Usare BitLocker con volumi condivisi cluster (CSV)
Panoramica di BitLocker
La "Crittografia dell'unità BitLocker" è una funzionalità di protezione dei dati che si integra con il sistema operativo e affronta le minacce di furto o esposizione di dati da computer smarriti, rubati o non adeguatamente dismessi.
BitLocker offre la massima protezione quando viene usata con un TPM (Trusted Platform Module) versione 1.2 o successiva. Il TPM è un componente hardware installato in molti computer più recenti dai produttori di computer. Funziona con BitLocker per proteggere i dati utente e per assicurarsi che un computer non sia stato manomesso mentre il sistema era offline.
Nei computer che non dispongono di un TPM versione 1.2 o successiva, è comunque possibile usare BitLocker per crittografare l'unità del sistema operativo Windows. Tuttavia, questa implementazione richiede all'utente di inserire una chiave di avvio USB per avviare il computer o riprendere dall'ibernazione. A partire da Windows 8, è possibile usare una password del volume del sistema operativo per proteggere il volume in un computer senza TPM. Nessuna delle opzioni fornisce la verifica dell'integrità del sistema prima dell'avvio offerta da BitLocker con un TPM.
Oltre al TPM, BitLocker offre la possibilità di bloccare il normale processo di avvio fino a quando l'utente non fornisce un numero di identificazione personale (PIN) o inserisce un dispositivo rimovibile. Questo dispositivo potrebbe essere un'unità flash USB che contiene una chiave di avvio. Queste misure di sicurezza aggiuntive forniscono l'autenticazione a più fattori e garantiscono che il computer non inizi o riprenda dall'ibernazione fino a quando non viene presentato il PIN o la chiave di avvio corretta.
Panoramica dei volumi condivisi del cluster
I volumi condivisi cluster (CSV) consentono a più nodi in un cluster di failover di Windows Server o in una rete locale di Azure di avere contemporaneamente accesso in lettura/scrittura allo stesso numero di unità logica (LUN) o disco, che viene configurato come volume NTFS. Il disco può essere configurato come Resilient File System (ReFS). Tuttavia, l'unità CSV è in modalità reindirizzata, il che significa che l'accesso in scrittura viene inviato al nodo coordinatore. Con csv, i ruoli in cluster possono eseguire rapidamente il failover da un nodo a un altro senza richiedere una modifica della proprietà dell'unità o smontare e rimontare un volume. Csv consente anche di semplificare la gestione di un numero potenzialmente elevato di LUN in un cluster di failover.
CSV fornisce un file system a scopo generale, basato su cluster, posizionato al di sopra di NTFS o ReFS. Le applicazioni CSV includono:
- File di dischi rigidi virtuali raggruppati (VHD/VHDX) per le macchine virtuali raggruppate Hyper-V
- Espandere le condivisioni file per archiviare i dati dell'applicazione per il ruolo clusterizzato del file server Scale-Out. Esempi di dati applicativi per questo ruolo includono i file di macchine virtuali Hyper-V e i dati di Microsoft SQL Server. ReFS non è supportato per un file server Scale-Out in Windows Server 2012 R2 e versioni precedenti. Per ulteriori informazioni su Scale-Out File Server, consultare Scale-Out File Server per i dati applicativi.
- L'istanza di cluster di failover (FCI) di Microsoft SQL Server 2014 (o versione successiva) e il carico di lavoro clusterizzato in versioni di SQL Server 2012 e precedenti non supportano l'uso di CSV.
- Windows Server 2019 o versione successiva di Microsoft Distributed Transaction Control (MSDTC)
Usare BitLocker con volumi condivisi del cluster
BitLocker nei volumi all'interno di un cluster viene gestito in base al modo in cui il servizio cluster "visualizza" il volume da proteggere. Il volume può essere una risorsa su disco fisico, ad esempio un numero di unità logica (LUN) in una rete di archiviazione (SAN) o un'unità di archiviazione collegata alla rete (NAS).
In alternativa, il volume può essere un volume condiviso del cluster (CSV) nel contesto del cluster. Quando si usa BitLocker con volumi designati per un cluster, è possibile abilitare il volume con BitLocker prima dell'aggiunta al cluster o quando si trova nel cluster. Inserire la risorsa in modalità di manutenzione prima di abilitare BitLocker.
