Шифрование виртуальных машин с BitLocker в Windows Server 2016

Одним из новшеств версии Hyper-V, представленной в Windows Server 2016, является поддержка шифрования дисков внутри виртуальных машин с помощью BitLocker . Тем самым данные на виртуальных дисках могут быть защищены от администратора хоста Hyper-V, который не сможет получить доступ к информации на vhdx диске, подключив его к другой ВМ. Данная возможность особенно актуальна при размещении ВМ в частном или публичном облаке IaaS.

Шифрование дисков в ВМ с помощью BitLocker можно использовать как само по себе, так и в рамках технологии Shielded VM (поговорим о ней в следующей статье). Возможно шифрование дисков как для первого, так и для второго поколения виртуальных машин Hyper-V. Однако реализуется оно по разному, в первом случае используется Key Storage Drive, во втором – виртуальный модуль Trusted Platform Module (vTPM).

Активация vTPM для поддержки BitLocker на ВМ 2-го поколения

В виртуальных машинах Hyper-V Gen-2 для шифрования дисков с помощью BitLocker необходимо использовать виртуальное устройство — криптопроцессор TPM 2.0 (Trusted Platform Module), которое может использоваться ВМ для шифрования дисков.

В качестве гостевой ОС может выступать Windows Server 2012 R2, Windows Server 2016 или различные дистрибутивы Linux (с поддержкой dm-crypt).

TPM включается индивидуально для каждой ВМ. Проверить, включена ли поддержка vTPM для ВМ, выполните команду PowerShell:

Get-VMSecurity VM01

Чтобы включить vTPM, выполните команду:

Enable-VMTPM -vm VM01

Включить/отключить vTPM можно и с помощью консоли Hyper-V Manager в настройках ВМ в разделе Security(Enable Trusted Platform Module).

Как вы видите, здесь же можно включить использования TPM для шифрования состояния ВМ и трафика миграции/репликации. С помощью PoSh эта функция включается так:

Set-VMSecurity -vm VM01 -EncryptStateAndVmMigrationTraffic $true

После этого в гостевой ОС в разделе Security devices диспетчера устройств появится устройство с именем Trusted Platform Module 2.0. Данное TPM устройство является виртуальным, оно не привязано к хосту Hyper-V и при миграции ВМ на другой хост продолжает функционировать.

После этого можно установить компонент BitLocker

Install-WindowsFeature -Name BitLocker -IncludeAllSubFeature –IncludeManagementTools -Restart

Затем с помощью BitLocker можно зашифровать диск с данными и системный диск.

Использование BitLocker на ВМ Hyper-V первого поколения

Для виртуальных машин Gen1, которые по разным причинам не могут быть мигрированы на Gen2 (например, для гостевых ОС, которые не поддерживают UEFI), Microsoft разработала функцию Key Storage Drive (KSD). KSD по сути представляет собой виртуальный аналог USB флешки на которой хранятся ключи шифрования BitLocker. Для включения KSD, выключите ВМ, поскольку предполагается добавление IDE устройства и в разделе Security настроек ВМ нажмите кнопку Add Key Storage Drive.

Включите ВМ, откройте консоль управления дисками (Disk Management) и убедитесь, что появился новый диск размером 42 Мб.

Инициализируйте и отформатируйте данный диск в NTFS с помощью консоли Disk Management или Diskpart.

Т.к. по умлочанию BitLocker требует наличия чипа TPM, нужно с помощью групповой политики включить возможнсть шифрования BitLocker без наличия чипа TPM. Для этого откройте редактор локальной групповой политики (gpedit.msc) и перейдите в раздел Computer Configuration->Administrative Templates->Windows Components -> BitLocker Drive Encryption. Включите политику Require Additional Authentication At Startup со следующими настройками:

• Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive) = Включить
• Configure TPM startup: Allow TPM
• Configure TPM startup PIN: Allow startup PIN with TPM
• Configure TPM startup key: Allow startup key with TPM
• Configure TPM startup key and PIN: Allow startup key and PIN with TPM

Осталось установить компонент BitLocker в гостевой ОС:

Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools -Restart

Зашифруем диск C: (диск K: в данном случае – адрес диска Key Storage Drive):

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath K:

Manage-bde -on C: -StartupKey K:\ -UsedSpaceOnly -SkipHardwareTest

Можно зашифровать и другие разделы:

Enable-BitLocker E: -StartupKeyProtector -StartupKeyPath K: -UsedSpaceOnly

Текущий статус процесса шифрования диска можно получить с помощью команды:

BitLocker: развертывание в Windows Server 2012 и более поздних версиях BitLocker: How to deploy on Windows Server 2012 and later

Применимо к: WindowsServer 2012, WindowsServer 2012 R2, WindowsServer 2016, WindowsServer 2019 Applies to: WindowsServer 2012, WindowsServer 2012 R2, WindowsServer 2016, WindowsServer 2019

В этом разделе для ИТ-специалистов объясняется, как развернуть BitLocker в Windows Server 2012 и более поздних версиях. This topic for the IT professional explains how to deploy BitLocker on Windows Server 2012 and later. Для всех выпусков Windows Server BitLocker можно установить с помощью диспетчера серверов или Windows PowerShell управления. For all Windows Server editions, BitLocker can be installed using Server Manager or Windows PowerShell cmdlets. Для установки BitLocker требуются права администратора на сервере. BitLocker requires administrator privileges on the server to install.

