Usar o BitLocker com Volumes Compartilhados de Cluster (CSV)

• Aplica-se a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

Visão geral do BitLocker

A Encriptação de Unidade BitLocker é uma funcionalidade de proteção de dados que se integra com o sistema operativo e aborda as ameaças de roubo de dados ou exposição de computadores perdidos, roubados ou inadequadamente descomissionados.

O BitLocker fornece a maior proteção quando usado com um TPM (Trusted Platform Module) versão 1.2 ou posterior. O TPM é um componente de hardware instalado em muitos computadores mais recentes pelos fabricantes de computadores. Ele funciona com o BitLocker para ajudar a proteger os dados do usuário e garantir que um computador não tenha sido adulterado enquanto o sistema estava offline.

Em computadores que não têm um TPM versão 1.2 ou posterior, você ainda pode usar o BitLocker para criptografar a unidade do sistema operacional Windows. No entanto, esta implementação requer que o usuário insira uma chave de inicialização USB para iniciar o computador ou retomar da hibernação. A partir do Windows 8, pode usar uma senha de volume do sistema operativo para proteger o volume num computador sem TPM. Nenhuma das opções fornece a verificação de integridade do sistema pré-inicialização oferecida pelo BitLocker com um TPM.

Além do TPM, o BitLocker oferece a opção de bloquear o processo de inicialização normal até que o usuário forneça um PIN (número de identificação pessoal) ou insira um dispositivo removível. Este dispositivo pode ser uma unidade flash USB que contém uma chave de inicialização. Essas medidas de segurança adicionais fornecem autenticação multifator e garantem que o computador não iniciará ou retomará da hibernação até que o PIN ou a chave de inicialização corretos sejam apresentados.

Visão geral dos Volumes Compartilhados do Cluster

Os Volumes Compartilhados de Cluster (CSV) permitem que vários nós em um cluster de failover do Windows Server ou no Azure Local tenham acesso de leitura e gravação simultaneamente ao mesmo número de unidade lógica (LUN), ou disco, que é provisionado como um volume NTFS. O disco pode ser provisionado como Resilient File System (ReFS). No entanto, a unidade CSV está no modo redirecionado, o que significa que o acesso à gravação é enviado para o nó coordenador. Com o CSV, as funções clusterizadas podem fazer failover rapidamente de um nó para outro sem exigir uma alteração na propriedade da unidade ou desmontar e remontar um volume. O CSV também ajuda a simplificar o gerenciamento de um número potencialmente grande de LUNs em um cluster de failover.

O CSV fornece um sistema de arquivos clusterizado de uso geral que está em camadas acima de NTFS ou ReFS. Os aplicativos CSV incluem:

• Arquivos de disco rígido virtual clusterizado (VHD/VHDX) para máquinas virtuais Hyper-V clusterizadas
• Escale partilhas de ficheiros para armazenar dados de aplicações na função de Servidor de Ficheiros em cluster Scale-Out. Exemplos dos dados de aplicativo para essa função incluem arquivos de máquina virtual Hyper-V e dados do Microsoft SQL Server. O ReFS não é suportado para um Servidor de Arquivos Scale-Out no Windows Server 2012 R2 e versões anteriores. Para obter mais informações sobre Scale-Out File Server, consulte Scale-Out File Server for Application Data.
• Instância de Cluster de Failover (FCI) do Microsoft SQL Server 2014 (ou superior) A carga de trabalho clusterizada do Microsoft SQL Server no SQL Server 2012 e versões anteriores do SQL Server não oferecem suporte ao uso de CSV.
• Windows Server 2019 ou superior Microsoft Distributed Transaction Control (MSDTC)

Usar o BitLocker com Volumes Partilhados de Cluster

O BitLocker em volumes dentro de um cluster é gerenciado com base em como o serviço de cluster "exibe" o volume a ser protegido. O volume pode ser um recurso de disco físico, como um LUN (número de unidade lógica) em uma SAN (Storage Area Network, rede de armazenamento de dados) ou NAS (Network Attached Storage, armazenamento conectado à rede).

Como alternativa, o volume pode ser um Volume Compartilhado de Cluster (CSV) dentro do cluster. Ao usar o BitLocker com volumes designados para um cluster, o volume pode ser habilitado com o BitLocker antes de sua adição ao cluster ou quando estiver no cluster. Coloque o recurso no modo de manutenção antes de habilitar o BitLocker.

