Usar o BitLocker com Volumes Compartilhados de Cluster (CSV)
Visão geral do BitLocker
O BitLocker Drive Encryption é um recurso de proteção de dados que se integra ao sistema operacional e aborda as ameaças de roubo ou exposição de dados de computadores perdidos, roubados ou desativados inadequadamente.
O BitLocker fornece a maior proteção quando usado com um TPM (Trusted Platform Module) versão 1.2 ou posterior. O TPM é um componente de hardware instalado em muitos computadores mais recentes por fabricantes de computadores. Ele funciona com o BitLocker para ajudar a proteger os dados do usuário e garantir que um computador não tenha sido adulterado enquanto o sistema estava offline.
Em computadores que não têm um TPM versão 1.2 ou posterior, você ainda pode usar o BitLocker para criptografar a unidade do sistema operacional Windows. No entanto, essa implementação exige que o usuário insira uma chave de inicialização USB para iniciar o computador ou retomar da hibernação. Desde o Windows 8, é possível usar uma senha de volume do sistema operacional para proteger o volume em um computador sem TPM. Nenhuma das opções oferece a verificação de integridade do sistema antes da inicialização disponibilizada pelo BitLocker com um TPM.
Além do TPM, o BitLocker oferece a opção de bloquear o processo de inicialização normal até que o usuário forneça um PIN (número de identificação pessoal) ou insira um dispositivo removível. Esse dispositivo pode ser uma unidade flash USB que contém uma chave de inicialização. Essas medidas de segurança adicionais fornecem autenticação multifator e garantia de que o computador não iniciará ou retomará da hibernação até que o PIN ou a chave de inicialização correto seja apresentado.
Visão geral dos Volumes Compartilhados do Cluster
Os Volumes Compartilhados de Cluster (CSV) permitem que vários nós em um cluster de failover do Windows Server ou local do Azure tenham simultaneamente acesso de leitura e gravação ao mesmo LUN (número de unidade lógica), ou disco, que é provisionado como um volume NTFS. O disco pode ser provisionado como ReFS (Sistema de Arquivos Resiliente). No entanto, a unidade CSV está no modo redirecionado, o que significa que o acesso de gravação é enviado ao nó coordenador. Com o CSV, as funções clusterizadas podem executar rapidamente o failover de um nó para outro sem precisar alterar a propriedade da unidade ou desmontar e remontar um volume. O CSV também ajuda a simplificar o gerenciamento de um número potencialmente grande de LUNs em um cluster de failover.
O CSV fornece um sistema de arquivos clusterizado de uso geral que está em camadas acima de NTFS ou ReFS. Os aplicativos CSV incluem:
- Arquivos de disco rígido virtual em cluster (VHD/VHDX) para máquinas virtuais em cluster Hyper-V
- Para armazenar dados do aplicativo, escale os compartilhamentos de arquivos para a função clusterizada do Servidor de Arquivos Scale-Out. Exemplos dos dados do aplicativo para essa função incluem Hyper-V arquivos de máquina virtual e dados do Microsoft SQL Server. O ReFS não tem suporte para um servidor de arquivos Scale-Out no Windows Server 2012 R2 e anterior. Para obter mais informações sobre Scale-Out Servidor de Arquivos, consulte Scale-Out File Server for Application Data.
- Microsoft SQL Server 2014 (ou superior) FCI (Instância de Cluster de Failover) do Microsoft SQL Server carga de trabalho clusterizado no SQL Server 2012 e versões anteriores do SQL Server não dão suporte ao uso de CSV.
- Windows Server 2019 ou superior com o Controle de Transações Distribuídas da Microsoft (MSDTC)
Usar o BitLocker com Volumes Compartilhados Clusterizados
O BitLocker em volumes dentro de um cluster é gerenciado com base em como o serviço de cluster "interpreta" o volume a ser protegido. O volume pode ser um recurso de disco físico, como um LUN (número de unidade lógica) em uma rede de área de armazenamento (SAN) ou NAS (armazenamento anexado à rede).
Como alternativa, o volume pode ser um CSV (Volume Compartilhado de Cluster) dentro do cluster. Ao usar o BitLocker com volumes designados para um cluster, o volume pode ser habilitado com o BitLocker antes de sua adição ao cluster ou quando estiver no cluster. Coloque o recurso no modo de manutenção antes de habilitar o BitLocker.