Установка BitLocker Installing BitLocker

Установка BitLocker с помощью диспетчера серверов To install BitLocker using Server Manager

Откройте диспетчер серверов, выбрав значок диспетчера серверов или заверив servermanager.exe. Open Server Manager by selecting the Server Manager icon or running servermanager.exe.

Выберите «Управление» на панели навигации диспетчера серверов и выберите «Добавление ролей и компонентов», чтобы запустить мастер добавления ролей и компонентов. Select Manage from the Server Manager Navigation bar and select Add Roles and Features to start the Add Roles and Features Wizard.

Открыв мастер добавления ролей и компонентов, выберите «Далее» в области «Перед началом работы» (если она показана). **** With the Add Roles and Features Wizard open, select Next at the Before you begin pane (if shown).

Выберите установку на основе ролей **** или компонентов на **** области типов установки в области «Мастер добавления ролей и компонентов» и выберите «Далее», чтобы продолжить. Select Role-based or feature-based installation on the Installation type pane of the Add Roles and Features Wizard pane and select Next to continue.

Выберите параметр «Выбрать сервер из пула серверов» в области выбора сервера и подтвердит сервер для установки функции BitLocker. **** Select the Select a server from the server pool option in the Server Selection pane and confirm the server for the BitLocker feature install.

Роли и функции сервера устанавливаются с помощью того же мастера в диспетчере серверов. Server roles and features install using the same wizard in Server Manager. Выберите «Далее» в области **** ролей сервера мастера добавления ролей и компонентов, чтобы перейти к области компонентов. **** Select Next on the Server Roles pane of the Add Roles and Features wizard to proceed to the Features pane.

В области «Функции» мастера добавления **** ролей и компонентов в области «Функции» в области «Шифрование диска BitLocker» в поле «Шифрование диска BitLocker» вобласти «Добавление ролей и компонентов». Select the check box next to BitLocker Drive Encryption within the Features pane of the Add Roles and Features Wizard. Мастер покажет дополнительные функции управления, доступные для BitLocker. The wizard will show the additional management features available for BitLocker. Если вы не хотите устанавливать эти функции, отключайте параметр «Включить средства управления» и выберите **** «Добавить функции». If you do not want to install these features, deselect the Include management tools option and select Add Features. После выбора дополнительных функций выберите «Далее», чтобы перейти к мастеру. Once optional features selection is complete, select Next to proceed in the wizard.

Примечание. Функция расширенного хранилища является обязательной функцией для включения BitLocker. Note: The Enhanced Storage feature is a required feature for enabling BitLocker. Эта функция обеспечивает поддержку зашифрованных жестких дисков в системах с поддержкой. This feature enables support for Encrypted Hard Drives on capable systems.

Выберите «Установить» в области **** подтверждения мастера добавления ролей и компонентов, чтобы начать установку компонентов BitLocker. Select Install on the Confirmation pane of the Add Roles and Features Wizard to begin BitLocker feature installation. Для работы функции BitLocker требуется перезагрузка. The BitLocker feature requires a restart to complete. Автоматический выбор перезапуска конечного сервера **** при необходимости в области подтверждения при принудительном перезапуске компьютера после завершения установки. **** Selecting the Restart the destination server automatically if required option in the Confirmation pane will force a restart of the computer after installation is complete.

Если автоматически перезапустить сервер назначения, если не выбран **** необходимый, в **** области результатов мастера добавления ролей и компонентов будет отображаться успешность или сбой установки компонентов BitLocker. **** If the Restart the destination server automatically if required check box is not selected, the Results pane of the Add Roles and Features Wizard will display the success or failure of the BitLocker feature installation. При необходимости в тексте результатов будет отображаться уведомление о дополнительных действиях, необходимых для завершения установки функций, таких как перезагрузка компьютера. If required, a notification of additional action necessary to complete the feature installation, such as the restart of the computer, will be displayed in the results text.

Установка BitLocker с помощью Windows PowerShell To install BitLocker using Windows PowerShell

Windows PowerShell предоставляет администраторам еще один вариант установки функций BitLocker. Windows PowerShell offers administrators another option for BitLocker feature installation. Windows PowerShell установки компонентов с помощью модуля или модуля; однако модули и модули не всегда совместно используют четность servermanager dism имен servermanager dism компонентов. Windows PowerShell installs features using the servermanager or dism module; however, the servermanager and dism modules do not always share feature name parity. Поэтому рекомендуется перед установкой подтвердить имя функции или роли. Because of this, it is advisable to confirm the feature or role name prior to installation.

Примечание. Чтобы завершить установку BitLocker, необходимо перезапустить сервер. Note: You must restart the server to complete the installation of BitLocker.

