Protéger les volumes partagés de cluster et les réseaux de zone de stockage avec BitLocker
Cet article décrit la procédure de protection des volumes partagés de cluster (CSV) et des réseaux de zone de stockage (SAN) avec BitLocker.
BitLocker protège à la fois les ressources de disque physique et les volumes partagés de cluster version 2.0 (CSV2.0). BitLocker sur les volumes en cluster fournit une couche de protection supplémentaire qui peut être utilisée pour protéger les données sensibles et hautement disponibles. Les administrateurs utilisent cette couche de protection supplémentaire pour renforcer la sécurité des ressources. Seuls certains comptes d’utilisateur fournissaient l’accès pour déverrouiller le volume BitLocker.
Configurer BitLocker sur des volumes partagés de cluster
Les volumes au sein d’un cluster sont gérés à l’aide de BitLocker en fonction de la façon dont le service de cluster voit le volume à protéger. Le volume peut être une ressource de disque physique telle qu’un numéro d’unité logique (LUN) sur un réseau SAN ou un stockage nas (network attached storage).
Important
Les SAN utilisés avec BitLocker doivent avoir obtenu la certification matérielle Windows. Pour plus d’informations, case activée Kit de laboratoire matériel Windows.
Les volumes désignés pour un cluster doivent effectuer les tâches suivantes :
- activer BitLocker : ce n’est qu’une fois cette tâche terminée que les volumes peuvent être ajoutés au pool de stockage
- doit mettre la ressource en mode maintenance avant que les opérations BitLocker ne soient terminées.
Windows PowerShell ou l’outil manage-bde.exe
en ligne de commande est la méthode recommandée pour gérer BitLocker sur les volumes CSV2.0. Cette méthode est recommandée par rapport à l’élément de Panneau de configuration BitLocker, car les volumes CSV2.0 sont des points de montage. Les points de montage sont un objet NTFS utilisé pour fournir un point d’entrée à d’autres volumes. Les points de montage ne nécessitent pas l’utilisation d’une lettre de lecteur. Les volumes dépourvus de lettres de lecteur n’apparaissent pas dans l’élément Panneau de configuration BitLocker. En outre, la nouvelle option de protection basée sur Active Directory requise pour la ressource de disque de cluster ou les ressources CSV2.0 n’est pas disponible dans l’élément Panneau de configuration.
Remarque
Les points de montage peuvent être utilisés pour prendre en charge les points de montage distants sur les partages réseau SMB. Ce type de partage n’est pas pris en charge pour le chiffrement BitLocker.
S’il existe un stockage provisionné de manière dynamique, tel qu’un disque dur virtuel dynamique, BitLocker s’exécute en mode de chiffrement Espace disque utilisé uniquement . La manage-bde.exe -WipeFreeSpace
commande ne peut pas être utilisée pour effectuer la transition du volume vers un chiffrement de volume complet sur des volumes de stockage provisionnés de manière dynamique. L’utilisation de la manage-bde.exe -WipeFreeSpace
commande est bloquée pour éviter d’étendre les volumes provisionnés de manière à occuper l’intégralité du magasin de stockage tout en effaçant l’espace inoccupé (libre).
Logiciel de protection basé sur Active Directory
Un protecteur services de domaine Active Directory (AD DS) peut également être utilisé pour protéger les volumes en cluster détenus dans l’infrastructure AD DS. Le protecteur ADAccountOrGroup est un logiciel de protection basé sur l’identificateur de sécurité de domaine (SID) qui peut être lié à un compte d’utilisateur, à un compte d’ordinateur ou à un groupe. Lorsqu’une demande de déverrouillage est effectuée pour un volume protégé, les événements suivants ont lieu :
Le service BitLocker interrompt la requête et utilise les API de protection/non protection BitLocker pour déverrouiller ou refuser la demande.
BitLocker déverrouille les volumes protégés sans intervention de l’utilisateur en essayant de protéger dans l’ordre suivant :
Effacer la clé
Clé de déverrouillage automatique basée sur le pilote
Logiciel de protection ADAccountOrGroup
a. Protecteur de contexte de service
b. Protecteur de l’utilisateur
Clé de déverrouillage automatique basée sur le Registre
Remarque
Un contrôleur de domaine Windows Server 2012 ou version ultérieure est nécessaire pour que cette fonctionnalité fonctionne correctement.
Activation de BitLocker avant d’ajouter des disques à un cluster à l’aide de Windows PowerShell
Le chiffrement BitLocker est disponible pour les disques avant que ces disques ne soient ajoutés à un pool de stockage de cluster.
