Шифрование виртуальных машин с BitLocker в Windows Server 2016: руководство по настройке

BitLocker — это мощный инструмент шифрования, предоставляемый операционной системой Windows Server 2016. Он позволяет вам защитить конфиденциальные данные, хранящиеся на виртуальных машинах, которые работают под управлением этой операционной системы. Шифрование всего диска, включая системный раздел, поможет предотвратить несанкционированный доступ к данным, даже если кто-то получит физический доступ к диску или внутреннему содержимому виртуальной машины.

Для получения доступа к данным в зашифрованном диске вам потребуется ключ. Виртуальные машины, работающие на Windows Server 2016, могут быть оборудованы встроенным Trusted Platform Module (TPM) — модулем доверенной платформы. TPM — это компонент аппаратного обеспечения, который позволяет хранить и защищать ключи шифрования.

Для использования BitLocker с виртуальными машинами Hyper-V, установленными на вашем Windows Server 2016, вам необходимо выполнить несколько дополнительных настроек. Во-первых, убедитесь, что ваша операционная система и аппаратное обеспечение совместимы с BitLocker. Во-вторых, необходимо включить поддержку шифрования в групповой политике. Если вы хотите использовать шифрование для гостевых виртуальных машин, то необходимо также настроить виртуальную Trusted Platform Module (vTPM). Все эти шаги будут подробно рассмотрены в данном руководстве.

Один из способов активации и использования BitLocker — использование учетной записи Active Directory Domain Services (AD DS) для хранения ключей шифрования. Если ваша среда развернута с AD DS, то вы сможете автоматически сохранять и восстанавливать ключи шифрования.

Подключение внешних устройств, таких как USB-накопители, в вашей среде может быть запрещено из соображений безопасности. В таком случае, вы можете использовать виртуальный диск для хранения ключей шифрования. Виртуальное хранилище ключей BitLocker (BitLocker Drive Encryption — BDE) облегчит процесс управления и восстановления ключами шифрования.

В этом практическом руководстве вы найдете пошаговую инструкцию для настройки шифрования виртуальных машин с помощью BitLocker в Windows Server 2016. Вы узнаете, как настроить совместимость с BitLocker, включить и настроить групповую политику, настроить vTPM для гостевых виртуальных машин и многое другое. Приступая к настройке шифрования, вы можете быть уверены в безопасности ваших данных и обеспечить их защиту от несанкционированного доступа.

Настраиваем групповую политику для сохранения ключей восстановления BitLocker в AD

Для обеспечения безопасности при использовании шифрования BitLocker в Windows Server 2016 можно настроить групповую политику для сохранения ключей восстановления в Active Directory (AD). В этом разделе мы рассмотрим процесс настройки данной функциональности.

Шаг 1: Настройка групповой политики

Чтобы получить доступ к настройкам групповой политики, выполните следующие действия:

1. Откройте «Control Panel» (Панель управления) и перейдите в раздел «Administrative Tools» (Административные инструменты).
2. В открывшейся панели административных инструментов выберите «Group Policy Management» (Менеджер групповых политик).
3. На левой панели выберите домен вашей системы, затем кликните правой кнопкой мыши и выберите «Create a GPO in this domain and Link it here» (Создать групповую политику в этом домене и связать ее здесь).
4. Введите название новой групповой политики и нажмите кнопку «OK» (ОК).

Шаг 2: Настройка сохранения ключей восстановления

Чтобы включить сохранение ключей восстановления BitLocker в AD, выполните следующие действия:

1. Откройте созданную групповую политику и перейдите к «Computer Configuration» (Конфигурация компьютера) -> «Policies» (Политики) -> «Administrative Templates» (Административные шаблоны) -> «Windows Components» (Компоненты Windows) -> «BitLocker Drive Encryption» (Шифрование BitLocker).
2. Настройте следующие параметры политики:
   • Включите «Choose how BitLocker-protected operating system drives can be recovered» (Выберите, как можно восстановить защищенные шифрованием диски операционной системы).
   • Включите «Store BitLocker recovery information in Active Directory Domain Services» (Хранить информацию о восстановлении BitLocker в службах Active Directory).
3. Сохраните изменения.

