvio appropriata.
Panoramica dei volumi condivisi del cluster
I volumi condivisi cluster (CSV) consentono a più nodi in un cluster di failover di Windows Server o in Azure Stack HCI di avere contemporaneamente l'accesso in lettura/scrittura allo stesso numero di unità logica (LUN) o disco di cui viene effettuato il provisioning come volume NTFS. È possibile effettuare il provisioning del disco come Resilient File System (ReFS). Tuttavia, l'unità CSV è in modalità reindirizzata, il che significa che l'accesso in scrittura viene inviato al nodo coordinatore. Con CSV, i ruoli cluster possono essere soggetti a failover da un nodo a un altro nodo può verificarsi rapidamente, senza necessità di modificare la proprietà dell'unità o di smontare e rimontare un volume. CSV semplifica anche la gestione di un numero potenzialmente elevato di LUN in un cluster di failover.
CSV offre un file system generale e in cluster a un livello superiore rispetto a NTFS o ReFS. Le applicazioni CSV includono:
- File di disco rigido virtuale (VHD/VHDX) in cluster per macchine virtuali Hyper-V
- Scalabilità orizzontale di condivisioni di file per l'archiviazione di dati applicazione per il ruolo del cluster File server di scalabilità orizzontale. Esempi dei dati applicazione per questo ruolo includono i file di VM Hyper-V e i dati di Microsoft SQL Server. ReFS non è supportato per un file server di scalabilità orizzontale in Windows Server 2012 R2 e versioni precedenti. Per maggiori informazioni su un file server di scalabilità orizzontale, consultare la sezione Panoramica di file server di scalabilità orizzontale per dati di applicazioni.
- Il carico di lavoro cluster microsoft SQL Server 2014 (o versione successiva) di Microsoft SQL Server in cluster in SQL Server 2012 e versioni precedenti di SQL Server non supporta l'uso di CSV.
- Windows Server 2019 o versione successiva di Microsoft Distributed Transaction Control (MSDTC)
Usare BitLocker con Volumi condivisi cluster
BitLocker nei volumi all'interno di un cluster viene gestito in base al modo in cui il servizio cluster "visualizza" il volume da proteggere. Il volume può essere una risorsa disco fisico, ad esempio un numero di unità logica (LUN) in una rete di archiviazione (SAN) o un'archiviazione collegata alla rete (NAS).
In alternativa, il volume può essere un volume condiviso cluster (CSV) all'interno del cluster. Quando si usa BitLocker con volumi designati per un cluster, è possibile abilitare il volume con BitLocker prima dell'aggiunta al cluster o quando si trova nel cluster. Inserire la risorsa in modalità di manutenzione prima di abilitare BitLocker.
Windows PowerShell o l'interfaccia della riga di comando Manage-BDE è il metodo preferito per gestire BitLocker nei volumi CSV. Questo metodo è consigliato sull'elemento Pannello di controllo BitLocker perché i volumi CSV sono punti di montaggio. I punti di montaggio sono un oggetto NTFS utilizzato per fornire un punto di ingresso ad altri volumi. I punti di montaggio non richiedono l'uso di una lettera di unità. I volumi che non dispongono di lettere di unità non vengono visualizzati nell'elemento Pannello di controllo BitLocker.
BitLocker sblocca i volumi protetti senza l'intervento dell'utente provando le protezioni nell'ordine seguente:
Chiave non crittografata
Chiave di sblocco automatico basata su driver
Protezione ADAccountOrGroup
Protezione del contesto del servizio
Protezione utente
Chiave di sblocco automatico basata sul Registro di sistema
Il cluster di failover richiede l'opzione di protezione basata su Active Directory per la risorsa disco del cluster. In caso contrario, le risorse CSV non sono disponibili nell'elemento Pannello di controllo.
Protezione Dominio di Active Directory Services (AD DS) per la protezione dei volumi in cluster contenuti nell'infrastruttura di Active Directory Domain Services. La protezione ADAccountOrGroup è una protezione basata su SID (Domain Security Identifier) che può essere associata a un account utente, a un account computer o a un gruppo. Quando viene effettuata una richiesta di sblocco per un volume protetto, il servizio BitLocker interrompe la richiesta e usa le API di protezione/rimozione della protezione bitLocker per sbloccare o negare la richiesta.
