Utiliser BitLocker avec des volumes partagés de cluster (CSV)

• S’applique à:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

Vue d’ensemble de BitLocker

BitLocker Drive Encryption est une fonctionnalité de protection des données qui s’intègre au système d’exploitation et résout les menaces de vol de données ou d’exposition à partir d’ordinateurs perdus, volés ou inadaptés.

BitLocker offre la plus grande protection lorsqu’il est utilisé avec un module de plateforme sécurisée (TPM) version 1.2 ou ultérieure. Le module TPM est un composant matériel installé sur de nombreux ordinateurs plus récents par les fabricants d’ordinateurs. Il fonctionne avec BitLocker pour protéger les données utilisateur et s’assurer qu’un ordinateur n’a pas été falsifié pendant que le système était hors connexion.

Sur les ordinateurs qui n'ont pas de TPM version 1.2 ou ultérieure, vous pouvez quand même utiliser BitLocker pour chiffrer le disque du système d'exploitation Windows. Toutefois, cette implémentation exige que l’utilisateur insère une clé de démarrage USB pour démarrer l’ordinateur ou reprendre à partir de la mise en veille prolongée. À partir de Windows 8, vous pouvez définir un mot de passe sur le volume hébergeant le système d'exploitation afin de protéger ce volume sur un ordinateur où le volume TPM n'est pas installé. Aucune de ces options ne permet de vérifier l’intégrité du système avant le démarrage, contrairement à BitLocker utilisé avec un module TPM.

En plus du module TPM, BitLocker vous donne la possibilité de verrouiller le processus de démarrage normal jusqu’à ce que l’utilisateur fournisse un numéro d’identification personnel (PIN) ou insère un appareil amovible. Cet appareil peut être un lecteur flash USB qui contient une clé de démarrage. Ces mesures de sécurité supplémentaires fournissent une authentification multifacteur et l’assurance que l’ordinateur ne démarre pas ou ne reprendra pas à partir de la mise en veille prolongée tant que la clé de démarrage ou de code confidentiel approprié n’est pas présentée.

Vue d’ensemble des volumes partagés de cluster

Les volumes partagés de cluster (CSV) permettent à plusieurs nœuds d’un cluster de basculement Windows Server ou à Azure Local de disposer simultanément d’un accès en lecture-écriture au même numéro d’unité logique (LUN) ou disque, configuré en tant que volume NTFS. Le disque peut être provisionné en tant que système de fichiers résilient (ReFS). Toutefois, le lecteur CSV est en mode redirigé, ce qui signifie que l’accès en écriture est envoyé au nœud coordinateur. Avec les volumes CSV, les rôles en cluster peuvent basculer rapidement d'un nœud vers un autre sans qu'il soit nécessaire de modifier la propriété du lecteur, ni de démonter et remonter un volume. Les volumes partagés de cluster peuvent aussi contribuer à simplifier la gestion d'un nombre potentiellement important de numéros d'unités logiques dans un cluster de basculement.

CSV fournit un système de fichiers en cluster à usage général qui est superposé au-dessus de NTFS ou ReFS. Les applications CSV sont les suivantes :

• Fichiers de disque dur virtuel en cluster (VHD/VHDX) pour les machines virtuelles en cluster Hyper-V
• Échelonnez les partages de fichiers pour stocker les données d’application pour le rôle en cluster Scale-Out du Serveur de fichiers. Les exemples de données d’application pour ce rôle incluent Hyper-V fichiers de machine virtuelle et les données Microsoft SQL Server. ReFS n’est pas pris en charge pour un serveur de fichiers Scale-Out dans Windows Server 2012 R2 et versions antérieures. Pour plus d’informations sur Scale-Out serveur de fichiers, consultez Scale-Out Serveur de fichiers pour les données d’application.
• Instance de cluster de basculement (FCI) Microsoft SQL Server 2014 (ou version ultérieure) - La charge de travail en cluster Microsoft SQL Server dans SQL Server 2012 et versions antérieures ne prend pas en charge l'utilisation de CSV.
• Windows Server 2019 ou version ultérieure de Microsoft Distributed Transaction Control (MSDTC)

Utiliser BitLocker avec des volumes partagés de cluster

BitLocker sur les volumes d’un cluster est géré en fonction de la façon dont le service de cluster « affiche » le volume à protéger. Le volume peut être une ressource de disque physique, telle qu’un numéro d’unité logique (LUN) sur un réseau de zone de stockage (SAN) ou un stockage NAS attaché au réseau.

Le volume peut également être un volume partagé de cluster (CSV) au sein du cluster. Lorsque vous utilisez BitLocker avec des volumes désignés pour un cluster, le volume peut être activé avec BitLocker avant son ajout au cluster ou quand il se trouve dans le cluster. Placez la ressource en mode maintenance avant d’activer BitLocker.

