Używanie funkcji BitLocker z udostępnionymi woluminami klastra (CSV)

  • Artykuł

Dotyczy: Azure Stack HCI, wersja 21H2; Windows Server 2022

Omówienie funkcji BitLocker

Szyfrowanie dysków funkcją BitLocker to funkcja ochrony danych, która integruje się z systemem operacyjnym i rozwiązuje zagrożenia kradzieży lub narażenia danych przed utratą, kradzieżą lub niewłaściwie zlikwidowanymi komputerami.

Funkcja BitLocker zapewnia najlepszą ochronę wtedy, gdy jest używana wraz z modułem TPM w wersji 1.2 lub nowszej. Moduł TPM jest składnikiem sprzętowym zainstalowanym na wielu nowszych komputerach przez producentów komputerów. Działa z funkcją BitLocker, aby chronić dane użytkownika i zapewnić, że komputer nie został naruszony, gdy system był w trybie offline.

Na komputerach, które nie mają modułu TPM w wersji 1.2 lub nowszej, nadal można użyć funkcji BitLocker do szyfrowania dysku systemu operacyjnego Windows. Jednak w przypadku tej implementacji konieczne będzie użycie przez użytkownika klucza uruchomienia USB w celu uruchomienia komputera lub wznowienia jego pracy po hibernacji. Począwszy od systemu Windows 8, można użyć hasła woluminu systemu operacyjnego, aby chronić wolumin na komputerze bez modułu TPM. Żadna z opcji nie zapewnia weryfikacji integralności systemu przed uruchomieniem oferowanej przez funkcję BitLocker za pomocą modułu TPM.

Oprócz modułu TPM funkcja BitLocker umożliwia zablokowanie normalnego procesu uruchamiania, dopóki użytkownik nie dostarczy osobistego numeru identyfikacyjnego (PIN) lub wstawi urządzenie wymienne. To urządzenie może być dyskiem flash USB, który zawiera klucz uruchamiania. Te dodatkowe środki zabezpieczeń zapewniają uwierzytelnianie wieloskładnikowe i pewność, że komputer nie zostanie uruchomiony lub wznowione z hibernacji do momentu przedstawienia poprawnego numeru PIN lub klucza uruchamiania.

Omówienie udostępnionych woluminów klastra

Udostępnione woluminy klastra (CSV) umożliwiają wielu węzłom w klastrze trybu failover systemu Windows Server lub usłudze Azure Stack HCI jednoczesne uzyskiwanie dostępu do odczytu i zapisu do tego samego numeru jednostki logicznej (LUN) lub dysku, który jest aprowizowany jako wolumin NTFS. Dysk można aprowizować jako odporny system plików (ReFS). Jednak dysk CSV będzie w trybie przekierowania, co oznacza, że dostęp do zapisu zostanie wysłany do węzła koordynatora. W przypadku woluminów CSV role klastrowane mogą szybko przełączać się w tryb failover z jednego węzła do innego bez konieczności zmiany własności dysku lub odinstalowywanie i odinstalowywanie woluminu. Woluminy CSV ułatwiają także zarządzanie potencjalnie dużą liczbą jednostek LUN w klastrze trybu failover.

Plik CSV udostępnia system plików ogólnego przeznaczenia, klastrowany, który jest warstwowy powyżej systemu plików NTFS lub ReFS. Woluminy CSV mają m.in. następujące zastosowania:

  • Pliki klastrowanego wirtualnego dysku twardego (VHD/VHDX) dla klastrowanych maszyn wirtualnych funkcji Hyper-V
  • Skalowanie udziałów plików w poziomie w celu przechowywania danych aplikacji dla roli klastrowanej serwera plików Scale-Out. Przykładowe dane aplikacji dla tej roli to pliki maszyny wirtualnej funkcji Hyper-V i dane programu Microsoft SQL Server. System plików ReFS nie jest obsługiwany dla serwera plików Scale-Out w systemie Windows Server 2012 R2 i poniżej. Aby uzyskać więcej informacji na temat serwera plików Scale-Out, zobacz Serwer plików skalowalny w poziomie dla danych aplikacji.
  • Obciążenie klastra klastra trybu failover firmy Microsoft SQL Server 2014 (lub nowsze) w wersji 2014 (lub nowszej) klastrowanego klastra firmy Microsoft SQL Server w SQL Server 2012 r. i wcześniejszych wersjach SQL Server nie obsługuje korzystania z woluminów CSV.
  • Windows Server 2019 lub nowsza rozproszona kontrola transakcji firmy Microsoft (MSDTC)