O Windows PowerShell ou a interface de linha de comando Manage-BDE é o método preferencial para gerenciar o BitLocker em volumes CSV. Este método é recomendado em vez do item do Painel de Controlo do BitLocker porque os volumes CSV são pontos de montagem. Pontos de montagem são um objeto NTFS que é usado para fornecer um ponto de entrada para outros volumes. Os pontos de montagem não requerem o uso de uma letra de unidade. Os volumes que não possuem letras de disco não aparecem no item do Painel de Controlo do BitLocker.

O BitLocker desbloqueia volumes protegidos sem a intervenção do usuário tentando protetores na seguinte ordem:

1. Chave Limpa

2. Chave de desbloqueio automático baseada no condutor

3. Protetor de ADAccountOrGroup

   1. Protetor de contexto de serviço

   2. Protetor do usuário

4. Chave de desbloqueio automático baseada no Registro

O Cluster de Failover requer a opção de protetor baseado no Ative Directory para o recurso de disco de cluster. Caso contrário, os recursos CSV não estarão disponíveis no item Painel de Controle.

Um protetor dos Serviços de Domínio do Active Directory (AD DS) para proteger volumes clusterizados mantidos na infraestrutura do AD DS. O protetor de ADAccountOrGroup é um protetor baseado em identificador de segurança de domínio (SID) que pode ser vinculado a uma conta de usuário, conta de máquina ou grupo. Quando uma solicitação de desbloqueio é feita para um volume protegido, o serviço BitLocker interrompe a solicitação e usa as APIs de proteção/desproteção do BitLocker para desbloquear ou negar a solicitação.

Nova funcionalidade

Em versões anteriores do Windows Server e do Azure Local, o único protetor de criptografia com suporte é o protetor baseado em SID, em que a conta que está sendo usada é o CNO (Cluster Name Object) criado no Ative Directory como parte da criação do Clustering de Failover. Este é um design seguro porque o protetor é armazenado no Ative Directory e protegido pela senha CNO. Além disso, facilita a gestão e a libertação de volumes porque cada nó do Cluster de Failover dispõe de acesso à conta CNO.

A desvantagem é tripla:

1. Esse método obviamente não funciona quando um Cluster de Failover é criado sem qualquer acesso a um controlador do Ative Directory no datacenter.

2. O desbloqueio de volume, como parte do failover, pode levar muito tempo (e possivelmente exceder o tempo limite) caso o controlador de Active Directory não responda ou esteja lento.

3. O processo online da unidade falhará se um controlador do Ative Directory não estiver disponível.

Foi adicionada uma nova funcionalidade que faz com que o Cluster de Failover gere e mantenha o seu próprio protetor de chave BitLocker para um volume. Ele será criptografado e salvo no banco de dados de cluster local. Como o banco de dados de cluster é um armazenamento replicado apoiado pelo volume do sistema em cada nó de cluster, o volume do sistema em cada nó de cluster também deve ser protegido pelo BitLocker. O cluster de failover não impõe isso, pois algumas soluções podem não querer ou precisar criptografar o volume do sistema. Se a unidade do sistema não estiver Bitlockered, o Cluster de Failover indicará isso como um evento de aviso durante o processo de ativação e desbloqueio. A validação do Cluster de Failover registra uma mensagem se detetar que se trata de uma configuração sem Ative Directory ou de grupo de trabalho e que o volume do sistema não está criptografado.

Instalando a criptografia BitLocker

O BitLocker é um recurso que deve ser adicionado a todos os nós do Cluster.

Adicionando o BitLocker usando o Gerenciador do Servidor

1. Abra do Gerenciador do Servidor selecionando o ícone do Gerenciador do Servidor ou executando servermanager.exe.

2. Selecione Gerenciar na barra de navegação do Gerenciador do Servidor e selecione Adicionar Funções e Recursos para iniciar o Assistente para Adicionar Funções e Recursos .

3. Com o Assistente para Adicionar Funções e Recursos aberto, selecione Próxima no painel Antes de começar (se mostrado).

4. Selecione de instalação baseada em função ou recurso no painel Tipo de instalação do painel Assistente para Adicionar Funções e Recursos e selecione Próximo para continuar.