Nuove funzionalità
Nelle versioni precedenti di Windows Server e Azure Stack HCI, l'unica protezione di crittografia supportata è la protezione basata su SID in cui l'account usato è Cluster Name Object (CNO) creato in Active Directory come parte della creazione del clustering di failover. Si tratta di una progettazione sicura perché la protezione è archiviata in Active Directory e protetta dalla password CNO. Semplifica inoltre il provisioning e lo sblocco dei volumi perché ogni nodo del cluster di failover ha accesso all'account CNO.
Lo svantaggio è tre volte:
Questo metodo ovviamente non funziona quando viene creato un cluster di failover senza alcun accesso a un controller di Active Directory nel data center.
Lo sblocco del volume, come parte del failover, potrebbe richiedere troppo tempo (ed eventualmente timeout) se il controller di Active Directory non risponde o rallenta.
Il processo online dell'unità ha esito negativo se un controller di Active Directory non è disponibile.
È stata aggiunta una nuova funzionalità che il clustering di failover genera e gestisce la propria protezione con chiave BitLocker per un volume. Verrà crittografato e salvato nel database del cluster locale. Poiché il database del cluster è un archivio replicato supportato dal volume di sistema in ogni nodo del cluster, anche il volume di sistema in ogni nodo del cluster deve essere protetto da BitLocker. Il clustering di failover non lo applica perché alcune soluzioni potrebbero non volere o dover crittografare il volume di sistema. Se l'unità di sistema non è bitlockered, il cluster di failover contrassegna questo evento come evento di avviso durante il processo online e di sblocco. La convalida del cluster di failover registra un messaggio se rileva che si tratta di un'installazione del gruppo di lavoro o senza Active Directory e il volume di sistema non è crittografato.
Installazione della crittografia BitLocker
BitLocker è una funzionalità che deve essere aggiunta a tutti i nodi del cluster.
Aggiunta di BitLocker tramite Server Manager
Aprire Server Manager selezionando l'icona Server Manager o eseguendo servermanager.exe.
Selezionare Gestisci dalla barra di navigazione di Server manager, quindi selezionareAggiungi ruoli e funzioni per avviare la Procedura guidata per aggiungere ruoli e funzioni.
Con la Procedura guidata per aggiungere ruoli e funzioni aperta, selezionare Avanti nel riquadroPrima di iniziare (se visualizzato).
Selezionare Installazione basata sul ruolo o sulla funzione nel riquadro Tipo di installazione del riquadro Procedura guidata per aggiungere ruoli e funzioni e selezionare Avanti per continuare.
Selezionare l'opzione Selezionare un server dal pool di server nel riquadroSelezione server e confermare il server per l'installazione della funzionalità BitLocker.
Selezionare Avanti nel riquadro Ruoli server della procedura guidata Aggiungi ruoli e funzioni per procedere con il riquadro Funzionalità.
Selezionare la casella di controllo accanto a Crittografia unità BitLocker nel riquadroFunzionalità della procedura guidata Aggiungi ruoli e funzionalità. La procedura guidata mostrerà le funzionalità di gestione aggiuntive disponibili per BitLocker. Se non si desidera installare queste funzionalità, deselezionare l'opzione Includi strumenti di gestione e selezionare Aggiungi funzionalità. Al termine della selezione delle funzionalità facoltative, selezionare Avanti per continuare.
Nota
La funzionalità Avanzata Archiviazione è una funzionalità necessaria per l'abilitazione di BitLocker. Questa funzionalità abilita il supporto per i dischi rigidi crittografati nei sistemi in grado di supportare.
Selezionare Installa nel riquadro Conferma della Procedura guidata per aggiungere ruoli e funzioni per iniziare l'installazione della funzionalità BitLocker. Per completare l'installazione della funzionalità BitLocker è necessario riavviare. Se si seleziona l'opzione Riavvia automaticamente il server di destinazione se necessario nel riquadro Conferma, verrà forzato il riavvio del computer al termine dell'installazione.