Windows PowerShell ou l’interface en ligne de commande Manage-BDE est la méthode recommandée pour gérer BitLocker sur les volumes CSV. Cette méthode est recommandée sur l’élément du Panneau de configuration BitLocker, car les volumes CSV sont des points de montage. Les points de montage sont un objet NTFS utilisé pour fournir un point d’entrée à d’autres volumes. Les points de montage ne nécessitent pas l’utilisation d’une lettre de lecteur. Les volumes qui n’ont pas de lettres de lecteur n’apparaissent pas dans l’élément Panneau de configuration de BitLocker.

BitLocker déverrouille les volumes protégés sans intervention de l’utilisateur en essayant les protecteurs dans l’ordre suivant :

1. Effacer la clé

2. Clé de déverrouillage automatique liée au conducteur

3. Protecteur ADAccountOrGroup

   1. Protecteur de contexte de service

   2. Protecteur de l’utilisateur

4. Clé de déverrouillage automatique basée sur le Registre

Le cluster de basculement nécessite l’option de protection basée sur Active Directory pour la ressource disque de cluster. Sinon, les ressources CSV ne sont pas disponibles dans l’élément du Panneau de configuration.

Protecteur Active Directory Domain Services (AD DS) pour la protection des volumes en cluster détenus dans votre infrastructure AD DS. Le logiciel de protection ADAccountOrGroup est un logiciel de protection basé sur un identificateur de domaine (SID) qui peut être lié à un compte d’utilisateur, un compte d’ordinateur ou un groupe. Lorsqu’une demande de déverrouillage est effectuée pour un volume protégé, le service BitLocker interrompt la requête et utilise les API de protection/déprotection BitLocker pour déverrouiller ou rejeter la requête.

Nouvelles fonctionnalités

Dans les versions précédentes de Windows Server et Azure Local, le seul protecteur de chiffrement pris en charge est le protecteur basé sur le SID où le compte utilisé est Cluster Name Object (CNO) qui est créé dans Active Directory dans le cadre de la création du Failover Clustering. Il s’agit d’une conception sécurisée, car le protecteur est stocké dans Active Directory et protégé par le mot de passe CNO. En outre, il facilite l’approvisionnement et le déverrouillage des volumes, car chaque nœud du cluster de basculement a accès au compte CNO.

L’inconvénient comporte trois aspects :

1. Cette méthode ne fonctionne évidemment pas lorsqu’un cluster de basculement est créé sans aucun accès à un contrôleur Active Directory dans le centre de données.

2. Le déverrouillage du volume, dans le cadre du basculement, peut prendre trop de temps (et éventuellement s'interrompre) si le contrôleur Active Directory ne répond pas ou est lent.

3. Le processus en ligne du lecteur échoue si un contrôleur Active Directory n’est pas disponible.

Une nouvelle fonctionnalité a été ajoutée pour que le clustering de basculement génère et gère son propre protecteur de clé BitLocker pour un volume. Il sera chiffré et enregistré dans la base de données du cluster local. Étant donné que la base de données de cluster est un magasin répliqué par le volume système sur chaque nœud de cluster, le volume système sur chaque nœud de cluster doit également être protégé par BitLocker. Le clustering de basculement ne l’applique pas, car il se peut que certaines solutions ne souhaitent pas ou n’aient pas besoin de chiffrer le volume système. Si le lecteur système n’est pas protégé par BitLocker, le cluster de basculement le signale comme un événement d’avertissement pendant le processus de déverrouillage et de mise en ligne. Le processus de validation du cluster de basculement génère un message s’il détecte qu’il s’agit de la configuration d’un groupe de travail ou d’une configuration sans Active Directory, et que le volume système n’est pas chiffré.

Installation du chiffrement BitLocker

BitLocker est une fonctionnalité qui doit être ajoutée à tous les nœuds du cluster.

Ajout de BitLocker à l’aide du Gestionnaire de serveur

1. Ouvrez le Gestionnaire de serveur en sélectionnant l'icône du Gestionnaire de serveur ou en exécutant servermanager.exe.

2. Sélectionnez Gérer à partir de la barre de navigation du Gestionnaire de serveur, puis sélectionnez Ajouter des rôles et des fonctionnalités pour démarrer l’Assistant Ajouter des rôles et des fonctionnalités.

3. Une fois l'Assistant Ajout de rôles et de fonctionnalités ouvert, sélectionnez Suivant dans le volet Avant de commencer (s'il est affiché).

4. Sélectionnez Installation basée sur un rôle ou une fonctionnalité dans le volet Type d'installation de l'Assistant Ajout de rôles et de fonctionnalités, puis sélectionnez Suivant pour continuer.

