Protegendo volumes compartilhados do cluster e redes de área de armazenamento com o BitLocker
Este tópico para profissionais de TI descreve como proteger CSVs e SANs com o BitLocker.
O BitLocker pode proteger tanto recursos de disco físico como volumes compartilhados do cluster versão 2.0 (CSV2.0). O BitLocker nos volumes clusterizados permite uma camada adicional de proteção para administradores que desejam proteger dados confidenciais altamente disponíveis. Adicionando mais protetores ao volume clusterizado, os administradores também podem acrescentar uma barreira de segurança adicional para os recursos de uma organização, permitindo o acesso somente a determinadas contas de usuário para desbloquear o volume do BitLocker.
Configurar o BitLocker nos Volumes Compartilhados do Cluster
Usando o BitLocker com Volumes Clusterizados
O BitLocker nos volumes de um cluster são gerenciadas com base em como o serviço de cluster "vê" o volume a ser protegido. O volume pode ser um recurso de disco físico, como um número de unidade lógica (LUN) em uma rede de área de armazenamento (SAN) ou armazenamento anexado à rede (NAS).
Importante
As SANs usadas com o BitLocker devem ter obtido a Certificação de Hardware do Windows. Para obter mais informações, consulte Kit de Laboratório de Hardware do Windows.
Como alternativa, o volume pode ser um volume compartilhado clusterizado, um namespace compartilhado, dentro do cluster. O Windows Server 2012 expandiu a arquitetura CSV, agora conhecida como CSV2.0, para habilitar o suporte ao BitLocker. Ao usar o BitLocker com volumes designados para um cluster, o volume precisará ativar o BitLocker antes de sua adição ao pool de armazenamento no cluster ou colocar o recurso no modo de manutenção antes das operações do BitLocker serem concluídas.
O Windows PowerShell ou a interface de linha de comando manage-bde é o método preferencial para gerenciar o BitLocker em volumes CSV2.0. Isso é recomendável ao vez do item do Painel de Controle do BitLocker porque os volumes CSV2.0 são pontos de montagem. Os pontos de montagem são um objeto NTFS que é usado para fornecer um ponto de entrada para outros volumes. Os pontos de montagem não exigem o uso de uma letra de unidade. Os volumes sem letras de unidade não aparecem no item do Painel de Controle do BitLocker. Além disso, a nova opção de protetor baseada no Active Directory exigida para o recurso de disco de cluster ou recursos CSV2.0 não está disponível no item do Painel de Controle.
Observação
Os pontos de montagem podem ser usados para dar suporte a pontos de montagem remotos em compartilhamentos de rede baseados em SMB. Esse tipo de compartilhamento não é compatível com a criptografia BitLocker.
Para o armazenamento escassamente provisionado, como um disco rígido virtual dinâmico (VHD), o BitLocker é executado no modo de criptografia Somente Espaço em Disco Usado. Você não pode usar o comando manage-bde –WipeFreeSpace para fazer a transição do volume para criptografia de volume completo nesses tipos de volumes. Isso ocorre porque a criptografia completa requer um marcador de fim para o volume e os VHDs expansíveis dinamicamente não têm um fim estático de marcador de volume.
Protetor baseada no Active Directory
Você também pode usar um protetor dos Serviços de Domínio do Active Directory (AD DS) para proteger volumes clusterizados mantidos em sua infraestrutura do AD DS. O protetor ADAccountOrGroup é um protetor baseado no identificador de segurança de domínio que pode ser vinculado a uma conta de usuário, conta de computador ou grupo. Quando uma solicitação de desbloqueio é feita para um volume protegido, o serviço do BitLocker interrompe a solicitação e usa as APIs Proteger/Desproteger do BitLocker para desbloquear ou negar a solicitação. O BitLocker desbloqueará volumes protegidos sem a intervenção do usuário pela tentativa de protetores na seguinte ordem:
Chave não criptografada
Chave de desbloqueio automático baseada em driver
Protetor ADAccountOrGroup
Protetor de contexto de serviço
Protetor de usuário
Chave de desbloqueio automático baseada no Registro
Observação
Um Windows Server 2012 ou controlador de domínio posterior é necessário para esse recurso funcionar corretamente.
