Шифрование виртуальных машин с BitLocker в Windows Server 2016

Одним из новшеств версии Hyper-V, представленной в Windows Server 2016, является поддержка шифрования дисков внутри виртуальных машин с помощью BitLocker . Тем самым данные на виртуальных дисках могут быть защищены от администратора хоста Hyper-V, который не сможет получить доступ к информации на vhdx диске, подключив его к другой ВМ. Данная возможность особенно актуальна при размещении ВМ в частном или публичном облаке IaaS.

Шифрование дисков в ВМ с помощью BitLocker можно использовать как само по себе, так и в рамках технологии Shielded VM (поговорим о ней в следующей статье). Возможно шифрование дисков как для первого, так и для второго поколения виртуальных машин Hyper-V. Однако реализуется оно по разному, в первом случае используется Key Storage Drive, во втором – виртуальный модуль Trusted Platform Module (vTPM).

Активация vTPM для поддержки BitLocker на ВМ 2-го поколения

В виртуальных машинах Hyper-V Gen-2 для шифрования дисков с помощью BitLocker необходимо использовать виртуальное устройство — криптопроцессор TPM 2.0 (Trusted Platform Module), которое может использоваться ВМ для шифрования дисков.

В качестве гостевой ОС может выступать Windows Server 2012 R2, Windows Server 2016 или различные дистрибутивы Linux (с поддержкой dm-crypt).

TPM включается индивидуально для каждой ВМ. Проверить, включена ли поддержка vTPM для ВМ, выполните команду PowerShell:

Get-VMSecurity VM01

Чтобы включить vTPM, выполните команду:

Enable-VMTPM -vm VM01

Включить/отключить vTPM можно и с помощью консоли Hyper-V Manager в настройках ВМ в разделе Security(Enable Trusted Platform Module).

Как вы видите, здесь же можно включить использования TPM для шифрования состояния ВМ и трафика миграции/репликации. С помощью PoSh эта функция включается так:

Set-VMSecurity -vm VM01 -EncryptStateAndVmMigrationTraffic $true

После этого в гостевой ОС в разделе Security devices диспетчера устройств появится устройство с именем Trusted Platform Module 2.0. Данное TPM устройство является виртуальным, оно не привязано к хосту Hyper-V и при миграции ВМ на другой хост продолжает функционировать.

После этого можно установить компонент BitLocker

Install-WindowsFeature -Name BitLocker -IncludeAllSubFeature –IncludeManagementTools -Restart

Затем с помощью BitLocker можно зашифровать диск с данными и системный диск.

Использование BitLocker на ВМ Hyper-V первого поколения

Для виртуальных машин Gen1, которые по разным причинам не могут быть мигрированы на Gen2 (например, для гостевых ОС, которые не поддерживают UEFI), Microsoft разработала функцию Key Storage Drive (KSD). KSD по сути представляет собой виртуальный аналог USB флешки на которой хранятся ключи шифрования BitLocker. Для включения KSD, выключите ВМ, поскольку предполагается добавление IDE устройства и в разделе Security настроек ВМ нажмите кнопку Add Key Storage Drive.

Включите ВМ, откройте консоль управления дисками (Disk Management) и убедитесь, что появился новый диск размером 42 Мб.

Инициализируйте и отформатируйте данный диск в NTFS с помощью консоли Disk Management или Diskpart.

Т.к. по умлочанию BitLocker требует наличия чипа TPM, нужно с помощью групповой политики включить возможнсть шифрования BitLocker без наличия чипа TPM. Для этого откройте редактор локальной групповой политики (gpedit.msc) и перейдите в раздел Computer Configuration->Administrative Templates->Windows Components -> BitLocker Drive Encryption. Включите политику Require Additional Authentication At Startup со следующими настройками:

• Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive) = Включить
• Configure TPM startup: Allow TPM
• Configure TPM startup PIN: Allow startup PIN with TPM
• Configure TPM startup key: Allow startup key with TPM
• Configure TPM startup key and PIN: Allow startup key and PIN with TPM

Осталось установить компонент BitLocker в гостевой ОС:

Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools -Restart

Зашифруем диск C: (диск K: в данном случае – адрес диска Key Storage Drive):

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath K:

Manage-bde -on C: -StartupKey K:\ -UsedSpaceOnly -SkipHardwareTest

Можно зашифровать и другие разделы:

Enable-BitLocker E: -StartupKeyProtector -StartupKeyPath K: -UsedSpaceOnly

Текущий статус процесса шифрования диска можно получить с помощью команды:

Настраиваем сохранение ключей восстановления BitLocker в Active Directory

Вы можете использовать Active Directory для безопасного хранения резервных копий ключей (паролей) восстановления BitLocker с клиентских компьютеров. Это очень удобно, если в вашей сети множество пользователей, которые используют BitLocker для шифрования данных. Вы можете настроить групповые политики в домене так, чтобы при шифровании любого диска с помощью BitLocker компьютер обязательно сохранял ключ восстановления в учетную запись компьютера в AD (по аналогии с хранением пароля локального администратора компьютера, генерируемого через LAPS).