Se la casella di controllo Riavvia automaticamente il server di destinazione se necessario non è selezionata, il riquadro Risultati della Procedura guidata per aggiungere ruoli e funzioni mostrerà il successo o l'insuccesso dell'installazione della funzionalità BitLocker. Se necessario, nel testo dei risultati verrà visualizzata una notifica di azione aggiuntiva necessaria per completare l'installazione della funzionalità, ad esempio il riavvio del computer.
Aggiungere BitLocker con PowerShell
Usare il seguente comando per ciascun server:
Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools
Per eseguire il comando su tutti i server cluster contemporaneamente, utilizzare lo script seguente, modificando l'elenco di variabili all'inizio per adattarlo all'ambiente:
Compila queste variabili con i tuoi valori.
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker"
In questa parte viene eseguito il cmdlet Install-WindowsFeature in tutti i server di $ServerList, passando l'elenco delle funzionalità in $FeatureList.
Invoke-Command ($ServerList) {
Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools
}
Riavviare quindi tutti i server:
$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos
È possibile aggiungere più ruoli e funzionalità contemporaneamente. Ad esempio, per aggiungere BitLocker, Clustering di failover e il ruolo File Server, l'$FeatureList includerà tutti gli elementi necessari separati da una virgola. Ad esempio:
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”
Effettuare il provisioning di un volume crittografato
Il provisioning di un'unità con crittografia BitLocker può essere eseguito quando l'unità fa parte del cluster di failover o all'esterno prima di aggiungerla. Per creare automaticamente la protezione con chiave esterna, l'unità deve essere una risorsa nel cluster di failover prima di abilitare BitLocker. Se BitLocker è abilitato prima di aggiungere l'unità al cluster di failover, è necessario eseguire ulteriori passaggi manuali per creare la protezione con chiave esterna.
Il provisioning di volumi crittografati richiederà l'esecuzione dei comandi di PowerShell con privilegi amministrativi. Sono disponibili due opzioni per crittografare le unità e fare in modo che Il clustering di failover sia in grado di creare e usare le proprie chiavi BitLocker.
Chiave di ripristino interna
File di chiave di ripristino esterno
Crittografare usando una chiave di ripristino
La crittografia delle unità tramite una chiave di ripristino consentirà la creazione e l'aggiunta di una chiave di ripristino bitLocker nel database del cluster. Poiché l'unità è in arrivo online, deve solo consultare l'hive del cluster locale per la chiave di ripristino.
Spostare la risorsa disco nel nodo in cui verrà abilitata la crittografia BitLocker:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1
Inserire la risorsa disco in modalità manutenzione:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource
Verrà visualizzata una finestra di dialogo che indica:
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Per continuare, premere Sì.
Per abilitare la crittografia BitLocker, eseguire:
Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector
Dopo aver immesso il comando, viene visualizzato un avviso e viene visualizzata una password di ripristino numerica. Salvare la password in una posizione sicura perché è necessaria anche in un passaggio successivo. L'avviso sarà simile alla seguente:
WARNING: ACTIONS REQUIRED:
1. Save this numerical recovery password in a secure location away from your computer:
271733-258533-688985-480293-713394-034012-061963-682044
To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.
Per ottenere le informazioni sulla protezione BitLocker per il volume, è possibile eseguire il comando seguente:
(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector
Verranno visualizzati sia l'ID di protezione della chiave che la stringa della password di ripristino.
KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :
L'ID di protezione della chiave e la password di ripristino saranno necessari e salvati in una nuova proprietà privata del disco fisico denominata BitLockerProtectorInfo. Questa nuova proprietà verrà usata quando la risorsa esce dalla modalità di manutenzione. Il formato della protezione sarà una stringa in cui l'ID di protezione e la password sono separati da un ":".
Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create
Per verificare che il valore e la chiave BitlockerProtectorInfo siano impostati, eseguire il comando:
Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo
Ora che le informazioni sono presenti, il disco può essere portato fuori dalla modalità di manutenzione al termine del processo di crittografia.