Używanie funkcji BitLocker z udostępnionymi woluminami klastra

Funkcja BitLocker na woluminach w klastrze jest zarządzana w oparciu o sposób ochrony woluminu przez usługę klastra "wyświetla". Wolumin może być zasobem dysku fizycznego, takim jak numer JEDNOSTKI logicznej (LUN) w sieci magazynowania (SAN) lub magazyn dołączony do sieci (NAS).

Alternatywnie wolumin może być udostępnionym woluminem klastra (CSV) w klastrze. W przypadku korzystania z funkcji BitLocker z woluminami wyznaczonymi dla klastra można włączyć wolumin z funkcją BitLocker przed dodaniu go do klastra lub w klastrze. Przed włączeniem funkcji BitLocker umieść zasób w tryb konserwacji.

Windows PowerShell lub interfejs wiersza polecenia Manage-BDE jest preferowaną metodą zarządzania funkcją BitLocker na woluminach CSV. Ta metoda jest zalecana w elemencie Panel sterowania funkcji BitLocker, ponieważ woluminy CSV są punktami instalacji. Punkty instalacji to obiekt NTFS, który służy do udostępniania punktu wejścia do innych woluminów. Punkty instalacji nie wymagają użycia litery dysku. Woluminy, które nie mają liter dysku, nie są wyświetlane w elemencie Panel sterowania funkcji BitLocker.

Funkcja BitLocker odblokuje chronione woluminy bez interwencji użytkownika, próbując chronić w następującej kolejności:

  1. Wyczyść klucz

  2. Klucz automatycznego odblokowywania opartego na sterownikach

  3. Ochrona grupy ADAccountOrGroup

    1. Ochrona kontekstu usługi

    2. Ochrona użytkownika

  4. Klucz automatycznego odblokowywania opartego na rejestrze

Klaster trybu failover wymaga opcji ochrony opartej na usłudze Active Directory dla zasobu dysku klastra. W przeciwnym razie zasoby CSV nie są dostępne w elemencie Panel sterowania.

Ochrona Active Directory Domain Services (AD DS) w celu ochrony woluminów klastrowanych przechowywanych w infrastrukturze usług AD DS. Funkcja ochrony ADAccountOrGroup to ochrona oparta na identyfikatorze zabezpieczeń domeny (SID), która może być powiązana z kontem użytkownika, kontem komputera lub grupą. Po wysłaniu żądania odblokowania dla chronionego woluminu usługa BitLocker przerywa żądanie i używa interfejsów API ochrony/wyłączania ochrony funkcji BitLocker w celu odblokowania lub odmowy żądania.

Nowe funkcje

W poprzednich wersjach systemów Windows Server i Azure Stack HCI jedynym obsługiwanym funkcją ochrony szyfrowania jest ochrona oparta na identyfikatorze SID, w której używane konto jest obiektem nazwy klastra (CNO), który jest tworzony w usłudze Active Directory w ramach tworzenia klastra trybu failover. Jest to bezpieczny projekt, ponieważ funkcja ochrony jest przechowywana w usłudze Active Directory i chroniona hasłem CNO. Ponadto ułatwia aprowizację i odblokowywanie woluminów, ponieważ każdy węzeł klastra trybu failover ma dostęp do konta obiektu CNO.

Wadą jest trzykrotnie:

  • Ta metoda oczywiście nie działa, gdy klaster trybu failover jest tworzony bez żadnego dostępu do kontrolera usługi Active Directory w centrum danych.

  • Odblokowanie woluminu w ramach trybu failover może potrwać zbyt długo (i prawdopodobnie upłynął limit czasu), jeśli kontroler usługi Active Directory nie odpowiada lub działa wolno.

  • Proces online dysku zakończy się niepowodzeniem, jeśli kontroler usługi Active Directory jest niedostępny.