Чтобы настроить хранение ключей BitLocker в Active Directory, ваша инфраструктура должна соответствовать следующим требованиям:

• Клиентские компьютеры с Windows 10 или Windows 8.1 с редакциями Pro и Enterprise;
• Версия схемы AD не ниже Windows Server 2012;
• Ваши ADMX файлы групповых политик должны быть обновлены до актуальных версий.

Настраиваем групповую политику для сохранения ключей восстановления BitLocker в AD

Для автоматического сохранения ключей BitLocker в домене вам нужно настроить отдельную групповую политику.

1. Откройте консоль управления доменными GPO (gpmc.msc), создайте новую GPO и назначьте ее на OU с компьютерами, для которых вы хотите включить автоматическое сохранение ключей BitLocker в AD;
2. Перейдите в следующий раздел GPO Computer Configuration -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption;
3. Включите политику Store BitLocker recovery information in Active Directory Domain Services со следующими настройками: Require BitLocker backup to AD DS и Select BitLocker recovery information to store: Recovery passwords and key packages;
4. Затем перейдите в раздел Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption -> Operating System Drives и включите политику Choose how BitLocker-protected operating system drives can be recovered. Обратите внимание, что желательно включить опцию Do not enable BitLocker until recovery information is stored to AD DS for operating system drives. В этом случае BitLocker не начнет шифрование диска, пока компьютер не сохранит новый ключ восстановления в AD (в случае мобильного пользователя придется ждать очередного подключения к домену);
5. В нашем случае мы включаем автоматическое сохранение ключа BitLocker для системного диска операционной системы. Если вы хотите сохранять ключи восстановления BitLocker для съемных носителей или других дисков, настройте аналогичную политику в разделах GPO: Fixed Data Drives и Removable Data Drives. [/alert]
6. Обновите настройки политик на клиентах: gpupdate /force
7. Зашифруйте системный диск компьютера с Windows 10 Pro с помощью BitLocker (Turn BitLocker on);
8. Windows 10 сохранит ключ восстановления BitLocker компьютера в Active Directory и зашифрует диск.

Если диск компьютера уже зашифрован с помощью BitLocker, вы можете вручную синхронизировать его в AD. Выполните команду:

manage-bde -protectors -get c:

Скопируйте значение поля Numerical Password ID (например, 33F6F1F0-7398-4D63-C80F-7C1643044047).

Выполните следующую команду, чтобы сохранить этот ключ восстановления в учетную запись данного компьютера в AD:

manage-bde -protectors -adbackup C: -id

Должно появится сообщение:

Recovery information was successfully backed up to Active Directory

BackupToAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId ((Get-BitLockerVolume -MountPoint $env:SystemDrive ).KeyProtector | where <$_.KeyProtectorType -eq "RecoveryPassword" >).KeyProtectorId

Просмотр и управления ключами восстановления BitLocker в Active Directory

Чтобы управлять ключами восстановления BitLocker из консоли Active Directory Users and Computers (ADUC – dsa.msc), нужно установить специальные инструменты RSAT.

В Windows Server вы можете установить компоненты BitLocker Drive Encryption Administration Utility (содержит BitLocker Drive Encryption Tools и BitLocker Recovery Password Viewer) через Server Manager.

Или можно установить эти компоненты Windows Server с помощью PowerShell:

Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt, RSAT-Feature-Tools-BitLocker-RemoteAdminTool, RSAT-Feature-Tools-BitLocker

Теперь, если открыть свойства любого компьютера в консоли ADUC, вы увидите, что появилась новая вкладка BitLocker Recovery.

Здесь указано, когда создан пароль, Password ID и ключ восстановления BitLocker.

Теперь, если пользователь забыл свой пароль BitLocker, он может сообщить администратору первые 8 символов Recovery Key, которые показываются на экране его компьютера и администратор с помощью функции Action —> Find BitLocker recovery password может найти и сообщить пользователю ключ восстановления компьютера.

