Uso de BitLocker con volúmenes compartidos de clúster (CSV)
Introducción a BitLocker
El cifrado de unidad BitLocker es una característica de protección de datos que se integra con el sistema operativo y aborda las amenazas de robo o exposición de datos de equipos perdidos, robados o desechados inadecuadamente.
BitLocker proporciona la mayor protección cuando se usa con una versión 1.2 o posterior del módulo de plataforma segura (TPM). El TPM es un componente de hardware instalado en muchos equipos más recientes por fabricantes de equipos. Funciona con BitLocker para ayudar a proteger los datos de usuario y para asegurarse de que un equipo no se ha alterado mientras el sistema estaba sin conexión.
En equipos que no tienen una versión 1.2 o posterior de TPM, todavía puede usar BitLocker para cifrar la unidad del sistema operativo Windows. Sin embargo, esta implementación requiere que el usuario inserte una clave de inicio USB para iniciar el equipo o reanudar desde la hibernación. A partir de Windows 8, puede usar una contraseña de volumen del sistema operativo para proteger el volumen en un equipo sin TPM. Ninguna opción proporciona la comprobación de integridad del sistema previo al inicio que ofrece BitLocker con un TPM.
Además del TPM, BitLocker le ofrece la opción de bloquear el proceso de inicio normal hasta que el usuario proporcione un número de identificación personal (PIN) o inserte un dispositivo extraíble. Este dispositivo podría ser una unidad flash USB que contiene una clave de inicio. Estas medidas de seguridad adicionales proporcionan autenticación multifactor y garantizan que el equipo no se iniciará ni reanudará desde la hibernación hasta que se presente el PIN o la clave de inicio correctos.
Introducción a los volúmenes compartidos de clúster
Los volúmenes compartidos de clúster (CSV) permiten que varios nodos de un clúster de conmutación por error de Windows Server o Azure Local tengan simultáneamente acceso de lectura y escritura al mismo número de unidad lógica (LUN) o disco, que se aprovisiona como volumen NTFS. El disco se puede aprovisionar como sistema de archivos resistente (ReFS). Sin embargo, el disco CSV está en modo redirigido, lo que significa que el acceso de escritura se envía al nodo coordinador. Con CSV, los roles en clúster pueden conmutar por error rápidamente de un nodo a otro sin necesidad de que cambie la propiedad de la unidad o de que se desmonte y se vuelva a montar un volumen. CSV también puede ayudar a simplificar la administración de una cantidad potencialmente grande de LUN en un clúster de conmutación por error.
CSV proporciona un sistema de archivos agrupado de uso general que está superpuesta por encima de NTFS o ReFS. Las aplicaciones CSV incluyen:
- Archivos de disco duro virtual agrupado (VHD/VHDX) para máquinas virtuales en clúster Hyper-V
- Recursos compartidos de archivos de escalabilidad horizontal que almacenan datos de aplicación para el rol en clúster del Servidor de archivos de escalabilidad horizontal. Algunos ejemplos de los datos de la aplicación para este rol incluyen Hyper-V archivos de máquina virtual y datos de Microsoft SQL Server. ReFS no es compatible con un servidor de archivos de Scale-Out en Windows Server 2012 R2 y versiones anteriores. Para obtener más información sobre el Servidor de archivos de escalabilidad horizontal, consulte Servidor de archivos de escalabilidad horizontal para datos de aplicación.
- La instancia de clúster de conmutación por error (FCI) de Microsoft SQL Server 2014 (o versiones posteriores). La carga de trabajo en clúster de Microsoft SQL Server en SQL Server 2012 y versiones anteriores de SQL Server no admite el uso de CSV.
- Control de transacciones distribuidas de Microsoft (MSDTC) de Windows Server 2019 o superior
Uso de BitLocker con volúmenes compartidos de clúster
BitLocker en volúmenes de un clúster se administra en función del modo en que el servicio de clúster "considera" que debe estar protegido el volumen. El volumen puede ser un recurso de disco físico, como un número de unidad lógica (LUN) en una red de área de almacenamiento (SAN) o almacenamiento conectado a la red (NAS).