Windows PowerShell o l'interfaccia della riga di comando Manage-BDE è il metodo preferito per gestire BitLocker nei volumi CSV. Questo metodo è consigliato rispetto all'elemento del Pannello di controllo BitLocker, perché i volumi CSV sono punti di montaggio. I punti di montaggio sono un oggetto NTFS utilizzato per fornire un punto di ingresso ad altri volumi. I punti di montaggio non richiedono l'uso di una lettera di unità. I volumi che non dispongono di lettere di unità non vengono visualizzati nell'elemento del Pannello di controllo di BitLocker.
BitLocker sblocca i volumi protetti senza l'intervento dell'utente provando le protezioni nell'ordine seguente:
Cancella chiave
Chiave di sblocco automatico basata su software driver
protezione ADAccountOrGroup
Protezione del contesto del servizio
Protezione utente
Chiave di sblocco automatico basata sul Registro di sistema
Il cluster di failover richiede l'opzione di protezione basata su Active Directory per la risorsa disco del cluster. In caso contrario, le risorse CSV non sono disponibili nell'elemento Pannello di controllo.
Un componente di protezione di Active Directory Domain Services (AD DS) per i volumi in cluster contenuti nella tua infrastruttura AD DS. Il protettore ADAccountOrGroup è un protettore basato su SID (Domain Security Identifier) che può essere associato a un account utente, a un account macchina o a un gruppo. Quando viene effettuata una richiesta di sblocco per un volume protetto, il servizio BitLocker interrompe la richiesta e usa le API di protezione/rimozione della protezione bitLocker per sbloccare o negare la richiesta.
Nuove funzionalità
Nelle versioni precedenti di Windows Server e Azure Locale, l'unica protezione crittografica supportata è la protezione basata su SID in cui l'account usato è il Cluster Name Object (CNO) creato in Active Directory nell'ambito della creazione del clustering di failover. Si tratta di una progettazione sicura perché la protezione è archiviata in Active Directory e protetta dalla password CNO. Semplifica inoltre il provisioning e lo sblocco dei volumi perché ogni nodo del cluster di failover ha accesso all'account CNO.
Lo svantaggio è triplice
Questo metodo ovviamente non funziona quando viene creato un cluster di failover senza alcun accesso a un controller di Active Directory nel data center.
Lo sblocco del volume, come parte del failover, potrebbe richiedere troppo tempo (ed eventualmente timeout) se il controller di Active Directory non risponde o rallenta.
Il processo online dell'unità fallisce se un controller di Active Directory non è disponibile.
È stata aggiunta una nuova funzionalità con cui il Clustering di Failover genera e gestisce autonomamente un BitLocker Key Protector per un volume. Verrà crittografato e salvato nel database del cluster locale. Poiché il database del cluster è un archivio replicato supportato dal volume di sistema in ogni nodo del cluster, anche il volume di sistema in ogni nodo del cluster deve essere protetto da BitLocker. Il clustering di failover non lo impone poiché alcune soluzioni potrebbero non voler o dover crittografare il volume di sistema. Se l'unità di sistema non è protetta con BitLocker, il cluster di failover contrassegna questo come un avviso durante il processo di connessione e sblocco. La convalida del cluster di failover registra un messaggio se rileva che si tratta di un'installazione senza Active Directory o di un gruppo di lavoro e il volume di sistema non è crittografato.
Installazione della crittografia BitLocker
BitLocker è una funzionalità che deve essere aggiunta a tutti i nodi del cluster.
Aggiunta di BitLocker tramite Server Manager
Aprire Server Manager selezionando l'icona di Server Manager o eseguendo servermanager.exe.
Selezionare Gestisci dalla barra di spostamento di Server Manager e selezionare Aggiungi ruoli e funzionalità per avviare la procedura guidata di aggiunta ruoli e funzionalità.
Con Aggiunta guidata ruoli e funzionalità aperto, selezionare Avanti nel riquadro Prima di iniziare (se visualizzato).
Selezionare Installazione basata su ruoli o basata su funzionalità nel riquadro Tipo di installazione del riquadro Aggiungi ruoli e funzionalità e selezionare Avanti per continuare.
Selezionare l'opzione Selezionare un server dal pool di server nel riquadro selezione server e confermare l'installazione del server per la funzionalità BitLocker.
Selezionare Avanti nel riquadro Ruoli del server della procedura guidata Aggiungi ruoli e funzionalità per passare al riquadro Funzionalità.