5. Sélectionnez Sélectionner un serveur dans le pool de serveursdans le volet Sélection du serveur, puis confirmez le serveur à utiliser pour l'installation de la fonctionnalité BitLocker.

6. Sélectionnez Suivant dans le volet Rôles de serveur de l'Assistant Ajout de rôles et de fonctionnalités pour passer au volet Fonctionnalités.

7. Cochez la case située en regard de Chiffrement de lecteur BitLocker dans le volet Fonctionnalités de l'Assistant Ajout de rôles et de fonctionnalités. L’Assistant de configuration affiche les fonctionnalités de gestion supplémentaires disponibles pour BitLocker. Si vous ne souhaitez pas installer ces fonctionnalités, désélectionnez l’option Inclure les outils de gestion et sélectionnez Ajouter des fonctionnalités. Une fois la sélection des fonctionnalités facultatives terminée, sélectionnez suivant pour continuer.

Remarque

La fonctionnalité stockage amélioré est une fonctionnalité requise pour activer BitLocker. Cette fonctionnalité permet la prise en charge des disques durs chiffrés sur des systèmes compatibles.

1. Sélectionnez Installer dans le volet Confirmation de l'Assistant Ajout de rôles et de fonctionnalités pour lancer l'installation de la fonctionnalité BitLocker. La fonctionnalité BitLocker nécessite un redémarrage. La sélection de l'option Redémarrer automatiquement le serveur de destination si nécessaire dans le volet de confirmation forcera un redémarrage de l’ordinateur une fois l’installation terminée.

2. Si la case Redémarrer automatiquement le serveur de destination, si nécessaire est décochée, le volet Résultats de l’Assistant Ajout de rôles et de fonctionnalités indique si l’installation de la fonctionnalité BitLocker est un succès ou un échec. Si nécessaire, une notification d’action supplémentaire nécessaire pour terminer l’installation de la fonctionnalité, telle que le redémarrage de l’ordinateur, s’affiche dans le texte des résultats.

Ajouter BitLocker à l’aide de PowerShell

Utilisez la commande suivante pour chaque serveur :

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Pour exécuter la commande sur tous les serveurs de cluster en même temps, utilisez le script suivant, en modifiant la liste des variables au début pour qu’elles correspondent à votre environnement :

Renseignez ces variables avec vos valeurs.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

Cette partie exécute l’applet de commande Install-WindowsFeature sur tous les serveurs de $ServerList, en passant la liste des fonctionnalités dans $FeatureList.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Ensuite, redémarrez tous les serveurs :

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

Plusieurs rôles et fonctionnalités peuvent être ajoutés en même temps. Par exemple, pour ajouter BitLocker, le clustering de basculement et le rôle Serveur de fichiers, la liste $FeatureList doit inclure tous les fichiers nécessaires séparés par une virgule. Par exemple:

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”

Approvisionner un volume chiffré

L'approvisionnement d'un lecteur avec le chiffrement BitLocker peut être effectué soit lorsque le lecteur fait partie du cluster de basculement, soit en dehors, avant de l'ajouter. Pour créer automatiquement le protecteur de clé externe, le lecteur doit être une ressource dans le cluster de basculement avant d'activer BitLocker. Si BitLocker est activé avant l'ajout du lecteur au cluster de basculement, des étapes manuelles supplémentaires doivent être suivies pour créer le protecteur de clé externe.

L’approvisionnement de volumes chiffrés nécessite l’exécution de commandes PowerShell avec des privilèges d’administration. Il existe deux options pour chiffrer les lecteurs et faire en sorte que le clustering de basculement puisse créer et utiliser ses propres clés BitLocker.

1. Clé de récupération interne

2. Fichier de clé de récupération externe

Chiffrer à l’aide d’une clé de récupération

Le chiffrement des lecteurs à l’aide d’une clé de récupération permet de créer et d’ajouter une clé de récupération BitLocker à la base de données de cluster. Lorsque le lecteur est en ligne, il doit uniquement consulter la ruche de clusters locale pour accéder à la clé de récupération.

Déplacez la ressource de disque vers le nœud où le chiffrement BitLocker sera activé :

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Placez la ressource de disque en mode maintenance :

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

Une boîte de dialogue s’affiche qui indique :

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Pour continuer, appuyez sur Oui.

Pour activer le chiffrement BitLocker, exécutez :

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

Une fois la commande entrée, un avertissement s’affiche et fournit un mot de passe de récupération numérique. Enregistrez le mot de passe dans un emplacement sécurisé, car il est également nécessaire à une étape à venir. L’avertissement ressemble à ceci :

WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

Pour obtenir les informations de protecteur BitLocker pour le volume, la commande suivante peut être exécutée :

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

Cela affiche à la fois l’ID du protecteur de clé et la chaîne de mot de passe de récupération.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

L’ID de protecteur de clé et le mot de passe de récupération seront nécessaires et enregistrés dans une nouvelle propriété privée de disque physique appelée BitLockerProtectorInfo. Cette nouvelle propriété sera utilisée lorsque la ressource sort du mode maintenance. Le format du protecteur est une chaîne où l’ID de protecteur et le mot de passe sont séparés par un « : ».