По умолчанию, ключи восстановления BitLocker могут просматривать только администраторы домена. В Active Directory вы можете делегировать любой группе пользователей права на просмотр ключа восстановления BitLocker на определенной OU с компьютерами. Для этого нужно делегировать права на просмотр значения атрибута msFVE-RecoveryInformation.

Итак, в этой статье мы показали, как настроить автоматическое резервное копирование ключей восстановления BitLocker в Active Directory и теперь, если пользователь забыл пароль BitLocker, вы сможете получить его и восстановить доступ к данным на устройстве пользователя.

Практическое использование BitLocker

Заинтересовала меня технология именуемая, как BitLocker умеющая защищать логические диски от постороннего доступа к ним парольной фразой. К примеру вы системный администратор, и Вы начали чувствовать что Ваш руководитель стал к Вам относиться с подозрением, и от коллег по обмолвкам до Вас до шел слух, что Вас хотят уволить. Но ведь вы ничего такого не делали, добросовестно выполняли свои обязанности, были вежливыми и всегда шли на встречу проблеме и пути ее решения. У вас есть свои собственные наработки, вам никто ничего по приходу на текущее место работы не предоставил, путем анализа и проработки на виртуальном полигоне Вы разобрали текущую инфраструктуру на мелкие части и для Вас уже нет ничего не возможно, вы все знаете. Да такое бывает, и кстати у меня было в одной организации такая ситуация. Просто начальник хотел получить все готовое (кстати он был псевдоначальник, программист 1С которого сделали руководителем, но вот в части IT от не соображал ничего). Потому вы просто переносите все Ваши наработки на серверную систему Windows (через ESXi Добавив еще одни жесткий диск и уже на нем создаете логический диск) в новый диск, где задействуете технологию BitLocker. В Server 2008 R 2 Enterpise нужно, активировать компонент:

Start – Control Panel – Administrative Tools – Server Manager – Features – Add Features – находим

• BitLocker Drive Encryption

Нажимаем Next – Install – Close – Yes (Do you want to restart now?) и перезагружаем систему для активации изменений .

Для работы с технологией BitLocker система должна быть оборудована необходимым модулем – TPM ( Trusted Platform Module ). Поясню, как я понимаю это из всего прочитанного:

Это микросхема, дающая компьютеру дополнительные средства безопасности, например возможность шифрования дисков BitLocker. Доверенный платформенный модуль встроен в некоторые современные модели компьютеров. Активировать его в системе можно посредством BIOS , для этого нужно сделать следующее:

Boot the computer. DEL into the BIOS

Move to the Peripherals — Trusted Computing menu item that now appears.

Switch the TPM SUPPORT menu item from Disabled to Enable

Save settings and restart

А после уже, будучи находясь в системе проверяем, что модуль видится:

C:\Users\Administrator>manage-bde -tpm -turnon

BitLocker Drive Encryption: Configuration Tool version 6.1.7600

Copyright (C) Microsoft Corporation. All rights reserved.

ERROR: A compatible Trusted Platform Module (TPM) was not detected.

Ошибка. Не обнаружен совместимый доверенный платформенный модуль.

Win + R -> mmc.exe – File – Add or Remove Snap-ins – находим оснастку : TPM Management и нажимаем

В результате запустится оснастка управления модулем TPM – где будет уже наглядно понятно, поддерживается ли модуль TPM или нет – у меня нет:

Действия, представленные выше могут отличаться от Ваших, поэтому советую проверить сопровождающую информацию по Вашей материнской плате.

Если же система не оборудована данным модулем TPM , то перед началом шифрования необходимо разрешить использовать BitLocker без совместимого ТРМ. Делается это через оснастку: gpedit . msc

Запускаем: Win + R -> gpedit . msc

Далее в редакторе «Локальных групповых политик» на «Компьютер» вносим следующие изменения:

Local Computer Policy -> Computer Configuration -> Administrative Templates – Windows Components – BitLocker Drive Encryption

Следует привести параметры к виду:

Operating System Drives: Requirce additional authentication at startup – Enable

Также нужно позаботиться о наличии, USB флэш-накопителя с которого при запуске будет считываться ключ шифрования. Если устройство недоступно (не работает), необходимо воспользоваться одним из способов восстановления BitLocker. После активации данной политики уже можно шифровать свои жесткие диски.