O Windows PowerShell ou o Manage-BDE interface de linha de comando é o método preferencial para gerenciar o BitLocker em volumes CSV. Esse método é recomendado no item de Painel de Controle do BitLocker porque os volumes do CSV são pontos de montagem. Os pontos de montagem são um objeto NTFS usado para fornecer um ponto de entrada para outros volumes. Os pontos de montagem não exigem o uso de uma letra do driver. Volumes que não têm letras de unidade não aparecem no item de Painel de Controle do BitLocker.
O BitLocker desbloqueia volumes protegidos sem intervenção do usuário, tentando protetores na seguinte ordem:
Limpar chave
Chave de desbloqueio automático baseada em driver
Protetor ADAccountOrGroup
Protetor de contexto de serviço
Protetor de usuário
Chave de desbloqueio automático baseada no Registro
O Cluster de Failover requer a opção protetor baseada no Active Directory para o recurso de disco de cluster. Caso contrário, os recursos CSV não estão disponíveis no item painel de controle.
Um protetor do AD DS (Active Directory Domain Services) para proteger volumes clusterizados mantidos em sua infraestrutura do AD DS. O protetor ADAccountOrGroup é um protetor baseado em SID (identificador de segurança de domínio) que pode ser associado a uma conta de usuário, conta de computador ou grupo. Quando uma solicitação de desbloqueio é feita para um volume protegido, o serviço BitLocker interrompe a solicitação e usa as APIs de proteção/desproteção do BitLocker para desbloquear ou negar a solicitação.
Nova funcionalidade
Em versões anteriores do Windows Server e do Azure Local, o único protetor de criptografia compatível é o protetor baseado em SID, em que a conta usada é o Objeto de Nome do Cluster (CNO), criado no Active Directory como parte da criação do Failover Clustering. Esse é um design seguro porque o protetor é armazenado no Active Directory e protegido pela senha do CNO. Além disso, facilita o provisionamento e o desbloqueio de volumes porque cada nó de Cluster de Failover tem acesso à conta do CNO.
A desvantagem tem três aspectos:
Obviamente, esse método não funciona quando um Cluster de Failover é criado sem qualquer acesso a um controlador do Active Directory no datacenter.
O desbloqueio de volume, como parte do failover, poderá levar muito tempo (e possivelmente tempo limite) se o controlador do Active Directory não responder ou ficar lento.
O processo online da unidade falhará se um controlador do Active Directory não estiver disponível.
Foi adicionada uma nova funcionalidade em que o Failover Clustering gera e mantém seu próprio protetor de chave BitLocker para um volume. Ele será criptografado e salvo no banco de dados do cluster local. Como o banco de dados de cluster é um repositório replicado apoiado pelo volume do sistema em cada nó de cluster, o volume do sistema em cada nó de cluster também deve ser protegido pelo BitLocker. O Cluster de failover não o impõe, pois algumas soluções podem não querer ou precisam criptografar o volume do sistema. Se a unidade do sistema não for protegida pelo BitLocker, o Cluster de failover sinalizará isso como um evento de aviso durante o processo online e de desbloqueio. A validação do Cluster de failover registra uma mensagem se detectar que esta é uma configuração sem o Active Directory ou de um grupo de trabalho e o volume do sistema não está criptografado.
Instalando a criptografia do BitLocker
O BitLocker é um recurso que deve ser adicionado a todos os nós do Cluster.
Adicionando o BitLocker usando o Gerenciador de Servidores
Abra Gerenciador do Servidor selecionando o ícone do Gerenciador do Servidor ou executando servermanager.exe.
Selecione Gerenciar na barra de Navegação do Gerenciador de Servidores e selecione Adicionar Funções e Recursos para iniciar o assistente Adicionar Funções e Recursos.
Com o Assistente para Adicionar Funções e Recursos aberto, selecione Avançar no painel Antes de começar (se mostrado).
Selecione Instalação baseada em função ou recurso no painel Tipo de instalação do painel Assistente para Adicionar Funções e Recursos e selecione Avançar para continuar.
Selecione a opção Selecionar um servidor no pool de servidores no painel Seleção do Servidor e confirme o servidor para a instalação do recurso BitLocker.
Selecione Avançar no painel Funções de Servidor do assistente Adicionar Funções e Recursos para prosseguir para o painel Recursos.