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

Pour vérifier que la BitlockerProtectorInfo clé et valeur sont définies, exécutez la commande :

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Maintenant que les informations sont présentes, le disque peut être sorti du mode maintenance une fois le processus de chiffrement terminé.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

Si la ressource ne parvient pas à être en ligne, il peut s’agir d’un problème de stockage, d’un mot de passe de récupération incorrect ou d’un problème. Vérifiez que la clé BitlockerProtectorInfo contient les informations appropriées. Si ce n’est pas le cas, les commandes précédemment fournies doivent être réexécuter. Si le problème n’est pas lié à cette clé, nous vous recommandons d’utiliser le groupe approprié au sein de votre organisation ou le fournisseur de stockage pour résoudre le problème.

Si la ressource est en ligne, les informations sont correctes. Pendant le processus de sortie du mode maintenance, la clé BitlockerProtectorInfo est supprimée et chiffrée sous la ressource dans la base de données du cluster.

Chiffrement à l’aide du fichier de clé de récupération externe

Le chiffrement des lecteurs à l’aide d’un fichier de clé de récupération permet de créer et d’accéder à une clé de récupération BitLocker à partir d’un emplacement auquel tous les nœuds ont accès, comme un serveur de fichiers. Au moment où le lecteur est en ligne, le nœud propriétaire se connecte à la clé de récupération.

Déplacez la ressource de disque vers le nœud où le chiffrement BitLocker sera activé :

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Placez la ressource de disque en mode maintenance :

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

Une boîte de dialogue s’affiche

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Pour continuer, appuyez sur Oui.

Pour activer le chiffrement BitLocker et créer le fichier protecteur de clé localement, exécutez la commande suivante. La création du fichier localement, puis son déplacement vers un emplacement accessible à tous les nœuds est recommandé.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

Pour obtenir les informations de protecteur BitLocker pour le volume, la commande suivante peut être exécutée :

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

Cela affiche à la fois l’ID du protecteur de clé et le nom de fichier de clé qu’il crée.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

Lorsque vous accédez au dossier qui a été spécifié lors de sa création, vous ne le verrez pas à première vue. Le raisonnement est qu’il sera créé en tant que fichier masqué. Par exemple:

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Étant donné que cela est créé sur un chemin local, il doit être copié sur un chemin réseau afin que tous les nœuds puissent y accéder à l’aide de la commande Copier-Élément.

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Étant donné que le lecteur utilise un fichier et se trouve sur un partage réseau, faites sortir le lecteur du mode maintenance en spécifiant le chemin d’accès au fichier. Une fois le lecteur terminé avec le chiffrement, la commande à reprendre serait la suivante :

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Une fois le lecteur approvisionné, le fichier *.BEK peut être supprimé du partage et n’est plus nécessaire.

Nouvelles applets de commande PowerShell

Avec cette nouvelle fonctionnalité, deux nouvelles applets de commande ont été créées pour mettre la ressource en ligne ou reprendre la ressource manuellement à l’aide de la clé de récupération ou du fichier de clé de récupération.

Start-ClusterPhysicalDiskResource

Exemple 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Exemple 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

Exemple 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Exemple 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Nouveaux événements

Il existe plusieurs nouveaux événements qui ont été ajoutés dans le canal d’événements Microsoft-Windows-FailoverClustering/Operational.

Lorsqu’il réussit à créer le fichier de protection de clé ou de protecteur de clé, l’événement indiqué est similaire à :

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

En cas d’échec de la création du fichier protecteur de clé ou du protecteur de clé, l’événement indiqué est similaire à ce qui suit :

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Comme mentionné précédemment, étant donné que la base de données de cluster est un magasin répliqué par le volume système sur chaque nœud de cluster, il est recommandé que le volume système sur chaque nœud de cluster soit également protégé par BitLocker. Le clustering de basculement ne l’applique pas, car il se peut que certaines solutions n’aient pas besoin de chiffrer le volume système. Si le lecteur système n’est pas sécurisé par BitLocker, le cluster de basculement le signale comme un événement pendant le processus de déverrouillage/mise en ligne. L’événement présenté serait similaire à :

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

Le processus de validation du cluster de basculement génère un message s’il détecte qu’il s’agit de la configuration d’un groupe de travail ou d’une configuration sans Active Directory, et que le volume système n’est pas chiffré.