Ativando o BitLocker antes de adicionar discos a um cluster usando o Windows PowerShell
A criptografia BitLocker está disponível para discos antes ou após a adição a um pool de armazenamento de cluster. A vantagem de criptografar volumes antes de adicioná-los a um cluster é que o recurso de disco não exige a suspensão do recurso para concluir a operação. Para ativar o BitLocker para um disco antes de adicioná-lo a um cluster, faça o seguinte:
Instale o recurso Criptografia de Unidade de Disco BitLocker, se ele já não estiver instalado.
Certifique-se de que o disco está formatado como NTFS e tem uma unidade de letra atribuída a ele.
Habilite o BitLocker no volume usando o protetor de sua escolha. Um protetor de senha é usado no exemplo abaixo do script do Windows PowerShell.
Enable-BitLocker E: -PasswordProtector -Password $pw
Identifique o nome do cluster com o Windows PowerShell.
Get-Cluster
Adicione um protetor ADAccountOrGroup ao volume usando o nome do cluster com um comando como:
Add-BitLockerProtector E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
Aviso
Você deve adicionar um protetor ADAccountOrGroup usando o cluster CNO em um volume habilitado para BitLocker para compartilhamento em um Volume Compartilhado do Cluster ou failover correto em um cluster de failover tradicional.
Repita as etapas 1 a 6 para cada disco no cluster.
Adicione os volumes ao cluster.
Ativando o BitLocker para um disco clusterizado usando o Windows PowerShell
Quando o serviço de cluster já tem um recurso de disco, é preciso defini-lo no modo de manutenção antes de o BitLocker ser habilitado. Use as etapas a seguir para ativar o BitLocker para um disco clusterizado:
Instale o recurso Criptografia de Unidade de Disco BitLocker, se ele já não estiver instalado.
Verifique o status do disco do cluster usando o Windows PowerShell.
Get-ClusterResource "Cluster Disk 1"
Coloque o recurso de disco físico no modo de manutenção usando o Windows PowerShell.
Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource
Habilite o BitLocker no volume usando o protetor de sua escolha. Um protetor de senha é usado no exemplo a seguir.
Enable-BitLocker E: -PasswordProtector -Password $pw
Identifique o nome do cluster com o Windows PowerShell
Get-Cluster
Adicione um protetor ADAccountOrGroup com o Objeto de Nome de Cluster (CNO) ao volume usando um comando como:
Add-BitLockerProtector E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
Aviso
Você deve adicionar um protetor ADAccountOrGroup usando o cluster CNO em um volume habilitado para BitLocker para compartilhamento em um Volume Compartilhado do Cluster ou failover correto em um cluster de failover tradicional.
Repita as etapas 1 a 6 para cada disco no cluster.
Adicione os volumes ao cluster
Adicionando volumes criptografados do BitLocker a um cluster com manage-bde
Você também pode usar manage-bde para habilitar o BitLocker em volumes clusterizados. As etapas necessárias para adicionar um recurso de disco físico ou volume CSV2.0 a um cluster existente inclui o seguinte:
Verifique se que o recurso Criptografia de Unidade de Disco BitLocker está instalado no computador.
Certifique-se de que o novo armazenamento está formatado como NTFS.
Criptografe o volume, adicione uma chave de recuperação e o administrador de cluster como uma chave de protetor usando a interface de linha de comando manage-bde (veja o exemplo):
Manage-bde -on -used <drive letter> -RP -sid domain\CNO$ -sync
O BitLocker verificará se o disco já faz parte de um cluster. Se for, os administradores encontrarão um bloco de disco rígido. Caso contrário, a criptografia continuará.
O uso do parâmetro -sync é opcional. Seu uso garante que o comando aguarde até que a criptografia do volume seja concluída antes de liberar o volume para uso no pool de armazenamento de cluster.
Abra o snap-in Gerenciador de Cluster de Failover ou os cmdlets do PowerShell para permitir que o disco seja clusterizado.
- Após o disco ser clusterizado, também poderá ser habilitado para CSV.
Durante a operação online do recurso, o cluster verificará se o disco foi criptografada pelo BitLocker.
Se o volume não estiver habilitado para BitLocker, as operações online tradicionais do cluster ocorrerão.
Se o volume estiver habilitado para BitLocker, a seguinte verificação será feita:
- Se o volume estiver bloqueado, o BitLocker representará o CNO e desbloqueará o volume usando o protetor de CNO. Se essa operação falhar, um evento será registrado sobre o volume que não pôde ser desbloqueado e a operação online falhará.
Depois que o disco estiver online no pool de armazenamento, ele poderá ser adicionado a um CSV ao clicar com o botão direito do mouse no recurso de disco e escolher "Adicionar aos volumes compartilhados do cluster".