Remarque
L’avantage du chiffrement BitLocker peut même être rendu disponible pour les disques une fois qu’ils ont été ajoutés à un pool de stockage de cluster. L’avantage du chiffrement des volumes avant de les ajouter à un cluster est que la ressource de disque n’a pas besoin d’être suspendue pour terminer l’opération. Pour activer BitLocker pour un disque avant de l’ajouter à un cluster :
Installez la fonctionnalité de chiffrement de lecteur BitLocker si elle n’est pas déjà installée.
Vérifiez que le disque est au format NTFS et qu’une lettre de lecteur lui est affectée.
Identifiez le nom du cluster avec Windows PowerShell.
Get-Cluster
Activez BitLocker sur un volume avec un protecteur ADAccountOrGroup , en utilisant le nom du cluster. Par exemple, utilisez une commande telle que :
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
Warning
Un logiciel de protection ADAccountOrGroup doit être configuré à l’aide de l’authentification CNO de cluster pour qu’un volume activé par BitLocker soit partagé dans un volume partagé de cluster, soit pour basculer correctement dans un cluster de basculement traditionnel.
Répétez les étapes précédentes pour chaque disque du cluster.
Ajoutez le ou les volumes au cluster.
Activation de BitLocker pour un disque en cluster à l’aide de Windows PowerShell
Lorsque le service de cluster possède déjà une ressource de disque, la ressource de disque doit être définie en mode maintenance avant que BitLocker puisse être activé. Pour activer BitLocker pour un disque en cluster à l’aide de Windows PowerShell, procédez comme suit :
Installez la fonctionnalité de chiffrement de lecteur BitLocker si elle n’est pas déjà installée.
Vérifiez la status du disque de cluster à l’aide de Windows PowerShell.
Get-ClusterResource "Cluster Disk 1"
Placez la ressource de disque physique en mode maintenance à l’aide de Windows PowerShell.
Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource
Identifiez le nom du cluster avec Windows PowerShell.
Get-Cluster
Activez BitLocker un volume avec un protecteur ADAccountOrGroup , en utilisant le nom du cluster. Par exemple, utilisez une commande telle que :
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
Warning
Un protecteur ADAccountOrGroup doit être configuré à l’aide du CNO de cluster pour qu’un volume bitLocker soit partagé dans un volume partagé par cluster, soit pour basculer correctement dans un cluster de basculement.
Utilisez Resume-ClusterResource pour récupérer la ressource de disque physique en mode maintenance :
Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResource
Répétez les étapes précédentes pour chaque disque du cluster.
Ajout de volumes chiffrés Par BitLocker à un cluster à l’aide de manage-bde.exe
Manage-bde.exe
peut également être utilisé pour activer BitLocker sur des volumes en cluster. Les étapes nécessaires pour ajouter une ressource de disque physique ou un volume CSV2.0 à un cluster existant sont les suivantes :
Vérifiez que la fonctionnalité de chiffrement de lecteur BitLocker est installée sur l’ordinateur.
Vérifiez que le nouveau stockage est au format NTFS.
Chiffrez le volume, ajoutez une clé de récupération et ajoutez l’administrateur de cluster en tant que clé de protection à l’aide
manage-bde.exe
de dans une fenêtre d’invite de commandes. Exemple :manage-bde.exe -on -used <drive letter> -RP -sid domain\CNO$ -sync
- BitLocker case activée pour voir si le disque fait déjà partie d’un cluster. Si c’est le cas, les administrateurs rencontrent un bloc dur. Sinon, le chiffrement continue.
- L’utilisation du paramètre -sync est facultative. Toutefois, l’utilisation du paramètre -sync présente l’avantage de garantir que la commande attend que le chiffrement du volume soit terminé. Le volume est ensuite libéré pour être utilisé dans le pool de stockage de cluster.
Ouvrez le composant logiciel enfichable Gestionnaire du cluster de basculement ou les applets de commande PowerShell du cluster pour permettre le cluster du disque.
- Une fois le disque en cluster, il est activé pour csv.
Pendant l’opération de ressource en ligne, le cluster vérifie si le disque est chiffré par BitLocker.
- Si le volume n’est pas activé par BitLocker, les opérations en ligne de cluster traditionnelles se produisent.
- Si BitLocker est activé pour le volume, BitLocker vérifie si le volume est verrouillé. Si le volume est verrouillé, BitLocker emprunte l’identité du CNO et déverrouille le volume à l’aide du protecteur CNO. Si ces actions de BitLocker échouent, un événement est journalisé. L’événement journalisé indique que le volume n’a pas pu être déverrouillé et que l’opération en ligne a échoué.
Une fois le disque en ligne dans le pool de stockage, il peut être ajouté à un fichier CSV en cliquant avec le bouton droit sur la ressource de disque et en choisissant « Ajouter aux volumes partagés de cluster ».