Dodano nową funkcję, że klaster trybu failover będzie generować i obsługiwać własną ochronę klucza funkcji BitLocker dla woluminu. Zostanie ona zaszyfrowana i zapisana w lokalnej bazie danych klastra. Ponieważ baza danych klastra jest replikowanym magazynem wspieranym przez wolumin systemowy w każdym węźle klastra, wolumin systemowy w każdym węźle klastra powinien być również chroniony przez funkcję BitLocker. Klaster trybu failover nie będzie wymuszany, ponieważ niektóre rozwiązania mogą nie chcieć lub muszą zaszyfrować wolumin systemowy. Jeśli dysk systemowy nie jest funkcją BitLocker, klaster trybu failover będzie oznaczać to zdarzenie ostrzegawcze podczas procesu online i odblokowywania. Sprawdzanie poprawności klastra trybu failover spowoduje zarejestrowanie komunikatu, jeśli wykryje, że jest to konfiguracja bez usługi Active Directory lub grupy roboczej, a wolumin systemowy nie jest zaszyfrowany.

Instalowanie szyfrowania funkcją BitLocker

Funkcja BitLocker to funkcja, która musi zostać dodana do wszystkich węzłów klastra.

Dodawanie funkcji BitLocker przy użyciu Menedżera serwera

  1. Otwórz Menedżer serwera, wybierając ikonę Menedżer serwera lub uruchamiając servermanager.exe.

  2. Wybierz pozycję Zarządzaj na pasku nawigacyjnym Menedżer serwera i wybierz pozycję Dodaj role i funkcje, aby uruchomić Kreatora dodawania ról i funkcji.

  3. Po otwarciu Kreatora dodawania ról i funkcji wybierz pozycję Dalej w okienku Przed rozpoczęciem (jeśli jest wyświetlana).

  4. Wybierz pozycję Instalacja oparta na rolach lub oparta na funkcjach w okienku Typ instalacji w okienku Kreator dodawania ról i funkcji , a następnie wybierz przycisk Dalej , aby kontynuować.

  5. Wybierz opcję Wybierz serwer z puli serwerów w okienku Wybór serwera i potwierdź serwer instalacji funkcji BitLocker.

  6. Wybierz pozycję Dalej w okienku Role serwera kreatora Dodawanie ról i funkcji , aby przejść do okienka Funkcje .

  7. Zaznacz pole wyboru obok pozycji Szyfrowanie dysków funkcją BitLocker w okienku Funkcje kreatora Dodawanie ról i funkcji . Kreator wyświetli dodatkowe funkcje zarządzania dostępne dla funkcji BitLocker. Jeśli nie chcesz instalować tych funkcji, usuń zaznaczenie opcji Dołącz narzędzia do zarządzania i wybierz pozycję Dodaj funkcje. Po zakończeniu wyboru opcjonalnych funkcji wybierz przycisk Dalej , aby kontynuować.

    Uwaga

    Funkcja rozszerzonego magazynu jest wymaganą funkcją włączania funkcji BitLocker. Ta funkcja umożliwia obsługę zaszyfrowanych dysków twardych w systemach z obsługą.

  8. Wybierz pozycję Zainstaluj w okienku PotwierdzenieKreatora dodawania ról i funkcji , aby rozpocząć instalację funkcji BitLocker. Funkcja BitLocker wymaga ukończenia ponownego uruchomienia. Wybranie opcji Uruchom ponownie serwer docelowy automatycznie, jeśli jest to wymagane , w okienku Potwierdzenie wymusi ponowne uruchomienie komputera po zakończeniu instalacji.

  9. Jeśli pole wyboru Uruchom ponownie serwer docelowy automatycznie, jeśli jest wymagane , nie jest zaznaczone, okienko WynikiKreatora dodawania ról i funkcji wyświetli powodzenie lub niepowodzenie instalacji funkcji BitLocker. W razie potrzeby w tekście wyników zostanie wyświetlone powiadomienie o dodatkowej akcji niezbędnej do ukończenia instalacji funkcji, takiej jak ponowne uruchomienie komputera.