Marque a caixa de seleção ao lado de Criptografia de Unidade de Disco BitLocker no painel Recursos do assistente Adicionar Funções e Recursos. O assistente mostrará os recursos de gerenciamento adicionais disponíveis para o BitLocker. Se você não quiser instalar esses recursos, desmarque a opção Incluir ferramentas de gerenciamento e selecione Adicionar Recursos. Depois que a seleção de recursos opcionais for concluída, selecione Próximo para continuar.
Nota
O recurso de Armazenamento Aprimorado
Selecione Instalar no painel Confirmação do Assistente para Adicionar Funções e Recursos para iniciar a instalação do recurso de BitLocker. O recurso BitLocker requer uma reinicialização para ser concluída. Selecionar a opção Reiniciar o servidor de destino automaticamente, se necessário, no painel Confirmação forçará uma reinicialização do computador após a conclusão da instalação.
Se a caixa de seleção Reiniciar o servidor de destino automaticamente, se necessário, não estiver marcada, o painel Resultados do Assistente para Adicionar Funções e Recursos exibirá o êxito ou a falha da instalação do recurso de BitLocker. Se necessário, uma notificação de ação adicional necessária para concluir a instalação do recurso, como a reinicialização do computador, será exibida no texto de resultados.
Adicionar o BitLocker usando o PowerShell
Use o seguinte comando para cada servidor:
Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools
Para executar o comando em todos os servidores de cluster ao mesmo tempo, use o seguinte script, modificando a lista de variáveis no início para se ajustar ao seu ambiente:
Preencha essas variáveis com seus valores.
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker"
Essa parte executa o cmdlet Install-WindowsFeature em todos os servidores em $ServerList, passando a lista de recursos em $FeatureList.
Invoke-Command ($ServerList) {
Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools
}
Em seguida, reinicie todos os servidores:
$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos
Várias funções e recursos podem ser adicionados ao mesmo tempo. Por exemplo, para adicionar o BitLocker, o Cluster de Failover e a função de Servidor de Arquivos, o $FeatureList incluiria todos os itens necessários separados por uma vírgula. Por exemplo:
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”
Provisionar um volume criptografado
O provisionamento de uma unidade com criptografia de BitLocker pode ser feito quando a unidade faz parte do Cluster de Failover ou fora antes de adicioná-la. Para criar o Protetor de Chave Externa automaticamente, a unidade deve ser um recurso no Cluster de Failover antes de habilitar o BitLocker. Se o BitLocker estiver habilitado antes de adicionar a unidade ao Cluster de Failover, etapas manuais adicionais para criar o Protetor de Chave Externa deverão ser realizadas.
O provisionamento de volumes criptografados exigirá que os comandos do PowerShell sejam executados com privilégios administrativos. Há duas opções para criptografar as unidades e fazer com que o Clustering de Failover possa criar e usar suas próprias chaves do BitLocker.
Chave de recuperação interna
Arquivo de chave de recuperação externa
Criptografar usando uma chave de recuperação
Criptografar as unidades usando uma chave de recuperação permitirá que uma chave de recuperação do BitLocker seja criada e adicionada ao banco de dados de cluster. Como a unidade está ficando online, ela só precisa consultar o hive do cluster local para a chave de recuperação.
Mova o recurso de disco para o nó em que a criptografia do BitLocker será habilitada:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1
Coloque o recurso de disco no Modo de Manutenção:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource
Uma caixa de diálogo será exibida que diz:
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Para continuar, pressione Sim.
Para habilitar a criptografia do BitLocker, execute:
Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector
Depois de inserir o comando, um aviso será exibido e fornecerá uma senha de recuperação numérica. Salve a senha em um local seguro, pois ela também é necessária em uma etapa futura. O aviso é semelhante a este:
WARNING: ACTIONS REQUIRED:
1. Save this numerical recovery password in a secure location away from your computer:
271733-258533-688985-480293-713394-034012-061963-682044
To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.
Para obter as informações do protetor do BitLocker para o volume, o seguinte comando pode ser executado:
(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector
Isso exibirá a ID do protetor de chave e a cadeia de caracteres de senha de recuperação.
KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :
A ID do protetor de chave e a senha de recuperação serão necessárias e salvas em uma nova propriedade privada de disco físico chamada BitLockerProtectorInfo. Essa nova propriedade será usada quando o recurso sair do Modo de Manutenção. O formato do protetor será uma cadeia de caracteres em que a ID do protetor e a senha são separadas por um ":".
Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create
Para verificar se a chave e o valor
Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo
Agora que as informações estão presentes, o disco pode ser retirado do modo de manutenção depois que o processo de criptografia for concluído.
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource
Se o recurso não estiver online, poderá ser um problema de armazenamento, uma senha de recuperação incorreta ou algum problema. Verifique se a chave BitlockerProtectorInfo tem as informações adequadas. Se isso não acontecer, os comandos dados anteriormente devem ser executados novamente. Se o problema não estiver com esta chave, recomendamos entrar em contato com o grupo adequado em sua organização ou com o fornecedor de armazenamento para resolver o problema.
Se o recurso estiver online, as informações estão corretas. Durante o processo de saída do modo de manutenção, a chave BitlockerProtectorInfo é removida e criptografada sob o recurso no banco de dados de cluster.
Criptografar usando o arquivo de chave de recuperação externa
Criptografar as unidades usando um arquivo de chave de recuperação permitirá que uma chave de recuperação do BitLocker seja criada e acessada de um local ao qual todos os nós têm acesso, como um servidor de arquivos. Como a unidade está ficando online, o nó proprietário se conectará à chave de recuperação.
Mova o recurso de disco para o nó em que a criptografia do BitLocker será habilitada:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2
Coloque o recurso de disco no Modo de Manutenção:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource
Uma caixa de diálogo é exibida
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Para continuar, pressione Sim.
Para habilitar a criptografia do BitLocker e criar o arquivo protetor de chave localmente, execute o comando a seguir. É recomendável criar o arquivo localmente primeiro e, em seguida, movê-lo para um local acessível a todos os nós.
Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster
Para obter as informações do protetor do BitLocker para o volume, o seguinte comando pode ser executado:
(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector
Isso exibirá a ID do protetor de chave e o nome do arquivo de chave que ele cria.
KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
Ao acessar a pasta que foi especificada ao criá-la, você não a verá à primeira vista. O raciocínio é que ele será criado como um arquivo oculto. Por exemplo:
C:\Windows\Cluster\>dir f03
Directory of C:\\Windows\\Cluster
File Not Found
C:\Windows\Cluster\>dir /a f03
Directory of C:\Windows\Cluster
<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
C:\Windows\Cluster\>attrib f03
A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Como isso é criado em um caminho local, ele deve ser copiado para um caminho de rede para que todos os nós tenham acesso a ele usando o comando Copy-Item.
Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir
Como a unidade usará um arquivo e estará localizada em um compartilhamento de rede, tire a unidade do modo de manutenção especificando o caminho para o arquivo. Depois que a unidade for concluída com criptografia, o comando para retomá-la será:
Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Após a unidade ser provisionada, o arquivo *.BEK pode ser removido do compartilhamento e não é mais necessário.
Novos cmdlets do PowerShell
Com esse novo recurso, dois novos cmdlets foram criados para colocar o recurso online ou retomar o recurso manualmente usando a chave de recuperação ou o arquivo de chave de recuperação.
Start-ClusterPhysicalDiskResource
Exemplo 1
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
Exemplo 2
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Resume-ClusterPhysicalDiskResource
Exemplo 1
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
Exemplo 2
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Novos eventos
Há vários novos eventos que foram adicionados que estão no canal de eventos Microsoft-Windows-FailoverClustering/Operational.
Quando for bem-sucedido na criação do protetor de chave ou do arquivo protetor de chave, o evento mostrado será semelhante a:
Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.
Se houver uma falha na criação do protetor de chave ou do arquivo protetor de chave, o evento mostrado será semelhante a:
Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume
Conforme mencionado anteriormente, como o banco de dados de cluster é um repositório replicado com suporte pelo volume do sistema em cada nó de cluster, é recomendável que o volume do sistema em cada nó de cluster também seja protegido pelo BitLocker. O Cluster de Failover não o imporá, pois algumas soluções podem não querer ou precisar criptografar o volume do sistema. Se a unidade do sistema não estiver protegida pelo BitLocker, o Cluster de failover sinalizará isso como um evento durante o processo unlock/online. O evento mostrado seria semelhante a:
Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1
A validação do Cluster de failover registrará uma mensagem se detectar que esta é uma configuração sem o Active Directory ou de grupo de trabalho e o volume do sistema não está criptografado.