Les csv incluent des volumes chiffrés et non chiffrés. Pour case activée le status d’un volume particulier pour le chiffrement BitLocker, exécutez la manage-bde.exe -status
commande en tant qu’administrateur avec un chemin d’accès au volume. Le chemin d’accès doit être celui qui se trouve à l’intérieur de l’espace de noms CSV. Par exemple :
manage-bde.exe -status "C:\ClusterStorage\volume1"
Ressources de disque physique
Contrairement aux volumes CSV2.0, les ressources de disque physique ne sont accessibles qu’à un seul nœud de cluster à la fois. Cette condition signifie que les opérations telles que le chiffrement, le déchiffrement, le verrouillage ou le déverrouillage de volumes nécessitent un contexte à effectuer. Par exemple, une ressource de disque physique ne peut pas déverrouiller ou déchiffrer si elle n’administre pas le nœud de cluster propriétaire de la ressource de disque, car la ressource de disque n’est pas disponible.
Restrictions sur les actions BitLocker avec des volumes de cluster
Le tableau suivant contient des informations sur les ressources de disque physique (c’est-à-dire les volumes de cluster de basculement traditionnels) et les volumes partagés de cluster (CSV) et les actions autorisées par BitLocker dans chaque situation.
Action | Sur le nœud propriétaire du volume de basculement | Sur le serveur de métadonnées (MDS) de CSV | Sur (Serveur de données) DS de CSV | Maintenance Mode |
---|---|---|---|---|
Manage-bde.exe -on |
Élément bloqué | Élément bloqué | Élément bloqué | Autorisée |
Manage-bde.exe -off |
Élément bloqué | Élément bloqué | Élément bloqué | Autorisée |
Manage-bde.exe Pause/Resume |
Élément bloqué | Bloqué** | Élément bloqué | Autorisée |
Manage-bde.exe -lock |
Élément bloqué | Élément bloqué | Élément bloqué | Autorisée |
Manage-bde.exe -wipe |
Élément bloqué | Élément bloqué | Élément bloqué | Autorisée |
Déverrouiller | Automatique via le service de cluster | Automatique via le service de cluster | Automatique via le service de cluster | Autorisée |
Manage-bde.exe -protector -add |
Autorisée | Autorisée | Élément bloqué | Autorisée |
Manage-bde.exe -protector -delete |
Autorisée | Autorisée | Élément bloqué | Autorisée |
Manage-bde.exe -autounlock |
Autorisé (non recommandé) | Autorisé (non recommandé) | Élément bloqué | Autorisé (non recommandé) |
Manage-bde.exe -upgrade |
Autorisée | Autorisée | Élément bloqué | Autorisée |
Psy | Autorisée | Autorisée | Élément bloqué | Autorisée |
Étendre | Autorisée | Autorisée | Élément bloqué | Autorisée |
Remarque
Bien que la manage-bde.exe -pause
commande soit bloquée dans les clusters, le service de cluster reprend automatiquement un chiffrement ou un déchiffrement suspendu à partir du nœud MDS.
Dans le cas où une ressource de disque physique subit un événement de basculement pendant la conversion, le nouveau nœud propriétaire détecte que la conversion n’est pas terminée et termine le processus de conversion.
Autres considérations relatives à l’utilisation de BitLocker sur CSV2.0
Voici d’autres considérations à prendre en compte pour BitLocker sur le stockage en cluster :
- Les volumes BitLocker doivent être initialisés et commencer le chiffrement avant de pouvoir être ajoutés à un volume CSV2.0
- Si un administrateur doit déchiffrer un volume CSV, supprimez le volume du cluster ou placez-le en mode maintenance du disque. Le fichier CSV peut être rajouté au cluster en attendant la fin du déchiffrement
- Si un administrateur doit commencer à chiffrer un volume CSV, supprimez le volume du cluster ou placez-le en mode maintenance
- Si la conversion est suspendue avec chiffrement en cours et que le volume CSV est hors connexion à partir du cluster, le thread de cluster (case activée d’intégrité) reprend automatiquement la conversion lorsque le volume est en ligne vers le cluster
- Si la conversion est suspendue avec chiffrement en cours et qu’un volume de ressources de disque physique est hors connexion à partir du cluster, le pilote BitLocker reprend automatiquement la conversion lorsque le volume est en ligne vers le cluster
- Si la conversion est suspendue avec le chiffrement en cours, alors que le volume CSV est en mode maintenance, le thread de cluster (case activée d’intégrité) reprend automatiquement la conversion lors du déplacement du volume de maintenance
- Si la conversion est suspendue avec le chiffrement en cours, alors que le volume de ressources de disque est en mode maintenance, le pilote BitLocker reprend automatiquement la conversion lorsque le volume est déplacé du mode maintenance