Использование модуля servermanager для установки BitLocker Using the servermanager module to install BitLocker

Модуль Windows PowerShell может использовать либо функцию servermanager BitLocker, либо для Install-WindowsFeature Add-WindowsFeature ее установки. The servermanager Windows PowerShell module can use either the Install-WindowsFeature or Add-WindowsFeature to install the BitLocker feature. Этот Add-WindowsFeature cmdlet является просто загной для Install-WindowsFeature . The Add-WindowsFeature cmdlet is merely a stub to the Install-WindowsFeature . В этом примере используется Install-WindowsFeature этот cmdlet. This example uses the Install-WindowsFeature cmdlet. Имя функции BitLocker в servermanager модуле : BitLocker . The feature name for BitLocker in the servermanager module is BitLocker .

По умолчанию установка компонентов в Windows PowerShell не включает необязательные подуправления или средства управления в процессе установки. By default, installation of features in Windows PowerShell does not include optional sub-features or management tools as part of the install process. Это можно увидеть с помощью -WhatIf параметра в Windows PowerShell. This can be seen using the -WhatIf option in Windows PowerShell.

Результаты этой команды показывают, что только функция шифрования диска BitLocker устанавливается с помощью этой команды. The results of this command show that only the BitLocker Drive Encryption feature installs using this command.

Чтобы узнать, что будет установлено с помощью функции BitLocker, включая все доступные средства управления и под функции, используйте следующую команду: To see what would be installed with the BitLocker feature including all available management tools and sub-features, use the following command:

В результате этой команды отображается следующий список всех средств администрирования для BitLocker, которые будут установлены вместе с этой функцией, включая средства для использования с доменными службами Active Directory (AD DS) и службами Active Directory облегченного использования каталогов (AD LDS). The result of this command displays the following list of all the administration tools for BitLocker that would be installed along with the feature, including tools for use with Active Directory Domain Services (AD DS) and Active Directory Lightweight Directory Services (AD LDS).

• Шифрование диска BitLocker BitLocker Drive Encryption
• Средства шифрования диска BitLocker BitLocker Drive Encryption Tools
• Средства администрирования шифрования диска BitLocker BitLocker Drive Encryption Administration Utilities
• Средство просмотра пароля восстановления BitLocker BitLocker Recovery Password Viewer
• Средства управления Snap-Ins и Command-Line AD DS AD DS Snap-Ins and Command-Line Tools
• Средства AD DS AD DS Tools
• AD DS и средства AD LDS AD DS and AD LDS Tools

Чтобы завершить полную установку функции BitLocker со всеми доступными функциями и после завершения перезагрузки сервера, выполните ную команду: The command to complete a full installation of the BitLocker feature with all available features and then rebooting the server at completion is:

Важно! Установка функции BitLocker с помощью Windows PowerShell не устанавливает функцию расширенного хранилища. Important: Installing the BitLocker feature using Windows PowerShell does not install the Enhanced Storage feature. Администраторам, желающим поддерживать зашифрованные жесткие диски в своей среде, потребуется отдельно установить функцию расширенного хранилища. Administrators wishing to support Encrypted Hard Drives in their environment will need to install the Enhanced Storage feature separately.

Использование модуля dism для установки BitLocker Using the dism module to install BitLocker

Модуль dism Windows PowerShell использует Enable-WindowsOptionalFeature командлет для установки компонентов. The dism Windows PowerShell module uses the Enable-WindowsOptionalFeature cmdlet to install features. Имя функции BitLocker для BitLocker: BitLocker . The BitLocker feature name for BitLocker is BitLocker . Модуль dism не поддерживает поддиаными знаками при поиске имен функций. The dism module does not support wildcards when searching for feature names. Чтобы получить список имен функций dism для модуля, используйте Get-WindowsOptionalFeatures командлет. To list feature names for the dism module, use the Get-WindowsOptionalFeatures cmdlet. Следующая команда перечислит все дополнительные функции в оперативной (запущенной) операционной системе. The following command will list all of the optional features in an online (running) operating system.

Из этих выходных данных видно, что существует три связанных с BitLocker дополнительных имена дополнительных функций: BitLocker, BitLocker-Utilities и BitLocker-NetworkUnlock. From this output, we can see that there are three BitLocker related optional feature names: BitLocker, BitLocker-Utilities and BitLocker-NetworkUnlock. Для установки функции BitLocker требуются только функции BitLocker BitLocker-Utilities и BitLocker-Utilities. To install the BitLocker feature, the BitLocker and BitLocker-Utilities features are the only required items.

Чтобы установить BitLocker с помощью dism модуля, используйте следующую команду: To install BitLocker using the dism module, use the following command:

Эта команда запросит у пользователя перезагрузку. This command will prompt the user for a reboot. Этот Enable-WindowsOptionalFeature не поддерживает принудительной перезагрузки компьютера. The Enable-WindowsOptionalFeature cmdlet does not offer support for forcing a reboot of the computer. Эта команда не включает установку средств управления для BitLocker. This command does not include installation of the management tools for BitLocker. Для полной установки BitLocker и всех доступных средств управления используйте следующую команду: For a complete installation of BitLocker and all available management tools, use the following command: