Защита общих томов кластера и сетей хранения с помощью BitLocker
В этой статье описывается процедура защиты общих томов кластера (CSV) и сетей сетей хранения (SAN) с помощью BitLocker.
BitLocker защищает ресурсы физических дисков и общие тома кластера версии 2.0 (CSV2.0). BitLocker на кластеризованных томах обеспечивает дополнительный уровень защиты, который можно использовать для защиты конфиденциальных и высокодоступных данных. Администраторы используют этот дополнительный уровень защиты для повышения безопасности ресурсов. Доступ для разблокировки тома BitLocker предоставлен только определенным учетным записям пользователей.
Настройка BitLocker на общих томах кластера
Управление томами в кластере осуществляется с помощью BitLocker в зависимости от того, как служба кластера видит защищаемый том. Том может быть ресурсом физического диска, например логическим номером единицы (LUN) в сети SAN или сетевым хранилищем (NAS).
Важно.
SaN, используемые с BitLocker, должны иметь сертификацию оборудования Windows. Дополнительные сведения проверка Комплект лабораторий оборудования Windows.
Тома, предназначенные для кластера, должны выполнять следующие задачи:
- Включите BitLocker: только после выполнения этой задачи тома можно добавить в пул носителей.
- необходимо перевести ресурс в режим обслуживания до завершения операций BitLocker.
Windows PowerShell или manage-bde.exe программа командной строки является предпочтительным методом управления BitLocker на томах CSV2.0. Этот метод рекомендуется использовать для элемента BitLocker панель управления, так как тома CSV2.0 являются точками подключения. Точки подключения — это объект NTFS, который используется для предоставления точки входа другим томам. Точки подключения не требуют использования буквы диска. Тома без букв диска не отображаются в элементе BitLocker панель управления. Кроме того, новый параметр защиты на основе Active Directory, необходимый для ресурса диска кластера или ресурсов CSV2.0, недоступен в элементе панель управления.
Примечание.
Точки подключения можно использовать для поддержки удаленных точек подключения в общих сетевых ресурсах на основе SMB. Этот тип общей папки не поддерживается для шифрования BitLocker.
При наличии тонко подготовленного хранилища, например динамического виртуального жесткого диска (VHD), BitLocker выполняется в режиме шифрования "Только используемое дисковое пространство ". Команду manage-bde.exe -WipeFreeSpace нельзя использовать для перехода тома на шифрование полного тома на тонко подготовленных томах хранилища. Использование manage-bde.exe -WipeFreeSpace команды блокируется, чтобы избежать расширения тонко подготовленных томов, чтобы занять все резервное хранилище при очистке свободного (свободного) пространства.
Средство защиты на основе Active Directory
Средство защиты доменные службы Active Directory (AD DS) также можно использовать для защиты кластеризованных томов, находящихся в инфраструктуре AD DS. Предохранитель ADAccountOrGroup — это средство защиты на основе идентификатора безопасности домена (SID), которое может быть привязано к учетной записи пользователя, учетной записи компьютера или группе. При выполнении запроса на разблокировку для защищенного тома происходят следующие события:
Служба BitLocker прерывает запрос и использует API-интерфейсы защиты и отмены защиты BitLocker для разблокировки или отклонения запроса.
BitLocker разблокирует защищенные тома без вмешательства пользователя, пытаясь использовать предохранители в следующем порядке:
Очистить ключ
Ключ автоматической разблокировки на основе драйвера
Средство защиты ADAccountOrGroup
а. Средство защиты контекста службы
б. Средство защиты пользователей
Раздел автоматической разблокировки на основе реестра
Примечание.
Для правильной работы этой функции требуется контроллер домена Windows Server 2012 или более поздней версии.
Включение BitLocker перед добавлением дисков в кластер с помощью Windows PowerShell
Шифрование BitLocker доступно для дисков до добавления этих дисков в пул носителей кластера.
Примечание.
Преимущество шифрования BitLocker можно даже сделать доступными для дисков после их добавления в пул носителей кластера. Преимущество шифрования томов перед их добавлением в кластер заключается в том, что для завершения операции не нужно приостанавливать дисковый ресурс. Чтобы включить BitLocker для диска перед добавлением в кластер, выполните приведенные далее действия.
Установите функцию шифрования диска BitLocker, если она еще не установлена.
Убедитесь, что диск имеет формат NTFS и ему назначена буква диска.
Определите имя кластера с помощью Windows PowerShell.
Get-ClusterВключите BitLocker на томе с помощью предохранителя ADAccountOrGroup , используя имя кластера. Например, используйте такую команду, как:
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$Warning
Средство защиты ADAccountOrGroup должно быть настроено с помощью CNO кластера, чтобы том с поддержкой BitLocker был либо совместно использоваться в общем томе кластера, либо правильно выполнять отработку отказа в традиционном отказоустойчивом кластере.
Повторите предыдущие шаги для каждого диска в кластере.
Добавьте тома в кластер.
Включение BitLocker для кластеризованного диска с помощью Windows PowerShell
Если служба кластера уже владеет ресурсом диска, перед включением BitLocker его необходимо настроить в режим обслуживания. Чтобы включить BitLocker для кластеризованного диска с помощью Windows PowerShell, выполните следующие действия.
Установите функцию шифрования диска BitLocker, если она еще не установлена.
Проверьте состояние диска кластера с помощью Windows PowerShell.
Get-ClusterResource "Cluster Disk 1"Переведите ресурс физического диска в режим обслуживания с помощью Windows PowerShell.
Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResourceОпределите имя кластера с помощью Windows PowerShell.
Get-ClusterВключите BitLocker для тома с помощью предохранителя ADAccountOrGroup , используя имя кластера. Например, используйте такую команду, как:
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$Warning
Средство защиты ADAccountOrGroup должно быть настроено с помощью CNO кластера, чтобы том с поддержкой BitLocker был либо общим для общего доступа к кластеру, либо для правильной отработки отказа в традиционном отказоустойчивом кластере.
Используйте Resume-ClusterResource, чтобы вернуть ресурс физического диска из режима обслуживания:
Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResourceПовторите предыдущие шаги для каждого диска в кластере.
Добавление томов, зашифрованных BitLocker, в кластер с помощью manage-bde.exe
Manage-bde.exe Также можно использовать для включения BitLocker на кластеризованных томах. Действия, необходимые для добавления ресурса физического диска или тома CSV2.0 в существующий кластер:
Убедитесь, что на компьютере установлена функция шифрования диска BitLocker.
Убедитесь, что новое хранилище отформатировано как NTFS.
Зашифруйте том, добавьте ключ восстановления и добавьте администратора кластера в качестве ключа защиты, используя
manage-bde.exeв окне командной строки. Пример:manage-bde.exe -on -used <drive letter> -RP -sid domain\CNO$ -sync- BitLocker проверка, чтобы узнать, является ли диск уже частью кластера. Если это так, администраторы столкнутся с жестким блоком. В противном случае шифрование продолжится.
- Использование параметра -sync является необязательным. Однако использование параметра -sync позволяет гарантировать, что команда ожидает завершения шифрования тома. Затем том освобождается для использования в пуле носителей кластера.
Откройте оснастку диспетчера отказоустойчивости кластеров или командлеты PowerShell кластера, чтобы включить кластеризацию диска.
- После кластеризации диска он включает csv-файл.
Во время работы с ресурсом в сети кластер проверяет, зашифрован ли диск BitLocker.
- Если для тома не включен BitLocker, выполняются традиционные операции кластера в сети.
- Если том включен, BitLocker проверяет, заблокирован ли том. Если том заблокирован, BitLocker олицетворяет CNO и разблокирует том с помощью предохранителя CNO. Если эти действия BitLocker завершается ошибкой, событие регистрируется в журнале. В зарегистрированном событии будет показано, что том не удалось разблокировать и операция в сети завершилась сбоем.
После подключения диска в пуле носителей его можно добавить в CSV-файл, щелкнув правой кнопкой мыши ресурс диска и выбрав команду "Добавить в общие тома кластера".
В состав csv входят зашифрованные и незашифрованные тома. Чтобы проверка состояние определенного тома для шифрования BitLocker, выполните manage-bde.exe -status команду от имени администратора с путем к тому. Путь должен быть таким, который находится в пространстве имен CSV. Пример:
manage-bde.exe -status "C:\ClusterStorage\volume1"
Ресурсы физического диска
В отличие от томов CSV2.0, доступ к ресурсам физического диска за раз может осуществляться только одним узлом кластера. Это условие означает, что для таких операций, как шифрование, расшифровка, блокировка или разблокировка томов, требуется контекст. Например, ресурс физического диска не может разблокировать или расшифровать, если он не администрирует узел кластера, которому принадлежит дисковый ресурс, так как дисковый ресурс недоступен.
Ограничения на действия BitLocker с томами кластера
В следующей таблице содержатся сведения о ресурсах физических дисков (т. е. традиционных томах отказоустойчивого кластера) и общих томах кластера (CSV), а также о действиях, разрешенных BitLocker в каждой ситуации.
| Действие | На узле владельца тома отработки отказа | На сервере метаданных (MDS) CSV | On (Data Server) DS of CSV | Режим обслуживания |
|---|---|---|---|---|
Manage-bde.exe -on |
Заблокировано | Заблокировано | Заблокировано | Разрешено |
Manage-bde.exe -off |
Заблокировано | Заблокировано | Заблокировано | Разрешено |
Manage-bde.exe Pause/Resume |
Заблокировано | Заблокирован** | Заблокировано | Разрешено |
Manage-bde.exe -lock |
Заблокировано | Заблокировано | Заблокировано | Разрешено |
Manage-bde.exe -wipe |
Заблокировано | Заблокировано | Заблокировано | Разрешено |
| Unlock | Автоматическое использование службы кластера | Автоматическое использование службы кластера | Автоматическое использование службы кластера | Разрешено |
Manage-bde.exe -protector -add |
Разрешено | Разрешено | Заблокировано | Разрешено |
Manage-bde.exe -protector -delete |
Разрешено | Разрешено | Заблокировано | Разрешено |
Manage-bde.exe -autounlock |
Разрешено (не рекомендуется) | Разрешено (не рекомендуется) | Заблокировано | Разрешено (не рекомендуется) |
Manage-bde.exe -upgrade |
Разрешено | Разрешено | Заблокировано | Разрешено |
| Сжать | Разрешено | Разрешено | Заблокировано | Разрешено |
| Расширение | Разрешено | Разрешено | Заблокировано | Разрешено |
Примечание.
Хотя команда заблокирована manage-bde.exe -pause в кластерах, служба кластера автоматически возобновляет приостановленное шифрование или расшифровку из узла MDS.
В случае, когда ресурс физического диска испытывает событие отработки отказа во время преобразования, новый узел-владение обнаруживает, что преобразование не завершено, и завершает процесс преобразования.
Другие рекомендации при использовании BitLocker в CSV2.0
Ниже приведены некоторые другие рекомендации, которые следует учитывать при работе с BitLocker в кластеризованном хранилище.
- Тома BitLocker должны быть инициализированы и начать шифрование, прежде чем они станут доступны для добавления в том CSV2.0
- Если администратору необходимо расшифровать том CSV, удалите том из кластера или переведите его в режим обслуживания диска. CSV-файл можно добавить обратно в кластер в ожидании завершения расшифровки.
- Если администратору необходимо начать шифрование тома CSV, удалите том из кластера или переведите его в режим обслуживания.
- Если преобразование приостановлено с шифрованием и том CSV находится в автономном режиме из кластера, поток кластера (работоспособность проверка) автоматически возобновляет преобразование, когда том подключен к кластеру
- Если преобразование приостановлено с шифрованием и том ресурсов физического диска находится в автономном режиме из кластера, драйвер BitLocker автоматически возобновляет преобразование, когда том подключен к кластеру.
- Если преобразование приостановлено с шифрованием, пока том CSV находится в режиме обслуживания, поток кластера (работоспособность проверка) автоматически возобновляет преобразование при перемещении тома из обслуживания.
- Если преобразование приостановлено с шифрованием, пока том ресурсов диска находится в режиме обслуживания, драйвер BitLocker автоматически возобновляет преобразование при перемещении тома из режима обслуживания.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по