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource
Se la risorsa non riesce a essere online, potrebbe trattarsi di un problema di archiviazione, di una password di ripristino non corretta o di un problema. Verificare che la chiave BitlockerProtectorInfo disponga delle informazioni appropriate. In caso contrario, i comandi specificati in precedenza devono essere eseguiti di nuovo. Se il problema non si verifica con questa chiave, è consigliabile ottenere con il gruppo appropriato all'interno dell'organizzazione o con il fornitore di archiviazione per risolvere il problema.
Se la risorsa viene online, le informazioni sono corrette. Durante il processo di uscita dalla modalità di manutenzione, la chiave BitlockerProtectorInfo viene rimossa e crittografata nella risorsa nel database del cluster.
Crittografia con il file di chiave di ripristino esterno
La crittografia delle unità tramite un file di chiave di ripristino consentirà la creazione e l'accesso a una chiave di ripristino di BitLocker da un percorso a cui tutti i nodi hanno accesso, ad esempio un file server. Man mano che l'unità sarà online, il nodo proprietario si connetterà alla chiave di ripristino.
Spostare la risorsa disco nel nodo in cui verrà abilitata la crittografia BitLocker:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2
Inserire la risorsa disco in modalità manutenzione:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource
Viene visualizzata una finestra di dialogo
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Per continuare, premere Sì.
Per abilitare la crittografia BitLocker e creare il file di protezione della chiave in locale, eseguire il comando seguente. È consigliabile creare il file in locale e quindi spostarlo in un percorso accessibile a tutti i nodi.
Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster
Per ottenere le informazioni sulla protezione BitLocker per il volume, è possibile eseguire il comando seguente:
(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector
Verranno visualizzati sia l'ID di protezione della chiave che il nome file della chiave creato.
KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
Quando si passa alla cartella in cui è stata specificata la creazione, non verrà visualizzata a prima vista. Il motivo è che verrà creato come file nascosto. Ad esempio:
C:\Windows\Cluster\>dir f03
Directory of C:\\Windows\\Cluster
File Not Found
C:\Windows\Cluster\>dir /a f03
Directory of C:\Windows\Cluster
<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
C:\Windows\Cluster\>attrib f03
A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Poiché viene creato in un percorso locale, è necessario copiarlo in un percorso di rete in modo che tutti i nodi possano accedervi usando il comando Copy-Item .
Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir
Poiché l'unità usa un file e si trova in una condivisione di rete, disattivare la modalità di manutenzione dell'unità specificando il percorso del file. Una volta completata la crittografia dell'unità, il comando per riprenderlo sarà:
Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Dopo il provisioning dell'unità, *. Il file BEK può essere rimosso dalla condivisione e non è più necessario.
Nuovi cmdlet PowerShell
Con questa nuova funzionalità, sono stati creati due nuovi cmdlet per portare la risorsa online o riprendere manualmente la risorsa usando la chiave di ripristino o il file di chiave di ripristino.
Start-ClusterPhysicalDiskResource
Esempio 1
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
Esempio 2
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Resume-ClusterPhysicalDiskResource
Esempio 1
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
Esempio 2
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Nuovi eventi
Sono stati aggiunti diversi nuovi eventi nel canale eventi Microsoft-Windows-FailoverClustering/Operational.
Al termine della creazione del file di protezione con chiave o di protezione con chiave, l'evento visualizzato sarà simile al seguente:
Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.
Se si verifica un errore durante la creazione del file di protezione con chiave o protezione con chiave, l'evento visualizzato sarà simile al seguente:
Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume
Come accennato in precedenza, poiché il database del cluster è un archivio replicato supportato dal volume di sistema in ogni nodo del cluster, è consigliabile proteggere anche il volume di sistema in ogni nodo del cluster. Il clustering di failover non lo applica perché alcune soluzioni potrebbero non volere o dover crittografare il volume di sistema. Se l'unità di sistema non è protetta da BitLocker, il cluster di failover contrassegnerà questa operazione come evento durante il processo di sblocco/online. L'evento mostrato sarà simile al seguente:
Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1
La convalida del cluster di failover registra un messaggio se rileva che si tratta di un'installazione del gruppo di lavoro o senza Active Directory e il volume di sistema non è crittografato.