Como alternativa, el volumen puede ser un volumen compartido de clúster (CSV) dentro del clúster. Cuando se usa BitLocker con volúmenes designados para un clúster, el volumen se puede habilitar con BitLocker antes de su adición al clúster o cuando se encuentra en el clúster. Coloque el recurso en modo de mantenimiento antes de habilitar BitLocker.
Windows PowerShell o la Manage-BDE interfaz de línea de comandos es el método preferido para administrar BitLocker en volúmenes CSV. Este método se recomienda en lugar del elemento Panel de control de BitLocker, porque los volúmenes CSV son puntos de montaje. Los puntos de montaje son un objeto NTFS que se usa para proporcionar un punto de entrada a otros volúmenes. Los puntos de montaje no requieren el uso de una letra de unidad. Los volúmenes que carecen de letras de unidad no aparecen en el elemento Panel de control de BitLocker.
BitLocker desbloquea volúmenes protegidos sin intervención del usuario intentando los protectores en el siguiente orden:
Borrar clave
Clave de desbloqueo automático basada en controladores
Protector ADAccountOrGroup
Protector del contexto del servicio
Protector de usuario
Clave de desbloqueo automático basada en el Registro
El clúster de conmutación por error requiere la opción del protector basado en Active Directory para el recurso de disco del clúster. De lo contrario, los recursos CSV no están disponibles en el elemento Panel de control.
Protector de Active Directory Domain Services (AD DS) para proteger los volúmenes agrupados contenidos en la infraestructura de AD DS. El protector
Nueva funcionalidad
En versiones anteriores de Windows Server y Azure Local, el único protector de cifrado admitido es el protector basado en SID, en el que la cuenta usada es el Cluster Name Object (CNO), que se crea en Active Directory como parte de la creación del cluster de conmutación por error. Este es un diseño seguro porque el protector se almacena en Active Directory y está protegido por la contraseña de CNO. Además, facilita el aprovisionamiento y desbloqueo de volúmenes, porque cada nodo de clúster de conmutación por error tiene acceso a la cuenta de CNO.
El inconveniente es triple.
Obviamente, este método no funciona cuando se crea un clúster de conmutación por error sin acceso a un controlador de Active Directory en el centro de datos.
El desbloqueo del volumen, como parte de la conmutación por error, puede tardar demasiado tiempo (y posiblemente agotar el tiempo de espera) si el controlador de Active Directory no responde o es lento.
Se produce un error en el proceso en línea de la unidad si un controlador de Active Directory no está disponible.
Se ha agregado una nueva funcionalidad para que los clústeres de conmutación por error generen y mantengan su propio protector de claves de BitLocker para un volumen. Se cifrará y guardará en la base de datos del clúster local. Dado que la base de datos del clúster es un almacén replicado respaldado por el volumen del sistema en cada nodo de clúster, el volumen del sistema de cada nodo de clúster también debe estar protegido por BitLocker. Los clústeres de conmutación por error no lo aplican, ya que es posible que algunas soluciones no quieran o no necesiten cifrar el volumen del sistema. Si la unidad del sistema no está protegida por BitLocker, el clúster de conmutación por error lo marca como un evento de advertencia durante el proceso en línea y de desbloqueo. La validación del clúster de conmutación por error registra un mensaje si detecta que se trata de una configuración sin Active Directory o de grupo de trabajo y el volumen del sistema no está cifrado.
Instalación del cifrado de BitLocker
BitLocker es una característica que se debe agregar a todos los nodos del clúster.
Adición de BitLocker mediante el Administrador del servidor
Abra administrador del servidor seleccionando el icono Administrador del servidor o ejecutando servermanager.exe.
Seleccione Administrar en la barra de navegación del Administrador del servidor y seleccione Agregar roles y características para iniciar el Asistente para agregar roles y características.
Con el Asistente para agregar roles y características abierto, selecciona Siguiente en el panel Antes de comenzar (si se muestra).
Selecciona instalación basada en rol o característica en el panel Tipo de instalación del panel Asistente para agregar roles y características y selecciona Siguiente para continuar.
Seleccione la opción Seleccionar un servidor del grupo de servidores en el panel de selección de servidor y confirme el servidor para la instalación de la característica de BitLocker.
Selecciona Siguiente en el panel Roles de servidor del asistente para agregar roles y características para ir al panel Características .