Selezionare la casella di controllo accanto a
crittografia unità BitLocker nel riquadro funzionalitàdella procedura guidata Aggiungi ruoli e funzionalità . La procedura guidata mostrerà le funzionalità di gestione aggiuntive disponibili per BitLocker. Se non si desidera installare queste funzionalità, deselezionare l'opzione Includi strumenti di gestione e selezionare Aggiungi funzionalità. Al termine della selezione delle funzionalità facoltative, selezionare Avanti per continuare.
Nota
La funzionalità di archiviazione avanzata
Selezionare
Installa nel riquadro confermadel Aggiunta guidata ruoli e funzionalità per avviare l'installazione delle funzionalità di BitLocker. Per completare la funzionalità BitLocker è necessario riavviare. Selezionando l'opzione Riavvia automaticamente il server di destinazione se necessario nel riquadro Conferma, forza un riavvio del computer al termine dell'installazione.Se la casella di controllo Riavvia automaticamente il server di destinazione, se necessario, non è selezionata, il riquadro Risultati dello strumento Aggiungi ruoli e funzionalità visualizzerà l'esito positivo o negativo dell'installazione della funzionalità BitLocker. Se necessario, nel testo dei risultati verrà visualizzata una notifica di azione aggiuntiva necessaria per completare l'installazione della funzionalità, ad esempio il riavvio del computer.
Aggiungere BitLocker con PowerShell
Usare il comando seguente per ogni server:
Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools
Per eseguire il comando in tutti i server del cluster contemporaneamente, usare lo script seguente, modificando l'elenco di variabili all'inizio per adattarsi all'ambiente:
Compilare queste variabili con i tuoi valori.
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker"
In questa parte, il cmdlet Install-WindowsFeature viene eseguito su tutti i server in $ServerList, passando l'elenco delle funzionalità in $FeatureList.
Invoke-Command ($ServerList) {
Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools
}
Riavviare quindi tutti i server:
$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos
È possibile aggiungere più ruoli e funzionalità contemporaneamente. Ad esempio, per aggiungere BitLocker, Clustering di failover e il ruolo File Server, l'$FeatureList includerà tutti gli elementi necessari separati da una virgola. Per esempio:
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”
Configurare un volume crittografato
Il provisioning di un'unità con crittografia BitLocker può essere eseguito quando l'unità fa parte del cluster di failover o all'esterno prima di aggiungerla. Per creare automaticamente la protezione con chiave esterna, l'unità deve essere una risorsa nel cluster di failover prima di abilitare BitLocker. Se BitLocker è abilitato prima di aggiungere l'unità al cluster di failover, è necessario eseguire ulteriori passaggi manuali per creare la protezione con chiave esterna.
Il provisioning di volumi crittografati richiederà l'esecuzione dei comandi di PowerShell con privilegi amministrativi. Sono disponibili due opzioni per crittografare le unità e fare in modo che il Clustering di Failover sia in grado di creare e usare le proprie chiavi BitLocker.
Chiave di ripristino interna
File di chiave di ripristino esterno
Crittografare usando una chiave di ripristino
La crittografia delle unità tramite una chiave di ripristino consentirà la creazione e l'aggiunta di una chiave di ripristino bitLocker nel database del cluster. Poiché l'unità sta entrando in linea, deve solo consultare l'archivio del cluster locale per la chiave di ripristino.
Spostare la risorsa disco nel nodo in cui verrà abilitata la crittografia BitLocker:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1
Inserire la risorsa disco in modalità manutenzione:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource
Verrà visualizzata una finestra di dialogo che indica:
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Per continuare, premere Sì.
Per abilitare la crittografia BitLocker, eseguire:
Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector
Dopo aver immesso il comando, viene visualizzato un avviso e viene visualizzata una password di ripristino numerica. Salvare la password in una posizione sicura perché è necessaria anche in un passaggio successivo. L'avviso è simile al seguente:
WARNING: ACTIONS REQUIRED:
1. Save this numerical recovery password in a secure location away from your computer:
271733-258533-688985-480293-713394-034012-061963-682044
To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.
Per ottenere le informazioni sulla protezione BitLocker per il volume, è possibile eseguire il comando seguente:
(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector
Verranno visualizzati sia l'ID di protezione della chiave che la stringa della password di ripristino.
KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :
L'ID di protezione della chiave e la password di ripristino saranno necessari e salvati in una nuova proprietà privata del disco fisico denominata BitLockerProtectorInfo. Questa nuova proprietà verrà usata quando la risorsa esce dalla modalità di manutenzione. Il formato della protezione sarà una stringa in cui l'ID di protezione e la password sono separati da un ":".
Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create
Per verificare che la chiave e il valore BitlockerProtectorInfo siano impostati, eseguire il comando:
Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo
Ora che le informazioni sono presenti, il disco può essere portato fuori dalla modalità di manutenzione al termine del processo di crittografia.
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource
Se la risorsa non riesce a essere online, potrebbe trattarsi di un problema di archiviazione, di una password di ripristino non corretta o di un problema. Verificare che la chiave BitlockerProtectorInfo disponga delle informazioni appropriate. In caso contrario, i comandi specificati in precedenza devono essere eseguiti di nuovo. Se il problema non è con questa chiave, è consigliabile consultare il gruppo appropriato all'interno della vostra organizzazione o contattare il fornitore del servizio di archiviazione per risolvere il problema.
Se la risorsa diventa disponibile online, le informazioni sono corrette. Durante il processo di uscita dalla modalità di manutenzione, la chiave BitlockerProtectorInfo viene rimossa e crittografata nella risorsa nel database del cluster.
Crittografia utilizzando un file di chiave di ripristino esterno
La crittografia delle unità tramite un file di chiave di ripristino consentirà la creazione e l'accesso a una chiave di ripristino di BitLocker da un percorso a cui tutti i nodi hanno accesso, ad esempio un file server. Man mano che l'unità sarà online, il nodo proprietario si connetterà alla chiave di ripristino.
Spostare la risorsa disco nel nodo in cui verrà abilitata la crittografia BitLocker:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2
Mettere la risorsa disco in modalità di manutenzione:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource
Viene visualizzata una finestra di dialogo
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Per continuare, premere Sì.
Per abilitare la crittografia BitLocker e creare il file di protezione della chiave in locale, eseguire il comando seguente. È consigliabile creare il file in locale e quindi spostarlo in un percorso accessibile a tutti i nodi.
Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster
Per ottenere le informazioni sulla protezione BitLocker per il volume, è possibile eseguire il comando seguente:
(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector
Verranno visualizzati sia l'ID di protezione della chiave che il nome file della chiave creato.
KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
Quando si passa alla cartella in cui è stata specificata la creazione, non verrà visualizzata a prima vista. Il motivo è che verrà creato come file nascosto. Per esempio:
C:\Windows\Cluster\>dir f03
Directory of C:\\Windows\\Cluster
File Not Found
C:\Windows\Cluster\>dir /a f03
Directory of C:\Windows\Cluster
<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
C:\Windows\Cluster\>attrib f03
A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Poiché viene creato in un percorso locale, deve essere copiato in un percorso di rete in modo che tutti i nodi possano accedervi usando il comando copia-elemento
Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir
Poiché l'unità usa un file e si trova in una condivisione di rete, disattivare la modalità di manutenzione dell'unità specificando il percorso del file. Una volta completata la crittografia dell'unità, il comando per riprenderne il processo sarà:
Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Dopo il provisioning dell'unità, il file *.BEK può essere rimosso dalla condivisione e non è più necessario.
Nuovi cmdlet di PowerShell
Con questa nuova funzionalità sono stati creati due nuovi cmdlet per portare la risorsa online o riprendere manualmente la risorsa usando la chiave di ripristino o il file di chiave di ripristino.
Start-ClusterPhysicalDiskResource
esempio 1
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
esempio 2
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Resume-ClusterPhysicalDiskResource
esempio 1
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
esempio 2
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Nuovi eventi
Sono stati aggiunti diversi nuovi eventi che sono nel canale degli eventi Microsoft-Windows-FailoverClustering/Operational.
Al termine della creazione del protettore di chiave o del file di protezione con chiave, l'evento visualizzato sarà simile al seguente:
Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.
Se si verifica un errore durante la creazione del file o del protettore chiave, l'evento visualizzato sarà simile a questo:
Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume
Come accennato in precedenza, poiché il database del cluster è un archivio replicato supportato dal volume di sistema in ogni nodo del cluster, è consigliabile proteggere anche il volume di sistema in ogni nodo del cluster. Il clustering di failover non applicherà questa misura perché alcune soluzioni potrebbero non volere o dover crittografare il volume di sistema. Se l'unità di sistema non è protetta da BitLocker, il cluster di failover segnalerà questo come un evento durante il processo di sblocco e messa online. L'evento mostrato sarà simile al seguente:
Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1
La convalida del cluster di failover registra un messaggio se rileva che si tratta di un'installazione senza Active Directory o di un gruppo di lavoro e se il volume di sistema non è crittografato.