Шаг 3: Практическое использование сохранения ключей восстановления

Теперь, когда групповая политика настроена для сохранения ключей восстановления в AD, при шифровании дисков пользователей их ключи восстановления будут автоматически сохраняться в AD. Это позволяет упростить процесс восстановления доступа к зашифрованным данным в случае утери ключа.

Шифрование виртуальных машин с BitLocker в Windows Server 2016 может быть оборудовано дополнительными механизмами безопасности, например, использование Trusted Platform Module (TPM) для аутентификации. Для использования этой функции виртуальные машины Hyper-V первого поколения должны быть оборудованы компатибельным чипом TPM.

В этом разделе мы рассмотрели процесс настройки групповой политики для сохранения ключей восстановления BitLocker в AD. Теперь вы можете установить новую групповую политику или изменить настройки существующей, чтобы включить сохранение ключей восстановления и сделать процесс шифрования виртуальных машин более безопасным.

Использование BitLocker на ВМ Hyper-V первого поколения

Шаг 1: Включеине автоматической активации TPM на ВМ

Для использования BitLocker на ВМ Hyper-V первого поколения, необходимо настроить автоматическую активацию TPM. Для этого выполните следующую команду PowerShell на вашем компьютере:

Enable-VMTPM -VMName YourVMName -EnableAutoProvisioning

Здесь «YourVMName» — это имя вашей ВМ Hyper-V первого поколения.

Шаг 2: Включение шифрования диска на ВМ Hyper-V первого поколения

После активации TPM на ВМ, вы можете включить шифрование диска с помощью BitLocker. Чтобы включить шифрование для диска ВМ Hyper-V первого поколения, выполните следующие действия:

1. Запустите Hyper-V Manager на вашей системе управления Hyper-V.
2. На панели управления Hyper-V Manager найдите вашу ВМ Hyper-V первого поколения и выделите ее.
3. В действиях управления выберите «Turn on BitLocker» (Включить BitLocker).
4. В появившемся окне BitLocker включите политику шифрования и выберите способ сохранения ключа восстановления.
5. Нажмите «Next» (Далее), чтобы продолжить.
6. Выберите «Run BitLocker System Check» (Запустить проверку системы BitLocker), если хотите проверить вашу систему перед включением BitLocker.
7. Нажмите «Next» (Далее).
8. Выберите способ ввода ключа шифрования: «Insert a USB flash drive» (Вставьте флеш-накопитель USB) или «Enter a password» (Введите пароль).
9. Нажмите «Next» (Далее).
10. Следуйте инструкциям, чтобы завершить процесс настройки шифрования BitLocker.

После завершения процесса настройки шифрования BitLocker, ваша ВМ Hyper-V первого поколения будет защищена с помощью BitLocker.

Активация vTPM для поддержки BitLocker на ВМ 2-го поколения

Для выполнения шифрования дисков виртуальных машин с помощью BitLocker и использования виртуального TPM (vTPM) в Windows Server 2016, необходимо включить поддержку vTPM на ВМ 2-го поколения.

Шаг 1: Включение vTPM на ВМ

1. Откройте Hyper-V Manager и выберите виртуальную машину, для которой вы хотите включить поддержку vTPM.

2. В правой панели выберите «Настройки» и перейдите на вкладку «Безопасность».

3. Убедитесь, что в разделе «Поддержка ключей BitLocker» «Включить поддержку vTPM» выбрано.

4. Нажмите «OK», чтобы сохранить настройки.

Шаг 2: Включение политики группы для поддержки vTPM

1. Откройте Group Policy Management Console (Консоль управления групповыми политиками).

2. В расширении всех лесов домена (All Forests), выберите правой кнопкой мыши свой домен и выберите «Создать GPO, в этом домене и связать его здесь» (Create a GPO in this domain, and Link it here).

3. Введите имя политики, например «Активация vTPM» и нажмите «OK».

4. Выделите созданную политику в списке и нажмите правой кнопкой мыши, выберите «Редактировать» (Edit).

5. Настройте политику «Включить» (Turn On) для «Аутентификации TPM и виртуальных TPM» (Require TPM or compatible vTPM).