5. Selecione a opção Selecione um servidor no pool de servidores no painel Seleção do Servidor e confirme a instalação do recurso BitLocker no servidor.

6. Selecione Seguinte no painel Funções de Servidor do assistente Adicionar Funções e Recursos para prosseguir para o painel Recursos.

7. Marque a caixa de seleção ao lado de Criptografia de Unidade de Disco BitLocker no painel Recursos do assistente Adicionar Funções e Recursos. O assistente mostrará os recursos de gerenciamento adicionais disponíveis para o BitLocker. Se não quiser instalar esses recursos, desmarque a opção Incluir ferramentas de gerenciamento e selecione Adicionar recursos. Quando a seleção de funcionalidades opcionais estiver concluída, selecione Avançar para continuar.

Observação

O recurso Enhanced Storage é um recurso necessário para habilitar o BitLocker. Este recurso permite o suporte para discos rígidos criptografados em sistemas capazes.

1. Selecione Instalar no painel de Confirmação de do Assistente para Adicionar Funções e Recursos do para iniciar a instalação do recurso BitLocker. O recurso BitLocker requer uma reinicialização para ser concluído. Selecionar a opção Reiniciar o servidor de destino automaticamente, se necessário no painel Confirmação forçará a reinicialização do computador após a conclusão da instalação.

2. Se a caixa de seleção Reiniciar o servidor de destino automaticamente, se necessário, não estiver marcada, o painel Resultados do Assistente para Adicionar Funções e Recursos exibirá o sucesso ou a falha da instalação do recurso BitLocker. Se necessário, uma notificação de ação adicional necessária para concluir a instalação do recurso, como a reinicialização do computador, será exibida no texto dos resultados.

Adicionar BitLocker usando o PowerShell

Use o seguinte comando para cada servidor:

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Para executar o comando em todos os servidores de cluster ao mesmo tempo, use o seguinte script, modificando a lista de variáveis no início para se ajustar ao seu ambiente:

Preencha estas variáveis com os seus valores.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

Esta parte executa o cmdlet Install-WindowsFeature em todos os servidores do $ServerList, passando a lista de recursos no $FeatureList.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Em seguida, reinicie todos os servidores:

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

Várias funções e recursos podem ser adicionados ao mesmo tempo. Por exemplo, para adicionar o BitLocker, o Cluster de Failover e a função de Servidor de Ficheiros, a lista $FeatureList incluiria todas as funcionalidades necessárias, separadas por uma vírgula. Por exemplo:

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”

Provisionar um volume criptografado

O provisionamento de uma unidade com criptografia BitLocker pode ser feito quando a unidade faz parte de um cluster de failover ou antes de a adicionar ao cluster. Para criar o Protetor de Chave Externa automaticamente, a unidade deve ser um recurso no Cluster de Failover antes de habilitar o BitLocker. Se o BitLocker estiver habilitado antes de adicionar a unidade ao Cluster de Failover, etapas manuais adicionais para criar o Protetor de Chave Externa deverão ser realizadas.

O provisionamento de volumes criptografados exigirá que os comandos do PowerShell sejam executados com privilégios administrativos. Há duas opções para encriptar as unidades e permitir que o Cluster de Failover possa criar e usar as suas próprias chaves BitLocker.

1. Chave de recuperação interna

2. Arquivo de chave de recuperação externa

Criptografar usando uma chave de recuperação

Criptografar as unidades usando uma chave de recuperação permitirá que uma chave de recuperação BitLocker seja criada e adicionada ao banco de dados do Cluster. Como a unidade está a ficar online, só precisa de consultar o repositório de cluster local para obter a chave de recuperação.

Mova o recurso de disco para o nó onde a criptografia BitLocker será ativada.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Coloque o recurso de disco no Modo de Manutenção:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

Será exibida uma caixa de diálogo que diz:

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Para continuar, pressione Sim.

Para habilitar a criptografia BitLocker, execute:

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

Depois de inserir o comando, um aviso aparece e fornece uma senha de recuperação numérica. Salve a senha em um local seguro, pois ela também é necessária em uma próxima etapa. O aviso é semelhante a este:

WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

Para obter as informações do protetor BitLocker para o volume, o seguinte comando pode ser executado:

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

Isso exibirá o ID do protetor de chave e a cadeia de caracteres da senha de recuperação.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

O ID do protetor de chave e a senha de recuperação serão necessários e salvos em uma nova propriedade privada do disco físico chamada BitLockerProtectorInfo. Essa nova propriedade será usada quando o recurso sair do Modo de Manutenção. O formato do protetor será uma string onde o ID do protetor e a senha são separados por um ":".