Os CSVs podem incluir volumes criptografados e não criptografados. Para verificar o status de um volume específico para a criptografia BitLocker, os administradores podem utilizar o comando manage-bde -status com um caminho para o volume dentro do namespace do CSV, conforme visto na linha de comando de exemplo abaixo.
manage-bde -status "C:\ClusterStorage\volume1"
Recursos de disco físico
Ao contrário dos volumes CSV2.0, os recursos de disco físico só podem ser acessados por um nó de cluster de cada vez. Isso significa que as operações como criptografar, descriptografar, bloquear ou desbloquear volumes exigem contexto para serem executadas. Por exemplo, você não poderá desbloquear ou descriptografar um recurso de disco físico se não estiver administrando o nó de cluster que possui o recurso de disco porque o recurso de disco não está disponível.
Restrições de ações do BitLocker com volumes de cluster
A tabela a seguir contém informações sobre os recursos de disco físico (ou seja, volumes de cluster de failover tradicionais) e Volumes Compartilhados de Cluster (CSV) e as ações que são permitidas pelo BitLocker em cada situação.
Ação |
No nó do proprietário do volume de failover |
No servidor de metadados (MDS) de CSV |
No DS (Servidor de Dados) de CSV |
Modo de manutenção |
Manage-bde –on |
Bloqueado |
Bloqueado |
Bloqueado |
Permitido |
Manage-bde –off |
Bloqueado |
Bloqueado |
Bloqueado |
Permitido |
Manage-bde Pause/Resume |
Bloqueado |
Bloqueado** |
Bloqueado |
Permitido |
Manage-bde –lock |
Bloqueado |
Bloqueado |
Bloqueado |
Permitido |
manage-bde –wipe |
Bloqueado |
Bloqueado |
Bloqueado |
Permitido |
Unlock |
Automático através do serviço de cluster |
Automático através do serviço de cluster |
Automático através do serviço de cluster |
Permitido |
manage-bde –protector –add |
Permitido |
Permitido |
Bloqueado |
Permitido |
manage-bde -protector -delete |
Permitido |
Permitido |
Bloqueado |
Permitido |
manage-bde –autounlock |
Permitido (não recomendado) |
Permitido (não recomendado) |
Bloqueado |
Permitido (não recomendado) |
Manage-bde -upgrade |
Permitido |
Permitido |
Bloqueado |
Permitido |
Shrink |
Permitido |
Permitido |
Bloqueado |
Permitido |
Extend |
Permitido |
Permitido |
Bloqueado |
Permitido |
Observação
Embora o comando manage-bde -pause seja bloqueado nos clusters, o serviço de cluster retomará automaticamente uma criptografia ou descriptografia em pausa do nó do MDS
No caso de um recurso de disco físico sofrer um evento de failover durante a conversão, o novo nó de propriedade detectará que a conversão não está completa e concluirá o processo de conversão.
Outras considerações sobre quando usar o BitLocker no CSV2.0
Algumas outras considerações para se levar em conta sobre o BitLocker no armazenamento de cluster incluem o seguinte:
Os volumes do BitLocker precisam ser inicializados e começar a criptografia antes de estarem disponíveis para serem adicionados a um volume CSV2.0.
Se um administrador precisar descriptografar o volume CSV, remova o volume do cluster ou coloque-o no modo de manutenção de disco. Você pode adicionar o CSV de volta ao cluster enquanto aguarda a conclusão da descriptografia.
Se um administrador precisar começar a criptografar um volume CSV, remova o volume do cluster ou coloque-o no modo de manutenção.
Se a conversão sofrer uma pausa com a criptografia em andamento e o volume CSV estiver offline no cluster, o thread do cluster (verificação de integridade) retomará automaticamente a conversão quando o volume estiver online no cluster.
Se a conversão sofrer uma pausa com a criptografia em andamento e um volume de recurso de disco físico estiver offline no cluster, o driver do BitLocker retomará automaticamente a conversão quando o volume estiver online no cluster.
Se a conversão sofrer uma pausa com a criptografia em andamento enquanto o volume CSV estiver no modo de manutenção, o thread do cluster (verificação de integridade) retomará automaticamente a conversão ao mover o volume de volta do modo de manutenção.
Se a conversão sofrer uma pausa com a criptografia em andamento enquanto o volume de recursos do disco estiver no modo de manutenção, o driver do BitLocker retomará automaticamente a conversão quando o volume for movido de volta do modo de manutenção.