6. Нажмите «OK», чтобы сохранить настройки политики.

Шаг 3: Делегирование учетной записи для включения vTPM

1. На сервере, где установлен Hyper-V и с которого вы управляете GPMC (Group Policy Management Console), запустите PowerShell от имени администратора.

2. Введите следующую команду, чтобы делегировать разрешения «Включить/выключить операцию vTPM» на конкретной виртуальной машине:

Set-VMKeyProtector -VMName <имя ВМ> -KeyProtectorId <ключ> -Enabled $true

где <имя ВМ> — имя вашей виртуальной машины, и <ключ> — ключ ключевого защитника, полученный с помощью команды «BitLocker Recovery Key Management».

Шаг 4: Проверка наличия vTPM в ВМ

1. Откройте Hyper-V Manager и выберите виртуальную машину, для которой вы включили поддержку vTPM.

2. В правой панели выберите «Настроить», а затем перейдите на вкладку «Поддержка ключей BitLocker».

3. Появятся новые иконки и возможность установить политику шифрования BitLocker на любом диске ВМ.

4. Теперь вы можете настроить и включить BitLocker для диска ВМ с помощью политики группы.

После выполнения всех вышеперечисленных шагов, вы успешно активируете vTPM для поддержки BitLocker на виртуальных машинах 2-го поколения в Windows Server 2016.

Практическое использование BitLocker

BitLocker удобный компонент в Windows Server 2016, который позволяет шифровать виртуальные машины для защиты данных. В этом разделе мы рассмотрим практическое использование BitLocker и настройку нескольких важных функций.

Первым шагом будете настройка хранилища для сохранения ключей BitLocker. Ключи могут быть сохранены либо в Active Directory (AD), либо на сетевом диске. Мы настраиваем сохранение ключей в AD, чтобы обеспечить еще большую безопасность.

Для создания новой групповой политики для хранения ключей BitLocker, вы можете использовать PowerShell или Active Directory Users and Computers (ADUC). Включите BitLocker и включите опцию «Установить новую политику управления ключами шифрования».

Для включения BitLocker на желаемом диске (например, usb-накопителе или втором диске) воспользуйтесь командой «manage-bde -on X:» через командную строку или используйте PowerShell.

BitLocker также может быть настроен для использования виртуального TPM (vTPM). Виртуальный TPM позволяет хранить и использовать ключи шифрования внутри виртуальной машины вместо хранения их на внешнем устройстве. Для включения vTPM в вашей виртуальной машине, настроенной на доверенный компьютер, вы должны будете настроить дополнительные настройки VM в Hyper-V Manager. Включите vTPM и запустите виртуальную машину для просмотра и настройки настраиваемых ключей BitLocker.

BitLocker также позволяет делегировать управление ключами шифрования. Вы можете настроить хранение ключей управления в AD и делегировать права доступа на просмотр и использование ключей определенным пользователям или группам. Это обеспечивает дополнительный уровень безопасности для ваших данных.

После настройки BitLocker и шифрования выбранного диска, вы сможете включить компьютер и использовать его так же, как обычно. Декриптирование диска будет автоматически происходить при вводе правильного ключа.

Практическое использование BitLocker может быть очень полезным для защиты ваших данных. Включите шифрование на любом устройстве хранения, который поддерживает эту технологию, и получите дополнительную защиту данных и конфиденциальности.

Свойство	Описание
Ключи	Сохранение ключей шифрования в AD позволяет обеспечить безопасность данных.
Шифрование	Включить шифрование на выбранном диске для защиты данных.
Виртуальный TPM	Включить виртуальный TPM для хранения ключей шифрования внутри виртуальной машины.
Управление ключами	Делегировать управление ключами шифрования для повышения безопасности данных.
Включение	После настройки и шифрования диска, можно включить компьютер и использовать его как обычно.

Видео:

How To Install Bitlocker Drive Encryption Service In Windows Server 2016

How To Install Bitlocker Drive Encryption Service In Windows Server 2016 by ITSolution4U 3,146 views 7 years ago 1 minute, 28 seconds