Сейчас я покажу все пошаговое:

Переходим в «Панель управления» ( Control Panel ) – View by : Small icons и запускаем модуль «Шифрования диска BitLocker » ( BitLocker Drive Encryption ) и указываем тот диск, который предстоит шифровать. Это будет логический диск F: — нажимаем “Turn On BitLocker”

После того как вы указали на необходимость шифрования конкретного диска, BitLocker проведет его инициализацию.

Ожидаем, советую обратить внимание на то, что в период, когда вы будете шифровать диск, производительность сервера снизится.

Все тоже самое можно сделать через командную строку так:

manage-bde -protectors -add c: -recoverykey z:

where c: is the bitlocked system drive and z: is the plugged in USB pendrive.
You may check the status again to see if the new protector is shown in the list.

The recovery key will be saved to the pendrive as a hidden file.

, но у меня процесс подвис, далее при внимательном чтении ошибок выяснил, что не нужно было включать данную политику – выключил ее, переведя в положение Not Configured . Проделываю шаги снова:

Переходим в «Панель управления» ( Control Panel ) – View by : Small icons и запускаем модуль «Шифрования диска BitLocker » ( BitLocker Drive Encryption ) и указываем тот диск, который предстоит шифровать. Это будет логический диск F: — нажимаем “Turn On BitLocker”

Нажимаю Next -> далее сохраняю ключ восстановления, к примеру в файл:

Через проводник указываю местоположение (в корень диска нельзя, должен быть создан или уже иметь место быть каталог) удобное мне: — и нажимаю Save

Пример содержимого данного файла: (BitLocker Recovery Key B0BDC52B-D05C-4D53-BD86-443ECB5099DA.txt)

BitLocker Drive Encryption Recovery Key

The recovery key is used to recover the data on a BitLocker protected drive.

To verify that this is the correct recovery key compare the identification with what is presented on the recovery screen.

Recovery key identification: B0BDC52B-D05C-4D

Full recovery key identification: B0BDC52B-D05C-4D53-BD86-443ECB5099DA

BitLocker Recovery Key:

На вопрос «Do you want to save the recovery key on this computer?» — отвечаю Yes

А после Next – запускаем процесс шифрования диска

Процесс все еще идет:

Ожидаем, советую обратить внимание на то, что в период, когда вы будете шифровать диск, производительность сервера/рабочей станции снизится.

Так выглядит информационное окно о завершении процесса шифрования:

После завершения значок логического диска в «Моем компьютере» примет вид:

Это значит что диск зашифрован и все файлы помещаемые на него шифруются, чтобы его отключить нужно сделать так:

C:\Users\Administrator>manage-bde -lock F: -ForceDismount

BitLocker Drive Encryption: Configuration Tool version 6.1.7600

Copyright (C) Microsoft Corporation. All rights reserved.

Volume F: is now locked

И значок в «Мой компьютер» примет вид:

Теперь чтобы подключить зашифрованный логический диск нужно сделать:

Либо щелкнуть по нему и указать пароль и нажать Unlock

Либо через командную строку :

C:\Users\Administrator>manage-bde -unlock F: -password

BitLocker Drive Encryption: Configuration Tool version 6.1.7600

Copyright (C) Microsoft Corporation. All rights reserved.

Enter the password to unlock this volume : , в примере данной заметки пароль: 7 12 mbddr @

The password successfully unlocked volume F:.

Отлично все работает.

Данной заметкой я показал лишь малую часть использования технологии BitLocker на рабочем месте и как можно просто оставлять свои данные доступ к которым следует ограничить. Пусть Ваш доменный пароль изменен, на Вашей системе авторизовались, но доступ к данным закрыт. Но также ко всем относящемуся к Windows технологиям следует относится с некоторой долей осторожности, ведь все новое и внедренное и не опробованное многочисленными экспериментами не может служить 100% гарантией, что в один прекрасный момент из-за какого либо обновления Вы потеряете доступ к Вашим зашифрованным данным и уже не сможете восстановить доступ. Я же для себя просто разбирал, что есть технологию BitLocker и как ее можно использовать в повседневности. Даже подумывал на всякий случай обыграть такую сценку: чтобы делал сотрудник желающий со злым умыслом получить доступ к моим наработкам и заметкам , если столкнется; вход в систему закрыт утилитой syskey, а диски внутри закрыты уже технологией BitLocker. Но это так мысли вслух. На этом я пока прощаюсь, до новых встреч — с уважением автор блога — Олло Александр.