Seleccione la casilla junto a Cifrado BitLocker de unidades en el panel Características del asistente Agregar roles y características. El asistente mostrará las características de administración adicionales disponibles para BitLocker. Si no desea instalar estas características, anule la selección de la opción Incluir herramientas de administración y seleccione Agregar características. Una vez completada la selección de funciones opcionales, seleccione Siguiente para continuar.
Nota
La característica de almacenamiento mejorado
Selecciona Instalar en el panel Confirmación del Asistente para agregar roles y características para comenzar la instalación de la característica de BitLocker. La característica BitLocker requiere un reinicio para completarse. Al seleccionar la opción Reiniciar el servidor de destino automáticamente si es necesario en el panel de confirmación forzará un reinicio del equipo una vez completada la instalación.
Si la casilla de verificación Reiniciar el servidor de destino automáticamente si es necesario no está seleccionada, el panel Resultados del asistente Agregar Roles y Características mostrará el éxito o error de la instalación de la característica BitLocker. Si es necesario, se mostrará una notificación de una acción adicional necesaria para completar la instalación de características, como el reinicio del equipo, en el texto de los resultados.
Adición de BitLocker mediante PowerShell
Use el siguiente comando para cada servidor:
Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools
Para ejecutar el comando en todos los servidores de clúster al mismo tiempo, use el siguiente script, modificando la lista de variables al principio para ajustarse a su entorno:
Rellene estas variables con los valores.
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker"
Esta parte ejecuta el cmdlet Install-WindowsFeature en todos los servidores de $ServerList, pasando la lista de características de $FeatureList.
Invoke-Command ($ServerList) {
Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools
}
A continuación, reinicie todos los servidores:
$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos
Se pueden agregar varios roles y características al mismo tiempo. Por ejemplo, para agregar BitLocker, los clústeres de conmutación por error y el rol del servidor de archivos, $FeatureList incluirá todos los valores necesarios separados por una coma. Por ejemplo:
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”
Aprovisionamiento de un volumen cifrado
El aprovisionamiento de una unidad con cifrado de BitLocker se puede realizar cuando la unidad forma parte del clúster de conmutación por error o fuera, antes de agregarla. Para crear automáticamente el protector de claves externas, la unidad debe ser un recurso en el clúster de conmutación por error antes de habilitar BitLocker. Si BitLocker está habilitado antes de agregar la unidad al clúster de conmutación por error, deben realizarse pasos manuales adicionales para crear el protector de claves externas.
El aprovisionamiento de volúmenes cifrados requerirá que los comandos de PowerShell se ejecuten con privilegios administrativos. Hay dos opciones para cifrar las unidades y permitir que Failover Clustering cree y use sus propias claves de BitLocker.
Clave de recuperación interna
Archivo de clave de recuperación externa
Cifrado mediante una clave de recuperación
El cifrado de las unidades mediante una clave de recuperación permitirá crear y agregar una clave de recuperación de BitLocker a la base de datos de clúster. Cuando se conecte la unidad, solo necesitará consultar el subárbol del clúster local para obtener la clave de recuperación.
Mueva el recurso de disco al nodo donde se habilitará el cifrado de BitLocker:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1
Coloque el recurso de disco en modo de mantenimiento:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource
Aparecerá un cuadro de diálogo que indica lo siguiente:
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Para continuar, presione Sí.
Para habilitar el cifrado de BitLocker, ejecute:
Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector
Una vez que escriba el comando, aparece una advertencia y proporciona una contraseña de recuperación numérica. Guarde la contraseña en una ubicación segura, ya que también es necesaria en un paso próximo. La advertencia tiene un aspecto similar al siguiente:
WARNING: ACTIONS REQUIRED:
1. Save this numerical recovery password in a secure location away from your computer:
271733-258533-688985-480293-713394-034012-061963-682044
To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.
Para obtener la información del protector de BitLocker del volumen, se puede ejecutar el siguiente comando:
(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector
Esto mostrará tanto el identificador del protector de claves como la cadena de contraseña de recuperación.
KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :
El identificador del protector de claves y la contraseña de recuperación se necesitarán y guardarán en una nueva propiedad privada de disco físico denominada BitLockerProtectorInfo. Esta nueva propiedad se usará cuando el recurso salga del modo de mantenimiento. El formato del protector será una cadena en la que el identificador del protector y la contraseña están separados por ":".
Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create
Para comprobar que el bitlockerProtectorInfo clave y el valor están establecidos, ejecute el comando :
Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo
Ahora que la información está presente, el disco se puede sacar del modo de mantenimiento una vez completado el proceso de cifrado.
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource
Si el recurso no se puede conectar, podría ser un problema de almacenamiento, una contraseña de recuperación incorrecta o algún problema. Compruebe que la clave
Si el recurso está en línea, la información es correcta. Durante el proceso de salir del modo de mantenimiento, la clave de BitlockerProtectorInfo se quita y se cifra en el recurso de la base de datos del clúster.
Cifrado mediante el archivo de clave de recuperación externa
El cifrado de las unidades mediante un archivo de clave de recuperación permitirá crear una clave de recuperación de BitLocker y acceder a ellas desde una ubicación a la que todos los nodos tienen acceso, como un servidor de archivos. Cuando se conecte la unidad, el nodo propietario se conectará a la clave de recuperación.
Mueva el recurso de disco al nodo donde se habilitará el cifrado de BitLocker:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2
Coloque el recurso de disco en modo de mantenimiento:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource
Aparece un cuadro de diálogo
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Para continuar, presione Sí.
Para habilitar el cifrado de BitLocker y crear el archivo del protector de claves localmente, ejecute el siguiente comando. Se recomienda crear el archivo localmente y, a continuación, moverlo a una ubicación accesible para todos los nodos.
Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster
Para obtener la información del protector de BitLocker para el volumen, se puede ejecutar el siguiente comando:
(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector
Esto mostrará tanto el identificador del protector de clave como el nombre de archivo de clave que crea.
KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
Al ir a la carpeta en la que se especificó su creación, no se verá a primera vista. El razonamiento es que se creará como un archivo oculto. Por ejemplo:
C:\Windows\Cluster\>dir f03
Directory of C:\\Windows\\Cluster
File Not Found
C:\Windows\Cluster\>dir /a f03
Directory of C:\Windows\Cluster
<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
C:\Windows\Cluster\>attrib f03
A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Dado que se crea en una ruta de acceso local, se debe copiar en una ruta de acceso de red para que todos los nodos tengan acceso a él mediante el comando Copy-Item.
Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir
Dado que la unidad usará un archivo y se encuentra en un recurso compartido de red, saca la unidad del modo de mantenimiento especificando la ruta de acceso al archivo. Una vez que la unidad ha completado el cifrado, el comando para reanudarla sería:
Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Una vez aprovisionada la unidad, el archivo *.BEK se puede quitar del recurso compartido y ya no es necesario.
Nuevos cmdlets de PowerShell
Con esta nueva característica, se han creado dos nuevos cmdlets para poner el recurso en línea o reanudar el recurso manualmente mediante la clave de recuperación o el archivo de clave de recuperación.
Start-ClusterPhysicalDiskResource
ejemplo 1
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
ejemplo 2
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Resume-ClusterPhysicalDiskResource
ejemplo 1
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
ejemplo 2
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Nuevos eventos
Hay varios eventos nuevos que se han agregado y que se encuentran en el canal de eventos Microsoft-Windows-FailoverClustering/Operational.
Cuando se realiza correctamente la creación del protector de claves o el archivo de protector de claves, el evento mostrado sería similar al siguiente:
Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.
Si se produce un error al crear el protector de claves o el archivo de protector de claves, el evento mostrado sería similar a:
Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume
Como se mencionó anteriormente, dado que la base de datos del clúster es un almacén replicado respaldado por el volumen del sistema en cada nodo de clúster, se recomienda que el volumen del sistema de cada nodo de clúster también esté protegido por BitLocker. Los clústeres de conmutación por error no lo aplicarán, ya que es posible que algunas soluciones no quieran o no necesiten cifrar el volumen del sistema. Si BitLocker no protege la unidad del sistema, el clúster de conmutación por error lo marcará como un evento durante el proceso en línea o de desbloqueo. El evento mostrado sería similar a:
Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1
La validación del clúster de conmutación por error registra un mensaje si detecta que se trata de una configuración sin Active Directory o de grupo de trabajo y el volumen del sistema no está cifrado.