Dodawanie funkcji BitLocker przy użyciu programu PowerShell

Użyj następującego polecenia dla każdego serwera:

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Aby uruchomić polecenie na wszystkich serwerach klastra w tym samym czasie, użyj następującego skryptu, modyfikując listę zmiennych na początku, aby dopasować środowisko:

Wypełnij te zmienne swoimi wartościami.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

Ta część uruchamia polecenie cmdlet Install-WindowsFeature na wszystkich serwerach w $ServerList, przekazując listę funkcji w $FeatureList.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Następnie uruchom ponownie wszystkie serwery:

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

Jednocześnie można dodać wiele ról i funkcji. Aby na przykład dodać funkcję BitLocker, klaster trybu failover i rolę Serwera plików, $FeatureList będzie zawierać wszystkie potrzebne elementy rozdzielone przecinkami. Na przykład:

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", "Failover-Clustering", "FS-FileServer"

Aprowizuj zaszyfrowany wolumin

Aprowizowanie dysku za pomocą szyfrowania funkcją BitLocker można wykonać, gdy dysk jest częścią klastra trybu failover lub poza nim przed dodaniem go. Aby automatycznie utworzyć funkcję ochrony klucza zewnętrznego, dysk musi być zasobem w klastrze trybu failover przed włączeniem funkcji BitLocker. Jeśli funkcja BitLocker jest włączona przed dodaniem dysku do klastra trybu failover, należy wykonać dodatkowe czynności ręczne w celu utworzenia funkcji ochrony klucza zewnętrznego.

Aprowizowanie zaszyfrowanych woluminów wymaga uruchomienia poleceń programu PowerShell z uprawnieniami administracyjnymi. Istnieją dwie opcje szyfrowania dysków i możliwość tworzenia i używania własnych kluczy funkcji BitLocker przez klaster trybu failover.

  • Wewnętrzny klucz odzyskiwania

  • Plik klucza odzyskiwania zewnętrznego

Szyfrowanie przy użyciu klucza odzyskiwania

Szyfrowanie dysków przy użyciu klucza odzyskiwania umożliwi utworzenie i dodanie klucza odzyskiwania funkcji BitLocker do bazy danych klastra. Ponieważ dysk jest dostępny w trybie online, musi tylko skonsultować się z gałęzią klastra lokalnego dla klucza odzyskiwania.

Przenieś zasób dysku do węzła, w którym zostanie włączone szyfrowanie funkcją BitLocker:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Umieść zasób dysku w trybie konserwacji:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

Zostanie wyświetlone okno dialogowe z informacją:

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 1'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Aby kontynuować, naciśnij przycisk Tak.

Aby włączyć szyfrowanie funkcją BitLocker, uruchom polecenie:

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

Po wprowadzeniu polecenia zostanie wyświetlone ostrzeżenie zawierające hasło odzyskiwania liczbowego. Zapisz hasło w bezpiecznej lokalizacji, ponieważ będzie ono również potrzebne w nadchodzącym kroku. Ostrzeżenie będzie wyglądać podobnie do następującego:


WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

Aby uzyskać informacje o funkcji ochrony funkcji BitLocker dla woluminu, można uruchomić następujące polecenie:

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

Spowoduje to wyświetlenie zarówno identyfikatora ochrony klucza, jak i ciągu hasła odzyskiwania.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

Identyfikator ochrony klucza i hasło odzyskiwania będą potrzebne i zapisane w nowej właściwości prywatnej dysku fizycznego o nazwie BitLockerProtectorInfo. Ta nowa właściwość będzie używana, gdy zasób wyjdzie z trybu konserwacji. Format ochrony będzie ciągiem, w którym identyfikator ochrony i hasło są oddzielone ciągiem ":".

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

Aby sprawdzić, czy ustawiono klucz i wartość bitlockerProtectorInfo , uruchom polecenie:

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Teraz, gdy informacje są obecne, dysk można wywieźć z trybu konserwacji po zakończeniu procesu szyfrowania.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

Jeśli zasób nie powiedzie się w trybie online, może to być problem z magazynem, nieprawidłowe hasło odzyskiwania lub problem. Sprawdź, czy klucz BitlockerProtectorInfo ma odpowiednie informacje. Jeśli tak nie jest, polecenia podane wcześniej powinny być uruchamiane ponownie. Jeśli problem nie dotyczy tego klucza, zalecamy uzyskanie odpowiedniej grupy w organizacji lub dostawcy magazynu, aby rozwiązać ten problem.