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

Para verificar se a chave e o valor BitlockerProtectorInfo estão definidos, execute o comando:

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Agora que as informações estão presentes, o disco pode ser retirado do modo de manutenção assim que o processo de criptografia for concluído.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

Se o recurso não ficar online, pode ser um problema de armazenamento, uma senha de recuperação incorreta ou algum problema. Verifique se a chave de BitlockerProtectorInfo tem as informações adequadas. Caso contrário, os comandos dados anteriormente devem ser executados novamente. Se o problema não estiver com essa chave, recomendamos entrar com o grupo adequado dentro da sua organização ou com o fornecedor de armazenamento para resolver o problema.

Se o recurso entrar em funcionamento, a informação está correta. Durante o processo de saída do modo de manutenção, a chave BitlockerProtectorInfo é removida e criptografada sob o recurso associado no banco de dados do cluster.

Encriptação usando o ficheiro da chave de recuperação externa

A criptografia das unidades usando um arquivo de chave de recuperação permitirá que uma chave de recuperação do BitLocker seja criada e acessada de um local ao qual todos os nós tenham acesso, como um servidor de arquivos. Quando a unidade está a entrar em funcionamento, o nó proprietário irá conectar-se à chave de recuperação.

Mova o recurso de disco para o nó onde a criptografia BitLocker será ativada.

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Coloque o recurso de disco no Modo de Manutenção:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

Uma caixa de diálogo aparece

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Para continuar, pressione Sim.

Para habilitar a criptografia BitLocker e criar o arquivo protetor de chave localmente, execute o seguinte comando. Recomenda-se criar o ficheiro localmente primeiro e, depois, movê-lo para um local acessível a todos os nós.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

Para obter as informações do protetor BitLocker para o volume, o seguinte comando pode ser executado:

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

Isso exibirá o ID do protetor de chave e o nome do arquivo de chave que ele cria.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

Ao ir para a pasta que foi especificada criando-o, você não vai vê-lo à primeira vista. O raciocínio é que ele será criado como um arquivo oculto. Por exemplo:

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Como isto é criado num caminho local, tem de ser copiado para um caminho de rede para que todos os nós tenham acesso a ele usando o comando Copy-Item.

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Como a unidade usará um arquivo e está localizada em um compartilhamento de rede, tire a unidade do modo de manutenção especificando o caminho para o arquivo. Depois de a unidade ter sido totalmente criptografada, o comando para retomá-la seria:

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Uma vez que a unidade tenha sido provisionada, o arquivo *.BEK pode ser removido da partilha e não é mais necessário.

Novos cmdlets do PowerShell

Com esse novo recurso, dois novos cmdlets foram criados para colocar o recurso online ou retomar o recurso manualmente usando a chave de recuperação ou o arquivo de chave de recuperação.

Start-ClusterPhysicalDiskResource

Exemplo 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Exemplo 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

Exemplo 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Exemplo 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Novos eventos

Há vários novos eventos que foram adicionados ao canal de eventos Microsoft-Windows-FailoverClustering/Operacional.

Quando é bem-sucedido na criação do protetor de chave ou arquivo de protetor de chave, o evento mostrado seria semelhante a:

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

Se houver uma falha na criação do protetor de chave ou do arquivo do protetor de chave, o evento mostrado será semelhante a:

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Como mencionado anteriormente, como o banco de dados de cluster é um armazenamento replicado apoiado pelo volume do sistema em cada nó de cluster, é recomendável que o volume do sistema em cada nó de cluster também seja protegido pelo BitLocker. O Cluster de Failover não irá impor isso, pois algumas soluções poderão não querer ou não precisar criptografar o volume do sistema. Se a unidade do sistema não estiver protegida pelo BitLocker, o Cluster de Failover sinalizará isso como um evento durante o processo de desbloqueio/online. O evento mostrado seria semelhante a:

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

A validação do Cluster de Failover registra uma mensagem se detetar que se trata de uma configuração sem Ative Directory ou de grupo de trabalho e que o volume do sistema não está criptografado.