Jeśli zasób jest dostępny w trybie online, informacje są poprawne. Podczas procesu wyjmowania trybu konserwacji klucz BitlockerProtectorInfo jest usuwany i szyfrowany w ramach zasobu w bazie danych klastra.

Szyfrowanie przy użyciu pliku klucza odzyskiwania zewnętrznego

Szyfrowanie dysków przy użyciu pliku klucza odzyskiwania umożliwi utworzenie i uzyskanie dostępu do klucza odzyskiwania funkcji BitLocker z lokalizacji, do którego mają dostęp wszystkie węzły, takie jak serwer plików. Gdy dysk będzie dostępny w trybie online, węzeł będąc właścicielem połączy się z kluczem odzyskiwania.

Przenieś zasób dysku do węzła, w którym zostanie włączone szyfrowanie funkcją BitLocker:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Umieść zasób dysku w trybie konserwacji:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

Zostanie wyświetlone okno dialogowe

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 2'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Aby kontynuować, naciśnij przycisk Tak.

Aby włączyć szyfrowanie za pomocą funkcji BitLocker i utworzyć plik ochrony klucza lokalnie, uruchom następujące polecenie. Najpierw należy utworzyć plik lokalnie, a następnie przenieść go do lokalizacji dostępnej dla wszystkich węzłów.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

Aby uzyskać informacje o funkcji ochrony funkcji BitLocker dla woluminu, można uruchomić następujące polecenie:

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

Spowoduje to wyświetlenie zarówno identyfikatora ochrony klucza, jak i nazwy pliku klucza, który zostanie utworzony.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

Podczas przechodzenia do folderu, w którym została określona, nie zobaczysz go na pierwszy rzut oka. Rozumowanie polega na tym, że zostanie on utworzony jako ukryty plik. Na przykład:

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Ponieważ jest to tworzone na ścieżce lokalnej, należy skopiować ją do ścieżki sieciowej, aby wszystkie węzły miały do niego dostęp przy użyciu polecenia Copy-Item .

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Ponieważ dysk będzie używać pliku i znajduje się w udziale sieciowym, przełącz dysk w tryb konserwacji określający ścieżkę do pliku. Po zakończeniu szyfrowania dysku polecenie wznowienia będzie następujące:

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Po aprowizacji dysku *. Plik BEK można usunąć z udziału i nie jest już potrzebny.

Nowe polecenia cmdlet programu PowerShell

Dzięki tej nowej funkcji utworzono dwa nowe polecenia cmdlet, aby przenieść zasób do trybu online lub wznowić zasób ręcznie przy użyciu klucza odzyskiwania lub pliku klucza odzyskiwania.

Start-ClusterPhysicalDiskResource

Przykład 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Przykład 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

Przykład 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Przykład 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Nowe zdarzenia

Istnieje kilka nowych zdarzeń, które zostały dodane w kanale zdarzeń Microsoft-Windows-FailoverClustering/Operational.

Po pomyślnym utworzeniu pliku ochrony klucza lub ochrony klucza pokazane zdarzenie będzie podobne do następującego:

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

Jeśli wystąpił błąd podczas tworzenia pliku ochrony klucza lub ochrony klucza, pokazane zdarzenie będzie podobne do następującego:

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Jak wspomniano wcześniej, ponieważ baza danych klastra jest replikowanym magazynem wspieranym przez wolumin systemowy w każdym węźle klastra, zaleca się, aby wolumin systemowy w każdym węźle klastra był również chroniony funkcją BitLocker. Klaster trybu failover nie będzie wymuszany, ponieważ niektóre rozwiązania mogą nie chcieć lub muszą zaszyfrować wolumin systemowy. Jeśli dysk systemowy nie jest zabezpieczony przez funkcję BitLocker, klaster trybu failover będzie oznaczać to zdarzenie podczas procesu odblokowywania/online. Pokazane zdarzenie będzie podobne do następującego:

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

Sprawdzanie poprawności klastra trybu failover spowoduje zarejestrowanie komunikatu, jeśli wykryje, że jest to konfiguracja bez usługi Active Directory lub grupy roboczej, a wolumin systemowy nie jest zaszyfrowany.